JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Auch ISO Normen werden regelmäßig überprüft und an die aktuellen Gegebenheiten angepasst. So wurden in 2022 die aufeinander aufbauenden Normen 27001 und 27002 aktualisiert. Vor allem in der 27002, die die Maßnahmen zur Umsetzung der ISO 27001 beschreibt, hat sich einiges getan.

In unserer Folge „Die aktualisierten ISO Normen 27001 und 27002“ gehen wir auf folgende Aspekte ein:

  • Änderungen in der ISO 27002 – geänderte Abschnitte, neue Controls
  • Anpassung der ISO 27001
  • Stolperfallen minimale Wortänderungen
  • Zeitplanung Zertifizierung nach der aktualisierten Norm

Hier ein Paar Links zum Thema aktualisierten ISO Normen 27001 und 27002:

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Auch beim Datenschutz am Arbeitsplatz gilt: personenbezogene Daten der Mitarbeiter dürfen nur erhoben, verarbeitet oder genutzt werden, wenn eine rechtliche Grundlage vorliegt bzw. wenn der Betroffene dem Vorgang eindeutig zugestimmt hat. Aber was bedeutet das jetzt für den Arbeitgeber? Und hat der Mitarbeiter auch Pflichten, die zu beachten sind?

In unserer Folge „Mitarbeiterdatenschutz“ gehen wir auf folgende Aspekte ein:

  • Welche personenbezogenen Daten dürfen / müssen Arbeitgeber erheben?
  • Welche Daten bedürfen der Zustimmung und wie sollte diese Zustimmung eingeholt werden?
  • Was muss bei der Verarbeitung / Nutzung dieser Daten beachtet werden?
  • Themenschwerpunkte: Mitarbeiterfotos, Bewerber, Löschkonzept

Hier ein Paar Links zum Thema Mitarbeiterdatenschutz:

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

In den beiden bisherigen Blogartikel wurde deutlich, dass sich hinter den Forderungen nach einem System zur Angriffserkennung (SzA) im IT-SiG 2.0 und im EnWG sehr viel mehr verbirgt als nur ein Stück Software. Daher hat das BSI (Bundesamt für Informationssicherheit) als federführende Stelle für alle Verpflichteten eine Orientierungshilfe erstellt, die eine strukturierte Hilfestellung liefert. In diesem Artikel soll es um die Systematik in den Veröffentlichungen des BSI gehen.

Formulierung MUSS, SOLL, KANN

Das BSI nutzt in seinen Publikationen die Formulierungen „MUSS“, „SOLL“ und „KANN“. Dabei muss man alle „MUSS“-Anforderungen umsetzen, um eine Konformität zu erreichen, es gibt bei diesen Anforderungen keinen Ermessensspielraum. Etwas anders sieht es bei den „SOLL“-Anforderungen aus. Ähnlich den „MUSS“, ist bei den „SOLL“ davon auszugehen, dass auch diese immer umgesetzt sind – es sei denn, es gibt stichhaltige Gründe, von diesen Anforderungen abzusehen. Diese Gründe müssen dann aber auch sorgfältig abgewogen, fachlich nachvollziehbar und dokumentiert dargelegt werden. „KANN“-Anforderungen liefern sinnvolle Ergänzungen und Verschärfungen, ihre Umsetzung ist allerdings nicht zwingend notwendig, um eine Konformität zu erreichen. Die Untersuchung, in welchem Umfang „MUSS“, „SOLL“ und „KANN“ im Unternehmen umgesetzt sind, liefert den Reifegrad des Systems zur Angriffserkennung.
Das genutzte Reifegradmodell enthält 6 Reifegrade, beginnend beim niedrigsten Reifegrad „0“. Bei diesem Reifegrad wurden noch keinerlei Maßnahmen umgesetzt, und es gibt auch keine Planungen hierfür. Beim Reifegrad „1“ gibt es immerhin schon Planungen, sie sind aber noch nicht in allen Bereichen zu 100% umgesetzt. Beim Reifegrad „2“ wurde bereits mit der Umsetzung begonnen, es sind aber noch nicht alle „MUSS“-Anforderungen umgesetzt.

Reifegrad

Für die erfolgreiche Nachweiserbringung sieht das BSI bei der ersten Prüfung im Frühjahr 2023 mindestens den Reifegrad „3“ vor: alle „MUSS“-Anforderungen sind in allen Bereichen erfüllt, und an der Umsetzung der „SOLL“-Anforderungen wird kontinuierlich gearbeitet. In den folgenden Prüfzyklen, also erstmalig im Frühjahr 2025, wird dann der Reifegrad „4“ als Minimum verlangt. Zu diesem Zeitpunkt müssen alle „MUSS“-Anforderungen umgesetzt sein, und zusätzlich alle „SOLL“-Anforderungen, sofern diese nicht nachvollziehbar und begründet ausgeschlossen wurden.
Beim Reifegrad „5“ schließlich werden neben allen „MUSS“-Anforderungen auch die nicht ausgeschlossenen „SOLL“- und „KANN“-Anforderungen erfüllt. Zusätzliche sinnvolle eigene Maßnahmen, die in der Orientierungshilfe nicht genannt wurden, dürfen auch umgesetzt werden.

Nach diesem Überblick über die Methodik des BSI wird es im nächsten Artikel darum gehen, welche Fragestellungen bei einem System zur Angriffserkennung betrachtet werden müssen.

Die durch das IT-SiG 2.0 und EnBW geforderte Einführung von Systeme n zur Angriffserkennung (SzA) führt neben den eigentlichen technischen Anforderungen auch zu vielen organisatorischen Maßnahmen.

Die Schaffung der organisatorischen Rahmenbedingungen für die Protokollierung, Detektion und Reaktion auf Ereignisse gehört genauso dazu, wie die Planung und Sicherstellung von technischen, finanziellen und personellen Ressourcen. Eine Planung der Protokollierung sollte zum Beispiel durch eine schrittweise Vorgehensweise, basierend auf einer Risikoanalyse und unter Einbeziehung der kritischen Geschäftsprozesse, umgesetzt werden.

Weiterhin stehen strategische Entscheidungen an: Gibt die derzeitige IT-Infrastruktur eine OnPremise Lösung her? Muss die Infrastruktur vergrößert werden, um die Datenmengen, die durch das Logging und die Auswertung anfallen, aufzunehmen oder wird eine Cloudlösung präferiert?
Vielleicht wird auch entschieden, diese Aufgaben an einen Dienstleister auszulagern, weil es sowohl an personellen als auch an technischen Ressourcen mangelt.

Mit Blick auf das Personal stehen organisatorische Maßnahmen an. Es muss ein Verantwortlicher benannt werden, der die Auswertung der Protokoll- und Protokollierungsdaten übernimmt. Mitarbeiter, die in der Detektion eingesetzt werden, müssen festgelegt und geschult werden. Hierbei ist dem BSI wichtig, dass die Auswertung für das Personal Priorität vor eventuell anderen Tätigkeitsfeldern haben muss.

Bei allen Anforderungen für Systeme zur Angriffserkennung darf auch ein Blick auf weitergehende gesetzliche oder regulatorische Anforderungen an die Protokollierung nicht ausbleiben. Gerade bei der Protokollierung von personenbezogenen Daten darf die DS-GVO nicht außer Acht gelassen werden. Bei der Planung sollte daher frühzeitig mit einem Datenschutzspezialisten zusammengearbeitet und – wenn vorhanden – der Betriebsrat informiert werden.

Zum Thema Systeme zur Angriffserkennung:

Unsere Beratungsleistungen zum Thema SzA im Überblick (PDF)

Orientierungshilfe des BSI (PDF)

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Die ISO-Normen – schon allein das Wort klingt nach viel Papier und Bürokratie. Aber ist die Angst, ein Bürokratie- und Papiermonster zu schaffen, wenn man z.B. die ISO 27001 für ein ISMS umsetzen möchte, gerechtfertigt?

In unserer Folge „Bürokratiemonster ISO Norm“ gehen wir auf folgende Aspekte ein:

  • Das richtige Verständnis für die Norm
  • Anpassen der Umsetzung auf die eigenen Prozesse
  • Was bedeutet Dokumentation?
  • Die ISO-Norm muss nicht für einen Auditoren umgesetzt werden

Hier ein Paar Links zum Thema ISO-Normen auf Webseiten:

  • https://anmatho.de/informationssicherheit/
  • https://de.wikipedia.org/wiki/ISO/IEC_27001
  • https://advisera.com/27001academy/de/blog/2011/03/25/informationssicherheitsleitlinie-wie-detailliert-sollte-sie-sein/

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Kaum ein Unternehmen kommt heutzutage noch ohne eine eigenen Internetpräsenz aus. Aber, wie sollte es auch anders sein, darf man auch bei Webseiten den Datenschutz nicht aus den Augen verlieren.

In unserer Folge „Cookiebanner & Co. – was bei Webseiten aus Datenschutzsicht zu beachten ist“ gehen wir auf folgende Aspekte ein:

  • TTDSG und TMD
  • Impressum, Datenschutzerklärung
  • Stolperfalle Cookiebanner
  • Problematik Google Fonts

Hier ein Paar Links zum Thema Datenschutz auf Webseiten:

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Das Jahr 2022 war auch aus Datenschutz- und Informationssicherheitssicht kein ruhiges Jahr. Neue Beschlüsse, geänderte Gesetze und aktualisierte Normen werfen ihre Schatten auf 2023. Im Datenschutz ist weiterhin die Zusammenarbeit mit Drittstaaten ein großes Thema, in der Informationssicherheit stellen die aktualisierten Normen ISO 27001 und 27002 die Unternehmen vor neue Herausforderungen.

In unserer Folge “Jahresrückblick“ gehen wir auf folgende Aspekte ein:

  • TTDSG und Privacy Shield
  • Aktuelles zu Micosoft und Google Fonts
  • Zertifizierung im Datenschutz
  • Die neue ISO 27001 und 27002
  • IT-SiG 2.0, NIS 2 und TISAX

Hier ein Paar Links zum Thema MS Office 365 und die ISO 2700x:

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

So titelte die Tagesschau am 22.November 2022 über den Schneesturm an der Ostküste der USA.

Dieses Wetterereignis übertraf alles, was die sturmerprobten Amerikaner bisher kannten. Sogar Rettungskräfte konnten keine Einsätze mehr fahren und der Fahrer eines Schneeräumfahrzeuges kam ums Leben. Schreckliche Szenarien die wir uns alle nicht wünschen.

Aber nicht nur auf der anderen Atlantik-Seite wird das Thema BCM immer relevanter, auch bei uns hier in Europa. Ukraine-Krieg, Energiekrise und immer ausgefeiltere Cyber-Angriffe machen den Unternehmen und besonders den kritischen Infrastrukturen zu schaffen. Auch das Bundesamt für Bevölkerungsschutz macht jetzt im Fernsehen „Werbung“ zu den empfohlenen Notfallmaßnahmen für Privathaushalte. Das bringt uns schon zum Nachdenken, oder?

Wir sollten uns davon aber nicht in Panik versetzen lassen, sondern überlegte und gut vorausgeplante Maßnahmen etablieren, die solche Szenarien abmildern könnten. Das gilt für den Privathaushalt genauso wie für jedes Unternehmen.

Während die einen mit Vorräten, Taschenlampen und Wasserflaschen eine kleine Vorsorge betreiben können, sollten Unternehmen sich auf ihre kritischen Prozesse konzentrieren und hier sorgfältig überlegen welche Szenarien diese in Gefahr bringen könnten und wie vorbeugende Maßnahmen aussehen und vor allem auch dokumentiert werden können, um im Ernstfall vorbereitet zu sein. Ein gut aufgestelltes Business Continuity Management System kann hier Vieles abfedern.

Damit Sie nicht „Auf der grünen Wiese“ anfangen müssen, oder erst im Ernstfall feststellen welche Szenarien für Sie relevant sein könnten und welche Maßnahmen geholfen hätten, bieten wir Ihnen unser BCM- Seminar oder auch individuelle Workshops als Vorbereitung an.

Sie möchten gern mehr über ein BCM erfahren?

Dann besuchen Sie doch unser Seminar Business Continuity Management (BCM) nach ISO 22301

In unserem Seminar erfahren Sie wie Sie ein erfolgreiches BCM in ihrem Unternehmen etablieren und für mögliche Notfälle besser gerüstet sind. Sie bekommen Tipps zur Vorgehensweise, Übungen und für eine Szenarien basierte Vorgehensweise.

Wenn man der Redewendung folgt, Daten seien das Öl des Informationszeitalters, so liegt es nahe, diese Informationen auch angemessen zu schützen. In der Informationssicherheit bedeutet dies den Schutz von Verfügbarkeit, Vertraulichkeit und Integrität der Informationen, ganz gleich, ob es die firmeneigenen Informationen sind, die für die internen Abläufe benötigt werden, oder ob es sich um unternehmensfremde Informationen handelt, die lediglich zur Nutzung überlassen worden sind.

Oftmals ist es notwendig, diesen hoffentlich gut umgesetzten Schutz von Informationen auch objektiv nachzuweisen oder zumindest nachvollziehbar zu machen. Hierzu bedarf es eines gemeinsamen Verständnisses darüber, welche Punkte durch welche unabhängige Instanz geprüft werden sollen. Die in Deutschland am meisten genutzten Standards für die Prüfung eines Informationssicherheitssystems (ISMS) sind die nationale Norm „IT-Grundschutz“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sowie in den meisten Fällen die internationale Norm ISO 27001. Diese beiden Standards sind vor allem dadurch gekennzeichnet, dass sie sich auf alle Branchen und auf alle Arten von Unternehmen oder Organisationen anwenden lassen.

Branchenstandard TISAX®

Neben diesen beiden universellen Standards gibt es einige weitere, die jeweils eigene Schwerpunkte setzen. Einige von ihnen sind besser auf die Bedürfnisse kleinerer Unternehmen angepasst, wieder andere richten sich an bestimmte Branchen. Innerhalb der Automobilindustrie hat sich in den vergangenen Jahren der „Information Security Assessment“ (ISA) genannte Katalog mit Fragen der Informationssicherheit etabliert, herausgegeben vom Verband der Automobilindustrie (VDA). Auch für den Austausch der Prüfergebnisse innerhalb der Automobilindustrie und ihrer Zulieferer gibt es ein gemeinsames Verfahren: TISAX® („Trusted Information Security Assessment Exchange“).

Dieses einheitliche Vorgehen hat durchaus Vorteile für alle beteiligten Unternehmen, sowohl für die Hersteller selber als auch für ihre Zulieferer. TISAX® hat sich als Standard innerhalb der Branche etabliert, d.h. es wird für die Aufnahme in den Lieferantenstamm meist nur diese eine Prüfung gefordert und somit vermieden, dass für die verschiedenen Herstellern und Kunden jeweils verschiedene Prüfungen nach unterschiedlichen Kriterien für den Nachweis des geforderten Niveaus der Informationssicherheit erbracht werden müssen. Diese erhöhte Nachfrage nach einem „TISAX-Label“ ist in den letzten Jahren sehr deutlich spürbar geworden, nicht nur bei den direkten Zulieferern der Automobilindustrie, sondern entlang der gesamten Lieferkette. Man kann durchaus zu dem Schluss kommen, dass ohne TISAX® in der Automobilbranche mittelfristig kaum noch etwas geht …

Unterschiede und Schwerpunkte

Selbstverständlich wird Informationssicherheit in den einzelnen Standards nicht völlig neu erfunden, vielmehr werden jeweils die Schwerpunkte und Herangehensweisen unterschiedlich betrachtet. Daher orientiert sich die TISAX®-Prüfung an der ISO 27001, hier insbesondere am Anhang A. Zusätzlich wurden in den VDA-ISA Katalog, nach dem die Prüfung erfolgt, einige für die Automobil­industrie besonders relevante Themen zusätzlich mit aufgenommen, die in der Automobilindustrie eine besondere Rolle spielen. Dazu gehören der Schutz von Prototypen, der Umgang mit Test- und Erprobungsfahrzeugen, Vorgaben für Ausstellungen und Werbeaufnahmen sowie der Datenschutz. Diese zusätzlichen Themengebiete werden lediglich bei Bedarf geprüft, d.h. wenn sie das Geschäftsfeld des Zulieferers betreffen. Nur das Hauptthema „Informationssicherheit“ ist Bestandteil einer jeden TISAX®-Prüfung.

Natürlich kann ein so komplexes Thema wie der Aufbau oder die Prüfung eines ISMS nicht in einigen wenigen Sätzen vollständig vermittelt werden. Daher werden wir in weiteren Artikeln die Aspekte eines ISMS nach VDA-ISA oder der TISAX®-Prüfung beleuchten, und haben TISAX® auch mit in unser Seminarprogramm aufgenommen.

TISAX® – INFORMATIONSSICHERHEIT IN DER AUTOMOBILINDUSTRIE

Ohne TISAX® geht kaum noch etwas …

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Das könnte Sie auch interessieren:

Wir haben diesem Thema auch einen Podcast gewidmet. Sie finden diesen auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

In den bisherigen Blogbeiträgen wurden einige technische und organisatorische Aspekte betrachtet, die bei der sicheren Gestaltung von Home Office zu beachten sind. In den meisten der Artikel fanden sich Hinweise auf zu regelnde Fragestellungen, wie z.B. die dienstliche Nutzung privater Peripherie oder Gedanken zur Datensicherung. Dies zeigt: man kann den „menschlichen Faktor“ nicht hoch genug bewerten, wenn es um die Etablierung eines angemessenen Niveaus von Informationssicherheit geht, auch und gerade beim Arbeiten im Home Office!

Man kann nicht erwarten, dass sich alle Mitarbeiter von sich aus sicher verhalten, wenn es von Seiten des Unternehmens keine Vorgaben und Handreichungen gibt, was genau zu einem sicheren Verhalten gehört. Diese Art von Vorgaben und Regeln gibt es für das Arbeiten im Unternehmen selber, wo ihre Einhaltung vom Vorgesetzen, vielleicht auch von den Kollegen, nachverfolgt und gegebenenfalls angemahnt wird. Es sollte an die Mitarbeiter klar kommuniziert werden, dass es eine vergleichbare Erwartungshaltung auch für die Tätigkeit im Home Office gibt.

Einige der bisherigen Vorgaben gelten sicher genauso wie im Büro (z.B. das Verhalten am Telefon), einige Regeln müssen vielleicht für die Arbeit im Home Office ergänzt oder präzisiert werden (z.B. bezüglich des Speicherns von neuen Dokumenten), und wieder andere Regeln sind hauptsächlich für das Arbeiten außerhalb des Unternehmens gedacht (z.B. die Möglichkeit des Einsehens von Bildschirminhalten), oder müssen für das Arbeiten im Home Office überhaupt erst getroffen werden, wie z.B. Vorgaben zur Nutzung von privater Peripherie am Firmenrechner.

Erster Schritt: Regelungen treffen!

Eine erste Aufgabe des Unternehmens besteht also darin, diese Regelungen überhaupt erst einmal zu treffen, und sie dann natürlich auch zu kommunizieren. Zum Kommunizieren kann auch gehören, Abläufe oder neue Tools zu erklären, Unterschiede zwischen Büro und Home Office aufzuzeigen oder Hilfestellungen zu geben, z.B. durch Checklisten, Unterstützung bei der Einrichtung des häuslichen Arbeitsplatzes oder der Möglichkeit für Rückfragen und Klarstellungen.

Dieses Herangehen erzeugt nicht nur ein für beide Seiten klar geregeltes Umfeld, sondern ermöglicht es auch dem Mitarbeiter, sich bewusst sicher zu verhalten. Schließlich gibt es im privaten Umfeld Umstände, die das sichere Arbeiten durchaus beeinflussen können, wie z.B. kleine Kinder, die dem Elternteil gerne mal über die Schulter schauen, fehlende Vernichtungsmöglichkeiten für Papier und vieles mehr … Und man ist im Home Office ohne Kollegen oder Vorgesetzte, die auf die Einhaltung der Vorgaben hinweisen …

Doch dazu mehr im kommenden Blogartikel.

Was Sie auch interessieren könnte:

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!