JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Das Mobile Device Management ist zum einen eine softwarebasierte Verwaltung von mobilen Geräten wie Laptops, Smartphones usw. aber auch ein Konzept in dem klare Regeln aufgestellt werden, wie diese mobilen Geräte eingesetzt werden dürfen.

In unserer Folge „Mobile Device Management (MDM) aus Informationssicherheits- und Datenschutzsicht“ gehen wir auf folgende Aspekte ein:

  • Vorteile und Möglichkeiten des MDM
  • Mögliche Stolperfallen in Bezug auf private Nutzung
  • Lösungen, um eine private Nutzung zu ermöglichen
  • ISO 27002:2022 Kapitel 7.9 Security of assets off-Premises

Hier ein Paar Links zum Thema MDM:

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Laut ISO 27001:2022 Kapitel 9.2 sind interne Audits ein verpflichtender Bestandteil eines funktionierenden ISMS. Jedoch sollte man diese Audits nicht als Zwang wahrnehmen, sondern eher als Möglichkeit, gezielt Schwachstellen aufzugreifen und rechtzeitig abzustellen.

In unserer Folge „Audits in der ISO 27001 – wie, wer, was?“ gehen wir auf folgende Aspekte ein:

  • Forderungen der ISO 27001:2022 Kapitel 9.2
  • Unterschied Auditprogramm und Auditplan
  • Die Schwierigkeiten eines dynamischen Auditprogramms
  • Aufgaben und Qualifikationen von Auditprogrammleitern und Auditoren

Hier ein Paar Links zum Thema interne Audits:

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Beim Einkaufen mit einer Payback-Karte, Bestellen von Waren im Internet oder bei einer einfachen telefonischen Anfrage bei einem Dienstleister – personenbezogene Daten werden beinahe ständig übermittelt. Damit die Betroffenen die Möglichkeit haben, Auskunft über ihre Daten zu haben, oder diese sogar wieder löschen zu lassen, ist in der DS-GVO ein eigenes Kapitel für die Rechte der betroffenen Personen vorhanden.

In unserer Folge „Betroffenenrechte – Rechte, Pflichten, Stolperfallen“ gehen wir auf folgende Aspekte ein:

  • Kapitel 3 DS-GVO „Rechte der betroffenen Person“
  • Fallstrick 1: Authentifizierung des Anfragenden
  • Fallstrick 2: entgegenstehende gesetzliche Fristen
  • Prozesse, Zeitrahmen und Dokumentation von Auskünften und Löschungen

Hier ein Paar Links zum Thema Betroffenenrechte:

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Auch ISO Normen werden regelmäßig überprüft und an die aktuellen Gegebenheiten angepasst. So wurden in 2022 die aufeinander aufbauenden Normen 27001 und 27002 aktualisiert. Vor allem in der 27002, die die Maßnahmen zur Umsetzung der ISO 27001 beschreibt, hat sich einiges getan.

In unserer Folge „Die aktualisierten ISO Normen 27001 und 27002“ gehen wir auf folgende Aspekte ein:

  • Änderungen in der ISO 27002 – geänderte Abschnitte, neue Controls
  • Anpassung der ISO 27001
  • Stolperfallen minimale Wortänderungen
  • Zeitplanung Zertifizierung nach der aktualisierten Norm

Hier ein Paar Links zum Thema aktualisierten ISO Normen 27001 und 27002:

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Auch beim Datenschutz am Arbeitsplatz gilt: personenbezogene Daten der Mitarbeiter dürfen nur erhoben, verarbeitet oder genutzt werden, wenn eine rechtliche Grundlage vorliegt bzw. wenn der Betroffene dem Vorgang eindeutig zugestimmt hat. Aber was bedeutet das jetzt für den Arbeitgeber? Und hat der Mitarbeiter auch Pflichten, die zu beachten sind?

In unserer Folge „Mitarbeiterdatenschutz“ gehen wir auf folgende Aspekte ein:

  • Welche personenbezogenen Daten dürfen / müssen Arbeitgeber erheben?
  • Welche Daten bedürfen der Zustimmung und wie sollte diese Zustimmung eingeholt werden?
  • Was muss bei der Verarbeitung / Nutzung dieser Daten beachtet werden?
  • Themenschwerpunkte: Mitarbeiterfotos, Bewerber, Löschkonzept

Hier ein Paar Links zum Thema Mitarbeiterdatenschutz:

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

In den beiden bisherigen Blogartikel wurde deutlich, dass sich hinter den Forderungen nach einem System zur Angriffserkennung (SzA) im IT-SiG 2.0 und im EnWG sehr viel mehr verbirgt als nur ein Stück Software. Daher hat das BSI (Bundesamt für Informationssicherheit) als federführende Stelle für alle Verpflichteten eine Orientierungshilfe erstellt, die eine strukturierte Hilfestellung liefert. In diesem Artikel soll es um die Systematik in den Veröffentlichungen des BSI gehen.

Formulierung MUSS, SOLL, KANN

Das BSI nutzt in seinen Publikationen die Formulierungen „MUSS“, „SOLL“ und „KANN“. Dabei muss man alle „MUSS“-Anforderungen umsetzen, um eine Konformität zu erreichen, es gibt bei diesen Anforderungen keinen Ermessensspielraum. Etwas anders sieht es bei den „SOLL“-Anforderungen aus. Ähnlich den „MUSS“, ist bei den „SOLL“ davon auszugehen, dass auch diese immer umgesetzt sind – es sei denn, es gibt stichhaltige Gründe, von diesen Anforderungen abzusehen. Diese Gründe müssen dann aber auch sorgfältig abgewogen, fachlich nachvollziehbar und dokumentiert dargelegt werden. „KANN“-Anforderungen liefern sinnvolle Ergänzungen und Verschärfungen, ihre Umsetzung ist allerdings nicht zwingend notwendig, um eine Konformität zu erreichen. Die Untersuchung, in welchem Umfang „MUSS“, „SOLL“ und „KANN“ im Unternehmen umgesetzt sind, liefert den Reifegrad des Systems zur Angriffserkennung.
Das genutzte Reifegradmodell enthält 6 Reifegrade, beginnend beim niedrigsten Reifegrad „0“. Bei diesem Reifegrad wurden noch keinerlei Maßnahmen umgesetzt, und es gibt auch keine Planungen hierfür. Beim Reifegrad „1“ gibt es immerhin schon Planungen, sie sind aber noch nicht in allen Bereichen zu 100% umgesetzt. Beim Reifegrad „2“ wurde bereits mit der Umsetzung begonnen, es sind aber noch nicht alle „MUSS“-Anforderungen umgesetzt.

Reifegrad

Für die erfolgreiche Nachweiserbringung sieht das BSI bei der ersten Prüfung im Frühjahr 2023 mindestens den Reifegrad „3“ vor: alle „MUSS“-Anforderungen sind in allen Bereichen erfüllt, und an der Umsetzung der „SOLL“-Anforderungen wird kontinuierlich gearbeitet. In den folgenden Prüfzyklen, also erstmalig im Frühjahr 2025, wird dann der Reifegrad „4“ als Minimum verlangt. Zu diesem Zeitpunkt müssen alle „MUSS“-Anforderungen umgesetzt sein, und zusätzlich alle „SOLL“-Anforderungen, sofern diese nicht nachvollziehbar und begründet ausgeschlossen wurden.
Beim Reifegrad „5“ schließlich werden neben allen „MUSS“-Anforderungen auch die nicht ausgeschlossenen „SOLL“- und „KANN“-Anforderungen erfüllt. Zusätzliche sinnvolle eigene Maßnahmen, die in der Orientierungshilfe nicht genannt wurden, dürfen auch umgesetzt werden.

Nach diesem Überblick über die Methodik des BSI wird es im nächsten Artikel darum gehen, welche Fragestellungen bei einem System zur Angriffserkennung betrachtet werden müssen.

Die durch das IT-SiG 2.0 und EnBW geforderte Einführung von Systeme n zur Angriffserkennung (SzA) führt neben den eigentlichen technischen Anforderungen auch zu vielen organisatorischen Maßnahmen.

Die Schaffung der organisatorischen Rahmenbedingungen für die Protokollierung, Detektion und Reaktion auf Ereignisse gehört genauso dazu, wie die Planung und Sicherstellung von technischen, finanziellen und personellen Ressourcen. Eine Planung der Protokollierung sollte zum Beispiel durch eine schrittweise Vorgehensweise, basierend auf einer Risikoanalyse und unter Einbeziehung der kritischen Geschäftsprozesse, umgesetzt werden.

Weiterhin stehen strategische Entscheidungen an: Gibt die derzeitige IT-Infrastruktur eine OnPremise Lösung her? Muss die Infrastruktur vergrößert werden, um die Datenmengen, die durch das Logging und die Auswertung anfallen, aufzunehmen oder wird eine Cloudlösung präferiert?
Vielleicht wird auch entschieden, diese Aufgaben an einen Dienstleister auszulagern, weil es sowohl an personellen als auch an technischen Ressourcen mangelt.

Mit Blick auf das Personal stehen organisatorische Maßnahmen an. Es muss ein Verantwortlicher benannt werden, der die Auswertung der Protokoll- und Protokollierungsdaten übernimmt. Mitarbeiter, die in der Detektion eingesetzt werden, müssen festgelegt und geschult werden. Hierbei ist dem BSI wichtig, dass die Auswertung für das Personal Priorität vor eventuell anderen Tätigkeitsfeldern haben muss.

Bei allen Anforderungen für Systeme zur Angriffserkennung darf auch ein Blick auf weitergehende gesetzliche oder regulatorische Anforderungen an die Protokollierung nicht ausbleiben. Gerade bei der Protokollierung von personenbezogenen Daten darf die DS-GVO nicht außer Acht gelassen werden. Bei der Planung sollte daher frühzeitig mit einem Datenschutzspezialisten zusammengearbeitet und – wenn vorhanden – der Betriebsrat informiert werden.

Zum Thema Systeme zur Angriffserkennung:

Unsere Beratungsleistungen zum Thema SzA im Überblick (PDF)

Orientierungshilfe des BSI (PDF)

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Die ISO-Normen – schon allein das Wort klingt nach viel Papier und Bürokratie. Aber ist die Angst, ein Bürokratie- und Papiermonster zu schaffen, wenn man z.B. die ISO 27001 für ein ISMS umsetzen möchte, gerechtfertigt?

In unserer Folge „Bürokratiemonster ISO Norm“ gehen wir auf folgende Aspekte ein:

  • Das richtige Verständnis für die Norm
  • Anpassen der Umsetzung auf die eigenen Prozesse
  • Was bedeutet Dokumentation?
  • Die ISO-Norm muss nicht für einen Auditoren umgesetzt werden

Hier ein Paar Links zum Thema ISO-Normen auf Webseiten:

  • https://anmatho.de/informationssicherheit/
  • https://de.wikipedia.org/wiki/ISO/IEC_27001
  • https://advisera.com/27001academy/de/blog/2011/03/25/informationssicherheitsleitlinie-wie-detailliert-sollte-sie-sein/

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Kaum ein Unternehmen kommt heutzutage noch ohne eine eigenen Internetpräsenz aus. Aber, wie sollte es auch anders sein, darf man auch bei Webseiten den Datenschutz nicht aus den Augen verlieren.

In unserer Folge „Cookiebanner & Co. – was bei Webseiten aus Datenschutzsicht zu beachten ist“ gehen wir auf folgende Aspekte ein:

  • TTDSG und TMD
  • Impressum, Datenschutzerklärung
  • Stolperfalle Cookiebanner
  • Problematik Google Fonts

Hier ein Paar Links zum Thema Datenschutz auf Webseiten:

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Das Jahr 2022 war auch aus Datenschutz- und Informationssicherheitssicht kein ruhiges Jahr. Neue Beschlüsse, geänderte Gesetze und aktualisierte Normen werfen ihre Schatten auf 2023. Im Datenschutz ist weiterhin die Zusammenarbeit mit Drittstaaten ein großes Thema, in der Informationssicherheit stellen die aktualisierten Normen ISO 27001 und 27002 die Unternehmen vor neue Herausforderungen.

In unserer Folge “Jahresrückblick“ gehen wir auf folgende Aspekte ein:

  • TTDSG und Privacy Shield
  • Aktuelles zu Micosoft und Google Fonts
  • Zertifizierung im Datenschutz
  • Die neue ISO 27001 und 27002
  • IT-SiG 2.0, NIS 2 und TISAX

Hier ein Paar Links zum Thema MS Office 365 und die ISO 2700x:

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.