Zum Inhalt springen

Schutz

Schutzschild

“Ände­re-Dein-Pass­wort-Tag” — Und jähr­lich grüßt das Mur­mel­tier. Dann doch lie­ber 2FA

Alle Jah­re wie­der, so auch heu­te zum 01.02.2022 hallt es aus diver­sen Nach­rich­ten­ka­nä­len “Leu­te, ändert regel­mä­ßig euer Pass­wort. Bei­spiels­wei­se heu­te, am sog. Ände­re-Dein-Pass­wort-Tag.” Nun, kann man machen, ist aber nicht unbe­dingt sinn­voll. In Blog­bei­trä­gen 2016 (aktua­li­siert 2018: “Über Bord mit ver­al­te­ten star­ren Pass­wort-Richt­li­ni­en”), 2017 (“Ände­re-Dein-Pass­wort-Tag: Über Sinn und Unsinn des regel­mä­ßi­gen Pass­wort­wech­sels”) und 2018 (Update 2020: “„Ich bereue den Pass­wort-Wahn­sinn“ – weg mit den Pass­wort Mythen”) haben wir uns mit die­ser For­de­rung zum regel­mä­ßi­gen Pass­wort­wech­sel aus­ein­an­der­ge­setzt und sind dabei — wie seit 2017 die NIST (Natio­nal Insti­tu­te of Stan­dards and Tech­no­lo­gy) als eigent­li­cher Ver­ur­sa­cher die­ser “Ange­wohn­heit” — zu einem ande­ren Schluss gekom­men: Fin­ger weg vom regel­mä­ßi­gen Pass­wort­wech­sel. Lie­ber Zwei-Fak­tor-Authen­ti­fi­zie­rung (2FA) ein­rich­ten. War­um und wie­so? Lesen Sie hier.

War­um bzw. wann soll­te ich ein Pass­wort über­haupt ändern bzw. wechseln?

“Na, das ist doch sicher!” — “Und das haben wir ja schon immer so gemacht!” — Und im Zwei­fel ver­langt es auch noch die Pass­wort-Richt­li­nie des einen oder ande­ren Unter­neh­mens oder auch der Behör­de. Doch sind das wirk­lich gute und belast­ba­re Grün­de für einen Pass­wort­wech­sel? Mög­lichst noch in Inter­val­len von 30–90 Tagen? Und für jedes Log­in noch ein ande­res Pass­wort? Ende vom Lied: Pass­wör­ter wer­den alpha­be­tisch oder nume­risch hoch­ge­zählt oder schlimms­ten­falls auf­ge­schrie­ben, abge­legt unter dem Schreib­tisch­scho­ner. Das ist natür­lich rich­tig sicher 🙂

Doch es gibt in der Tat wirk­lich 3 gute Grün­de, das Pass­wort zu ändern:

  1. Das Pass­wort wur­de aus­ge­späht, zumin­dest besteht der Verdacht.
  2. Das Pass­wort wur­de unnö­ti­ger­wei­se einer Kol­le­gin oder einem Kol­le­gen bekannt­ge­ge­ben, obwohl dazu tech­nisch nor­ma­ler­wei­se gar kein Grund besteht.
  3. Es han­delt sich um ein Initia­li­sie­rungs­pass­wort, das nach der Nut­zung durch das eigent­li­che Pass­wort ersetzt wer­den muss.

Und Ende der Aufzählung.

Bes­ser: Zwei-Fak­tor-Authen­ti­fi­zie­rung (2FA) akti­vie­ren, statt Pass­wort zu ändern

Es ist kei­ne all­zu neue Erkennt­nis, dass die Absi­che­rung von Log­ins aus­schließ­lich mit Benut­zer­na­me und Pass­wort in den meis­ten Anwen­dungs­fäl­len kei­nen aus­rei­chen­den Schutz bie­tet. Aus die­sem Grund ist es mitt­ler­wei­le üblich, wo es nur geht und vor­ge­se­hen ist, einen zusätz­li­chen Schutz­fak­tor ein­zu­bau­en bzw. zu nut­zen. Ein bewähr­tes Mit­tel ist die sog. Zwei-Fak­tor-Authen­ti­fi­zie­rung, kurz 2FA.

Die Zwei-Fak­tor-Authen­ti­sie­rung (2FA), häu­fig auch Zwei-Fak­tor-Authen­ti­fi­zie­rung genannt, bezeich­net den Iden­ti­täts­nach­weis eines Nut­zers mit­tels der Kom­bi­na­ti­on zwei­er unter­schied­li­cher und ins­be­son­de­re unab­hän­gi­ger Kom­po­nen­ten (Fak­to­ren). Typi­sche Bei­spie­le sind Bank­kar­te plus PIN beim Geld­au­to­ma­ten, Fin­ger­ab­druck plus Zugangs­code in Gebäu­den, oder Pass­phra­se und Trans­ak­ti­ons­num­mer (TAN) beim Online-Ban­king. Die Zwei-Fak­tor-Authen­ti­sie­rung ist ein Spe­zi­al­fall der Multi-Faktor-Authentisierung.

Für kri­ti­sche Anwen­dungs­be­rei­che wird die Zwei-Fak­tor-Authen­ti­sie­rung emp­foh­len, so bei­spiels­wei­se vom deut­schen Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) in sei­nen IT-Grund­schutz- Kata­lo­gen. Im Bank­we­sen wur­de mit der EU-Zah­lungs­diens­te-Richt­li­nie die Zwei-Fak­tor- Authen­ti­sie­rung für den Euro­päi­schen Wirt­schafts­raum 2018 sogar ver­pflich­tend ein­ge­führt. Mitt­ler­wei­le gibt es sehr vie­le Anbie­ter, die für Ihre Web­sei­ten /​ Log­in-Berei­che, aber auch ande­re Anmel­de-Vor­gän­ge eine 2FA nicht nur anbie­ten, son­dern ver­bind­lich machen.

Die Zwei-Fak­tor-Authen­ti­sie­rung ist nur dann erfolg­reich, wenn bei­de fest­ge­leg­ten Fak­to­ren zusam­men ein­ge­setzt wer­den und kor­rekt sind. Fehlt eine Kom­po­nen­te oder wird sie falsch ver­wen­det, lässt sich die Zugriffs­be­rech­ti­gung nicht zwei­fels­frei fest­stel­len und der Zugriff wird ver­wei­gert. Jetzt könn­te man ja sagen, Benut­zer­na­me und Pass­wort sind doch schon zwei Kom­po­nen­ten. Das ist so aber nicht ganz rich­tig. Denn auf­grund der meist vor­ge­ge­be­nen Benut­zer­na­men wie die eige­ne Email-Adres­se oder Vorname.Nachname ist die­ser ers­te Fak­tor „ver­brannt“. Es muss daher neben dem Pass­wort ein wei­te­rer siche­rer Fak­tor her. Kor­rek­ter­wei­se wür­de man die Kom­bi­na­ti­on Benut­zer­na­me + Pass­wort + wei­te­rer Fak­tor als Mul­ti­fak­tor- Authen­ti­fi­zie­rung bezeich­nen. In der Pra­xis ist es dann doch nur eine 2FA aus dem zuvor genann­ten Grund.

In der Pra­xis greift man oft auf die­se Kom­bi­na­ti­on zurück:

  1. Benut­zer­na­me
  2. Pass­wort
  3. Authen­ti­ca­tor /​ Authen­ti­fi­ca­tor (z.B. App auf dem Han­dy oder Pro­gramm auf dem Desktop)

Das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik hat das The­ma in sei­ner Rei­he “BSI für Bür­ger” das The­ma anschau­lich und mit einem kur­zen Video auf­be­rei­tet, wer es noch mal genau­er und anschau­li­cher wis­sen will (exter­ner Link zum Bei­trag des BSI).

2FA ist kei­ne Raketenwissenschaft

Gele­gent­lich könn­te man mei­nen, 2FA ist “rocket sci­ence” bzw. Rake­ten­wis­sen­schaft. Und da noch nicht aus­rei­chend erforscht und man­gels Erfah­run­gen damit, soll­te man doch eher Abstand davon neh­men. Zumin­dest trifft man sol­che Ten­den­zen durch­aus immer wie­der bei IT-Ver­ant­wort­li­chen und /​ oder Anwen­dern. Fragt man jedoch genau­er nach, resul­tiert die Abnei­gung doch eher daher, sich (als Mensch) oder etwas (die Tech­nik) ändern bzw. den Erfor­der­nis­sen der Zeit anpas­sen zu müs­sen. Und wir wis­sen bekannt­lich alle, der Mensch ist ein Gewohn­heits­tier. Das wis­sen auch Angrei­fer und machen sich die­se Schwach­stel­le ger­ne zunutze.

Vor vie­len Jah­ren war 2FA nicht weit ver­brei­tet, das ist wahr. Mitt­ler­wei­le ist dem aber nicht mehr so. Die meis­ten täg­lich bzw. regel­mä­ßig genutz­ten Log­ins las­sen sich mit­tels 2FA zusätz­lich absi­chern. Daher stuft das BSI 2FA auch nicht mehr als Kür ein, son­dern emp­fiehlt die Nut­zung von 2FA mitt­ler­wei­le als Basis­tipp zur IT-Sicher­heit. Gut, auch das hat vie­le Jah­re gedau­ert, aber das BSI hat sei­ne frü­he­re nicht opti­ma­le Hal­tung zum The­ma Pass­wort­wech­sel kor­ri­giert und den BSI IT-Grund­schutz eben­falls dahin­ge­hend angepasst.

Es gibt daher kei­nen Grund, sich nicht mit dem The­ma 2FA zu befas­sen und die­se, sofern vor­han­den, für die eige­nen Log­ins zu akti­vie­ren, wo mög­lich. Es schläft sich wirk­lich ruhi­ger. Das kann der Autor aus eige­ner Erfah­rung berichten 🙂

“Ja, aber ..”

  • “Dann muss ich ja immer mein Smart­pho­ne mit mir rum­tra­gen?” — “Ja und? Machen Sie doch eh!” 🙂
  • “Wenn ich das pri­vat gar nicht nut­ze und kein Dienst­han­dy habe, dann muss ich die 2FA-App den­noch auf mei­nem Pri­vat­ge­rät instal­lie­ren!” — “Ja, und? Die Abnut­zung dadurch hält sich in Gren­zen und es wird nie­mand bei Sinn und Ver­stand auf die Idee kom­men, das nun als BYOD (bring your own device) ein­zu­stu­fen und zu regeln. Und Sie haben dop­pel­ten Nut­zen: Ein mal instal­liert, kön­nen Sie nun auch gleich ihre pri­va­ten Log­ins damit absichern!”
  • “Unse­re IT will das nicht!” — “Salopp: https://​de​.wiki​pe​dia​.org/​w​i​k​i​/​E​i​n​l​a​u​f​_​(​M​e​d​i​zin)” oder “Ver­wei­sen Sie auf gän­gi­ge Stan­dards für Infor­ma­ti­ons­si­cher­heit sowie das BSI. Die­se erklä­ren und for­dern 2FA. Es muss schon sehr trif­ti­ge Grün­de geben, davon Abstand zu neh­men. Die­se müs­sen doku­men­tiert sein, wie­so und durch wen es zu der Ableh­nung gekom­men ist. Für den Fall, dass dann doch etwas pas­siert, weiß man ja, wen man anspre­chen muss :-)”
  • “Isch abe gar kein Han­dy!” — “Ja, und? Es gibt die Soft­ware-Lösun­gen auch für den Desk­top der gän­gi­gen Betriebs­sys­te­me. Unprak­ti­scher, wenn das Gerät gera­de nicht an ist, aber bes­ser als nichts.”
  • Bit­te ergän­zen Sie die Auf­zäh­lung mit zahl­rei­chen wei­te­ren Argu­men­ten, war­um 2FA nicht genutzt wer­den kann und ver­wer­fen Sie die­se augen­blick­lich wieder 🙂

2FA: Back­up-Codes nicht vergessen

Selbst gestan­de­ne IT-Kory­phä­en tun sich mit 2FA gele­gent­lich schwer. Die Instal­la­ti­on und Ein­rich­tung geht noch locker von der Hand, aber dann wird eins schnell ver­ges­sen: Das Abspei­chern der oder des sog. Back­up-Codes. Die­se sind not­wen­dig, wenn man den Zugriff auf das Gerät ver­liert, auf dem der Gene­ra­tor (Authen­ti­ca­tor) für 2FA instal­liert ist z.B. bei Defekt oder Ver­lust des Smart­pho­nes oder Aus­fall der Fest­plat­te (bei Desk­top-Instal­la­tio­nen). Denn ohne gül­ti­gen 2FA-Code kommt man nicht an /​ in den Account. Sprich man kann dann auch kein neu­es Gerät für die 2FA hin­ter­le­gen. Das ist ver­gleich­bar mit das Haus ver­las­sen, Tür hin­ter sich zuzie­hen und dann mer­ken, der Haus­tür­schlüs­sel liegt noch drin­nen auf der Kom­mo­de. Der Pro­zess, um jetzt den Account wie­der zugäng­lich zu machen ist auf­wen­dig und zeit­rau­bend z.B. durch Iden­ti­täts­nach­wei­se etc. Und das liegt in der Natur der Din­ge. Soll­te sich 2FA näm­lich durch eine ein­fa­che Email oder einen Anruf beim Sup­port deak­ti­vie­ren las­sen, wäre der Schutz­wert von 2FA ver­lo­ren. Es könn­te sich ja jeder als Sie aus­ge­ben und den Schutz­me­cha­nis­mus deaktivieren.

Von daher die Bit­te: Immer nach Ein­rich­tung eines 2FA für einen Log­in den ange­bo­te­nen Back­up-Code kopie­ren /​ her­un­ter­la­den und sicher ver­wah­ren. Dazu eig­nen sich bes­tens sog. Pass­wort-Tre­so­re (sie­he Ende des Beitrags).

“Ich bereue den Passwort-Wahnsinn”

In einem Inter­view hat sich der für die Emp­feh­lung Pass­wör­ter regel­mä­ßig zu wech­seln ver­ant­wort­li­che Mit­ar­bei­ter der NIST nun in Ren­te ste­hen­de Burr gegen­über der Washing­ton Post geäu­ßert. „Die Wahr­heit ist: Ich war auf dem fal­schen Damp­fer.“ Das NIST hat im Som­mer 2017 die­se damals 14 Jah­ren alten Emp­feh­lun­gen und Rege­lun­gen zur Pass­wort­si­cher­heit kom­plett über­ar­bei­tet. Und die­sen Wahn­sinn damit eigent­lich gestoppt. Der “Ände­re-Dein-Pass­wort-Tag” ist lei­der nicht totzukriegen.

Abschlie­ßen­der Tipp: Pass­wort-Tre­so­re nutzen

Bei der Viel­zahl an Pass­wör­tern, die sich im Lau­fe eines akti­ven Nutzer­le­bens so ansam­meln, darf man ruhig auf Hel­fer­lein zurück­grei­fen, die das Leben etwas leich­ter machen. Dazu gehö­ren u.a. die sog. Pass­wort-Tre­so­re. Hier­bei soll­te man jedoch nicht unbe­dingt auf Anbie­ter aus der Cloud (“Bei uns sind Ihre Pass­wör­ter zen­tral gespei­chert und sicher”) set­zen. Wer mal etwas nach Sicher­heits­vor­fäl­len bei den ein­schlä­gig bekann­ten Online-Anbie­tern sol­cher Lösun­gen sucht, wird schnell fün­dig. Es gibt kos­ten­freie Alter­na­ti­ven, die auch für weni­ger tech­nisch ver­sier­te Nut­zer leicht zu instal­lie­ren und zu bedie­nen sind. Und der Tre­sor mit den eige­nen wich­ti­gen Pass­wör­tern ver­bleibt bei einem selbst. Eine Lösung dafür ist bei­spiels­wei­se Kee­pass. Mehr zu die­sem Tool inkl. einer bebil­der­ten Anlei­tung zur Ein­rich­tung und Nut­zung fin­den Sie in unse­rem Blog­bei­trag “Siche­re und kom­for­ta­ble Pass­wort-Ver­wal­tung mit Kee­pass”.

Moder­ne Platt­form zu Ein­füh­rung und Betrieb eines Infor­ma­ti­ons­si­cher­heits­kon­zepts (Basis Arbeits­hil­fe) für klei­ne Orga­ni­sa­tio­nen gestartet

Soft­ware-Unter­stüt­zung für die Arbeitshilfe

End­lich nun auch für einen der klei­nen Stan­dards für Infor­ma­ti­ons­si­cher­heit ver­füg­bar: Soft­ware-Unter­stüt­zung für die Arbeits­hil­fe 4.0

Doch der Rei­he nach.

Wie­so ein Informationssicherheitskonzept?

Vie­le Orga­ni­sa­tio­nen ste­hen vor der Her­aus­for­de­rung, ent­we­der auf­grund gesetz­li­cher Vor­schrif­ten ein Infor­ma­ti­ons­si­cher­heits­kon­zept zu benö­ti­gen, damit den Nach­weis zur Wirk­sam­keit der eige­nen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men im Sin­ne der Beleg­pflicht der DSGVO erbrin­gen zu wol­len, weil es der eine oder ande­re Auf­trag­ge­ber für die Teil­nah­me an Aus­schrei­bun­gen for­dert oder schlicht, weil sie fest­ge­stellt haben, dass nur ein gesamt­heit­li­cher Ansatz schüt­zens­wer­te Infor­ma­tio­nen und per­so­nen­be­zo­ge­ne Daten in der eige­nen Orga­ni­sa­ti­on absi­chern kann. Grün­de gibt es also vie­le, sich um die Ein­füh­rung und den Betrieb eines Infor­ma­ti­ons­si­cher­heits­kon­zepts zu kümmern.

Wel­chen Stan­dard zur Infor­ma­ti­ons­si­cher­heit wählen?

Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­te­me (kurz ISMS) nach den Stan­dards wie die ISO 27001 oder der BSI IT-Grund­schutz sind bewähr­te Umset­zungs­mög­lich­kei­ten. Sagt man der ISO 27001 ein etwas erhöh­tes Maß an Abs­trakt­heit nach, lei­det der IT-Grund­schutz durch­aus an sei­ner Aus­führ­lich­keit (zumin­dest in 100‑x Stan­dards). Hin­zu kommt, dass der Auf­wand an Zeit und Kos­ten gera­de für klei­ne und mitt­le­re Unter­neh­men (KMU) und Kom­mu­nen weit über die gege­be­nen Mög­lich­kei­ten hinausgeht.

Einen Teil die­ser Lücke nach unten hat vor eini­gen Jah­ren der Stan­dard Infor­ma­ti­ons­si­cher­heit in 12 Schrit­ten (kurz ISIS12) schlie­ßen kön­nen. Die­ser kommt seit­her in vie­len deut­schen Unter­neh­men und Kom­mu­nen zum Ein­satz, teil­wei­se inklu­si­ve der mög­li­chen Zer­ti­fi­zie­rung durch die DQS GmbH (Und hier reden wir von einer voll­wer­ti­gen, unab­hän­gi­gen Zer­ti­fi­zie­rung, nicht von den durch die bera­ten­de Gesell­schaft als Zer­ti­fi­kat ange­prie­se­nen Testa­te.) ISIS12 lei­tet sich aus dem IT-Grund­schutz ab und wird der­zeit in Rich­tung der Vor­ge­hens­wei­se der ISO 27001 weiterentwickelt.

Für die drei bis­her genann­ten Stan­dards ste­hen bewähr­te Soft­ware­lö­sun­gen zur Ver­fü­gung. Gene­rell sind die­se Stan­dards auch nach unten ska­lier­bar, stel­len den­noch gera­de klei­ne­re Ein­rich­tun­gen nach wie vor vor ein Zeit- und Kos­ten­pro­blem. Die­se immer noch bestehen­de Lücke für klei­ne­re und kleins­te Ein­rich­tun­gen lässt sich mit zwei wei­te­ren Stan­dards in ange­mes­se­nem Kos­ten- und Auf­wands­rah­men schlie­ßen. Die Rede ist vom Stan­dard VdS 10000 (frü­her 3473) sowie der unter dem Pro­jekt­na­men “Arbeits­hil­fe” bekannt gewor­de­nen Sys­te­ma­tik der Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne aus Mün­chen.

Gera­de klei­ne und kleins­te Orga­ni­sa­tio­nen fin­den hier einen Werk­zeug­kas­ten, um sich dem The­ma sys­te­ma­tisch zu nähern, vor­han­de­ne tech­ni­sche und orga­ni­sa­to­ri­sche Schwach­stel­len zu iden­ti­fi­zie­ren und danach kon­ti­nu­ier­lich abzu­stel­len und ein Sicher­heits­kon­zept zu betrei­ben. Die Mög­lich­keit besteht jeder­zeit, in die höhe­ren Sys­te­ma­ti­ken upzugraden.

Die “Arbeits­hil­fe” wur­de im Auf­trag der Baye­ri­schen Kom­mu­na­len Spit­zen­ver­bän­de durch a.s.k. Daten­schutz für die Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne ent­wi­ckelt und ist mitt­ler­wei­le in Ver­si­on 4.0 erschie­nen. Trotz die­ses Ursprungs rich­tet sich die Arbeits­hil­fe nicht aus­schließ­lich an kom­mu­na­le Ein­rich­tun­gen. Infor­ma­ti­ons­si­cher­heit ist uni­ver­sell. Von daher sind ledig­lich eini­ge Begriff­lich­kei­ten für den Ein­satz in Unter­neh­men anzu­pas­sen (Geschäfts­füh­rer statt Bür­ger­meis­ter), das war es schon. Und jetzt mit auch Soft­ware-Unter­stüt­zung für die Arbeitshilfe.

Infor­ma­ti­ons­si­cher­heits­kon­zep­te bes­ser mit Software-Unterstützung

Selbst­ver­ständ­lich las­sen sich Infor­ma­ti­ons­si­cher­heits­kon­zep­te auch mit Papier und Stift oder etwas moder­ner mit­tels Word-For­mu­la­ren und Excel-Tabel­len abbil­den. Bei der Ein­füh­rung mag das auch noch aus­rei­chend sein. Doch im spä­te­ren Betrieb des Infor­ma­ti­ons­si­cher­heits­kon­zepts wird es schnell a) unüber­schau­bar und b) nicht mehr hand­hab­bar, z.B. um Wie­der­vor­la­ge­fris­ten ein­zu­hal­ten. Auch in Bezug auf das jeder­zei­ti­ge Repor­ting /​ Berichts­we­sen ist eine geeig­ne­te Soft­ware­un­ter­stüt­zung unschlagbar.

Die drei gro­ßen Stan­dards ISO 27001, BSI IT-Grund­schutz und ISIS12 kön­nen aus einem gro­ßen Ange­bot geeig­ne­ter Soft­ware­lö­sun­gen wäh­len. Bei den klei­ne­ren Stan­dards wird die Luft sehr schnell dünn bis hin zu feh­len­der Software-Unterstützung.

Soft­ware-Unter­stüt­zung für die Arbeits­hil­fe von a.s.k. Datenschutz

Gera­de für klei­ne Orga­ni­sa­tio­nen sind leicht ver­ständ­li­che und bedien­ba­re Soft­ware-Lösun­gen ein Muß. Zeit für lang­wie­ri­ge Soft­ware-Schu­lun­gen und Ein­ar­bei­tun­gen ist im Zwei­fel Man­gel­wa­re. Oft­mals wer­den klei­ne Ein­rich­tun­gen bei der Ein­füh­rung von exter­nen Dienst­leis­tern unter­stützt, nut­zen mög­li­cher­wei­se auch die Mög­lich­keit eines exter­nen Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten (sofern sinn­voll umsetzbar).

Hier setzt die Soft­ware-Lösung für unse­re (poten­ti­el­len) Kun­den kon­kret an:

  • Ver­schlüs­se­lung bei Über­tra­gung und Speicherung
  • Mehr­fak­tor-Authen­ti­fi­zie­rung
  • Brow­ser­ba­siert, Apps für Desk­top und mobi­le Geräte
  • Bear­bei­tung und gleich­zei­tig fort­lau­fen­de Doku­men­ta­ti­on aller Prüf­fra­gen der Arbeits­hil­fe und deren Umsetzung
  • Erstel­len von not­wen­di­gen Unteraufgaben
  • Zuwei­sen von Auf­ga­ben und Unter­auf­ga­ben an zustän­di­ge Per­so­nen in der Organisation
  • Dis­kus­si­ons­mög­lich­keit zwi­schen den Betei­lig­ten direkt in einem Prüf­punkt und damit nach­voll­zieh­ba­re Doku­men­ta­ti­on der Ent­schei­dungs­fin­dung und des Umset­zungs­sta­tus sowie des­sen Weiterentwicklung
  • Email-Benach­rich­tun­gen über Ände­run­gen und Auf­ga­ben­zu­wei­sun­gen (Hin­wei­se, kei­ne Über­mitt­lung der kon­kre­ten Inhal­te, die sol­len ja ver­schlüs­selt auf der Platt­form bleiben 🙂 )
  • Ter­min-Erin­ne­run­gen
  • Doku­men­ten­ver­sio­nie­rung
  • Jeder­zeit um wei­te­re Auf­ga­ben zu ergän­zen (z.B. wei­te­re iden­ti­fi­zier­te Schwach­stel­len außer­halb der Fra­gen der Arbeits­hil­fe, Doku­men­ta­ti­on der Bear­bei­tung von Daten­pan­nen etc.)
  • Aus­führ­li­ches Berichts­we­sen nach Kapi­teln, über das gesam­te Infor­ma­ti­ons­si­cher­heits­kon­zept oder nach Zuständigkeiten
  • Über­sich­ten über erle­dig­te /​ offe­ne Auf­ga­ben bzw. besei­tig­te /​ noch vor­han­de­ne Schwachstellen
  • Dis­kus­si­ons­platt­form zur Klä­rung von offe­nen Fragen
  • Betrieb in deut­schen Rechen­zen­tren (Ehren­sa­che)
  • uvm.

 

 

Inter­es­se geweckt an der Arbeits­hil­fe oder der Soft­ware-Lösung? Oder Fra­gen zum The­ma Infor­ma­ti­ons­si­cher­heits­kon­zept oder Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te? Spre­chen Sie uns an.

 

 

 

Coro­na App und Daten­schutz — ein Update und vie­le Grüße

Vor allem ande­ren möch­ten wir Sie lie­be Leu­te, lie­be Leser, lie­be Kun­den herz­lich grü­ßen. Wir hof­fen, dass es Ihnen und den Ihri­gen gut geht und dass Ihr Ein­stieg in das Home-Office bzw. in die  Coro­na beding­ten Son­der­si­tua­tio­nen ok bis gut war. Abge­se­hen von den inter­na­tio­nal schwie­ri­gen Zustän­den in Pfle­ge und Logis­tik — wie etwa das kol­lek­ti­ve Mas­ken­bas­teln in Indus­trie­län­dern — kön­nen ins­be­son­de­re Unge­wiss­hei­ten, sub­jek­ti­ve Inter­pre­ta­tio­nen und Unge­nau­ig­kei­ten in Bericht­erstat­tun­gen die­ser Tage schon ziem­lich ner­ven. Wenn Sie also zu Coro­na, Coro­na App, Daten­schutz oder Home-Office im All­ge­mei­nen etwas schrei­ben möch­ten, nut­zen Sie ger­ne das Kom­men­tar­feld zu die­sem Post. 

Ihr Team von a.s.k. Datenschutz. 

P.S. Wir sind gesund und mun­ter und hal­ten unse­re Por­sche Design Pyja­mas mode­ge­mäß 😉 Wir freu­en uns, Sie bald wie­der zu sehen. Und wenn Sie sich zu Daten­schutz etc. kurz­fris­tig bespre­chen möch­ten, las­sen Sie uns ein­fach ger­ne per Video Call in Ver­bin­dung treten. 

App Lösun­gen gegen Coro­na 

Um der Coro­na Pan­de­mie bes­ser Herr zu wer­den, sind ver­schie­de­ne Ansät­ze für soft­ware­ba­sier­te Lösun­gen ent­wi­ckelt wor­den, wie zum Bei­spiel die Kon­zep­te DP-3T und PEPP-PT, die auf per­so­nen­be­zo­ge­ne Daten zurück­grei­fen. Eine der­zeit beson­ders pro­mi­nen­te Vari­an­te ist das Con­ta­ct Tra­cing, bei der man als Nut­zer der zuge­hö­ri­gen App gewarnt wird, wel­che ande­ren App Nut­zer im Umkreis x infi­ziert sein kön­nen. Die EU-Kom­mis­si­on befasst sich mit dem Thema. 

EU-Kom­mis­si­on zu der Ver­ar­bei­tung von sen­si­blen Daten und der Coro­na App 

Der Daten­schutz­aus­schuss der EU-Kom­mis­si­on (EDPB) ist bestrebt, den Ent­wick­lungs­pro­zess von Apps und Soft­ware zur Coro­na Bekämp­fung nach daten­schutz­ge­rech­ten Maß­ga­ben zu för­dern. In die­sem Kon­text hat der Aus­schuss am Diens­tag, den 21.04.2020 eine Richt­li­nie zum Ein­satz von Ortungs­da­ten und Soft­ware­lö­sun­gen /​ Apps, wie etwa zur per­so­nen­be­zo­ge­nen Kon­takt­nach­ver­fol­gung, her­aus­ge­ge­ben, wel­che die natio­na­len Behör­den und die Deve­lo­per Ein­rich­tun­gen adressiert. 

Inhaltli­che Anfor­de­run­gen 

Bei der Aus­wer­tung sen­si­bler Daten und dem Ein­satz von Coro­na Apps sei­en Zweck­bin­dung, Trans­pa­renz und Daten­spar­sam­keit uner­läss­lich — alles zen­tra­le Pos­tu­la­te der DSGVO. In der auf Mas­se ange­leg­ten Ana­ly­se von Bewe­gungs­da­ten sei ein erheb­li­cher Ein­griff in die Frei­heits­rech­te zu sehen, daher sei hier das Prin­zip der Frei­wil­lig­keit (Abschnitt zu 2020-02) zu wahren. 

Stand­ort­da­ten sei­en grund­sätz­lich nicht zu erfas­sen, da sie für Mit­tei­lun­gen über mög­li­che Infek­ti­ons­ket­ten nicht benö­tigt wür­den und fer­ner die Auf­he­bung der Anony­mi­sie­rung erleich­ter­ten. Fer­ner sei eine Daten­schutz­fol­ge­ab­schät­zung für den Ein­satz sol­cher Apps durch­zu­füh­ren und zu veröffentlichen. 

Emp­feh­lun­gen auch zu Gestal­tung einer Coro­na App  

Die App könn­te über ein zen­tra­les Ser­ver­sys­tem betrie­ben wer­den mit restrik­ti­ven Zugriffs­be­rech­ti­gun­gen und gerä­te­ori­en­tier­ten, nati­ven Sicher­heits­maß­ga­ben. Es bestand gro­ße Unei­nig­keit betref­fend die Fra­ge des zen­tra­len oder dezen­tra­len App-Betriebs. Der Schwer­punkt sol­le dar­auf gelegt wer­den, dass Daten eher lokal gespei­chert werden. 

Kri­sen­be­ding­ter Umgang mit sensi­blen per­so­nen­be­zo­ge­nen Daten  

Die Richt­li­nie defi­niert auch Aus­nah­men für den Ermes­sens­spiel­raum der natio­na­len Behör­den, im Rah­men der Gesetz­ge­bung Aus­nah­men von DSGVO-Grund­sät­zen zu machen. So kann etwa das Erfor­der­nis der Ein­wil­li­gung für die Ver­ar­bei­tung von Gesund­heits­da­ten ent­fal­len, bzw. die Rechts­grund­la­ge durch Wahr­neh­mung einer Auf­ga­be des öffent­li­chen Inter­es­ses oder die Aus­übung öffent­li­cher Gewalt gege­ben sein. 

Eine Coro­na App in der Pra­xis 

Bril­lan­te Ent­wick­lun­gen wie das Con­ta­ct Tra­cing und die KI-basier­te Aus­wer­tung von Daten zur intel­li­gen­ten Gesund­heits­vor­sor­ge sind als wah­rer Fort­schritt in der not­wen­di­gen Digi­ta­li­sie­rung zu sehen. Dass der kon­struk­ti­ve Erfolg indes mit der effek­ti­ven Aus­füh­rung in allen orga­ni­sa­to­ri­schen Ebe­nen steht und fällt, beschäf­tigt die Daten­schutz­ex­per­ten weltweit. 

Fach­leu­te wie die des EU-Aus­schus­ses und der Daten­schutz­be­hör­de Schles­wig-Hol­stein sehen den Erfolg die­ses kon­kre­ten Pro­jekts auch ins­be­son­de­re vom Ver­trau­en des Anwen­ders in die pro­fes­sio­nel­le Ver­ar­bei­tung sei­ner Daten abhängig 

Oft wird in die­sem Kon­text aus­drück­lich dar­auf hin­ge­wie­sen, dass der Daten­schutz weder der Pan­de­mie­be­kämp­fung noch der For­schung im Wege steht. 

Was kos­tet ein exter­ner Datenschutzbeauftragter?

“Es kommt dar­auf an” — Was kos­tet ein exter­ner Datenschutzbeauftragter?

Was kos­tet ein exter­ner Daten­schutz­be­auf­trag­ter?”, die­se Fra­ge wird desöf­te­ren per Email oder als Blog-Kom­men­tar an uns her­an­ge­tra­gen.  Eine nach­voll­zieh­ba­re Fra­ge, gera­de wenn das eige­ne Unter­neh­men unter die gesetz­li­che Bestell­pflicht für einen Daten­schutz­be­auf­trag­ten fällt. Und gera­de in wirt­schaft­lich anstren­gen­den Pha­sen sind die Kos­ten ein rele­van­ter Fak­tor. Sind kei­ne wei­te­ren Anga­ben vor­han­den, dann fällt die Beant­wor­tung in etwa so leicht wie die von Fra­gen wie

  • Was kos­tet ein Auto?
  • Wie teu­er ist es, ein Haus zu bauen?
  • Wie viel muss ich für den nächs­ten Som­mer­ur­laub bezahlen?

Die ehr­li­che Ant­wort auf die Fra­ge nach den Kos­ten für einen exter­nen Daten­schutz­be­auf­trag­ten kann in die­sem Fall nur lau­ten: “Es kommt dar­auf an!”

Auf was kommt es bei den Kos­ten für einen exter­nen Daten­schutz­be­auf­trag­ten an?

Daten­schutz ist kein Pro­dukt von der Stan­ge, auch wenn das eine oder ande­re rei­ße­ri­sche Bil­lig­hei­mer-Ange­bot das glau­ben machen will. Daten­schutz ist stets eine indi­vi­du­el­le Leis­tung maß­ge­schnei­dert auf Ihre Orga­ni­sa­ti­on. Jede Unter­neh­mung ver­fügt über eine eige­ne Aus­gangs­si­tua­ti­on (Sta­tus Quo wie Anzahl der Mit­ar­bei­ter, Filia­len, Betriebs­rat, Richt­li­ni­en etc.), unter­schied­li­che Res­sour­cen zur Umset­zung, eine Viel­falt an zu betrach­ten­den Fak­to­ren (bei­spiels­wei­se die unter­schied­lichs­ten IT-Lösun­gen) und ein not­wen­di­ges Schutz­ni­veau je nach Bran­che und Art der per­so­nen­be­zo­ge­nen Daten in der Organisation.

All die­se Punk­te bedeu­ten ein Mehr oder Weni­ger an Auf­wand in der Umset­zung und Betreu­ung im Rah­men der Auf­ga­ben eines Daten­schutz­be­auf­trag­ten nach Art. 39 DSGVO. Sie wir­ken sich dem­nach direkt auf die ent­ste­hen­den Kos­ten aus. Umso wich­ti­ger ist es, mög­lichst vie­le die­ser Aspek­te zu ken­nen, um die ein­gangs genann­te Fra­ge seri­ös und vor allem ohne spä­te­re Preis­nach­ver­hand­lun­gen beant­wor­ten zu kön­nen. Zu die­sem Zweck kön­nen Sie unser kom­for­ta­bles Online-For­mu­lar nut­zen und damit Ihr Ange­bot anfor­dern. Ihre Anga­ben wer­den selbst­ver­ständ­lich ver­trau­lich behandelt.

Wuss­ten Sie schon, dass zahl­rei­che unse­rer Leis­tun­gen aus offi­zi­el­len För­der­mit­teln bezu­schusst wer­den kön­nen? Hier erfah­ren Sie mehr über För­der­mög­lich­kei­ten und Zuschüs­se für Bera­tungs­leis­tun­gen Daten­schutz & Infor­ma­ti­ons­si­cher­heit von a.s.k. Daten­schutz. Ein wei­te­rer Fak­tor, der Sie unter­stützt, die Belas­tung für die Kos­ten eines exter­nen Daten­schutz­be­auf­trag­ten gering zu halten.

Wie geht a.s.k. Daten­schutz als exter­ne Daten­schutz­be­auf­trag­te vor?

Im Rah­men eines ein- bis mehr­tä­gi­gen Daten­schutz-Audits vor Ort (zu Coro­na-Zei­ten erst mal nur remo­te) wird der Sta­tus Quo des Daten­si­cher­heit- und Daten­schutz-Niveaus Ihrer Orga­ni­sa­ti­on ermit­telt. Klar defi­nier­te Fra­gen­ka­ta­lo­ge zusam­men mit Ein­zel- und Grup­pen­ge­sprä­chen erge­ben ein deut­li­ches Bild und bil­den die Grund­la­ge für alle wei­te­ren Akti­vi­tä­ten. Nach Aus­wer­tung des Audits und der Gesprä­che steht ein Kata­log von Maß­nah­men und Emp­feh­lun­gen fest, mit des­sen Umset­zung die gesetz­lich vor­ge­schrie­be­nen Not­wen­dig­kei­ten in Ihrem Unter­neh­men sicher­ge­stellt wer­den. Der Kata­log wird in der sog. “Ein­füh­rungs­pha­se” gemein­sam unter Zuhil­fe­nah­me eines Online Pro­jekt Tools umge­setzt. Der Auf­wand für die­se Pha­se wird in Mann­ta­gen gemäß Ihren Anga­ben kal­ku­liert und abge­rech­net. Zumeist ist ein Pau­schal­preis ver­ein­bart, der alle Leis­tun­gen die­ser Pha­se umfasst. Beach­ten Sie mög­li­che För­der­mit­tel und Zuschüs­se.

Nach­dem in der Ein­füh­rungs­pha­se die not­wen­di­ge Basis geschaff­ten wur­de,  schließt sich nun die “Betreu­ungs­pha­se” als exter­ner Daten­schutz­be­auf­trag­ter an.  Die­se umfasst ein­ma­li­ge und wie­der­keh­ren­de Auf­ga­ben wie sie Arti­kel 39 DSGVO vor­sieht. Selbst­ver­ständ­lich haben wir die­se Auf­ga­ben um eini­ge wei­te­re Tätig­kei­ten für Sie ergänzt, sofern dadurch kei­ne Inter­es­sens­kon­flik­te zu den Kern­auf­ga­ben des Daten­schutz­be­auf­trag­ten ent­ste­hen. Zu den Auf­ga­ben lesen Sie mehr in unse­rem sepa­ra­ten Blog-Beitrag.

Was kos­tet es Sie auf jeden Fall …

… wenn Sie kei­nen Daten­schutz­be­auf­trag­ten benen­nen, obwohl Sie gesetz­lich dazu ver­pflich­tet sind.

  • Buß­geld (Aus­nah­me: öffent­li­che Stellen)
  • Ihren guten Ruf z.B. bei Datenpannen
  • Viel Ärger mit der Aufsichtsbehörde

Inter­nen oder exter­nen Daten­schutz­be­auf­trag­ten bestellen?

Die Vor­tei­le einer exter­nen Bestel­lung lie­gen für klei­ne und mit­tel­stän­di­sche Unter­neh­men aber auch Kom­mu­nen klar auf der Hand. Dabei spie­len nicht nur die kal­ku­lier­ba­ren und über­schau­ba­ren Kos­ten eine gro­ße Rol­le. Ihre Orga­ni­sa­ti­on pro­fi­tiert spür­bar vom Ein­satz eines exter­nen Datenschutzbeauftragten.

Infor­ma­ti­ons­si­cher­heits­kon­zept Arbeits­hil­fe V 3.0 erschie­nen — jetzt mit LSI Siegel

Wer benö­tigt ein Informationssicherheitskonzept?

Jede Orga­ni­sa­ti­on ist gefor­dert, die Anfor­de­run­gen aus Art. 32 DSGVO zu erfül­len. Da steht in Absatz 1:

Unter Berück­sich­ti­gung des Stands der Tech­nik, der Imple­men­tie­rungs­kos­ten und der Art, des Umfangs, der Umstän­de und der Zwe­cke der Ver­ar­bei­tung sowie der unter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwe­re des Risi­kos für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen tref­fen der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, um ein dem Risi­ko ange­mes­se­nes Schutz­ni­veau zu gewähr­leis­ten; die­se Maß­nah­men schlie­ßen gege­be­nen­falls unter ande­rem Fol­gen­des ein:

a) die Pseud­ony­mi­sie­rung und Ver­schlüs­se­lung per­so­nen­be­zo­ge­ner Daten;
b) die Fähig­keit, die Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Belast­bar­keit der Sys­te­me und Diens­te im Zusam­men­hang mit der Ver­ar­bei­tung auf Dau­er sicherzustellen;
c) die Fähig­keit, die Ver­füg­bar­keit der per­so­nen­be­zo­ge­nen Daten und den Zugang zu ihnen bei einem phy­si­schen oder tech­ni­schen Zwi­schen­fall rasch wiederherzustellen;
d) ein Ver­fah­ren zur regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Eva­lu­ie­rung der Wirk­sam­keit der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Gewähr­leis­tung der Sicher­heit der Verarbeitung.

Unter b) sind die Grund­wer­te der Infor­ma­ti­ons­si­cher­heit Ver­trau­lich­keit, Ver­füg­bar­keit und Inte­gri­tät genannt. Betrach­ten wir die Kurz­de­fi­ni­tio­nen aus der Infor­ma­ti­ons­si­cher­heit hierzu.

Ver­trau­lich­keit: Kei­ne unbe­rech­tig­te Kennt­nis­nah­me (bis hin zum Miß­brauch) der Infor­ma­tio­nen, weder durch Mit­ar­bei­ter noch durch Externe.

Inte­gri­tät: Die Infor­ma­tio­nen sind kor­rekt, voll­stän­dig und unver­fälscht. Ände­run­gen sind nach­voll­zieh­bar und rück­gän­gig zu machen.

Ver­füg­bar­keit: Die Infor­ma­tio­nen ste­hen zur rich­ti­gen Zeit am rich­ti­gen Ort zur Ver­fü­gung (nicht beschränkt auf IT-Ver­füg­bar­keit). [Ver­füg­bar­keit ist in der Tat erst an drit­ter Stel­le, auch wenn in der Pra­xis um das The­ma Aus­fall­zei­ten ger­ne der Tanz um das gol­de­ne Kalb stattfindet.]

Die­se Grund­wer­te der Infor­ma­ti­ons­si­cher­heit sicher­zu­stel­len, ist das Ziel eines jeden Infor­ma­ti­ons­si­cher­heits­kon­zepts, auch des Stan­dards der sog. “Arbeits­hil­fe”.

Unter­punkt d) ver­langt von Ihrer Orga­ni­sa­ti­on, die Wirk­sam­keit der im Hin­blick auf Ver­trau­lich­keit, Inte­gri­tät und Ver­füg­bar­keit ergrif­fe­nen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men regel­mä­ßig zu prü­fen und bei Bedarf nach­zu­jus­tie­ren oder geeig­ne­te zusätz­li­che bzw. ergän­zen­de Schutz­maß­nah­men ein­zu­füh­ren. Auch dies ist eine der Kern­funk­tio­nen eines funk­tio­nie­ren­den Informationssicherheitskonzepts.

Salopp gesagt, ver­langt die DSGVO von Orga­ni­sa­tio­nen in die­sem Fall nicht weni­ger als die Ein­füh­rung eines Infor­ma­ti­ons­si­cher­heits­kon­zepts und des­sen kon­ti­nu­ier­li­chen Betrieb. Klar kann man ver­su­chen, sich auch selbst ein Kon­zept zu “bas­teln”, bleibt nur die Fra­ge “Wie­so soll­te man das tun?”

Baye­ri­sche Kom­mu­nen sind per Gesetz (Bay­E­GovG) sogar dazu ver­pflich­tet, bis zum 01.01.2020 ein Infor­ma­ti­ons­si­cher­heits­kon­zept ein­ge­führt und im lau­fen­den Betrieb zu haben.

Bewähr­te Stan­dards wie die ISO 27001, der BSI IT-Grund­schutz, ISIS12 (als Ablei­tung aus dem IT-Grund­schutz) sind seit vie­len Jah­ren bewähr­te Stan­dards, um ein Infor­ma­ti­ons­si­cher­heits­kon­zept ein­zu­füh­ren, zu betrei­ben und damit auch die Anfor­de­run­gen aus Art. 32 DSGVO zu erfül­len. Die­se Stan­dards ska­lie­ren zwar auch für klei­ne­re Orga­ni­sa­tio­nen, sind den­noch sehr res­sour­cen­in­ten­siv. Hier hat für den kom­mu­na­len Bereich die Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne im Auf­trag der Baye­ri­schen Kom­mu­na­len Spit­zen­ver­bän­de ange­setzt und gera­de für klei­ne­re kom­mu­na­le Ein­rich­tun­gen durch a.s.k. Daten­schutz die “Arbeits­hil­fe zur Ein­füh­rung eines Infor­ma­ti­ons­si­cher­heits­kon­zepts nach Art. 11 Bay­E­GovG” ent­wi­ckeln las­sen. Die­ser Stan­dard basiert auf den Erkennt­nis­sen und Vor­ge­hens­wei­sen aus zahl­rei­chen IT-Grund­schutz-Pro­jek­ten sowie dem frü­he­ren “Quick Check Daten­schutz + Daten­si­cher­heit”. Ent­ge­gen der Bezeich­nung und ursprüng­li­chen Aus­rich­tung auf den kom­mu­na­len Bereich ist die “Arbeits­hil­fe” uni­ver­sell ein­setz­bar und natür­lich auch in Unter­neh­men ein­setz­bar. Hier­zu sind ledig­lich Begriff­lich­kei­ten anzu­pas­sen, statt Bür­ger­meis­ter heißt es dann eben Geschäftsführer.

Stan­dard für Infor­ma­ti­ons­si­cher­heit Arbeits­hil­fe Ver­si­on 3.0 erschienen

Am 26. Sep­tem­ber 2019 ist die Arbeits­hil­fe mitt­ler­wei­le in Ver­si­on 3.0 erschie­nen. Die Wei­ter­ent­wick­lung und Anpas­sung oblag erneut uns von der a.s.k. Daten­schutz. Neben Aktua­li­sie­run­gen z.B. bei Links zum gera­de auf­ge­frisch­ten BSI IT-Grund­schutz stand neben der Feh­ler­kor­rek­tur die Anpas­sung an das Sie­gel “Kom­mu­na­le IT-Sicher­heit” des Lan­des­amts für Sicher­heit in der Infor­ma­ti­ons­tech­nik — kurz LSI — in Nürn­berg im Vor­der­grund. Wenn Sie mehr über das LSI Sie­gel erfah­ren wol­len, fin­den Sie Details hier­zu in einem wei­te­ren Blog­bei­trag.

Kom­mu­na­le Ein­rich­tun­gen, die sich zur Ein­füh­rung eines Infor­ma­ti­ons­si­cher­heits­kon­zepts auf Basis der Arbeits­hil­fe ent­schei­den, erfül­len mit der Umset­zung die Anfor­de­run­gen des LSI zum Erhalt des Sie­gels “Kom­mu­na­le IT-Sicher­heit”. Das setzt natür­lich eine ernst­haf­te und ehr­li­che Bear­bei­tung der 9 Kapi­tel der Arbeits­hil­fe zur Infor­ma­ti­ons­si­cher­heit in der Kom­mu­ne voraus.

Hier geht es direkt zum Down­load der Arbeits­hil­fe V 3.0. Soll­te der Link nicht mehr funk­tio­nie­ren, nut­zen Sie bit­te die Start­sei­te der Inno­va­ti­ons­stif­tung und suchen die Ver­öf­fent­li­chung vom 28.09.2019.

Mit a.s.k. Daten­schutz und der Arbeits­hil­fe zum Sie­gel “Kom­mu­na­le IT-Sicherheit”

Wenn Sie sich bei der Ein­füh­rung der Arbeits­hil­fe in Ihrer Ver­wal­tung durch das Team von a.s.k. Daten­schutz unter­stüt­zen las­sen, dann über­neh­men wir am Ende die For­ma­li­tä­ten der not­wen­di­gen Anga­ben und Aus­künf­te gegen­über des LSI. Einem Erhalt des Sie­gels soll­te dann nichts mehr im Wege stehen.

Soll­ten wir Sie im Anschluß auch als exter­ne Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te betreu­en, küm­mern wir uns mit Ihnen gemein­sam auch um die Ver­län­ge­rung des Sie­gels nach Ablauf der 2 Jah­re Gül­tig­keits­dau­er. Dazu muss dem LSI der Wei­ter­be­trieb Ihres Infor­ma­ti­ons­si­cher­heits­kon­zepts belegt bzw. nach­ge­wie­sen wer­den. Auch dies wür­den wir von a.s.k. Daten­schutz übernehmen.

Übri­gens nut­zen wir zur Ein­füh­rung und zum Betrieb Ihres Infor­ma­ti­ons­si­cher­heits­kon­zepts auf Basis der Arbeits­hil­fe eine hoch­mo­der­ne und voll­ver­schlüs­sel­te Pro­jekt­platt­form. Damit wird die Bear­bei­tung der Punk­te zwar kein Kin­der­spiel, aber die Doku­men­ta­ti­on dazu erle­digt sich fast von selbst. Gleich­zei­tig ver­säu­men Sie und wir kei­ne Revi­si­ons­ter­mi­ne und Wie­der­vor­la­gen. Mehr Infos in die­sem Blog­bei­trag. Unse­re Platt­form ist bereits für Ver­si­on 3.0 der Arbeits­hil­fe aktua­li­siert und angepasst.

Unter­neh­men und die Arbeits­hil­fe als Informationssicherheitskonzept

Wie ein­gangs schon beschrie­ben, ist auch dies kein Pro­blem. In der Wort­wahl wer­den zwar kom­mu­na­le Funk­tio­nen adres­siert, aber die inhalt­li­chen Anfor­de­run­gen an Infor­ma­ti­ons­si­cher­heit sind zwi­schen Unter­neh­men und Behör­den iden­tisch. Erset­zen Sie in Gedan­ken ein­fach Begrif­fe wie “Bür­ger­meis­ter” mit “Geschäfts­füh­rer” und schon sind Sie in der Unter­neh­mens­welt angekommen.

Das ein­zi­ge Man­ko: Das LSI Sie­gel “Kom­mu­na­le IT-Sicher­heit” kann nur von kom­mu­na­len Ein­rich­tun­gen erwor­ben wer­den. Als Unter­neh­men sind Sie hier außen vor. Ger­ne unter­stüt­zen wir auch Ihr Unter­neh­men bei der Ein­füh­rung eines Informationssicherheitskonzepts.

Ange­bot Infor­ma­ti­ons­si­cher­heits­kon­zept für Kom­mu­nen bzw. Behörden

Sie wün­schen ein unver­bind­li­ches Ange­bot? Dann nut­zen Sie ein­fach unser ver­schlüs­sel­tes Anfra­ge-For­mu­lar. Wir mel­den uns zeit­nah bei Ihnen.

Unver­bind­li­ches Ange­bot anfordern

 

 

 

 

Die mobile Version verlassen