, ,

Sicheres arbeiten im Home Office – aus den Augen, aus dem Sinn…

Nachdem in den ersten Blogartikeln mit vorrangig technischen Aspekten begonnen wurden, soll hier an die eher organisatorischen Fragestellungen aus dem letzten Artikel angeknüpft werden. Aus einer rein technischen Sicht heraus ist das Arbeiten im Home Office mit einer passenden Ausstattung und bei geschäftlichen Abläufen, die eine Präsenz im Unternehmen nicht erfordern, vergleichsweise einfach umzusetzen. Mit Hilfe der im vorherigen Artikel beschriebenen Vorgaben gibt das Unternehmen den Rahmen vor, wie im außerhalb des Büros gearbeitet werden soll.

Dieser Rahmen erlaubt es, einen erheblichen Teil der internen Kommunikation auch im Home Office nachzubilden. Allerdings setzt es voraus, dass die technischen Möglichkeiten auch regelmäßig und intensiv genutzt werden, um die Mitarbeiter im Home Office in den internen Informationsfluss des Unternehmens auf eine Art und Weise einzubinden, die mit der bei vollständiger Büropräsenz vergleichbar ist. Oder anders gesagt: Man bekommt oft im Home Office vieles nicht mit, was im Unternehmen geschieht. Insbesondere der informelle Informationsfluss leidet oft, man vermisst den Smalltalk mit dem Gegenüber im Büro, bei der Raucherpause oder dem Weg in die Kantine.

Einen Teil zu diesem verringerten Informationsfluss kann auch die schlechtere Erreichbarkeit außerhalb des Büros beitragen. Nicht immer ist ein ablenkungsfreies und ungestörtes Arbeiten möglich, und gelegentlich werden die Freiheiten bei der Gestaltung der Arbeitszeiten auch genutzt – schließlich ist es ja entscheidend, dass die Ergebnisse stimmen, ODER? Insbesondere wenn es darum geht, schnell gemeinsame Entscheidungen außerhalb der gewohnten Abläufe zu treffen, kann sich eine eingeschränkte Erreichbarkeit durchaus negativ auswirken.

Führungsstil und Vertrauen

Somit wird klar, dass sich auch die Tätigkeiten und Herausforderungen im Bereich Mitarbeiterführung erweitern. Ein eng angelegter Führungsstil, der in hohem Maße auf direkter Kontrolle und unmittelbarer Ansprache beruht, funktioniert im Home Office vermutlich eher schlecht. Vielmehr dürfte ein ergebnisorientiertes, vertrauensvolles Anleiten durch den Vorgesetzten eher zu guten Ergebnissen führen. Dazu gehört natürlich auch, dass es Vorgaben und Richtlinien für das Arbeiten im Home Office geben muss, die den geänderten äußeren Bedingungen Rechnung tragen. Home Office bietet dem Arbeitnehmer zwar Gestaltungsmöglichkeiten und Vorteile, darf aber nicht mit absoluter Freiheit und „Wild West“ verwechselt werden. Und dazu kann es auch gehören, dass Arbeitsweisen oder Abläufe anders geregelt, manchmal sogar neu erschaffen oder zumindest entsprechend abgesprochen werden.

Was Sie auch interessieren könnte:

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Wirksamkeitsmessung im ISMS – Informationssicherheitsleistung

In den vorgehenden Beiträgen habe ich einen kurzen Überblick über die beiden Ebenen der Wirksamkeitsmessung im Informationssicherheits-Managementsystem (ISMS) gegeben und mich mit der Messung der Wirksamkeit des ISMS beschäftigt. Dieser Artikel vertieft den Aspekt der Wirksamkeit der Maßnahmen der Informationssicherheit, der Informationssicherheitsleistung.

Informationssicherheitsleistung – Wirksamkeit der Maßnahmen der Informationssicherheit

Dieser Artikel nimmt Bezug auf die ISO 27001:2022. Die o.g. vorhergehenden Artikel referenzierten noch die ISO 27001:2013. Allerdings gibt es keine nennenswerten inhaltlichen Änderungen die das Kapitel 9.1 “Überwachung, Messung, Analyse und Bewertung” betreffen. Neben redaktionellen Umstellungen ist lediglich die Anmerkung, dass die ausgewählten Methoden zu vergleichbaren und reproduzierbaren Ergebnissen führen sollten, damit sie als gültig zu betrachten sind, von einer Anmerkungen zu einer Anforderung geworden.

Die ISO 27001:2022 fordert: “Die Organisation muss die Informationssicherheitsleistung… bewerten.” Dazu muss überwacht und gemessen werden. Leistung meint ein messbares Ergebnis. An zwei Beispielen für zu überwachende und zu messende Größen, die der ISO 27004:2016 entnommen sind, soll dies dargestellt werden:

  1. Anzahl unbefugten Eindringens in Einrichtungen, in denen sich Informationssysteme befinden
  2. Anzahl der von Malware betroffenen Systeme, die nicht über eine aktualisierte Anti-Malware-Lösung verfügen

Anzahl unbefugten Eindringens in Einrichtungen, in denen sich Informationssysteme befinden

In welchem Unternehmen, gab es nicht schon einmal eine Situation, wo Personen in Bereichen angetroffen wurden, zu denen sie kein Recht zum  (unbegleiteten) Zutritt hatten. Der erste Schritt zur Eindämmung solcher Vorfälle ist zunächst einmal das Erfassen. Die reine Existenz einer solchen Kennzahl macht den eigenen Mitarbeitern deutlich, dass es sich hierbei um ein Problem (ein Informationssicherheitsrisiko) handelt. Das Meldeverhalten hierzu ist oft gering. Da die Situation, sofern sie auffällt, meist sofort entschärft wird. Der erste notwendige Schritt wäre also, die Mitarbeiter für das Thema zu sensibilisieren und zur Meldung anzuhalten.

Nach ihrer Einführung wird die Kennzahl zunächst wahrscheinlich steigen, was aber nicht auf mehr Fälle sondern auf ein besseres Meldeverhalten zurückzuführen ist. Ab der Stabilisierung kann beurteilt werden, ob es sich um vernachlässigbare Einzelfälle handelt oder ob Handlungsbedarf besteht. Nach ergriffen Maßnahmen müsste die Kennzahl dann auf ein akzeptables Niveau sinken.

Anzahl der von Malware betroffenen Systeme, die nicht über eine aktualisierte Anti-Malware-Lösung verfügen

IT-System können von Schadsoftware befallen werden. Dies wird sich wahrscheinlich niemals vollständig vermeiden lassen. Definitiv vermeidbar wäre der Befall durch bekannte Schadsoftware. Diese wird zuverlässig von den gängigen Anti-Viren-Softwarepaketen erkannt und ihre Ausführung verhindert. Bei den Systemen, die trotzdem befallen werden, wäre also noch weiter zu unterscheiden, nach Befall, der sich hätte vermeiden lassen und solchem, der auch bei aktueller AV-Software aufgetreten wäre. Möglicherweise gibt es für durch die Schadsoftware ausgenutzte Sicherheitslücken auch bereits Patches.

Warum wäre eine solche Kennzahl interessant? Wir erhalten hierdurch Hinweise, ob wir den Prozess zur Aktualisierung der AV-Lösung anpassen müssen oder ob es keinen akuten Änderungsbedarf gibt, da sich auch vielleicht nicht unverzügliche Aktualisierung zumindest in der Vergangenheit nicht als Problem erwiesen hat.

Möglicherweise gibt die Analyse von Kennzahlen Hinweise auf weitere wissenswerte Fakten. In unserem Beispiel wäre die “Anzahl der von Malware betroffenen Systeme, die nicht aktuell (nicht gepatcht) sind” möglicherweise eine weitere interessante Kennzahl.

Was Sie auch interessieren könnte:

Seminar:

„Wirksamkeitsmessung nach ISO 27004“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, ,

Datenschutz in ein bestehendes ISMS integrieren (Teil 3 – Pflichten als Auftragsverarbeiter)

Im letzten Teil dieser Artikel-Serie haben wir uns mit den Pflichten des Verantwortlichen beschäftigt. In diesem Artikel soll es um die Pflichten als Auftragsverarbeiter gehen.

Im Anhang A der ISO 27701:2021 werden die Referenzmaßnahmenziele und -maßnahmen (Controls) definiert, die speziell für Verantwortliche im Sinne des Datenschutzes gedacht sind. Sie dienen der Erfüllung der Pflichten des Verantwortlichen, gelten also für jede Organisation, die personenbezogene Daten verarbeitet. In diesem Artikel wollen wir uns nun dem Anhang B widmen, der Controls für Auftragsverarbeiter spezifiziert.

Pflichten als Auftragsverarbeiter

Auftragsverarbeiter haben datenschutzrechtliche Pflichten zu beachten. Diese ergeben sich u.a. aus dem Vertrag zur Auftragsverarbeitung, sind also mit dem Auftraggeber vereinbart. Der Anhang B der ISO 27701:2021 deckt diesen Bereich ab. Er gliedert sich in vier Abschnitte: B8.2 bis B8.5. Behandelt werden die Bedingungen für die Erhebung und Verarbeitung, Verpflichtungen gegenüber betroffenen Personen, Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen sowie die Weitergabe, Übertragung und Offenlegung von personenbezogenen Daten. Die Struktur ist also analog zu der im Anhang A.

Viele Unternehmen sind Auftragsverarbeiter im datenschutzrechtlichen Sinne, auch wenn sie sich nicht klassisch als solche fühlen. Häufig kommt man als Dienstleister mit personenbezogenen Daten seiner Kunden “in Berührung”, was datenschutzrechtlich häufig als Auftragsverarbeitung zu werten wäre. Zu prüfen wäre auf alle Fälle auch, ob es sich statt um eine klassische Auftragsverarbeitung um eine gemeinsame Verantwortung im Sinne des Art. 26 der DSGVO handelt (siehe auch A.7.2.7 der ISO 27701:2021). Aber das soll heute nicht das Thema sein. Wir gehen im Folgenden vom Fall der klassischen Auftragsverarbeitung aus.

Bedingungen für die Erhebung und Verarbeitung

B.8.2 beschreibt 6 Controls zu den Bedingungen für die Erhebung und Verarbeitung personenbezogener Daten. Hier geht es um das Vertragsverhältnis zum Auftraggeber. Es muss u.a. sichergestellt werden, dass die personenbezogenen Daten nur zu den vereinbarten Zwecken verwendet werden. Besondere Aufmerksamkeit wird der Verwendung zu Marketingzwecken geschenkt. Auch die Frage der zur Verfügungstellung von Informationen für den Auftraggeber wird adressiert.

Verpflichtungen gegenüber betroffenen Personen

B.8.3 widmet sich gesondert der Pflicht, dem Auftraggeber zur Erfüllung seiner datenschutzrechtlichen Verpflichtungen die notwendigen Mittel bereitzustellen.

Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

B.8.4 beschreibt 3 Controls zum Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen, beschäftigt sich also mit den Themen Privacy by Default und Privacy by Design. Adressiert werden unter diesem Gesichtspunkt die Themenbereiche temporäre Dateien, die Rückgabe, Übertragung oder Entsorgung von personenbezogenen Daten sowie Maßnahmen zur Übertragung personenbezogener Daten.

Pflichten des Auftragsverarbeiters zu Weitergabe, Übertragung und Offenlegung von personenbezogenen Daten

B.8.5 beschreibt 8 Controls zur Weitergabe, Übertragung und Offenlegung von personenbezogenen Daten. Dieser Bereich ist für Auftraggeber besonders wichtig, da es sich bei den personenbezogenen Daten eben nicht um Daten handelt, für die er selbst Verantwortlicher ist, sondern der Auftraggeber. Daher müssen die Bedingungen, unter denen z.B. Behörden diese Daten offengelegt werden (müssen), gut geregelt sein.

Weiterhin wird der Bereich der Übermittlung in Drittstaaten adressiert.

Wie es weiter geht

Die nächsten Artikel dieser Serie zur ISO 27701 beschäftigen sich mit den Themen

Seminar „Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren“

In unserem Seminar „Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren“ betrachten wir den Aufbau der ISO 27701. Wir zeigen, wie der Datenschutz in ein bestehendes ISMS nach ISO 27001 integriert werden kann bzw. wie der Datenschutz beim Aufbau eines ISMS als integraler Bestandteil gleich berücksichtigt wird.

/von
, ,

Sicheres Arbeiten im Home Office – Jetzt aber wirklich!

Nach zwei Jahren der Pandemie kann man schon einmal Bilanz ziehen: Was hat gut geklappt, und an welchen Stellen muss noch nachgebessert werden? Von einem pragmatischen Standpunkt und rein aus der Funktionalität heraus ist das Arbeiten im Home-Office für viele von uns zur neuen Normalität geworden. Allerdings ist das noch lange kein Anlass, sich auf dem Erreichten auszuruhen.

Wie wir in einem vorherigen Beitrag bereits angedeutet hatten, müssen neben den technischen Fragestellungen auch viele rechtliche, organisatorische, methodische und auch psychologische Fragestellungen beantwortet werden, bevor man wirklich von einem sicheren und datenschutzkonformen Arbeiten im Home-Office sprechen kann.

So sind beispielsweise Regelungen für das Drucken im Home-Office durchaus notwendig – und dabei geht es nicht voranging um die Kosten für Papier oder Druckertinte, es geht vielmehr um die Details des Drumherum. Darf ich rein formal überhaupt mein privates Equipment für dienstliche Zwecke nutzen, oder besteht ein Verbot des Arbeitgebers? Und wenn ich es darf – ist es mir technisch möglich, den passenden Druckertreiber zu installieren? Speichert der Drucker vielleicht den Dokumenteninhalt langfristig? Wie soll ich die Ausdrucke im Home-Office lagern, damit auch Familienmitglieder oder gar Besucher keinen Einblick erhalten können? Habe ich eine sichere Transportmöglichkeit, um die Ausdrucke bei Nichtgebrauch in der Firma sicher entsorgen zu können? Oder ist es akzeptabel, wenn ich stattdessen den privaten Shredder zur Vernichtung benutze? Schon so einfache Fragen wie die nach dem Drucken im Home-Office erzeugen einen weitreichenden Klärungsbedarf – und diese Fragen müssen geklärt werden, weil die angesprochenen Lücken ansonsten offen bleiben.

Auch weniger technische Aspekte wie z.B. die Einbindung aller Beteiligten in die innerbetrieblichen Informationsflüsse, das Aufrechterhalten des Austauschs mit den Kollegen und viele weitere Punkte müssen umgesetzt sein, damit das Arbeiten außerhalb der betrieblichen Räumlichkeiten zu einem Erfolgsmodell wird, ohne das bestehende Sicherheitsniveau zu gefährden. Denn durch diese neue Normalität kommen auch neue Gefährdungen der Informationssicherheit hinzu.

So ist es z.B. durchaus nachvollziehbar, dass man sich in seinen eigenen vier Wänden sicher fühlt, und dadurch leider unvorsichtiger wird – und schon öffnet man eine angebliche Mail von einem IT-Dienstleister, in der die Vergrößerung des Postfachs angeboten wird. Im dienstlichen Umfeld dagegen hätte man diese Mail vielleicht als Phishingversuch erkannt, z.B. durch einen kurzen Gedankenaustausch mit dem Kollegen gegenüber.

Nun ist das Home-Office sicher keine neue Erfindung. Einige Anregungen zur sicheren und datenschutzkonformen Gestaltung des Arbeitens im Home-Office finden sich bereits in etablierten Normen und Standards, wie z.B. dem „IT-Grundschutz“ des BSI oder in der ISO 27001.

Wünschen Sie sich, sich mit Anderen darüber auszutauschen? Dann ist eventuell unser eintägiges Seminar für Sie interessant. In dem zeigen wir thematisch breit, aber trotzdem praxisorientiert, wie das Arbeiten im Home-Office sinnvoll, sicher und datenschutzkonform organisiert werden kann!

Was Sie auch interessieren könnte:

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, ,

BCM: Strassensperrungen, Fahrverbote, Flugausfälle

So titelte die Tagesschau am 22.November 2022 über den Schneesturm an der Ostküste der USA.

Dieses Wetterereignis übertraf alles, was die sturmerprobten Amerikaner bisher kannten. Sogar Rettungskräfte konnten keine Einsätze mehr fahren und der Fahrer eines Schneeräumfahrzeuges kam ums Leben. Schreckliche Szenarien die wir uns alle nicht wünschen.

Aber nicht nur auf der anderen Atlantik-Seite wird das Thema BCM immer relevanter, auch bei uns hier in Europa. Ukraine-Krieg, Energiekrise und immer ausgefeiltere Cyber-Angriffe machen den Unternehmen und besonders den kritischen Infrastrukturen zu schaffen. Auch das Bundesamt für Bevölkerungsschutz macht jetzt im Fernsehen „Werbung“ zu den empfohlenen Notfallmaßnahmen für Privathaushalte. Das bringt uns schon zum Nachdenken, oder?

Wir sollten uns davon aber nicht in Panik versetzen lassen, sondern überlegte und gut vorausgeplante Maßnahmen etablieren, die solche Szenarien abmildern könnten. Das gilt für den Privathaushalt genauso wie für jedes Unternehmen.

Während die einen mit Vorräten, Taschenlampen und Wasserflaschen eine kleine Vorsorge betreiben können, sollten Unternehmen sich auf ihre kritischen Prozesse konzentrieren und hier sorgfältig überlegen welche Szenarien diese in Gefahr bringen könnten und wie vorbeugende Maßnahmen aussehen und vor allem auch dokumentiert werden können, um im Ernstfall vorbereitet zu sein. Ein gut aufgestelltes Business Continuity Management System kann hier Vieles abfedern.

Damit Sie nicht „Auf der grünen Wiese“ anfangen müssen, oder erst im Ernstfall feststellen welche Szenarien für Sie relevant sein könnten und welche Maßnahmen geholfen hätten, bieten wir Ihnen unser BCM- Seminar oder auch individuelle Workshops als Vorbereitung an.

Sie möchten gern mehr über ein BCM erfahren?

Dann besuchen Sie doch unser Seminar Business Continuity Management (BCM) nach ISO 22301

In unserem Seminar erfahren Sie wie Sie ein erfolgreiches BCM in ihrem Unternehmen etablieren und für mögliche Notfälle besser gerüstet sind. Sie bekommen Tipps zur Vorgehensweise, Übungen und für eine Szenarien basierte Vorgehensweise.

/von
, ,

TISAX® – Informationssicherheit in der Automobilindustrie

Wenn man der Redewendung folgt, Daten seien das Öl des Informationszeitalters, so liegt es nahe, diese Informationen auch angemessen zu schützen. In der Informationssicherheit bedeutet dies den Schutz von Verfügbarkeit, Vertraulichkeit und Integrität der Informationen, ganz gleich, ob es die firmeneigenen Informationen sind, die für die internen Abläufe benötigt werden, oder ob es sich um unternehmensfremde Informationen handelt, die lediglich zur Nutzung überlassen worden sind.

Oftmals ist es notwendig, diesen hoffentlich gut umgesetzten Schutz von Informationen auch objektiv nachzuweisen oder zumindest nachvollziehbar zu machen. Hierzu bedarf es eines gemeinsamen Verständnisses darüber, welche Punkte durch welche unabhängige Instanz geprüft werden sollen. Die in Deutschland am meisten genutzten Standards für die Prüfung eines Informationssicherheitssystems (ISMS) sind die nationale Norm „IT-Grundschutz“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sowie in den meisten Fällen die internationale Norm ISO 27001. Diese beiden Standards sind vor allem dadurch gekennzeichnet, dass sie sich auf alle Branchen und auf alle Arten von Unternehmen oder Organisationen anwenden lassen.

Branchenstandard TISAX®

Neben diesen beiden universellen Standards gibt es einige weitere, die jeweils eigene Schwerpunkte setzen. Einige von ihnen sind besser auf die Bedürfnisse kleinerer Unternehmen angepasst, wieder andere richten sich an bestimmte Branchen. Innerhalb der Automobilindustrie hat sich in den vergangenen Jahren der „Information Security Assessment“ (ISA) genannte Katalog mit Fragen der Informationssicherheit etabliert, herausgegeben vom Verband der Automobilindustrie (VDA). Auch für den Austausch der Prüfergebnisse innerhalb der Automobilindustrie und ihrer Zulieferer gibt es ein gemeinsames Verfahren: TISAX® („Trusted Information Security Assessment Exchange“).

Dieses einheitliche Vorgehen hat durchaus Vorteile für alle beteiligten Unternehmen, sowohl für die Hersteller selber als auch für ihre Zulieferer. TISAX® hat sich als Standard innerhalb der Branche etabliert, d.h. es wird für die Aufnahme in den Lieferantenstamm meist nur diese eine Prüfung gefordert und somit vermieden, dass für die verschiedenen Herstellern und Kunden jeweils verschiedene Prüfungen nach unterschiedlichen Kriterien für den Nachweis des geforderten Niveaus der Informationssicherheit erbracht werden müssen. Diese erhöhte Nachfrage nach einem „TISAX-Label“ ist in den letzten Jahren sehr deutlich spürbar geworden, nicht nur bei den direkten Zulieferern der Automobilindustrie, sondern entlang der gesamten Lieferkette. Man kann durchaus zu dem Schluss kommen, dass ohne TISAX® in der Automobilbranche mittelfristig kaum noch etwas geht …

Unterschiede und Schwerpunkte

Selbstverständlich wird Informationssicherheit in den einzelnen Standards nicht völlig neu erfunden, vielmehr werden jeweils die Schwerpunkte und Herangehensweisen unterschiedlich betrachtet. Daher orientiert sich die TISAX®-Prüfung an der ISO 27001, hier insbesondere am Anhang A. Zusätzlich wurden in den VDA-ISA Katalog, nach dem die Prüfung erfolgt, einige für die Automobil­industrie besonders relevante Themen zusätzlich mit aufgenommen, die in der Automobilindustrie eine besondere Rolle spielen. Dazu gehören der Schutz von Prototypen, der Umgang mit Test- und Erprobungsfahrzeugen, Vorgaben für Ausstellungen und Werbeaufnahmen sowie der Datenschutz. Diese zusätzlichen Themengebiete werden lediglich bei Bedarf geprüft, d.h. wenn sie das Geschäftsfeld des Zulieferers betreffen. Nur das Hauptthema „Informationssicherheit“ ist Bestandteil einer jeden TISAX®-Prüfung.

Natürlich kann ein so komplexes Thema wie der Aufbau oder die Prüfung eines ISMS nicht in einigen wenigen Sätzen vollständig vermittelt werden. Daher werden wir in weiteren Artikeln die Aspekte eines ISMS nach VDA-ISA oder der TISAX®-Prüfung beleuchten, und haben TISAX® auch mit in unser Seminarprogramm aufgenommen.

TISAX® – INFORMATIONSSICHERHEIT IN DER AUTOMOBILINDUSTRIE

Ohne TISAX® geht kaum noch etwas …

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Das könnte Sie auch interessieren:

Wir haben diesem Thema auch einen Podcast gewidmet. Sie finden diesen auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

/von
, ,

Sicheres Arbeiten im Home Office – der menschliche Faktor

In den bisherigen Blogbeiträgen wurden einige technische und organisatorische Aspekte betrachtet, die bei der sicheren Gestaltung von Home Office zu beachten sind. In den meisten der Artikel fanden sich Hinweise auf zu regelnde Fragestellungen, wie z.B. die dienstliche Nutzung privater Peripherie oder Gedanken zur Datensicherung. Dies zeigt: man kann den „menschlichen Faktor“ nicht hoch genug bewerten, wenn es um die Etablierung eines angemessenen Niveaus von Informationssicherheit geht, auch und gerade beim Arbeiten im Home Office!

Man kann nicht erwarten, dass sich alle Mitarbeiter von sich aus sicher verhalten, wenn es von Seiten des Unternehmens keine Vorgaben und Handreichungen gibt, was genau zu einem sicheren Verhalten gehört. Diese Art von Vorgaben und Regeln gibt es für das Arbeiten im Unternehmen selber, wo ihre Einhaltung vom Vorgesetzen, vielleicht auch von den Kollegen, nachverfolgt und gegebenenfalls angemahnt wird. Es sollte an die Mitarbeiter klar kommuniziert werden, dass es eine vergleichbare Erwartungshaltung auch für die Tätigkeit im Home Office gibt.

Einige der bisherigen Vorgaben gelten sicher genauso wie im Büro (z.B. das Verhalten am Telefon), einige Regeln müssen vielleicht für die Arbeit im Home Office ergänzt oder präzisiert werden (z.B. bezüglich des Speicherns von neuen Dokumenten), und wieder andere Regeln sind hauptsächlich für das Arbeiten außerhalb des Unternehmens gedacht (z.B. die Möglichkeit des Einsehens von Bildschirminhalten), oder müssen für das Arbeiten im Home Office überhaupt erst getroffen werden, wie z.B. Vorgaben zur Nutzung von privater Peripherie am Firmenrechner.

Erster Schritt: Regelungen treffen!

Eine erste Aufgabe des Unternehmens besteht also darin, diese Regelungen überhaupt erst einmal zu treffen, und sie dann natürlich auch zu kommunizieren. Zum Kommunizieren kann auch gehören, Abläufe oder neue Tools zu erklären, Unterschiede zwischen Büro und Home Office aufzuzeigen oder Hilfestellungen zu geben, z.B. durch Checklisten, Unterstützung bei der Einrichtung des häuslichen Arbeitsplatzes oder der Möglichkeit für Rückfragen und Klarstellungen.

Dieses Herangehen erzeugt nicht nur ein für beide Seiten klar geregeltes Umfeld, sondern ermöglicht es auch dem Mitarbeiter, sich bewusst sicher zu verhalten. Schließlich gibt es im privaten Umfeld Umstände, die das sichere Arbeiten durchaus beeinflussen können, wie z.B. kleine Kinder, die dem Elternteil gerne mal über die Schulter schauen, fehlende Vernichtungsmöglichkeiten für Papier und vieles mehr … Und man ist im Home Office ohne Kollegen oder Vorgesetzte, die auf die Einhaltung der Vorgaben hinweisen …

Doch dazu mehr im kommenden Blogartikel.

Was Sie auch interessieren könnte:

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, , ,

Awareness – Maßnahme oder Konzept? – Teil 3

In den bisherigen Artikeln (Teil1 und Teil2) hatten wir gezeigt, wieso es einer Behandlung der „Schwachstelle Mensch“ bedarf und warum es notwendig ist, diese Behandlung nicht als einzelne Maßnahme zu sehen, sondern vielmehr als langfristiges und systematisches Konzept, mit dem eine Änderung im Verhalten hin zu einem nachhaltig sicheren Agieren erreicht werden soll.

Solch ein Konzept benötigt einige Ressourcen – der zeitliche Aufwand für die Organisation einer einzelnen Veranstaltung ist dabei die offensichtlichste, aber bei weitem nicht die einzige Komponente. Hinzu kommen Überlegungen zu den Inhalten der Veranstaltung: Welche Ziele hinsichtlich Informationssicherheit sollen erreicht werden? Welche Darbietungsform ist hierfür optimal? Und wie soll die gewählte Darbietungsform mit den konkreten Inhalten gefüllt werden? Weiterhin muss natürlich auch der Zeitaufwand der Teilnehmer mit eingeplant werden. Kleine Erinnerung an Teil 1: eLearning kann den Zeitrahmen für die Teilnehmer deutlich entzerren, wenn es denn inhaltlich zum Thema passt!

Zu der Formulierung von Zielen für Awareness-Maßnahmen gehört ebenso die Überlegung, wie die Erreichung dieser Ziele überprüft werden soll. Die Überprüfung kann dabei auf sehr verschiedene Arten erfolgen – so könnte z.B. das eLearning mit einem kleinen Online-Test abgeschlossen werden. Aber auch andere Messverfahren sind denkbar, wie die Auswertung von Kennzahlen (z.B. ein Vergleich von gemeldeten Spammails vor und nach der Schulung), Umfragen, Quiz …

Unterlagen und Redner

Zur Ressourcenplanung gehören noch weitere Fragestellungen, wie z.B. die Auswahl von passenden Schulungsunterlagen. Hier gibt es grundsätzlich zwei Möglichkeiten: selber anfertigen oder von externen Anbietern einkaufen. Beide Varianten haben dabei ihre spezifischen Vor- und Nachteile. So hat man bei selbst erstellten Unterlagen einen größeren Einfluss auf Gestaltung, Inhalte, unternehmensspezifisches Aussehen und die ganz speziellen, eigenen Abläufe. Andererseits fehlt bei diesem Vorgehen oftmals der hilfreiche, zusätzliche Blick eines Außenstehenden, der sowohl in die Gestaltung als auch bei den Inhalten eine frische, neue Sichtweise liefern kann.

Und noch eine Frage stellt sich: Wer soll es machen? Auch hier können beide Varianten gut funktionieren – der kompetente, interessante externe Experte oder Trainer, der ein Sachthema spannend darbieten kann, oder ein interner Mitarbeiter, der vielleicht das Thema Awareness langfristig betreut und die konkreten Prozesse im Unternehmen gut kennt. Auch der Informationssicherheitsbeauftragte (ISB) kann oftmals in den Veranstaltungen als Vortragender agieren – schließlich ist die Informationssicherheit Kerntätigkeit des ISB, d.h. er wird auch inhaltlichen Rückfragen gut beantworten können. Genaugenommen muss man sich nur eine Frage beantworten: Kann und will ich in solchen Veranstaltungen als Vortragender auftreten?

Was Sie auch interessieren könnte:

Seminar:

„Security Awareness – Führungsaufgabe und Konzept“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, , ,

Sicheres Arbeiten im Home Office – Dienst ist Dienst,…

In den bisherigen Artikeln zum sicheren Arbeiten im Home Office wurde deutlich, dass die breite Nutzung von Home Office auch als Türöffner für die Digitalisierung und Weiterentwicklung von betrieblichen Prozessen gesehen werden kann. Wichtig ist hierbei, dass die Regelungen und Vorgaben aus dem betrieblichen Umfeld nicht immer 1-zu-1 direkt auf das Arbeiten im häuslichen Umfeld übertragen werden können. Sicher soll das Home Office sein, aber auch praktikabel und mit überschaubarem Aufwand zu gestalten.

Eine häufig auftretende Fragestellung in diesem Themengebiet ist die nach der Privatnutzung: Ist es statthaft, private Geräte (oder private Peripherie) für dienstliche Zwecke zu nutzen? In Diskussionen hierzu findet sich oft die Abkürzung BYOD – „Bring Your Own Device“. Aber auch die entgegengesetzte Fragestellung sollte beantwortet werden: Ist die private Nutzung von dienstlicher Ausstattung zulässig? Die eigentliche Schwierigkeit bei der Beantwortung entsteht durch die Vermischung von dienstlichen und privaten Inhalten. So ist es ohne zusätzliche Maßnahmen kaum möglich, die privaten Fotos auf dem Mobiltelefon von den dienstlichen zu unterscheiden, ebenso wie die gespeicherten Kontakte oder die versendeten Emails. Es zeigt sich somit der Konflikt zwischen Arbeitnehmerrechten und Datenschutz auf der einen Seite und dem berechtigten Interesse des Unternehmens an dem Schutz sensibler Informationen auf der anderen Seite.

Ansatz 1: Strikte Trennung

Als sinnvoll haben sich hier nur zwei Lösungsansätze erwiesen. Da wäre als erster Ansatz die strikte Trennung von dienstlicher und privater Nutzung – dienstliche Informationen dürfen ausschließlich auf dienstlichen Geräten verarbeitet werden. Dieser Ansatz ist einfach zu verstehen, erfordert aber Konsequenz und auch einigen Aufwand in der Umsetzung: externer Monitor, Maus und Tastatur für ein ergonomisches Arbeiten, vielleicht noch einen Drucker oder weitere Peripherie … Was oft vergessen wird: wenn hier nicht die im Unternehmen übliche Standardperipherie gestellt wird, neigen Nutzer dazu, ersatzweise bereits vorhandene private Peripherie zu nutzen, die nicht immer sicher ist (z.B. nicht durchgeführte Firmwareaktualisierung beim privaten Drucker oder Nutzung des Smart-TV als Monitor), oder die durch notwendige Treiberinstallationen einen erhöhten Supportaufwand in der IT-Abteilung erzeugen.

Ansatz 2: MDM

Insbesondere für Mobilgeräte bietet sich als Lösung für das angesprochene Problem der Vermengung privater und dienstlicher Daten ein „Mobile Device Management“ (MDM) an. Diese Art von Software dient der zentralen Verwaltung der dienstlichen Mobilgeräte und ermöglicht – zumeist durch Containerisierung – die vollständige Trennung von dienstlichen und privaten Inhalten. Dadurch ist es beispielsweise möglich, den dienstlichen Container mitsamt den dienstlichen Inhalten komplett aus der Ferne zu löschen, ohne dass die privaten Inhalte außerhalb des dienstlichen Containers betroffen wären.

Es zeigt sich im Verlauf dieser Artikelserie deutlich, dass es für ein sicheres Arbeiten im Home Office in hohem Maße auf organisatorische Regelungen und Überlegungen ankommt, um nicht nur das Arbeiten sicher zu machen, sondern um auch für die Weiterentwicklung und Verbesserung der betrieblichen Abläufe einen Nutzen zu generieren.

Was Sie auch interessieren könnte:

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, ,

Vorgehen und Szenarien im BCM

Die Identifizierung der eigenen geschäftskritischen Prozesse ist der erste Start für ein BCM -Management und die daraus resultierenden notwendigen Maßnahmen zur Aufrechterhaltung der kritischen Prozesse. Für die einzelnen Prozesse werden abhängig von der Kritikalität maximal tolerierbare Ausfallzeiten und mögliche Wiederanlaufprozeduren definiert.

Notfallkonzepte sehen in der Regel koordinierte Vorgehensweisen vor:

  • Sofortmaßnahmen (Ausrufen des Notfalls – aktivieren der Notfallkette)
  • Notfallprozesse anlaufen lassen (Umschaltung auf Notbetrieb)
  • Durchführung des Notbetriebs (Notfallumsetzung)
  • Rückführung des Notfallbetriebs in den Normalbetrieb (Wiederanlaufplanung)
  • Nachbearbeitung des Vorfalls (Forensik)

Für alle fünf diese verschiedenen Phasen sollten dann entsprechende Pläne existieren, die die erfolgreiche Durchführung beschreiben und unterstützen. Neben diesen Notfallplänen ist auch das Krisenmanagement Bestandteil der Business Continuity.
Für Krisenfälle sind ebenfalls entsprechende Konzepte zu etablieren, um schnell und effizient zu reagieren. Die Strukturen definieren Rollen, Verantwortlichkeiten und Meldewege im Krisenfall und ermöglichen die Steuerung und Überwachung.
Regelmäßige Tests und Notfallübungen sind dann zu planen und durchzuführen, um die eigenen Pläne und Konzepte auf ihre Wirksamkeit zu überprüfen und ggf. erkannte Schwachstellen und Defizite zu erkennen. Die Erkenntnisse der Übungen werden anschließend zur Optimierung in die Notfallpläne integriert.

Mögliche Szenarien für den Business-Continuity-Krisenfall

Ein BCM Notfall kann durch unterschiedliche Ereignisse ausgelöst oder auch eine Verkettung mehrerer zuerst voneinander unabhängige Vorkommnisse ausgelöst werden. Solche Störungen oder Notfälle lassen sich in verschiedene Kategorien aufgliedern.

  • Ausfall von Hardware oder von Software
  • Ausfall von IT-Prozessen oder Störungen/Ausfall des Netzwerks
  • Stromausfall oder sogar Ausfall eines oder mehrerer Standorte
  • Hackerangriff oder Malwareinfektion
  • Naturkatastrophen
  • usw.

Je nach Ereignis sind sinnvolle Maßnahmen für die Business Continuity erforderlich. Technische Ereignisse wie der Ausfall von Hardware, Netzwerken oder des Stroms lassen sich beispielsweise durch redundante Anlagen und Systeme abfangen.

Was Sie auch interessieren könnte:

Seminar:

“Business Continuity Management (BCM) nach ISO 22301”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Winterhuder Weg 82
22085 Hamburg

Tel: +49(0)4022947190
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen