Zum Inhalt springen

Kommune

Out­look (mal wie­der) neu­gie­ri­ger als notwendig

Der eine oder ande­re Leser wird ein klei­nes Aha-Erleb­nis haben. Da war doch was? Genau. Im Zusam­men­hang mit den Out­look-Apps für Smart­phones wur­de Kri­tik an Micro­soft laut, weil Zugangs­da­ten auch von Nicht-Micro­soft-Mail-Kon­ten zu Micro­soft abge­flos­sen sind. Nun ist die neue Out­look for Desk­top Ver­si­on am Start und das Pro­blem scheint sich zu wiederholen.

Daten­schüt­zer schla­gen Alarm

Sobald die neue Ver­si­on von Out­look instal­liert und kon­fi­gu­riert bzw. in der bis­he­ri­gen Ver­si­on der Switch “Neue Ver­si­on nut­zen” akti­viert wird, flie­ßen die Zugangs­da­ten aller ein­ge­rich­te­ten Mail­kon­ten zu Micro­soft in die Cloud ab. Und das eben nicht nur für Mail­kon­ten, die bei Micro­soft gehos­tet wer­den, son­dern auch die von allen ande­ren Anbie­tern. Die sei­tens Micro­soft nur vage umris­se­nen Grün­de für die­ses Ver­hal­ten sind nicht sehr auf­schluß­reich, war­um dies so sein muss bzw. wel­chen Zweck das haben soll. So moniert der frü­he­re Lan­des­da­ten­schutz­be­auf­trag­te Baden-Würt­tem­berg, Brink gegen­über Hei­se die man­geln­de Transparenz.

Am 17.11.2023 ver­öf­fent­lich­te der Lan­des­da­ten­schutz­be­auf­trag­te Thü­rin­gen eine Pres­se­mel­dung und warn­te offi­zi­ell vor der Nut­zung des neu­en Out­look: “Momen­tan rät der TLf­DI daher drin­gend dazu, sich die Geneh­mi­gung für die­sen tief­grei­fen­den Ein­griff in die Pri­vat­sphä­re durch die App „Neu­es Out­look“ bes­tens zu über­le­gen.” Die Emp­feh­lung lau­tet deut­lich, wei­ter­hin die bis­he­ri­ge (“klas­si­sche”) Ver­si­on von Out­look zu nut­zen bzw. sich der Fol­gen der Nut­zung des neu­en Out­look bewusst zu sein.

Da Micro­soft nicht nur die Zugangs­da­ten abzieht, son­dern auch die Inhal­te der Post­fä­cher in sei­ne Cloud “spie­gelt” warnt Brink vor mög­li­chen Risi­ken im Hin­blick auf unbe­ab­sich­ti­ge Ver­öf­fent­li­chung von Geschäfts- /​ Dienst­ge­heim­nis­sen.

ISMS-För­der­mit­tel­pro­gramm für baye­ri­sche Kom­mu­nen endet 31.12.2023

Die aktu­el­le ISMS-För­der­mit­tel­richt­li­nie zur finan­zi­el­len Unter­süt­zung der Ein­füh­rung eines Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tems im Sin­ne von Art. 43 Bay­DiG läuft zum 31.12.2023 aus. Eine Ver­län­ge­rung wur­de vom zustän­di­gen Staats­mi­nis­te­ri­um ver­neint. Eben­so eine abseh­ba­re Neuauflage.

Wenn Sie als baye­ri­sche Kom­mu­ne die Neu­ein­füh­rung eines ISMS auf Basis

  • Arbeits­hil­fe
  • CISIS12
  • VDS 10000
  • BSI IT-Grund­schutz (Kom­mu­nal­pro­fil, Basis‑, Stan­dard- oder Kernabsicherung)
  • ISO 27001

oder ein Upgrade eines klei­ne­ren vor­han­de­nen Stan­dards auf einen der höhe­ren Stan­dards pla­nen, dann soll­ten Sie sich mit der Bean­tra­gung von För­der­mit­teln beei­len. (Ach­tung: Dif­fe­renz­för­de­rung von ISIS12 zu CISIS12 ist nicht möglich.)

Laut Aus­sa­ge der För­der­mit­tel­stel­le auf der Web­sei­te soll­te Ihr Antrag spä­tes­tens am 15. Novem­ber 2023 ein­ge­gan­gen sein. Das hat meh­re­re Gründe:

  • Bei spä­te­rem Ein­gang kann eine För­der­zu­sa­ge recht­zei­tig vor Ablauf des Pro­gramms auf­grund des erhöh­ten Antrag­vo­lu­mens in der Schluß­pha­se nicht mehr garan­tiert werden.
  • Der För­der­mit­tel­topf war zwar groß, neigt sich aber den­noch dem Ende zu. Und wenn kei­ne För­der­mit­tel zur Ver­ga­be frei sind, ist es egal, wann der Antrag eingeht.

Sie brau­chen mit dem Pro­jekt jedoch nicht mehr in 2023 begin­nen. Ledig­lich der Antrag und die Bewil­li­gung müs­sen in 2023 über die Büh­ne sein. Der Beginn der Umset­zung kann in 2024 lie­gen. Sie kön­nen sich daher die­ses Jahr noch die För­der­mit­tel für die Jah­re 2024 ff. sichern.

Sie benö­ti­gen ein Ange­bot für die Unter­stüt­zung durch Bera­tung und Schu­lung von einem qua­li­fi­zier­ten Dienst­leis­ter. Qua­li­fi­ziert heißt, der Dienst­leis­ter muss sei­ne Eig­nung gegen­über der För­der­stel­le bele­gen kön­nen. Das kön­nen je nach gewähl­ter Norm sein:

  • Zer­ti­fi­kat CISIS12 Pro­fes­sio­nal /​ Offi­cer
  • Zer­ti­fi­kat BSI IT-Grund­schutz Prak­ti­ker /​ Bera­ter
  • Zer­ti­fi­kat ISO 27001 Officer

Das ist unab­hän­gig davon, ob Sie das ISMS neu ein­füh­ren oder ein bestehen­des ISMS upgraden. Unse­re Mit­ar­bei­ter sind selbst­ver­ständ­lich für alle Stan­dards zuge­las­sen. Bit­te beach­ten Sie: Das neue ISMS oder Upgrade soll­te zu Ihrer Orga­ni­sa­ti­on pas­sen. Da wir in allen oben genann­ten Nor­men zuhau­se sind, kön­nen wir Sie hier­zu orga­ni­sa­ti­ons­in­di­vi­du­ell bera­ten und müs­sen Ihnen nicht auf Gedeih und Ver­derb ledig­lich einen Stan­dard als den ein­zig rich­ti­gen Weg “ver­kau­fen”.

Zustän­dig ist die Regie­rung Ober­fran­ken. Alle Details und das Online-Antrags­for­mu­lar fin­den Sie unter https://​www​.regie​rung​.ober​bay​ern​.bay​ern​.de/​a​u​f​g​a​b​e​n​/​l​e​i​s​t​u​n​g​/​l​e​i​s​t​u​n​g​_​3​5​0​0​4​/​i​n​d​e​x​.​h​tml

Auch unse­re Res­sour­cen sind end­lich. Aber der­zeit könn­ten wir noch gut orga­ni­sier­te ISMS-Pro­jek­te in 2024 im Lau­fe des Jah­res unter­brin­gen. Anfra­gen bit­te an info@​ask-​informationssicherheit.​de oder über unse­ren Zen­tral­ruf 09155–263 99 70. Alter­na­tiv direkt über unser For­mu­lar (exter­ner Link).

Wir mel­den uns dann wegen wei­te­rer Details zur Ange­bots­er­stel­lung bei Ihnen.

WiBA — Weg in die Basis-Absi­che­rung — WiBA BSI

Nicht erst seit dem Aus­fall der Land­kreis­ver­wal­tun­gen Anhalt-Bit­ter­feld oder Rhein­pfalz ist bekannt, dass auch Kom­mu­nal­ver­wal­tun­gen durch­aus Nach­hol­be­darf beim The­ma Infor­ma­ti­ons­si­cher­heit haben. Auch klei­ne­re Kom­mu­nen sind betrof­fen und haben nicht weni­ger mit den Fol­gen zu kämp­fen. Der geschätz­te Jens Lan­ge, sei­nes Zei­chens ITSi­Be der Stadt Kas­sel betreibt hier­zu ein schö­nes Infor­ma­ti­ons­por­tal (Vie­len Dank an die­ser Stel­le, Jens, für Dei­ne Arbeit!) unter https://​kom​mu​na​ler​-not​be​trieb​.de

Doch auch Fir­men, eben­falls ganz unab­hän­gig von Bran­che und Grö­ße blei­ben von die­sem Pro­blem nicht ver­schont. Einen gro­ben Ein­druck, wie oft es knallt, kann man sich sehr gut unter https://​kon​brie​fing​.com/​d​e​-​t​o​p​i​c​s​/​h​a​c​k​e​r​a​n​g​r​i​f​f​-​d​e​u​t​s​c​h​l​a​n​d​.​h​tml verschaffen.

Bei­de Por­ta­le kön­nen nur einen Teil der Mise­re zei­gen, denn nicht jedes “Miss­ge­schick” in der Infor­ma­ti­ons­si­cher­heit bei Kom­mu­nen und Fir­men gelangt an die Öffent­lich­keit. Das bedeu­tet, die Dun­kel­zif­fer des Ver­sa­gens der Infor­ma­ti­ons­si­cher­heit (oder auch des Nicht­vor­han­den­seins) ist daher im Zwei­fel noch um eini­ges höher.

Nor­men für Informationssicherheit

Stan­dards für Infor­ma­ti­ons­si­cher­heit gibt es eini­ge auf dem Markt. Da gibt es z.B.

  • ISO 27001 (nati­ve oder auf Basis IT-Grundschutz)
  • Den IT-Grund­schutz des BSI (Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik) in den 3 Absi­che­rungs­stu­fen Basis, Kern und Standard
  • TISAX (gera­de im Auto­mo­ti­ve-Bereich ein sehr bekann­ter Vertreter)
  • CISIS12 (ehe­ma­lis ISIS12)
  • ISMS4KMO (als Stan­dard als Wei­ter­ent­wick­lung von ISIS12, aber auch als Tool für die ISO 27001 und den IT-Grundschutz)
  • “Arbeits­hil­fe” (eine Absi­che­rung in der Brei­te einer Orga­ni­sa­ti­on, ent­wi­ckelt von a.s.k. Daten­schutz im Auf­trag der Inno­va­ti­ons­stif­tung Baye­ri­sche Kommune)
  • SiKo­SH (Sicher­heits­kon­zept Schles­wig-Hol­stein) oder auch
  • VDS 10.000 ehe­mals 3473.

Es gibt noch wei­te­re Ver­tre­ter, doch wir haben uns auf die Stan­dards mit einer bekann­ten brei­ten Instal­la­ti­ons­ba­sis beschränkt. Dane­ben gibt es noch div. Schwach­stel­len-Tools, die jedoch zumeist ein­ma­li­ge Stär­ken-Schwä­chen-Ana­ly­sen dar­stel­len und kei­nen Fokus auf den Betrieb eines Infor­ma­ti­ons­si­cher­heits­kon­zepts legen. Dazu zäh­len z.B. ISA+ und andere.

Alle Nor­men haben eins gemein­sam: Infor­ma­ti­ons­si­cher­heit bedeu­tet Arbeit in fast allen Tei­len einer Orga­ni­sa­ti­on und kos­tet Zeit, Geld und Per­so­nal­res­sour­cen. Dazu haf­ten eini­gen Stan­dards nahe­zu sagen­haf­te Aus­sa­gen an wie “Der IT-Grund­schutz dau­ert min­des­tens 5 Jah­re in der Ein­füh­rung, egal wie groß die Orga­ni­sa­ti­on ist” oder “Für Stan­dard XYZ sind min­des­tens 50–60 exter­ne Bera­ter­ta­ge not­wen­dig”. Nun ja … In der Tat war der alte 100‑x Stan­dard des IT-Grund­schutz ein dickes, zu boh­ren­des Brett. Aber 5 Jah­re haben selbst Groß­or­ga­ni­sa­tio­nen dafür nie gebraucht. Und durch das sog. Kom­pen­di­um (200‑x) und die 3 Absi­che­rungs­stu­fen von unten nach oben wur­de ein zeit­ge­mä­ßer und nied­rig­schwel­li­ger Ein­stieg in den IT-Grund­schutz vom BSI geschaf­fen. Der frü­he­re Schre­cken hat sei­ne Daseins­be­rech­ti­gung ver­lo­ren. Und immens hohe Zah­len an exter­nen Bera­ter­ta­gen kön­nen — unab­hän­gig vom gewähl­ten Stan­dard — auch nur dann zustan­de­kom­men, wenn die eige­ne Orga­ni­sa­ti­on so gut wie kei­nen Selbst­ein­satz bei der Ein­füh­rung des Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tems leis­tet. Das mag bequem erschei­nen, auch wenn es teu­er ist, aber geht am Ziel und Zweck vor­bei. Schließ­lich wird Infor­ma­ti­ons­si­cher­heit durch die eige­ne Orga­ni­sa­ti­on betrie­ben und da hilft es wenig, wenn die gan­ze Arbeit durch Exter­ne geleis­tet wird (feh­len­des inter­nes Know-How, “Bera­ter-Trep­pe”).

WiBA — Weg in die Basis-Absicherung

Um den Ein­stieg in den IT-Grund­schutz nun noch nied­rig­schwel­li­ger anzu­set­zen als bereits mit der sog. Basis-Absi­che­rung gesche­hen, hat das BSI einen 18 Doku­men­te umfas­sen­den Fra­gen­ka­ta­log ent­wi­ckelt. Die­ser soll bei kon­se­quen­ter Bear­bei­tung aktu­el­le Schwach­stel­len in der Infor­ma­ti­ons­si­cher­heit (orga­ni­sa­to­risch, infra­struk­tu­rell, tech­nisch, pro­zes­su­al) auf­fin­den hel­fen, damit die­se im Anschluss besei­tigt wer­den kön­nen. Ein löb­li­cher Ansatz und gera­de für Orga­ni­sa­tio­nen geeig­net, die bis­her noch jeden Kon­takt mit dem The­ma gescheut haben.

Fol­gen­de The­men wer­den zur Zeit abgedeckt:

  1. Arbeit außer­halb der Institution
  2. Arbeit inner­halb der Insti­tu­ti­on /​ Haus­tech­nik
  3. Back­up
  4. Büro­soft­ware
  5. Cli­ent
  6. Dru­cker und Multifunktionsgeräte
  7. IT-Admi­nis­tra­ti­on
  8. Mobi­le Endgeräte
  9. Net­ze
  10. Orga­ni­sa­ti­on und Personal
  11. Out­sour­cing und Cloud
  12. Rol­len /​ Berech­ti­gun­gen /​ Authen­ti­sie­rung
  13. Ser­ver­raum
  14. Ser­ver­sys­te­me
  15. Sicher­heits­me­cha­nis­men
  16. Tele­fo­nie und Fax
  17. Umgang mit Informationen
  18. Vor­be­rei­tung für Sicherheitsvorfälle

Umfang­reich sind die Prüf­fra­gen sel­ten. So fin­den sich im Kapi­tel 6 Out­sour­cing und Cloud bei­spiels­wei­se 6 Prüf­fra­gen. Dar­aus wird auch die Inten­ti­on des nied­rig­schwel­li­gen Ein­stiegs u.a. durch einen redu­zier­ten Umfang sehr deutlich.

Der­zeit sind die Fra­ge­bö­gen im Word-For­mat als sog. Com­mu­ni­ty Drafts online gestellt. Das BSI for­dert expli­zit dazu auf, die­se zu nut­zen, zu prü­fen und Anre­gun­gen und Ergän­zun­gen zurück­zu­spie­len. Die­se Rück­mel­dun­gen sol­len dann in die fina­le Ver­si­on von WiBA — Weg in die Basis­ab­si­che­rung einfließen.

In der Hoff­nung, dass dem­nächst nicht wie­der alle Links auf den BSI Web­sei­ten umge­stellt wer­den, hier der direk­te Ein­sprung in das The­ma: https://​www​.bsi​.bund​.de/​D​E​/​T​h​e​m​e​n​/​U​n​t​e​r​n​e​h​m​e​n​-​u​n​d​-​O​r​g​a​n​i​s​a​t​i​o​n​e​n​/​S​t​a​n​d​a​r​d​s​-​u​n​d​-​Z​e​r​t​i​f​i​z​i​e​r​u​n​g​/​I​T​-​G​r​u​n​d​s​c​h​u​t​z​/​W​I​B​A​/​W​e​g​_​i​n​_​d​i​e​_​B​a​s​i​s​_​A​b​s​i​c​h​e​r​u​n​g​_​W​i​B​A​.​h​tml

Über­le­gun­gen zur aktu­el­len Gestal­tung /​ Umset­zung von WiBA — Weg in die Basis-Absicherung

WiBA kann durch­aus ein geeig­ne­ter Ein­stieg in das The­ma Infor­ma­ti­ons­si­cher­heit für Orga­ni­sa­tio­nen sein, die bis­her noch gar kei­nen Kon­takt mit dem The­ma hat­ten und erst mal “schnup­pern” wol­len. Dabei soll­te man im Hin­ter­kopf haben, dass es sich hier­bei nur um eine Schwach­stel­len­ana­ly­se anhand von Fra­ge­stel­lun­gen han­delt. Der zu einem ISMS gehö­ren­de PDCA-Zyklus inkl. der not­wen­di­gen Ver­ant­wort­lich­kei­ten, Auf­ga­ben und Pro­zes­sen ist nicht ent­hal­ten. Wie das BSI in der Manage­ment Sum­ma­ry selbst schreibt, kann WiBA — Weg in die Basis-Absi­che­rung nur der ers­te Schritt in das The­ma Infor­ma­ti­ons­si­cher­heit sein. Denn mit einer Schwach­stel­len­ana­ly­se allei­ne ist es nicht getan.

Posi­tiv fällt die Ver­knüp­fung der Prüf­fra­gen zu den Bau­stei­nen des IT-Grund­schut­zes auf. Das soll­te ein spä­te­res Upgrade in die Basis-Absi­che­rung erleich­tern, da sich ein Wie­der­erken­nungs­ef­fekt ein­stel­len wird. Doch das leis­ten auch ande­re Systematiken.

Wie­so man aus­ge­rech­net mit Word-Tabel­len gear­bei­tet hat, wird wohl ein Rät­sel blei­ben. Dem­je­ni­gen, der mit­tels die­ser Doku­men­te die Ergeb­nis­se doku­men­tie­ren und nach­hal­ten soll, bleibt nur viel Kraft und Geduld zu wünschen 🙂

WiBA liegt nun als Com­mu­ni­ty Draft vor, ist also noch nicht final fer­tig. Dem­ge­gen­über haben ande­re Kon­zep­te, die eben­falls einen nied­rig­schwel­li­gen Ein­stieg in das The­ma Infor­ma­ti­ons­si­cher­heit garan­tie­ren und dabei auch gleich den Grund­stein für den spä­te­ren Betrieb des ISMS legen, bereits mehr­jäh­ri­ge Wei­ter­ent­wick­lun­gen erfah­ren. Allen vor­an sei hier exem­pla­risch die Arbeits­hil­fe der Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne genannt, die erst­ma­lig 2016 erschie­nen ist und mitt­ler­wei­le in Ver­si­on 5 vor­liegt. Wie­so nun eine Eigen­ent­wick­lung auf­ge­legt wird, statt auf vor­han­de­ne Sys­te­ma­ti­ken zurück­zu­grei­fen oder die­se zu emp­feh­len, bleibt unklar. Ok, der Auf­wand für die Arbeits­hil­fe wäre höher. Aber man hät­te sich auch mit der Sys­te­ma­tik ISA+ des IT-Sicher­heits­clus­ters Regens­burg oder mit dem Rei­fe­grad-Modell “Kom­mu­na­le IT-Sicher­heit” des Lan­des­amts für Sicher­heit in der Infor­ma­ti­ons­tech­nik Bay­ern, kurz LSI zusam­men­tun kön­nen. Übri­gens: Auch wenn die Arbeits­hil­fe ursprüng­lich für Kom­mu­nen ent­wi­ckelt wur­de, kann die­se auch von Fir­men genutzt wer­den. Ob die Orga­ni­sa­ti­ons­lei­tung am Ende Bür­ger­meis­ter oder Geschäfts­füh­rer heißt, ändert nichts an den Sicher­heits­an­for­de­run­gen, höchs­tens am Risi­ko einer per­sön­li­chen Haf­tung 😉 Wer es pro­fes­sio­nell haben möch­te: Spre­chen Sie uns wegen einer Soft­ware-Umset­zung der Arbeits­hil­fe ger­ne an. Die damals vom Auf­trag­ge­ber vor­ge­ge­be­nen Word-Doku­men­te sind im lau­fen­den Betrieb des ISMS alles ande­re als handlich.

Hin­zu kommt: Wer bereits mit einem ISMS auf Basis von ISIS12, der Arbeits­hil­fe oder VDS aus­ge­stat­tet ist und die­se erfolg­reich in Betrieb hat, wird mit WiBA — Weg in die Basis-Absi­che­rung nicht glück­lich. Hier wäre zu emp­feh­len, gleich den fol­ge­rich­ti­gen Schritt in die BSI IT-Grund­schutz Basis-Absi­che­rung oder für Kom­mu­nen das sog. Kom­mu­nal­pro­fil im Rah­men der Basis-Absi­che­rung zu gehen.

Und nicht ver­ge­se­sen — wie schreibt es das BSI (nicht nur im Kon­text von WiBA — Weg in die Basis-Absi­che­rung) so tref­fend: Infor­ma­ti­ons­si­cher­heit ist Che­fin­nen- und Chef­sa­che! Und jeder Schritt hin zu mehr Infor­ma­ti­ons­si­cher­heit zählt. Von daher, well done, BSI!

Übri­gens freut sich auch der Daten­schutz­be­auf­trag­te, wenn das The­ma Infor­ma­ti­ons­si­cher­heit kon­se­quent und sys­te­ma­tisch in der Orga­ni­sa­ti­on umge­setzt wird. Das nimmt eini­ges an Druck aus dem Kes­sel im Hin­blick auf Art. 32 DSGVO Sicher­heit der Verarbeitung.

För­der­mit­tel­au­dit Kom­mu­nal­pro­fil und Basis-Absi­che­rung BSI IT-Grund­schutz für baye­ri­sche Kommunen

Sie sind eine baye­ri­sche Kom­mu­ne? Haben För­der­mit­tel im Rah­men der Richt­li­nie zur För­de­rung von Infor­ma­ti­ons­si­cher­heit des Frei­staats Bay­ern bean­tragt? Sie ste­hen jetzt kurz vor dem Abschluss der Ein­füh­rung eines ISMS auf Basis des sog. Kom­mu­nal­pro­fils oder der Basis-Absi­che­rung des BSI IT-Grund­schutz? Und Sie brau­chen bald als Nach­weis zur Bean­tra­gung der Aus­schüt­tung der För­der­mit­tel den not­wen­di­gen Prüf­nach­weis für die För­der­mit­tel­stel­le? Dann spre­chen Sie uns früh­zei­tig an.

Wir freu­en uns, dass wir baye­ri­schen Kom­mu­nen den not­wen­di­gen Audi­tor bie­ten und das För­der­mit­tel­au­dit auf Basis eines belast­ba­ren und nach­voll­zieh­ba­ren Prüf­sche­mas durch­füh­ren kön­nen. Unter­stützt wird das Audit und die Audit-Doku­men­ta­ti­on durch unser haus­in­ter­nes Audit-Tool, das am Ende einen belast­ba­ren und nach­voll­zieh­ba­ren Audit-Bericht erstellt.

Dabei gibt es jedoch eine klas­si­sche Audit-Regel zu beach­ten: Wer berät, audi­tiert nicht. Wenn Sie also durch uns bei der Ein­füh­rung Ihres ISMS auf Basis des BSI IT-Grund­schutz beglei­tet wur­den, kön­nen wir Sie nicht audi­tie­ren. Das ver­steht sich eigent­lich von selbst. Ger­ne stel­len wir Ihnen aber in die­sem Fall den Kon­takt zu qua­li­fi­zier­ten Audi­to­ren her. Aus­wäh­len müs­sen Sie dann jedoch selbst 🙂

Mehr Infos hier.

Save the date: BVS ISB Boot Camp Gun­zen­hau­sen 28.–29.03.2023

Nicht nur für akti­ve Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te inter­es­sant. Und nach­dem es die Pan­de­mie-Umstän­de zulas­sen, die­ses Jahr wie­der als 2‑tägige Vor-Ort-Veranstaltung:

ISB Boot Camp 2023 in Gun­zen­hau­sen am 28.03. und 29.03.2023

Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te, IT-Sicher­heits­be­auf­trag­te, aber auch Daten­schutz­be­auf­trag­te und IT-Lei­ter tref­fen sich zum Erfah­rungs­aus­tausch und Netz­wer­ken rund um aktu­el­le The­men der Infor­ma­ti­ons­si­cher­heit, der IT-Sicher­heit und des Daten­schut­zes. Dabei geht es nicht nur um aktu­el­le Bedro­hungs­la­gen, son­dern auch Lösun­gen aus der Pra­xis, um die­sen best­mög­lich zu begeg­nen. Tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, sowie prag­ma­ti­sche Lösungs­an­sät­ze, die sich im All­tag bewährt haben, ste­hen im Vor­der­grund der Ple­nums­bei­trä­ge und zahl­rei­chen Work­shops. Als Refe­ren­ten konn­ten zahl­rei­che akti­ve Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te aus Kom­mu­nal­ver­wal­tun­gen und Unter­neh­men gewon­nen wer­den, die ger­ne ihre Erfah­run­gen tei­len und sich freu­en, mit den Teil­neh­mern in inter­es­san­te Dis­kus­sio­nen einzutreten.

Auch das Lan­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik Bay­ern, kurz LSI ist wie­der mit von der Par­tie im dies­jäh­ri­gen ISB Boot Camp und stellt inter­es­san­te The­men vor. Dane­ben besteht natür­lich auch die Mög­lich­keit des direk­ten Aus­tauschs mit Mit­ar­bei­tern des LSI wäh­rend der gan­zen Veranstaltung.

Durch aus­rei­chen­de Pau­sen und auch im Zuge des Abend­pro­gramms am 28.02. steht allen Teil­neh­mern aus­rei­chend Zeit und Mög­lich­keit zum Erfah­rungs­austauch und Netz­wer­ken zur Verfügung.

Natür­lich dreht sich viel um tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men im All­tag der Infor­ma­ti­ons­si­cher­heit und des Daten­schut­zes. Aber auch stra­te­gi­sche The­men mit Blick nach vor­ne kom­men nicht zu kurz (Aus­zug):

  • ISMS — Wo geht die (bay­ri­sche) Rei­se hin?
  • Aus der Pra­xis eines Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten von 60 Kleinorganisationen
  • Tech­ni­sches Know-How für Infor­ma­ti­ons­si­cher­heits- und Datenschutzbeauftragte
  • Das ISMS /​ die TOM über­prü­fen — Per­mis­si­on rights reviews, Pene­tra­ti­ontests, inter­ne Audits, Flo­or­walks, wei­te­re Kennzahlen
  • ChatGPT und mög­li­che Aus­wir­kun­gen auf die Informationssicherheit
  • Win­dows Sup­port Anru­fe — wie ein Social Engi­neer in die Fal­le gelockt wurde
  • Schwach­stel­len­ma­nage­ment mit Tools in der Praxis
  • Low bud­get Phishingkampagne
  • Aktu­el­le Bedrohungslage
  • und immer wie­der ver­blüf­fend: Live Hacking

Die Agen­da des ISB Boot Camp füllt sich der­zeit noch mit wei­te­ren The­men und Beiträgen.

Durch­ge­führt wird das ISB Boot Camp — wie gehabt — von der Baye­ri­schen Ver­wal­tungs­schu­le. Wei­te­re Orga­ni­sa­to­ren sind die Stadt Gun­zen­hau­sen, das LSI und wir von der a.s.k. Daten­schutz. Es rich­tet sich jedoch nicht aus­schließ­lich an Mit­ar­bei­ter der Kommunalverwaltung.

Inter­es­se? Dann geht es hier zur Anmel­dung.

 

 

För­der­mit­tel zur Arbeits­hil­fe für baye­ri­sche Kommunen

Im Zuge der Neu­fas­sung der ISMS-För­der­mit­tel­richt­li­nie (ISMR) vom 7. März 2022, Az. E5-1681–7‑10 kön­nen baye­ri­sche Kom­mu­nen nun end­lich auch für die Ein­füh­rung eines Infor­ma­ti­ons­si­cher­heits­kon­zepts auf Basis der sog. Arbeits­hil­fe der Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne För­der­mit­tel erhalten.

Vor­aus­set­zun­gen für För­der­mit­tel zur Arbeits­hil­fe Informationssicherheit

Was wird kon­kret gefördert?

  1. Die Bera­tung und Beglei­tung bei der Imple­men­tie­rung durch fach­kun­di­ge IT-Dienstleister.
  2. Schu­lun­gen für Mit­ar­bei­ter durch zer­ti­fi­zier­te Anbieter.

Wie hoch sind die För­der­mit­tel zur Arbeits­hil­fe Informationssicherheit?

Bis zu 50 % der zuwen­dungs­fä­hi­gen Aus­ga­ben für die Umset­zung der Arbeits­hil­fe zur Erstel­lung von Infor­ma­ti­ons­si­cher­heits­kon­zep­ten der Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne, höchs­tens 5 000 Euro.

Wie bean­tra­ge ich als baye­ri­sche Kom­mu­ne die För­der­mit­tel zur Arbeits­hil­fe Informationssicherheit?

Anträ­ge auf Gewäh­rung einer För­de­rung sind schrift­lich oder elek­tro­nisch an die Regie­rung von Ober­fran­ken als Bewil­li­gungs­stel­le zu rich­ten. Das Antrags­for­mu­lar und alle wei­te­ren Infor­ma­tio­nen sind zu fin­den unter https://​www​.regie​rung​.ober​fran​ken​.bay​ern​.de/​a​u​f​g​a​b​e​n​/​1​9​2​1​6​9​/​1​9​2​1​7​2​/​l​e​i​s​t​u​n​g​/​l​e​i​s​t​u​n​g​_​3​5​0​0​4​/​i​n​d​e​x​.​h​tml

Wei­te­re Infor­ma­tio­nen und Links zum Infor­ma­ti­ons­si­cher­heits­kon­zept Arbeitshilfe

Mög­li­cher Daten­schutz­ver­stoß bei Nut­zung von VirusTotal

Das BSI warnt aktu­ell vor einem mög­li­chen Daten­schutz­ver­stoß bei Nut­zung von Virus­T­o­tal. Neben dem Daten­schutz­ri­si­ko sind aber auch ande­re schüt­zens­wer­te Infor­ma­tio­nen der eige­nen Orga­ni­sa­ti­on oder von Exter­nen in Gefahr, Drit­ten gegen­über offen­ge­legt zu werden.

Was ist VirusTotal?

Virus­T­o­tal ist ein Ser­vice von Goog­le und unter https://​www​.virus​t​o​tal​.com erreich­bar. Über den Dienst kann man bei­spiels­wei­se ver­däch­ti­ge Web­adres­sen (URL) über­prü­fen, bevor man die­se selbst im Brow­ser auf dem eige­nen Sys­tem auf­ruft. Eine Emp­feh­lung, die wir bei­spiels­wei­se im Rah­men unse­rer Schu­lun­gen und Web­i­na­re häu­fi­ger aussprechen.

Neben die­sem URL-Check bie­tet Virus­T­o­tal jedoch auch an, Datei­en zur Online-Über­prü­fung durch eine Viel­zahl bekann­ter Viren­scan­ner hoch­zu­la­den. Und da liegt auch der Hase im Pfef­fer. Neben der Nut­zung direkt im Brow­ser bie­tet Virus­T­o­tal auch Busi­ness-Ser­vices an, bei denen kein manu­el­ler Upload erfol­gen muss, son­dern die Prü­fung auto­ma­ti­siert im Hin­ter­grund durch­ge­führt wird.

“Die­ser Dienst wird von Pri­vat­per­so­nen und Unter­neh­men oft­mals zur Prü­fung von ver­däch­ti­gen Datei­en genutzt, um auf­grund der Viel­zahl von Anti­vi­ren­pro­gram­men ver­läss­li­che­re Ergeb­nis­se als mit nur einem Scan­ner zu erhal­ten.”, so das Bun­des­amt für Sicher­heit in der Informationstechnik.

Wo ist das Pro­blem bzw. der Daten­schutz­ver­stoß bei Nut­zung von VirusTotal?

Wer­den Datei­en mit per­so­nen­be­zo­ge­nen Daten hoch­ge­la­den bzw. geprüft, liegt für gewöhn­lich eine Auf­trags­ver­ar­bei­tung nach Art. 28 DSGVO vor. Die­se muss inkl. der TOM-Prü­fung kor­rekt VOR Nut­zung des Diens­tes gere­gelt und ver­ein­bart sein. Hin­zu kommt, dass lt. BSI Daten­wei­ter­ga­ben an zahl­rei­che AV-/Scan-Anbie­ter auch mit Sitz außer­halb der EU erfol­gen. Vor dem Hin­ter­grund der aktu­el­len Dis­kus­si­on um Dritt­staa­ten­über­mitt­lun­gen nicht ganz unproblematisch.

Und ganz neben­bei: Selbst dann, wenn Datei­en ohne per­so­nen­be­zo­ge­ne Daten hoch­ge­la­den wer­den, besteht ein nicht uner­heb­li­ches Risi­ko. Näm­lich dann, wenn es sich um ver­trau­li­che bzw. schüt­zens­wer­te Infor­ma­tio­nen der Orga­ni­sa­ti­on (oder eines Kun­den /​ Bür­gers /​ Auf­trag­ge­bers) han­delt. Die­se Datei wird mun­ter mit allen ange­schlos­se­nen Anbie­tern geteilt. Will man das für Geschäfts- bzw. Orga­ni­sa­ti­ons­ge­heim­nis­se? Eher nicht.

Was kann helfen?

  1. Mit­ar­bei­ter auf die­ses grund­le­gen­de Sicher­heits­pro­blem bei der Nut­zung des Diens­tes auf­merk­sam machen bzw. dafür aus­rei­chend sen­si­bi­li­sie­ren (Nein, Papier allei­ne reicht nicht!)
  2. Rege­lun­gen tref­fen, ob und wenn ja wel­che Datei­en mög­li­cher­wei­se doch einem Check durch den Ser­vice unter­zo­gen wer­den dür­fen (z.B. bei Ver­trau­lich­keits­sta­tus “Öffent­lich”)
  3. Oder wie das BSI rät, aus­schließ­lich mit Hash-Wer­ten der Datei­en zu arbei­ten (tri­cky, aber machbar)

Wei­te­re Unter­stüt­zung bie­ten die Fra­ge­stel­lun­gen an Sicher­heits­be­auf­trag­te auf Sei­te 3 der Stel­lung­nah­me des BSI zum The­ma, zu fin­den hier.

 

Whist­le­b­lower-Richt­li­nie /​ Hin­weis­ge­ber­schutz­ge­setz prag­ma­tisch umge­setzt mit Whist­le Safe

Seit Novem­ber 2019 steht die euro­päi­sche Hin­weis­ge­ber­schutz-Richt­li­nie im EU-Amts­blatt (Whist­le­b­lower-Richt­li­nie). Ihre Vor­ga­ben sind nun in Kraft getre­ten und grei­fen seit dem 18.12.2021. Die Mit­glied­staa­ten hat­ten zuvor zwei Jah­re Zeit, das EU-Gesetz in natio­na­les Recht umzu­set­zen. Die Umset­zung im deut­schen Hin­weis­ge­ber­schutz­ge­setz wird für Quar­tal 1 2022 erwar­tet. Die Anfor­de­run­gen kön­nen jedoch bereits gegen Orga­ni­sa­tio­nen gel­tend gemacht werden.

Juris­ti­sche Per­so­nen wie Fir­men, Behör­den und ande­re Rechts­trä­ger (mit mehr als 50 Mit­ar­bei­tern) sowie alle Unter­neh­men aus dem Bereich der Finanz­dienst­leis­tun­gen müs­sen gemäß den Vor­ga­ben der Whist­le­b­lower-Richt­li­nie prin­zi­pi­ell ein (inter­nes) Hin­weis­ge­ber­sys­tem bereit­stel­len und einen spe­zi­el­len Beauf­trag­ten als Ansprech­part­ner vor­se­hen. Gering­fü­gi­ge Aus­nah­men kön­nen ledig­lich für Gemein­den mit weni­ger als 10.000 Ein­woh­nern gemacht werden.

Anders als von der deut­schen Recht­spre­chung bis­lang vor­ge­ge­ben, muss nach der Whist­le­b­lower-Richt­li­nie ein Hin­weis­ge­ber einen Miss­stand nicht mehr zunächst intern in der eige­nen Fir­ma oder Behör­de mel­den. Er kann sich auch unmit­tel­bar an über­ge­ord­ne­te Whist­le­b­lower-Stel­len wen­den oder bei irrever­si­blen Schä­den, dro­hen­den kon­kre­ten Repres­sa­li­en und beim Aus­blei­ben einer zügi­gen Rück­mel­dung an die Medi­en. Damit ent­zieht sich eine sol­che Mel­dung der Kon­trol­le Ihrer Orga­ni­sa­ti­on und birgt ent­spre­chen­de Risi­ken (Image­scha­den, Buß­gel­der, Geld­stra­fen etc.)

Unser Part­ner Whist­le Safe e.K. stellt Ihnen eine Lösung vor, wie Sie in Ihrer Fir­ma oder Kom­mu­ne die recht­li­chen Anfor­de­run­gen der Whist­le­b­lower-Richt­li­nie mit­tels der gesetz­lich expli­zit vor­ge­se­he­nen exter­nen Unter­stüt­zung ele­gant und auch kos­ten­schlank lösen können.

Die Web­i­na­re (ca. 30 Minu­ten) fin­den statt:

10. Febru­ar 2022, 09:00 — 09:30 Uhr
18. Febru­ar 2022, 11:00 — 11:30 Uhr
24. Febru­ar 2022, 10:00 — 10:30 Uhr
15. März 2022, 11:00 — 11:30 Uhr

Bit­te nut­zen Sie den fol­gen­den Link zur Regis­trie­rung für einen Ter­min Ihrer Wahl:
https://​next​.edu​dip​.com/​d​e​/​w​e​b​i​n​a​r​/​w​h​i​s​t​l​e​b​l​o​w​i​n​g​-​r​i​c​h​t​l​i​n​i​e​-​h​i​n​w​e​i​s​g​e​b​e​r​s​c​h​u​t​z​g​e​s​e​t​z​-​p​r​a​g​m​a​t​i​s​c​h​-​u​m​g​e​s​e​t​z​t​-​m​i​t​-​w​h​i​s​t​l​e​-​s​a​f​e​/​1​7​6​8​122

Hin­weis: Die­se kos­ten­freie Ver­an­stal­tung zur Whist­le­b­lower-Richt­li­nie wird von Whist­le Safe e.K. Ber­lin durch­ge­führt, nicht von der a.s.k. Daten­schutz. Fra­gen rich­ten Sie daher bit­te direkt an info@​whistle-​safe.​com bzw. https://​whist​le​-safe​.com

Herz­li­che Grü­ße sowie ein fro­hes und vor allem gesun­des Neu­es Jahr 2022
Das Team von a.s.k. Datenschutz

E‑Privacy und der geleb­te Datenschutz

Am 04.11.2020 wur­de ein Ent­wurf für eine E‑Privacy Ver­ordnung von der EU-Rats­prä­si­dent­schaft den Mit­glieds­staa­ten vor­ge­legt. Die­sem zufol­ge sind die Ver­ar­bei­tung etwa von Stand­ort- und Zugriffs­da­ten /​ das Set­zen von cookies, die auf den End­ge­rä­ten von ‘visi­tors´ gespei­chert wer­den, unter dem pau­scha­len Ver­weis auf berech­tig­tes Inter­es­se und ohne fun­dier­te(re) Rechts­grund­la­ge nicht zuläs­sig. 

Aus­nah­men die­ser E-Priva­cy Aspek­te 

Für ver­tret­ba­re Ver­ar­bei­tun­gen, die aus Sicht der Ent­wer­fen­den ohne Rechts­grund­la­ge zuläs­sig blei­ben müssten, sind Erlaub­nis­tat­be­stän­de in den E‑Privacy Ent­wurf ein­ge­flos­sen. Hier kamen etwa IT-Sicher­heitfraud pre­ven­ti­onDirekt­wer­bung in Betracht. Auch für mes­sa­ging- und (ande­re) Tele­kom­mu­ni­ka­ti­ons­an­bie­ter ist die Ver­ar­bei­tung der Daten ihrer Nut­zer unter Ein­wil­li­gung wei­ter­hin eingeräumt. Wenn Inhal­te auf einer web­site unent­gelt­lich ange­bo­ten wer­den und die Finan­zie­rung des­sen über Wer­be­ban­ner erfolgt, dür­fe die Nut­zung durch die visi­tors wei­ter­hin an das Set­zen von coo­kies ohne Ein­wil­li­gung /​ Geneh­mi­gung gekop­pelt wer­den, soweit ihm ver­schie­de­ne Optio­nen mittels ‘prä­zi­ser Infor­ma­tio­nen´ auf­ge­zeigt wür­den. In sei­nem Bei­trag zu die­sem The­ma führt hei​se​.de ein Bei­spiel die­ser Pra­xis mit “Spie­gel Online” an, wonach man der Ver­ar­bei­tung sei­ner Daten im vor­ge­nann­ten Sin­ne nur durch Abon­ne­ment ent­ge­hen kön­ne. 

Inte­gri­tät und Vertraulichkeit

Im Fokus steht auch die mit der geplan­ten E‑Privacy Ver­ord­nung den Mit­glied­staa­ten ein­zu­räu­men­de Mög­lich­keit der ‘recht­mä­ßigen Über­wachung´ elek­tro­ni­scher Kom­mu­ni­ka­ti­on, d.h. Tele­kom­mu­ni­ka­ti­ons­an­bie­ter ent­spre­chend in die Pflicht zur Her­aus­ga­be von Stand­ort- und Ver­bin­dungs­da­ten neh­men zu kön­nen. Geset­zen zur Vor­rats­da­ten­spei­che­rung auf natio­na­ler Ebe­ne soll in bestimm­ten Gren­zen eben­falls Raum gege­ben wer­den. 

E‑Privacy und das Nut­zer­ver­hal­ten 

Hand aufs Herz — wer kennt die ‘do not track´ Funk­tio­na­li­tät und wer nutzt sie? Las­sen Sie es uns im Kom­men­tar­feld wis­sen und was Sie davon hal­ten. Der Ansatz, die Ver­ar­bei­tung von User­da­ten ein­zu­gren­zen schei­ter­te, u.a. weil Wer­be­indus­trie & Co. ihn nicht aner­kann­te. Wie kann man nur so gemein sein? 🙂 Auch in der vor­lie­gen­den E‑Privacy Ver­ord­nung in spe ist eine erset­zen­de oder ver­bes­sern­de Rege­lung nicht ent­hal­ten. Indes wur­de der EDSA (Euro­päi­scher Daten­schutz­aus­schuss) ersucht, ent­spre­chen­de Richt­li­ni­en sowie Empfehlungen zu fas­sen. 

Wei­te­re Aus­nah­men von dem Ein­wil­li­gungs­ge­bot könn­ten sich bei Waren­kör­ben, der im Hin­ter­grund ablau­fen­den Prü­fung der Iden­ti­tät von Per­so­nen bei online Trans­ak­tio­nen und zum Zwe­cke des Web­de­signs und der Wer­bung erge­ben. 

Die vor­ge­schla­ge­ne E‑Privacy Ver­ord­nung erstreckt sich auch auf das IoT über öffent­li­che Net­ze. Intel­li­gen­te Hab­se­lig­kei­ten wie medi­zi­ni­sche Gerä­te, Autos, Wasch­ma­schi­nen etc dür­fen auch wei­ter­hin in Daten­ver­ar­bei­tun­gen durch Anbie­ter invol­viert wer­den, ohne dass eine Ein­wil­li­gung /​ Kennt­nis des Besit­zers not­wen­dig wäre. Indes dür­fen die ‘Funk­tio­na­li­tä­ten´ der hard- und soft­wares nicht abge­än­dert wer­den. Das ist schon eine Beru­hi­gung, wenn man die Futura­ma Fol­ge kennt, in der die (Nutz-)Roboter rebellieren 😉 Lie­be Ver­schwö­rungs­theo­re­ti­ker — dies ist ein Scherz und bit­te nut­zen Sie die­sen nicht weiter. 

a.s.k. Daten­schutz erfolg­reich Infor­ma­ti­ons­si­cher­heit (ISMS) nach ISIS12 zertifiziert

Nach nur knapp 6 Mona­ten Ein­füh­rung eines Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tems, kurz ISMS wur­de das Team von a.s.k. Daten­schutz für die inves­tier­te Zeit und Ner­ven belohnt. Nach einem erfolg­rei­chen Vor-Ort-Audit Mit­te Okto­ber durch die DQS GmbH haben wir zum 31.10.2020 das Zer­ti­fi­kat über die erfolg­rei­che Ein­füh­rung und den nach­weis­li­chen Betrieb unse­res ISMS auf Basis des Stan­dards ISIS12 2.0 erhal­ten. Damit sind wir die ers­te Orga­ni­sa­ti­on, die im neu­en Kata­log 2.0 zer­ti­fi­ziert wur­de. Das freut uns natür­lich gleich noch etwas mehr.

Neben den rein for­ma­len Anfor­de­run­gen haben die­se 6 Mona­te auch eini­ge Ver­än­de­run­gen an Arbeits­pro­zes­sen und ein­ge­setz­ten Soft­ware­lö­sun­gen z.B. für den Bereich Mobi­le Device Manage­ment und Hard­ware-Ver­wal­tung mit sich gebracht. So konn­ten wir bereits die Pha­se der Ein­füh­rung zur wei­te­ren Ver­bes­se­rung der tech­ni­schen und orga­ni­sa­to­ri­schen Schutz­maß­nah­men nut­zen. Wei­te­rer Vor­teil: Der Nach­weis geeig­ne­ter tech­ni­scher und orga­ni­sa­to­ri­scher Maß­nah­men im Sin­ne von Art. 32 DSGVO wird durch die Zer­ti­fi­zie­rung deut­lich erleichtert.

ISIS12 (Infor­ma­ti­ons­si­cher­heit in 12 Schrit­ten) ist eine aus dem BSI IT-Grund­schutz abge­lei­te­te Vor­ge­hens­wei­se, wel­che es klei­nen und mitt­le­ren Orga­ni­sa­tio­nen ermög­licht, ein Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tem (ISMS) ein­zu­füh­ren und zu betrei­ben. a.s.k. Daten­schutz berät und unter­stützt seit vie­len Jah­ren zahl­rei­che Kom­mu­nen und Unter­neh­men bei Ein­füh­rung und Betrieb eines ISMS auf Basis von ISIS12, aber auch ande­rer Stan­dards wie dem BSI IT-Grund­schutz selbst. Für uns war es daher ein logi­scher Schritt, unse­ren Kun­den nicht nur gute Rat­schlä­ge zur Ein­füh­rung und Betrieb von ISIS12 zu geben und sie dabei zu beglei­ten, son­dern uns selbst die­sen Regu­la­ri­en zu unter­wer­fen und das Gan­ze auch mit Zer­ti­fi­zie­rung abzuschließen.

Nach­dem die ISIS12-Kata­log­rei­he 1.x  zu April 2022 abge­kün­digt wur­de, war es für uns selbst­ver­ständ­lich, den Nach­fol­ge-Kata­log 2.0 ein­zu­füh­ren. Die über­ar­bei­te­te Struk­tur sowie deut­li­che Aktua­li­sie­rung der Bau­stei­ne und Maß­nah­men im Kata­log 2.0 gegen­über den frü­her aus dem IT-Grund­schutz-Kata­log ent­nom­me­nen Ele­men­ten haben eine zügi­ge, nach­voll­zieh­ba­re und trans­pa­ren­te Ein­füh­rung sehr unterstützt.

Wir kön­nen daher aus eige­ner Erfah­rung nur emp­feh­len, neue Pro­jek­te gene­rell nur noch im Kata­log 2.0 zu star­ten bzw. vor­han­de­ne ISMS auf Basis der 1.x Kata­lo­ge bei nächs­ter pas­sen­der Gele­gen­heit umzu­stel­len. Die Upgrade-Pfa­de sind gut doku­men­tiert und für unse­re Kun­den haben wir wei­te­re Sys­te­ma­ti­ken zur ein­fa­chen Kon­ver­tie­rung entwickelt.

Wie sag­te unser Audi­tor so schön: “Nach dem Audit ist vor dem Audit!” Und so haben wir die letz­ten Tage bereits genutzt, um uns wei­ter­zu­ent­wi­ckeln. Denn in 12 Mona­ten müs­sen wir uns dem ers­ten Über­wa­chungs­au­dit (Ü1) stel­len und auch das wol­len wir mit einem sehr guten Ergeb­nis abschließen.

Das ISIS12 Zer­ti­fi­kat hat eine Gül­tig­keit von 3 Jah­ren und kann hier ein­ge­se­hen bzw. als PDF abge­ru­fen wer­den. Wenn Sie mehr über den Stan­dard ISIS12 erfah­ren wol­len, kön­nen Sie hier in unse­rem Blog oder auf der Web­sei­te des IT-Sicher­heits­clus­ters Regens­burg wei­te­re Details nachlesen.

Die mobile Version verlassen