Baye­ri­sches Sie­gel “Kom­mu­na­le IT-Sicherheit”

Das Baye­ri­sche Lan­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (kurz LSI) bie­tet seit Mai 2019 ein Prüf­sie­gel für den Umset­zungs­stand der Infor­ma­ti­ons­si­cher­heit in baye­ri­schen Kom­mu­nen an. Auf Basis einer Selbst-Aus­kunft kann die Kom­mu­ne damit eine Min­destab­si­che­rung in der Infor­ma­ti­ons­si­cher­heit nach­wei­sen. Das Sie­gel ist unab­hän­gig vom ver­wen­de­ten ISMS-Stan­dard. Das Sie­gel hat eine Gül­tig­keits­dau­er von 2 Jah­ren. Eine Ver­län­ge­rung kann bean­tragt wer­den. Dazu muss die Kom­mu­ne jedoch die akti­ve Beschäf­ti­gung mit dem The­ma Infor­ma­ti­ons­si­cher­heit und den Betrieb des Infor­ma­ti­ons­si­cher­heits­kon­zepts nach­wei­sen. Wie bei “ech­ten” Zer­ti­fi­zie­run­gen kann ein erst­ma­lig erteil­tes Sie­gel also auch wie­der ent­zo­gen werden.

Kann mit dem Infor­ma­ti­ons­si­cher­heits­kon­zept “Arbeits­hil­fe” der Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne das Sie­gel erreicht werden?

Das Infor­ma­ti­ons­si­cher­heits­kon­zept “Arbeits­hil­fe” der Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne (Autor: Sascha Kuhrau) ist selbst­ver­ständ­lich für den Erhalt des Sie­gels gerüs­tet. Jede Kom­mu­ne, die ihr Infor­ma­ti­ons­si­cher­heits­kon­zept auf Basis der Arbeits­hil­fe ein­ge­führt hat, kann bei ent­spre­chend kor­rek­ter Umset­zung die Vor­aus­set­zun­gen für den Erhalt des LSI Sie­gels erfüllen.

Als Autor der Arbeits­hil­fe und Lei­ter zahl­rei­cher kom­mu­na­ler Infor­ma­ti­ons­si­cher­heits­pro­jek­te sowie kom­mu­na­ler exter­ner Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ter unter­stüt­zen wir von a.s.k. Daten­schutz Sascha Kuhrau Sie ger­ne bei der Ein­füh­rung und dem Betrieb eines kom­mu­na­len Infor­ma­ti­ons­si­cher­heits­kon­zepts und dem Erhalt des LSI Siegels.

Wo fin­de ich Infor­ma­tio­nen zum Baye­ri­schen Sie­gel “Kom­mu­na­le IT-Sicherheit”?

Das LSI stellt auf sei­ner Web­sei­te aus­führ­li­che Infor­ma­tio­nen bereit (exter­ner Link).

Was hat es mit der “Arbeits­hil­fe” auf sich und wo kann ich die­se beziehen?

Die Arbeits­hil­fe ist eine aus dem IT-Grund­schutz des BSI abge­lei­te­te Sys­te­ma­tik, um klei­ne kom­mu­na­le Ein­rich­tun­gen (aber auch klei­ne Fir­men) bei der Ein­füh­rung und dem Betrieb eines Infor­ma­ti­ons­si­cher­heits­kon­zepts zu unter­stüt­zen und zu beglei­ten. Sie wur­de im Auf­trag der Baye­ri­schen Kom­mu­na­len Spit­zen­ver­bän­de für die Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne durch die a.s.k. Daten­schutz Bera­tung Sascha Kuhrau ent­wi­ckelt. Die Arbeits­hil­fe steht inter­es­sier­ten Orga­ni­sa­tio­nen kos­ten­frei zur Ver­fü­gung. Wei­te­re Infor­ma­tio­nen fin­den Sie auf der Web­sei­te der Inno­va­ti­ons­stif­tung (exter­ner Link).

Im Lau­fe des Jah­res 2019 wird die Arbeits­hil­fe in einer Ver­si­on 3.o erschei­nen, in der kon­kre­te Anpas­sun­gen für das LSI Sie­gel ent­hal­ten sind.

Bis­her gab es ledig­lich für die “gro­ßen” ISMS wie ISO 27001, BSI IT-Grund­schutz oder ISIS12 die Mög­lich­keit im Rah­men einer Zer­ti­fi­zie­rung einen Nach­weis über eine kor­rek­te Umset­zung des ISMS zu erhal­ten. Mit­tels des LSI Sie­gels kann nun auch die Arbeits­hil­fe mit einer sol­chen Art Nach­weis aufwarten.

Ihr Unter­neh­men benö­tigt einen exter­nen Datenschutzbeauftragten?

Kom­pe­ten­te Bera­tung, prag­ma­ti­sche Ein­füh­rung eines DSMS und anschlie­ßen­de Betreu­ung als exter­ner Daten­schutz­be­auf­trag­ter erhal­ten Sie selbst­ver­ständ­lich vom Team von a.s.k. Daten­schutz. For­dern Sie Ihr unver­bind­li­ches Ange­bot über unser For­mu­lar an. Wir mel­den uns bei Ihnen zeitnah.

Nach einem knapp zwei­jäh­ri­gen Pro­zeß hat die Gemein­de Haar im Mai 2019 die ISI­S12-Zer­ti­fi­zie­rung erreicht. ISIS12 ist ein Stan­dard für ein Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tem (kurz ISMS) und bil­det in 12 anschau­li­chen Schrit­ten auf Basis des bekann­ten IT-Grund­schutz des BSI (Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik) ein Infor­ma­ti­ons­si­cher­heits­kon­zept ab. ISIS12 wur­de expli­zit für klei­ne und mitt­le­re Unter­neh­men (KMU) und kom­mu­na­le Ein­rich­tun­gen ent­wi­ckelt, für die auf­grund per­so­nel­ler Anfor­de­run­gen der “gro­ße” IT-Grund­schutz nicht durch­führ­bar ist.

In den 24 Mona­ten der Ein­füh­rung des Infor­ma­ti­ons­si­cher­heits­kon­zepts hat die Gemein­de Haar unter ande­rem Schu­lun­gen und Mit­ar­bei­ter­sen­si­bi­li­sie­run­gen in Sachen Infor­ma­ti­ons­si­cher­heit durch­ge­führt. Denn nicht nur das (tech­ni­sche) Sys­tem an sich muss in alle Rich­tun­gen sicher gemacht wer­den, son­dern auch die Men­schen, die mit den Daten umge­hen, müs­sen für das The­ma sen­si­bi­li­siert und geschult wer­den. Das reicht von der Akti­vie­rung der Bild­schirm­sper­re auch bei kür­zes­ter Abwe­sen­heit vom Arbeits­platz bis hin zur unacht­sa­men Frei­ga­be von Daten, wie etwa Pass­wör­ter offen am Schreib­tisch lie­gen zu lassen.
Zeit­gleich wur­den Pro­zes­se im Haus ver­bes­sert und Kon­zep­te erar­bei­tet, die IT-Struk­tur unter die Lupe genom­men und ein Not­fall­ma­nage­ment auf die Bei­ne gestellt. Denn Daten­schutz und Infor­ma­ti­ons­si­cher­heit müs­sen nicht nur im All­tag funk­tio­nie­ren – auch ech­te Not­fall-Sze­na­ri­en wur­den durch­ge­spielt und behan­delt: Was, wenn das Rat­haus mit all sei­nen Ser­vern abbrennt? Selbst dafür gibt es Lösungen.

Feder­füh­rend waren bei der Ein­füh­rung von ISIS12 die Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te der Gemein­de Haar Andrea Schmer­ber und die a.s.k. Daten­schutz Bera­tung unter Lei­tung von Sascha Kuhrau. Sie waren es auch, die den Audi­tor Andre­as Mann bei der Erst­zer­ti­fi­zie­rung des Zer­ti­fi­zie­rungs­ver­bun­des – Rat­haus mit Bür­ger­haus und die Kita Casi­no­stra­ße – durch die Doku­men­te, Kon­zep­te und die Gebäu­de beglei­te­ten. Mit Erfolg, denn die Erst­zer­ti­fi­zie­rung hat geklappt.

Jetzt gilt es, das Infor­ma­ti­ons­si­cher­heits­kon­zept aktu­ell und am Lau­fen zu hal­ten. Daher wird jähr­lich über­prüft, ob die Infor­ma­ti­ons­si­cher­heits­richt­li­ni­en ein­ge­hal­ten wer­den – denn die Tech­nik ist schnel­le­big und auch im Per­so­nal gibt es von Zeit zu Zeit einen Wech­sel. Außer­dem wer­den nach und nach immer mehr der gemeind­li­chen Ein­rich­tun­gen in den Zer­ti­fi­zie­rungs­ver­bund inte­griert. In der Öffent­lich­keit wird der zeit­in­ten­si­ve und arbeits­auf­wen­di­ge Pro­zess kaum wahr­ge­nom­men – und den­noch ist er für jede ein­zel­ne Bür­ge­rin und jeden ein­zel­nen Bür­ger von hoher Wich­tig­keit. Denn es sind ihre Daten, die damit geschützt wer­den. Anlass für die Ein­füh­rung von ISIS12 in der Gemein­de Haar war das Baye­ri­sche E‑Go­vernment-Gesetz von 2016. Die­ses ver­pflich­tet aus­nahms­los alle kom­mu­na­len Ver­wal­tungs­ein­rich­tun­gen zur Ein­füh­rung und zum Betrieb eines Infor­ma­ti­ons­si­cher­heits­kon­zepts. Die Gemein­de Haar, allen vor­an deren Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te Andrea Schmer­ber haben sich die­ser Her­aus­for­de­rung gestellt und das Ziel erreicht.

Übri­gens ist ein Infor­ma­ti­ons­si­cher­heits­kon­zept (ein­ge­führt und in Betrieb natür­lich) auch für das The­ma Daten­schutz inter­es­sant. Betrach­tet man Art. 32 DSVGO Sicher­heit der Ver­ar­bei­tung (exter­ner Link) genau­er, so fin­det man dar­in im Absatz 1 fol­gen­de Aussagen:

Unter Berück­sich­ti­gung des Stands der Tech­nik, der Imple­men­tie­rungs­kos­ten und der Art, des Umfangs, der Umstän­de und der Zwe­cke der Ver­ar­bei­tung sowie der unter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwe­re des Risi­kos für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen tref­fen der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, um ein dem Risi­ko ange­mes­se­nes Schutz­ni­veau zu gewähr­leis­ten; die­se Maß­nah­men schlie­ßen gege­be­nen­falls unter ande­rem Fol­gen­des ein:
- die Pseud­ony­mi­sie­rung und Ver­schlüs­se­lung per­so­nen­be­zo­ge­ner Daten;
- die Fähig­keit, die Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Belast­bar­keit der Sys­te­me und Diens­te im Zusam­men­hang mit der Ver­ar­bei­tung auf Dau­er sicherzustellen;
- die Fähig­keit, die Ver­füg­bar­keit der per­so­nen­be­zo­ge­nen Daten und den Zugang zu ihnen bei einem phy­si­schen oder tech­ni­schen Zwi­schen­fall rasch wiederherzustellen;
- ein Ver­fah­ren zur regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Eva­lu­ie­rung der Wirk­sam­keit der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Gewähr­leis­tung der Sicher­heit der Verarbeitung.

Und genau das stellt ein funk­tio­nie­ren­des Infor­ma­ti­ons­si­cher­heits­kon­zept sicher. Dabei beschränkt sich der Schutz eines sol­chen Kon­zepts nicht nur auf per­so­nen­be­zo­ge­ne Daten, son­dern schließt alle schüt­zens­wer­ten Daten Ihrer Orga­ni­sa­ti­on mit ein. Geni­al, oder?

Sie wol­len in Ihrer Orga­ni­sa­ti­on eben­falls ein Infor­ma­ti­ons­si­cher­heits­kon­zept ein­füh­ren? BSI IT-Grund­schutz und ISO 27001 sind unpas­send? Spre­chen Sie uns an.

Zur Mel­dung der Gemein­de Haar (exter­ner Link)

Kaum ein Unter­neh­men kommt ohne Web­auf­tritt aus heut­zu­ta­ge. Der Auf­tritt im World Wide Web ist zu mehr her­an­ge­wach­sen als die ursprüng­li­che digi­ta­le Visi­ten­kar­te. Mit zahl­rei­chen Funk­tio­nen wird um die Gunst der Besu­cher gebuhlt. News­let­ter, Kon­takt­for­mu­la­re, Stel­len­aus­schrei­bun­gen, Gewinn­spie­le, Social Media, Daten­schutz­er­klä­rung oder auch das Impres­sum haben natur­ge­mäß ihre Tücken und ber­gen das Risi­ko von Abmah­nun­gen und Buß­gel­dern. Prä­sen­tie­ren Sie Ihren Web­sei­ten-Besu­chern das Daten­schutz-Zer­ti­fi­kat a.s.k. websecu­re und demons­trie­ren damit den daten­schutz­kon­for­men Umgang mit per­so­nen­be­zo­ge­nen Daten Ihrer Webseite.

Und so ein­fach kom­men Sie zum Ziel:

  1. Schi­cken Sie uns mit dem unten­ste­hen­den For­mu­lar die URL Ihrer Web­sei­te und Ihre Kon­takt­da­ten. Sie erhal­ten zeit­nah Ihr Angebot.
  2. Nach Auf­trags­ver­ga­be folgt ein umfang­rei­cher Check Ihres Web­auf­tritts. Im Anschluß liegt Ihnen ein detail­lier­ter Ergeb­nis- und Maß­nah­men­be­richt vor.
  3. Jetzt gilt es für Sie, die iden­ti­fi­zier­ten Schwach­stel­len zu beseitigen.
  4. Nach posi­ti­ver Nach­prü­fung erhal­ten Sie das Daten­schutz-Zer­ti­fi­kat a.s.k. websecu­re.

 

Die Prüf­punk­te

  1. Impres­sum
  2. Daten­schutz­er­klä­rung (Umfang und Inhalt)
  3. Web­tracking Umsetzung
  4. News­let­ter Umsetzung
  5. Online-Buchun­gen /​ Kon­takt­for­mu­la­re
  6. Stel­len­an­ge­bo­te online
  7. Social Media Inte­gra­ti­on /​ Umset­zung
  8. Zuläs­sig­keit der Datenerhebun
  9. Con­tent Manage­ment Sys­tem (CMS)

 

a.s.k. webs­ecu­re

Das Daten­schutz-Zer­ti­fi­kat a.s.k. webs­ecu­re hat eine Gül­tig­keit von 12 Mona­ten und kann nach ent­spre­chen­der Nach­prü­fung ver­län­gert werden.

Inter­es­se? Dann ein­fach For­mu­lar aus­fül­len — wir mel­den uns mit einem Ange­bot bei Ihnen und machen Ihren Web­auf­tritt sicher.

[vfb id=8]

 

Wie­so Datenschutz-Zertifikate?

Daten­schutz-Zer­ti­fi­ka­ten kommt eine immer grö­ße­re Bedeu­tung zu. Kein Wun­der, betrach­tet man die zahl­rei­chen und fort­wäh­ren­den Mel­dun­gen über Daten­pan­nen und Daten­lecks. Ver­brau­cher, Kun­den, Geschäfts­part­ner und Mit­ar­bei­ter wer­den ste­tig sen­si­bler, was den Umgang mit ihren per­so­nen­be­zo­ge­nen Daten angeht.

 

Zei­gen Sie Flagge!

Mit einem Daten­schutz-Zer­tif­kat von a.s.k. Daten­schutz bele­gen Sie den daten­schutz­kon­for­men Umgang mit per­so­nen­be­zo­ge­nen Daten in Ihrem Unter­neh­men (a.s.k. com­pa­nysecu­re) und /​ oder auf Ihrem Web­auf­tritt (a.s.k. websecu­re). Sie signa­li­sie­ren mit­tels Zer­ti­fi­kat und Gra­fik­da­tei für Web und Print, daß Ihr Unter­neh­men Daten­schutz ernst nimmt und sich einer aus­führ­li­chen Prü­fung /​ Audi­tie­rung unter­zo­gen hat. Denn nur nach erfolg­rei­cher Prü­fung und Besei­ti­gung mög­li­cher Schwach­punk­te wird eines die­ser Daten­schutz-Zer­ti­fi­ka­te durch a.s.k. Daten­schutz vergeben.

 

a.s.k. websecu­re

Immer mehr Infor­ma­tio­nen und Funk­tio­na­li­tä­ten auf Web­sei­ten ber­gen das Risi­ko, ele­men­ta­re gesetz­li­che Vor­schrif­ten aus den Augen zu ver­lie­ren. Sei­en es Pflicht­an­ga­ben im Impres­sum, eine vali­de Daten­schutz­er­klä­rung, ein bean­stan­dungs­frei­es Web­tracking, der rechts­kon­for­me Umgang mit News­let­tern und zahl­rei­che wei­te­re The­men ber­gen Abmahn– und Buß­gel­dri­si­ken. Hin­zu kommt, daß Ver­brau­cher immer kri­ti­scher wer­den, wenn sie ihre Daten auf Web­sei­ten preis­ge­ben sol­len. Steu­ern Sie dage­gen: besteht Ihr Web­auf­tritt den Check von a.s.k. Daten­schutz, erhal­ten Sie das Daten­schutz-Zer­ti­fi­kat a.s.k. websecu­re. Damit zei­gen Sie Ihren Besu­chern: Wir neh­men Daten­schutz ernst. -> a.s.k. websecu­re

 

a.s.k. com­pa­nysecu­re

Schaf­fen Sie Ver­trau­en im gro­ßen Stil. Wei­sen Sie den daten­schutz­kon­for­men Umgang mit per­so­nen­be­zo­ge­nen Daten für Ihr gesam­tes Unter­neh­men nach. In nur fünf Schrit­ten gelan­gen Sie zum Daten­schutz-Zer­ti­fi­kat a.s.k. com­pa­nysecu­re. Damit füh­ren Sie nicht nur den Nach­weis der bean­stan­dungs­frei­en recht­li­chen Umset­zung in Ihrer Orga­ni­sa­ti­on. Zusätz­lich erhal­ten Sie ein per­fek­tes Mar­ke­ting­in­stru­ment für Web und Print, mit­tels des­sen Sie sich vom Wett­be­werb abhe­ben und Ihre Kun­den noch enger bin­den kön­nen. Ganz neben­bei erhal­ten Sie einen Über­blick über das Daten­schutz-Niveau in Ihrem Unter­neh­men und sen­ken Aus­fall­ri­si­ken. -> a.s.k. com­pa­nysecu­re

 

a.s.k. exter­nerdaten­schutz

Wer­den Sie von uns als exter­ner Daten­schutz­be­auf­trag­ter für Ihr Unter­neh­men betreut, erhal­ten Sie auto­ma­tisch für die Ver­trags­lauf­zeit das Daten­schutz-Zer­ti­fi­kat a.s.k. exter­nerdaten­schutz. Ihre Kun­den und Geschäfts­part­ner erken­nen so auf einen Blick, das Ihr Unter­neh­men pro­fes­sio­nell und kon­ti­nu­ier­lich in Daten­schutz-Ange­le­gen­hei­ten betreut wird.

 

 

Inter­es­se? For­mu­lar aus­fül­len und absen­den. Wir mel­den uns!

[vfb id=8]

Zei­gen Sie Ihren Kun­den und Auf­trag­ge­bern, das Ihr Unter­neh­men Daten­schutz ernst nimmt. Schaf­fen Sie Ver­trau­en! Wei­sen Sie den siche­ren und trans­pa­ren­ten Umgang mit dem The­ma Daten­schutz auf ein­fa­che Art und Wei­se nach.

In nur fünf Schrit­ten zum Daten­schutz-Zer­ti­fi­kat a.s.k. com­pa­nysecu­re.

 

 

  1. Pro­jekt­start mit Kick-off
  2. Vor­prü­fung und Bewer­tung: Vor­han­de­nes Daten­schutz­kon­zept, bestehen­de Richtlinien
  3. Daten­schutz-Audit vor Ort
  4. Umset­zung der not­wen­di­gen Maß­nah­men zur Sicher­stel­lung der Vorschriften
  5. Nach­prü­fung und Zer­ti­fi­kats­ver­ga­be im Erfolgsfall

 

 

Gleich­zei­tig schüt­zen Sie Ihr Unter­neh­men vor den Buß­gel­dri­si­ken des Bun­des­da­ten­schutz­ge­set­zes — § 43 BDSG. Sie behe­ben Män­gel in der tech­ni­schen und orga­ni­sa­to­ri­schen Umset­zung, erhö­hen dabei auto­ma­tisch die Sicher­heit. Gegen­über Ihren Auf­trag­ge­bern (im Fal­le eines Out­sour­cings oder auch bei Fern­war­tung und Sup­port­ar­bei­ten) bele­gen Sie die not­wen­di­gen Vor­aus­set­zun­gen im Rah­men der sog. Auf­trags­da­ten­ver­ar­bei­tung nach § 11 BDSG mühe­los. Ihre Kun­den wis­sen Ihr Enga­ge­ment in Sachen Daten­schutz eben­falls zu schätzen.

Wor­auf war­ten Sie noch? For­dern Sie gleich ein unver­bind­li­ches Ange­bot für den Erhalt des Daten­schutz-Zer­ti­fi­kats a.s.k. com­pa­nysecu­re für Ihr Unter­neh­men an.

[vfb id=8]