Am 21.10.2015 findet das BVS Seminar “Rechtliche Aspekte der IT-Nutzung” in Nürnberg mit Sascha Kuhrau als Referenten statt. Das Seminar richtet sich an IT-Führungskräfte, Administratoren, Datenschutzbeauftragte, Personalreferenten und Betriebsräte, aber auch an Geschäftsführung / Organisationsleitung.
Inhalte sind unter anderem:
Juristische Konsequenzen von Schäden und Fehlverhalten
Schadenersatz und Haftung
Straf- und Bußgeldvorschriften
IT-Arbeitsrecht/Mitarbeiterdatenschutz
Privatnutzung von E‑Mail und Internet
IT-Protokollierung und Auswertung
Videoüberwachung
Heimarbeit
Bring your own device (BYOD)
Mitarbeiterfotos auf der Webseite
Einsichtnahme in persönliche E‑Mail-Konten und Ablagen
Legale Kontrollen und interne Ermittlungen
Internet-Recht
Rechtliche Risiken sozialer Medien
Impressum und Datenschutzerklärung
Auftragsdatenverarbeitung (IT-Outsourcing und Cloud Computing)
Die Veranstaltung findet im BVS Bildungszentrum Nürnberg statt. Beginn ist um 9.00 Uhr, Ende voraussichtlich um 16.30 Uhr. Referent ist Herr Sascha Kuhrau von a.s.k. Datenschutz. Ich freue mich auf Ihre Teilnahme.
Zur Anmeldung (Lehrgangsgebühr 170 Euro wird von der BVS erhoben)
Seit dem 06. August 2015 ist es offiziell — a.s.k. Datenschutz Sascha Kuhrau ist geprüfter und zertifizierter ISIS12-Berater.
Mit ISIS12 steht eine Systematik zur Einführung eines ISMS (Informationssicherheitsmanagementsystem) zur Verfügung, die in der Komplexität drastisch gegenüber dem BSI IT Grunschutzkatalog reduziert ist, ohne dabei in die Abstraktheit der ISO270001 Zertifizierung abzudriften.
Als ISIS12-Berater unterstütze ich Sie bei der Einführung und auf Wunsch Zertifizierung eines Informationssicherheitsmanagementsystems nach dem ISIS12 Standard.
Bayerische Kommunen können die Einführung mit bis zu 15.000 Euro fördern lassen. Voraussetzung ist die Unterstützung durch einen zertifizierten ISIS12-Berater wie a.s.k. Datenschutz Sascha Kuhrau. In Sachsen gibt es ein ISIS12 Förderprogramm für kleine und mittlere Unternehmen (KMU).
Sprechen Sie mich an, gerne stelle ich Ihnen ISIS12 persönlich vor.
Wir durften zu Gast sein auf der jüngsten AKDB Hausmesse in Würzburg am 09.07.2015. Unter dem Motto “Zukunft gestalten” informierten sich knapp 350 Besucher zu aktuellen kommunalen IT-Themen. Im Rahmen unseres Gastvortrages stellten wir die aktuelle Bedrohungslage in der IT-Sicherheit dar, sowie das notwendige Umdenken bei der Bekämpfung dieser Risiken für kommunale IT-Infrastrukturen dar. Auch in den anschließenden Gesprächen waren sich die Beteiligten einig: es ist keine Frage mehr des Ob, sondern nur noch des Wann es zu einem (erfolgreichen) Angriff auf die eigenen IT-Systeme kommt.
Informationssicherheit wird immer wichtiger. Diese kann heute eigentlich nur noch durch etablierte, funktionierende Informationssicherheitsmanagementsysteme (kurz ISMS) und IT-Servicemanagementprozesse gewährleistet werden. Wünscht man sich dabei noch ein Zertifikat am Ende des Weges, wird schnell der Ruf nach BSI IT Grundschutz oder der ISO 27001 laut. Doch sind diese für KMU oder auch Kommunalverwaltungen wirklich leistbar und geeignet? Gerade bei kleineren Mitarbeiterzahlen?
Seien wir ehrlich! Der BSI IT Grundschutz ist ein toller Werkzeugkasten, aber für eine Zertifzierung mit 4.800 Seiten Material in 5 dicken Ordnern kaum zu bewältigen. Greift man daher zur international bekannteren ISO 27001 reibt man sich ob des hohen Abstraktionslevels irritiert die Augen. Alternativen? Aber sicher.
Der IT-Planungsrat hat in einem Beschluss vom 18. März 2015 ISIS12 als ein praxistaugliches Vorgehen zur Einführung eines ISMS empfohlen. Dieses entspräche den Leitlinien für Informationssicherheit des Planungsrats. Vorausgegangen war ein entsprechendes Gutachten von Fraunhofer AISEC zu ISIS12 zur Anwendbarkeit von ISIS12 in der öffentlichen Verwaltung. In diesem wurde die Tauglichkeit für Verwaltungen mit bis zu 500 Mitarbeitern bestätigt.
a.s.k. Datenschutz, Sascha Kuhrau ist vom Bayerischen IT-Sicherheitscluster e.V. (dem Anbieter von ISIS12) für die Durchführung von Beratungsleistungen zur Einführung von ISIS12 in KMU und öffentlichen Verwaltungen zertifiziert.
ISIS12?
ISIS12 ist ein Verfahren, das die Einführung eines ISMS mit vergleichsweise geringerem Aufwand ermöglicht..
ISIS12 kann als Vorstufe zur Zertifizierung nach BSI IT-Grundschutz bzw. ISO/IEC 27001 dienen.
ISIS12 ist ein Informationssicherheitsmanagementsystem (ISMS), das über die Dauer eines Zyklus in 12 Verfahrensschritten eingeführt wird.
ISIS12 wurde speziell für kleinere Organisationen entwickelt.
Während des gesamten Prozesses stehen die speziell geschulten und zertifzierten ISIS12-Dienstleister beratend zur Seite.
Das leicht anwendbare und automatisierte ISIS12-Softwaretool unterstützt bei der Implementierung.
Ein spezielles ISIS12-Handbuch beschreibt alle Schritte explizit und klar verständlich.
Der ISIS12-Katalog wurde durch die radikale Reduzierung des BSI IT-Grundschutzkataloges der Zielgruppe — kleine und mittelständische Unternehmen und nun auch kommunale Verwaltungen — angepasst.
ISIS12 ist ein ISMS, speziell für kleinere Organisationen entwickelt, für die die Einführung der verbreiteten ISMS zu aufwändig wäre.
Wer den Weg zur Einführung eines ISMS beschritten und erfolgreich absolviert hat, kann sich am Ende mit einer Zertifizierung belohnen. Diese wird von der DQS GmbH ISIS12 Deutsche Gesellschaft zur Zertifizierung von Managementsystemen durchgeführt. Die Mühe soll sich ja gelohnt haben für alle Beteiligten.
Fördermittel für bayerische Kommunen
Bayerische Kommunen können für die Einführung eines ISMS nach ISIS12 Fördermittel erhalten. In einem ersten Programm werden folgende Leistungen gefördert:
Beratungsdienstleistungen bei der Implementierung von ISIS12
Schulungen und Sensibilisierungsmaßnahmen für Mitarbeiter
Erstzertifizierung des Managementsystems zur Informationssicherheit
Förderfähig sind nur solche Leistungen, die von fachkundigen, lizensierten IT-Dienstleistern wie a.s.k. Datenschutz erfolgen. Von der Förderung ausgeschlossen sind Ausgaben für den Erwerb von Hard- und Software, Betriebskosten sowie technische und bauliche Schutzmaßnahmen.
Gefördert werden bis zu 50% der förderfähigen Ausgaben, bis zu einer Summe von maximal 15.000 Euro (brutto inkl. MwSt.).
Wenn Sie sich zur Umsetzung entschieden haben, unterstützen wir Sie gerne bei der Antragstellung (diese muss vor der Auftragsvergabe erfolgen!) und selbstverständlich bei der erfolgreichen Einführung von ISIS12 in Ihrer Organisation.
Ende 2014 hat sich das Landratsamt Wunsiedel dem AKDB Check 250 von a.s.k. Datenschutz unterzogen. Vor dem Hintergrund stetig zunehmender Datenmengen in Kommunen und den technischen Herausforderungen für Datenschutz und Datensicherheit , aber auch angesichts der Fülle sich ändernder Gesetzeslagen ist es fast unmöglich, in allen Bereichen auf dem Laufenden zu bleiben.
„Die eigenen Verhältnisse mit den Bestimmungen des BSI-Grundschutzkataloges abzugleichen, ist eine Herkulesaufgabe“, so Walter Zimmet, IT-Leiter im Landratsamt. „Unsere IT-Abteilung kontrolliert sich selbstverständlich regelmäßig selbst“, sagt Landrat Karl Döhler. Doch aufgrund der zahlreichen Heraus- und Anforderungen im Datenschutz und in der Datensicherheit hat sich das Landratsamt Wunsiedel zur Durchführung des AKDB Check 250 durch a.s.k. Datenschutz entschieden. „Vom äußeren Blick eines unabhängigen Gutachters versprachen wir uns herauszufinden, wo wir bereits gut aufgestellt sind und wo noch Verbesserungsbedarf beherrscht.“
Im Rahmen eines eintägigen Workshops vor Ort wurden knapp 250 Prüfpunkte zu sicherheits- und datenschutzrelevanten Themen abgearbeitet. Im Nachgang wurden erste Schwachstellen beseitigt, noch bevor der finale Audit-Bericht vorlag. Das Ergebnis: überdurchschnittlich! „Es brachte uns eine gute Bewertung, fordert aber auch, ständig weiter an der Datensicherheit zu arbeiten“, fasst Landrat Karl Döhler das Ergebnis des Audits zusammen.
Haben auch Sie für Ihre Kommune Interesse an den AKDB Checks 250 oder 650? Dann sprechen Sie uns an. Selbstverständlich kann das Prüfschema auch auf nicht-bayerische Kommunen angewendet werden.
Lesen Sie hier den vollständigen Bericht auf Kommune21 oder laden Sie hier die PDF Version herunter
USB Sticks sind seit je her ein Sicherheitsrisiko. Schnell sind Daten kopiert und abgegriffen. Oder man kommt zurück von einem Außeneinsatz und hat sich dort einen Virus gefangen, der beim Anstecken an das Gast-System im internen IT Netz nun nur darauf wartet, sich zu übertragen.
Weitaus perfider kommt jetzt eine neue Variante daher. Ganz ohne Eingriffe mit Lötkolben & Co mutieren USB Sticks zu einem zur Zeit noch nicht wirkungsvoll bekämpfbaren Sicherheitsrisiko. Nur mittels einfacher SCSI Befehle umprogrammiert, gibt sich ein Standard USB Stick aus dem Ramschregal als USB Tastatur zu erkennen und führt dahinter seine Schadroutine aus. Das gemeine daran: USB Eingabegeräte sind von generellen Sperrungen der USB Ports meist aus Praktikabilitätsgründen ausgenommen. Doch weder das Gast-System noch Anti-Viren-Software ist in der Lage, das Risiko hinter der vermeintlichen Tastatur zu erkennen. Der Stick greift daher nun nicht nur alle Tastatureingaben ab, sondern kann seinen Schadcode direkt aus der Firmware auf das Gast-System und weitere angeschlossene USB Sticks verbreiten.
Im wahrsten Sinne des Wortes eine Virus-Infektion!
Da die Hersteller von USB Sticks hauptsächlich auf drei Controller(-hersteller) samt Firmware setzen, die allesamt ausgelesen und angreifbar sind, wird das Sicherheitsrisiko schwer einzufangen sein, sobald diese Lücke ausgenutzt wird. Noch wurde die Methode nur durch ein deutsches Forscherteam beschrieben und vorgeführt.
Die aktuelle DsiN Studie (Deutschland sicher im Netz) zeigt einen gefährlichen Hang zum Fatalismus in Unternehmen auf. Jedes vierte der befragten Unternehmen ergreift gar keine Sicherheitsmaßnahmen, obwohl das Thema Sicherheit als wichtig eingestuft wird. Bei den Themen wie Email-Verschlüsselung oder Passwörter ist ein Rückgang um 7 Prozentpunkte zu verzeichnen.
Laut den Autoren der Studie führt die fatalistische Einstellung, man könne sich gegen professionelle Spähmethoden wie die der NSA so oder so nicht schützen, zu dieser unguten Entwicklung. Es fehlen Sicherheitskonzepte, Mitarbeiter sind unzureichend oder gar nicht für die Themen sensibilisiert. Gleichzeitig steigen der Einsatz mobiler Geräte wie Smartphones (zumeist ohne Geräte- und / oder Email-Verschlüsselung) und Cloud-Nutzung.
Gefahr und Schadenspotential wird unterschätzt
Befragt wurden 1.500 Unternehmen mit bis zu 50 Mitarbeitern. Das Risikopotential wird bei den Befragten unterschätzt. Laut Bundeskriminalamt beläuft sich der Schaden durch Cyberangriffe auf Unternehmen auf 50 Milliarden Euro jährlich, Dunkelziffer nicht eingerechnet. Bei einer Million erfolgreicher Angriffe entspricht dies einem durchschnittlichen Schaden von 50.000 Euro pro Angriff. Ob diese Summe auch Kosten und Aufwendungen für Bußgelder oder das Wiederherstellen eines ramponierten Marken-Images beinhaltet, ist nicht bekannt.
Nach Einschätzung des Bundesinnenministers ist Datenschutz ein nicht zu unterschätzender Faktor. Jedoch während viele Bürger wenig Vertrauen in die Sicherheit ihrer Daten hätten, habe ein Teil des Mittelstands zu viel Vertrauen.
Doch es gibt eigentlich keinen Grund für diese Vogel Strauß Taktik. Fragen Sie doch einfach Ihren Datenschutzbeauftragten. Dieser hat das notwendige Rüstzeug, um diesen Anforderungen zu entsprechen und in Ihrem Unternehmen Datenschutz und Datensicherheit auf hohem Niveau umzusetzen. Sie haben keinen Datenschutzbeauftragten? Dann fragen Sie uns — a.s.k. Datenschutz.
Wir sind heute zu Gast als Referent auf einer Informationsveranstaltung für IT- und Geschäftsleiter der bayerischen Landratsämter, kreisfreien Städte und Bezirke der AKDB (Anstalt für kommunale Datenverarbeitung Bayern) in Regensburg.
Unser Thema “Praxischeck Datensicherheit: Schwachstellen und Risiken erkennen und bekämpfen — der BSI IT Grundschutzkatalog als Werkzeugkoffer”.
Wir freuen uns auf zahlreiche neue Kontakte, Diskussionen und Fragen.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI), Edgar Wagner, wird am 20. November 2013 seine neue Jugend-Homepage “www.youngdata.de” vorstellen. Es ist bundesweit die erste und bislang einzige Datenschutz-Homepage, die sich speziell an Jugendliche richtet.
Facebook, WhatsApp und Konsolen spielen in der Lebenswirklichkeit der jungen Onliner eine große Rolle. Häufig werden diese Angebote von Jugendlichen genutzt, ohne sich dabei über die anfallenden Daten und deren Verwendung Gedanken zu machen.
Die Seite “youngdata.de” erklärt Jugendlichen, warum Staat und Wirtschaft ein Interesse an persönlichen Daten haben, wie man sich schützen kann und schützen sollte. Die Website enthält konkrete Handlungsempfehlungen zum Selbstdatenschutz und bietet auch zahlreiches Informationsmaterial zur Thematik “Datenschutz im Zeitalter des Web.2.0”.
Am 20. November wird der LfDI die neue Website vorstellen, bevor sie dann offiziell freigeschaltet wird. Bei dieser Gelegenheit wird der LfDI auch die bildungspolitischen Erfordernisse aus Sicht des Datenschutzes darstellen. Die Verankerung des Datenschutzes als Teil der Medienkompetenz in den Lehrplänen und die Aufklärungsarbeit im Rahmen seiner Schüler-Workshops werden dabei eine wichtige Rolle spielen.
Presse ist laut Meldung vom 30.10.2013 herzlich eingeladen, am Mittwoch, dem 20. November 2013 um 10:00 Uhr in den Räumlichkeiten des LfDI, Hintere Bleiche 34, 55116 Mainz an der Vorstellung der neuen Jugendhomepage teilzunehmen.
Weitere Informationen
Pressemeldung LfDI
Aktuelles Angebot für Schulen und Jugendliche des LfDI
Initiatve “Datenschutz geht zur Schule” des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e.V
Jeder kennt es, nicht jeder mag es — das marktbeherrschende Betriebssystem Windows von Microsoft. Aufgrund seiner Verbreitung und seiner Architektur weist es zahlreiche Schwachstellen auf. Somit ist es ein beliebtes Ziel von Angriffen.
Um so mehr sind Administratoren gefordert, Einzel– oder Gruppen-PCs mittels lokaler oder Domain-Richtlinie weitestgehend „abzudichten“. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat hierzu vor geraumer Zeit einige Empfehlungen herausgegeben.
Mehr Services = mehr Bedrohungen
Viele nützliche und wichtige Dienstleistungen – wie Online-Banking, E‑Commerce, E‑Government etc. – werden heute über das Internet genutzt. In Zukunft wird sich die Anzahl der angebotenen Online-Services weiter erhöhen. Hinzu kommt der verstärke Einsatz neuer mobiler Endgeräte (Smartphones und Tablets), mit denen diese Dienstleistungen genutzt werden können.
Das Risiko steigt
Logische Konsequenz der verstärkten Nutzung und der immer komplexeren Software-Architektur ist ein steigendes Bedrohungsrisiko für Endgeräte, aber auch ganze Unternehmensnetzwerke.
Mit Standards Grundsicherung gewährleisten
Von daher ist es nur ein logischer Schritt des BSI, aktuelle Empfehlungen auszusprechen, wie die Sicherheit der IT-Systeme und der darauf gespeicherten Daten gewährleistet werden kann.
Sicherheit in jeder Phase
Das BSI geht bei seinen Empfehlungen von den vier typischen Lebenszyklen eines PC aus:
Kauf
Installation und Inbetriebnahme
laufender Betrieb und
Entsorgung und Vernichtung.
Kauf des Systems
Bereits bei der Anschaffung sollte auf aktuelle Hardware und Software geachtet werden. Das BSI empfiehlt Windows 7 auf einer 64-bit CPU. Ein aktuelles Virenschutzprogramm (client– und serverseitig) ist absolutes Muß. Weitere Anwendungen und Backup-Möglichkeiten sollten in die Kaufentscheidung einfließen.
Installation und Inbetriebnahme
Einfach Anschließen und Loslegen ist heutzutage eigentlich nicht mehr üblich. Für die erste Inbetriebnahme hat das BSI zahlreiche Themen aufgegriffen, die es zu beachten gilt. Da wären Firewall, Verschlüsselung der Festplatten, automatisches Einspielen von Sicherheitsupdates (oder zumindest kontrolliert zeitnah), Konfiguration von Browser und Email-Programm (HTML Emails stellen eine Gefährdung dar), Benutzerkonten, Systemwiederherstellung, aber auch Aufschalten auf Router und WLAN.
Der laufende Betrieb
Neben den „big points“ wie Backups, Aktualisierungen oder auch Passwörter steht gleichberechtigt die Sensibilisierung und Schulung von Mitarbeiter für Bedrohungen und den richtigen Umgang mit Web 2.0 und Social Media.
Entsorgung
Auch die letzte Lebensphase benötigt Aufmerksamkeit wie z.B. das datenschutzkonforme Löschen von Daten.
Sie sind gefordert
Ein Ignorieren dieser grundlegenden amtlichen Empfehlungen kann Ihnen unter Umständen als grobe Fahrlässigkeit vorgehalten werden.