Neues Datenschutzrecht bei der evangelischen Kirche Deutschlands (DSG-EKD)

Die Verfassung der Bundesrepublik Deutschland in Form unseres Grundgesetzes räumt Kirchen und anderen religiösen Vereinigungen oder Gemeinschaften weitgehende Freiheiten und Gestaltungsmöglichkeiten ein, um ausreichenden Raum für die Beachtung der religiösen Vorschriften zu schaffen.

Das Verhältnis von Staat und Kirchen ist im Grundgesetz durch Art. 140 GG in Verbindung mit Art 137 der Weimarer Verfassung von 1919 geregelt. Darin wird die Freiheit der Vereinigung zu Religionsgemeinschaften gewährleistet und festgelegt, dass die Religionsgemeinschaften als Körperschaften des öffentlichen Rechts ihre Angelegenheiten selbst regeln, hierzu gehört z.B. auch das Recht Kirchensteuern zu erheben.

Das (Selbst-) Bestimmungsrecht der Kirchen schließt auch den Persönlichkeitsschutz der Kirchenmitglieder und der bei den Kirchen beschäftigten Personen ein. Die allgemeinen Verordnungen und Gesetze, wie z.B. die Europäische Datenschutz-Grundverordnung (DSGVO) oder das Bundesdatenschutzgesetz (BDSG) gelten für die Kirche somit zunächst nicht (Art. 91 DSGVO) (siehe auch https://www.bfdi.bund.de/DE/Service/Anschriften/Kirchen/Kirchen-node.html).

Die beiden großen Kirchen in Deutschland haben deshalb eigene Datenschutzgesetze erlassen, die die Regelungen der allgemeinen Datenschutzgesetze in das Kirchenrecht übertragen. Das sind für die katholische Kirche das KDG (https://www.kdsa-nord.de/Download/Hamburg/201712_KDG.pdf )und für die evangelischen Kirche das DSG-EKD (https://www.kirchenrecht-ekd.de/document/41335#s47000055)

Mit vorrangiger Berücksichtigung der Interessen der Kirchen werden in diesen speziellen Datenschutzgesetzen z.B. die Rechte von Betroffenen und die Pflichten der Kirchen als verantwortliche Stelle im Sinne der DSGVO geregelt.

Die Synode der evangelischen Kirche hat nun eine Überarbeitung DSG-EKD beschlossen und im Amtsblatt der EKD am 13.11.2024 veröffentlicht. Das neue Gesetz wird ab 01.05.2025 wirksam. (https://datenschutz.ekd.de/2025/01/22/veroeffentlichung-dsg-ekd-amtsblatt/).

Im Wesentlichen wurden hier weitere Annäherungen an die DSGVO durchgeführt und Erleichterungen für die Umsetzung von Datenschutzaspekten geschaffen.

Dazu gehören z.B.

  • Anpassung der Rechtsgrundlagen (‚berechtigtes Interesse‘ der EKD)
  • Einwilligungen zur Datenverarbeitung von Minderjährigen
  • Stärkung der Informationspflichten von Betroffenen
  • Vereinfachung beim Einsatz von Dienstleistern (Fortfall ‚Unterwerfungsklausel‘)
  • Veränderung der Schwellwerte zur Einrichtung von Datenschutzbeauftragten in den kirchlichen Einrichtungen
  • Veränderungen in den Bußgeld-Regelungen

Insgesamt wurden die Regelungen des Gesetzes modernisiert und den aktuellen Erfordernissen angepasst. Die Schutzrechte von betroffenen Personen wurden stärker als bisher an den Regelungen der DSGVO ausgerichtet und damit weiter gestärkt.

/von
,

Podcast – Security on Air – Heute das VVT

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

wir freuen uns, Ihnen unsere neueste Podcast-Folge vorzustellen! In dieser Episode widmen wir uns einem zentralen Thema des Datenschutzes: Dem Verzeichnis der Verarbeitungstätigkeiten (VVT).

Was ist das VVT?

Das VVT ist wie ein Tagebuch für Ihr Unternehmen. Es dokumentiert, welche personenbezogenen Daten verarbeitet werden, warum und wie damit umgegangen wird. Laut DSGVO ist die Führung eines VVTs für größere Unternehmen verpflichtend, aber auch kleinere Firmen müssen es führen, wenn sie regelmäßig personenbezogene Daten verarbeiten.

Warum ist das VVT wichtig?

Das VVT bietet mehr als nur die Erfüllung gesetzlicher Vorgaben. Es hilft Unternehmen:

  • Risiken zu identifizieren
  • Prozesse zu optimieren
  • Sich bei Kontrollen abzusichern

Wie erstellt man ein VVT?

Die Erstellung ist einfacher als gedacht. Oft reicht eine Excel-Tabelle mit folgenden Informationen:

  • Wer verarbeitet die Daten?
  • Welche Daten werden verarbeitet?
  • Zweck der Verarbeitung
  • Rechtsgrundlage
  • Speicherdauer
  • Technische und organisatorische Maßnahmen (TOMs)

Wer ist verantwortlich?

Die Erstellung wird vom Datenschutzbeauftragten oder -koordinator initiiert, der eng mit den Fachabteilungen zusammenarbeitet.

Regelmäßige Aktualisierung

Wir empfehlen das VVT mindestens jährlich zu überprüfen und zu aktualisieren.

Fazit

Das Verzeichnis der Verarbeitungstätigkeiten ist nicht nur eine gesetzliche Pflicht, sondern ein wertvolles Werkzeug zur Optimierung Ihrer Prozesse und zum Schutz personenbezogener Daten.

Hier ein Paar Links zum Thema „Verzeichnis der Verarbeitungstätigkeiten“

Jetzt reinhören!

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
, ,

Podcast – Security on Air – Heute Jahresrückblick 2024

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Ein ereignisreiches Jahr für Informationssicherheit, Datenschutz und KI

Das Jahr 2024 neigt sich dem Ende zu, und in unserer letzten Podcast-Folge werfen wir einen umfassenden Blick auf die Entwicklungen, Herausforderungen und Chancen in den Bereichen Informationssicherheit, Datenschutz und Künstliche Intelligenz (KI). Unternehmen sahen sich in diesem Jahr nicht nur mit neuen Regularien wie NIS2 konfrontiert, sondern auch mit einer immer stärkeren Integration von KI-Technologien, die die Arbeitswelt nachhaltig verändern.

Highlights der Folge

Künstliche Intelligenz (KI): Automatisierung und neue Perspektiven

KI hat in diesem Jahr eine Schlüsselrolle eingenommen – sei es in der Beratung, der Überprüfung von Richtlinien oder als Chance zur Automatisierung in der Informationssicherheit. Doch der Einsatz von KI bringt auch Herausforderungen mit sich, etwa hinsichtlich ihrer Berücksichtigung in Datenschutzregelungen und der Anpassung interner Prozesse.

Datenschutz und DSGVO: Kritik und neue Herausforderungen

Die Datenschutz-Grundverordnung (DSGVO) steht weiterhin im Fokus, nicht nur durch Kritik an ihrem starren Regelwerk, sondern auch durch neue Technologien, die bislang kaum in den Vorschriften berücksichtigt werden. Besonders KI wirft neue Fragen zum Umgang mit personenbezogenen Daten auf und zeigt, dass Anpassungen dringend nötig sind.

NIS2-Umsetzung: Auswirkungen auf Unternehmen

Mit der NIS2-Richtlinie kamen weitreichende Änderungen für Unternehmen, doch die Umsetzung verlief vielerorts schleppend. Die stark gestiegene Zahl betroffener Unternehmen bringt neue Anforderungen und Risiken mit sich, die den Handlungsbedarf 2024 noch einmal deutlich gemacht haben.

Awareness und Schulungen: Sensibilisierung wird essenziell

Cybergefahren und der richtige Umgang mit KI erfordern ein höheres Maß an Bewusstsein und Kompetenz. Neue gesetzliche Schulungspflichten unterstreichen, wie wichtig es ist, Mitarbeiter und Geschäftsführungen regelmäßig zu sensibilisieren und auf den neuesten Stand zu bringen.

ANMATHO AG: Zurück im Winterhuder Weg

Die ANMATHO AG kehrt an ihren ursprünglichen Standort im Winterhuder Weg in Hamburg zurück. Ein Schritt, der die Weichen für ein produktives und erfolgreiches Jahr 2025 stellt.

 

Hier ein Paar Links zum Thema „Jahresrückblick 2024“

Lesen Sie hier die Beiträge aus 2024: https://anmatho.de/neuigkeiten/blog-artikel/

Hier finden Sie die Podcasts zu den neuen Regularien: https://anmatho.de/neuigkeiten/podcast/

Regularien in der Informationssicherheit: https://www.openkritis.de/

Leitfaden zur sicheren Nutzung von KI-Systemen:

https://www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldungen/Leitfaden_KI-Systeme_230124.html

Informationen zum TDDDG: https://de.wikipedia.org/wiki/Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz

 

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein und starten Sie bestens informiert ins Jahr 2025!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
, , ,

Datenschutz in ein bestehendes ISMS integrieren (Teil 5 – Führung und Planung)

In den ersten vier Artikeln dieser Serie ging es um eine kurze Einführung in die Struktur der ISO 27701:2021 und einen kurzen Überblick über die neuen Controls im Anhang der Norm. In diesem Artikel soll es um die Veränderungen bzw. Erweiterungen der Normkapitel der ISO 27001:2013 durch die ISO 27701:2021 gehen, insbesondere zur Planung im DSMS.

Die ISO 27001:2013 geht in ihr letztes Jahr. Die meisten Organisationen haben bereits auf die ISO 27001:2022 umgestellt. Zur ISO 27701 gibt es allerdings erst einen Entwurf einer Version mit Bezug zur ISO 27001:2022. Daher werde ich hier, wahrscheinlich ein letztes Mal, ausgehend von der ISO 27701:2021 Bezug auf die ISO 27001:2013 nehmen. Für die hier betrachteten Themen wird dies keinen Unterschied machen, da es hier wie da keine wesentlichen Unterschiede im Bezug auf diese Themen gibt bzw. geben wird.

Erweiterung der Normkapitel der ISO 27001:2013 im DSMS

Kapitel 5 der ISO 27701 nennt die Erweiterungen der Normkapitel der ISO 27001 “PIMS-spezifische Anforderungen in Bezug auf ISO/IEC 27001”. PIMS ist die Abkürzung für Privacy Information Management System, also für ein Datenschutzmanagementsystem (DSMS).

Die allgemeinste Anforderung ist, dass überall dort, wo die ISO 27001 von “Informationssicherheit” spricht, dies durch “Informationssicherheit und Datenschutz” zu ersetzen ist.

Spezifische Änderungen, bzw. weitergehende Anforderungen werden für die Kapitel 4 und 6 der ISO 27001:2013 aufgestellt. Die anderen Normkapitel bleiben, abgesehen von der Änderung von “Informationssicherheit” zu “Informationssicherheit und Datenschutz”, unberührt.

Anforderungen zu Kapitel 6 der ISO 27001:2013 “Planung”

Anforderungen zu Kapitel 6.1 “Maßnahmen zum Umgang mit Risiken und Chancen”

Dieses Kapitel erweitert das Risikomanagment um das Thema Datenschutz. Es sind also nicht nur Informationssicherheitsrisiken sondern auch Datenschutzrisiken zu betrachten.

Datenschutzrisiken unterscheiden sich von Informationssicherheitsrisiken dadurch, das zum einen ausschließlich personenbezogene Daten betrachtet werden. Zum anderen sind die Auswirkungen des Risikos auf den Betroffen im datenschutzrechtlichen Sinne zu betrachten (vgl. Art. 4 Abs. 1 DSGVO, Art. 32 Abs. 1 DSGVO und Art 35 DSGVO).

Bei der Gestaltung des Risikomangments für die Datenschutzrisiken kann also das Risikomanagment der Informationssicherheit verwendet werden. Es muss lediglich um das Schadensszenario Rechte und Freiheiten natürlicher Personen erweitert werden. Dabei ist darauf zu achten, dass bei der Berechnung des Risikoniveaus ein hoher Schadenswert für Rechte und Freiheiten natürlicher Personen nicht durch andere Schadensszenarien “weggemittelt” wird.

Auch die ausgewählten Maßnahmen sind so auszuwählen, dass sie das Risiko für die betroffenen Personen auf ein akzeptables Niveau senken. Was akzeptabel ist, ist dabei aus der perspektive der betroffenen Personen zu betrachten, nicht aus der Sicht der eigenen Organisation.

Die Anwendbarkeitserklärung (SoA) nach Kapitel 6.1.3 d) der ISO 27001:2013 ist um die Controls des Anhangs B der ISO 27701:2021 zu erweitern. Ausschlüsse sind hierbei weiterhin risikobasiert möglich oder wenn die Controlls nicht zutreffend sind, z.B. die Controls für Auftragsverarbeiter für Nicht-Auftragsverarbeiter. Auf die Einhaltung der jeweiligen Gesetze ist selbstverständlich zu achten. Viele der Controls gehen unmittelbar auf die DSGVO zurück und sind dann, sofern für die Organisation zutreffend, nicht ausschließbar.

Wie in der Einführung zu dieser Artikelserie angekündigt ergeben sich also erhebliche Synergien. Es bedarf nur eines einheitlichen Risikomanagements für Informationssicherheit und Datenschutz, sofern dieses wie dargestellt an die spezifischen Bedürfnisse des Datenschutzes angepasst ist.

Anforderungen zu Kapitel 6.2 “Informationssicherheitsziele und Planung zu deren Erreichung”

Beim Thema Ziele gibt es keine spezifischen Erweiterungen. Lediglich die allfällige Forderung, dass neben Informationssicherheitszielen auch Datenschutzziele für relevante Funktionen und Ebenen festgelegt sowie Pläne zum erreichen dieser Ziele aufgestellt werden müssen.

Wie es weiter geht

Der nächste Artikel dieser Serie zur ISO 27701 wird sich mit den Neuerungen der dann erschienen DIN EN ISO/IEC 27701:2024 (oder 2025?) beschäftigen.

Was Sie auch interessieren könnte:

Seminar:

“ISO 27701 – Den Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Podcast – Security on Air – Heute Data Act & Co.

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Mit der EU-Digitalstrategie zum Voranbringen des digitalen Fortschrittes innerhalb der europäischen Union kommen einige neue Verordnungen auf deutsche Unternehmen und Behörden zu. Ob nun Date Act, Digital Market Act oder Data Governance Act, alle beschäftigen sich mit der Vereinfachung und Verbesserung des Datenaustausches innerhalb der EU. Auch wenn es vorrangig um nicht-personenbezogene Daten geht, sind bei diesem Datenaustausch auch immer wieder personenbezogene Daten betroffen und damit ein Fall für eine datenschutzrechtliche Betrachtung.

In diesem Podcast wollen wir darauf eingehen, was es mit dem Data Act und dem Data Governance Act auf sich hat, welche Unternehmen betroffen sind und welche Rechte und Pflichten auf sie zukommen. Außerdem wollen wir uns beide Verordnungen im Hinblick auf die Verbindung zur DSGVO ansehen.

Dieser Podcast richtet sich vor allem an die Datenschutzbeauftragten und -koordinatoren im Unternehmen, an weitere Verantwortliche im Datenschutz sowie an die Geschäftsleitung.

Hier ein Paar Links zum Thema „Data Act, DSA, DMA, DGA – wer blickt da noch durch?“

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
, ,

Ratgeber HomeOffice

In den letzten Jahren hat das Arbeiten von zu Hause aus eine ganz neue Bedeutung erlangt. Für viele von uns ist das HomeOffice mittlerweile nicht mehr nur eine vorübergehende Lösung, sondern fester Bestandteil unseres Arbeitsalltags. Doch während flexible Arbeitszeiten und der Komfort des eigenen Zuhauses verlockend sind, birgt das HomeOffice auch erhebliche Herausforderungen, insbesondere wenn es um die Sicherheit von Daten geht.

Hier kommt unser Ratgeber „Informationssicherheit & Datenschutz im HomeOffice“ ins Spiel!

Warum ist Informationssicherheit im Homeoffice so wichtig?

In einer zunehmend digitalen Welt sind Daten ein wertvolles Gut. Im Homeoffice ist die Gefahr von Sicherheitslücken besonders groß, da private Netzwerke oft weniger geschützt sind als die Infrastruktur in einem Büro. Cyberangriffe, Phishing und Datenverluste können nicht nur für Sie, sondern auch für Ihr Unternehmen schwerwiegende Konsequenzen haben. Daher ist es entscheidend, dass Sie die richtigen Maßnahmen ergreifen, um sensible Informationen zu schützen.

Was bietet Ihnen unser Homeoffice-Ratgeber?

  1. Einführung in das Thema HomeOffice: Welche Unterschiede gibt es im rechtlichen Sinne und welche Vorteile und Herausforderungen bietet das HomeOffice.
  2. Grundlagen der Informationssicherheit und des Datenschutzes: Worum geht es, was ist rechtlich zu beachten und welche Risiken ist man im HomeOffice ausgesetzt.
  3. Technische und Organisatorische Maßnahmen: Erfahren Sie, welche technischen und organisatorischen Maßnahmen getroffen werden sollten, um ein sicheres Arbeiten zu gewährleisten.
  4. Datenschutzaspekte: Im Homeoffice wird oft mit vertraulichen Informationen gearbeitet. Wir zeigen, wie diese sicher gespeichert, übertragen und nach Gebrauch ordnungsgemäß entsorgt werden.
  5. Schulung und Sensibilisierung von Mitarbeitern: Wir beleuchten die Bedeutung der Mitarbeiterfortbildung, bieten Methoden und Best Practices für Schulungen.
  6. Herausforderungen für die Zukunft: Hier werden aktuelle Trends und die Technologien und Arbeitsmodelle der Zukunft aufgezeigt.
  7. Regeln für Arbeitnehmer und Arbeitgeber: Eine Checkliste zeigt, was zu bedenken ist.

Für wen ist der Ratgeber geeignet?

Es richtet sich sowohl an Unternehmen, die ihre Mitarbeiter auf die Arbeit von zu Hause aus vorbereiten und unterstützen möchten, als auch an Einzelpersonen, die die Grundlagen und Best Practices für sicheres Arbeiten von zu Hause aus kennenlernen möchten. Dieser Ratgeber bietet umfassende Informationen, um das digitale Arbeitsumfeld sicher zu gestalten.

Fazit: Investieren Sie in die Sicherheit im Homeoffice

Das HomeOffice ist nicht nur ein Ort der Produktivität, sondern auch ein potenzielles Ziel für Cyberangriffe. Mit unserem Ratgeber „Informationssicherheit & Datenschutz im HomeOffice“ erhalten Sie wertvolle Anleitungen und Tipps, um die sensiblen Daten vor Bedrohungen zu schützen und ein sicheres Arbeitsumfeld zu schaffen.

Laden Sie sich jetzt den Ratgeber herunter und sorgen Sie dafür, dass das HomeOffice sicher und effizient bleibt!

Ratgeber Informationssicherheit und Datenschutz im HomeOffice

Ratgeber Informationssicherheit und Datenschutz im HomeOffice

Was Sie auch interessieren könnte:

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Podcast – Security on Air – Heute Fotos im Unternehmen

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Die Vorstellung der eigenen Mitarbeiter auf der Firmenwebseite, Bilder der letzten Unternehmensfeier im Intranet oder auf Social Media oder einfach nur der Betriebsausweis mit Lichtbild – im Unternehmensumfeld gibt es immer wieder Situationen in denen Bilder genutzt werden, um einen persönlichen Bezug herstellen zu können. Aber was sagt der Datenschutz zu dieser Praxis.

Piktogramm Photoapparat

Fotos im Unternehmen

In diesem Podcast wollen wir darauf eingehen, welche datenschutzrechtlichen Punkte bei der Aufnahme und vor allem bei der Veröffentlichung von Fotos von Mitarbeitern, Kunden oder Besuchern zu beachten sind. Wir gehen darauf ein, wann eine Einwilligung der Fotografierten nötig ist, was bei externen Fotografen zu beachten ist und welche Problematiken sich bei der Veröffentlichung von Fotos in Printmedien oder im Internet ergeben können.

Dieser Podcast richtet sich vor allem an Mitarbeiter in der Personalabteilung, im Marketing und in der Veranstaltungsabteilung von Unternehmen, aber natürlich auch an alle Mitarbeiter die ggf. betroffen sind.

 

Hier ein Paar Links zum Thema „Fotos im Unternehmen – was ist erlaubt und was nicht?“  

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
,

Awareness – ein Konzept!

Nachdem mein Kollege Andreas Lange in seiner Artikelserie “Awareness – Maßnahme oder Konzept?” den Blick auf die Wichtigkeit der konzeptionellen Ebene gelenkt hat, möchte ich hier ein konkretes Konzept vorstellen. Wir wollen weg von einer Aneinanderreihung von Einzelmaßnahmen, hin zu einem planvollen, auf die Ziele des Informationssicherheitsmanagementsystems (ISMS) abgestimmten Vorgehen. Dieser Artikel soll einen ersten Überblick geben. In folgenden Blog-Artikeln werden die einzelnen Schritte detaillierter beschrieben.

Zum Vorgehen bei der Security Awareness gibt es viele Ansätze. Wir haben uns entschieden, bei unserer Arbeit einem Ansatz zu folgen, der u. a. am Lehrstuhl für Human-Centered Security am Horst-Görtz Institut für IT-Sicherheit der Ruhr-Universität Bochum entwickelt wurde. In diesen Ansatz betten wir die Vorgehensweise eines ISMS nach ISO 27001 ein.

Der Ansatz hat seinen Weg in die Praxis gefunden und wird neben unseren eigenen Seminaren u. a. auch im Kurs IT-Security-Beauftragter der TÜV-Rheinland-Akademie gelehrt. Damit hat der Ansatz den Weg aus Forschung und Lehre gefunden und darf als Stand der Technik gesehen werden.

Ausgangslage

Von Mitarbeitern wird erwartet, dass sie bei ihrer täglichen Arbeit alle informationssicherheits-­relevanten Regeln und Vorschriften einhalten. Wenn diese Regelungen lange eingeübten, weitgehend automatisierten Handlungen zuwiderlaufen, wird dies nur schwer gelingen. Es bedarf daher neuer „sicherer“ Routinen. Diese können nicht allein angeordnet, sondern müssen eingeübt werden. Überdies muss ein Grundverständnis bei den Mitarbeitern erzeugt werden, damit sie die Maßnahmen langfristig und nachhaltig umsetzen.

Vorgehensweise

Organisationen müssen dafür sorgen, dass Mitarbeiter sowie weitere Personen, die unter der Aufsicht der Organisation Tätigkeiten ausüben, ihre Tätigkeiten unter Beachtung der Informationssicherheitsregeln ausführen. Bewusstsein und Wissen allein reichen hierfür nicht aus. Benötigt werden neue sichere Verhaltensweisen. Diese müssen eingeübt und als neue Routine im täglichen Arbeiten verankert werden. Überdies sollte die Leitung als gutes Vorbild vorangehen und diese Routinen vorleben.

Die Herangehensweise der Organisation an das Thema Awareness sollte strukturiert erfolgen. Die folgenden Schritte legen ein mögliches Vorgehen fest:

  1. Auswahl der Themen bzw. Themenbereich
  2. Festlegen der Ziele der Awareness-Kampagne(n)
  3. Umsetzung und Überprüfung der Wirksamkeit

Bei der Auswahl der Themen bzw. Themenbereich sollten zuvorderst die Ergebnisse des eigenen Risikomanagements und die eigenen Informationssicherheitsziele berücksichtigt werden. Auch weitere Aspekte wie Informationssicherheitsvorfälle in der eigenen oder bei vergleichbaren Organisationen der gleichen Branche, eine Betrachtung der eigenen Informationswerte („Kronjuwelen“), die eigene Unternehmenskultur, Anforderungen wichtiger Stakeholder, die Analyse und Bewertung der eigenen Informationssicherheitskennzahlen sowie die Ergebnisse von Audits sollten in die Auswahl einfließen.

Die Ziele der Awareness-Kampagne(n) sollten als konkrete, operative Ziele formuliert sein. Das heißt sie müssen spezifisch, messbar, erreichbar, relevant und mit einem Zeitrahmen versehen sein (SMART). Messbarkeit erfordert Kriterien, anhand derer bestimmt werden kann, ob oder in welchem Grad das Ziel erreicht wurde (Zielerreichungskriterien). Die Ziele sind vor dem Start der Umsetzung festzulegen und zu dokumentieren. Zudem sollten die Ziele den Mitarbeitern bekannt gemacht werden, wenn es der Zielerreichung dienlich ist.

The new Awareness Curve

Die Umsetzung erfolgt in neun größtenteils aufeinander aufbauenden Schritten:

  1. Sicherheits-Hygiene: In der Sicherheits-Hygiene sind zunächst die eigenen Regelungen auf tatsächliche und praktische Umsetzbarkeit zu prüfen. Niemandem darf zugemutet werden, Regeln zu befolgen, die im Kontext der eigenen Tätigkeit nicht oder nur unter erheblichen Erschwernissen umzusetzen sind.
  2. Information: Mitarbeiter brauchen Informationen über die bestehenden Regelungen, d.h. die Regeln müssen bekannt gemacht werden und für den Mitarbeiter verfügbar sein.
  3. Sensibilisierung: Die Mitarbeiter müssen sensibilisiert werden. Dabei sollten keine Bedrohungsmodelle genutzt werden, keine Angst erzeugt, sondern motiviert werden.
  4. Wissen und Verstehen: Mitarbeiter müssen wissen und grundlegend verstehen, wie ihr derzeitiges „unsicheres“ Verhalten durch die Bedrohungen ausgenutzt werden kann.
  5. Zustimmung: Mitarbeiter sollen aktiv und möglichst freiwillig zustimmen, ihren Teil zu leisten, d.h. ihr eigenes Verhalten ggfs. zu ändern.
  6. Selbstwirksamkeitserwartung: Die Mitarbeiter sollen eine Selbstwirksamkeitserwartung entwickeln. Das bedeutet, überzeugt zu sein, dass man das erwünschte Verhalten tatsächlich leisten kann und dass man hierdurch einen wichtigen Beitrag leistet.
  7. Fähigkeiten implementieren: Daraufhin werden die neuen Fähigkeiten implementiert. Das erwünschte neue Verhalten wird eingeübt. Dabei werden die Mitarbeiter daran erinnert, dass sie den neuen Verhaltensweisen zugestimmt haben, wie das alte Verhalten aussah und warum es nicht mehr ausgeübt wird.
  8. Verankerung: Das neue Verhalten muss verankert, ein Rückfall in alte Gewohnheiten unterbunden werden.
  9. Sicheres Verhalten: Im letzten Schritt ist das neue sichere Verhalten zur Routine geworden.

Zu jedem Schritt sind geeignet Werkzeuge und Methoden zur Unterstützung zu wählen. Bei der Auswahl von externen Dienstleistern und Services sollte darauf geachtet werden, dass alle Teilschritte des dargestellten Umsetzungsprozesses abgedeckt sind. Ggfs. müssen diese durch weitere Maßnahmen ergänzt werden.

Alle Maßnahmen sollten entsprechend der Bedürfnisse der verschiedenen Adressaten (SW-Entwickler, IT, Personalabteilung, Marketing, Vertrieb etc.) zielgruppengerecht ausgewählt und umgesetzt werden.

Um sicher zu gehen, dass die Voraussetzungen für die Durchführung des jeweils nächsten Prozessschrittes gegeben sind und das Erreichen der definierten Ziele insgesamt zu gewährleisten, sollte nach jedem Prozessschritt eine Wirksamkeitsprüfung durchgeführt werden. Ggfs. ist der Schritt zu wiederholen bzw. zu vertiefen.

Was Sie auch interessieren könnte:

Seminar:

„Security Awareness – Führungsaufgabe und Konzept“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, ,

Podcast – Security on Air – Heute KI rechtssicher im Unternehmen einführen

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Seit einigen Jahren macht die Entwicklung der Künstlichen Intelligenz (KI) enorme Sprünge – von reinem „Maschinenlernen“ zu gefühlter Intelligenz ist spätestens seit der Einführung von Chat GPT der Wandel vollzogen. Doch wie kann man diese Technologie im Unternehmen rechtssicher einsetzen? Welche Anwendungsmöglichkeiten gibt es, wie kann so ein Einführungsprojekt bestmöglich umgesetzt werden, welche Risiken sind zu beachten und wie können Mitarbeiter überzeugt werden, dass die KI sie nicht überflüssig machen soll?

Unser Gesprächspartner ist diesmal Steffen Maas, einer der Gründer der ai.Impact GmbH in Hamburg, der Unternehmen bei der Einführung von KI unterstützt (Kontakt ai.Impact).

In unserer Folge „KI rechtssicher im Unternehmen einführen – was ist zu beachten?“ gehen wir auf folgende Aspekte ein:

  • Was ist künstliche Intelligenz, Deep Learning oder Large Language Module?
  • „Intelligenzrevolution“ – die Möglichkeiten und Risiken der LLM
  • Mögliche Anwendungsbereiche von KI im Unternehmen
  • KI bei Unternehmen in KRITIS Sektoren
  • Möglicher Projektablauf der KI-Einführung im Unternehmen
  • die Wichtigkeit der Einbeziehung der Mitarbeiter
  • Berücksichtigung des Datenschutzes, Urheberrechtes, Antidiskriminierungsgrundsatz

Hier ein Paar Links zum Thema KI im Unternehmen – was ist zu beachten?

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
,

Podcast – Security on Air – Heute Videoüberwachung am Arbeitsplatz

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Videoüberwachung am Arbeitsplatz – ein sehr sensibles Thema, bei dem sich Mitarbeiter oftmals unwohl fühlen, der Arbeitgeber hingegen gern darauf setzt, um aussagekräftiges Material im Schadens- oder Streitfall zu haben.

Dieser Podcast richtet sich an alle, die sich mit betrieblicher Videoüberwachung auseinandersetzen wollen oder müssen, also von der Geschäftsführung, über Datenschutzbeauftragte bis hin zu den Mitarbeitern im entsprechenden Bereich.

In unserer Folge „Videoüberwachung am Arbeitsplatz – was ist datenschutzrechtlich zu beachten?“ gehen wir auf folgende Aspekte ein:

  • Datenschutzrechtliche Grundlagen für die Videoüberwachung
  • Planung und Dokumentation – das A und O des Projekts „Videoüberwachung“
  • Verantwortlichkeiten, Aufnahmeradius, Speicherdauer, Speicherorte
  • Kommunikation mit und an die Mitarbeiter

Hier ein Paar Links zum Thema Videoüberwachung am Arbeitsplatz – was ist datenschutzrechtlich zu beachten?

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Winterhuder Weg 82
22085 Hamburg

Tel: +49(0)4022947190
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen

Cookie-Einstellungen