Wirtschaftsschutz ruft zur erhöhten Aufmerksamkeit im Security-Bereich auf!

Home-Office, Quarantäne, Notbesetzung, Arbeitsverdichtung und viele weitere Herausforderungen machen die Lage für Unternehmen derzeit unsicher. Die Gefahr, dass Cyberkriminelle dies ausnutzen, ist nicht zu unterschätzen.

Ransomeware-Angriffe z.B. erfolgen häufig durch E-Mails, in denen Drohszenarien aufgebaut oder benötigte Waren angeboten werden. Beides ist im Zusammenhang mit dem neuen Coronavirus ein Leichtes. Beispiele dafür sind Angebote von Desinfektionsmitteln, Ratgeber wie mit Infektionen umgegangen werden muss, etc.

Wir empfehlen Ihnen, mit E-Mails dieser Art besonders vorsichtig umzugehen. Prüfen Sie den Absender, den Betreff und die Formulierungen sehr genau. Wenn Sie unsicher bezüglich der Glaubwürdigkeit sind, öffnen Sie diese E-Mails nicht oder wenn es sein muss, nur auf einem vom Netz getrennten, alleinstehenden Rechner. Wenn dieser Rechner dann befallen oder verschlüsselt wird, ist der Schaden begrenzt. Treffen Sie dennoch auf ein für Sie relevantes Thema, informieren Sie sich aktiv ausschließlich über amtliche bzw. offizielle Stellen.

Besonders in diesen außergewöhnlichen Zeiten ist Security-Awareness ein wichtiges Thema. Ihre Mitarbeiter werden derzeit, genau wie alle anderen Menschen, von der Lage verunsichert sein, so dass man die normalerweise herrschende Achtsamkeit nicht immer voraussetzen kann. Weisen Sie Ihre Mitarbeiter daher noch einmal auf diese besondere Situation hin. Kein Unternehmen braucht noch zusätzliche Probleme und auf die „Ganoven-Ehre“, diese dramatische Situation nicht auszunutzen, sollte niemand setzen.

 

Quelle: Niedersächsisches Ministerium für Inneres und Sport

/von
,

Corona-Pandemie – Datenschutzkonformes Arbeiten im Home Office

Von Hans-Christian Schellhase, ANMATHO AG

Deutschland steht in Zeiten von COVID-19 (fast) still, im öffentlichen Raum bewegen sich nur Wenige. Schaut man jedoch in die Häuser und Wohnungen, finden sich dort momentan improvisierte Schulen, Spielplätze, Toilettenpapier-Lager, Fitness-Studios aber auch Büros, denn viele Beschäftigte arbeiten momentan im Home-Office. Diese Art der Arbeit ist allerdings eine, die datenschutzspezifische Herausforderungen mit sich bringt. Was sollte also hinsichtlich der Arbeit im Home-Office in Sachen  Datenschutz beachtet werden?

Was sollten Beschäftigte im Home-Office beachten?

Arbeitet ein Beschäftigter im sog. Home-Office, also flexibel von Zuhause aus, ist er dabei regelmäßig dem gleichen datenschutzrechtlichen Regelwerk unterworfen wie auch bei der Arbeit im Büro:

  • Werden personenbezogene Daten also auch im Home-Office verarbeitet, dies ist regelmäßig der Fall, muss der Beschäftigte darauf achten, dass diese Daten nicht von Dritten – insbesondere Familienmitgliedern – eingesehen oder sonst wahrgenommen werden können. Dokumente sollten etwa nicht für alle einsehbar auf dem Küchentisch oder im Wohnzimmer ausgebreitet und Bildschirme so gedreht werden, dass Dritte ihre Inhalte nicht erkennen können. Auch Telefonate sollten möglichst nicht in Anwesenheit anderer geführt werden. Schaffen Sie sich gerne Zuhause – soweit möglich – einen eigenen Bereich zum Arbeiten.
  • Optimal wäre es nach Möglichkeit in einem separaten, abschließbaren Raum zu arbeiten. Ist dies nicht möglich, sollte zumindest die Aufbewahrung aller personenbezogenen Daten, vornehmlich aller betrieblichen Unterlagen, in einem abschließbaren Schrank erfolgen.
  • Die vom Arbeitgeber für die Tätigkeit im Home-Office bereitgestellten technischen Geräte, vornehmlich Smartphones und Laptops, sollten zudem nicht privat genutzt werden, soweit für eine private Nutzung keine entsprechenden Vereinbarungen mit dem Arbeitgeber bestehen. Kinder dürfen diese Geräte also nicht für Hausaufgaben, das Surfen im Internet oder Computerspiele verwenden. Zudem sollte das jeweilige Geräte gesperrt werden, wenn es – ggf. auch nur kurzzeitig – nicht genutzt wird.
  • Berufliche E-Mails dürfen auch im Home-Office nicht zu ihrer Bearbeitung an private E-Mail-Postfächer der Beschäftigten weitergeleitet werden. Darüber hinaus dürfen – wie im Büro – auch keine Clouddienste über den privaten Account des Beschäftigten genutzt werden, um etwa betriebliche Dokumente oder andere Daten mit anderen Beschäftigten oder Dritten auszutauschen, dies gilt ebenso für private USB-Sticks oder Festplatten, die ebenso nicht für die berufliche Tätigkeit verwandt werden dürfen. Jeder Beschäftigte darf auch im Home-Office regelmäßig nur die Arbeitsmittel einsetzten, die ihm vom Arbeitgeber zur Verfügung gestellt wurden, hierdurch soll etwa auch ein Datendiebstahl durch Dritte verhindert werden.
  • Private Telefone oder Smartphones, die auch für die Arbeit im Büro nicht genutzt werden dürfen, dürfen auch im Home-Office nicht zur Erledigung der beruflichen Tätigkeit genutzt werden. Alle Beschäftigten müssen daher insbesondere auf Telefonate oder das Schreiben von Nachrichten mit den privaten Geräten zur Erledigung der beruflichen Tätigkeit verzichten, soweit es keine Bring-Your-Own-Device-Regelungen mit dem Arbeitgeber gibt.
  • Müssen Ausdrucke oder andere Papierdokumente vernichtet werden, sollte dies auch im Home-Office datenschutzkonform erfolgen. Ausdrucke von personenbezogenen Daten und anderen sensiblen Inhalten sollten somit nur mit Hilfe eines Schredders vernichtet oder zumindest mit einer gewissen Sorgfalt in kleine Stücke zerrissen werden.

Was muss der Arbeitgeber hinsichtlich einer Tätigkeit der Beschäftigten im Home-Office beachten?

Damit auch im Home-Office der Datenschutz nicht zu kurz kommt, treffen auch den Arbeitgeber gewisse Pflichten:

  • Der Arbeitgeber muss alle Beschäftigten zunächst auf die Problematik des Datenschutzes im Home-Office ausführlich hinweisen und sollte dies auch dokumentieren. Im Rahmen dieser Sensibilisierung sollte der Arbeitgeber wenigstens die oben erläuterten Punkte aufgreifen.
  • Der Arbeitgeber muss zudem den im Home-Office arbeitenden Beschäftigen eine IT-Ausstattung zur Verfügung stellen, mit der die datenschutzkonforme Arbeit auch möglich ist. Werden Laptops ausgegeben, sollte deren Festplatte etwa verschlüsselt werden. Das gilt auch für die vom Arbeitgeber ausgegebenen USB-Sticks oder andere Speichermedien. Auch Smartphones, samt Speichermedien wie SD-Karten, sind zu verschlüsseln.
  • Der Arbeitgeber sollte zudem alle Bildschirme von betrieblichen Geräten für das Home-Office mit entsprechenden Sichtschutzfolien ausstatten, damit deren Inhalte nur schwer eingesehen werden können, solche gibt es auch für Smartphones.
  • Der Zugriff auf das jeweilige Betriebssystem und auch alle anderen vom Arbeitgeber bereitgestellten elektronischen Endgeräte muss zudem mit einem Kennwort oder einer PIN versehen werden.
  • Die elektronische Datenübermittlung – etwa E-Mail – muss nach dem Stand der Technik verschlüsselt sein, Zugriffe auf die Systeme des Arbeitgebers sollten lediglich über VPN, SSL bzw. TLS möglich sein. Die eingesetzten Verschlüsselungen sollten darüber hinaus auf ihre Belastbarkeit getestet werden, bevor Beschäftigte sie in großer Zahl nutzen.
  • Es sollte weiter ein Konzept zum Umgang sowie hinsichtlich der Vernichtung von sensiblen Unterlagen und Ausdrucken aber auch zu den anderen bereits oben betrachteten Punkten erarbeitet werden. Hier wäre ebenfalls zu prüfen, ob der Arbeitgeber auch für das Home-Office Drucker, Scanner, Kopierer oder Schredder – zumindest zeitweise – zur Verfügung stellt.

 Die Bazooka für den Home-Office-Datenschutz: Die Home-Office-Richtlinie

Sofern zeitlich noch oder wieder möglich, sollte die Arbeit der Beschäftigten im Home-Office in einer Richtlinie geregelt werden, wobei bei der Formulierung einer solchen Richtlinie der Datenschutzbeauftragte sowie ggf. auch der Betriebsrat miteinzubeziehen sind.

Bleiben Sie tapfer und gesund!

Was Sie auch interessieren könnte:

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, ,

ANMATHO-FORUM 2019

Wie jedes Jahr haben wir auch 2019 mit unserem ANMATHO-Forum gemeinsam mit unseren Kunden das Geschäftsjahr ausklingen lassen.

In weihnachtlichem Ambiente haben wir mit einem Live Hacking von Sebastian Schreiber von der SySS GmbH und mit mentaler Magie mit dem Mentalisten Thorsten Dankworth auf unterhaltsame Weise die Gefahren in unserer digitalen Welt aufgezeigt. Es wurde wieder einmal deutlich, wie wichtig die richtige Awareness, ein gutes Informationssicherheits-Management sowie Fortbildung in den Bereichen Informationssicherheit und Datenschutz ist.

Unter dem Motto „Neue Räume -neue Aufgaben“ haben wir unser neues Seminarprogramm 2020 vorgestellt, das mit unserem Umzug in unsere neuen Räumlichkeiten entstanden ist, um unsere Kunden bei der Sicherstellung ihrer Unternehmenswerte noch besser unterstützen zu können. Im Anschluss an die Vorträge hatten alle Teilnehmer die Möglichkeit, sich Einblicke in einzelne Seminarthemen zu verschaffen, einen Blick auf 1 ½ Jahre Datenschutz zu werfen oder an interaktiven Stationen Awareness-Tools zu testen. Gute Gespräche, ein konstruktiver Erfahrungsaustausch und ein reichhaltiges Buffet rundeten diesen Tag für alle ab.

Wir sagen noch einmal Danke an die Referenten und alle Teilnehmer, die diesen Tag auch für uns zu einem besonderen Ereignis gemacht haben.

/von

Referentenentwurf zum IT-Sicherheitsgesetz 2.0

Im neuen IT-Sicherheitsgesetzt sollen weitere Sektoren aufgenommen und die Befugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI) ausgeweitet werden.

Am 29.03.2019 wurde der Referentenentwurf zum IT-Sicherheitsgesetz 2.0 in die Ressortabstimmung eingebracht. Ziel des Referentenentwurfes ist weitere Unternehmen als Kritische Infrastruktur einzubeziehen. Hierzu gehören zum Beispiel die Abfallentsorgung oder Infrastrukturen aus den Bereichen Chemie und Automobilherstellung.

Hinzu kommen Unternehmen die eine hohe Bedeutung für das Funktionieren des Gemeinwesens haben, wie die Rüstungsindustrie oder der Bereich Kultur und Medien.
Auch Dienstleister die für die Primären Unternehmen eine wichtige Rolle spielen und der Ausfall des Dienstleisters einen entsprechenden Schaden beim Unternehmen verursachen würde, sollen mit in den Geltungsbereich der Regelung fallen. Insgesamt ist das BSI berechtigt Unternehmen, bei denen eine Störung zu einer Gefährdung der Gesellschaft werden kann, die Pflichten dieses Gesetzes aufzuerlegen.

Bezüglich der Bußgelder will man sich an den Vorgaben aus der DS-GVO orientieren und setzt eine maximale Höhe von 20 Mio. Euro bzw. 4% des gesamten, weltweiten Umsatzes an.
Des Weiteren soll das BSI deutlich mehr Kompetenzen erhalten, um Sicherheitslücken zu suchen, Informationen von Herstellern anzufragen und die Öffentlichkeit über bestehende Probleme zu informieren.

/von
, ,

Geschäftsgeheimnisgesetz: Das müssen Unternehmen jetzt tun!

Nach monatelangen Verhandlungen hat der Bundestag am 21.03.2019 das Geschäftsgeheimnisgesetz (GeschGehG) beschlossen, das bereits in Kraft getreten ist. Es ist also höchste Zeit für Unternehmen sich damit auseinanderzusetzen, was das neue GeschGehG für den Schutz ihrer Geschäftsgeheimnisse bedeutet und welcher Handlungsbedarf besteht.

Der Begriff des Geschäftsgeheimnisses

Bisher existierte in der Europäischen Union kein einheitliches Recht, was dem Schutz von Geschäftsgeheimnissen diente. In Deutschland waren Geschäftsgeheimnisse vor allem nach § 17 UWG geschützt. Nach der Rechtsprechung des Bundesgerichtshofs (BGH) galt als Geschäfts- oder Betriebsgeheimnis jede im Zusammenhang mit einem Geschäftsbetrieb stehende Tatsache, die nicht offenkundig sondern nur einem begrenzten Personenkreis bekannt war und nach dem bekundeten, auf wirtschaftlichen Interessen beruhenden Willen des Betriebsinhabers geheim gehalten werden sollte.

Nach der Definition in § 2 Nr. 1 GeschGehG ist hingegen ein Geschäftsgeheimnis eine Information,

  • die geheim ist (nicht allgemein bekannt bei Kreisen, die üblicherweise mit solchen Informationen umgehen, und nicht ohne weiteres zugänglich),
  • die von wirtschaftlichem Wert ist (geschützt wird nur ein wirtschaftliches und kein privates Geheimhaltungsinteresse),
  • die mit angemessenen Geheimhaltungsmaßnahmen geschützt wird und
  • bei der ein berechtigtes Interesse an der Geheimhaltung besteht.

Maßnahmen, die der Geheimhaltung dienen, sind daher nach momentan geltendem Recht nicht mehr nur notwendig, um tatsächlich dem Verlust von Geschäftsgeheimnissen entgegenzuwirken, vielmehr gilt jetzt: Werden keine angemessenen Geheimhaltungsmaßnahmen getroffen, liegt schon gar kein Geschäftsgeheimnis vor und der Schutz des GeschGehG greift nicht.

Wie sehen angemessene Geheimhaltungsmaßnahmen aus?

Wann Geheimhaltungsmaßnahmen den Umständen nach angemessen im Sinne des § 2 Nr. 1 GeschGehG sind, ist eine Frage des Einzelfalls. Die wirtschaftliche Bedeutung ist hierbei das wichtigste Kriterium für ein Geschäftsgeheimnis des Unternehmens. Handelt es sich vorliegend um die „Kronjuwelen“, deren Offenlegung oder Nutzung durch Wettbewerber existenzbedrohend sein könnte? Oder geht es um Geheimnisse, die zwar wichtig für das Unternehmen sind, aber in ihrer Gesamtheit doch eher untergeordnete wirtschaftliche Bedeutung haben? Je wichtiger ein Geschäftsgeheimnis für das Unternehmen ist, desto striktere Schutzmaßnahmen müssen ergriffen werden, damit diese als angemessen gelten können. Im Übrigen ist es wohl verfehlt, alle geheimhaltungsbedürftigen Informationen mit der höchsten Geheimhaltungsstufe zu versehen und mit besonderen Sicherungsmaßnahmen zu schützen. Insbesondere müssen die Geheimhaltungsmaßnahmen und der damit einhergehende Aufwand in einem angemessenen Verhältnis zur wirtschaftlichen Bedeutung des Geschäftsgeheimnisses stehen. Von einem Konzern könnten zudem möglicherweise striktere Geheimhaltungsmaßnahmen verlangt werden, als von einem mittleren oder kleineren Unternehmen. Was genau „angemessener Schutz“ bedeutet, wird daher noch durch die Rechtsprechung zu konkretisie-ren sein.

Wie verhält es sich jetzt mit dem Reengineering?

Ein Reengineering – mithin der Nachbau eines Produktes – um ein Nachvollziehen von Geheimnissen oder vielmehr deren Entschlüsselung zu ermöglichen, wird nach momentaner Rechtslage in Zukunft – zumindest teilweise – zulässig sein!

Welche rechtlichen Möglichkeiten habe ich nun bei Geheimnisverletzungen?

Der Inhaber eines verletzten Geschäftsgeheimnisses hat nach der neuen Gesetzeslage dieselben Ansprüche wie etwa der Inhaber eines verletzten Patents. Konnte bisher vom Verletzenden lediglich Schadensersatz, Unterlassung und Auskunft verlangt werden, wird der „juristische Werkzeugkasten“ nun etwa auch um Ansprüche auf Vernichtung verletzender Produkte, Herausgabe, Rückruf sowie dauerhafte Entfernung der verletzenden Produkte aus dem Markt erweitert. Dies ist eine erhebliche Besserstellung von Inhabern verletzter Geheimnisse.

Wie steht es nun um das „Whistleblowing“?

Der Schutz von sog. Whistleblowern und Journalisten, die Geschäftsgeheimnisse im Rahmen ihrer Veröffentlichung von Missständen in Unternehmen offenlegen, war einer der wesentlichen Gründe für komplexe Diskussionen im Rahmen des Gesetzgebungsverfahrens in Deutschland. Im Ergebnis einigte man sich auf einen hohen Whistleblower-Schutz.

Solange sich die Offenlegung des Geschäftsgeheimnisses durch den Whistleblower zum Schutz des öffentlichen Interesses eignet, macht er sich im Falle eines Geschäftsgeheimnisverrats nicht strafbar. Was auch dies im Einzelnen bedeutet, bleibt weiter – insbesondere mit Blick auf die Rechtsprechung – abzuwarten.

Was müssen Unternehmen jetzt tun?

Der Schutz von Geschäftsgeheimnissen nach dem GeschGehG ist nicht verpflichtend, anders als etwa die Vorgaben der DS-GVO umzusetzen. Dennoch müssen Unternehmen handeln, um ihre Geschäftsgeheimnisse zu schützen und sich im Streitfall auch durchsetzen zu können.

Wir empfehlen ein 3-stufiges Konzept:

Zunächst sollten alle Geschäftsgeheimnisse im gesamten Unternehmen identifiziert werden. Anschließend sollten in einem zweiten Schritt alle Geheimnisse bewertet und kategorisiert werden.

Je nach Wichtigkeit des Geschäftsgeheimnisses sind in einem dritten Schritt entsprechende Schutzmaßnahmen zu treffen. Schutzmaßnahmen sind jedoch keinesfalls nur rechtlicher Natur. Neben vertraglichen Vereinbarungen, Compliance-Maßnahmen und Arbeitsanweisungen sind auch technische und organisatorische Maßnahmen zu treffen, vor allem sollte hier eine Mitarbeiter-Sensibilisierung sowie die Verbesserung der IT- und Werkssicherheit stattfinden. Dies ist – wie bei der Umsetzung des Datenschutzes oder der Informationssicherheit im Unternehmen – nur unter Einbeziehung verschiedenster Abteilungen sowie Fachrichtungen im Unternehmen umsetzbar. Entscheidende Werkzeuge für den Erfolg einer Umsetzung können hier wiederum ein Datenschutz- oder Informationssicherheitsmanagementsystem sein.

Ergebnis

Sie müssen jetzt handeln! Unternehmen, die ihre Geheimnisse auch zukünftig schützen möchten und vor allem entsprechende Ansprüche durchsetzen wollen, sind jetzt gefordert, angemessene Schutzmaßnahmen zu ergreifen und zu dokumentieren!

/von

Was tun nach einem IT-Angriff?

Eine hundertprozentige IT-Sicherheit wird es nie geben, aber man sollte sich stehts der Gefahr bewusst sein. Regelmäßige Backups und die Sensibilisierung der Mitarbeiter sollten, wie Firewall und Virenscans, Standard sein. Und doch kann ein erfolgreicher Angriff auf die IT-Infrastruktur erfolgen.

Was ist dann zu tun?

An erster Stelle steht die Aufklärung. Seit wann ist das System infiziert, wie kam es dazu und welche Systeme sind betroffen. Das wann ist vor allem wichtig damit nicht ein Backup eingespielt wird, das ebenfalls infiziert ist und ein weiterer Angriff erfolgen kann.

Ist der Zeitpunkt bekannt, müssen alle auffälligen Systeme forensisch analysiert werden. Durch die Logfiles, Netzwerkaktivitäten und Daten aus Firewalls und Proxys können Schlüsse gezogen werden, wie es zu dem Angriff kam und auf welche Systeme es sich ausgeweitet hat.

Häufig, wird eine Attacke verwendet, um eine andere zu verschleiern. Beispielsweise eine Verschlüsselungstrojaner, um den Datendiebstahl und deren Spuren zu verstecken. Daher empfiehlt es sich bei einem Angriff auch weitere Bereiche genau zu betrachten.

Sind Daten abhandengekommen, ist zu klären wer alles darüber in Kenntnis gesetzt werden muss, um strafrechtliche Konsequenzen und Imageverlust zu vermeiden.

Ist die Sicherheitslücke identifiziert worden, kann diese geschlossen und das System nach und nach wieder per Backup in einen sauberen Zustand versetzt und aktiv geschaltet werden.
Spätestens jetzt ist der Zeitpunkt gekommen, die Sicherheitsvorkehrungen neu zu überdenken und die bei der Analyse aufgedeckten Schwachstellen durch geeignete technische und organisatorische Maßnahmen abzusichern.

IT-Sicherheit ist ein Prozess der ständig hinterfragt, überprüft und optimiert werden muss.
Mit einem Informationssicherheits-Managementsystem (ISMS) implementieren Sie einen standardisierten und kontinuierlichen Verbesserungsprozess in Ihrem Unternehmen. Eine systematische, praxisgerechte und wirtschaftliche Umsetzung erfolgt durch definierte Regeln und Methoden.

Oberstes Ziel ist der Schutz Ihres Unternehmens vor:

  • Finanziellen Schäden
  • Technischen Störungen und Fehlern
  • Datenmanipulation und Informationsmissbrauch
  • Sabotage und Spionage
  • Haftungsrisiken
  • Verlust der Reputation und Imageschäden

Sie möchten die Sicherheit in Ihrem Unternehmen verbessern? Kontaktieren Sie uns jetzt. Kontakt

/von
,

Warum Mitarbeiter für die Informationssicherheit wichtig sind

Unternehmen schützen Ihre Informationen durch diverse technische Maßnahmen vor Diebstahl und Missbrauch. Denn diese Daten machen ein Unternehmen erst erfolgreich. Um trotzdem an die begehrten Daten zu kommen, haben sich Hacker angepasst und greifen nicht mehr direkt die IT an, sondern suchen sich leichtere Wege, um ans Ziel zu kommen: die Mitarbeiter. Dabei gehen diese Cyber-Kriminellen äußerst geschickt vor und nutzen die menschlichen Schwächen aus.

Daher wird es immer wichtiger, Mitarbeiter gezielt für die Taktiken der Kriminellen zu sensibilisieren. Denn nur so kann verhindert werden, dass ein unbewusstes Fehlverhalten zu Datenverlust führen.
Das beginnt schon damit, dass in Konferenzräumen oder auf dem Schreibtisch keine sensiblen Unterlagen unbeobachtet liegen bleiben. Auch die Nutzung des Internets oder sozialer Medien mit dem Firmenrechner und das damit verbundene Risiko zu viele Informationen preis zu geben oder Schadsoftware runterzuladen wird immer problematischer.

Um ein entsprechendes Sicherheitsbewusstsein bei den Mitarbeitern zu schaffen, müssen Firmen zunächst klare und umsetzbare Richtlinien schaffen, an denen sich die Mitarbeiter orientieren können. Des Weiteren helfen Schulungen und Workshops den Mitarbeitern Gefahren zu erkennen und korrekt zu reagieren.

Wichtig ist, dass diese Maßnahmen regelmäßig durchgeführt und deren Umsetzung geprüft werden. Nur so erreicht man, dass die Maßnahmen zu einem wirklichen Umdenken und einer Handlungsveränderung bei den Mitarbeitern führen. Belehrungen reichen nicht – Beispiele schaffen Verständnis und verdeutlichen Folgen.

Trotz aller Warnungen scheuen Firmen immer noch die Investition für diese Sicherungsmaßnahme, da es keine messbaren Bedrohungen gibt. Denn wer kann schon sagen – Wie oft hat ein Externer sensible Daten gelesen. Welche Informationen zu Terminen bei Kunden wurden per Telefon an Fremde weitergegeben. Welche Passwörter von Mitarbeitern sind auch deren Freunden bekannt da es auch für private Accounts genutzt wird usw. Nur weil noch kein Schaden im eigenen Unternehmen bekannt geworden ist, heißt das nicht das die Bedrohung nicht da ist. Und ist der Schaden erst entstanden, hilft auch aller Ärger über den Mitarbeiter nicht.

Fazit:

Klare Regeln und ein hohes Sicherheitsbewusst sein bei den Mitarbeitern sind genauso wichtig wie die technischen Maßnahmen zur Sicherstellung der Informationssicherheit. Warten Sie nicht bis es zu spät ist, sondern investieren sie in Ihre Mitarbeiter.

Was Sie auch interessieren könnte:

Seminar:

„Security Awareness – Führungsaufgabe und Konzept“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von

Neuerungen im IT-Grundschutz-Kompendium

Seit Februar 2019 gilt das IT-Grundschutz-Kompendium 2019 als Prüfgrundlage für Zertifizierungen nach ISO 27001 auf Basis von IT-Grundschutz. Daher sollten sich alle, die für die IT-Sicherheit in Unternehmen oder Behörden zuständig sind, mit den Neuerungen auseinandersetzen.
Auf der Webseite  des BSI findet sich eine entsprechende Ausarbeitung.

Hier eine kurze Übersicht:

Zu den bereits vorhandenen 80 IT-Grundschutz Bausteinen sind 14 neue dazugekommen:

• APP.1.4 Mobile Anwendungen (Apps)
• APP.2.3 OpenLDAP
• APP.4.2 SAP-ERP-System
• APP.4.6 SAP ABAP-Programmierung
• IND.2.7 Safety Instrumented Systems
• INF.6 Datenträgerarchiv
• NET.4.1 TK-Anlagen
• NET.4.2 VoIP
• NET.4.3 Faxgeräte und Faxserver
• OPS.2.2 Cloud-Nutzung
• SYS.1.7 IBM Z-System
• SYS.2.4 Clients unter macOS
• SYS.3.3 Mobiltelefon
• SYS.4.3 Eingebettete Systeme

Von den 80 vorhandenen IT-Grundschutz Bausteinen sind 36 überarbeitet worden, allerdings nur bei 25 wurden umfangreichere Änderungen vorgenommen, die man sich ansehen sollte. Eine entsprechende Unterteilung wurde bereits, zur besseren Übersicht, auf der Webseite vorgenommen.

Wer sich noch nicht so genau mit dem IT-Grundschutzkatalog auskennt, kann sich im Kompendium  informieren. Eine gute Übersicht für den Einstieg bietet auf dieser Seite auch die Mindmap.

Wer sich lieber beraten lassen möchte oder Unterstützung bei der Umsetzung benötigt, kann sich gern an uns wenden.

Sie erreichen uns unter info(at)anmatho.de | Tel.: +49 40 229 47 19 0

/von

IT-Sicherheitskatalog für Energieanlagen veröffentlicht

Nach der Umsetzung des IT-Sicherheitskatalog für Gas- und Stromnetzbetreiber 2018 hat die Bundesnetzagentur (BNetzA) nun auch einen IT-Sicherheitskatalog für Energieanlagen veröffentlicht.

Adressiert werden hierbei Betreiber von Anlagen zur Erzeugung, Speicherung, Fortleitung oder Abgabe von Energie, die entsprechend der Schwellenwerte der BSI-Kritisverordnung als Kritische Infrastrukturen bestimmt wurden.

Ziel des IT-Sicherheitskatalog ist der Schutz der Telekommunikations- und elektronischen Datenverarbeitungssysteme, die für einen sicheren Betrieb von Energieanlagen erforderlich sind. Die Energieanlagenbetreiber werden dazu verpflichtet, IT-Sicherheitstechnische Mindeststandards umzusetzen. Diese umfasst die Einführung eines Informationssicherheits-Managementsystem und die Zertifizierung nach ISO 27001. Diese Zertifizierung ist dem BSI bis zum 31. März 2021 nach zu weisen. Dabei ist zu beachten, dass eine Umsetzung im Schnitt mindestens ein Jahr dauert. Und wenn viele Unternehmen gleichzeitig Unterstützung bei der Umsetzung benötigen, es zu Engpässen bei den beratenden Firmen kommen kann.

Bis zum 28. Februar 2019 ist der Bundesnetzagentur ein konkreter Ansprechpartner mit Kontaktdaten für die IT-Sicherheit zu benennen. Dieser Ansprechpartner soll Auskunft über den Umsetzungsstand der Anforderungen aus dem IT-Sicherheitskatalog geben und aufgetretene Sicherheitsvorfälle melden.
Zusätzlich ist eine Kontaktstelle zur Meldung von Störungen an das BSI zu melden.

Entsprechende Formulare finden Sie auf der Seite der Bundesnetzagentur unter:
https://www.bundesnetzagentur.de/

/von
,

Rückblick ANMATHO Forum 2018

Unter dem Motto: „Mission (Im)possible“ brachte unser Forum am 11.12.2018 Kunden aus unterschiedlichen Branchen zusammen. Für die brennenden Themen zur Informationssicherheit und Datenschutz konnten wir Experten gewinnen, die die Probleme aus unterschiedlichen Perspektiven betrachten.

Nach einer kurzen Begrüßung durch unseren COO, Herrn Westerkamp, hat Herr Dondera vom LKA Hamburg in dem Vortrag „Cybercrime – reale Gefahren im Netz“ kurzweilige und mit vielen Fallbeispielen auf die aktuelle Bedrohungslage in der digitalen Welt aufmerksam gemacht. Er hat besonders darauf hingewiesen, wie wichtig neben der technischen Sicherheit auch die Schulung der Mitarbeiter ist. Denn niemand sollte der Meinung sein, dass er im Unternehmen blindlings Mailanhänge öffnen kann – so nach dem Motto „Das Firmennetzwerk ist doch gut geschützt“.

In dem Vortrag „Wirtschaftsspionage durch Social Engineering“ machte Herr Peine-Paulsen, vom Wirtschaftsschutz Niedersachsen, deutlich, dass das größte Risiko heute nicht mehr von dem klassischem Hacker im Keller ausgeht, der versucht auf technischem Wege an interessante Daten zu gelangen. Unternehmen werden heute mithilfe von gezielt geknüpften Kontakten und dem Aufbau von Vertrauen ausspioniert. Mitarbeiter jeder Hierarchiestufe werden manipuliert und so verleitet Interna preiszugeben. Dies betrifft nicht unbedingt nur die großen Unternehmen. Im Visier von Kriminellen sind besonders innovative Firmen. Und auch hier wurde darauf hingewiesen, wie wichtig die Sensibilisierung der Mitarbeiter ist.
Der Part „Technische Lösungen für mehr Sicherheit“ hat Herr Blohm von der Dr. Netik und Partner GmbH übernommen. Er zeigte technische Lösungen auf, die den Vorgaben der Informationssicherheit entsprechen und in der Praxis erfolgreich eingesetzt werden.

Nach einem leckeren Lunchbuffet in dem angenehmen Ambiente des Business Club Hamburg, ging es weiter mit dem Thema Datenschutz. Herr Dr. Frhr von dem Busche von der Kanzlei Taylor Wessing hat in seinem Vortrag „200 Tage DS-GVO – Erfahrungen aus der anwaltlichen Praxis“, deutlich gemacht, dass die DS-GVO weltweit immer häufiger als Maßstab für richtigen Datenschutz angesehen wird. Vorausdenkende Unternehmen sollten die Umsetzung der DS-GVO als Wettbewerbsvorteil nutzen, denn Sie hat Einfluss auf den nationalen und internationalen Markt.

Im Anschluss hat Frau Thiel, Landesdatenschutzbeauftragte für den Datenschutz Niedersachsen, mit Ihrem Vortrag „Ein halbes Jahr DS-GVO aus Sicht der Aufsichtsbehörde“ die neuen Herausforderungen, die die DS-GVO mit sich gebracht hat, aus Sicht der Behörde geschildert. Sie zeigte den Teilnehmern auf, wie die niedersächsische Behörde in Datenschutzfragen vorgeht und welche Art von Prüfungen bisher in die Wege geleitet wurden und künftig zu erwarten sind.

In der abschließenden Podiumsdiskussion diskutierten die Referenten und Teilnehmer lebhaft und kontrovers aktuelle Fragen zu den Themen Informationssicherheit und Datenschutz.

Alles in Allem war das Feedback der Teilnehmer sehr positiv und wir freuen uns schon jetzt auf die Veranstaltung im nächsten Jahr.

/von

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Erste Brunnenstraße 1
20459 Hamburg

Tel: +49(0)4022947190
Fax: +49(0)40229471919
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen

Cookie-Einstellungen