, ,

Wütende Elefanten… und was sie mit BCM zu tun haben

Durch einen Fernsehbericht über einen Freizeitpark bin ich ins Grübeln gekommen… Was passiert eigentlich, wenn im Zoo das Licht ausgeht, natürlich nicht am Abend, sondern weil der Strom ausfällt…?

Auch in einem Zoo gibt es große Abhängigkeiten zu IT-gesteuerter Infrastruktur, das fängt bei den Käfigklappen an die z.B. über Tastschalter bedient werden und hört beim Bergungsplan für den Besucheraufzug bei den Giraffen auf, dazwischen liegen jede Menge Prozesse und Infrastruktur.

Welcher Zoo-Betreiber möchte schon riskieren, dass sich Elefanten aus ihrem Gehege befreien, weil der Stromzaun ausgefallen ist und panisch zwischen den Besuchern umherrennen? Oder dass im Zuchtprogramm der Nachwuchs einer seltenen Tierart an Unterkühlung eingeht?

Fans von Dinosaurier-Filmen erinnern sich sicher an den Blockbuster Jurassic-Park und was dort passiert, nachdem alle Sicherheitssysteme durch einen eingeschleusten Virus ausgeschaltet wurden.

Also auch wenn der eigentliche Geschäftszweck wenig mit IT zu tun hat, sollte man diese immer im Auge behalten. Die Vorsorge für die unterschiedlichsten Notfall-Szenarien ist  in erster Linie Eigeninteresse. Der Schutz von Leib und Leben, wertvoller Geschäftsausstattung, den eigenen Produkten und Erfindungen und natürlich die Aufrechterhaltung bzw. schnelle Wiederherstellung des Geschäftsbetriebs sind für das Überleben eines Unternehmens essentiell.

Ein Workshop zum Thema Notfall-Vorsorge und Krisenmanagement zeigt auf wo Schwachstellen liegen und wie Sie diese absichern können. Informationen über Notfallübungen, Weiterentwicklung des BCM und Zertifizierungsmöglichkeiten geben einen umfangreichen Einblick in das Thema Business Continuity Management.

Was Sie auch interessieren könnte:

Seminar:

“Business Continuity Management (BCM) nach ISO 22301”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, , ,

Datenschutz in ein bestehendes ISMS integrieren (Teil 2 – Pflichten des Verantwortlichen)

Im ersten Teil dieser Artikel-Serie haben wir uns mit dem risikobasierten Ansatz beschäftigt, der der Informationssicherheit und dem Datenschutz gemein ist. In diesem Artikel soll es um die Referenzmaßnahmenziele und -Maßnahmen zu den Pflichten des Verantwortlichen gehen.

Im Anhang A der ISO 27701:2021 werden die Referenzmaßnahmenziele und -Maßnahmen (Controls) definiert, die speziell für Verantwortliche im Sinne des Datenschutzes gedacht sind. Sie dienen der Erfüllung der Pflichten des Verantwortlichen. Der Anhang B, dem ich mich in einem späteren Blog-Artikel widmen werde, spezifiziert Controls für Auftragsverarbeiter.

Die Nummerierung der Controls funktioniert analog zur ISO 27001. Das bedeutet, dass sich die Nummerierung auf die entsprechenden Norm-Kapitel der ISO 27701 bezieht. In der ISO 27701 sind die Normkapitel 7 und 8 ähnlich aufgebaut wie die Kapitel der ISO 27002:2013. Es gibt Zielsetzungen, Maßnahmen und Leitlinien zur Umsetzung. Die Anhänge A.7 und A.8 beziehen sich dann auf die entsprechenden Abschnitte der Kapitel 7 und 8.

Pflichten des Verantwortlichen

Die Tabelle im Anhang A der ISO 27701 gliedert sich in vier Abschnitte – A.7.2 bis A.7.5. Alle Controls müssen vor dem Hintergrund der anwendbaren Datenschutzgesetzgebung betrachtet werden. Ähnlich wie in der ISO 27001 wird nicht vorgeschrieben, wie etwas umzusetzen ist, sondern vielmehr, um welche Themenbereiche man sich zu kümmern hat. Dabei dürfen die Controls im Datenschutz nicht ausschließlich nach eigenen Vorstellungen umgesetzt werden, sondern so, dass die für die eigene Organisation zutreffenden gesetzlichen Bestimmungen erfüllt werden. Die Umsetzungshinweise in Kapitel 7 sind dabei oftmals notwendige, aber keine hinreichenden Bedingungen.

Pflichten des Verantwortlichen zu Bedingungen für die Erhebung und Verarbeitung

A.7.2 beschreibt 8 Controls zu den Bedingungen für die Erhebung und Verarbeitung personenbezogener Daten. Hier werden datenschutzrechtliche Grundsätze wie die Zweckbindung und Rechtmäßigkeit der Verarbeitung adressiert. Darüber hinaus beschäftigt sich der Abschnitt mit Verfahren zur Einholung von Einwilligungen, zur Datenschutzfolgeabschätzung, zu Verträgen mit Auftragsverarbeitern und gemeinsame Verantwortlichkeiten (Joint Controllership). Zum Schluss werden Aufzeichnungen und Nachweise thematisiert.

Verpflichtungen gegenüber betroffenen Personen

A.7.3 beschreibt 10 Controls: Von der Bestimmung der eigenen Pflichten gegenüber Betroffenen bis zum Definieren und Umsetzen entsprechender Prozesse sind hier alle entscheidenden Pflichten des Verantwortlichen gegenüber Betroffenen adressiert.

Verantwortlichen zum Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

A.7.4 beschreibt 9 Controls zum Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen. Dieser Abschnitt beschäftigt sich mit den Themen Privacy by Default und Privacy by Design.

Pflichten des Verantwortlichen zur Weitergabe, Übertragung und Offenlegung von personenbezogenen Daten

A.7.5 beschreibt 4 Controls zur Weitergabe, Übertragung und Offenlegung von personenbezogenen Daten. Dabei wird insbesondere der Bereich der Übermittlung in Drittstaaten adressiert.

Was Sie auch interessieren könnte:

Seminar:

“ISO 27701 – Den Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, ,

Awareness – Maßnahme oder Konzept?

Wenn man sein tägliches Umfeld betrachtet, kommt man leicht zu dem Schluss, dass der Start in das Informationszeitalter längst geschehen ist. Sowohl personenbezogene Daten als auch sonstige Informationen nehmen einen bedeutenden Teil der Wertschöpfung ein. Damit sind sie für das erfolgreiche Agieren von Unternehmen notwendig und damit auch wertvoll. Alltägliche Dinge wie das elektronische Bezahlen an der Supermarktkasse oder die Fahrt mit der Bahn benötigen funktionierende und sichere Systeme zur Informationsverarbeitung.

Natürlich denkt man zuerst an technische Maßnahmen, wenn es um den sicheren Betrieb von technischen Systemen geht, sei es am eigenen Computer oder auf dem Leitstand des Kraftwerkes. Doch auch der Mensch, der Benutzer von Systemen, muss als „Sicherheitslücke“ gesehen werden. Und genau an dieser Stelle setzen Awareness -Konzepte an. Ziel dieser Konzepte ist es, die Einstellungen, das Wissen und das Handeln von Menschen so zu ändern, dass die „Sicherheitslücke Mensch“ geschlossen wird.

Awareness als Konzept

Das kann natürlich nicht mit einer einzelnen Schulung oder Unterweisung erreicht werden. Ein Awareness -Konzept beschreibt vielmehr ein systematisches, langfristig orientiertes Herangehen an die Erhöhung des Sicherheitsbewusstseins. Damit verbunden sind mehrere, aufeinander abgestimmte, an Situation, Thema und den Adressatenkreis angepasste Maßnahmen. Es ist sicher nachvollziehbar, dass das wiederholte Zeigen von ein und derselben Präsentation eher Ablehnung hervorruft. Es geht bei guten Awareness -Konzepten also darum, für die Teilnehmer auch Abwechslung zu schaffen, Wiederholungen anders zu verpacken, oder auch die Form der Darbietung zu ändern. Natürlich müssen die Inhalte von solchen Maßnahmen auch aktualisiert und an die Empfänger angepasst werden.

Eine Möglichkeit, Abwechslung zu schaffen, Wissen zu vermitteln und zusätzlich auch den Lerneffekt zu prüfen, sind eLearnings: den Mitarbeitern werden neue Inhalte in kleinen Videosequenzen dargestellt und erklärt, danach erhält man bei Bestehen eines Abschlusstests eine Urkunde. Nebeneffekt bei dieser Art von Awareness -Maßnahme: die zeitliche Unabhängigkeit der Durchführung. Es ist nicht notwendig, für alle Teilnehmer einer Veranstaltung einen gemeinsamen Termin zu finden, und bei Bedarf kann man sich die Inhalte teilweise oder auch komplett noch einmal anschauen. Zusätzlich werden Aufwand und Kosten für die Referenten gespart.

Abwechslung bereichert das Awareness -Konzept und erhöht die Bereitschaft, die dargebotenen Inhalte auch für sich selber anzunehmen – sprich: das Sicherheitsbewusstsein wurde ein bisschen verbessert! Also, auf zur nächsten Maßnahme …
Ein kleiner Eindruck, wie so ein eLearning aussehen *könnte*, findet sich auf unserer Webseite.

Was Sie auch interessieren könnte:

Seminar:

„Security Awareness – Führungsaufgabe und Konzept“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, ,

Wirksamkeitsmessung im ISMS – Überblick

Erreicht unser Informationssicherheits-Managementsystems (ISMS) seine Ziele? Wirken alle zur Informationssicherheit umgesetzten Maßnahmen wie gedacht? Kurz: Funktioniert das ISMS oder erzeugt es nur das wohlige Gefühl, sich um das Thema Informationssicherheit schon irgendwie gut zu kümmern? Ohne Überwachung und Überprüfung der Wirksamkeit des Managementsystems selbst sowie der zur Informationssicherheit umgesetzten Maßnahmen bleiben nur Gefühl und Hoffnung. Eine angemessene Wirksamkeitsmessung ist daher in jedem relevanten ISMS-Framework vorgesehen.

Einen ersten Überblick zum Thema hat meine Kollegin Alice Laudien in ihrem Artikel Wirksamkeitsmessung im ISMS – ist ein Stein nur ein Stein?  zu unserem Seminar “Wirksamkeitsmessung nach ISO 27004” gegeben.

Dieser Artikel soll den Blick für die beiden Ebenen der Überwachung und Bewertung schärfen: ISMS und Maßnahmen der Informationssicherheit.

Wirksamkeit des ISMS

Gleichgültig ob man ein ISMS nach ISO 27001, BSI IT-Grundschutz oder einem anderen Regelwerk folgt: Ein ISMS besteht immer aus einem Satz zusammenhängender Elemente einer Organisation zum Festlegen von Politiken und Zielen sowie von Prozessen zum Erreichen dieser Ziele. Die Frage lautet also: Sind die Prozesse und ihre tatsächliche Umsetzung geeignet, die gesteckten Ziele zu erreichen?

Zu dieser Zielerreichung sieht beispielsweise ein ISMS nach ISO 27001 verschiedene Vorgehensweisen und Abläufe (Prozesse) vor, u.a. das Risikomangement, Setzen und Verfolgen von Informationssicherheitszielen, Kompetenzmanagement, Wirksamkeitsmessung, interne Audits, Managementbewertung. Diese Abläufe müssen überwacht werden. Am Beispiel der Informationssicherheitsziele bedeutet das:

  • Werden die Ziele regelmäßig (wie vorgesehen) überprüft, ggfs. verändert oder erneuert?
  • Werden Maßnahmen zum Erreichen der Ziele geplant?
  • Wird die Planung wie vorgesehen umgesetzt?
  • Wird die Zielerreichung anhand von Zielerreichungskriterien überprüft?

In einem späteren Artikel werde ich mich ausführlicher mit der Wirksamkeitsprüfung des Managementsystems nach ISO 27001 auseinandersetzen.

Wirksamkeit der Maßnahmen der Informationssicherheit

In einem ISMS nach ISO 27001 wird die Liste der umzusetzenden Maßnahmen aus drei Quellen gespeist:

  • anwendbare gesetzliche, regulatorische, vertragliche und selbst auferlegte Anforderungen
  • Risikomanagement
  • Informationssicherheitsziele

Diese drei Gruppen sind nicht disjunkt, d.h. sie überschneiden sich in der Praxis.

Geeignete Maßnahmen müssen ausgewählt werden, die Umsetzung geplant und verwirklicht werden. Zum Zeitpunkt der Auswahl der Maßnahmen ist man angemessen überzeugt, dass die Maßnahmen im Sinne der Zielerreichung wirksam sein werden, also z.B. ein Risiko hinreichend mindern, eine gesetzliche Anforderung tatsächlich umsetzen oder zur Erreichung eines Zieles zumindest beitragen.

Maßnahmen können im Ergebnis vollumfänglich erfolgreich, teilweise erfolgreich, in Hinblick auf das Ziel wirkungslos oder schlimmstenfalls kontraproduktiv sein. Wer nicht hinschaut, wird es nicht oder bestenfalls zufällig erfahren. Aus diesem Grund überwachen und überprüfen wir unsere Maßnahmen.

In einem späteren Artikel werde ich mich ausführlicher mit ausgesuchten Maßnahmen zur Informationssicherheit und der Möglichkeit ihrer Überwachung und Überprüfung beschäftigen.

Was Sie auch interessieren könnte:

Seminar:

„Wirksamkeitsmessung nach ISO 27004“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, ,

Sicheres Arbeiten im Home-Office – Es gibt viel zu tun!

Unverbesserliche Optimisten sehen in allen Situationen immer auch die positiven Aspekte. So ermöglichen die Erfahrungen mit den aus der Not heraus getroffenen Maßnahmen zu Beginn der Corona-Pandemie – die Pflicht zum Home-Office und das Homeschooling – einen schärferen Blick darauf, wie Prozesse und Abläufe in Unternehmen und der Verwaltung sich verändern müssen, um vom technologischen Fortschritt in einem größeren Umfang als bisher zu profitieren. Das Arbeiten im Home-Office erweist sich dabei als ein „Türöffner“.

Hierzu gehört mit Sicherheit auch eine geänderte Art der Kommunikation. Viele Menschen haben Erfahrungen mit Videokonferenzen gesammelt, die notwendige Ausstattung (Headset, Webcam) ist mittlerweile weit verbreitet und wird wie selbstverständlich genutzt. Und falls es noch nicht geschehen sein sollte, wäre es spätestens jetzt an der Zeit, von Unternehmensseite das weitere Vorgehen festzulegen, z.B. durch das Bestimmen der künftig zu nutzenden Plattformen und Anbieter. Aus organisatorischer Sicht gehören das Abschneiden alter Zöpfe und die Berücksichtigung der technologischen Möglichkeiten bei der Einführung neuer Prozesse dazu, genauso wie die Einbindung der Mitarbeiter. Nur so ist es möglich, neben der Verbesserung der Informationssicherheit auch Nutzen aus den geänderten Arbeitsweisen zu ziehen.

So ist z.B. in den Produkten vieler Festnetzanbieter auch die Möglichkeit zur softwarebasierten IP-Telefonie enthalten. Dadurch ist es möglich, Anrufe mit der dienstlichen Festnetznummer nicht nur aus dem Büro heraus zu tätigen, sondern auch vom Rechner im Homeoffice aus.  Benötigt wird lediglich das Headset, die Software für IP-Telefonie auf dem eigenen Rechner sowie ein Internetzugang – und die Vermischung von dienstlichen und privaten Telefonaten auf dem privaten Telefonanschluss ist Vergangenheit. Nicht zuletzt aus der Sicht von Datenschutz und Informationssicherheit eine deutliche Verbesserung, auch die Privatsphäre der Mitarbeiter wird so geschützt.

Zu den Veränderungen gehört auch das Erlernen von neuen Verhaltensweisen und Regeln. Nicht alles, was technisch möglich ist, ist auch immer erlaubt. So bieten Videokonferenzlösungen die Möglichkeit, Gespräche aufzuzeichnen – was allerdings rechtlich durchaus bedenklich ist. Ob und unter welchen Umständen derartige Aufzeichnungen zulässig sind, muss nicht nur vorher zuverlässig geklärt, sondern auch den Mitarbeitern vermittelt werden. Denn nur mit einer sicheren und rechtlich einwandfreien Nutzung werden sich die neuen Arbeitsweisen dauerhaft etablieren.

Für einen erfolgreichen Einstieg in die Gestaltung des Arbeitens im Home-Office haben wir unser eintägiges, praxisorientiertes Seminar entwickelt, in dem die Fragestellungen aus diesem und den vorherigen Artikeln  vertieft werden und das dabei unterstützen soll, das Arbeiten im Home-Office sinnvoll, sicher und datenschutzkonform zu organisieren.

Was Sie auch interessieren könnte:

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Security Awareness – Der Schlüssel Zum Erfolg

Wer in den letzten Monaten auf den üblichen IT-News-Portalen die Berichterstattung verfolgt hat, konnte sich kaum des Themas „Ransomware“ entziehen. Und natürlich fragt man sich als Verantwortlicher: Könnte das auch mich treffen? Was kann ich dagegen tun?

Oft werden auf Checklisten – gute – technische Hinweise gegeben. Der wahrscheinlich wichtigste Ratschlag stammt jedoch nicht aus dem technischen Bereich: die systematische und kontinuierliche Betrachtung von Security Awareness. Gemeint ist hiermit die Sensibilisierung der Mitarbeiterinnen und Mitarbeiter für die Informationssicherheit. Alle Mitarbeiterinnen und Mitarbeiter sollten sich über den hohen Stellenwert von Informationssicherheit bewusst sein, alle sollten wissen, dass auch von ihnen selbst ein essenzieller Beitrag erwartet wird – und seien es „nur“ solche alltäglichen Dinge wie eine telefonische Rücksprache bei einer verdächtigen E-Mail oder das Ansprechen von unbekannten Personen auf dem Flur.

Sobald ein solches Sicherheitsbewusstsein bei den Mitarbeiterinnen und Mitarbeitern entwickelt wurde, fällt es auch den Nicht-IT-Profis deutlich leichter, bei neuen Bedrohungen und in neuen Situationen spontan richtig zu handeln.

Flankiert wird Security Awareness hier durch die Komponente „Wissen“, denn natürlich benötigen die Mitarbeiterinnen und Mitarbeiter auch fachliche Informationen zur Informationssicherheit. Nicht jeder Mensch ist IT-affin, nicht jeder Mensch hat gleich viel Freude am Umgang mit Computer oder Smartphone – und auch IT-Profis lernen jeden Tag dazu …

Umso wichtiger ist, klare und leicht nachzuvollziehende Informationen und Arbeitsanweisungen bereitzustellen, wie in welcher Situation zu handeln ist.

Und so sind die Mitarbeiterinnen und Mitarbeiter dann auch für neue Situationen gerüstet, z.B. für die Arbeit im Home Office mit dem Wissen, was im Home Office anders ist, worauf geachtet werden muss und was vielleicht im Home Office verboten ist – und dem Bewusstsein für Informationssicherheit, dass es trotz der Arbeit von zu Hause aus und gerade ohne die ständige Präsenz von IT-Abteilung und Vorgesetztem auf das eigene Handeln ankommt.

Neben den in diesem Artikel angerissenen Fragestellungen geben wir in unserem Seminar zur Security Awareness auch einen kleinen Einblick in die rechtliche Motivation und zeigen anhand von Beispielen, wie Awareness-Maßnahmen maßgeschneidert auf ihre Mitarbeiterinnern und Mitarbeiter und auch auf ihre Unternehmenskultur gestaltet werden können.

Was Sie auch interessieren könnte:

Seminar:

„Security Awareness – Führungsaufgabe und Konzept“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, ,

Informationssicherheit und Datenschutz – mit der ISO 27701 Synergien nutzen und die Wettbewerbsfähigkeit stärken.

Die gute Performance im Bereich Informationssicherheit und Datenschutz wird immer mehr zu einem Wettbewerbsvorteil. Und ganz unabhängig davon, haben Unternehmen ja auch ein Eigeninteresse daran, zu schützen was Ihnen wichtig ist und die Steuerbarkeit ihrer Geschäftsprozesse zu sichern.

Im Bereich der Informationssicherheit ist die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001 ein international anerkannter Weg mit bewährten Steuerungsinstrumenten, wie z.B. ein an das Unternehmen angepasstes Kennzahlensystem, Audits und Managementbewertungen, die Informationssicherheit nachweislich auf ein hohes Niveau zu heben. Aber wie sieht es dazu im Vergleich beim Datenschutz aus?

In der Regel ist ein betrieblicher Datenschutzbeauftragter bestellt, der die Geschäftsführung – meist einmal im Jahr – über den Stand des Datenschutzniveaus im Unternehmen informiert. Insbesondere in Anbetracht der persönlichen Haftungsrisiken der Unternehmensleitung besteht hier häufig der Wunsch nach mehr Steuerbarkeit. Warum also nicht die bewährten Managementwerkzeuge aus der Informationssicherheit auf den Datenschutz übertragen?

Die ISO 27701 bietet eine Möglichkeit das Datenschutzmanagement in ein bestehendes Informationssicherheitsmanagement nach ISO 27001 zu integrieren. Der große Vorteil dabei ist, dass alle Bestandteile eines Managementsystems mit der ISO 27001 bereits vorhanden sind, und die Ausweitung auf den Datenschutz somit mit verhältnismäßig geringem Aufwand verbunden ist.

Derzeit befindet sich die ISO 27701 bei verschiedenen Zertifizierern in der Akkreditierung und es ist geplant in diesem Jahr eine Aufnahme in das Zertifikat nach ISO 27001 zu ermöglichen. Damit wäre auch für den Datenschutz ein unabhängiger sowie anerkannter Nachweis über die Umsetzung eines gesetzeskonformen Datenschutzes möglich.

Ein weiterer Benefit: Die Zusammenarbeit zwischen dem Informationssicherheitsbeauftragte (ISB) und dem Datenschutzbeauftragten (DSB) wird weiter gestärkt, Synergien werden entwickelt und es entstehen Lösungen für beide Themengebiete aus einem Guss.

Es lohnt sich, sich näher mit diesem Thema zu befassen, unabhängig davon, ob im Bereich der Informationssicherheit bereits eine Zertifizierung nach ISO 27001 besteht oder nicht.

Was Sie auch interessieren könnte:

Seminar:

“ISO 27701 – Den Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Was ist Business Continuity Management (BCM)?

Wie alle Managementsysteme kann auch das BCM an eine ISO Norm gekoppelt werden, dabei gibt die Norm dann die Anleitung wie die Abläufe und Prozesse optimiert werden und welche Schritte und Dokumentationen dafür notwendig sind.

Um die grundlegende Geschäftstätigkeit und damit die Existenz des Unternehmens auch im Angesicht von Notfällen und Krisen aufrecht zu erhalten, ist die Einführung eines Business Continuity Management Systems – kurz BCM sinnvoll.

Welche Gründe haben Unternehmen ein BCM-System einzuführen?

Die Aufrechterhaltung des Geschäftsbetriebes ggf. auch vorübergehend nur in einer rudimentären Form, sowie die anschließende Wiederherstellung hat für Unternehmen oberste Priorität.

Darüber hinaus gibt es auch nationale, rechtliche Anforderungen an ein betriebliches Krisenmanagement. Dabei können unterschiedliche gesetzliche Anforderungen gelten. Die Gesetze fordern eine aktive Auseinandersetzung mit möglichen Szenarien deren Eintritt den Geschäftsbetrieb so weit, beeinträchtigen das es als Notfall oder Krise definiert und somit nicht innerhalb eines tolerierbaren Zeitraums wiederhergestellt werden kann. Dabei sind unterschiedliche Kriterien, Szenarien und Prozesse zu berücksichtigen. Insbesondere an KRITIS-Unternehmen stellt der Gesetzgeber aufgrund ihrer Bedeutung für das Gemeinwesen besondere Anforderungen.

Oft ergeben sich aber auch von anderer Seite Anforderungen an die Implementierung eines BCM z.B. durch Versicherungen, Kunden oder Geschäftspartner.

Welche Bereiche umfasst ein BCM?

Analyse:

Welche Prozesse, Anlagen oder Dienstleistung ist kritisch? Dabei kann unabhängig von möglichen Szenarien analysiert werden welche Wertschöpfungsprozesse für das eigene Unternehmen als kritisch gelten. Im zweiten Schritt wird dann auch abhängig von Szenarien (z.B. Hochwasser, Stromausfall etc.) nochmal eine Bewertung durchgeführt um z.B. Schadenshöhen, Eintrittswahrscheinlichkeiten und maximale Ausfallzeiten anhand des konkreten Szenarios zu definieren.

Bewertung:

Wie ein Notfall zu bewerten ist, welche Auswirkungen dieser auf das Unternehmen hat und wie darauf zu reagieren ist muss jedes Unternehmen für sich bestimmen. Es gibt aber Methoden, die bei der Bewertung helfen können.

Übungen:

Mit unterschiedlichen Arten von Übungen können dann die identifizierten Szenarien geübt und die Wiederherstellungsplanung oder das Krisenmanagement überprüft und verbessert werden.

Wie wird ein BCM aufgebaut?

Die Norm ISO 22301 gibt hier eine Anleitung, aber auch die Empfehlungen z.B. des Amtes für Bevölkerungsschutz, das BSI oder die UP-Kritis Kooperation geben hier eine erste Hilfestellung.

Welche Fragen sollte man sich vor der Einführung stellen?

  • Gibt es einen von der Geschäftsführung unterzeichneten, verbindlichen BCM Leistungsauftrag mit konkreten messbaren BCM Leistungszielen?
  • Ist eine Zertifizierung nach ISO 22301 das Ziel?
  • In welchen Zyklen sollten die Pläne und Vorgehensweisen geübt und überprüft werden
  • Wie setzt man die notwendigen Regeln und Dokumentationen erfolgreich durch?

Was Sie auch interessieren könnte:

Seminar:

“Business Continuity Management (BCM) nach ISO 22301”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Wirksamkeitsmessung im ISMS – ist ein Stein nur ein Stein?

Könnten Sie auf Anhieb einen ungeschliffenen Diamanten von einem einfachen Glaskristall unterscheiden? Oder sieht er auf den ersten Blick nur aus wie ein Stein?
Um den wahren Wert zu erkennen, muss also nachgemessen werden. Und dabei sagt nicht etwa die Größe oder das Gewicht etwas über die Natur des Steines aus, sondern die chemische Zusammensetzung.

Genauso ist es auch bei der Bewertung eines Informationssicherheitssystemes. Es muss nicht nur geprüft werden, ob das System eingeführt und umgesetzt ist, es müssen auch die richtigen Werte gemessen werden, um zu sehen ob es richtig läuft.

Die ISO 27001 schreibt in Kapitel 9 die Bewertung der Leistung vor. Allerdings überlässt sie es der Organisation „was überwacht und gemessen werden muss, einschließlich der Informationssicherheitsprozesse und Maßnahmen“ sowie „die Methoden zur Überwachung, Messung, Analyse und Bewertung, sofern zutreffend, um gültige Ergebnisse sicherzustellen“ (ISO/IEC 27001:2013, 9.1a) und 9.1b)). Begrenzt hilfreich ist die ISO/IEC 27004 „Monitoring, Measurement, Analysis and Evaluation“, die zumindest Hinweise gibt, wer was wann und wie messen und bewerten sollte und im Annex B sogar ausführliche Beispiele für den Aufbau eines Messsystems aufgeführt werden. Jedoch kann hier die Masse und Ausführlichkeit vor allem für kleine und mittlere Unternehmen erschlagend wirken und ist auch gar nicht vollumfänglich notwendig.

In unserem Ein-Tages-Seminar „Wirksamkeitsmessung“ (online und Präsenz) erlangen Sie die Kompetenz, mit den richtigen Methoden Ihre Maßnahmen im ISMS zu bewerten. Welche Schwachstellen müssen beobachtet, gesteuert und letztendlich gemessen werden? Welchen Kennzahlen sollten zu Rate gezogen werden und was sagen sie überhaupt aus? Mit Hilfe dieser Kenntnisse können Sie dann die Wirksamkeit Ihres ISMS überprüfen und erkennen, ob Sie einen Diamanten oder einen Glaskristall in der Hand halten.

Was Sie auch interessieren könnte:

Seminar:

„Wirksamkeitsmessung nach ISO 27004“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Warum Mitarbeiter für die Informationssicherheit wichtig sind

Unternehmen schützen Ihre Informationen durch diverse technische Maßnahmen vor Diebstahl und Missbrauch. Denn diese Daten machen ein Unternehmen erst erfolgreich. Um trotzdem an die begehrten Daten zu kommen, haben sich Hacker angepasst und greifen nicht mehr direkt die IT an, sondern suchen sich leichtere Wege, um ans Ziel zu kommen: die Mitarbeiter. Dabei gehen diese Cyber-Kriminellen äußerst geschickt vor und nutzen die menschlichen Schwächen aus.

Daher wird es immer wichtiger, Mitarbeiter gezielt für die Taktiken der Kriminellen zu sensibilisieren. Denn nur so kann verhindert werden, dass ein unbewusstes Fehlverhalten zu Datenverlust führen.
Das beginnt schon damit, dass in Konferenzräumen oder auf dem Schreibtisch keine sensiblen Unterlagen unbeobachtet liegen bleiben. Auch die Nutzung des Internets oder sozialer Medien mit dem Firmenrechner und das damit verbundene Risiko zu viele Informationen preis zu geben oder Schadsoftware runterzuladen wird immer problematischer.

Um ein entsprechendes Sicherheitsbewusstsein bei den Mitarbeitern zu schaffen, müssen Firmen zunächst klare und umsetzbare Richtlinien schaffen, an denen sich die Mitarbeiter orientieren können. Des Weiteren helfen Schulungen und Workshops den Mitarbeitern Gefahren zu erkennen und korrekt zu reagieren.

Wichtig ist, dass diese Maßnahmen regelmäßig durchgeführt und deren Umsetzung geprüft werden. Nur so erreicht man, dass die Maßnahmen zu einem wirklichen Umdenken und einer Handlungsveränderung bei den Mitarbeitern führen. Belehrungen reichen nicht – Beispiele schaffen Verständnis und verdeutlichen Folgen.

Trotz aller Warnungen scheuen Firmen immer noch die Investition für diese Sicherungsmaßnahme, da es keine messbaren Bedrohungen gibt. Denn wer kann schon sagen – Wie oft hat ein Externer sensible Daten gelesen. Welche Informationen zu Terminen bei Kunden wurden per Telefon an Fremde weitergegeben. Welche Passwörter von Mitarbeitern sind auch deren Freunden bekannt da es auch für private Accounts genutzt wird usw. Nur weil noch kein Schaden im eigenen Unternehmen bekannt geworden ist, heißt das nicht das die Bedrohung nicht da ist. Und ist der Schaden erst entstanden, hilft auch aller Ärger über den Mitarbeiter nicht.

Fazit:

Klare Regeln und ein hohes Sicherheitsbewusst sein bei den Mitarbeitern sind genauso wichtig wie die technischen Maßnahmen zur Sicherstellung der Informationssicherheit. Warten Sie nicht bis es zu spät ist, sondern investieren sie in Ihre Mitarbeiter.

Was Sie auch interessieren könnte:

Seminar:

„Security Awareness – Führungsaufgabe und Konzept“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Erste Brunnenstraße 1
20459 Hamburg

Tel: +49(0)4022947190
Fax: +49(0)40229471919
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen

Cookie-Einstellungen