Pro Kontra

Wir freu­en uns immer wie­der, dass unse­re kos­ten­freie “Check­lis­te TOM Auf­trags­ver­ar­bei­tung nach Art. 28 + 32 DSGVO — tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men” so tol­len Anklang fin­det. Und wir freu­en uns auch über das regel­mä­ßi­ge Feed­back dazu per Email oder in den Kom­men­ta­ren auf unse­rer Web­sei­te. Wenn Fra­gen und Anmer­kun­gen dazu per Email bei uns auf­schla­gen, sind die­se samt unse­rer Erwi­de­run­gen dazu nicht auf der Web­sei­te für ande­re Nut­zer der Check­lis­te sicht­bar. Daher grei­fen wir hier ein­fach mal ein paar Punk­te auf:

“Die Check­lis­te umfasst gar nicht alle unse­re inter­nen tech­ni­schen und orga­ni­sa­to­ri­schen Schutzmaßnahmen.”

Nun, dafür sind die Frei­fel­der da, in die man wei­te­re vor­han­de­ne Schutz­maß­nah­men ein­tra­gen kann. Auch das am Ende eines jeden Abschnitts befind­li­che Frei­t­ext­feld kann für wei­te­re Auf­zäh­lun­gen oder Beschrei­bun­gen ver­wen­det werden.

“Die Check­lis­te TOM Auf­trags­ver­ar­bei­tung ent­hält eini­ge Maß­nah­men, die es bei uns gar nicht gibt.”

Das ist ja nicht schlimm. Im Zwei­fel las­sen Sie die­se ein­fach leer. Oder noch bes­ser: Da die­se Maß­nah­men sich ja in der Brei­te und ganz unab­hän­gig von den unter­schied­li­chen Orga­ni­sa­ti­ons­for­men bewährt haben, könn­ten Sie ja auch über­le­gen, ob die­se nicht bei Ihnen umge­setzt bzw. ein­ge­führt wer­den soll­ten. Nur so als Idee …

“Wäre es nicht hilf­reich, wenn die genann­ten Schutz­maß­nah­men gleich die kon­kre­ten Bau­stei­ne und Anfor­de­run­gen aus dem IT-Grund­schutz bzw. con­trols und objec­ti­ves aus der ISO 27001 referenzieren?”

Ja. 🙂 Da die Stan­dards jedoch kon­ti­nu­ier­li­chen Anpas­sun­gen unter­lie­gen, müss­te die Check­lis­te regel­mä­ßig auf mög­li­che Ände­run­gen in den ISMS-Stan­dards aktua­li­siert wer­den. Die Idee neh­men wir ger­ne auf, kön­nen aber eine Umset­zung in der Zukunft nicht versprechen.

“Der für uns (eine Behör­de) zustän­di­ge Lan­des­da­ten­schutz­be­auf­trag­te ver­neint die Ver­pflich­tung auf die Ver­trau­lich­keit, da es ja das Dienst­ge­heim­nis gibt! Wie­so steht das dann in der Checkliste?”

A) Weil es dazu auch ande­re Sicht­wei­sen gibt und b) die Check­lis­te sich nicht auf den Ein­satz in Behör­den beschränkt (Grü­ße vom Tellerrand 😉 )

Und selbst wenn man sich die­ser Sicht­wei­se der Auf­sichts­be­hör­de anschließt, könn­te man die schrift­li­che Ver­pflich­tung am Ende eines doku­men­tier­ten und gere­gel­ten Ein­ar­bei­tungs­pro­zess als Beleg für die kor­rek­te Durch­füh­rung des Pro­zes­ses nut­zen. Ein­ar­bei­tungs­pro­zess bedeu­tet übri­gens nicht, dem Mit­ar­bei­ter hun­der­te Sei­ten Richt­li­ni­en und Anwei­sun­gen (alter­na­tiv einen pau­scha­len Ver­weis auf alle vor­han­de­nen Richt­li­ni­en im Intra­net) auf den Tisch zu legen und sich die Kennt­nis­nah­me und Ein­hal­tung im sel­ben Moment bestä­ti­gen zu las­sen 🙂 Dazu sei ange­merkt, dass die Auf­sichts­be­hör­den auch erst mal nur eine Mei­nung ver­tre­ten, die weder Pflicht noch Gesetz ist. Man kann und darf auch ande­rer Mei­nung sein, zumin­dest wenn es gute Grün­de dafür gibt. Und die gibt es durch­aus gar nicht so selten 😉

“Wird die Check­lis­te TOM Auf­trags­ver­ar­bei­tung weiterentwickelt?”

Ja, klar. Wir haben dafür aller­dings kein fes­tes Update-Inter­vall vor­ge­se­hen. Aber allei­ne die aktu­el­le Ver­si­ons­num­mer 3.1 zeigt ja auf, dass die Lis­te “lebt”.

“Kann man die Check­lis­te kaufen?”

Nö. Aber sie steht ja zur Nut­zung im defi­nier­ten Umfang zur Ver­fü­gung. Wenn Sie die­se “bran­den” wol­len, kön­nen Sie uns ger­ne ansprechen.

 

Projekt Zahnräder verzahnen

Daten­schutz­ma­nage­ment — Cha­os oder System

Unse­re Kun­den wis­sen es (hof­fent­lich), wie wir Daten­schutz “mana­gen” in der Zusam­men­ar­beit mit ihnen. Inter­es­sen­ten, aber auch Kol­le­gin­nen und Kol­le­gen aus der Bran­che fra­gen jedoch durch­aus mal nach. “Wie macht ihr das mit dem das mit dem Daten­schutz­ma­nage­ment mit euren Kun­den bei der a.s.k. Daten­schutz als exter­ne Datenschutzbeauftragte?”

Glück­li­cher­wei­se haben nur weni­ge Inter­es­sen­ten bzw. poten­ti­el­le Kun­den bereits eine wie auch immer gear­te­te Daten­schutz-Soft­ware von der Stan­ge. Nicht, weil die­se gene­rell unbrauch­bar wären, aber in der Zusam­men­ar­beit intern /​ extern meist doch eher sub­op­ti­mal. Auch wenn sich lang­sam die eine oder ande­re Cloud-Lösung dar­un­ter befin­det, so lau­fen die­se Anwen­dun­gen meist on pre­mi­se, sprich auf den Sys­te­men des Kun­den. Für uns Exter­ne hie­ße dies, eine Viel­zahl an VPN-Cli­ents und Zugangs­lö­sun­gen auf allen Gerä­ten des a.s.k.-Teams ein­zu­rich­ten und zu pfle­gen. Ein beacht­li­cher Auf­wand. Und es soll sogar Orga­ni­sa­tio­nen geben, die einen Fern­zu­griff auf inter­ne Sys­te­me kom­plett unter­sa­gen. Von daher auch nicht optimal.

Hin­zu kommt, dass wir ja nicht nur als exter­ne Daten­schutz­be­auf­trag­te arbei­ten, son­dern auch im Bereich Infor­ma­ti­ons­si­cher­heit tätig sind. Hier sind u.a. auf­grund zeit­li­cher Vor­ga­ben (wie z.B. För­der­mit­tel­fris­ten) eine sys­te­ma­ti­sche Pro­jekt­lei­tung und ein enges Füh­ren der zu erle­di­gen­den Auf­ga­ben kri­ti­sche Erfolgsfaktoren.

Eine Platt­form für (fast) alles, nicht nur für Daten­schutz­ma­nage­ment muss her

Also haben wir uns vor über 10 Jah­ren auf die Suche nach der eier­le­gen­den Woll­milch­sau oder — wie wir hier in Fran­ken sagen — der bier­brau­en­den Schäu­f­ele­kloss­kuh gemacht. Zwin­gen­de Vor­aus­set­zun­gen waren:

  • Ein­fa­cher Zugang sowohl für unse­re Kun­den als auch uns
  • Leich­te Ver­ständ­lich­keit und Bedienbarkeit
  • Hohes Maß an Sicher­heit (u.a. Ver­schlüs­se­lung nicht nur bei Bewegt­da­ten, son­dern auch im Ruhezustand)
  • Zwei-Fak­tor-Authen­ti­fi­zie­rung für alle Nut­zer admi­nis­tra­tiv Pflicht (sonst kein Zugang /​ Zugriff)
  • Fle­xi­ble Ein­setz­bar­keit für unse­re Themen

Dabei soll­te es stets mög­lich sein, vor­ge­fer­tig­te Inhal­te mit unse­ren Kun­den gemein­sam bear­bei­ten zu kön­nen, ein­fach neue Inhal­te ergän­zen zu kön­nen und bei Pro­jek­ten auch das Zeit­ma­nage­ment im Blick haben zu kön­nen. Und das Gan­ze ohne stun­den­lan­ge Ein­füh­run­gen, Schu­lun­gen oder Handbuchwälzerei.

Je mehr wir uns im Markt umge­se­hen und Tools getes­tet haben, des­to grö­ßer wur­den dann auch unse­re Ansprüche 🙂

  • Doku­men­ten­ma­nage­ment (zumin­dest Ver­sio­nie­rung) wäre nicht verkehrt.
  • Auto­ma­ti­sche Wie­der­vor­la­gen z.B. für regel­mä­ßi­ge TOM-Nach­prü­fun­gen bei Auf­trags­ver­ar­bei­tern ein Gedicht.
  • Doku­men­ta­ti­on (auch im Zuge der Nach­weis­bar­keit und Beleg­bar­keit) von Dis­kus­sio­nen zu Fra­gen von Kun­den an zen­tra­ler Stel­le statt stun­den­lan­ger Recher­ché in zahl­rei­chen Post­fä­chern (gera­de bei Mit­ar­bei­ter­wech­seln eine Pest).
  • Über­sicht­li­che Dar­stel­lung erle­dig­ter und noch offe­ner ToDos, einer­seits zur Moti­va­ti­on der Betei­lig­ten, aber auch zur Erleich­te­rung des Berichtswesens.
  • Bear­bei­ten und Doku­men­tie­ren von Betrof­fe­nen­an­fra­gen und Daten­schutz­ver­let­zun­gen mit ein­fa­cher Mög­lich­keit des Löschens nach abge­lau­fe­ner Aufbewahrungsfrist.
  • Und … und … und … unse­re Wunsch­lis­te wur­de immer länger.

Ja, stimmt. Zahl­rei­che der im Markt erhält­li­chen Tools für Daten­schutz­ma­nage­ment kön­nen das irgend­wie, teil­wei­se oder gänz­lich. Irgend­ei­ne Krö­te muss man aber doch schlu­cken. Und man erhält “Daten­schutz von der Stan­ge”. Und sie kön­nen halt meist auch “nur” Daten­schutz. Die Steue­rung eines ISMS auf Basis des BSI IT-Grund­schutz oder ande­rer Stan­dards als exter­ner Pro­jekt­lei­ter ist damit sel­ten zu stem­men. Von ande­ren Auf­ga­ben in unse­rem Arbeits­all­tag ganz zu schwei­gen. Und für alles ein jeweils ande­res Tool ein­zu­set­zen, ist am Ende auch kei­ne Lösung.

Vor vie­len Jah­ren die Lösung: Daten­schutz­ma­nage­ment via Stackfield

Und dann haben wir nach län­ge­rer Suche vor vie­len Jah­ren unse­re bier­brau­en­de Schäu­f­ele­kloss­kuh gefun­den. Die Münch­ner Stack­field GmbH hat­te mit dem Pro­dukt Stack­field eine Alter­na­ti­ve zu Trel­lo (einem bekann­ten US-Kan­ban-Board) am Start und sowohl das vor­han­de­ne Pro­dukt als auch die wei­te­re Road­map waren viel­ver­spre­chend. Und den Ein­satz als zen­tra­les Sys­tem für Daten­schutz­ma­nage­ment für unse­re Kun­den und uns, aber auch als Pro­jekt­ma­nage­ment-Tool haben wir seit­her kei­ne Sekun­de bereut. Auf­grund der kon­ti­nu­ier­li­chen Wei­ter­ent­wick­lung des Pro­dukts sind mitt­ler­wei­le noch zahl­rei­che Fea­tures hin­zu­ge­kom­men, die wir nicht auf unse­rer Lis­te hat­ten, die aber den Arbeits­all­tag in der Zusam­men­ar­beit mit unse­ren Kun­den noch wei­ter erleich­tern. Direk­te ver­schlüs­sel­te Chat-Funk­ti­on, Video­kon­fe­ren­zen (geplant oder adhoc) inner­halb der Pro­jekt­um­ge­bung ohne sepa­ra­tes Tool, Wis­sens­ma­nage­ment und noch so vie­les mehr. Aus unse­rem Arbeits­all­tag ist Stack­field nicht mehr weg­zu­den­ken. Auch abseits der Zusam­men­ar­beit mit Kun­den ist Stack­field für rein inter­ne a.s.k.-Angelegenheiten ein eben­so wich­ti­ges Instru­ment gewor­den. Auf den ers­ten Blick mag Stack­field einem wie ein Auf­ga­ben-/Pro­jekt­ma­nage­ment-Tool unter vie­len erschei­nen. Doch unter der Hau­be steckt noch sehr viel mehr.

Doch bevor wir das nun lang und breit erklä­ren und damit den Umfang die­ses Bei­trags spren­gen wür­den: Der geschätz­te Ste­phan Han­sen-Oest, auch bekannt als “Daten­schutz-Guru” (selbst wenn er das so nicht hören mag, er ist einer) hat vor eini­ger Zeit einen Video­cast mit uns zu dem The­ma “Stack­field als DSMS” gemacht. Unter dem Titel “So arbei­ten Daten­schutz­be­auf­trag­te — a.s.k. Daten­schutz” kann sich jeder, der mag, wei­te­re Details zur Ein­satz­wei­se die­ser Lösung anschau­en , die nicht von der Stan­ge kommt. Viel Spaß beim Schauen!

Und bevor jemand fragt: Nein, die­ser Bei­trag ist kein Wer­be­bei­trag und nicht gespons­ort. Wir erhal­ten auch kei­ne Ver­güns­ti­gun­gen oder Kick­backs irgend­ei­ner Art. Wir sind ein­fach von dem Tool so begeis­tert, dass wir dar­über berich­ten wollten.

Checkliste

Check­lis­te Daten­schutz im Home-Office

Ob Coro­na nun vor­über ist oder nicht, dar­über sol­len sich ande­re strei­ten. Was jedoch in vie­len Orga­ni­sa­tio­nen nicht vor­über ist, ist das The­ma Home-Office. Zu Beginn der Pan­de­mie von dem einen oder ande­ren Arbeit­ge­ber mög­li­cher­wei­se nur als Work­around gedacht, ist das Home-Office gekom­men, um zu blei­ben. Da vie­le Orga­ni­sa­tio­nen auf das The­ma über­haupt nicht vor­be­rei­tet waren (Stich­wort Not­fall­ma­nage­ment Unter­punk­te Pan­de­mie und Per­so­nal­aus­fall 🙂 ),  muss­te es 2020 schnell gehen. Inte­rims­lö­sun­gen bzw. Not­nä­gel wur­den geschaf­fen, Haupt­sa­che erst mal arbeits­fä­hig sein. Daten­schutz und Infor­ma­ti­ons­si­cher­heit stan­den dabei nicht immer so im Fokus, wie es den tech­ni­schen und orga­ni­sa­to­ri­schen Risi­ken durch Home-Office ange­mes­sen gewe­sen wäre. Umso wich­ti­ger ist es nun, sich in der aktu­el­len Ver­schnauf­pau­se dem The­ma aus Sicht des Daten­schut­zes und der Infor­ma­ti­ons­si­cher­heit sys­te­ma­tisch zu nähern. Dabei gilt es, mög­li­cher­wei­se schon vor­han­de­ne Schutz­maß­nah­men und Aspek­te zur Risi­ko­ver­mei­dung auf Wirk­sam­keit zu prü­fen, aber auch noch bestehen­de orga­ni­sa­to­ri­sche und tech­ni­sche Schwach­stel­len zu iden­ti­fi­zie­ren und zu besei­ti­gen. Wir haben unse­ren Kun­den im Zuge der gera­de durch­star­ten­den Pan­de­mie im Früh­jahr 2020 eine Check­lis­te Daten­schutz im Home-Office erstellt und zur Ver­fü­gung gestellt. Damit konn­te zumin­dest schon mal grob geprüft wer­den, ob die wich­tigs­ten Aspek­te in all dem Drun­ter und Drü­ber berück­sich­tigt wur­den. Und wer uns kennt, der weiß, wir haben dabei nicht nur um das gol­de­ne Kalb Daten­schutz getanzt, son­dern das The­ma gesamt­or­ga­ni­sa­to­risch beleuch­tet. Von daher sind in der Check­lis­te Daten­schutz im Home-Office auch grund­le­gen­de Anfor­de­run­gen der Infor­ma­ti­ons­si­cher­heit ent­hal­ten, die sin­ni­ger­wei­se kei­ne Unter­schei­dung zwi­schen Per­so­nen­be­zug oder nicht machen, son­dern gene­rell das Schutz­ni­veau für Infor­ma­tio­nen aller Art ver­bes­sern. Klar durf­te dann auch das The­ma Schu­lung und Sen­si­bi­li­sie­rung von Mit­ar­bei­tern nicht feh­len. Auch wenn es die eine oder ande­re Orga­ni­sa­ti­ons­lei­tung oder Füh­rungs­kraft nervt 😉

Sys­te­ma­tik der Check­lis­te Daten­schutz im Home-Office

Zu Beginn gab es nur eine Check­lis­te für alle uns in den Sinn gekom­me­nen Prüf­punk­te und Anfor­de­run­gen aus Sicht des Daten­schut­zes und der Infor­ma­ti­ons­si­cher­heit. Prüf­punk­te waren bzw. sind:

  • Hard­ware-Ein­satz (Gestel­lung oder BYOD)
  • Anfor­de­run­gen an den Arbeits­platz zuhause
  • Umgang mit Papierdokumenten
  • Ein­satz von Videokonferenzsystemen
  • Gene­rel­le Anfor­de­run­gen tech­ni­sche Sicherheit
  • Nut­zung von Cloud-Diens­ten z.B. Datei­ab­la­ge oder Kollaborationstools
  • Nut­zung von Messengern
  • All­ge­mei­ne orga­ni­sa­to­ri­sche Anfor­de­run­gen (Rege­lun­gen, Richt­li­ni­en, Schu­lung, Ein­wei­sung etc.)

Dar­in waren sowohl Anfor­de­run­gen für Daten­schutz im Home-Office auf Arbeit­ge­ber­sei­te, aber auch aus Sicht des Arbeit­neh­mers im eige­nen Zuhau­se ent­hal­ten.  Schnell haben wir erkannt, dass dies nicht prak­ti­ka­bel ist und aus einer Check­lis­te Daten­schutz im Home-Office zwei sepa­ra­te Lis­ten gebas­telt. Es gibt daher nun die Check­lis­te Daten­schutz im Home-Office aus Sicht

  • des Arbeit­ge­bers und
  • des Arbeit­neh­mers.

Check­lis­te Home-Office für Arbeitgeber

Die­se etwas umfang­rei­che­re Check­lis­te für den Arbeit­ge­ber befasst sich inten­siv mit den Anfor­de­run­gen an und Vor­aus­set­zun­gen für tech­ni­sche und orga­ni­sa­to­ri­sche Sicher­heit, die der Arbeit­ge­ber sicher­stel­len bzw. erst mal schaf­fen muss, damit im Home-Office daten­schutz­kon­form und aus Sicht der Infor­ma­ti­ons­si­cher­heit “sicher” gear­bei­tet wer­den kann. Dar­in sind u.a. auch Punk­te wie die Auf­trags­ver­ar­bei­tung nach Art. 28 DSGVO für exter­ne Cloud-Ser­vices und auch admi­nis­tra­ti­ve Vor­ein­stel­lun­gen auf Sei­ten der genutz­ten Tech­ni­ken ent­hal­ten, die für den Arbeit­neh­mer bei sei­ner Tätig­keit im Home-Office jetzt eher weni­ger span­nend bzw. von Inter­es­se sind.

Mit­tels der Check­lis­te Daten­schutz im Home-Office kann schnell und ein­fach durch den Arbeit­ge­ber geprüft wer­den, ob

  • die wich­tigs­ten (tech­ni­schen) Vor­aus­set­zun­gen für siche­res Arbei­ten im Home-Office geschaf­fen sind,
  • die recht­li­chen Anfor­de­run­gen aus Sicht der DSGVO (wie Auf­trags­ver­ar­bei­tung) berück­sich­tigt sind,
  • alles ordent­lich gere­gelt, doku­men­tiert und für alle Betei­lig­ten leicht ver­ständ­lich beschrie­ben ist sowie
  • die Mit­ar­bei­ter aus­rei­chend ein­ge­wie­sen und sen­si­bi­li­siert sind.

Wo ein Haken in der Check­lis­te fehlt, besteht im Zwei­fel noch Hand­lungs­be­darf. Auch jetzt noch, 2 Jah­re später 😉

Check­liste­Home-Office für Arbeitnehmer

Die­se deut­lich kür­ze­re Check­lis­te befasst sich mit den Aspek­ten, die im Home-Office auf Sei­ten des Arbeit­neh­mers erfüllt sein soll­ten. Mit­tels der Prüf­punk­te kann der Mit­ar­bei­ter che­cken, ob er “rea­dy to go” ist im Home-Office und auch auf sei­ner Sei­te die Vor­aus­set­zun­gen für einen siche­ren und daten­schutz­kon­for­men Ein­satz im Home-Office gewähr­leis­tet sind. Mög­li­cher­wei­se erge­ben die Prüf­punk­te jedoch auch, dass noch es noch an gewis­sen Unter­stüt­zungs­maß­nah­men sei­tens des Arbeit­ge­bers fehlt. Die­se kön­nen anhand der Check­lis­te iden­ti­fi­ziert, pro­to­kol­liert und an den Arbeit­ge­ber mit der Bit­te um Erle­di­gung gesen­det wer­den. Gleich­zei­tig dient die Check­lis­te für Arbeit­neh­mer als klei­ne Gedan­ken­stüt­ze für die not­wen­di­gen Sicher­heits­maß­nah­men im Home-Office, die der Arbeit­neh­mer nicht nur ein­ma­lig, son­dern über die gan­ze Zeit im Home-Office sicher­stel­len sollte.

Wei­te­rer Bene­fit der Checklisten

Neben der Selbst­über­prü­fung, ob an alles Wich­ti­ge und Not­wen­di­ge für einen siche­ren und daten­schutz­kon­for­men Ein­satz im Home-Office gedacht wur­de, ist die Zwei­tei­lung auch noch für etwas ande­res gut. Cle­ve­re Kun­den von uns haben die Check­lis­te Daten­schutz im Home-Office für Arbeit­neh­mer von Ihren Mit­ar­bei­tern früh­zei­tig aus­fül­len las­sen, um fest­zu­stel­len, was gene­rell vom Arbeit­ge­ber geschaf­fen /​ gestellt wer­den muss, damit Home-Office über­haupt erst sicher mög­lich ist. Im zwei­ten Schritt haben sie sich nach dem Roll­out der Home-Offices über die Check­lis­te für Arbeit­neh­mer durch den Mit­ar­bei­ter noch mal pro­to­kol­lie­ren las­sen, dass jetzt soweit alles zuhau­se im Home Office “passt”. Das Gan­ze natür­lich erst mal nach ent­spre­chen­der Ein­wei­sung und Schu­lung. Ver­steht sich von selbst 🙂

Vor­teil: Als Arbeit­ge­ber bzw. ver­ant­wort­li­che Stel­le kann man damit gleich sehr schön bele­gen, sei­nen Sorg­falts­pflich­ten auch außer­halb der eige­nen Räum­lich­kei­ten Genü­ge getan zu haben.

Down­load der Check­lis­te Daten­schutz im Home-Office

Wer uns etwas näher kennt, weiß von unse­rer Aus­bil­dungs­tä­tig­keit an der Baye­ri­schen Ver­wal­tungs­schu­le für Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te. Im Nach­gang sind alle Teil­neh­mer herz­lich ein­ge­la­den am kos­ten­frei­en ISB Pra­xis-Forum als Aus­tausch­platt­form im All­tag von Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten teil­zu­neh­men. Da kam die Fra­ge auf, ob es nicht für das The­ma Home-Office geeig­ne­te Prüf­lis­ten gäbe oder ob man die­se gemein­sam ent­wi­ckeln wol­le. Was liegt also näher, als die schon vor­han­de­nen Check­lis­ten aus unse­rem Fun­dus in leicht über­ar­bei­te­ter Ver­si­on für alle zur Ver­fü­gung zu stel­len, bevor sich jeder ein­zeln die Mühe macht. Zeit ist zu wertvoll.

Unse­re Bit­te: Die bei­den Check­lis­ten erhe­ben kei­nen Anspruch auf Voll­stän­dig­keit oder Kor­rekt­heit. Wer also Anre­gun­gen und Ergän­zun­gen zur Wei­ter­ent­wick­lung oder Kor­rek­tur hat, immer her damit. Und es gilt “fair use”. Die­se Vor­la­ge kann daher ger­ne in der Pra­xis von Orga­ni­sa­tio­nen genutzt und ver­än­dert wer­den. Wir möch­ten jedoch nicht, dass sie ohne unse­re Zustim­mung auf ande­ren Inter­net­sei­ten als Mus­ter zum Down­load ange­bo­ten wird oder sich irgend­wann in einem Fach­buch wie­der­fin­det. Haf­tung: Die Check­lis­ten stel­len ledig­lich einen Vor­schlag dar. Es wird kei­ne Haf­tung für Schä­den durch die Ver­wen­dung übernommen.

Check­lis­te Daten­schutz im Home-Office für Arbeitgeber
Check­lis­te Daten­schutz im Home-Office für Arbeitnehmer

 

Schutzschild

Alle Jah­re wie­der, so auch heu­te zum 01.02.2022 hallt es aus diver­sen Nach­rich­ten­ka­nä­len “Leu­te, ändert regel­mä­ßig euer Pass­wort. Bei­spiels­wei­se heu­te, am sog. Ände­re-Dein-Pass­wort-Tag.” Nun, kann man machen, ist aber nicht unbe­dingt sinn­voll. In Blog­bei­trä­gen 2016 (aktua­li­siert 2018: “Über Bord mit ver­al­te­ten star­ren Pass­wort-Richt­li­ni­en”), 2017 (“Ände­re-Dein-Pass­wort-Tag: Über Sinn und Unsinn des regel­mä­ßi­gen Pass­wort­wech­sels”) und 2018 (Update 2020: “„Ich bereue den Pass­wort-Wahn­sinn“ – weg mit den Pass­wort Mythen”) haben wir uns mit die­ser For­de­rung zum regel­mä­ßi­gen Pass­wort­wech­sel aus­ein­an­der­ge­setzt und sind dabei — wie seit 2017 die NIST (Natio­nal Insti­tu­te of Stan­dards and Tech­no­lo­gy) als eigent­li­cher Ver­ur­sa­cher die­ser “Ange­wohn­heit” — zu einem ande­ren Schluss gekom­men: Fin­ger weg vom regel­mä­ßi­gen Pass­wort­wech­sel. Lie­ber Zwei-Fak­tor-Authen­ti­fi­zie­rung (2FA) ein­rich­ten. War­um und wie­so? Lesen Sie hier.

War­um bzw. wann soll­te ich ein Pass­wort über­haupt ändern bzw. wechseln?

“Na, das ist doch sicher!” — “Und das haben wir ja schon immer so gemacht!” — Und im Zwei­fel ver­langt es auch noch die Pass­wort-Richt­li­nie des einen oder ande­ren Unter­neh­mens oder auch der Behör­de. Doch sind das wirk­lich gute und belast­ba­re Grün­de für einen Pass­wort­wech­sel? Mög­lichst noch in Inter­val­len von 30–90 Tagen? Und für jedes Log­in noch ein ande­res Pass­wort? Ende vom Lied: Pass­wör­ter wer­den alpha­be­tisch oder nume­risch hoch­ge­zählt oder schlimms­ten­falls auf­ge­schrie­ben, abge­legt unter dem Schreib­tisch­scho­ner. Das ist natür­lich rich­tig sicher 🙂

Doch es gibt in der Tat wirk­lich 3 gute Grün­de, das Pass­wort zu ändern:

  1. Das Pass­wort wur­de aus­ge­späht, zumin­dest besteht der Verdacht.
  2. Das Pass­wort wur­de unnö­ti­ger­wei­se einer Kol­le­gin oder einem Kol­le­gen bekannt­ge­ge­ben, obwohl dazu tech­nisch nor­ma­ler­wei­se gar kein Grund besteht.
  3. Es han­delt sich um ein Initia­li­sie­rungs­pass­wort, das nach der Nut­zung durch das eigent­li­che Pass­wort ersetzt wer­den muss.

Und Ende der Aufzählung.

Bes­ser: Zwei-Fak­tor-Authen­ti­fi­zie­rung (2FA) akti­vie­ren, statt Pass­wort zu ändern

Es ist kei­ne all­zu neue Erkennt­nis, dass die Absi­che­rung von Log­ins aus­schließ­lich mit Benut­zer­na­me und Pass­wort in den meis­ten Anwen­dungs­fäl­len kei­nen aus­rei­chen­den Schutz bie­tet. Aus die­sem Grund ist es mitt­ler­wei­le üblich, wo es nur geht und vor­ge­se­hen ist, einen zusätz­li­chen Schutz­fak­tor ein­zu­bau­en bzw. zu nut­zen. Ein bewähr­tes Mit­tel ist die sog. Zwei-Fak­tor-Authen­ti­fi­zie­rung, kurz 2FA.

Die Zwei-Fak­tor-Authen­ti­sie­rung (2FA), häu­fig auch Zwei-Fak­tor-Authen­ti­fi­zie­rung genannt, bezeich­net den Iden­ti­täts­nach­weis eines Nut­zers mit­tels der Kom­bi­na­ti­on zwei­er unter­schied­li­cher und ins­be­son­de­re unab­hän­gi­ger Kom­po­nen­ten (Fak­to­ren). Typi­sche Bei­spie­le sind Bank­kar­te plus PIN beim Geld­au­to­ma­ten, Fin­ger­ab­druck plus Zugangs­code in Gebäu­den, oder Pass­phra­se und Trans­ak­ti­ons­num­mer (TAN) beim Online-Ban­king. Die Zwei-Fak­tor-Authen­ti­sie­rung ist ein Spe­zi­al­fall der Multi-Faktor-Authentisierung.

Für kri­ti­sche Anwen­dungs­be­rei­che wird die Zwei-Fak­tor-Authen­ti­sie­rung emp­foh­len, so bei­spiels­wei­se vom deut­schen Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) in sei­nen IT-Grund­schutz- Kata­lo­gen. Im Bank­we­sen wur­de mit der EU-Zah­lungs­diens­te-Richt­li­nie die Zwei-Fak­tor- Authen­ti­sie­rung für den Euro­päi­schen Wirt­schafts­raum 2018 sogar ver­pflich­tend ein­ge­führt. Mitt­ler­wei­le gibt es sehr vie­le Anbie­ter, die für Ihre Web­sei­ten /​ Log­in-Berei­che, aber auch ande­re Anmel­de-Vor­gän­ge eine 2FA nicht nur anbie­ten, son­dern ver­bind­lich machen.

Die Zwei-Fak­tor-Authen­ti­sie­rung ist nur dann erfolg­reich, wenn bei­de fest­ge­leg­ten Fak­to­ren zusam­men ein­ge­setzt wer­den und kor­rekt sind. Fehlt eine Kom­po­nen­te oder wird sie falsch ver­wen­det, lässt sich die Zugriffs­be­rech­ti­gung nicht zwei­fels­frei fest­stel­len und der Zugriff wird ver­wei­gert. Jetzt könn­te man ja sagen, Benut­zer­na­me und Pass­wort sind doch schon zwei Kom­po­nen­ten. Das ist so aber nicht ganz rich­tig. Denn auf­grund der meist vor­ge­ge­be­nen Benut­zer­na­men wie die eige­ne Email-Adres­se oder Vorname.Nachname ist die­ser ers­te Fak­tor „ver­brannt“. Es muss daher neben dem Pass­wort ein wei­te­rer siche­rer Fak­tor her. Kor­rek­ter­wei­se wür­de man die Kom­bi­na­ti­on Benut­zer­na­me + Pass­wort + wei­te­rer Fak­tor als Mul­ti­fak­tor- Authen­ti­fi­zie­rung bezeich­nen. In der Pra­xis ist es dann doch nur eine 2FA aus dem zuvor genann­ten Grund.

In der Pra­xis greift man oft auf die­se Kom­bi­na­ti­on zurück:

  1. Benut­zer­na­me
  2. Pass­wort
  3. Authen­ti­ca­tor /​ Authen­ti­fi­ca­tor (z.B. App auf dem Han­dy oder Pro­gramm auf dem Desktop)

Das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik hat das The­ma in sei­ner Rei­he “BSI für Bür­ger” das The­ma anschau­lich und mit einem kur­zen Video auf­be­rei­tet, wer es noch mal genau­er und anschau­li­cher wis­sen will (exter­ner Link zum Bei­trag des BSI).

2FA ist kei­ne Raketenwissenschaft

Gele­gent­lich könn­te man mei­nen, 2FA ist “rocket sci­ence” bzw. Rake­ten­wis­sen­schaft. Und da noch nicht aus­rei­chend erforscht und man­gels Erfah­run­gen damit, soll­te man doch eher Abstand davon neh­men. Zumin­dest trifft man sol­che Ten­den­zen durch­aus immer wie­der bei IT-Ver­ant­wort­li­chen und /​ oder Anwen­dern. Fragt man jedoch genau­er nach, resul­tiert die Abnei­gung doch eher daher, sich (als Mensch) oder etwas (die Tech­nik) ändern bzw. den Erfor­der­nis­sen der Zeit anpas­sen zu müs­sen. Und wir wis­sen bekannt­lich alle, der Mensch ist ein Gewohn­heits­tier. Das wis­sen auch Angrei­fer und machen sich die­se Schwach­stel­le ger­ne zunutze.

Vor vie­len Jah­ren war 2FA nicht weit ver­brei­tet, das ist wahr. Mitt­ler­wei­le ist dem aber nicht mehr so. Die meis­ten täg­lich bzw. regel­mä­ßig genutz­ten Log­ins las­sen sich mit­tels 2FA zusätz­lich absi­chern. Daher stuft das BSI 2FA auch nicht mehr als Kür ein, son­dern emp­fiehlt die Nut­zung von 2FA mitt­ler­wei­le als Basis­tipp zur IT-Sicher­heit. Gut, auch das hat vie­le Jah­re gedau­ert, aber das BSI hat sei­ne frü­he­re nicht opti­ma­le Hal­tung zum The­ma Pass­wort­wech­sel kor­ri­giert und den BSI IT-Grund­schutz eben­falls dahin­ge­hend angepasst.

Es gibt daher kei­nen Grund, sich nicht mit dem The­ma 2FA zu befas­sen und die­se, sofern vor­han­den, für die eige­nen Log­ins zu akti­vie­ren, wo mög­lich. Es schläft sich wirk­lich ruhi­ger. Das kann der Autor aus eige­ner Erfah­rung berichten 🙂

“Ja, aber ..”

  • “Dann muss ich ja immer mein Smart­pho­ne mit mir rum­tra­gen?” — “Ja und? Machen Sie doch eh!” 🙂
  • “Wenn ich das pri­vat gar nicht nut­ze und kein Dienst­han­dy habe, dann muss ich die 2FA-App den­noch auf mei­nem Pri­vat­ge­rät instal­lie­ren!” — “Ja, und? Die Abnut­zung dadurch hält sich in Gren­zen und es wird nie­mand bei Sinn und Ver­stand auf die Idee kom­men, das nun als BYOD (bring your own device) ein­zu­stu­fen und zu regeln. Und Sie haben dop­pel­ten Nut­zen: Ein mal instal­liert, kön­nen Sie nun auch gleich ihre pri­va­ten Log­ins damit absichern!”
  • “Unse­re IT will das nicht!” — “Salopp: https://​de​.wiki​pe​dia​.org/​w​i​k​i​/​E​i​n​l​a​u​f​_​(​M​e​d​i​zin)” oder “Ver­wei­sen Sie auf gän­gi­ge Stan­dards für Infor­ma­ti­ons­si­cher­heit sowie das BSI. Die­se erklä­ren und for­dern 2FA. Es muss schon sehr trif­ti­ge Grün­de geben, davon Abstand zu neh­men. Die­se müs­sen doku­men­tiert sein, wie­so und durch wen es zu der Ableh­nung gekom­men ist. Für den Fall, dass dann doch etwas pas­siert, weiß man ja, wen man anspre­chen muss :-)”
  • “Isch abe gar kein Han­dy!” — “Ja, und? Es gibt die Soft­ware-Lösun­gen auch für den Desk­top der gän­gi­gen Betriebs­sys­te­me. Unprak­ti­scher, wenn das Gerät gera­de nicht an ist, aber bes­ser als nichts.”
  • Bit­te ergän­zen Sie die Auf­zäh­lung mit zahl­rei­chen wei­te­ren Argu­men­ten, war­um 2FA nicht genutzt wer­den kann und ver­wer­fen Sie die­se augen­blick­lich wieder 🙂

2FA: Back­up-Codes nicht vergessen

Selbst gestan­de­ne IT-Kory­phä­en tun sich mit 2FA gele­gent­lich schwer. Die Instal­la­ti­on und Ein­rich­tung geht noch locker von der Hand, aber dann wird eins schnell ver­ges­sen: Das Abspei­chern der oder des sog. Back­up-Codes. Die­se sind not­wen­dig, wenn man den Zugriff auf das Gerät ver­liert, auf dem der Gene­ra­tor (Authen­ti­ca­tor) für 2FA instal­liert ist z.B. bei Defekt oder Ver­lust des Smart­pho­nes oder Aus­fall der Fest­plat­te (bei Desk­top-Instal­la­tio­nen). Denn ohne gül­ti­gen 2FA-Code kommt man nicht an /​ in den Account. Sprich man kann dann auch kein neu­es Gerät für die 2FA hin­ter­le­gen. Das ist ver­gleich­bar mit das Haus ver­las­sen, Tür hin­ter sich zuzie­hen und dann mer­ken, der Haus­tür­schlüs­sel liegt noch drin­nen auf der Kom­mo­de. Der Pro­zess, um jetzt den Account wie­der zugäng­lich zu machen ist auf­wen­dig und zeit­rau­bend z.B. durch Iden­ti­täts­nach­wei­se etc. Und das liegt in der Natur der Din­ge. Soll­te sich 2FA näm­lich durch eine ein­fa­che Email oder einen Anruf beim Sup­port deak­ti­vie­ren las­sen, wäre der Schutz­wert von 2FA ver­lo­ren. Es könn­te sich ja jeder als Sie aus­ge­ben und den Schutz­me­cha­nis­mus deaktivieren.

Von daher die Bit­te: Immer nach Ein­rich­tung eines 2FA für einen Log­in den ange­bo­te­nen Back­up-Code kopie­ren /​ her­un­ter­la­den und sicher ver­wah­ren. Dazu eig­nen sich bes­tens sog. Pass­wort-Tre­so­re (sie­he Ende des Beitrags).

“Ich bereue den Passwort-Wahnsinn”

In einem Inter­view hat sich der für die Emp­feh­lung Pass­wör­ter regel­mä­ßig zu wech­seln ver­ant­wort­li­che Mit­ar­bei­ter der NIST nun in Ren­te ste­hen­de Burr gegen­über der Washing­ton Post geäu­ßert. „Die Wahr­heit ist: Ich war auf dem fal­schen Damp­fer.“ Das NIST hat im Som­mer 2017 die­se damals 14 Jah­ren alten Emp­feh­lun­gen und Rege­lun­gen zur Pass­wort­si­cher­heit kom­plett über­ar­bei­tet. Und die­sen Wahn­sinn damit eigent­lich gestoppt. Der “Ände­re-Dein-Pass­wort-Tag” ist lei­der nicht totzukriegen.

Abschlie­ßen­der Tipp: Pass­wort-Tre­so­re nutzen

Bei der Viel­zahl an Pass­wör­tern, die sich im Lau­fe eines akti­ven Nutzer­le­bens so ansam­meln, darf man ruhig auf Hel­fer­lein zurück­grei­fen, die das Leben etwas leich­ter machen. Dazu gehö­ren u.a. die sog. Pass­wort-Tre­so­re. Hier­bei soll­te man jedoch nicht unbe­dingt auf Anbie­ter aus der Cloud (“Bei uns sind Ihre Pass­wör­ter zen­tral gespei­chert und sicher”) set­zen. Wer mal etwas nach Sicher­heits­vor­fäl­len bei den ein­schlä­gig bekann­ten Online-Anbie­tern sol­cher Lösun­gen sucht, wird schnell fün­dig. Es gibt kos­ten­freie Alter­na­ti­ven, die auch für weni­ger tech­nisch ver­sier­te Nut­zer leicht zu instal­lie­ren und zu bedie­nen sind. Und der Tre­sor mit den eige­nen wich­ti­gen Pass­wör­tern ver­bleibt bei einem selbst. Eine Lösung dafür ist bei­spiels­wei­se Kee­pass. Mehr zu die­sem Tool inkl. einer bebil­der­ten Anlei­tung zur Ein­rich­tung und Nut­zung fin­den Sie in unse­rem Blog­bei­trag “Siche­re und kom­for­ta­ble Pass­wort-Ver­wal­tung mit Kee­pass”.

Soft­ware-Unter­stüt­zung für die Arbeitshilfe

End­lich nun auch für einen der klei­nen Stan­dards für Infor­ma­ti­ons­si­cher­heit ver­füg­bar: Soft­ware-Unter­stüt­zung für die Arbeits­hil­fe 4.0

Doch der Rei­he nach.

Wie­so ein Informationssicherheitskonzept?

Vie­le Orga­ni­sa­tio­nen ste­hen vor der Her­aus­for­de­rung, ent­we­der auf­grund gesetz­li­cher Vor­schrif­ten ein Infor­ma­ti­ons­si­cher­heits­kon­zept zu benö­ti­gen, damit den Nach­weis zur Wirk­sam­keit der eige­nen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men im Sin­ne der Beleg­pflicht der DSGVO erbrin­gen zu wol­len, weil es der eine oder ande­re Auf­trag­ge­ber für die Teil­nah­me an Aus­schrei­bun­gen for­dert oder schlicht, weil sie fest­ge­stellt haben, dass nur ein gesamt­heit­li­cher Ansatz schüt­zens­wer­te Infor­ma­tio­nen und per­so­nen­be­zo­ge­ne Daten in der eige­nen Orga­ni­sa­ti­on absi­chern kann. Grün­de gibt es also vie­le, sich um die Ein­füh­rung und den Betrieb eines Infor­ma­ti­ons­si­cher­heits­kon­zepts zu kümmern.

Wel­chen Stan­dard zur Infor­ma­ti­ons­si­cher­heit wählen?

Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­te­me (kurz ISMS) nach den Stan­dards wie die ISO 27001 oder der BSI IT-Grund­schutz sind bewähr­te Umset­zungs­mög­lich­kei­ten. Sagt man der ISO 27001 ein etwas erhöh­tes Maß an Abs­trakt­heit nach, lei­det der IT-Grund­schutz durch­aus an sei­ner Aus­führ­lich­keit (zumin­dest in 100‑x Stan­dards). Hin­zu kommt, dass der Auf­wand an Zeit und Kos­ten gera­de für klei­ne und mitt­le­re Unter­neh­men (KMU) und Kom­mu­nen weit über die gege­be­nen Mög­lich­kei­ten hinausgeht.

Einen Teil die­ser Lücke nach unten hat vor eini­gen Jah­ren der Stan­dard Infor­ma­ti­ons­si­cher­heit in 12 Schrit­ten (kurz ISIS12) schlie­ßen kön­nen. Die­ser kommt seit­her in vie­len deut­schen Unter­neh­men und Kom­mu­nen zum Ein­satz, teil­wei­se inklu­si­ve der mög­li­chen Zer­ti­fi­zie­rung durch die DQS GmbH (Und hier reden wir von einer voll­wer­ti­gen, unab­hän­gi­gen Zer­ti­fi­zie­rung, nicht von den durch die bera­ten­de Gesell­schaft als Zer­ti­fi­kat ange­prie­se­nen Testa­te.) ISIS12 lei­tet sich aus dem IT-Grund­schutz ab und wird der­zeit in Rich­tung der Vor­ge­hens­wei­se der ISO 27001 weiterentwickelt.

Für die drei bis­her genann­ten Stan­dards ste­hen bewähr­te Soft­ware­lö­sun­gen zur Ver­fü­gung. Gene­rell sind die­se Stan­dards auch nach unten ska­lier­bar, stel­len den­noch gera­de klei­ne­re Ein­rich­tun­gen nach wie vor vor ein Zeit- und Kos­ten­pro­blem. Die­se immer noch bestehen­de Lücke für klei­ne­re und kleins­te Ein­rich­tun­gen lässt sich mit zwei wei­te­ren Stan­dards in ange­mes­se­nem Kos­ten- und Auf­wands­rah­men schlie­ßen. Die Rede ist vom Stan­dard VdS 10000 (frü­her 3473) sowie der unter dem Pro­jekt­na­men “Arbeits­hil­fe” bekannt gewor­de­nen Sys­te­ma­tik der Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne aus Mün­chen.

Gera­de klei­ne und kleins­te Orga­ni­sa­tio­nen fin­den hier einen Werk­zeug­kas­ten, um sich dem The­ma sys­te­ma­tisch zu nähern, vor­han­de­ne tech­ni­sche und orga­ni­sa­to­ri­sche Schwach­stel­len zu iden­ti­fi­zie­ren und danach kon­ti­nu­ier­lich abzu­stel­len und ein Sicher­heits­kon­zept zu betrei­ben. Die Mög­lich­keit besteht jeder­zeit, in die höhe­ren Sys­te­ma­ti­ken upzugraden.

Die “Arbeits­hil­fe” wur­de im Auf­trag der Baye­ri­schen Kom­mu­na­len Spit­zen­ver­bän­de durch a.s.k. Daten­schutz für die Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne ent­wi­ckelt und ist mitt­ler­wei­le in Ver­si­on 4.0 erschie­nen. Trotz die­ses Ursprungs rich­tet sich die Arbeits­hil­fe nicht aus­schließ­lich an kom­mu­na­le Ein­rich­tun­gen. Infor­ma­ti­ons­si­cher­heit ist uni­ver­sell. Von daher sind ledig­lich eini­ge Begriff­lich­kei­ten für den Ein­satz in Unter­neh­men anzu­pas­sen (Geschäfts­füh­rer statt Bür­ger­meis­ter), das war es schon. Und jetzt mit auch Soft­ware-Unter­stüt­zung für die Arbeitshilfe.

Infor­ma­ti­ons­si­cher­heits­kon­zep­te bes­ser mit Software-Unterstützung

Selbst­ver­ständ­lich las­sen sich Infor­ma­ti­ons­si­cher­heits­kon­zep­te auch mit Papier und Stift oder etwas moder­ner mit­tels Word-For­mu­la­ren und Excel-Tabel­len abbil­den. Bei der Ein­füh­rung mag das auch noch aus­rei­chend sein. Doch im spä­te­ren Betrieb des Infor­ma­ti­ons­si­cher­heits­kon­zepts wird es schnell a) unüber­schau­bar und b) nicht mehr hand­hab­bar, z.B. um Wie­der­vor­la­ge­fris­ten ein­zu­hal­ten. Auch in Bezug auf das jeder­zei­ti­ge Repor­ting /​ Berichts­we­sen ist eine geeig­ne­te Soft­ware­un­ter­stüt­zung unschlagbar.

Die drei gro­ßen Stan­dards ISO 27001, BSI IT-Grund­schutz und ISIS12 kön­nen aus einem gro­ßen Ange­bot geeig­ne­ter Soft­ware­lö­sun­gen wäh­len. Bei den klei­ne­ren Stan­dards wird die Luft sehr schnell dünn bis hin zu feh­len­der Software-Unterstützung.

Soft­ware-Unter­stüt­zung für die Arbeits­hil­fe von a.s.k. Datenschutz

Gera­de für klei­ne Orga­ni­sa­tio­nen sind leicht ver­ständ­li­che und bedien­ba­re Soft­ware-Lösun­gen ein Muß. Zeit für lang­wie­ri­ge Soft­ware-Schu­lun­gen und Ein­ar­bei­tun­gen ist im Zwei­fel Man­gel­wa­re. Oft­mals wer­den klei­ne Ein­rich­tun­gen bei der Ein­füh­rung von exter­nen Dienst­leis­tern unter­stützt, nut­zen mög­li­cher­wei­se auch die Mög­lich­keit eines exter­nen Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten (sofern sinn­voll umsetzbar).

Hier setzt die Soft­ware-Lösung für unse­re (poten­ti­el­len) Kun­den kon­kret an:

  • Ver­schlüs­se­lung bei Über­tra­gung und Speicherung
  • Mehr­fak­tor-Authen­ti­fi­zie­rung
  • Brow­ser­ba­siert, Apps für Desk­top und mobi­le Geräte
  • Bear­bei­tung und gleich­zei­tig fort­lau­fen­de Doku­men­ta­ti­on aller Prüf­fra­gen der Arbeits­hil­fe und deren Umsetzung
  • Erstel­len von not­wen­di­gen Unteraufgaben
  • Zuwei­sen von Auf­ga­ben und Unter­auf­ga­ben an zustän­di­ge Per­so­nen in der Organisation
  • Dis­kus­si­ons­mög­lich­keit zwi­schen den Betei­lig­ten direkt in einem Prüf­punkt und damit nach­voll­zieh­ba­re Doku­men­ta­ti­on der Ent­schei­dungs­fin­dung und des Umset­zungs­sta­tus sowie des­sen Weiterentwicklung
  • Email-Benach­rich­tun­gen über Ände­run­gen und Auf­ga­ben­zu­wei­sun­gen (Hin­wei­se, kei­ne Über­mitt­lung der kon­kre­ten Inhal­te, die sol­len ja ver­schlüs­selt auf der Platt­form bleiben 🙂 )
  • Ter­min-Erin­ne­run­gen
  • Doku­men­ten­ver­sio­nie­rung
  • Jeder­zeit um wei­te­re Auf­ga­ben zu ergän­zen (z.B. wei­te­re iden­ti­fi­zier­te Schwach­stel­len außer­halb der Fra­gen der Arbeits­hil­fe, Doku­men­ta­ti­on der Bear­bei­tung von Daten­pan­nen etc.)
  • Aus­führ­li­ches Berichts­we­sen nach Kapi­teln, über das gesam­te Infor­ma­ti­ons­si­cher­heits­kon­zept oder nach Zuständigkeiten
  • Über­sich­ten über erle­dig­te /​ offe­ne Auf­ga­ben bzw. besei­tig­te /​ noch vor­han­de­ne Schwachstellen
  • Dis­kus­si­ons­platt­form zur Klä­rung von offe­nen Fragen
  • Betrieb in deut­schen Rechen­zen­tren (Ehren­sa­che)
  • uvm.

 

 

Inter­es­se geweckt an der Arbeits­hil­fe oder der Soft­ware-Lösung? Oder Fra­gen zum The­ma Infor­ma­ti­ons­si­cher­heits­kon­zept oder Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te? Spre­chen Sie uns an.