Schlagwortarchiv für: Informationssicherheit

,

Podcast – Security on Air – Heute Geschäftsführung im ISMS

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Der Schutz firmeneigenen Informationen ist in der heutigen Geschäftswelt elementar, ein ISMS (Informationssicherheits-Managementsystem) kann hier helfen durch das stürmische Gewässer „Informationssicherheit“ zu manövrieren.

In unserem heutigen Podcast zeigen wir auf, was die Einführung eines ISMS aus Führungssicht bedeutet, welche Vorüberlegungen für ein erfolgreiches System nötig sind und welche handfesten Vorteile es bietet, nicht nur in Bezug auf IT-Sicherheit.

Dabei gehen wir in unserer Folge “ Die Geschäftsführung im ISMS“ auf folgende Aspekte ein:

  • Wie wird Informationssicherheit im Unternehmen organisiert?
  • Was wird dabei von der Geschäftsführung konkret erwartet?
  • Wie kann ein ISMS (engl. Information Security Management System) helfen strategische Entscheidungen zu treffen?
  • Wie kann das eigene Haftungsrisiko als Geschäftsführung reduziert werden?

 

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
, ,

Sicheres Arbeiten im Home Office – einige weitere Gedanken

Wie wir in dem vorherigen Artikel beschrieben hatten, bietet die Einführung und dauerhafte sichere Nutzung des Arbeitens im Home Office vielfach Anlass oder sind Auslöser, um Abläufe und Prozesse im eigenen Unternehmen zu überdenken und zu digitalisieren. Dazu gehören natürlich auch Prozesse zum Support und zur Infrastruktur.

Internetbasierte Lösungen

In der Zeit des ersten Lockdowns war es für die IT-Abteilungen oftmals eine große Herausforderung, ausreichend Geräte und Einwahlverbindungen für alle Mitarbeiter für die mobile Nutzung von zu Hause zur Verfügung zu stellen. Andererseits zeigt sich an dieser Stelle deutlich ein Vorteil von internetbasierten Lösungen: man benötigt eben keine Einwahlverbindung für das Speichern der soeben frisch erstellten Dokumente oder zum Starten einer Videokonferenz mit den Kollegen, wenn auf diese Dienste per Internet zugegriffen werden kann.

Ein weiterer Sicherheitsaspekt ist die zentrale Ablage – es gibt keinen Grund mehr, Dateien lokal auf dem Rechner abzulegen, um sie „später“ hochzuladen, d.h. man führt die Dateien auch nicht mehr mit sich, ein Verlust (im Sinne von: ich kann die Inhalte nicht wiederherstellen) ist ausgeschlossen. Voraussetzung ist natürlich ein zuverlässiger Betrieb einer solchen Lösung, damit sie von den Mitarbeitern auch angenommen und akzeptiert wird. Zugleich ergibt sich in einer solchen Konstellation die Möglichkeit, das Backup von Endanwendergeräten komplett zu überdenken – warum sollten diese Geräte gesichert werden, wenn alle relevanten Daten zentral abgelegt sind und sowohl vom Firmengelände aus als auch im Home Office jederzeit genutzt werden können? Die dargestellte Konstellation erleichtert also auch für die IT-Abteilungen das Anfertigen von Datensicherungen, da sich alle relevanten Dateien nur in einigen wenigen, bekannten Systemen befinden.

Turnschuhadministration vs Fernwartung

Dafür kommt auf die IT-Abteilungen eine andere Herausforderung zu: Wie erfolgt der Support der Mitarbeiter im Home Office? Während in großen Unternehmen häufig schon vor der Pandemie Lösungen zur Fernwartung umgesetzt waren, findet man in kleineren Unternehmen solche Konzepte nicht so oft – schließlich hat man ja kurze Wege, und „Turnschuhadministration“ funktioniert im Büro sehr zuverlässig. Man wird also kaum umhinkommen, für die Sicherstellung der technischen Unterstützung im Home Office eine Lösung zur Fernwartung zu etablieren.

Datensicherung, Patchmanagement und technischer Support sind neben den in einem vorherigen Artikel angesprochenen organisatorischen Fragestellungen Punkte, die für ein sicheres Arbeiten im Home Office in technischer Hinsicht unbedingt betrachtet werden sollten.

Wünschen Sie sich, sich mit Anderen darüber auszutauschen? Dann ist eventuell unser eintägiges Seminar für Sie interessant. In dem zeigen wir thematisch breit, aber trotzdem praxisorientiert, wie das Arbeiten im Home-Office sinnvoll, sicher und datenschutzkonform organisiert werden kann!

Was Sie auch interessieren könnte:

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, ,

Podcast – Security on Air – Heute ISO 27701

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Informationssicherheit und Datenschutz lassen sich aus dem heutigen Geschäftsalltag nicht mehr wegdenken. Gesetzliche Anforderungen, Bedrohungsszenarien von außen, aber auch das eigene Bewusstsein, mit Daten und Informationen schützend umzugehen erhöhen die Notwendigkeit sich mit den Themen nachweisbar zu beschäftigen.

Die ISO 27701 gibt eine Hilfestellung, den Datenschutz in ein bestehendes Informationssicherheits-Managementsystem zu integrieren.

In unserem Podcast zur ISO 27701 befassen wir uns damit, wie die ISO 27701 aufgebaut ist, wie sie im Rahmen der ganzen ISO 2700er Reihe einzuordnen ist und was bei der Umsetzung beachtet werden muss.

In unserer Folge “ ISO 27701 – den Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren“ gehen wir auf folgende Aspekte ein:

  • Was ist die ISO 27701 und wie ist sie einzuordnen?
  • Synergien aus einem bereits zertifizierten Managementsystem nutzen
  • Wofür der Aufwand? Nutzen einer Einführung der ISO 27701

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von

Ein kleiner Blick in die Familie der ISO 2700X – Heute: die neue ISO 27002

Im Februar 2022 wurde die neue, nunmehr dritte Version der ISO-Norm 27002 offiziell freigegeben, welche die vorherige Version aus dem Jahr 2013 ersetzt.

Wie bei diesen Normen üblich, liegt zunächst die englischsprachige Version vor. Eine deutsche Übersetzung ist vermutlich nicht vor 2023 zu erwarten. Die Inhalte der ISO 27002:2022 wurden teilweise überarbeitet und aktualisiert, an einigen Stellen wurden Themengebiete zusammengefasst und gestrafft. Obwohl sich die Anzahl der enthaltenen Controls somit von 114 auf nunmehr 93 verringert hat, ergeben sich keineswegs weniger Aktivitäten bei der praktischen Umsetzung der Hinweise, ganz im Gegenteil: zu den bestehenden Controls sind 11 neue hinzugekommen. So wurde z.B. mit Kapitel 5.7 das Thema „Threat Intelligence“ neu hinzugefügt, in Kapitel 7.4 die *Überwachung* der physischen Sicherheit („Physical security monitoring“) neu aufgenommen oder in Kapitel 8.12 „Data Leakage Prevention“, also die Verhinderung eines Datenabflusses.

Neben den neuen Controls finden sich auch einige nicht so offensichtliche Verschärfungen in der neuen Version: so wird beispielsweise in Kapitel 5.1. nicht nur wie bisher die Bekanntmachung der Informationssicherheitsleitlinie gefordert, sondern vielmehr zusätzlich die bewusste Bestätigung der Kenntnisnahme („acknowledged by relevant personnel“) durch die eigenen Mitarbeiter. Eigentlich nur eine kleine Änderung, die jedoch den Stellenwert von Informationssicherheit im Unternehmen und die Bedeutung der getroffenen Vorgaben stärker betonen soll.
Auf den Zusammenhang zwischen den Normen ISO 27001, ISO 27002 und ISO 27019 werden wir in einem separaten Artikel eingehen. Vorab nur soviel: die Änderungen in der neuen ISO 27002 werden auch Auswirkungen auf die ISO 27001 haben …

Was Sie auch interessieren könnte:

Seminar:

„Informationssicherheit für Vorstände und Geschäftsführer“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, , ,

Datenschutz in ein bestehendes ISMS integrieren (Teil 2 – Pflichten des Verantwortlichen)

Im ersten Teil dieser Artikel-Serie haben wir uns mit dem risikobasierten Ansatz beschäftigt, der der Informationssicherheit und dem Datenschutz gemein ist. In diesem Artikel soll es um die Referenzmaßnahmenziele und -Maßnahmen zu den Pflichten des Verantwortlichen gehen.

Im Anhang A der ISO 27701:2021 werden die Referenzmaßnahmenziele und -Maßnahmen (Controls) definiert, die speziell für Verantwortliche im Sinne des Datenschutzes gedacht sind. Sie dienen der Erfüllung der Pflichten des Verantwortlichen. Der Anhang B, dem ich mich in einem späteren Blog-Artikel widmen werde, spezifiziert Controls für Auftragsverarbeiter.

Die Nummerierung der Controls funktioniert analog zur ISO 27001. Das bedeutet, dass sich die Nummerierung auf die entsprechenden Norm-Kapitel der ISO 27701 bezieht. In der ISO 27701 sind die Normkapitel 7 und 8 ähnlich aufgebaut wie die Kapitel der ISO 27002:2013. Es gibt Zielsetzungen, Maßnahmen und Leitlinien zur Umsetzung. Die Anhänge A.7 und A.8 beziehen sich dann auf die entsprechenden Abschnitte der Kapitel 7 und 8.

Pflichten des Verantwortlichen

Die Tabelle im Anhang A der ISO 27701 gliedert sich in vier Abschnitte – A.7.2 bis A.7.5. Alle Controls müssen vor dem Hintergrund der anwendbaren Datenschutzgesetzgebung betrachtet werden. Ähnlich wie in der ISO 27001 wird nicht vorgeschrieben, wie etwas umzusetzen ist, sondern vielmehr, um welche Themenbereiche man sich zu kümmern hat. Dabei dürfen die Controls im Datenschutz nicht ausschließlich nach eigenen Vorstellungen umgesetzt werden, sondern so, dass die für die eigene Organisation zutreffenden gesetzlichen Bestimmungen erfüllt werden. Die Umsetzungshinweise in Kapitel 7 sind dabei oftmals notwendige, aber keine hinreichenden Bedingungen.

Pflichten des Verantwortlichen zu Bedingungen für die Erhebung und Verarbeitung

A.7.2 beschreibt 8 Controls zu den Bedingungen für die Erhebung und Verarbeitung personenbezogener Daten. Hier werden datenschutzrechtliche Grundsätze wie die Zweckbindung und Rechtmäßigkeit der Verarbeitung adressiert. Darüber hinaus beschäftigt sich der Abschnitt mit Verfahren zur Einholung von Einwilligungen, zur Datenschutzfolgeabschätzung, zu Verträgen mit Auftragsverarbeitern und gemeinsame Verantwortlichkeiten (Joint Controllership). Zum Schluss werden Aufzeichnungen und Nachweise thematisiert.

Verpflichtungen gegenüber betroffenen Personen

A.7.3 beschreibt 10 Controls: Von der Bestimmung der eigenen Pflichten gegenüber Betroffenen bis zum Definieren und Umsetzen entsprechender Prozesse sind hier alle entscheidenden Pflichten des Verantwortlichen gegenüber Betroffenen adressiert.

Verantwortlichen zum Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

A.7.4 beschreibt 9 Controls zum Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen. Dieser Abschnitt beschäftigt sich mit den Themen Privacy by Default und Privacy by Design.

Pflichten des Verantwortlichen zur Weitergabe, Übertragung und Offenlegung von personenbezogenen Daten

A.7.5 beschreibt 4 Controls zur Weitergabe, Übertragung und Offenlegung von personenbezogenen Daten. Dabei wird insbesondere der Bereich der Übermittlung in Drittstaaten adressiert.

Was Sie auch interessieren könnte:

Seminar:

“ISO 27701 – Den Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, ,

Podcast – Security on Air – Neue Folgen

JETZT GIBT’S WAS AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Der Faktor „Mensch“ spielt eine wesentliche Rolle in der Informationssicherheit sowie im Datenschutz. Daher ist es enorm wichtig, allen Mitarbeitern die Risiken greifbar zu machen, das notwendige Wissen zu vermitteln und Akzeptanz und Verständnis für die Sicherheitsrichtlinien und Maßnahmen zu fördern. Dabei sollte die Individualität jedes Mitarbeiters und Aufgabengebietes berücksichtigt werden.

In unserem Podcast zum Thema „Das Konzept „Security Awareness“ möchten wir Ihnen in 2 Folgen Denkanstöße und Tipps zu diesem Thema geben.

In der Folge 1 „Aller Anfang ist nicht schwer“ befassen wir uns mit dem Start des Projektes „Security Awareness“:

  • welchen Stellenwert Security Awareness hat und haben sollte,
  • warum der konzeptionelle Gedanke ratsam ist,
  • was man bei einer Risikoanalyse beachten sollte,
  • wie wichtig konkrete Awareness-Ziele sind,
  • warum „one fits all“ bei Security Awareness nicht greift.

In der Folge 2 „Ein Ziel – viele Wege“ befassen wir uns mit der Wichtigkeit von zielgruppengerechten Awareness-Maßnahmen:

  • warum das Arbeitsumfeld für die Auswahl von Maßnahmen relevant ist,
  • welche Gefahr technische und organisatorische Hürden darstellen,
  • wie Verhaltensänderungen nachhaltig bewirkt werden können,
  • warum ein strukturierter Einsatz von verschiedenen Tools notwendig ist,
  • welche Tools es gibt und
  • wie man die Wirksamkeit seiner Kampagne überprüfen kann.

Alle unsere Podcast-Folgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
, ,

Jetzt gibt’s auf die Ohren – der ANMATHO Podcast “Security on Air”

Sie kennen sicher den Radiospruch „Geht ins Ohr… bleibt im Kopf“. Podcast s haben längst bewiesen, dass dies nicht nur für Radiowerbung gilt.

In der Informationssicherheit gibt es viele Themen, bei denen man mal genau hinhören sollte. Mit unserem Podcast möchten wir Ihnen in kurzen Episoden, regelmäßig relevante Themen der Informationssicherheit und des Datenschutzes vorstellen und zudem Impulse setzen.

Hören Sie rein, wann immer es Ihnen passt – unabhängig von Zeit und Ort. Unseren Podcast finden Sie auf Apple Podcast, Spotify und Google Podcast sowie natürlich auf unserer Website.

Wir starten unseren Podcast mit dem Thema Security im Home-Office. Das Home-Office gehört seit der Corona Pandemie in den Unternehmen, in denen dies grundsätzlich möglich ist, zum festen Bestandteil der Arbeitswelt. Doch was als Provisorium begann, sollte nun gut durchdacht fortgeführt werden. Insbesondere mit Blick auf die Informationssicherheit und den Datenschutz.

In unserem Podcast zum Thema „Security im Home-Office“ möchten wir Ihnen in 3 Folgen Denkanstöße und Tipps zum sicheren Arbeiten außerhalb des Büros geben. In der Folge 1 „Hinter der Firewall geht’s weiter“ befassen wir uns mit organisatorischen Aspekten er Informationssicherheit im Home-Office.

Hören Sie rein!

/von

Informationssicherheit nach ISO 27001 für Vorstände und Geschäftsführer (Teil1)

Zusammensetzung des Projektteams

Dem Verhalten und Agieren der Unternehmensführung kommt im Bereich der Informationssicherheit hohe Bedeutung zu. Da dies in fast allen Bereichen und bei fast allen Themen im Unternehmen der Fall ist, ist diese Erkenntnis weder neu noch originell. Richtig bleibt sie trotzdem.

In der Praxis befindet sich die Informationssicherheit mit vielen anderen Themen in Konkurrenz um die Aufmerksamkeit der obersten Leitungsebene: Datenschutz, Arbeitssicherheit, Compliance etc. Und dabei haben wir über die Notwendigkeiten des eigentlichen Geschäftszweckes noch nicht geredet. Im Ergebnis kommt die Informationssicherheit oft zu kurz und wird „wegdelegiert“. Das ist grundsätzlich verständlich und bis zu einem gewissen Punkt auch statthaft. Die Delegation sollte dann aber sorgfältig erfolgen.

Die Ernennung eines Beauftragten bzw. Verantwortlichen für Informationssicherheit, möge er nun Informationssicherheitsbeauftragter, ISMS-Beauftragter, IT-Security-Manager, CISO oder anders heißen, ist der erste wichtige Schritt. Für die Einführung eines ISMS ist sodann ein Projektteam zu bilden. Auch diese Phase sollte der Vorstand bzw. die Geschäftsführung noch aktiv begleiten. Informationssicherheit ist kein IT-Thema, sondern ein Unternehmensthema. Viele Bereiche und Abteilungen sind beteiligt, u. a.: Personalabteilung, Einkauf, Legal & Compliance und natürlich die IT. Dementsprechend sollte das Team für die Einführung eines ISMS interdisziplinärer besetzt werden. IT ist ein sehr wichtiger, wahrscheinlich der umfangreichste Teilbereich im ISMS; zu techniklastig sollte das Team aber nicht sein.

Die richtige Zusammensetzung des Projektteams für die Einführung eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001:2013 ist für den Erfolg sehr wichtig. Vorstände und Geschäftsführer sollten daher die grundlegende Funktionsweise eines ISMS verstehen sowie ihre eigenen Aufgaben und Möglichkeiten innerhalb des Systems sowie ihre Gestaltungsmöglichkeiten am System kennen.

Es heißt, der Unterschied zwischen Delegieren und Abschieben sei der, dass man sich beim Delegieren weiterhin für die Ergebnisse interessiert. In diesem Sinne werden wir uns in den nächsten Folgen dieser Artikelserie mit weiteren Aspekten des ISMS aus der Perspektive der obersten Leitung beschäftigen, z.B. mit der Aufbauorganisation, dem Berichtswesen und der Kommunikation im laufenden Betrieb eines ISMS.

Was Sie auch interessieren könnte:

Seminar:

„Informationssicherheit für Vorstände und Geschäftsführer“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von

Wirtschaftsschutz ruft zur erhöhten Aufmerksamkeit im Security-Bereich auf!

Home-Office, Quarantäne, Notbesetzung, Arbeitsverdichtung und viele weitere Herausforderungen machen die Lage für Unternehmen derzeit unsicher. Die Gefahr, dass Cyberkriminelle dies ausnutzen, ist nicht zu unterschätzen.

Ransomeware-Angriffe z.B. erfolgen häufig durch E-Mails, in denen Drohszenarien aufgebaut oder benötigte Waren angeboten werden. Beides ist im Zusammenhang mit dem neuen Coronavirus ein Leichtes. Beispiele dafür sind Angebote von Desinfektionsmitteln, Ratgeber wie mit Infektionen umgegangen werden muss, etc.

Wir empfehlen Ihnen, mit E-Mails dieser Art besonders vorsichtig umzugehen. Prüfen Sie den Absender, den Betreff und die Formulierungen sehr genau. Wenn Sie unsicher bezüglich der Glaubwürdigkeit sind, öffnen Sie diese E-Mails nicht oder wenn es sein muss, nur auf einem vom Netz getrennten, alleinstehenden Rechner. Wenn dieser Rechner dann befallen oder verschlüsselt wird, ist der Schaden begrenzt. Treffen Sie dennoch auf ein für Sie relevantes Thema, informieren Sie sich aktiv ausschließlich über amtliche bzw. offizielle Stellen.

Besonders in diesen außergewöhnlichen Zeiten ist Security-Awareness ein wichtiges Thema. Ihre Mitarbeiter werden derzeit, genau wie alle anderen Menschen, von der Lage verunsichert sein, so dass man die normalerweise herrschende Achtsamkeit nicht immer voraussetzen kann. Weisen Sie Ihre Mitarbeiter daher noch einmal auf diese besondere Situation hin. Kein Unternehmen braucht noch zusätzliche Probleme und auf die „Ganoven-Ehre“, diese dramatische Situation nicht auszunutzen, sollte niemand setzen.

 

Quelle: Niedersächsisches Ministerium für Inneres und Sport

/von

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Erste Brunnenstraße 1
20459 Hamburg

Tel: +49(0)4022947190
Fax: +49(0)40229471919
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen

Cookie-Einstellungen