Zum Inhalt springen

Ratgeber

Projekt Zahnräder verzahnen

Daten­schutz­ma­nage­ment (DSM) mit­tels Stackfield

Daten­schutz­ma­nage­ment — Cha­os oder System

Unse­re Kun­den wis­sen es (hof­fent­lich), wie wir Daten­schutz “mana­gen” in der Zusam­men­ar­beit mit ihnen. Inter­es­sen­ten, aber auch Kol­le­gin­nen und Kol­le­gen aus der Bran­che fra­gen jedoch durch­aus mal nach. “Wie macht ihr das mit dem das mit dem Daten­schutz­ma­nage­ment mit euren Kun­den bei der a.s.k. Daten­schutz als exter­ne Datenschutzbeauftragte?”

Glück­li­cher­wei­se haben nur weni­ge Inter­es­sen­ten bzw. poten­ti­el­le Kun­den bereits eine wie auch immer gear­te­te Daten­schutz-Soft­ware von der Stan­ge. Nicht, weil die­se gene­rell unbrauch­bar wären, aber in der Zusam­men­ar­beit intern /​ extern meist doch eher sub­op­ti­mal. Auch wenn sich lang­sam die eine oder ande­re Cloud-Lösung dar­un­ter befin­det, so lau­fen die­se Anwen­dun­gen meist on pre­mi­se, sprich auf den Sys­te­men des Kun­den. Für uns Exter­ne hie­ße dies, eine Viel­zahl an VPN-Cli­ents und Zugangs­lö­sun­gen auf allen Gerä­ten des a.s.k.-Teams ein­zu­rich­ten und zu pfle­gen. Ein beacht­li­cher Auf­wand. Und es soll sogar Orga­ni­sa­tio­nen geben, die einen Fern­zu­griff auf inter­ne Sys­te­me kom­plett unter­sa­gen. Von daher auch nicht optimal.

Hin­zu kommt, dass wir ja nicht nur als exter­ne Daten­schutz­be­auf­trag­te arbei­ten, son­dern auch im Bereich Infor­ma­ti­ons­si­cher­heit tätig sind. Hier sind u.a. auf­grund zeit­li­cher Vor­ga­ben (wie z.B. För­der­mit­tel­fris­ten) eine sys­te­ma­ti­sche Pro­jekt­lei­tung und ein enges Füh­ren der zu erle­di­gen­den Auf­ga­ben kri­ti­sche Erfolgsfaktoren.

Eine Platt­form für (fast) alles, nicht nur für Daten­schutz­ma­nage­ment muss her

Also haben wir uns vor über 10 Jah­ren auf die Suche nach der eier­le­gen­den Woll­milch­sau oder — wie wir hier in Fran­ken sagen — der bier­brau­en­den Schäu­f­ele­kloss­kuh gemacht. Zwin­gen­de Vor­aus­set­zun­gen waren:

  • Ein­fa­cher Zugang sowohl für unse­re Kun­den als auch uns
  • Leich­te Ver­ständ­lich­keit und Bedienbarkeit
  • Hohes Maß an Sicher­heit (u.a. Ver­schlüs­se­lung nicht nur bei Bewegt­da­ten, son­dern auch im Ruhezustand)
  • Zwei-Fak­tor-Authen­ti­fi­zie­rung für alle Nut­zer admi­nis­tra­tiv Pflicht (sonst kein Zugang /​ Zugriff)
  • Fle­xi­ble Ein­setz­bar­keit für unse­re Themen

Dabei soll­te es stets mög­lich sein, vor­ge­fer­tig­te Inhal­te mit unse­ren Kun­den gemein­sam bear­bei­ten zu kön­nen, ein­fach neue Inhal­te ergän­zen zu kön­nen und bei Pro­jek­ten auch das Zeit­ma­nage­ment im Blick haben zu kön­nen. Und das Gan­ze ohne stun­den­lan­ge Ein­füh­run­gen, Schu­lun­gen oder Handbuchwälzerei.

Je mehr wir uns im Markt umge­se­hen und Tools getes­tet haben, des­to grö­ßer wur­den dann auch unse­re Ansprüche 🙂

  • Doku­men­ten­ma­nage­ment (zumin­dest Ver­sio­nie­rung) wäre nicht verkehrt.
  • Auto­ma­ti­sche Wie­der­vor­la­gen z.B. für regel­mä­ßi­ge TOM-Nach­prü­fun­gen bei Auf­trags­ver­ar­bei­tern ein Gedicht.
  • Doku­men­ta­ti­on (auch im Zuge der Nach­weis­bar­keit und Beleg­bar­keit) von Dis­kus­sio­nen zu Fra­gen von Kun­den an zen­tra­ler Stel­le statt stun­den­lan­ger Recher­ché in zahl­rei­chen Post­fä­chern (gera­de bei Mit­ar­bei­ter­wech­seln eine Pest).
  • Über­sicht­li­che Dar­stel­lung erle­dig­ter und noch offe­ner ToDos, einer­seits zur Moti­va­ti­on der Betei­lig­ten, aber auch zur Erleich­te­rung des Berichtswesens.
  • Bear­bei­ten und Doku­men­tie­ren von Betrof­fe­nen­an­fra­gen und Daten­schutz­ver­let­zun­gen mit ein­fa­cher Mög­lich­keit des Löschens nach abge­lau­fe­ner Aufbewahrungsfrist.
  • Und … und … und … unse­re Wunsch­lis­te wur­de immer länger.

Ja, stimmt. Zahl­rei­che der im Markt erhält­li­chen Tools für Daten­schutz­ma­nage­ment kön­nen das irgend­wie, teil­wei­se oder gänz­lich. Irgend­ei­ne Krö­te muss man aber doch schlu­cken. Und man erhält “Daten­schutz von der Stan­ge”. Und sie kön­nen halt meist auch “nur” Daten­schutz. Die Steue­rung eines ISMS auf Basis des BSI IT-Grund­schutz oder ande­rer Stan­dards als exter­ner Pro­jekt­lei­ter ist damit sel­ten zu stem­men. Von ande­ren Auf­ga­ben in unse­rem Arbeits­all­tag ganz zu schwei­gen. Und für alles ein jeweils ande­res Tool ein­zu­set­zen, ist am Ende auch kei­ne Lösung.

Vor vie­len Jah­ren die Lösung: Daten­schutz­ma­nage­ment via Stackfield

Und dann haben wir nach län­ge­rer Suche vor vie­len Jah­ren unse­re bier­brau­en­de Schäu­f­ele­kloss­kuh gefun­den. Die Münch­ner Stack­field GmbH hat­te mit dem Pro­dukt Stack­field eine Alter­na­ti­ve zu Trel­lo (einem bekann­ten US-Kan­ban-Board) am Start und sowohl das vor­han­de­ne Pro­dukt als auch die wei­te­re Road­map waren viel­ver­spre­chend. Und den Ein­satz als zen­tra­les Sys­tem für Daten­schutz­ma­nage­ment für unse­re Kun­den und uns, aber auch als Pro­jekt­ma­nage­ment-Tool haben wir seit­her kei­ne Sekun­de bereut. Auf­grund der kon­ti­nu­ier­li­chen Wei­ter­ent­wick­lung des Pro­dukts sind mitt­ler­wei­le noch zahl­rei­che Fea­tures hin­zu­ge­kom­men, die wir nicht auf unse­rer Lis­te hat­ten, die aber den Arbeits­all­tag in der Zusam­men­ar­beit mit unse­ren Kun­den noch wei­ter erleich­tern. Direk­te ver­schlüs­sel­te Chat-Funk­ti­on, Video­kon­fe­ren­zen (geplant oder adhoc) inner­halb der Pro­jekt­um­ge­bung ohne sepa­ra­tes Tool, Wis­sens­ma­nage­ment und noch so vie­les mehr. Aus unse­rem Arbeits­all­tag ist Stack­field nicht mehr weg­zu­den­ken. Auch abseits der Zusam­men­ar­beit mit Kun­den ist Stack­field für rein inter­ne a.s.k.-Angelegenheiten ein eben­so wich­ti­ges Instru­ment gewor­den. Auf den ers­ten Blick mag Stack­field einem wie ein Auf­ga­ben-/Pro­jekt­ma­nage­ment-Tool unter vie­len erschei­nen. Doch unter der Hau­be steckt noch sehr viel mehr.

Doch bevor wir das nun lang und breit erklä­ren und damit den Umfang die­ses Bei­trags spren­gen wür­den: Der geschätz­te Ste­phan Han­sen-Oest, auch bekannt als “Daten­schutz-Guru” (selbst wenn er das so nicht hören mag, er ist einer) hat vor eini­ger Zeit einen Video­cast mit uns zu dem The­ma “Stack­field als DSMS” gemacht. Unter dem Titel “So arbei­ten Daten­schutz­be­auf­trag­te — a.s.k. Daten­schutz” kann sich jeder, der mag, wei­te­re Details zur Ein­satz­wei­se die­ser Lösung anschau­en , die nicht von der Stan­ge kommt. Viel Spaß beim Schauen!

Und bevor jemand fragt: Nein, die­ser Bei­trag ist kein Wer­be­bei­trag und nicht gespons­ort. Wir erhal­ten auch kei­ne Ver­güns­ti­gun­gen oder Kick­backs irgend­ei­ner Art. Wir sind ein­fach von dem Tool so begeis­tert, dass wir dar­über berich­ten wollten.

“Ände­re-Dein-Pass­wort-Tag” — Und jähr­lich grüßt das Mur­mel­tier. Dann doch lie­ber 2FA

Alle Jah­re wie­der, so auch heu­te zum 01.02.2022 hallt es aus diver­sen Nach­rich­ten­ka­nä­len “Leu­te, ändert regel­mä­ßig euer Pass­wort. Bei­spiels­wei­se heu­te, am sog. Ände­re-Dein-Pass­wort-Tag.” Nun, kann man machen, ist aber nicht unbe­dingt sinn­voll. In Blog­bei­trä­gen 2016 (aktua­li­siert 2018: “Über Bord mit ver­al­te­ten star­ren Pass­wort-Richt­li­ni­en”), 2017 (“Ände­re-Dein-Pass­wort-Tag: Über Sinn und Unsinn des regel­mä­ßi­gen Pass­wort­wech­sels”) und 2018 (Update 2020: “„Ich bereue den Pass­wort-Wahn­sinn“ – weg mit den Pass­wort Mythen”) haben wir uns mit die­ser For­de­rung zum regel­mä­ßi­gen Pass­wort­wech­sel aus­ein­an­der­ge­setzt und sind dabei — wie seit 2017 die NIST (Natio­nal Insti­tu­te of Stan­dards and Tech­no­lo­gy) als eigent­li­cher Ver­ur­sa­cher die­ser “Ange­wohn­heit” — zu einem ande­ren Schluss gekom­men: Fin­ger weg vom regel­mä­ßi­gen Pass­wort­wech­sel. Lie­ber Zwei-Fak­tor-Authen­ti­fi­zie­rung (2FA) ein­rich­ten. War­um und wie­so? Lesen Sie hier.

War­um bzw. wann soll­te ich ein Pass­wort über­haupt ändern bzw. wechseln?

“Na, das ist doch sicher!” — “Und das haben wir ja schon immer so gemacht!” — Und im Zwei­fel ver­langt es auch noch die Pass­wort-Richt­li­nie des einen oder ande­ren Unter­neh­mens oder auch der Behör­de. Doch sind das wirk­lich gute und belast­ba­re Grün­de für einen Pass­wort­wech­sel? Mög­lichst noch in Inter­val­len von 30–90 Tagen? Und für jedes Log­in noch ein ande­res Pass­wort? Ende vom Lied: Pass­wör­ter wer­den alpha­be­tisch oder nume­risch hoch­ge­zählt oder schlimms­ten­falls auf­ge­schrie­ben, abge­legt unter dem Schreib­tisch­scho­ner. Das ist natür­lich rich­tig sicher 🙂

Doch es gibt in der Tat wirk­lich 3 gute Grün­de, das Pass­wort zu ändern:

  1. Das Pass­wort wur­de aus­ge­späht, zumin­dest besteht der Verdacht.
  2. Das Pass­wort wur­de unnö­ti­ger­wei­se einer Kol­le­gin oder einem Kol­le­gen bekannt­ge­ge­ben, obwohl dazu tech­nisch nor­ma­ler­wei­se gar kein Grund besteht.
  3. Es han­delt sich um ein Initia­li­sie­rungs­pass­wort, das nach der Nut­zung durch das eigent­li­che Pass­wort ersetzt wer­den muss.

Und Ende der Aufzählung.

Bes­ser: Zwei-Fak­tor-Authen­ti­fi­zie­rung (2FA) akti­vie­ren, statt Pass­wort zu ändern

Es ist kei­ne all­zu neue Erkennt­nis, dass die Absi­che­rung von Log­ins aus­schließ­lich mit Benut­zer­na­me und Pass­wort in den meis­ten Anwen­dungs­fäl­len kei­nen aus­rei­chen­den Schutz bie­tet. Aus die­sem Grund ist es mitt­ler­wei­le üblich, wo es nur geht und vor­ge­se­hen ist, einen zusätz­li­chen Schutz­fak­tor ein­zu­bau­en bzw. zu nut­zen. Ein bewähr­tes Mit­tel ist die sog. Zwei-Fak­tor-Authen­ti­fi­zie­rung, kurz 2FA.

Die Zwei-Fak­tor-Authen­ti­sie­rung (2FA), häu­fig auch Zwei-Fak­tor-Authen­ti­fi­zie­rung genannt, bezeich­net den Iden­ti­täts­nach­weis eines Nut­zers mit­tels der Kom­bi­na­ti­on zwei­er unter­schied­li­cher und ins­be­son­de­re unab­hän­gi­ger Kom­po­nen­ten (Fak­to­ren). Typi­sche Bei­spie­le sind Bank­kar­te plus PIN beim Geld­au­to­ma­ten, Fin­ger­ab­druck plus Zugangs­code in Gebäu­den, oder Pass­phra­se und Trans­ak­ti­ons­num­mer (TAN) beim Online-Ban­king. Die Zwei-Fak­tor-Authen­ti­sie­rung ist ein Spe­zi­al­fall der Multi-Faktor-Authentisierung.

Für kri­ti­sche Anwen­dungs­be­rei­che wird die Zwei-Fak­tor-Authen­ti­sie­rung emp­foh­len, so bei­spiels­wei­se vom deut­schen Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) in sei­nen IT-Grund­schutz- Kata­lo­gen. Im Bank­we­sen wur­de mit der EU-Zah­lungs­diens­te-Richt­li­nie die Zwei-Fak­tor- Authen­ti­sie­rung für den Euro­päi­schen Wirt­schafts­raum 2018 sogar ver­pflich­tend ein­ge­führt. Mitt­ler­wei­le gibt es sehr vie­le Anbie­ter, die für Ihre Web­sei­ten /​ Log­in-Berei­che, aber auch ande­re Anmel­de-Vor­gän­ge eine 2FA nicht nur anbie­ten, son­dern ver­bind­lich machen.

Die Zwei-Fak­tor-Authen­ti­sie­rung ist nur dann erfolg­reich, wenn bei­de fest­ge­leg­ten Fak­to­ren zusam­men ein­ge­setzt wer­den und kor­rekt sind. Fehlt eine Kom­po­nen­te oder wird sie falsch ver­wen­det, lässt sich die Zugriffs­be­rech­ti­gung nicht zwei­fels­frei fest­stel­len und der Zugriff wird ver­wei­gert. Jetzt könn­te man ja sagen, Benut­zer­na­me und Pass­wort sind doch schon zwei Kom­po­nen­ten. Das ist so aber nicht ganz rich­tig. Denn auf­grund der meist vor­ge­ge­be­nen Benut­zer­na­men wie die eige­ne Email-Adres­se oder Vorname.Nachname ist die­ser ers­te Fak­tor „ver­brannt“. Es muss daher neben dem Pass­wort ein wei­te­rer siche­rer Fak­tor her. Kor­rek­ter­wei­se wür­de man die Kom­bi­na­ti­on Benut­zer­na­me + Pass­wort + wei­te­rer Fak­tor als Mul­ti­fak­tor- Authen­ti­fi­zie­rung bezeich­nen. In der Pra­xis ist es dann doch nur eine 2FA aus dem zuvor genann­ten Grund.

In der Pra­xis greift man oft auf die­se Kom­bi­na­ti­on zurück:

  1. Benut­zer­na­me
  2. Pass­wort
  3. Authen­ti­ca­tor /​ Authen­ti­fi­ca­tor (z.B. App auf dem Han­dy oder Pro­gramm auf dem Desktop)

Das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik hat das The­ma in sei­ner Rei­he “BSI für Bür­ger” das The­ma anschau­lich und mit einem kur­zen Video auf­be­rei­tet, wer es noch mal genau­er und anschau­li­cher wis­sen will (exter­ner Link zum Bei­trag des BSI).

2FA ist kei­ne Raketenwissenschaft

Gele­gent­lich könn­te man mei­nen, 2FA ist “rocket sci­ence” bzw. Rake­ten­wis­sen­schaft. Und da noch nicht aus­rei­chend erforscht und man­gels Erfah­run­gen damit, soll­te man doch eher Abstand davon neh­men. Zumin­dest trifft man sol­che Ten­den­zen durch­aus immer wie­der bei IT-Ver­ant­wort­li­chen und /​ oder Anwen­dern. Fragt man jedoch genau­er nach, resul­tiert die Abnei­gung doch eher daher, sich (als Mensch) oder etwas (die Tech­nik) ändern bzw. den Erfor­der­nis­sen der Zeit anpas­sen zu müs­sen. Und wir wis­sen bekannt­lich alle, der Mensch ist ein Gewohn­heits­tier. Das wis­sen auch Angrei­fer und machen sich die­se Schwach­stel­le ger­ne zunutze.

Vor vie­len Jah­ren war 2FA nicht weit ver­brei­tet, das ist wahr. Mitt­ler­wei­le ist dem aber nicht mehr so. Die meis­ten täg­lich bzw. regel­mä­ßig genutz­ten Log­ins las­sen sich mit­tels 2FA zusätz­lich absi­chern. Daher stuft das BSI 2FA auch nicht mehr als Kür ein, son­dern emp­fiehlt die Nut­zung von 2FA mitt­ler­wei­le als Basis­tipp zur IT-Sicher­heit. Gut, auch das hat vie­le Jah­re gedau­ert, aber das BSI hat sei­ne frü­he­re nicht opti­ma­le Hal­tung zum The­ma Pass­wort­wech­sel kor­ri­giert und den BSI IT-Grund­schutz eben­falls dahin­ge­hend angepasst.

Es gibt daher kei­nen Grund, sich nicht mit dem The­ma 2FA zu befas­sen und die­se, sofern vor­han­den, für die eige­nen Log­ins zu akti­vie­ren, wo mög­lich. Es schläft sich wirk­lich ruhi­ger. Das kann der Autor aus eige­ner Erfah­rung berichten 🙂

“Ja, aber ..”

  • “Dann muss ich ja immer mein Smart­pho­ne mit mir rum­tra­gen?” — “Ja und? Machen Sie doch eh!” 🙂
  • “Wenn ich das pri­vat gar nicht nut­ze und kein Dienst­han­dy habe, dann muss ich die 2FA-App den­noch auf mei­nem Pri­vat­ge­rät instal­lie­ren!” — “Ja, und? Die Abnut­zung dadurch hält sich in Gren­zen und es wird nie­mand bei Sinn und Ver­stand auf die Idee kom­men, das nun als BYOD (bring your own device) ein­zu­stu­fen und zu regeln. Und Sie haben dop­pel­ten Nut­zen: Ein mal instal­liert, kön­nen Sie nun auch gleich ihre pri­va­ten Log­ins damit absichern!”
  • “Unse­re IT will das nicht!” — “Salopp: https://​de​.wiki​pe​dia​.org/​w​i​k​i​/​E​i​n​l​a​u​f​_​(​M​e​d​i​zin)” oder “Ver­wei­sen Sie auf gän­gi­ge Stan­dards für Infor­ma­ti­ons­si­cher­heit sowie das BSI. Die­se erklä­ren und for­dern 2FA. Es muss schon sehr trif­ti­ge Grün­de geben, davon Abstand zu neh­men. Die­se müs­sen doku­men­tiert sein, wie­so und durch wen es zu der Ableh­nung gekom­men ist. Für den Fall, dass dann doch etwas pas­siert, weiß man ja, wen man anspre­chen muss :-)”
  • “Isch abe gar kein Han­dy!” — “Ja, und? Es gibt die Soft­ware-Lösun­gen auch für den Desk­top der gän­gi­gen Betriebs­sys­te­me. Unprak­ti­scher, wenn das Gerät gera­de nicht an ist, aber bes­ser als nichts.”
  • Bit­te ergän­zen Sie die Auf­zäh­lung mit zahl­rei­chen wei­te­ren Argu­men­ten, war­um 2FA nicht genutzt wer­den kann und ver­wer­fen Sie die­se augen­blick­lich wieder 🙂

2FA: Back­up-Codes nicht vergessen

Selbst gestan­de­ne IT-Kory­phä­en tun sich mit 2FA gele­gent­lich schwer. Die Instal­la­ti­on und Ein­rich­tung geht noch locker von der Hand, aber dann wird eins schnell ver­ges­sen: Das Abspei­chern der oder des sog. Back­up-Codes. Die­se sind not­wen­dig, wenn man den Zugriff auf das Gerät ver­liert, auf dem der Gene­ra­tor (Authen­ti­ca­tor) für 2FA instal­liert ist z.B. bei Defekt oder Ver­lust des Smart­pho­nes oder Aus­fall der Fest­plat­te (bei Desk­top-Instal­la­tio­nen). Denn ohne gül­ti­gen 2FA-Code kommt man nicht an /​ in den Account. Sprich man kann dann auch kein neu­es Gerät für die 2FA hin­ter­le­gen. Das ist ver­gleich­bar mit das Haus ver­las­sen, Tür hin­ter sich zuzie­hen und dann mer­ken, der Haus­tür­schlüs­sel liegt noch drin­nen auf der Kom­mo­de. Der Pro­zess, um jetzt den Account wie­der zugäng­lich zu machen ist auf­wen­dig und zeit­rau­bend z.B. durch Iden­ti­täts­nach­wei­se etc. Und das liegt in der Natur der Din­ge. Soll­te sich 2FA näm­lich durch eine ein­fa­che Email oder einen Anruf beim Sup­port deak­ti­vie­ren las­sen, wäre der Schutz­wert von 2FA ver­lo­ren. Es könn­te sich ja jeder als Sie aus­ge­ben und den Schutz­me­cha­nis­mus deaktivieren.

Von daher die Bit­te: Immer nach Ein­rich­tung eines 2FA für einen Log­in den ange­bo­te­nen Back­up-Code kopie­ren /​ her­un­ter­la­den und sicher ver­wah­ren. Dazu eig­nen sich bes­tens sog. Pass­wort-Tre­so­re (sie­he Ende des Beitrags).

“Ich bereue den Passwort-Wahnsinn”

In einem Inter­view hat sich der für die Emp­feh­lung Pass­wör­ter regel­mä­ßig zu wech­seln ver­ant­wort­li­che Mit­ar­bei­ter der NIST nun in Ren­te ste­hen­de Burr gegen­über der Washing­ton Post geäu­ßert. „Die Wahr­heit ist: Ich war auf dem fal­schen Damp­fer.“ Das NIST hat im Som­mer 2017 die­se damals 14 Jah­ren alten Emp­feh­lun­gen und Rege­lun­gen zur Pass­wort­si­cher­heit kom­plett über­ar­bei­tet. Und die­sen Wahn­sinn damit eigent­lich gestoppt. Der “Ände­re-Dein-Pass­wort-Tag” ist lei­der nicht totzukriegen.

Abschlie­ßen­der Tipp: Pass­wort-Tre­so­re nutzen

Bei der Viel­zahl an Pass­wör­tern, die sich im Lau­fe eines akti­ven Nutzer­le­bens so ansam­meln, darf man ruhig auf Hel­fer­lein zurück­grei­fen, die das Leben etwas leich­ter machen. Dazu gehö­ren u.a. die sog. Pass­wort-Tre­so­re. Hier­bei soll­te man jedoch nicht unbe­dingt auf Anbie­ter aus der Cloud (“Bei uns sind Ihre Pass­wör­ter zen­tral gespei­chert und sicher”) set­zen. Wer mal etwas nach Sicher­heits­vor­fäl­len bei den ein­schlä­gig bekann­ten Online-Anbie­tern sol­cher Lösun­gen sucht, wird schnell fün­dig. Es gibt kos­ten­freie Alter­na­ti­ven, die auch für weni­ger tech­nisch ver­sier­te Nut­zer leicht zu instal­lie­ren und zu bedie­nen sind. Und der Tre­sor mit den eige­nen wich­ti­gen Pass­wör­tern ver­bleibt bei einem selbst. Eine Lösung dafür ist bei­spiels­wei­se Kee­pass. Mehr zu die­sem Tool inkl. einer bebil­der­ten Anlei­tung zur Ein­rich­tung und Nut­zung fin­den Sie in unse­rem Blog­bei­trag “Siche­re und kom­for­ta­ble Pass­wort-Ver­wal­tung mit Kee­pass”.

Was kos­tet ein exter­ner Datenschutzbeauftragter?

“Es kommt dar­auf an” — Was kos­tet ein exter­ner Datenschutzbeauftragter?

Was kos­tet ein exter­ner Daten­schutz­be­auf­trag­ter?”, die­se Fra­ge wird desöf­te­ren per Email oder als Blog-Kom­men­tar an uns her­an­ge­tra­gen.  Eine nach­voll­zieh­ba­re Fra­ge, gera­de wenn das eige­ne Unter­neh­men unter die gesetz­li­che Bestell­pflicht für einen Daten­schutz­be­auf­trag­ten fällt. Und gera­de in wirt­schaft­lich anstren­gen­den Pha­sen sind die Kos­ten ein rele­van­ter Fak­tor. Sind kei­ne wei­te­ren Anga­ben vor­han­den, dann fällt die Beant­wor­tung in etwa so leicht wie die von Fra­gen wie

  • Was kos­tet ein Auto?
  • Wie teu­er ist es, ein Haus zu bauen?
  • Wie viel muss ich für den nächs­ten Som­mer­ur­laub bezahlen?

Die ehr­li­che Ant­wort auf die Fra­ge nach den Kos­ten für einen exter­nen Daten­schutz­be­auf­trag­ten kann in die­sem Fall nur lau­ten: “Es kommt dar­auf an!”

Auf was kommt es bei den Kos­ten für einen exter­nen Daten­schutz­be­auf­trag­ten an?

Daten­schutz ist kein Pro­dukt von der Stan­ge, auch wenn das eine oder ande­re rei­ße­ri­sche Bil­lig­hei­mer-Ange­bot das glau­ben machen will. Daten­schutz ist stets eine indi­vi­du­el­le Leis­tung maß­ge­schnei­dert auf Ihre Orga­ni­sa­ti­on. Jede Unter­neh­mung ver­fügt über eine eige­ne Aus­gangs­si­tua­ti­on (Sta­tus Quo wie Anzahl der Mit­ar­bei­ter, Filia­len, Betriebs­rat, Richt­li­ni­en etc.), unter­schied­li­che Res­sour­cen zur Umset­zung, eine Viel­falt an zu betrach­ten­den Fak­to­ren (bei­spiels­wei­se die unter­schied­lichs­ten IT-Lösun­gen) und ein not­wen­di­ges Schutz­ni­veau je nach Bran­che und Art der per­so­nen­be­zo­ge­nen Daten in der Organisation.

All die­se Punk­te bedeu­ten ein Mehr oder Weni­ger an Auf­wand in der Umset­zung und Betreu­ung im Rah­men der Auf­ga­ben eines Daten­schutz­be­auf­trag­ten nach Art. 39 DSGVO. Sie wir­ken sich dem­nach direkt auf die ent­ste­hen­den Kos­ten aus. Umso wich­ti­ger ist es, mög­lichst vie­le die­ser Aspek­te zu ken­nen, um die ein­gangs genann­te Fra­ge seri­ös und vor allem ohne spä­te­re Preis­nach­ver­hand­lun­gen beant­wor­ten zu kön­nen. Zu die­sem Zweck kön­nen Sie unser kom­for­ta­bles Online-For­mu­lar nut­zen und damit Ihr Ange­bot anfor­dern. Ihre Anga­ben wer­den selbst­ver­ständ­lich ver­trau­lich behandelt.

Wuss­ten Sie schon, dass zahl­rei­che unse­rer Leis­tun­gen aus offi­zi­el­len För­der­mit­teln bezu­schusst wer­den kön­nen? Hier erfah­ren Sie mehr über För­der­mög­lich­kei­ten und Zuschüs­se für Bera­tungs­leis­tun­gen Daten­schutz & Infor­ma­ti­ons­si­cher­heit von a.s.k. Daten­schutz. Ein wei­te­rer Fak­tor, der Sie unter­stützt, die Belas­tung für die Kos­ten eines exter­nen Daten­schutz­be­auf­trag­ten gering zu halten.

Wie geht a.s.k. Daten­schutz als exter­ne Daten­schutz­be­auf­trag­te vor?

Im Rah­men eines ein- bis mehr­tä­gi­gen Daten­schutz-Audits vor Ort (zu Coro­na-Zei­ten erst mal nur remo­te) wird der Sta­tus Quo des Daten­si­cher­heit- und Daten­schutz-Niveaus Ihrer Orga­ni­sa­ti­on ermit­telt. Klar defi­nier­te Fra­gen­ka­ta­lo­ge zusam­men mit Ein­zel- und Grup­pen­ge­sprä­chen erge­ben ein deut­li­ches Bild und bil­den die Grund­la­ge für alle wei­te­ren Akti­vi­tä­ten. Nach Aus­wer­tung des Audits und der Gesprä­che steht ein Kata­log von Maß­nah­men und Emp­feh­lun­gen fest, mit des­sen Umset­zung die gesetz­lich vor­ge­schrie­be­nen Not­wen­dig­kei­ten in Ihrem Unter­neh­men sicher­ge­stellt wer­den. Der Kata­log wird in der sog. “Ein­füh­rungs­pha­se” gemein­sam unter Zuhil­fe­nah­me eines Online Pro­jekt Tools umge­setzt. Der Auf­wand für die­se Pha­se wird in Mann­ta­gen gemäß Ihren Anga­ben kal­ku­liert und abge­rech­net. Zumeist ist ein Pau­schal­preis ver­ein­bart, der alle Leis­tun­gen die­ser Pha­se umfasst. Beach­ten Sie mög­li­che För­der­mit­tel und Zuschüs­se.

Nach­dem in der Ein­füh­rungs­pha­se die not­wen­di­ge Basis geschaff­ten wur­de,  schließt sich nun die “Betreu­ungs­pha­se” als exter­ner Daten­schutz­be­auf­trag­ter an.  Die­se umfasst ein­ma­li­ge und wie­der­keh­ren­de Auf­ga­ben wie sie Arti­kel 39 DSGVO vor­sieht. Selbst­ver­ständ­lich haben wir die­se Auf­ga­ben um eini­ge wei­te­re Tätig­kei­ten für Sie ergänzt, sofern dadurch kei­ne Inter­es­sens­kon­flik­te zu den Kern­auf­ga­ben des Daten­schutz­be­auf­trag­ten ent­ste­hen. Zu den Auf­ga­ben lesen Sie mehr in unse­rem sepa­ra­ten Blog-Beitrag.

Was kos­tet es Sie auf jeden Fall …

… wenn Sie kei­nen Daten­schutz­be­auf­trag­ten benen­nen, obwohl Sie gesetz­lich dazu ver­pflich­tet sind.

  • Buß­geld (Aus­nah­me: öffent­li­che Stellen)
  • Ihren guten Ruf z.B. bei Datenpannen
  • Viel Ärger mit der Aufsichtsbehörde

Inter­nen oder exter­nen Daten­schutz­be­auf­trag­ten bestellen?

Die Vor­tei­le einer exter­nen Bestel­lung lie­gen für klei­ne und mit­tel­stän­di­sche Unter­neh­men aber auch Kom­mu­nen klar auf der Hand. Dabei spie­len nicht nur die kal­ku­lier­ba­ren und über­schau­ba­ren Kos­ten eine gro­ße Rol­le. Ihre Orga­ni­sa­ti­on pro­fi­tiert spür­bar vom Ein­satz eines exter­nen Datenschutzbeauftragten.

“Ich bereue den Pass­wort-Wahn­sinn” — weg mit den Pass­wort Mythen

Wie­so bis­her ein Pass­wort dau­ernd gewech­selt wer­den musste

8 Sei­ten, die es in sich haben. Die “NIST Spe­cial Publi­ca­ti­on 800–63. Appen­dix A”. Ver­fasst 2003 von Mis­ter Bill Burr. Sei­ner­zeit Mit­ar­bei­ter des Natio­nal Insti­tu­te of Stan­dards and Tech­no­lo­gy (NIST). Das NIST ist eine US-Behör­de, die unter ande­rem für Tech­no­lo­gie­stan­dards zustän­dig ist. Die dama­li­ge Emp­feh­lung hielt Ein­zug in die Sicher­heits­li­te­ra­tur und hält sich seit­her dort hart­nä­ckig. Auch der BSI IT-Grund­schutz und ande­re Sicher­heits­stan­dards bau­en auf die­ser Emp­feh­lung auf. Nach sei­ner Pen­sio­nie­rung fand Burr offe­ne Wor­te für sei­ne dama­li­ge Emp­feh­lung ein siche­res Pass­wort: “Ich bereue den Passwort-Wahnsinn”

Bis­her galt ein Pass­wort als sicher, wenn es kom­plex war und dau­ernd geän­dert wurde

Das NIST emp­fahl bis­her zur Passwortsicherheit:

  1. Pass­wör­ter sol­len kom­plex sein (Groß­schrei­bung, Klein­schrei­bung, Zah­len, Sonderzeichen)
  2. Pass­wör­ter sol­len alle 90 Tage gewech­selt werden

Im Ergeb­nis fluch­ten die End­an­wen­der rund um den Glo­bus. Siche­rer sind Pass­wör­ter hier­durch nicht gewor­den. Dafür haben die­se Emp­feh­lun­gen viel Ner­ven und Zeit gekostet.

“Ich bereue den Passwort-Wahnsinn”

In einem Inter­view hat sich der nun in Ren­te ste­hen­de Burr gegen­über der Washing­ton Post geäu­ßert. “Die Wahr­heit ist: Ich war auf dem fal­schen Damp­fer.” Wir haben auf unse­rem Sicher­heits­blog in 2016 bereits einen Arti­kel hier­zu ver­fasst “Über Bord mit ver­al­te­ten star­ren Pass­wort-Richt­li­ni­en”.

Das NIST hat nun im Som­mer 2017 die­se 14 Jah­ren alten Emp­feh­lun­gen und Rege­lun­gen zur Pass­wort­si­cher­heit kom­plett über­ar­bei­tet. Und die­sen Wahn­sinn damit hof­fent­lich gestoppt. Bis sich das in der Lite­ra­tur und erst recht in der Pra­xis durch­setzt, wird es jedoch eini­ge Zeit brau­chen. Im Final Draft zum Bau­stein ORP4 des BSIFinal Draft zum Bau­stein ORP4 des BSI (IT-Grund­schutz) heißt es im Okto­ber 2019:

IT-Sys­te­me oder Anwen­dun­gen SOLLTEN NUR mit einem vali­den Grund zum Wech­sel des Pass­worts auf­for­dern. Rei­ne zeit­ge­steu­er­te Wech­sel SOLLTEN ver­mie­den wer­den. Es MÜSSEN Maß­nah­men ergrif­fen wer­den, um die Kom­pro­mit­tie­rung von Pass­wör­tern zu erken­nen. Ist dies nicht mög­lich, so SOLLTE geprüft wer­den, ob die Nach­tei­le eines zeit­ge­steu­er­ten Pass­wort­wech­sels in Kauf genom­men wer­den kön­nen und Pass­wör­ter in gewis­sen Abstän­den gewech­selt werden.

In den aktu­ell (Stand 02/​2020) ver­öf­fent­lich­ten Bau­stein OPR4Bau­stein OPR4 hat dies lei­der noch kei­nen Ein­zug gefun­den. Aber die Rich­tung stimmt.

Eine siche­re Passwort-Richtlinie

Die aktua­li­sier­ten Pass­wort­emp­feh­lun­gen lau­ten (zusam­men­ge­fasst):

  • Kei­ne Son­der­zei­chen mehr: Eine Aus­wahl an Groß- und Klein­buch­sta­ben zusam­men mit Zah­len ist aus­rei­chend. Besser ..
  • Län­ge­re Pass­wör­ter: Ein um nur einen Buch­sta­ben ver­län­ger­tes Pass­wort ver­grö­ßert den Such­raum für Pass­wort­kna­cker mehr als ein Son­der­zei­chen. 12 Stel­len sind Mini­mum, bes­ser 20, Opti­mum 64. Dabei dür­fen durch­aus gan­ze Sät­ze zum Ein­satz kom­men. Solan­ge es sich dabei nicht um bekann­te Zita­te oder Rede­wen­dun­gen han­delt (Risi­ko Wörterbuchattacke!).
  • Kei­ne regel­mä­ßi­gen Ände­run­gen mehr: Es erhöht sich ledig­lich die Gefahr des Ver­ges­sens oder Auf­schrei­bens von Pass­wör­tern. Das schafft kei­ne Sicher­heit, im Gegenteil!
  • Kei­ne Sicher­heits­fra­gen zur Frei­schal­tung: Wo liegt die Sicher­heit, wenn sich die Fra­ge “Wie heißt ihr Haus­tier?” aus dem öffent­li­chen Face­book Pro­fil eines Nut­zers beant­wor­ten lässt?

Wir emp­feh­len zusätz­lich eine Bedro­hungs­ana­ly­se für die zu schüt­zen­den Log­ins. Grei­fen wei­te­re Sicher­heits­maß­nah­men wie auto­ma­ti­sche Sper­re nach x Fehl­ver­su­chen , kön­nen auch kür­ze­re Pass­wör­ter durch­aus Sinn machen. Beant­wor­ten Sie sich doch ein­fach mal die Fra­ge, wie­so Ban­ken eine EC-Kar­te mit einer PIN aus 4 Zif­fern schüt­zen? Weil Sie kei­ne Ahnung von Sicher­heit und Risi­ken haben? Oder weil die Kar­te nach 3 Fehl­ver­su­chen ein­fach gesperrt wird?

Natür­lich kann es zwin­gen­de Grün­de geben, ein Pass­wort doch mal zu ändern:

  • Es hat jemand bei der Ein­ga­be des Pass­worts zuge­se­hen (Shoul­der Surfing)
  • Sie haben Ihr Pass­wort wei­ter­ge­ge­ben, statt einen Stell­ver­tre­ter­zu­griff einzurichten
  • Ihre Zugangs­da­ten wer­den bei „Have I been paw­ned“„Have I been paw­ned“ oder auch dem Iden­ti­ty Leak Che­ckerIden­ti­ty Leak Che­cker des HPI (umfang­rei­cher als HIBP) als kom­pro­mit­tiert gemeldet

Aber nur weil jedes Jahr der sog. „Chan­ge your Password“-Day aus­ge­ru­fen ist, brau­chen Sie nicht aktiv zu werden.

In vie­len Fäl­len kann als wei­te­re — unab­hän­gi­ge — Schutz­maß­nah­me auch eine Zwei-Fak­tor-Authen­ti­fi­zie­rung (2FA) zum Ein­satz kom­men und sehr nütz­lich sein. Neben dem Log­in mit Benut­zer­na­me und Pass­wort wird über eine wei­te­re unab­hän­gi­ge Kom­po­nen­te (Fak­tor) ein mehr­stel­li­ger Code zeit­ab­hän­gig gene­riert, der zusätz­lich ange­ge­ben wer­den muss. Die­se Kom­po­nen­te kann ein Hard­ware-Token, eine Key­card oder auch ein Smart­pho­ne sein. Es gibt zahl­rei­che wei­te­re Mög­lich­kei­ten für eine 2FA (Bei­trag auf Wiki­pe­dia mit Erklä­run­gen). Durch die Kom­bi­na­ti­on die­ser bei­den von­ein­an­der unab­hän­gi­gen not­wen­di­gen Anga­ben für den Log­in ent­steht ein sehr hoher Schutz. Vor­aus­ge­setzt, auf den zwei­ten Fak­tor wird gut auf­ge­passt (Schutz des Smart­pho­nes mit Code-Sper­re bei Inak­ti­vi­tät, Absi­che­rung der 2FA App auf dem Smart­pho­ne mit wei­te­rem Code oder Fingerprint).

Suchen Sie Argu­men­te, die haus­in­ter­ne Pass­wort­richt­li­nie zeit­ge­mäß und sicher umzu­ge­stal­ten? Ori­en­tie­ren Sie sich an der neu­en NIST Poli­cy. Fak­ten zu den Mythen und Irr­tü­mern als Argu­men­ta­ti­ons­hil­fe fin­den Sie in unse­rem Blog­bei­trag “Über Bord mit ver­al­te­ten star­ren Pass­wort-Richt­li­ni­en”.

Sinn­voll ist es sicher­lich, Admin-Kenn­wör­ter stren­ge­ren Schutz­re­ge­lun­gen zu unter­wer­fen. Ser­ver­diens­te soll­te nicht nicht als Haupt­ad­min lau­fen, son­dern einen eige­nen Diens­te-Admin erhal­ten. Admi­nis­tra­to­ren ver­fü­gen über zwei Nut­zer­ac­counts: Den per­so­nen­be­zo­ge­nen Admi­nis­tra­ti­ons­ac­count und einen Stan­dard­nut­zer. Kei­ne Admin-Auf­ga­be zu erle­di­gen, dann wird auch nur im Stan­dard­nut­zer gear­bei­tet. Und eigent­lich selbst­er­klä­rend: Admi­nis­tra­ti­ons-Accounts haben per Grup­pen­richt­li­nie kei­nen Zugriff auf das Inter­net (lei­der immer noch nicht weit verbreitet).

Auch am Pri­vat-PC gilt: Ein Admin-Account für Instal­la­ti­on und Kon­fi­gu­ra­ti­on, ein nor­ma­ler Nut­zer mit ein­ge­schränk­ten Rech­ten für das täg­li­che Sur­fen, Mai­len und Dad­deln. Kos­tet wenig Zeit für das Umlog­gen bei Bedarf, erhöht aber das Schutz­le­vel um einiges.

Und nut­zen Sie für die Flut an Pass­wör­tern doch ein­fach einen Pass­wort-Tre­sor (kei­ne Cloud-Anbie­ter) wie Kee­pass. Eine prak­ti­sche Anlei­tung und Hil­fe fin­den Sie hier im Blog.Eine prak­ti­sche Anlei­tung und Hil­fe fin­den Sie hier im Blog.

Wei­te­re Bei­trä­ge zum The­ma Passwort

Ihr Daten­schutz­be­auf­trag­ter oder Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ter unter­stützt Sie ger­ne bei die­sem The­ma. Sie haben kei­nen? Spre­chen Sie uns an.

Update 01.02.2020:
Ergän­zen von Grün­den für Pass­wort-Wech­sel, Hin­wei­se auf Umgang mit Admin-Accounts, Ver­weis auf BSI Draft Bau­stein ORP.4

Infor­ma­ti­ons­si­cher­heits­kon­zept Arbeits­hil­fe V 3.0 erschie­nen — jetzt mit LSI Siegel

Wer benö­tigt ein Informationssicherheitskonzept?

Jede Orga­ni­sa­ti­on ist gefor­dert, die Anfor­de­run­gen aus Art. 32 DSGVO zu erfül­len. Da steht in Absatz 1:

Unter Berück­sich­ti­gung des Stands der Tech­nik, der Imple­men­tie­rungs­kos­ten und der Art, des Umfangs, der Umstän­de und der Zwe­cke der Ver­ar­bei­tung sowie der unter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwe­re des Risi­kos für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen tref­fen der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, um ein dem Risi­ko ange­mes­se­nes Schutz­ni­veau zu gewähr­leis­ten; die­se Maß­nah­men schlie­ßen gege­be­nen­falls unter ande­rem Fol­gen­des ein:

a) die Pseud­ony­mi­sie­rung und Ver­schlüs­se­lung per­so­nen­be­zo­ge­ner Daten;
b) die Fähig­keit, die Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Belast­bar­keit der Sys­te­me und Diens­te im Zusam­men­hang mit der Ver­ar­bei­tung auf Dau­er sicherzustellen;
c) die Fähig­keit, die Ver­füg­bar­keit der per­so­nen­be­zo­ge­nen Daten und den Zugang zu ihnen bei einem phy­si­schen oder tech­ni­schen Zwi­schen­fall rasch wiederherzustellen;
d) ein Ver­fah­ren zur regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Eva­lu­ie­rung der Wirk­sam­keit der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Gewähr­leis­tung der Sicher­heit der Verarbeitung.

Unter b) sind die Grund­wer­te der Infor­ma­ti­ons­si­cher­heit Ver­trau­lich­keit, Ver­füg­bar­keit und Inte­gri­tät genannt. Betrach­ten wir die Kurz­de­fi­ni­tio­nen aus der Infor­ma­ti­ons­si­cher­heit hierzu.

Ver­trau­lich­keit: Kei­ne unbe­rech­tig­te Kennt­nis­nah­me (bis hin zum Miß­brauch) der Infor­ma­tio­nen, weder durch Mit­ar­bei­ter noch durch Externe.

Inte­gri­tät: Die Infor­ma­tio­nen sind kor­rekt, voll­stän­dig und unver­fälscht. Ände­run­gen sind nach­voll­zieh­bar und rück­gän­gig zu machen.

Ver­füg­bar­keit: Die Infor­ma­tio­nen ste­hen zur rich­ti­gen Zeit am rich­ti­gen Ort zur Ver­fü­gung (nicht beschränkt auf IT-Ver­füg­bar­keit). [Ver­füg­bar­keit ist in der Tat erst an drit­ter Stel­le, auch wenn in der Pra­xis um das The­ma Aus­fall­zei­ten ger­ne der Tanz um das gol­de­ne Kalb stattfindet.]

Die­se Grund­wer­te der Infor­ma­ti­ons­si­cher­heit sicher­zu­stel­len, ist das Ziel eines jeden Infor­ma­ti­ons­si­cher­heits­kon­zepts, auch des Stan­dards der sog. “Arbeits­hil­fe”.

Unter­punkt d) ver­langt von Ihrer Orga­ni­sa­ti­on, die Wirk­sam­keit der im Hin­blick auf Ver­trau­lich­keit, Inte­gri­tät und Ver­füg­bar­keit ergrif­fe­nen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men regel­mä­ßig zu prü­fen und bei Bedarf nach­zu­jus­tie­ren oder geeig­ne­te zusätz­li­che bzw. ergän­zen­de Schutz­maß­nah­men ein­zu­füh­ren. Auch dies ist eine der Kern­funk­tio­nen eines funk­tio­nie­ren­den Informationssicherheitskonzepts.

Salopp gesagt, ver­langt die DSGVO von Orga­ni­sa­tio­nen in die­sem Fall nicht weni­ger als die Ein­füh­rung eines Infor­ma­ti­ons­si­cher­heits­kon­zepts und des­sen kon­ti­nu­ier­li­chen Betrieb. Klar kann man ver­su­chen, sich auch selbst ein Kon­zept zu “bas­teln”, bleibt nur die Fra­ge “Wie­so soll­te man das tun?”

Baye­ri­sche Kom­mu­nen sind per Gesetz (Bay­E­GovG) sogar dazu ver­pflich­tet, bis zum 01.01.2020 ein Infor­ma­ti­ons­si­cher­heits­kon­zept ein­ge­führt und im lau­fen­den Betrieb zu haben.

Bewähr­te Stan­dards wie die ISO 27001, der BSI IT-Grund­schutz, ISIS12 (als Ablei­tung aus dem IT-Grund­schutz) sind seit vie­len Jah­ren bewähr­te Stan­dards, um ein Infor­ma­ti­ons­si­cher­heits­kon­zept ein­zu­füh­ren, zu betrei­ben und damit auch die Anfor­de­run­gen aus Art. 32 DSGVO zu erfül­len. Die­se Stan­dards ska­lie­ren zwar auch für klei­ne­re Orga­ni­sa­tio­nen, sind den­noch sehr res­sour­cen­in­ten­siv. Hier hat für den kom­mu­na­len Bereich die Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne im Auf­trag der Baye­ri­schen Kom­mu­na­len Spit­zen­ver­bän­de ange­setzt und gera­de für klei­ne­re kom­mu­na­le Ein­rich­tun­gen durch a.s.k. Daten­schutz die “Arbeits­hil­fe zur Ein­füh­rung eines Infor­ma­ti­ons­si­cher­heits­kon­zepts nach Art. 11 Bay­E­GovG” ent­wi­ckeln las­sen. Die­ser Stan­dard basiert auf den Erkennt­nis­sen und Vor­ge­hens­wei­sen aus zahl­rei­chen IT-Grund­schutz-Pro­jek­ten sowie dem frü­he­ren “Quick Check Daten­schutz + Daten­si­cher­heit”. Ent­ge­gen der Bezeich­nung und ursprüng­li­chen Aus­rich­tung auf den kom­mu­na­len Bereich ist die “Arbeits­hil­fe” uni­ver­sell ein­setz­bar und natür­lich auch in Unter­neh­men ein­setz­bar. Hier­zu sind ledig­lich Begriff­lich­kei­ten anzu­pas­sen, statt Bür­ger­meis­ter heißt es dann eben Geschäftsführer.

Stan­dard für Infor­ma­ti­ons­si­cher­heit Arbeits­hil­fe Ver­si­on 3.0 erschienen

Am 26. Sep­tem­ber 2019 ist die Arbeits­hil­fe mitt­ler­wei­le in Ver­si­on 3.0 erschie­nen. Die Wei­ter­ent­wick­lung und Anpas­sung oblag erneut uns von der a.s.k. Daten­schutz. Neben Aktua­li­sie­run­gen z.B. bei Links zum gera­de auf­ge­frisch­ten BSI IT-Grund­schutz stand neben der Feh­ler­kor­rek­tur die Anpas­sung an das Sie­gel “Kom­mu­na­le IT-Sicher­heit” des Lan­des­amts für Sicher­heit in der Infor­ma­ti­ons­tech­nik — kurz LSI — in Nürn­berg im Vor­der­grund. Wenn Sie mehr über das LSI Sie­gel erfah­ren wol­len, fin­den Sie Details hier­zu in einem wei­te­ren Blog­bei­trag.

Kom­mu­na­le Ein­rich­tun­gen, die sich zur Ein­füh­rung eines Infor­ma­ti­ons­si­cher­heits­kon­zepts auf Basis der Arbeits­hil­fe ent­schei­den, erfül­len mit der Umset­zung die Anfor­de­run­gen des LSI zum Erhalt des Sie­gels “Kom­mu­na­le IT-Sicher­heit”. Das setzt natür­lich eine ernst­haf­te und ehr­li­che Bear­bei­tung der 9 Kapi­tel der Arbeits­hil­fe zur Infor­ma­ti­ons­si­cher­heit in der Kom­mu­ne voraus.

Hier geht es direkt zum Down­load der Arbeits­hil­fe V 3.0. Soll­te der Link nicht mehr funk­tio­nie­ren, nut­zen Sie bit­te die Start­sei­te der Inno­va­ti­ons­stif­tung und suchen die Ver­öf­fent­li­chung vom 28.09.2019.

Mit a.s.k. Daten­schutz und der Arbeits­hil­fe zum Sie­gel “Kom­mu­na­le IT-Sicherheit”

Wenn Sie sich bei der Ein­füh­rung der Arbeits­hil­fe in Ihrer Ver­wal­tung durch das Team von a.s.k. Daten­schutz unter­stüt­zen las­sen, dann über­neh­men wir am Ende die For­ma­li­tä­ten der not­wen­di­gen Anga­ben und Aus­künf­te gegen­über des LSI. Einem Erhalt des Sie­gels soll­te dann nichts mehr im Wege stehen.

Soll­ten wir Sie im Anschluß auch als exter­ne Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te betreu­en, küm­mern wir uns mit Ihnen gemein­sam auch um die Ver­län­ge­rung des Sie­gels nach Ablauf der 2 Jah­re Gül­tig­keits­dau­er. Dazu muss dem LSI der Wei­ter­be­trieb Ihres Infor­ma­ti­ons­si­cher­heits­kon­zepts belegt bzw. nach­ge­wie­sen wer­den. Auch dies wür­den wir von a.s.k. Daten­schutz übernehmen.

Übri­gens nut­zen wir zur Ein­füh­rung und zum Betrieb Ihres Infor­ma­ti­ons­si­cher­heits­kon­zepts auf Basis der Arbeits­hil­fe eine hoch­mo­der­ne und voll­ver­schlüs­sel­te Pro­jekt­platt­form. Damit wird die Bear­bei­tung der Punk­te zwar kein Kin­der­spiel, aber die Doku­men­ta­ti­on dazu erle­digt sich fast von selbst. Gleich­zei­tig ver­säu­men Sie und wir kei­ne Revi­si­ons­ter­mi­ne und Wie­der­vor­la­gen. Mehr Infos in die­sem Blog­bei­trag. Unse­re Platt­form ist bereits für Ver­si­on 3.0 der Arbeits­hil­fe aktua­li­siert und angepasst.

Unter­neh­men und die Arbeits­hil­fe als Informationssicherheitskonzept

Wie ein­gangs schon beschrie­ben, ist auch dies kein Pro­blem. In der Wort­wahl wer­den zwar kom­mu­na­le Funk­tio­nen adres­siert, aber die inhalt­li­chen Anfor­de­run­gen an Infor­ma­ti­ons­si­cher­heit sind zwi­schen Unter­neh­men und Behör­den iden­tisch. Erset­zen Sie in Gedan­ken ein­fach Begrif­fe wie “Bür­ger­meis­ter” mit “Geschäfts­füh­rer” und schon sind Sie in der Unter­neh­mens­welt angekommen.

Das ein­zi­ge Man­ko: Das LSI Sie­gel “Kom­mu­na­le IT-Sicher­heit” kann nur von kom­mu­na­len Ein­rich­tun­gen erwor­ben wer­den. Als Unter­neh­men sind Sie hier außen vor. Ger­ne unter­stüt­zen wir auch Ihr Unter­neh­men bei der Ein­füh­rung eines Informationssicherheitskonzepts.

Ange­bot Infor­ma­ti­ons­si­cher­heits­kon­zept für Kom­mu­nen bzw. Behörden

Sie wün­schen ein unver­bind­li­ches Ange­bot? Dann nut­zen Sie ein­fach unser ver­schlüs­sel­tes Anfra­ge-For­mu­lar. Wir mel­den uns zeit­nah bei Ihnen.

Unver­bind­li­ches Ange­bot anfordern

 

 

 

 

Die mobile Version verlassen