Warum ein ISMS-Tool eine sinnvolle Investition darstellt

Nach einer Umfrage von bitkom, die Ende 2018 durchgeführt wurde, gaben sieben von zehn befragten Unternehmen an, in den vergangenen beiden Jahren Opfer von Sabotage, Datendiebstahl oder Spionage gewesen zu sein. Dabei entstand ein Gesamtschaden von über 43 Milliarden Euro! Diese Zahl veranschaulicht daher die Dringlichkeit, in die Verbesserung der IT-Sicherheit zu investieren und angemessene Maßnahmen zu ergreifen.

„Ein Information Security Management System (ISMS) definiert Regeln und Methoden, um die Informationssicherheit in einem Unternehmen oder in einer Organisation zu gewährleisten. Das ISMS ist prozessorientiert und verfolgt einen Top-Down-Ansatz ausgehend von der Unternehmensführung.“

www.security-insider.de

Eine toolgestützte ISMS-Implementierung etwa auf Basis der ISO 27001 ist dabei aus folgenden Gründen sinnvoll:

Generierung eines Wettbewerbsvorteils

Einem Unternehmen, das seine sensiblen Daten schützt, wird folglich in der Regel mehr Vertrauen entgegengebracht. Häufig wird auch darauf geachtet, dass Zulieferer ein bestimmtes Niveau an IT-Sicherheit einhalten. Wer nachweisen kann, dass Informationssicherheitsmaßnahmen umgesetzt werden, sichert nicht nur die Zukunft des Unternehmens, sondern schafft dafür auch einen Wettbewerbsvorteil.

Vermeidung teurer IT-Vorfälle

Maßnahmen zu ergreifen und damit Vorsorge zu leisten, ist grundsätzlich immer besser als nichts zu tun. Dies sollte ferner natürlich in einem angemessenen Kosten-Nutzen-Verhältnis stehen und die Umsetzung dokumentiert sein.

Erhöhung der Transparenz

Darstellung des Status der Informationssicherheit eines Unternehmens in übersichtlicher Art und Weise, um so einen regelmäßigen Management-Review zu ermöglichen.

Erhöhung der Qualität

Verfolgung eines bewährten und nachvollziehbaren Vorgehens bei der Implementierung eines ISMS nach dem PDCA-Zyklus. Das ISMS kann dadurch kontinuierlich überwacht und verbessert werden.

Senkung von Kosten

Vermeidung von Redundanzen und Doppelarbeiten durch die einheitliche Erfassung der ISMS-Aktivitäten in einem einzigen Tool.

Welche Anforderungen sollte ein ISMS-Tool erfüllen

Bei der Auswahl eines ISMS-Tools sind die Anforderungen abhängig von der Unternehmensgröße, dem bereits definierten Prozessen als auch von bevorzugter Technik und Betriebsform (Webanwendung? SaaS? On Premises?). Welche Anforderungen erfüllt sein sollten, sind im Folgenden aufgeführt:

Dashboards und Report-Generierung

Grafischer Überblick über alle relevanten Informationen und umfassende Exportmöglichkeiten in Form von Reports.

Integrierte Regelwerke, Standards und Richtlinien

Möglichkeit der Abbildung bzw. Unterstützung verschiedener Standards (z. B. ISO 27001, ISO 27019, IT-Sicherheitskatalog, TISAX, VDA etc.) sowie deren Verknüpfung zu anderen Datensätzen in der Software (Risiken, Schwachstellen, Maßnahmen etc.).

Durchführung von Audits

Softwareunterstützung beim gesamten Audit inklusive Follow-Up (Zuweisung von Aufgaben und Verantwortlichkeiten, Durchführung von Kontrollen, Erstellung des Statement of Applicability, Schwachstellenmanagement, Maßnahmendefinition etc.)

Management von Risiken

Beschreibung, Bewertung und Behandlung des Risikos sollten unbedingt Bestandteil eines ISMS-Tools sein. Am Ende sollten die aktuellen Bewertungen der Risiken in einer Risikomatrix visualisiert werden und der Umgang mit den Risiken über den Zeitverlauf einsehbar bzw. nachvollziehbar sein.

Workflowfähigkeit

Um die Vorgehensweise z. B. bei der Anlage von Datensätzen genauer einzugrenzen und den Benutzer an die Hand zu nehmen (User Guidance), sollten individuelle Workflows vorgegeben werden können.

Mandantenfähigkeit

Basierend auf einem Berechtigungskonzept sollte die Trennung von Datensätzen für verschiedene Mandanten möglich sein. Darüber hinaus wäre es sinnvoll, wenn die Möglichkeit bestünde, individuelle Berechtigungen auf Datensatzebene (zeitlich befristet oder dauerhaft) anzupassen.

Flexibilität

Es sollte möglich sein, die Datensätze und die Verknüpfungen untereinander in beliebiger Reihenfolge anzulegen.

Konfigurierbarkeit

Die Software sollte umfangreiche Konfigurationsmöglichkeiten aufweisen, um den Kunden eine bestmögliche Anpassung der Software an deren individuelle Anforderungen und Wünsche zu ermöglichen.

Fazit

Im Rahmen der erwähnten Umfrage von bitkom gaben schließlich zwei Drittel der befragten Unternehmen als künftige Bedrohung den Mangel an IT-Sicherheitskräften an. Um diesem Mangel an IT Sicherheitskräften mit Effizienzsteigerungen entgegenzuwirken, sollte daher unbedingt ein ISMS-Tool wie die ibi systems iris genutzt werden. Damit lassen sich die ISMS-Prozesse nicht nur effizienter durchführen, sondern auch der Überblick über den Status quo bleibt erhalten und es können jederzeit und bequem Reports für das Management generiert werden. Eine toolgestützte ISMS-Implementierung ist also sehr zu empfehlen.

Die Wichtigkeit der erwähnten Anforderungen an ein ISMS-Tool ergibt sich ebenfalls aus den individuellen Präferenzen der Anwender. Die Auflistung hat dahe keinen Anspruch auf Vollständigkeit, stellt aber eine gute Basis für eine erfolgversprechende Auswahl eines ISMS-Tools dar.

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

____________________

Quellen:

Bußgeldregelungen bei Verletzung der Pflichten des Verantwortlichen

Regelungen zu den Bußgeldern sind in Artikel 83 der DSGVO zu finden. Geldbußen müssen demnach wirksam, verhältnismäßig, aber auch abschreckend sein.

  • Bei Verstößen gegen die Pflichten des Verantwortlichen oder des Auftragsverarbeiters werden Bußgelder von bis zu 10 Millionen Euro fällig oder bei Unternehmen von bis zu zwei Prozent des weltweiten Umsatzes des Vorjahres. Der jeweils höhere Betrag zählt.
  • Das Gleiche gilt, wenn Zertifizierungsstellen oder Überwachungsstellen ihre Pflichten verletzen.
  • In diesen Bereich fällt auch die Einhaltung der Vorschrift, dass Kinder erst ab 16 Jahren selbst in die Datenverarbeitung einwilligen dürfen. Das hatte übrigens auch Auswirkungen auf die Nutzung von Facebook und WhatsApp.
  • Beispiele: fehlendes Vorhandensein eines Verzeichnisses der Verarbeitungstätigkeiten, unzureichende Sicherheitsvorkehrungen bei der Datenverarbeitung oder nichtrdnungsgemäße Erfüllung der Aufgaben durch den betrieblichen Datenschutzbeauftragten.

Ausgangslage

Die im Jahr 2016 verabschiedete europäische Datenschutzgrundverordnung (DSGVO) schafft einen gemeinsamen rechtlichen Rahmen für das Datenschutzrecht innerhalb der Europäischen Union (EU). Dabei ergeben sich für viele Unternehmen Veränderungen und neue Pflichten. Ein besonderes Augenmerk sollte dabei auf den verfolgten risikobasierten Ansatz hinsichtlich technisch-organisatorischer Maßnahmen gelegt werden.

Seit dem 25. Mai 2018 ist die neue DSGVO direkt anwendbar. Somit löst das neue EU-Recht das bisherige Bundesdatenschutzgesetz (BDSG) und die Datenschutzrichtlinie (Richtlinie 95/46/EG) ab. Gleichzeitig zur neuen DSGVO tritt ferner eine neue Fassung des BDSG in Kraft, welches die DSGVO konkretisiert. Des Weiteren sind Neuerungen mit der EU-e-Privacy- Verordnung abzusehen. Dabei sorgte die neue Regelung nicht nur für eine einheitliche Datenschutzregelung innerhalb der EU, sondern auch für Furore und Verängstigungen, denn die Regelungen erscheinen kompliziert und die Strafmaßnahmen im Fall von Verstößen sind empfindlich.

Bußgeldregelungen bei Verstößen gegen Grundsätze der Datenverarbeitung

Härter sind die Strafen im Falle eines Verstoßes gegen die Grundsätze der Datenverarbeitung. Der Fokus liegt hierbei auf der Frage ob Daten überhaupt erhoben bzw. verarbeitet werden dürfen und hierfür die entsprechenden Bestimmungen eingehalten wurden.

  • Wer Daten verarbeitet, obwohl er es eigentlich gar nicht darf, muss mit Geldbußen von bis zu 20 Millionen Euro rechnen oder bis zu vier Prozent des Unternehmensumsatzes des Vorjahres. Auch hier gilt der Betrag, der höher ist.
  • Wer sich einer Anweisung der Aufsichtsbehörde widersetzt, muss mit denselben Bußgeldern rechnen.
  • Vergehen in dieser Kategorie liegen beispielsweise vor, wenn Daten ohne vorherige Einwilligung des Betroffenen verarbeitet werden oder die Rechte des Betroffenen verletzt werden.
  • Das kann schon der Fall sein, wenn ein Unternehmen seiner Informationspflicht gegenüber den Betroffenen über die Datenverarbeitung nicht nachkommt oder es kein Löschkonzept gibt. Betroffene haben das Recht auf Vergessenwerden, wenn der Zweck für die Datenverarbeitung weggefallen ist.
  • Dieselben Strafen werden verhängt, wenn personenbezogene Daten in Drittländer oder internationale Organisationen übermittelt werden und die extra dafür vorgesehenen Paragrafen der DSGVO missachtet werden.

Die Schonfrist ist vorbei

Die erste Zeit der Zurückhaltung ist vorbei. Das erste höhere Bußgeld in Europa kam von der Datenschutzbehörde in Portugal. Aufgrund mangelhafter Zugriffsbeschränkungen wurde ein Bußgeld von 400.000 Euro gegen ein Krankenhaus verhängt. Im November 2018 wurde in Baden-Württemberg das erste Bußgeld nach Art 83. DSGVO verhängt. Und auch gegen den Internetriesen Google wurde in Frankreich eine Rekordstrafe in Höhe von 50 Millionen Euro verhängt.

Zahlreiche Verfahren laufen noch – allein in Bayern sind es über 80. Dabei wurde der Großteil der Verfahren durch Beschwerden Betroffener ausgelöst. Bußgelder, Schadenersatzforderungen bis hin zu Freiheitsstrafen bei Vorsatz.

Werden Sie aktiv!

Das Risiko infolge mangelhafter Datenverarbeitung oder suboptimaler Datensicherheit zur Rechenschaft gezogen zu werden, ist deutlich gestiegen. Folgende strategische Überlegungen sollten Unternehmen treffen:

Effektive Umsetzung der DSGVO

„Angriff ist die beste Verteidigung“. Um Strafen zu vermeiden sollten die Anforderung der DSGVO und der jeweiligen nationalen Vorschriften erfolgreich umgesetzt werden. Nicht nur belastbare Strukturen und Prozesse, sondern auch ein effektives Datenschutz- bzw. Compliance-Managementsystem sind unerlässlich.

Schwachstellen identifizieren

Wie bereits erwähnt entsteht der Großteil der Bußgeldverfahren durch die Beschwerde betroffener Personen. Es ist daher ratsam gerade in besonders gefährdeten Bereichen, bspw. Beschwerden von Beschäftigten, besonders genau hinzusehen. Ein besonderes Konfliktpotential bergen Kontrollmechanismen.

Prozessorientierte Dokumentation

Mit der neuen DSGVO wurde das sogenannte Rechenschaftsprinzip, Art. 5 Abs. 2 DSGVO, eingeführt. Die verantwortliche Person, häufig die Unternehmensleitung, muss durch eine umfangreiche Dokumentation nachweisen, dass die Datenschutzregel eingehalten werden. Neben Verfahrensverzeichnisses bis hin zu Checklisten für eventuelle Datenschutzpannen- die Liste ist lang und die Dokumentation daher unübersichtlich. Medienbrüche, Informationsverluste und ein damit einhergehendes steigendes Risikopotential sind die Folge.

Fazit

Unternehmen sollten daher nicht tatenlos abwarten, sondern auf professionelle Unterstützung bauen. Die Anforderungen hieran sollten nicht zu niedrig liegen, denn die Verantwortung für die korrekte Umsetzung des Datenschutzes liegt ausschließlich beim Unternehmen selbst.

ibi systems iris ist eine ISMS- und GRC-Software durch die Sie nicht nur die Einhaltung der DSGVO mittels Audits überprüfen, sondern gleichzeitig Schwachstellen und Risiken erkennen und mittels geeigneter Maßnahmen beseitigen. ibi systems iris unterstützt damit nachgewiesen die Einhaltung der Anforderungen der DSGVO.

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

____________________

Quellen:

  • Art. 82 DSGVO: Allgemeine Bedingungen für die Verhängung von Geldbußen, Online im Internet: https://dsgvo-gesetz.de/art-83-dsgvo/, Abfrage: 04.02.2018, 15:49 Uhr.
  • IHK Osnabrück, Emsland, Grafschaft Bentheim: Stichtag 25. Mai 2018: EU-Datenschutzrecht, Online im Internet: https://www.osnabrueck.ihk24.de/blob/osihk24/recht_und_fair_play/recht/Downloads/3936174/8b15a20815b682588d036e5076d51a72/Ueberblick-EU-DSGVO-data.pdf, Abfrage: 05.02.2018, 15:07 Uhr.
  • ePrivacy-Verordnung: Die Ergänzung zur EU-Datenschutzverordnung, Online im Internet: https://www.datenschutz.org/eprivacy-verordnung/, Abfrage: 13.02.2019, 10:44 Uhr.
  • DSGVO-Verstoß: Krankenhaus in Portugal soll 400.000 Euro zahlen, Online im Internet: https://www.heise.de/newsticker/meldung/DSGVO-Verstoss-Krankenhaus-in-Portugal-soll-400-000-Euro-zahlen-4198972.html, Abfrage: 13.02.2019, 10:36 Uhr.

Merkmale und regulatorische Grundlagen kritischer Infrastrukturen (KRITIS)

Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwohl, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Das IT-Sicherheitsgesetz verpflichtet daher KRITIS-Betreiber, Sicherheitsstandards zum Schutz der IT-Systeme, IT-Komponenten und IT-Prozesse einzuführen, um durch angemessene Vorkehrungen unempfindlich gegenüber Störungen der Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität zu sein.

Die Verordnung zur Bestimmung Kritischer Infrastrukturen (BSI-KritisV) nach dem BSI-Gesetz hat insgesamt neun unterschiedliche Bereiche definiert, welche besonders schützenswert sind:

  • Energie
  • Wasser
  • Ernährung
  • Informations- und Kommunikationstechnik
  • Gesundheit
  • Finanz- und Versicherungswesen
  • Transport und Verkehr
  • Staat und Verwaltung
  • Medien und Kultur

Nach §8a BSIG sind KRITIS-Betreiber dazu verpflichtet mindestens alle zwei Jahre die Erfüllung der Anforderungen (bspw. die Kernforderung des IT-Sicherheitskatalogs: Betrieb eines ISMS nach ISO/IEC 27001) nachzuweisen. Ob man als Betreiber einer kritischen Infrastruktur anzusehen ist, richtet sich neben dem Sektor zusätzlich nach diversen Schwellenwerten.

Schwellenwerte der einzelnen Sektoren

Für nachfolgende Sektoren sind seit Mai 2016 in Korb I der BSI-KritisV folgende Schwellenwerte und deren dazugehörige Branchen definiert:

  • Energie: Stromversorgung, Gasversorgung, Versorgung mit Kraftstoff und Heizöl und Fernwärme (Schwellenwerte)
  • Wasser: Öffentliche Wasserversorgung, Abwasserbeseitigung (Schwellenwerte)
  • Ernährung: Ernährungswirtschaft, Lebensmittelhandel (Schwellenwerte)
  • Informations- und Kommunikationstechnik: Sprach- und Datenübertragung, Datenspeicherung und Datenverarbeitung (Schwellenwerte)

Für folgende Sektoren sind seit Mai 2017 im Korb II der BSI- KritisV folgende Schwellenwerte und deren dazugehörige Branchen definiert:

  • Finanz- und Versicherungswesen: Zahlungsverkehr und Kartenzahlung, Bargeldversorgung, Kreditvergabe, Geld- und Devisenhandel, Wertpapier- und Derivatehandel, Versicherungsleistungen (Schwellenwerte)
  • Gesundheit: Medizinische Versorgung, Versorgung mit Arzneimitteln und Medizinprodukten (Schwellenwerte)
  • Transport und Verkehr: Transport von Gütern, Transport von Personen im Nah- und Fernbereich (Schwellenwerte)

Staat und Verwaltung

Der Sektor Staat und Verwaltung ist nicht im BSIG geregelt und verfügt daher über keine definierten KRITIS-Schwellenwerte. Nichtsdestotrotz ist die Handlungsfähigkeit staatlicher Einrichtungen Voraussetzung für das Vertrauen in die Handlungsfähigkeit des Staates und damit auch Garant für die Innere Sicherheit der Bundesrepublik Deutschland. Die Störung einzelner Institutionen würde sich negativ auf das Gemeinwohl auswirken, weshalb das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) 2005 in einem ersten Schritt ein Konzept zur Planung und zum Aufbau einer zuverlässigen Notstromversorgung erarbeitet hat. Ferner zählen folgende Branchen zum Sektor Staat und Verwaltung: Regierung und Verwaltung, Parlament, Justizeinrichtungen, Notfall- und Rettungswesen einschl. Katastrophenschutz.

Medien und Kultur

Ebenso verfügt der Sektor Medien und Kultur über keine Regelung im BSIG. Die Medien mit ihrer Informations-, Bildungs- und Kontrollfunktion sind für die Meinungsbildung, sowie Warnung und Information der Bevölkerung in Krisen- und Notlagen von entscheidender Bedeutung. Sie haben somit eine entscheidende Aufgabe im Rahmen des Bevölkerungsschutzes. Weiterhin ist der Schutz und Erhalt von symbolträchtigen Bauwerken und Kulturgut von hoher psychologischer Bedeutung für die Gesellschaft. Gemäß des Haager Abkommens von 1954 müssen Kulturgüter geschützt und respektiert werden. Der Sektor Medien und Kultur beinhaltet daher folgende Branchen: Rundfunk (Fernsehen und Radio), gedruckte und elektronische Presse, Kulturgut und symbolträchtige Bauwerke.

Nachhaltige Verbesserung der IT-Sicherheit von KRITIS-Betreiber durch ibi systems iris

Mit ibi systems iris implementieren und betreiben Sie ein Informationssicherheitsmanagementsystem (ISMS) nach gängigen Standards wie ISO/IEC 27001. Insbesondere bei einer angestrebten Zertifizierung unterstützt Sie dabei die ISMS- und GRC-Software „ibi systems iris“ vollumfänglich und umfassend.

Schließlich haben Sie mit ibi systems iris ein effektives Tool zur Hand das Ihnen bei der Erfassung der IT-Infrastruktur (Assets, Prozesse) über die Durchführung von IT-Sicherheitsprüfungen bis hin zum Betrieb des Risiko-Managements bei Ihrer täglichen Arbeit eine enorme Aufwandsersparnis verspricht. Natürlich sind die Dokumentation, Steuerung und Planung von umfassenden Follow-up-actions ebenso wie ein individualisierbares und übersichtliches Reporting möglich.

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

____________________

Quellen:

  • Verordnung des Bundesministeriums des Innern (2016): Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI- Gesetz (BSI-Kritisverordnung- BSI-KritisV), Online im Internet: https://www.kritis.bund.de/SharedDocs/Downloads/Kritis/DE/BSI_Kritisverordnung_Final.pdf?__blob=publicationFile , Abfrage: 29.10.2018, 12:38 Uhr.

Inhalte der Studie zu ISMS-Tools

Steigende Bedeutung von Informationssicherheit und neue gesetzliche Anforderungen motivieren Unternehmen nahezu aller Branchen zur Einführung eines nativen Informationssicherheitsmanagementsystems (ISMS) gemäß den Anforderungen der DIN ISO/IEC 27001. Zur IT-seitigen Unterstützung stehen am Markt zahlreiche ISMS-Tools zur Verfügung, deren Leistungsspektrum jedoch häufig intransparent ist und die i.d.R. nur einzelne, weitläufig bekannte ISMS-Aufgaben unterstützen. Im Rahmen des Forschungsvorhabens „CISO27“ wurden daher in früheren Forschungsiterationen funktionale Anforderungen an ISMS-Tools und ein Referenzprozess zur Umsetzung eines nativen ISMS-Vorgehens erarbeitet. Im Rahmen dieser Studie wurden dazu ergänzend eine strukturierte Marktstudie zu verfügbaren ISMS-Tools erstellt und deren Funktionalitäten entlang des Anforderungskataloges bewertet.

Die Tool-Analyse wurde dabei in einem 2-stufigen Evaluationsverfahren durchgeführt. Dafür wurden zunächst öffentlich zugängliche Informationen herangezogen, um eine initiale Bewertung der Tools durchzuführen. Danach erfolgte eine vertiefte Analyse mit Hilfe von geführten Produktdemonstrationen und/oder Testversionen der Tools (herstellerseitiges Freiwilligenprinzip).

Ergebnisse der Studie

Die Ergebnisse der Studie sind in der Tabelle aufgeführt. Dabei wurden auf der X-Achse die erzielten Punkte im Bereich der Standard-Anforderungen an ein ISMS-Tool kumuliert. Auf der Y-Achse wurden außerdem Zusatzpunkte für ergänzende Funktionalitäten und Module zur Unterstützung der Do-, Check- und Act-Phase aufsummiert.

Evaluation von ISMS-Tools als GS-Tool Alternativen

Das ISMS-Tool ibi systems iris überzeugte in der Studie und rangiert in der absoluten Spitzengruppe. In Bezug auf die Erfüllung der Standard-Anforderungen landete die Software schließlich unter den TOP 2 und konnte auch hinsichtlich zusätzlicher Funktionalitäten und Module punkten. Somit ist ibi systems iris bestens geeignet die Umsetzung eines ISMS nach ISO 27001 zu unterstützen.

Die komplette Studie finden Sie hier.

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

____________________

Quellen:

  • Hofmann, Marlen, Hofmann, Andreas (2017): ISMS-Tools zur Unterstützung eines nativen ISMS gemäß ISO 27001, Online im Internet: https://dl.gi.de/bitstream/handle/20.500.12116/3928/B21-2.pdf?sequence=1&isAllowed=y, Abfrage: 10.09.2018, 10:49 Uhr.

Ausgangslage

Die Unternehmen in Deutschland wurden in den letzten zwei Jahren vor allem im Zusammenhang mit der Digitalisierung mit Themen wie Cyberkriminalität, Datenklau und Spionage zunehmend konfrontiert. Dabei stehen die zentralen Werte unserer Wissensgesellschaft im Fokus: Informationen, Kommunikation und geistiges Eigentum. Aus den fiktiven Risikoszenarien von einst sind jedoch längst echte Fälle mit echten Schäden geworden. Betroffen sind dabei alle Unternehmen, vom Mittelständler bis zum Großkonzern.

Im Rahmen einer Studie von Ernst & Young wurden 450 Führungskräfte deutscher Unternehmen bzgl. ihrer Erfahrungen mit Cyberkriminalität und ihrer zukünftigen Einschätzung zu Themen wie Datendiebstahl und Cyberattacken befragt. Diese Studie wird alle zwei Jahre durchgeführt. Folglich sind Entwicklungen und Trends erkennbar. Die Ergebnisse der Studie 2017 werden im Folgenden vorgestellt.

„Die Gefährdung durch Datenklau und Cyberkriminalität war niemals größer. Gleichzeitig gehen aber noch viele Unternehmen viel zu sorglos mit dem Thema Datensicherheit um.“

Bodo Meseke, Partner, Ernst & Young GmbH

Ergebnisse der Studie

Fast jedes zweite Unternehmen wurde in den vergangenen drei Jahren ausspioniert. Dieser Wert hat sich im Vergleich zur zuletzt durchgeführten Studie mehr als verdreifacht. Des Weiteren schätzen drei von fünf befragten Managern das Risiko für ihr Unternehmen hoch ein, ein Opfer von Cyberangriffen bzw. Datenklau zu werden. Das ist eine Zunahme um fast 80% und verdeutlicht das deutlich gestiegene Gefahrenbewusstsein für diese Thematik. Fast alle Befragten (97%) erwarten dementsprechend eine in Zukunft steigende Bedeutung von Cyberkriminalität. Vor allem Großunternehmen und Unternehmen aus der Energie- und Finanzbranche zeigten sich dabei besonders alarmiert. Insbesondere gefürchtet sind dabei organisiertes Verbrechen, Hacktivisten (z.B. Anonymous) und ausländische Geheimdienste.

Demgegenüber schätzen über 80% der befragten Unternehmen ihre Präventionsmaßnahmen als ausreichend ein. Während sich Firewall, Passwörter und Antivirenschutz als Standardmaßnahmen gefestigt zu haben scheinen, stagniert etwa die Durchführung einer Zertifizierung nach BSI-Standard mit einer Nennung von rund einem Viertel der befragten Unternehmen. Bei der Aufdeckung von Spionageangriffen war ferner in rund vier von fünf Fällen ein internes Kontrollsystem behilflich.

IT-Sicherheit durch Einsatz geeigneter Tools verbessern und Cyberkriminalität entgegenwirken

Nicht zuletzt aktuelle Beispiele zeigen, wie wichtig es für Unternehmen ist, auftretende Schwachstellen rechtzeitig zu erkennen und durch geeignete Maßnahmen zu schließen. So wurden vor kurzem gravierende Sicherheitslücken in Intel-Chips entdeckt, wodurch mit einem Schlag Millionen PCs rund um den Globus betroffen waren. Infolge erlaubt es diese Schwachstelle den Angreifern, geschützte Daten wie etwa Passwörter auszulesen. Da die Schwachstelle schon seit mehr als einem halben Jahr bekannt ist, konnten die Unternehmen bereits Updates entwickeln, welche zeitnah für die betroffenen Geräte zur Verfügung gestellt werden.

Unternehmen können unabhängig von ihrer Größe die IT-Sicherheit insgesamt durch den Einsatz von geeigneten Tools verbessern und sich damit gegen Cyberkriminalität besser schützen. Mit ibi systems iris als Tool zur effektiven und effizienten Unterstützung des IT-Sicherheitsmanagements können u.a. Risiken und Schwachstellen erfasst sowie geeignete Maßnahmen zu deren Behandlung bzw. Schließung definiert und dokumentiert werden. Das interne Kontrollsystem kann ebenfalls durch die Durchführung von regelmäßigen Prüfungen unterstützt werden. Die Prüfungen und weitere Elemente wie Risiken, Schwachstellen, Maßnahmen, Assets, Prozesse, Regelwerke, Kennzahlen und Dokumente werden alle in ibi systems iris abgebildet. Somit kann ein gesamtheitlicher Überblick etwa über den Status der IT-Sicherheit jederzeit eingesehen und in Form von Berichten ausgegeben werden.

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

____________________

Quellen:

  • Meseke, Bodo, Bandemer, Matthias (2017): Datenklau: Virtuelle Gefahr, echte Schäden, Online im Internet: http://www.ey.com/Publication/vwLUAssets/ey-datenklau-virtuelle-gefahr-echte-schaeden-2/$FILE/ey-datenklau-virtuelle-gefahr-echte-schaeden-2.pdf, Abfrage: 04.01.2018, 13:45 Uhr.
  • n-tv (2018): Nahezu alle Intel-Chips unsicher: Gravierende Lücke bedroht Millionen PCs, Online im Internet: https://www.n-tv.de/technik/Gravierende-Luecke-bedroht-Millionen-PCs-article20212186.html, Abfrage: 04.01.2018, 15:15 Uhr.
  • n-tv (2018): Chips im Kern angreifbar: Das muss man zur Monster-Lücke wissen, https://www.n-tv.de/technik/Das-muss-man-zur-Monster-Luecke-wissen-article20213867.html, Abfrage: 04.01.2018, 15:15 Uhr.

Zielsetzung und Ausgangslage

Die im Jahr 2016 verabschiedete europäische Datenschutzgrundverordnung (EU-DSGVO) schafft einen gemeinsamen rechtlichen Rahmen für das Datenschutzrecht innerhalb der Europäischen Union (EU). Somit ergeben sich für viele Unternehmen Veränderungen und neue Pflichten. Vor allem der verfolgte risikobasierte Ansatz hinsichtlich technisch-organisatorischer Maßnahmen ist dabei hervorzuheben. Die Umsetzung des Datenschutzes war den Mitgliedsstaaten der EU bisher selbst überlassen. Dies führte folglich innerhalb der EU zu einem ungleichen Datenschutzniveau und vielen unterschiedlichen nationalen Regelungen. Die EU-DSGVO soll daher nun einen gemeinsamen Rechtsrahmen schaffen, um das Datenschutzrecht innerhalb der EU für den privaten und öffentlichen Bereich zu vereinheitlichen.

Inhalte der EU-DSGVO

Die wichtigsten Inhalte und Änderungen nach der neuen EU-DSGVO sind im Folgenden aufgelistet und erläutert:

Recht auf „Vergessen werden“

Falls es keine legitimen Gründe für eine weitere Speicherung der Daten gibt, werden die Daten der Nutzer auf deren Wunsch hin gelöscht.

„Opt-in“

Nutzer müssen aktiv zustimmen (nicht wie bisher: aktiv widersprechen), wenn persönliche Daten verarbeitet werden.

Recht auf Transparenz

Nutzer dürfen ferner erfahren, welche Daten zu ihnen gesammelt und wie diese verarbeitet werden.

Zugang und Datenportabilität

Der Zugang zu den bei Dritten verarbeitete Daten soll für den Nutzer vereinfacht werden. Zudem ist sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zum anderen übertragen werden können.

Schnelle Meldung

Bei Datenverlust von personenbezogenen Daten müssen Unternehmen des Weiteren so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen (im Regelfall binnen 24 Stunden).

Erweiterter Geltungsbereich

Die EU-DSGVO gilt auch für Unternehmen, die keinen Sitz in der EU haben. Der Geltungsbereich wurde auf alle Unternehmen ausgeweitet, deren Angebot sich an EU-Bürger richtet und die daher personenbezogene Daten von EU-Bürgern verarbeiten.

Widerspruchsrecht

Die betroffenen Personen können insbesondere einer Datenverarbeitung im Zusammenhang mit Direkt-Marketing widersprechen.

Hohe Bußgelder

Bei Verstößen drohen folglich Bußgelder von bis zu vier Prozent des weltweiten Jahresumsatzes, der im vorangegangenen Geschäftsjahr erzielt wurde.

Jugendliche erst ab 16

Die rechtswirksame Anmeldung bei Online-Services wie Facebook soll Jugendlichen erst ab 16 ermöglicht werden. Nationale Gesetze sollen hierbei jedoch Ausnahmen ermöglichen.

Stärkung nationaler Aufsichtsbehörden

Nationale Datenschutzbehörden dürfen des Weiteren einzelnen Unternehmen verbieten, Daten zu verarbeiten. Außerdem dürfen sie gewisse Datenflüsse stoppen sowie Bußgelder gegen Unternehmen aussprechen. Diese Geldstrafen können dabei bis zu zwei Prozent des jährlichen weltweiten Jahresumsatzes entsprechen.

One-Stop-Shop-Prinzip

Privatpersonen können sich ferner bei Datenmissbrauch an ihre jeweilige nationale Datenschutzbehörde wenden. Ebenso müssen sich Unternehmen nur noch mit der Datenschutzbehörde in Verbindung setzen, in deren Land sie ihren Hauptsitz haben.

Pflicht zur Bestellung eines Datenschutzbeauftragten

Nach der EU-DSGVO besteht grundsätzlich die Verpflichtung zur Bestellung eines Datenschutzbeauftragten. In jedem Fall muss dieser bestellt werden, wenn die Verarbeitung von personenbezogenen Daten den Kern des Geschäftsmodells darstellt.

Risikomanagement

Die EU-DSGVO hat bzgl. technisch-organisatorischer Maßnahmen einen stärkeren risikobasierten Ansatz und erfordert dabei eine Dokumentation der Risikoeinschätzung.

Datenschutzfolgenabschätzung

Die Durchführung einer Datenschutzfolgenabschätzung wird schließlich für besonders risikobehaftete Datenverarbeitungen vorgeschrieben. Der Datenschutzfolgenabschätzung sollte daher ein adäquates Risikomanagement vorausgehen.

Herausforderungen für Unternehmen hinsichtlich EU-DSGVO

Die Unternehmen sollten sich bereits frühzeitig um die Umsetzung der neuen EU-DSGVO kümmern – auch wenn diese erst im Mai 2018 verpflichtend wird. Die Übergangsfrist bis dahin sollte von den Unternehmen genutzt werden, um Anpassungen in ihren Prozessen durchzuführen, da ansonsten mit Sanktionen zu rechnen ist. Im Folgenden sind einige Herausforderungen aufgeführt, die sich für die Unternehmen ergeben. Dies gilt vor allem bzgl. der Prozesse und Dokumente, welche auf Konformität zur EU-DSGVO zu prüfen sind:

  • Risikobewertungen zur Festlegung geeigneter Maßnahmen
  • Einführung/Durchführung der Datenschutzfolgenabschätzung
  • Dokumentation der Datenverarbeitungsprozesse
  • Anpassung der Datenschutzerklärung
  • Einwilligungserklärung (Prozess für Widerruf der Einwilligung)
  • Betriebsvereinbarungen
  • Vereinbarungen zur Auftragsverarbeitung
  • Prozess bei Datenpannen
  • Verfahren für Übertragung von Daten in gängigem elektronischem Format
  • Durchführung von Schulungen zu den Neuerungen der EU-DSGVO für Mitarbeiter
  • Monitoring nationaler Gesetzgebung

„Der erste Schritt besteht für Unternehmen im Durchspielen einer Risikomanagement-Übung, um die wichtigsten Prozesse und Assets zu identifizieren sowie Schwachstellen und potenzielle Bedrohungen zu bewerten.“

Michael Hack, Senior Vice President EMEA Operations beim Netzwerk-Security-Spezialisten Ipswich Inc.

Einsatzmöglichkeiten von ibi systems iris

Mit ibi systems iris haben Sie schließlich das perfekte Werkzeug zur Hand, um die relevanten Bereiche Ihres Unternehmens auf die Anforderungen der EU-DSGVO vorzubereiten. Es besteht des Weiteren die Möglichkeit, die Einhaltung der EU-DSGVO durch Audits zu überprüfen und Schwachstellen festzustellen. Außerdem ermöglicht iris ein umfangreiches Risikomanagement inklusive Dokumentation der Risikobewertung und Festlegung von Maßnahmen.

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

____________________

Quellen:

  • Ackermann, Astrid (2016): EU-Datenschutz-Grundverordnung: Das sind die Neuerungen, Online im Internet: https://www.datenschutzbeauftragter-info.de/eu-datenschutzgrundverordnung-das-sind-die-neuerungen/, Abfrage: 23.01.2016, 10:27 Uhr.
  • bitkom (2016): Was muss ich wissen zur EU-Datenschutz Grundverordnung: FAQ, Online im Internet: https://www.privacy-conference.com/sites/default/files/160909_EU-DS-GVO_FAQ_03.pdf, Abfrage: 24.01.2017, 11:01 Uhr.
  • Dr. Datenschutz* (2016): 10 Vorteile der EU-Datenschutz-Grundverordnung, Online im Internet: https://www.datenschutzbeauftragter-info.de/10-vorteile-der-eu-datenschutz-grundverordnung/, Abfrage: 23.01.2017, 15:34 Uhr.
  • Hülsbömer, Simon (2016): Ab 2018: Das ist der neue EU-Datenschutz, Online im Internet: http://www.computerwoche.de/a/der-neue-eu-datenschutz-ab-2018-alles-wichtige,3226704, Abfrage: 23.01.2017, 17:05 Uhr.

*Dr. Datenschutz ist ein Pseudonym für Mitarbeiter der intersoft consulting services AG