Start, Inhalt und Ziel des Youtube-Kanals

Die ibi systems GmbH hat nun auch einen eigenen Youtube-Kanal für die Software ibi systems iris erstellt und gestartet. Auf diesem Kanal möchten wir Ihnen in regelmäßigen Abständen Videos präsentieren, in denen wir verschiedene Einsatzbereiche und Funktionen der Software vorstellen. Die Videos sind rund um das Thema softwaregestütztes ISMS und GRC Management angesiedelt.

Abonnieren Sie unseren Kanal um keine neuen funktionalen Entwicklungen zu verpassen und vielleicht auch neue Einsatzbereiche mit den bestehenden Funktionen der Software zu entdecken. Wir freuen uns auf Ihren Besuch unseres Kanals und haben im Folgenden gleich zwei Videos daraus für Sie aufgelistet:

Zurück zur Übersicht

Stetige Weiterentwicklung unserer Software ibi systems iris

Wir bei ibi systems entwickeln unsere Software ständig weiter und orientieren uns dabei eng an den Bedürfnissen unserer Kunden. Dazu bringen wir in Form von aktuell zwei Releases pro Jahr neue Features, Usabilityverbesserungen und Performanceoptimierungen in ibi systems iris ein. Um den bestmöglichen Austausch zwischen uns und unseren Kunden zu gewährleisten, haben wir darüber hinaus ein Ideenportal für unsere Kunden geschaffen, welches uns die Kommunikation und Konsolidierung von Kundenwünschen wesentlich erleichtert.

Funktionen und Vorteile unseres Ideenportals „ideas for iris“

  • Einrichtung eines eigenen Portals (Website) für jeden Kunden
  • Nutzung durch beliebig viele User innerhalb des Unternehmens
  • Tracking des Umsetzungsstatus (von der „Idee“ bis hin zum fertigen „Feature“)
  • Interne Diskussion zu Ideen und dazu direktes Feedback von ibi systems
  • Übergreifende Konsolidierung von Ideen und Featurewünschen
  • Bereitstellung von Statusberichten, Featuredetails und Releaseplanung

Fazit

Das Ziel unseres Ideenportals „ideas for iris“ ist es, die Sammlung und Konsolidierung von Anforderungen und Ideen effizienter zu gestalten. Somit haben unsere Kunden die Möglichkeit die gewünschten Weiterentwicklungen von Anfang an klar und detailliert zu beschreiben und somit strukturiert in unsere Entwicklungspipeline einzubringen. Gleiche Featurewünsche von verschiedenen Kunden können dabei über das Portal von uns frühzeitig erkannt und folglich für die Entwicklungsplanung entsprechend höher priorisiert werden.

Sie sind Kunde von ibi systems und haben Featurewünsche oder Ideen? Lassen Sie uns daran teilhaben – in unserem Ideenportal „ideas for iris“! Täglich arbeiten wir daran, die Funktionen der Software ibi systems iris weiter zu verbessern. Damit wir unsere Entwicklung optimal auf Ihre Bedürfnisse zuschneiden können, freuen wir uns auf Ihre Beiträge.

Sie haben noch keinen Zugang oder haben Fragen zu unserem Ideenportal? Wir stehen Ihnen für Rückfragen gerne zur Verfügung unter +49 941 462 939 – 0. Oder schreiben Sie einfach eine E-Mail an info@ibi-systems.de.

Zurück zur Übersicht

ibi systems GmbH: Statement für Kunden und Partner zum Coronavirus (SARS-CoV-2)

Sehr geehrte Kunden und Partner,

die ibi systems GmbH überwacht und beobachtet die aktuellsten Entwicklungen bezüglich des Coronavirus (SARS-CoV-2) genau. Wir prüfen die Risikolage im Rahmen unserer BCM-Maßnahmen ständig.

Aufgrund der hohen Anzahl an bestätigten Fällen in Deutschland, insbesondere auch in Bayern, haben wir bereits proaktiv Anfang der KW 11 (ab 09.03.2020) Home Office für unsere Mitarbeiter empfohlen und dies zum 18.03.2020 zwingend angeordnet. Der Standort in Regensburg in der Franz-Mayer-Straße 1 ist derzeit geschlossen. Keiner unserer Mitarbeiter ist derzeit von Quarantänemaßnahmen betroffen. Aufgrund der aktuellen Situation der Kindergarten- und Schulschließungen haben wir unseren Mitarbeitern flexible Arbeitszeiten angeboten. Alle Compliance- und Sicherheitsvorgaben unserer Organisation werden selbstverständlich zu jeder Zeit berücksichtigt.

Die präventiven Maßnahmen führen in Summe zu unserer Einschätzung, dass wir zum aktuellen Zeitpunkt keinen Anlass dafür haben, dass es im operativen Geschäft zu kurzfristigen Einschränkungen unserer Services kommen könnte.

Wir sind wie gewohnt werktags zwischen Montag und Freitag von jeweils 9 Uhr bis 17 Uhr für Sie erreichbar.

Bitte beachten Sie weiterhin, dass aufgrund der sich ständig neu entwickelnden Situation diese Einschätzung natürlich nicht mit dieser Meldung abschließend für den gesamten Verlauf gelten kann.

Um das Risiko der Ansteckung und Verbreitung des Coronavirus zu minimieren, bitten wir Sie in der Kommunikation mit unseren Mitarbeitern stets den Einsatz von Telefon-Konferenzen und Remote-Arbeitslösungen zu bevorzugen.

Gerne stehen wir Ihnen für Rückfragen unter den angegebenen Kontaktdaten zur Verfügung!




ibi systems GmbH: Statement for customers and partners on the coronavirus (SARS-CoV-2)

Dear customers and partners,

ibi systems GmbH closely monitors and observes the latest developments regarding the coronavirus (SARS-CoV-2). We constantly review the risk situation as part of our BCM measures.

Due to the high number of confirmed cases in Germany, especially in Bavaria, we have already proactively recommended home office for our employees at the beginning of week 11 (from 9 March 2020) and have made this mandatory from 18 March 2020. The location in Regensburg at Franz-Mayer-Strasse 1 is currently closed. None of our employees is currently affected by quarantine measures. Due to the current situation of kindergarten and school closures, we have offered our employees flexible working hours. All compliance and safety requirements of our organisation are taken into account at all times.

Overall, the preventive measures lead to our assessment that we have no reason at this time to believe that there could be any short-term restrictions on our services in the operating business.

We are available for you as usual on weekdays between Monday and Friday from 9 a.m. to 5 p.m.

Please also note that, due to the constantly evolving situation, this assessment cannot be conclusively hold to the entire course of business with this report.

In order to minimize the risk of infection and spread of the coronavirus, we ask you to always prefer telephone conferences and remote working solutions when communicating with our employees.

We are happy to answer any questions you may have using the contact details provided!

Dr. Stefan Wagner and Pascal Jonietz
Management


Zurück zur Übersicht

____________________

Ausgangslage und Inhalte der betrachteten Studie

Der Support für das GSTOOL des BSI wurde zum Ende des Jahres 2016 aus wirtschaftlichen Gründen eingestellt. Somit sollten alle Anwender bereits ein Nachfolgetool ausgewählt und im Einsatz haben. Für alle Anwender die nach wie vor das GSTOOL des BSI nutzen, kann die im Folgenden betrachtete Studie als Entscheidungshilfe dienen.

Am Markt sind eine Vielzahl von ISMS-Tools als Alternative zum GSTOOL vertreten. Für diese Studie wurden die Produkte von acht Herstellern analysiert. Zur besseren Vergleichbarkeit wurde das GSTOOL ebenso in die Studie mit einbezogen. Dabei mussten die Hersteller Fragenkataloge mit den wichtigsten Anforderungen beantworten. Diese wurden anschließend zusammen mit den Ergebnissen eines Anwendungstest durch ein Team von Grundschutz und Informationssicherheitsexperten ausgewertet.

Ergebnisse der Studie zu ISMS-Tools als GSTOOL-Alternative

Schließlich wurde nach Auswertung der Fragebögen und Ergebnisvalidierung mittels Produkttests unter anderem ibi systems iris die Eignung als ISMS-Tool in heterogenen und geografisch verteilten Umgebungen attestiert und als sehr empfehlenswert eingestuft. Weitere Details können ferner den aufgeführten Grafiken weiter unten in diesem Beitrag entnommen werden.

Im Folgenden sind die Kriterien kurz aufgelistet und in Stichpunkten erläutert, die im Fragebogen berücksichtigt wurden:

Systemvoraussetzungen

  • Clients
  • Server
  • Datenbanken

Benutzbarkeit (Usability)

  • Mehrbenutzerfähigkeit
  • Mandantenfähigkeit
  • Integriertes Berechtigungssystem
  • Netzwerkfähigkeit
  • Offlinefähigkeit
  • Mehrsprachigkeit
  • Modellierung von IT-Verbünden

Risikoanalyse

  • Konfiguration der Schutzbedarfskategorien
  • Manuelle Anpassung des vererbten Schutzbedarfs

IT Grundschutz (BSI)

  • Importierbarkeit der Grundschutz-Kataloge
  • Erstellung eigener Bausteine, Gefährdungen und Maßnahmen
  • Dokumentation Basis-Sicherheitscheck

ISO 27001

  • Nativer Support
  • Parallel/alternatives Arbeiten nach ISO 27001 (Controls implementierbar etc.)

ISMS Managementprozesse und Workflows

  • DMS und Versionierung
  • Integration anderer Tools (z. B. Vulnerability Scanner)

Reporting

  • Reporting-Funktion mit individuell konfigurierbaren Reports
  • Import-/Exportfunktion (Microsoft Office kompatibel)


Fazit

Das ISMS-Tool ibi systems iris überzeugte schließlich in der Studie. Darüber hinaus kamen bis heute viele weitere Funktionen in der Software ibi systems iris hinzu. Dabei wurde insbesondere zum Thema Reporting eine umfangreiche und vom Kunden individuell konfigurierbare Reporting-Engine integriert. Damit ist folglich die Erstellung eigener Reportingvorlagen über die Benutzeroberfläche möglich. Somit ist anzunehmen, dass das Kriterium sieben („REPORTING“) heute eine noch höhere Bewertung erzielen würde.

Es wurde aber auch deutlich, dass die untersuchten ISMS-Tools in den Bewertungskategorien heterogene Stärken und Schwächen aufweisen. Eine eindeutige Empfehlung für ein Produkt ist daher nicht möglich. Die Ergebnisse erlauben jedoch GSTOOL-Nutzern, ein für ihre Bedürfnisse geeignetes Produkt zu ermitteln. Somit bestimmen die individuellen Anforderungen der Nutzer, welche ISMS-Tools zum Einsatz kommen sollten.

Haben wir Ihr Interesse geweckt? Bitte kommen Sie gerne auf uns zu (info@ibi-systems.de; +49 941 462 939 – 0 )!

Zurück zur Übersicht

____________________

Zur kompletten CSC-Studie



Quellen:

Bußgeldregelungen bei Verletzung der Pflichten des Verantwortlichen

Regelungen zu den Bußgeldern sind in Artikel 83 der DSGVO zu finden. Geldbußen müssen demnach wirksam, verhältnismäßig, aber auch abschreckend sein.

  • Bei Verstößen gegen die Pflichten des Verantwortlichen oder des Auftragsverarbeiters werden Bußgelder von bis zu 10 Millionen Euro fällig oder bei Unternehmen von bis zu zwei Prozent des weltweiten Umsatzes des Vorjahres. Der jeweils höhere Betrag zählt.
  • Das Gleiche gilt, wenn Zertifizierungsstellen oder Überwachungsstellen ihre Pflichten verletzen.
  • In diesen Bereich fällt auch die Einhaltung der Vorschrift, dass Kinder erst ab 16 Jahren selbst in die Datenverarbeitung einwilligen dürfen. Das hatte übrigens auch Auswirkungen auf die Nutzung von Facebook und WhatsApp.
  • Beispiele: fehlendes Vorhandensein eines Verzeichnisses der Verarbeitungstätigkeiten, unzureichende Sicherheitsvorkehrungen bei der Datenverarbeitung oder nichtrdnungsgemäße Erfüllung der Aufgaben durch den betrieblichen Datenschutzbeauftragten.

Ausgangslage

Die im Jahr 2016 verabschiedete europäische Datenschutzgrundverordnung (DSGVO) schafft einen gemeinsamen rechtlichen Rahmen für das Datenschutzrecht innerhalb der Europäischen Union (EU). Dabei ergeben sich für viele Unternehmen Veränderungen und neue Pflichten. Ein besonderes Augenmerk sollte dabei auf den verfolgten risikobasierten Ansatz hinsichtlich technisch-organisatorischer Maßnahmen gelegt werden.

Seit dem 25. Mai 2018 ist die neue DSGVO direkt anwendbar. Somit löst das neue EU-Recht das bisherige Bundesdatenschutzgesetz (BDSG) und die Datenschutzrichtlinie (Richtlinie 95/46/EG) ab. Gleichzeitig zur neuen DSGVO tritt ferner eine neue Fassung des BDSG in Kraft, welches die DSGVO konkretisiert. Des Weiteren sind Neuerungen mit der EU-e-Privacy- Verordnung abzusehen. Dabei sorgte die neue Regelung nicht nur für eine einheitliche Datenschutzregelung innerhalb der EU, sondern auch für Furore und Verängstigungen, denn die Regelungen erscheinen kompliziert und die Strafmaßnahmen im Fall von Verstößen sind empfindlich.

Bußgeldregelungen bei Verstößen gegen Grundsätze der Datenverarbeitung

Härter sind die Strafen im Falle eines Verstoßes gegen die Grundsätze der Datenverarbeitung. Der Fokus liegt hierbei auf der Frage ob Daten überhaupt erhoben bzw. verarbeitet werden dürfen und hierfür die entsprechenden Bestimmungen eingehalten wurden.

  • Wer Daten verarbeitet, obwohl er es eigentlich gar nicht darf, muss mit Geldbußen von bis zu 20 Millionen Euro rechnen oder bis zu vier Prozent des Unternehmensumsatzes des Vorjahres. Auch hier gilt der Betrag, der höher ist.
  • Wer sich einer Anweisung der Aufsichtsbehörde widersetzt, muss mit denselben Bußgeldern rechnen.
  • Vergehen in dieser Kategorie liegen beispielsweise vor, wenn Daten ohne vorherige Einwilligung des Betroffenen verarbeitet werden oder die Rechte des Betroffenen verletzt werden.
  • Das kann schon der Fall sein, wenn ein Unternehmen seiner Informationspflicht gegenüber den Betroffenen über die Datenverarbeitung nicht nachkommt oder es kein Löschkonzept gibt. Betroffene haben das Recht auf Vergessenwerden, wenn der Zweck für die Datenverarbeitung weggefallen ist.
  • Dieselben Strafen werden verhängt, wenn personenbezogene Daten in Drittländer oder internationale Organisationen übermittelt werden und die extra dafür vorgesehenen Paragrafen der DSGVO missachtet werden.

Die Schonfrist ist vorbei

Die erste Zeit der Zurückhaltung ist vorbei. Das erste höhere Bußgeld in Europa kam von der Datenschutzbehörde in Portugal. Aufgrund mangelhafter Zugriffsbeschränkungen wurde ein Bußgeld von 400.000 Euro gegen ein Krankenhaus verhängt. Im November 2018 wurde in Baden-Württemberg das erste Bußgeld nach Art 83. DSGVO verhängt. Und auch gegen den Internetriesen Google wurde in Frankreich eine Rekordstrafe in Höhe von 50 Millionen Euro verhängt.

Zahlreiche Verfahren laufen noch – allein in Bayern sind es über 80. Dabei wurde der Großteil der Verfahren durch Beschwerden Betroffener ausgelöst. Bußgelder, Schadenersatzforderungen bis hin zu Freiheitsstrafen bei Vorsatz.

Werden Sie aktiv!

Das Risiko infolge mangelhafter Datenverarbeitung oder suboptimaler Datensicherheit zur Rechenschaft gezogen zu werden, ist deutlich gestiegen. Folgende strategische Überlegungen sollten Unternehmen treffen:

Effektive Umsetzung der DSGVO

„Angriff ist die beste Verteidigung“. Um Strafen zu vermeiden sollten die Anforderung der DSGVO und der jeweiligen nationalen Vorschriften erfolgreich umgesetzt werden. Nicht nur belastbare Strukturen und Prozesse, sondern auch ein effektives Datenschutz- bzw. Compliance-Managementsystem sind unerlässlich.

Schwachstellen identifizieren

Wie bereits erwähnt entsteht der Großteil der Bußgeldverfahren durch die Beschwerde betroffener Personen. Es ist daher ratsam gerade in besonders gefährdeten Bereichen, bspw. Beschwerden von Beschäftigten, besonders genau hinzusehen. Ein besonderes Konfliktpotential bergen Kontrollmechanismen.

Prozessorientierte Dokumentation

Mit der neuen DSGVO wurde das sogenannte Rechenschaftsprinzip, Art. 5 Abs. 2 DSGVO, eingeführt. Die verantwortliche Person, häufig die Unternehmensleitung, muss durch eine umfangreiche Dokumentation nachweisen, dass die Datenschutzregel eingehalten werden. Neben Verfahrensverzeichnisses bis hin zu Checklisten für eventuelle Datenschutzpannen- die Liste ist lang und die Dokumentation daher unübersichtlich. Medienbrüche, Informationsverluste und ein damit einhergehendes steigendes Risikopotential sind die Folge.

Fazit

Unternehmen sollten daher nicht tatenlos abwarten, sondern auf professionelle Unterstützung bauen. Die Anforderungen hieran sollten nicht zu niedrig liegen, denn die Verantwortung für die korrekte Umsetzung des Datenschutzes liegt ausschließlich beim Unternehmen selbst.

ibi systems iris ist eine ISMS- und GRC-Software durch die Sie nicht nur die Einhaltung der DSGVO mittels Audits überprüfen, sondern gleichzeitig Schwachstellen und Risiken erkennen und mittels geeigneter Maßnahmen beseitigen. ibi systems iris unterstützt damit nachgewiesen die Einhaltung der Anforderungen der DSGVO.

Zurück zur Übersicht

____________________

Quellen:

  • Art. 82 DSGVO: Allgemeine Bedingungen für die Verhängung von Geldbußen, Online im Internet: https://dsgvo-gesetz.de/art-83-dsgvo/, Abfrage: 04.02.2018, 15:49 Uhr.
  • IHK Osnabrück, Emsland, Grafschaft Bentheim: Stichtag 25. Mai 2018: EU-Datenschutzrecht, Online im Internet: https://www.osnabrueck.ihk24.de/blob/osihk24/recht_und_fair_play/recht/Downloads/3936174/8b15a20815b682588d036e5076d51a72/Ueberblick-EU-DSGVO-data.pdf, Abfrage: 05.02.2018, 15:07 Uhr.
  • ePrivacy-Verordnung: Die Ergänzung zur EU-Datenschutzverordnung, Online im Internet: https://www.datenschutz.org/eprivacy-verordnung/, Abfrage: 13.02.2019, 10:44 Uhr.
  • DSGVO-Verstoß: Krankenhaus in Portugal soll 400.000 Euro zahlen, Online im Internet: https://www.heise.de/newsticker/meldung/DSGVO-Verstoss-Krankenhaus-in-Portugal-soll-400-000-Euro-zahlen-4198972.html, Abfrage: 13.02.2019, 10:36 Uhr.

Merkmale und regulatorische Grundlagen kritischer Infrastrukturen (KRITIS)

Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwohl, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Das IT-Sicherheitsgesetz verpflichtet daher KRITIS-Betreiber, Sicherheitsstandards zum Schutz der IT-Systeme, IT-Komponenten und IT-Prozesse einzuführen, um durch angemessene Vorkehrungen unempfindlich gegenüber Störungen der Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität zu sein.

Die Verordnung zur Bestimmung Kritischer Infrastrukturen (BSI-KritisV) nach dem BSI-Gesetz hat insgesamt neun unterschiedliche Bereiche definiert, welche besonders schützenswert sind:

  • Energie
  • Wasser
  • Ernährung
  • Informations- und Kommunikationstechnik
  • Gesundheit
  • Finanz- und Versicherungswesen
  • Transport und Verkehr
  • Staat und Verwaltung
  • Medien und Kultur

Nach §8a BSIG sind KRITIS-Betreiber dazu verpflichtet mindestens alle zwei Jahre die Erfüllung der Anforderungen (bspw. die Kernforderung des IT-Sicherheitskatalogs: Betrieb eines ISMS nach ISO/IEC 27001) nachzuweisen. Ob man als Betreiber einer kritischen Infrastruktur anzusehen ist, richtet sich neben dem Sektor zusätzlich nach diversen Schwellenwerten.

Schwellenwerte der einzelnen Sektoren

Für nachfolgende Sektoren sind seit Mai 2016 in Korb I der BSI-KritisV folgende Schwellenwerte und deren dazugehörige Branchen definiert:

  • Energie: Stromversorgung, Gasversorgung, Versorgung mit Kraftstoff und Heizöl und Fernwärme (Schwellenwerte)
  • Wasser: Öffentliche Wasserversorgung, Abwasserbeseitigung (Schwellenwerte)
  • Ernährung: Ernährungswirtschaft, Lebensmittelhandel (Schwellenwerte)
  • Informations- und Kommunikationstechnik: Sprach- und Datenübertragung, Datenspeicherung und Datenverarbeitung (Schwellenwerte)

Für folgende Sektoren sind seit Mai 2017 im Korb II der BSI- KritisV folgende Schwellenwerte und deren dazugehörige Branchen definiert:

  • Finanz- und Versicherungswesen: Zahlungsverkehr und Kartenzahlung, Bargeldversorgung, Kreditvergabe, Geld- und Devisenhandel, Wertpapier- und Derivatehandel, Versicherungsleistungen (Schwellenwerte)
  • Gesundheit: Medizinische Versorgung, Versorgung mit Arzneimitteln und Medizinprodukten (Schwellenwerte)
  • Transport und Verkehr: Transport von Gütern, Transport von Personen im Nah- und Fernbereich (Schwellenwerte)

Staat und Verwaltung

Der Sektor Staat und Verwaltung ist nicht im BSIG geregelt und verfügt daher über keine definierten KRITIS-Schwellenwerte. Nichtsdestotrotz ist die Handlungsfähigkeit staatlicher Einrichtungen Voraussetzung für das Vertrauen in die Handlungsfähigkeit des Staates und damit auch Garant für die Innere Sicherheit der Bundesrepublik Deutschland. Die Störung einzelner Institutionen würde sich negativ auf das Gemeinwohl auswirken, weshalb das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) 2005 in einem ersten Schritt ein Konzept zur Planung und zum Aufbau einer zuverlässigen Notstromversorgung erarbeitet hat. Ferner zählen folgende Branchen zum Sektor Staat und Verwaltung: Regierung und Verwaltung, Parlament, Justizeinrichtungen, Notfall- und Rettungswesen einschl. Katastrophenschutz.

Medien und Kultur

Ebenso verfügt der Sektor Medien und Kultur über keine Regelung im BSIG. Die Medien mit ihrer Informations-, Bildungs- und Kontrollfunktion sind für die Meinungsbildung, sowie Warnung und Information der Bevölkerung in Krisen- und Notlagen von entscheidender Bedeutung. Sie haben somit eine entscheidende Aufgabe im Rahmen des Bevölkerungsschutzes. Weiterhin ist der Schutz und Erhalt von symbolträchtigen Bauwerken und Kulturgut von hoher psychologischer Bedeutung für die Gesellschaft. Gemäß des Haager Abkommens von 1954 müssen Kulturgüter geschützt und respektiert werden. Der Sektor Medien und Kultur beinhaltet daher folgende Branchen: Rundfunk (Fernsehen und Radio), gedruckte und elektronische Presse, Kulturgut und symbolträchtige Bauwerke.

Nachhaltige Verbesserung der IT-Sicherheit von KRITIS-Betreiber durch ibi systems iris

Mit ibi systems iris implementieren und betreiben Sie ein Informationssicherheitsmanagementsystem (ISMS) nach gängigen Standards wie ISO/IEC 27001. Insbesondere bei einer angestrebten Zertifizierung unterstützt Sie dabei die ISMS- und GRC-Software „ibi systems iris“ vollumfänglich und umfassend.

Schließlich haben Sie mit ibi systems iris ein effektives Tool zur Hand das Ihnen bei der Erfassung der IT-Infrastruktur (Assets, Prozesse) über die Durchführung von IT-Sicherheitsprüfungen bis hin zum Betrieb des Risiko-Managements bei Ihrer täglichen Arbeit eine enorme Aufwandsersparnis verspricht. Natürlich sind die Dokumentation, Steuerung und Planung von umfassenden Follow-up-actions ebenso wie ein individualisierbares und übersichtliches Reporting möglich.

Zurück zur Übersicht

____________________

Quellen:

  • Verordnung des Bundesministeriums des Innern (2016): Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI- Gesetz (BSI-Kritisverordnung- BSI-KritisV), Online im Internet: https://www.kritis.bund.de/SharedDocs/Downloads/Kritis/DE/BSI_Kritisverordnung_Final.pdf?__blob=publicationFile , Abfrage: 29.10.2018, 12:38 Uhr.

Inhalte der Studie zu ISMS-Tools

Steigende Bedeutung von Informationssicherheit und neue gesetzliche Anforderungen motivieren Unternehmen nahezu aller Branchen zur Einführung eines nativen Informationssicherheitsmanagementsystems (ISMS) gemäß den Anforderungen der DIN ISO/IEC 27001. Zur IT-seitigen Unterstützung stehen am Markt zahlreiche ISMS-Tools zur Verfügung, deren Leistungsspektrum jedoch häufig intransparent ist und die i.d.R. nur einzelne, weitläufig bekannte ISMS-Aufgaben unterstützen. Im Rahmen des Forschungsvorhabens „CISO27“ wurden daher in früheren Forschungsiterationen funktionale Anforderungen an ISMS-Tools und ein Referenzprozess zur Umsetzung eines nativen ISMS-Vorgehens erarbeitet. Im Rahmen dieser Studie wurden dazu ergänzend eine strukturierte Marktstudie zu verfügbaren ISMS-Tools erstellt und deren Funktionalitäten entlang des Anforderungskataloges bewertet.

Die Tool-Analyse wurde dabei in einem 2-stufigen Evaluationsverfahren durchgeführt. Dafür wurden zunächst öffentlich zugängliche Informationen herangezogen, um eine initiale Bewertung der Tools durchzuführen. Danach erfolgte eine vertiefte Analyse mit Hilfe von geführten Produktdemonstrationen und/oder Testversionen der Tools (herstellerseitiges Freiwilligenprinzip).

Ergebnisse der Studie

Die Ergebnisse der Studie sind in der Tabelle aufgeführt. Dabei wurden auf der X-Achse die erzielten Punkte im Bereich der Standard-Anforderungen an ein ISMS-Tool kumuliert. Auf der Y-Achse wurden außerdem Zusatzpunkte für ergänzende Funktionalitäten und Module zur Unterstützung der Do-, Check- und Act-Phase aufsummiert.

Evaluation von ISMS-Tools als GS-Tool Alternativen

Das ISMS-Tool ibi systems iris überzeugte in der Studie und rangiert in der absoluten Spitzengruppe. In Bezug auf die Erfüllung der Standard-Anforderungen landete die Software schließlich unter den TOP 2 und konnte auch hinsichtlich zusätzlicher Funktionalitäten und Module punkten. Somit ist ibi systems iris bestens geeignet die Umsetzung eines ISMS nach ISO 27001 zu unterstützen.

Die komplette Studie finden Sie unter folgendem Link: https://dl.gi.de/bitstream/handle/20.500.12116/3928/B21-2.pdf?sequence=1&isAllowed=y

Zurück zur Übersicht

____________________

Quellen:

  • Hofmann, Marlen, Hofmann, Andreas (2017): ISMS-Tools zur Unterstützung eines nativen ISMS gemäß ISO 27001, Online im Internet: https://dl.gi.de/bitstream/handle/20.500.12116/3928/B21-2.pdf?sequence=1&isAllowed=y, Abfrage: 10.09.2018, 10:49 Uhr.

Ausgangslage

Die Unternehmen in Deutschland wurden in den letzten zwei Jahren vor allem im Zusammenhang mit der Digitalisierung mit Themen wie Cyberkriminalität, Datenklau und Spionage zunehmend konfrontiert. Dabei stehen die zentralen Werte unserer Wissensgesellschaft im Fokus: Informationen, Kommunikation und geistiges Eigentum. Aus den fiktiven Risikoszenarien von einst sind jedoch längst echte Fälle mit echten Schäden geworden. Betroffen sind dabei alle Unternehmen, vom Mittelständler bis zum Großkonzern.

Im Rahmen einer Studie von Ernst & Young wurden 450 Führungskräfte deutscher Unternehmen bzgl. ihrer Erfahrungen mit Cyberkriminalität und ihrer zukünftigen Einschätzung zu Themen wie Datendiebstahl und Cyberattacken befragt. Diese Studie wird alle zwei Jahre durchgeführt. Folglich sind Entwicklungen und Trends erkennbar. Die Ergebnisse der Studie 2017 werden im Folgenden vorgestellt.

„Die Gefährdung durch Datenklau und Cyberkriminalität war niemals größer. Gleichzeitig gehen aber noch viele Unternehmen viel zu sorglos mit dem Thema Datensicherheit um.“

Bodo Meseke, Partner, Ernst & Young GmbH

Ergebnisse der Studie

Fast jedes zweite Unternehmen wurde in den vergangenen drei Jahren ausspioniert. Dieser Wert hat sich im Vergleich zur zuletzt durchgeführten Studie mehr als verdreifacht. Des Weiteren schätzen drei von fünf befragten Managern das Risiko für ihr Unternehmen hoch ein, ein Opfer von Cyberangriffen bzw. Datenklau zu werden. Das ist eine Zunahme um fast 80% und verdeutlicht das deutlich gestiegene Gefahrenbewusstsein für diese Thematik. Fast alle Befragten (97%) erwarten dementsprechend eine in Zukunft steigende Bedeutung von Cyberkriminalität. Vor allem Großunternehmen und Unternehmen aus der Energie- und Finanzbranche zeigten sich dabei besonders alarmiert. Insbesondere gefürchtet sind dabei organisiertes Verbrechen, Hacktivisten (z.B. Anonymous) und ausländische Geheimdienste.

Demgegenüber schätzen über 80% der befragten Unternehmen ihre Präventionsmaßnahmen als ausreichend ein. Während sich Firewall, Passwörter und Antivirenschutz als Standardmaßnahmen gefestigt zu haben scheinen, stagniert etwa die Durchführung einer Zertifizierung nach BSI-Standard mit einer Nennung von rund einem Viertel der befragten Unternehmen. Bei der Aufdeckung von Spionageangriffen war ferner in rund vier von fünf Fällen ein internes Kontrollsystem behilflich.

IT-Sicherheit durch Einsatz geeigneter Tools verbessern und Cyberkriminalität entgegenwirken

Nicht zuletzt aktuelle Beispiele zeigen, wie wichtig es für Unternehmen ist, auftretende Schwachstellen rechtzeitig zu erkennen und durch geeignete Maßnahmen zu schließen. So wurden vor kurzem gravierende Sicherheitslücken in Intel-Chips entdeckt, wodurch mit einem Schlag Millionen PCs rund um den Globus betroffen waren. Infolge erlaubt es diese Schwachstelle den Angreifern, geschützte Daten wie etwa Passwörter auszulesen. Da die Schwachstelle schon seit mehr als einem halben Jahr bekannt ist, konnten die Unternehmen bereits Updates entwickeln, welche zeitnah für die betroffenen Geräte zur Verfügung gestellt werden.

Unternehmen können unabhängig von ihrer Größe die IT-Sicherheit insgesamt durch den Einsatz von geeigneten Tools verbessern und sich damit gegen Cyberkriminalität besser schützen. Mit ibi systems iris als Tool zur effektiven und effizienten Unterstützung des IT-Sicherheitsmanagements können u.a. Risiken und Schwachstellen erfasst sowie geeignete Maßnahmen zu deren Behandlung bzw. Schließung definiert und dokumentiert werden. Das interne Kontrollsystem kann ebenfalls durch die Durchführung von regelmäßigen Prüfungen unterstützt werden. Die Prüfungen und weitere Elemente wie Risiken, Schwachstellen, Maßnahmen, Assets, Prozesse, Regelwerke, Kennzahlen und Dokumente werden alle in ibi systems iris abgebildet. Somit kann ein gesamtheitlicher Überblick etwa über den Status der IT-Sicherheit jederzeit eingesehen und in Form von Berichten ausgegeben werden.

Haben wir Ihr Interesse geweckt? Bitte kommen Sie gerne auf uns zu (info@ibi-systems.de; +49 (0)941-462939-0)!

Zurück zur Übersicht

____________________

Quellen:

  • Meseke, Bodo, Bandemer, Matthias (2017): Datenklau: Virtuelle Gefahr, echte Schäden, Online im Internet: http://www.ey.com/Publication/vwLUAssets/ey-datenklau-virtuelle-gefahr-echte-schaeden-2/$FILE/ey-datenklau-virtuelle-gefahr-echte-schaeden-2.pdf, Abfrage: 04.01.2018, 13:45 Uhr.
  • n-tv (2018): Nahezu alle Intel-Chips unsicher: Gravierende Lücke bedroht Millionen PCs, Online im Internet: https://www.n-tv.de/technik/Gravierende-Luecke-bedroht-Millionen-PCs-article20212186.html, Abfrage: 04.01.2018, 15:15 Uhr.
  • n-tv (2018): Chips im Kern angreifbar: Das muss man zur Monster-Lücke wissen, https://www.n-tv.de/technik/Das-muss-man-zur-Monster-Luecke-wissen-article20213867.html, Abfrage: 04.01.2018, 15:15 Uhr.

Zielsetzung und Ausgangslage

Die im Jahr 2016 verabschiedete europäische Datenschutzgrundverordnung (EU-DSGVO) schafft einen gemeinsamen rechtlichen Rahmen für das Datenschutzrecht innerhalb der Europäischen Union (EU). Somit ergeben sich für viele Unternehmen Veränderungen und neue Pflichten. Vor allem der verfolgte risikobasierte Ansatz hinsichtlich technisch-organisatorischer Maßnahmen ist dabei hervorzuheben. Die Umsetzung des Datenschutzes war den Mitgliedsstaaten der EU bisher selbst überlassen. Dies führte folglich innerhalb der EU zu einem ungleichen Datenschutzniveau und vielen unterschiedlichen nationalen Regelungen. Die EU-DSGVO soll daher nun einen gemeinsamen Rechtsrahmen schaffen, um das Datenschutzrecht innerhalb der EU für den privaten und öffentlichen Bereich zu vereinheitlichen.

Inhalte der EU-DSGVO

Die wichtigsten Inhalte und Änderungen nach der neuen EU-DSGVO sind im Folgenden aufgelistet und erläutert:

Recht auf „Vergessen werden“

Falls es keine legitimen Gründe für eine weitere Speicherung der Daten gibt, werden die Daten der Nutzer auf deren Wunsch hin gelöscht.

Opt-in“

Nutzer müssen aktiv zustimmen (nicht wie bisher: aktiv widersprechen), wenn persönliche Daten verarbeitet werden.

Recht auf Transparenz

Nutzer dürfen ferner erfahren, welche Daten zu ihnen gesammelt und wie diese verarbeitet werden.

Zugang und Datenportabilität

Der Zugang zu den bei Dritten verarbeitete Daten soll für den Nutzer vereinfacht werden. Zudem ist sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zum anderen übertragen werden können.

Schnelle Meldung

Bei Datenverlust von personenbezogenen Daten müssen Unternehmen des Weiteren so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen (im Regelfall binnen 24 Stunden).

Erweiterter Geltungsbereich

Die EU-DSGVO gilt auch für Unternehmen, die keinen Sitz in der EU haben. Der Geltungsbereich wurde auf alle Unternehmen ausgeweitet, deren Angebot sich an EU-Bürger richtet und die daher personenbezogene Daten von EU-Bürgern verarbeiten.

Widerspruchsrecht

Die betroffenen Personen können insbesondere einer Datenverarbeitung im Zusammenhang mit Direkt-Marketing widersprechen.

Hohe Bußgelder

Bei Verstößen drohen folglich Bußgelder von bis zu vier Prozent des weltweiten Jahresumsatzes, der im vorangegangenen Geschäftsjahr erzielt wurde.

Jugendliche erst ab 16

Die rechtswirksame Anmeldung bei Online-Services wie Facebook soll Jugendlichen erst ab 16 ermöglicht werden. Nationale Gesetze sollen hierbei jedoch Ausnahmen ermöglichen.

Stärkung nationaler Aufsichtsbehörden

Nationale Datenschutzbehörden dürfen des Weiteren einzelnen Unternehmen verbieten, Daten zu verarbeiten. Außerdem dürfen sie gewisse Datenflüsse stoppen sowie Bußgelder gegen Unternehmen aussprechen. Diese Geldstrafen können dabei bis zu zwei Prozent des jährlichen weltweiten Jahresumsatzes entsprechen.

One-Stop-Shop-Prinzip

Privatpersonen können sich ferner bei Datenmissbrauch an ihre jeweilige nationale Datenschutzbehörde wenden. Ebenso müssen sich Unternehmen nur noch mit der Datenschutzbehörde in Verbindung setzen, in deren Land sie ihren Hauptsitz haben.

Pflicht zur Bestellung eines Datenschutzbeauftragten

Nach der EU-DSGVO besteht grundsätzlich die Verpflichtung zur Bestellung eines Datenschutzbeauftragten. In jedem Fall muss dieser bestellt werden, wenn die Verarbeitung von personenbezogenen Daten den Kern des Geschäftsmodells darstellt.

Risikomanagement

Die EU-DSGVO hat bzgl. technisch-organisatorischer Maßnahmen einen stärkeren risikobasierten Ansatz und erfordert dabei eine Dokumentation der Risikoeinschätzung.

Datenschutzfolgenabschätzung

Die Durchführung einer Datenschutzfolgenabschätzung wird schließlich für besonders risikobehaftete Datenverarbeitungen vorgeschrieben. Der Datenschutzfolgenabschätzung sollte daher ein adäquates Risikomanagement vorausgehen.

Herausforderungen für Unternehmen hinsichtlich EU-DSGVO

Die Unternehmen sollten sich bereits frühzeitig um die Umsetzung der neuen EU-DSGVO kümmern – auch wenn diese erst im Mai 2018 verpflichtend wird. Die Übergangsfrist bis dahin sollte von den Unternehmen genutzt werden, um Anpassungen in ihren Prozessen durchzuführen, da ansonsten mit Sanktionen zu rechnen ist. Im Folgenden sind einige Herausforderungen aufgeführt, die sich für die Unternehmen ergeben. Dies gilt vor allem bzgl. der Prozesse und Dokumente, welche auf Konformität zur EU-DSGVO zu prüfen sind:

  • Risikobewertungen zur Festlegung geeigneter Maßnahmen
  • Einführung/Durchführung der Datenschutzfolgenabschätzung
  • Dokumentation der Datenverarbeitungsprozesse
  • Anpassung der Datenschutzerklärung
  • Einwilligungserklärung (Prozess für Widerruf der Einwilligung)
  • Betriebsvereinbarungen
  • Vereinbarungen zur Auftragsverarbeitung
  • Prozess bei Datenpannen
  • Verfahren für Übertragung von Daten in gängigem elektronischem Format
  • Durchführung von Schulungen zu den Neuerungen der EU-DSGVO für Mitarbeiter
  • Monitoring nationaler Gesetzgebung

„Der erste Schritt besteht für Unternehmen im Durchspielen einer Risikomanagement-Übung, um die wichtigsten Prozesse und Assets zu identifizieren sowie Schwachstellen und potenzielle Bedrohungen zu bewerten.“

Michael Hack, Senior Vice President EMEA Operations beim Netzwerk-Security-Spezialisten Ipswich Inc.

Einsatzmöglichkeiten von ibi systems iris

Mit ibi systems iris haben Sie schließlich das perfekte Werkzeug zur Hand, um die relevanten Bereiche Ihres Unternehmens auf die Anforderungen der EU-DSGVO vorzubereiten. Es besteht des Weiteren die Möglichkeit, die Einhaltung der EU-DSGVO durch Audits zu überprüfen und Schwachstellen festzustellen. Außerdem ermöglicht iris ein umfangreiches Risikomanagement inklusive Dokumentation der Risikobewertung und Festlegung von Maßnahmen.

Zurück zur Übersicht

____________________

Quellen:

  • Ackermann, Astrid (2016): EU-Datenschutz-Grundverordnung: Das sind die Neuerungen, Online im Internet: https://www.datenschutzbeauftragter-info.de/eu-datenschutzgrundverordnung-das-sind-die-neuerungen/, Abfrage: 23.01.2016, 10:27 Uhr.
  • bitkom (2016): Was muss ich wissen zur EU-Datenschutz Grundverordnung: FAQ, Online im Internet: https://www.privacy-conference.com/sites/default/files/160909_EU-DS-GVO_FAQ_03.pdf, Abfrage: 24.01.2017, 11:01 Uhr.
  • Dr. Datenschutz* (2016): 10 Vorteile der EU-Datenschutz-Grundverordnung, Online im Internet: https://www.datenschutzbeauftragter-info.de/10-vorteile-der-eu-datenschutz-grundverordnung/, Abfrage: 23.01.2017, 15:34 Uhr.
  • Hülsbömer, Simon (2016): Ab 2018: Das ist der neue EU-Datenschutz, Online im Internet: http://www.computerwoche.de/a/der-neue-eu-datenschutz-ab-2018-alles-wichtige,3226704, Abfrage: 23.01.2017, 17:05 Uhr.

*Dr. Datenschutz ist ein Pseudonym für Mitarbeiter der intersoft consulting services AG