Aktuelles

24.08.2020

Sicherheitslücke im Homeoffice

Viele Mitarbeiter sind im Zuge der Corona-Pandemie oftmals ohne große Vorbereitung ins Homeoffice gewechselt: so schützen Unternehmer sich, ihre Mitarbeiter und ihre Kunden.

Allerdings bleibt bei dem häufig überstürzten Wechsel an den Arbeitsplatz in den eigenen vier Wänden oft ein Schutz auf der Strecke:

Nämlich der Schutz der digitalen Sicherheit!

Aufmerksamkeit lässt nach

Gerade die vermehrte Tätigkeit vom heimischen Arbeitsplatz aus birgt viele Sicherheitsrisiken.

So öffnet eine mangelhafte Absicherung potenziellen Cyberkriminellen Tür und Tor für einen erfolgreichen Angriff. Aber auch Phishing-Mails, die speziell auf die Corona-Krise zugeschnitten werden, nehmen zu.

Das ist auf ganz banale Tatsachen zurück zu führen: Durch den Wegfall des bürointernen Flurfunks fehlt oft die interne Warnung solcher im Umlauf befindlicher gefährlicher Mails.

Hinzu kommt, dass in der gewohnt heimeligen Atmosphäre zuhause Mitarbeiter einfach unaufmerksamer sind als im Büro und sich leichter dazu hinreißen lassen, dubiose Mails zu öffnen oder auf unsicheren Seiten zu surfen.

Eine weitere Gefahr resultiert aus dem vermehrt digitalen und telefonischen Austausch unter den Mitarbeitern, der durch das Home-Office nötig ist. Diese Form der Kommunikation bietet eine größere Angriffsfläche für die aktive Manipulation von Angestellten durch Dritte, das sogenannte „Social Engeneering“. Diese Gefahr steigt noch einmal exponentiell, wenn für die Arbeit in den eigenen vier Wänden auch das private Equipment, also Rechner und Telefon, verwendet werden.

Im schlimmsten Fall gelangen Cyberkriminelle dann über den unzureichend gesicherten heimischen Rechner direkt in das Unternehmernetzwerk. Datendiebstahl und Erpressungsversuche sind die Folge.

Alte Bedrohung im neuen Gewand

Die Bedrohung durch Internetkriminalität ist jetzt zugegebenermaßen nicht neu, im Gegenteil. Allerdings nutzen Hacker die Corona-Pandemie ganz bewusst, um die Unsicherheit der Menschen auszunutzen und beispielsweise über gefälschte Anmeldeseiten für den derzeit vielfach genutzten Videokonferenz-Dienst Zoom Nutzerdaten abzugreifen oder Phising-Mails mit scheinbar seriösen Informationen zu Corona-Impfstoffen oder Schutzmaßnahmen zu versenden.

Eine aktuelle besondere Betrugsmasche ist die sogenannte Fake-President-Angriffe (CEO Fraud). Dabei geben sich Kriminelle gegenüber Firmenangestellten per Telefon oder E-Mail als Mitglied der Geschäftsleitung aus und drängen sie dazu, Zahlungen auf bestimmte externe Konten vorzunehmen. Im Zuge der Pandemie und der damit verbundenen Arbeit vom Homeoffice aus, sind Mitarbeiter für diese Täuschung durch die oftmals verworrenen Situationen, mangelnden strukturierten Abläufen und fehlenden strukturierten Prozessen anfälliger.

„Kriminelle haben in der Corona-Phase den Drang nach Finanzstabilität sowie einer schnellen Schadensregulierung erkannt und ausgenutzt“, lautet die Beobachtung der aktuellen Studie der Wirtschaftsprüfungsgesellschaft KPMG. Noch dazu habe sich gezeigt, dass angesichts der Notlage im Lockdown Unternehmen von ihren üblichen Regeln und Kontrollprozessen abgewichen seien.

So können Unternehmen ihren Mitarbeitern keine Vorgaben machen, wie private Rechner ausgestattet sein sollen und haben in der Kürze der Zeit keine betriebseigene Hardware zur Verfügung gestellt. Sind die privaten Endgeräte nicht angemessen geschützt, mit Firewalls und Security-Updates versehen, ist es für Cyberkriminelle ein Leichtes, Zugriff auf sensible Daten zu erhalten.

Jede dritte Firma ist laut KPMG in den vergangenen beiden Jahren Opfer von Wirtschaftskriminalität geworden, zu der auch Datendiebstahl, Korruption oder die Verletzung von Marken- und Patentrechten zählen. Die Prüfungsgesellschaft legt diese Untersuchung alle zwei Jahre vor und hat 1000 deutsche Firmen befragt.

Maßnahmen für mehr IT-Sicherheit

OPTIQUM hat Ihnen aus diesen Gründen einige Sicherheitsempfehlungen zusammengestellt:

  • Verwenden Sie ein VPN
  • Halten Sie sich auch im Homeoffice an die vom Unternehmen vorgegeben Abläufe.
  • Halten Sie Ausschau nach E-Mails oder Textnachrichten im Zusammenhang mit COVID-19 und verifizieren Sie, ob es sich bei diesen Informationen um offizielle Informationen handelt.
  • Wenn ein Mitarbeiter gemeinsam genutzte Geräte verwendet, die auch von seiner Familie zu Hause genutzt werden, stellen Sie sicher, dass die neuesten Sicherheitsupdates installiert werden.
  • Führen Sie eine Sicherheitsüberprüfung der gemeinsam genutzten Geräte durch, um sicherzustellen, dass keine Malware das Gerät infiziert haben.
  • Verschließen Sie firmeninterne Unterlagen in einen Rollcontainer oder abschliessbaren Schrank.
  • Seien Sie vorsichtig bei unerwarteten E-Mails von unbekannten Absendern oder auch bekannten mit Links oder Anhängen. Im Zweifel fragen Sie telefonisch über eine offizielle Telefonnummer (nicht aus derselben E-Mail) beim Absender nach.
  • Verwenden Sie komplexe Passwörter, z.B. einen vollständigen Satz oder eine willkürliche Zahlen-Buchstabenkolonne. Optimal ist die Verwendung eines Passwort-Managers, um alle Passwörter sicher zu speichern.
  • Werden Firmengeräte im Homeoffice genutzt, also Firmen-Notebooks oder feste Geräte, die aus dem Office mit nach Hause genommen werden, so ist darauf zu achten, dass die Zugriffe der Verwaltungstools (und Virenschutz) weiter im Homeoffice funktionieren und die Geräte auf aktuellem Stand gehalten werden. Familienmitglieder dürfen auf diese Geräte keinen Zugriff haben.

 

Die Zahl der Hackerangriffe in Deutschland steigt exponentiell – in allen Branchen, in allen Unternehmensgrößen.

Und sie sind eine ernstzunehmende Bedrohung.

Dämmen Sie Ihre Cyber-Risiken ein – mit Unterstützung der OPTIQUM.

Sprechen Sie uns persönlich an damit wir gemeinsam eine schnelle Lösung für Ihre Anforderungen finden.

 

 

 +49 221 82 95 910  |   datenschutzsysteme[at]optiqum.de


"Zerbrochener Schild"

11.08.2020

Folgenschweres EuGH-Urteil: US-EU-Datenabkommen "Privacy Shield" ungültig

Kürzlich hat der Europäische Gerichtshof (EuGH) mit Urteil vom 16.07.2020 das Abkommen über den Schutz der Privatsphäre, den sogenannten Privacy Shield aufgehoben. Dieser regelt den Datentransfer zwischen den Vereinigten Staaten und Europa im Hinblick auf die Einhaltung der Anforderungen der Allgemeinen Datenschutzverordnung (General Data Protection Regulation, kurz GDPR).

Weil US-Geheimdienste praktisch ohne Einschränkung auf Daten von EU-Bürgern zugreifen könnten, sei der Datenschutz nicht gewährleistet, so die Richter. Nun herrscht Unklarheit in tausenden Unternehmen auf beiden Seiten des Atlantiks. Dürfen Daten, Namen, Bilder und Mails noch fließen?

Wie zu erwarten war, wird dieser plötzliche Stopp den mehr als 5.300 Unternehmen, die sich bei Ihren Datenübertragungen in den USA auf den Privacy Shield berufen, ernsthafte Probleme bereiten. Haben sie sich bisher nur auf den Privacy Shield verlassen, werden sich jene Unternehmen nun nach einer alternativen Grundlage für ihre Datenübertragungen umschauen - oder diese einstellen müssen.

 

EU-US-Datentransfers lahmgelegt

Die Bestimmungen dieses Beschlusses gelten zwar speziell für Datentransfers zwischen der EU und den USA, beschränken aber auch den Austausch von Daten europäischer Bürger mit anderen Ländern über Unternehmen in den Vereinigten Staaten.

Der Privacy Shield wurde 2016 gegründet und ermöglicht es Unternehmen aus der EU und den USA, Daten zu Geschäftszwecken mit relativ geringen rechtlichen Reibungsverlusten hin und her zu bewegen. Obwohl der Privacy Shield abgeschafft wird, bleiben die Bedingungen der bestehenden Standardvertragsklauseln (SCCs), die diese Beziehungen zwischen internationalen Unternehmen untermauern, vorerst weiterhin gültig.

Unternehmen aus der EU und den USA scheinen derzeit in der Lage zu sein, Daten im Rahmen von Standardvertragsklauseln zu übermitteln, allerdings müssen diese zwischen den Unternehmen selbst ausgehandelt werden und die Standardvertragsklauseln müssen zudem alle Bedingungen der GDPR erfüllen. Einige Unternehmen (wie z.B. Microsoft) haben bereits Erklärungen abgegeben, in denen sie angeben, dass ihre bestehenden SCCs ausreichend sind, um die neuen Bedingungen zu erfüllen.

Die Anfechtung des Privacy Shield geht auf eine Klage von EU-Datenschutzbefürwortern unter der Leitung des österreichischen Aktivisten und Juristen Max Schrems zurück. Der Fall geht bis zu den Enthüllungen innerhalb der Snowdown-Affäre im Jahr 2013 zurück, wobei hier das Hauptargument darin besteht, dass der Umfang der US-amerikanischen Überwachung, die unter Privacy Shield vereinbarten Bedingungen bei weitem übersteigt. Im Jahr 2015 setzte sich Schrems erfolgreich dafür ein, dass die vorherige Datenschutzvereinbarung (die Safe Harbor Privacy Principles) auf dieser Grundlage gekippt wurde.

 

Auswirkungen des Urteils

"Datenübertragungen" umfassen in diesem Fall nicht nur geschäftliche Mitteilungen, sondern alle persönlichen Informationen von EU-Bürgern, die diese Unternehmen untereinander übertragen. Das bedeutet ernsthafte Auswirkungen für Social-Media-Unternehmen wie Facebook und für Technologieunternehmen wie Google, die mit E-Mail oder gezielter Werbung handeln. Es gibt jedoch eine Klasse "notwendiger" Datenübermittlungen, die von dieser Regelung ausgenommen sind. Dabei handelt es sich um Kommunikationen, die auf der Seite der betroffenen Person initiiert werden und die erforderlich sind, um eine Dienstleistung zu beschaffen, z.B. E-Mail-Bestätigungen einer Hotelbuchung oder Fahrzeugreservierung. Diese ergeben sich aus den in Artikel 49 des GDPR festgelegten Ausnahmeregelungen.

David Dumont, Datenschutzpartner bei Hunton Andrews Kurth mit Sitz in Brüssel, untersuchte diese Bedingungen und mögliche Ausnahmen: "Unternehmen, die sich auf die SCCs verlassen, müssen jeden Datentransfer-Empfänger bewerten, um festzustellen, ob der Empfänger ein 'angemessenes Schutzniveau' bietet. Hierbei ist nun jeweils zu beurteilen, welche Art von personenbezogenen Daten übertragen werden, wie sie verarbeitet werden, ob sie dem Zugriff von Regierungsbehörden zu Überwachungszwecken unterliegen und, falls ja, welche Schutzmaßnahmen zur Verfügung stehen. Die meisten Unternehmen sind nicht ohne weiteres in der Lage, diese Beurteilungen vorzunehmen. Von den Datenschutzbehörden wird dringend eine Anleitung dazu benötigt, welches praktische Maß an Kontrolle sie von Unternehmen erwarten, die sich auf SCCs stützen. Das Gericht wies auf die im GDPR aufgeführten Ausnahmeregelungen als mögliche Alternativen hin, jedoch dürfte dies für die meisten Datentransfers schwerfällig zu handhaben sein. Ansonsten sind die verfügbaren Optionen die SCCs und BCRs (Binding Corporate Rules - ein von der Europäischen Kommission eingesetzten Artikel-29-Datenschutzgruppe entwickelter Rahmen für verbindliche Richtlinien zum Umgang mit personenbezogene Daten)".

Das Urteil dürfte also die internationalen Dienstleistungen auf der Verbraucherseite nicht stören, wird aber dramatische Auswirkungen auf Unternehmen haben, die Daten zur Verarbeitung in großem Umfang in andere Länder senden. Eine wahrscheinliche unmittelbare Auswirkung ist, dass europäische Unternehmen auf Datenverarbeiter innerhalb Europas ausweichen werden, um sicherzustellen, dass sie die Vorschriften einhalten.

Wenn ein für die Datenverarbeitung verantwortliches Unternehmen feststellt, dass ein internationaler Partner außerhalb Europas nicht über Datenschutzgesetze verfügt, die in ihrer Stärke mindestens dem GDPR entsprechen, ist er nun gesetzlich verpflichtet, die Datenübermittlung an diesen Partner einzustellen (außerhalb der Kategorie "notwendige Ausnahmen").

 

Gnadenfrist beantragt

Angesichts der potenziell verheerenden Auswirkungen, die diese Entscheidung haben könnte, fordern amerikanische Unternehmensgruppen (wie die International Association of Privacy Professionals) eine Gnadenfrist, um den Organisationen ausreichend Zeit zur Anpassung ihrer Datentransferpraktiken zu geben. Schon 2015 wurde eine angemessene Übergangsfrist festgelegt, als der Safe Harbor für ungültig erklärt wurde. Die agierenden Unternehmen hoffen nun, dass eine ähnliche Übergangsfrist auch jetzt gewährt wird.

In der Zwischenzeit stehen die Standardvertragsklauseln, die SCC, weiterhin unter Beschuss. Die Datenschutzgruppe unter Leitung von Max Schrem argumentiert, dass die SCC aufgrund der allgegenwärtigen Überwachung durch die amerikanische Regierung für ungültig erklärt werden müssen, da die USA nicht in der Lage sind, die Daten von EU-Bürgern besser zu schützen – denn durch ihre Gesetze sind Geheimdienste und andere Behörden ermächtigt, auf Daten europäischer Kunden von US-Konzernen zuzugreifen. Auch die nach den Snowdon-Enthüllungen eingeführten Schutzmaßnahmen sind den Kritikern unzureichend.

 

Fazit

Das Privacy-Shield-Urteil des EuGH verunsichert viele Unternehmer. Es ist derzeit unklar, auf welcher Rechtsgrundlage nun der Transfer von personenbezogenen Daten an US-Unternehmen bzw. auf US-Server im Rahmen von Cloud-Diensten, Social Networks oder sonstigen webbasierten Diensten stattfinden darf.

Datenimporteuren, die potenziell von der Privacy Shield-Entscheidung betroffen sind, wird empfohlen, auf die Leitlinien zu warten, die in Kürze von der Europäischen Kommission erwartet werden.

Um auf Nummer sicher zu gehen, sind folgende Optionen möglich:

Auf EU-Server ausweichen

Einige US-Unternehmen wie beispielsweise Amazon Web Services oder Microsoft bieten die Möglichkeit, Daten auf EU-Servern zu speichern. In diesem Fall sollte die Möglichkeit von Webseitenbetreibern wahrgenommen werden.

Keine US-Dienste einsetzen

Eine naheliegende, aber nicht besonders zufriedenstellende Lösung wäre das Deaktivieren aller US-Dienste auf Ihrer Webseite und ggf. das Einsetzen alternativer Anbieter.

Verträge und Datenschutzerklärung anpassen

Passen Sie auf jeden Falle Ihre Verträge und Datenschutzerklärungen im Hinblick auf das EuGH Urteil an. Entfernen Sie Hinweise auf das Privacy Shield und informieren Sie ggf. über das Risiko der Datenübermittlung eingesetzter US-Dienste informieren.

 

Gerne sind unsere Experten von OPTIQUM bei Fragen für Sie da. Rufen Sie uns einfach an unter +49 221 82 95 91 0

 

12.03.2020

Die Digitalisierung und ihre Auswirkungen auf die Sicherheit in der Automobilbranche

In öffentlichen Debatten wird der Einfluss digitaler Technologie auf individuelles Verhalten und gesellschaftliche Prozesse immer mehr diskutiert. Die Digitalisierung führt zu nachhaltigen Änderungen sowohl im Informations- und Entscheidungsverhalten von Einzelnen und in der Gemeinschaft: Immer mehr Prozesse und Gegenstände unseres Alltags werden digital miteinander vernetzt.

 

Die Digitalisierung ist in diesem Zuge längst in der Automobilbranche angekommen – und damit werden auch die Angriffsflächen für Cyberangriffe größer. Mittlerweile sind die neueren Generationen unserer Autos praktisch Computer auf vier Rädern. Autonomes Fahren und Connected Cars sind keine Zukunftsvisionen mehr, sondern Bestand unseres Alltages. Mit den Fahrzeugen sind auch die Produktionsstraßen direkt im digitalen Zeitalter angekommen und häufig schon internetfähig. Die Branche wächst und sie verändert sich tiefgreifend.

Das Kind vieler Väter

Mittlerweile erzeugen Automobilhersteller noch ein Viertel ihres Fahrzeuges selbst. Die restlichen 75% werden von Zulieferern auf der ganzen Welt beigesteuert. Hier bilden sich viele Schnittstellen und Prozessübergänge, an denen Informationen Unbefugten in die Hände gelangen können.

Die Zuliefererindustrie besteht oft aus Betrieben der KMU (Kleine und Mittelständische Unternehmen). Diese sind, im Gegensatz zu Automobil-Großkonzernen, die in der Regel über ganz solide Verteidigungsstrategien verfügen, ein leichtes Ziel für Cyberkriminalität.

Wird der Produktions- und Geschäftsbetrieb durch einen Angriff von außen gestört, so ergeben sich erhebliche finanzielle Verluste für die Automobilbranche. Durch den Cyberangriff auf Automobil-Zulieferer weiten sich die Störungen meist auch auf die nachfolgende Produktionsstationen aus.

Wie das Schadprogramm „WannaCry“ im Jahre 2017 eindrucksvoll bewiesen hat, lassen sich durch diese Angriffe auch die Betriebe ganzer Herstellerfabriken über Wochen komplett lahmlegen.

Gerade deshalb müssen Zulieferer der Automobilindustrie, aber auch Dienstleister – wie Medienagenturen, Druckereien, Messetechniker – nachweisen, dass Sie die Anforderungen der OEM in punkto Informations- und Cybersicherheit gewährleisten können.

Risiken minimieren

Zwei wichtige Maßnahmen bieten Unternehmen mit Anbindung an die Automobilindustrie hilfreiche Mittel, um die Risiken von Cyberangriffen deutlich zu minimieren:

 

Mitarbeiter-Schulungen

Oftmals gelangen Cyberkriminelle an Informationen über die Mitarbeiter eines Unternehmens. Durch sogenanntes Social Engineering oder Phising werden Personen Ihrer Organsiation beispielsweise dazu verleitet, Interna heraus zu geben oder aber unbeabsichtigt Schadprogramme zu installieren.

Zu den wichtigsten Maßnahmen der Informationssicherheit zählen daher Awareness-Maßnahmen Ihrer Mitarbeiter.

Mit unseren Workshops nach ISO/IEC 27001 zum Thema der IT-Sicherheit werden Ihre Mitarbeiter hinsichtlich der Aufmerksamkeit und Umgang mit potenziellen Gefahrenquellen geschult.

Mit dieser Schulung erhalten die Teilnehmer das notwendige Wissen für alle Anforderungen eines modernen Informationssicherheitsmanagementsystems (ISMS) und können so drohenden Angriffen und Manipulationsversuchen gut gewappnet gegenüberstehen.

 

Zertifizierung nach TISAX ®

Der seit 2017 vom Verband der Automobilindustrie etabliert Standard TISAX ® (Trusted Information Security Assessment Exchange) zum Nachweis der Erfüllung von Informations-Sicherheitsstandards nach VDA ISA ist heute unumgänglich, wenn Sie nicht nur Ihr Unternehmen nachhaltig schützen wollen, sondern auch den OEM nachweisen müssen, dass Sie den gegebenen Anforderungen in Punkto Informationssicherheit nachkommen können.

Gerne beraten wir Sie auf dem Weg zu Ihrem TISAX ®-Testat – sprechen Sie uns einfach an viaE-Mail unter  datenschutzsysteme(at)optiqum.de oder telefonisch +49 221 82 95 91 0

Viele Fragen rund um das Thema TISAX® beantwortet Ihnen unser FAQ zum Thema TISAX ® hier: https://vda-isa-berater.com/faq/

03.02.2020

Zertifizierungen vereinfachen dank ISMS-Lösungen

Informationssicherheitsmanagementsysteme stellen bei der Einführung Unternehmen vor große Herausforderungen. Die Implementierung gestaltet sich oft aufwändig und zeitintensiv. Nicht selten steht daher die Frage im Raum: Lohnt sich die Implementierung für mein Unternehmen überhaupt?

Die Antwort liefern wir Ihnen hier:

 

Wofür benötige ich ein ISMS?

Ein Information Security Management System (ISMS) definiert Regeln und Methoden, um die Informationssicherheit in einem Unternehmen oder in einer Organisation zu gewährleisten. Es handelt sich also um eine Anforderung zur Etablierung und Aufrechterhaltung eines Sicherheitsniveaus im Unternehmen.

Das ISMS, oder deutsch: Managementsystem für Informationssicherheit, ist prozessorientiert und verfolgt einen Top-Down-Ansatz ausgehend von der Unternehmensführung. Mit Hilfe dieses Systems werden nicht nur alle Unterlagen, Dokumente und Prozesse zur IT-Sicherheit gesteuert, sondern auch Prozesse dokumentiert, die das Change-Management oder auch das Vorgehen bei Sicherheitsvorfällen definieren.

Sie schützen mit Hilfe eines ISMS nicht nur Ihre wertvollen Daten und Informationen, sondern auch die Ihrer Kunden und Auftraggeber.

Für wen ist ein ISMS geeignet?

Vom Einsatz einer geeigneten ISMS-Lösung profitieren Unternehmen aller Größenordnungen. Sie können die relevanten Informationen ihrer IT-Landschaft schneller erfassen, ersparen sich viele manuelle Tätigkeiten bei der Analyse ihrer Systeme und erhalten reproduzierbare und sichere Ergebnisse. ISMS-Lösungen begünstigen außerdem durch ihren kollaborativem Ansatz den Informationsaustausch und die übergreifende Zusammenarbeit in der gesamten ISMS-Organisation mit externen Auditoren und Partnern.

Wie profitiere ich von ISMS-Lösungen?

Mit Hilfe eines ISMS können Sie relevante Informationen ihrer IT-Landschaft schneller erfassen und erhalten valide Ergebnisse bei gleichzeitigem Wegfall vieler manueller Tätigkeit. Sie sparen mit einem gut eingeführten ISMS somit Zeit und Geld.

Mittels des proaktiven Einsatzes eines ISMS in Ihrem Unternehmen belegen Sie die gezielte Steuerung der Informationssicherheit und Kundenorientierung. Dies bringt Ihnen signifikante Vorteile bei Branchen-Audits, denn Sie können so Ihren Partnern und Auftraggebern nachweisen, dass Informationssicherheit in Ihrer Organisation gelebt und die entsprechenden Prozesse gezielt gesteuert werden. So bauen Sie sich einen Wettbewerbsvorteil gegenüber Mitbewerbern auf dem Markt aus.

Jedes ISMS kann individuell an die Anforderungen und die Größe eines Unternehmens angepasst werden und sichert die Nachhaltigkeit Ihres Unternehmens.

Gerne beraten wir Sie hierzu in einem unverbindlichen Erstgespräch. Kontaktieren Sie uns!

16.12.2019

ePrivacy-Verordnung: Alles auf Anfang

Seit Jahren arbeitet die EU an der ePrivacy-Verordnung, die die DSGVO ergänzen sollte. Das Ziel: Mehr Privatsphäre bei der digitalen Kommunikation. Doch die geplante EU-Regelung unter anderem zum Tracking auf Websites über Cookies ist vorerst am Widerstand der Mitgliedstaaten gescheitert.

Eines der Anliegen der Reform war es, Messenger-Dienste wie WhatsApp und Skype zu regulieren. Für solche Dienste sollten künftig dieselben Regeln wie für klassische Telekommunikations-Anbieter, wie beispielsweise die Deutsche Telekom, gelten. Während die Datenschutz-Grundverordnung (DSGVO) also das Sammeln von Nutzerdaten regelt, sollte die ePrivacy-Verordnung die „Vertraulichkeit der elektronischen Kommunikation“ gewährleisten. Geschäfte mit dem Auswerten von Metadaten sollten eingeschränkt werden.


Allerdings umfasste die Reform noch weitere Punkte, wie zum Beispiel die strikteren Vorgaben für das Datensammeln über Cookies, sowie ein starker Privatsphäre-Schutz als Standardeinstellung in den Browsern. Und genau an dieser Stelle findet sich das Kernproblem, dass die Verhandlungen ins Stocken brachte. Sowohl europäische Digital-Wirtschaftsverbände, als auch zahlreiche Presseverlage protestierten gegen die Reform.


Wie das für den Binnenmarkt zuständige Kommissionsmitglied Thierry Breton am Dienstag, den 03. Dezember bekannt gab, wird, nachdem frühere Gespräche keine Einigung zwischen den Mitgliedstaaten erzielt hatten, ein neuer Vorschlag zum Schutz der Privatsphäre im Internet vorgelegt.


Diese überarbeiteten Maßnahmen sollen dazu dienen, einen Konsens zwischen den EU-Ländern über die ePrivacy-Verordnung zu finden nach der Technologieunternehmen, die Nachrichten- und E-Mail-Dienste anbieten, den gleichen Datenschutzbestimmungen unterliegen wie Telekommunikationsanbieter.


"Wir müssen einen neuen Vorschlag auf den Tisch legen, weil ich definitiv glaube, dass jeder etwas tun will, aber offensichtlich sind Sie nicht einverstanden" sagte Breton am Dienstag vor dem Rat Verkehr, Telekommunikation und Energie.


Er fügte jedoch hinzu, dass die bisherige Arbeit dazu führen würde, dass der Prozess nicht ganz "von vorne" beginnen würde.


"Also schlage ich vor, dass wir für die nächste Präsidentschaft einen neuen Vorschlag auf den Tisch legen, der offensichtlich all Ihren Anliegen und Interessen entspricht, denn ich glaube wirklich, dass es im Hinblick auf unsere Mitbürger dringend notwendig ist, voranzukommen."


Doch hinter vorgehaltener Hand fürchten einige Stimmen, dass eine kleine Gruppe von Staaten auch weiterhin jeglichen Fortschritt blockieren könnte. Die EU-Staaten würden damit eine Chance verpassen, das große Datensammeln im Internet einzuschränken.

03.12.2019

Arbeitnehmer vornehmliche Schwachstelle für Cybersicherheit


Cyber-Kriminalität ist in den deutschen Unternehmen fast alltäglich. Als die größte Schwachstelle für die IT-Sicherheit gelten die eigenen Mitarbeiter.

Eine Studie der Wirtschaftsprüfungs- und Steuerberatungsgesellschaft RSM International hat in Zusammenarbeit mit europäischen Unternehmen, die sich am European Business Award beteiligt haben, eine Umfrage zum Thema digitale Transformation und Cybersicherheit durchgeführt.


Wesentliche Ergebnisse dieser Studie zeigen auf, dass fast die Hälfte erfolgreicher Cyberangriffe auf unzureichend geschulte Mitarbeiter abzielen.


Die Studie, bei der 597 Entscheidungsträger aus 33 europäischen Ländern befragt wurden, deutet darauf hin, dass die Arbeitnehmer das schwache Glied in Bezug auf die Sicherheit in vielen europäischen Unternehmen sind. Ungefähr die Hälfte der erfolgreichen Angriffe richteten sich per E-Mail an Mitarbeiter mit sog. Phishing-Aktivitäten. Ein Teil der Unternehmen führen immer noch keine Cybersicherheitstrainings für ihre Mitarbeiter durch. Dieses sogenannte Social Engineering beinhaltet die gezielte Beeinflussung von Mitarbeitern, um sie beispielsweise zur Preisgabe von vertraulichen Informationen zu bewegen.


Weiterhin zeigt die Studie, dass zwei Drittel der Angriffe von den betroffenen Unternehmen nicht öffentlich gemacht wurden, obwohl diese Verstöße nach der Datenschutz-Grundverordnung meldepflichtig waren. Nur knapp ein Viertel der Unternehmen entscheiden sich dafür, die Aufsichtsbehörde und/oder andere zuständige Behörden nach einem Verstoß zu informieren.


Awareness erzeugen und Unternehmen schützen


Hinzu kommt ein Gefühl von Ohnmacht und Apathie bei den befragten Unternehmen, da viele der Befragten glauben, dass Hacker einfallsreicher seien als die Entwickler von Sicherheitssoftware.


Doch genau dieser passiven Duldung gilt es, entgegen zu treten und Unternehmen und vor allem die Mitarbeiter fit und aufmerksam im Bereich der IT-Sicherheit zu machen.


Nur durch Transparenz, Sensibilisierung und Beseitigung von Unklarheiten lassen sich Reputationsschäden durch Cyberangriffe vermeiden und Schäden minimieren.


Das Thema digitale Transformation hat bei 80 Prozent der befragten europäischen Unternehmen eine hohe strategische Priorität, aber nur 34 Prozent verfügen über eine Cybersicherheits-Strategie – 21 Prozent haben in dieser Hinsicht überhaupt keine Strategie. Dennoch zeigen sich mittelständische Unternehmen gegenüber dem Cyberrisiko unempfindlich: 86 Prozent gaben an, dass das erhöhte Risiko von Cyberangriffen sie nicht davon abgehalten hat, in die digitale Transformation zu investieren. 29 Prozent der Unternehmen sehen als wesentlichen Faktor für ihr Umsatzwachstum die Investitionen in digitale Technologien.


Mitarbeitern den Rücken stärken


Studien der Hightech-Verbandes Bitkom zeigen auf, dass Schulungen von Mitarbeitern zu IT-Sicherheit auch 2019 noch kein Standard sind. Zwar haben nahezu alle Unternehmen eine IT-Sicherheitslinie oder planen und implementieren sie gerade. Die Mehrheit der Unternehmen informiert die Mitarbeiter, etwa per E-Mail oder Flyer. Dabei bleibt es in den meisten Fällen. Lediglich die Hälfte der Unternehmen setzen auf Schulungen – und meist nur dann, wenn es einen konkreten Vorfall gegeben hat. Anlassunabhängige, regelmäßige Schulungen gibt es nur bei ca. einem Drittel der befragten Unternehmen.


"Vier von zehn Beschäftigten bekommen in Sachen IT-Sicherheit nicht die notwendige Unterstützung von ihren Arbeitgebern", sagte Bitkom-Präsident Professor Dieter Kempf zum Start der IT-Sicherheitsmesse IT-SA in Nürnberg. "Vor allem viele kleine und mittelständische Unternehmen unterschätzen die Risiken durch Computer- und Internetkriminalität." Der richtige Umgang der Mitarbeiter mit Computern, mobilen Geräten und Internet sei eine zentrale Voraussetzung, um die Gefahren für die Unternehmen einzudämmen.


Sorgen Sie also vor und sichern Sie Ihr Unternehmen und Ihre Mitarbeiter ab. Gerne unterstützen unsere Experten von OPTIQUM Sie mit individueller Beratung, entsprechenden Schulungen und Workshops. Sprechen Sie uns einfach an.

12.11.2019

„Need-to-know“ oder die Frage nach dem Zugriff auf Informationen.

Immer wieder tauchen in Unternehmen die Frage auf: Wer darf eigentlich Zugriff auf die Daten haben? Wer nicht? Und wie wird dies geregelt?

Geheime und personenbezogene Informationen müssen besonders geschützt werden – das ist soweit klar. Doch was in der Theorie einfach benannt wird, gestaltet sich in der praktischen Umsetzung oft gar nicht mehr so simpel. Denn wie definiert man den Personenkreis, der Zugang zu den sensiblen Daten haben darf?


Um weitreichend sicher zu gehen, dass unternehmensrelevante schützenswerte Informationen nicht an Unbefugte gelangen, muss die Berechtigung und der Zugang kontrollierbar sein. Um dies zu gewährleisten, sollte Berechtigung zum Datenzugriff nur denjenigen Personen gestattet sein, die zwingend mit eben jenen Informationen umgehen müssen. Diese „Kenntnis nach Bedarf“, oder auch „Need-to-know-Prinzip“, beschreibt ein detailliertes, schriftliches Berechtigungskonzept, mit dem Unternehmen unbefugtem Zugriff auf Daten entgegenwirken können.


In diesem Berechtigungskonzept werden Zugriffsregeln auf Daten für einzelne Nutzer bzw. Nutzergruppen festgelegt. Außerdem werden dort alle Prozesse, die die Umsetzung des Berechtigungskonzepts betreffen beschrieben, wie z.B. das Löschen und Erstellen von Nutzern, oder Passwortrestriktionen.


Über individuell zugewiesene Zugriffsrechte wird geregelt, welcher Mitarbeiter im Rahmen ihrer Funktion bevollmächtigt wird, Informationen und Daten zu nutzen und anzuwenden. Hierbei ist es nützlich, die Stellen- und Funktionsbeschreibung der betreffenden Person heranzuziehen.


Lesen, Schreiben, Bearbeiten, Kommentieren und auch das Löschen von Daten wird so von der Funktion abhängig gemacht, die eben jener Mitarbeiter wahrnimmt. Dabei sollten immer nur so viele Zugriffsrechte vergeben werden, wie es für die Aufgabenwahrnehmung notwendig ist. Vermieden werden sollte hierbei die Berechtigungsvergabe auf Grund von Hierachiestufen innerhalb des Unternehmens.


Es kann natürlich vorkommen, dass ein Mitarbeiter aus wichtigen Gründen auf Informationen zugreifen muss, die nicht in seinem Berechtigungsbereich liegen. In diesem Fall muss der Zugriff durch die Organisationsleitung genehmigt werden. Hierbei ist es empfehlenswert, dass das Vier-Augen-Prinzip angewendet wird, um unerlaubte Datenverwendung oder Datenentwendung vorzubeugen.


Übrigens: Auch in der analogen Verwendung ist auf Datenschutz zu achten! Wenn zum Beispiel im Teammeeting und bei Besprechungen Hand-Outs verteilt werden, auf denen vertrauliche Daten stehen, dann müssen Sie darauf achten das auch diese nicht in unbefugte Hände geraten. Sammeln Sie beispielsweise die Ausdrucke im Anschluss an das Meeting wieder ein oder kennzeichnen sie als vertraulich, um die Mitarbeiter zu animieren, die notwendige Sorgfalt im Umgang mit diesen Ausdrucken und Informationen walten zu lassen.


Und berücksichtigen Sie: Unternehmen dürfen nur jene Daten erfassen, die Sie auch benötigen. Eine anlasslose Vorratsdatenspeicherung ist nicht erlaubt.

Zusammenfassend sind die wichtigsten Inhalte eines Berechtigungskonzepts:

  • Die schriftliche Niederlegung, also Dokumentation, des Berechtigungskonzeptes mit klar gegliederten individuellen Rechten des jeweiligen Nutzers für das Lesen, Bearbeiten und Löschen von Informationen. Hierbei müssen auch die entsprechenden Vertretungsregeln beachtet und festgehalten werden.
  • Der Umgang bei Ausscheiden eines Mitarbeiters aus dem Unternehmen oder auch bei Abteilungswechsel mit den entsprechenden Zugriffsrechten. (In manchen Unternehmen ist der Auszubildende, der jede Abteilung durchlaufen hat, der Mitarbeiter mit den meisten Zugriffsrechten und dem höchsten Informationsstand!)
  • Der Prozess und die Verantwortlichkeit zur Vergabe, Erweiterung, Beschränkung und Entzug von Rechten. Hierbei muss auch festgelegt werden, wie genau die Kommunikation diesbezüglich im Unternehmen verläuft.

Um zu gewährleisten, dass das Berechtigungskonzept wirkungsvoll greift, bedarf es einer regelmäßigen Überprüfung des Konzeptes auf Aktualität. Denn jedes Unternehmen unterliegt in der Mitarbeiter- und Organisationstruktur einem stetigen Wandel.


Für Unternehmen ergeben sich bei ordnungsgemäßer Umsetzung des Need-to-Know-Prinzips neben dem Aspekt der Datenschutz-Compliance weitere Vorteile wie etwa der erhöhte Schutz unternehmenskritischer Informationen und des internen Know-hows. Somit kommen einzelne Maßnahmen der Datenschutz-Einhaltung nicht nur dem Schutz personenbezogener Daten zugute, sondern es wird hierdurch die gesamte Datensicherheit in Unternehmen erhöht und damit auch deren Wettbewerbsfähigkeit gesichert.


Gerne beraten unsere Experten von OPTIQUM sie hierzu und beantworten Ihre Fragen. Rufen Sie uns einfach an unter +49 221 82 95 910

08.11.2019

Umfrage des Branchenverbandes

Effektiver, ausgeklügelter, häufiger: Cyberattacken auf deutsche Unternehmen steigen stark an.


Das ist das Ergebnis einer Umfrage des Branchenverbandes Bitkom unter über 500 Geschäftsführern und Sicherheitsverantwortlichen aller Industriebranchen, die am 06.November veröffentlicht wurde. So sind mittlerweile 3 von 4 Unternehmen betroffen und wurden Opfer von Datendiebstahl und Spionage.


Diese kriminellen Attacken erzeugen deutschlandweit Schäden in Rekordhöhe –zusammengenommen aus analogen und digitalen Angriffen entsteht jährlich in der deutschen Wirtschaft ein Gesamtschaden von mehr als 100 Milliarden Euro. Im Vergleich dazu waren es vor zwei Jahren mit 55 Milliarden Euro pro Jahr knapp die Hälfte dieser Summe.


Digitale Angriffe haben in den vergangenen beiden Jahren bei 70 Prozent der Unternehmen einen Schaden versursacht, im Jahr 2017 waren es erst 43 Prozent. Zu erklären ist dies mit der starken Professionalisierung innerhalb des Cybercrime. Statt Freizeithackern bilden sich professionelle Cybercrime-Konsortien, die gut ausgerüstet und technologisch hoch versiert im Auftrag zum Zweck der Wirtschaftsspionage bzw. Sabotage arbeiten oder sich mit der Erpressung von Lösegeld durch Ransomware finanzieren.


Auch die starke und notwendige Vernetzung deutscher Unternehmen im Zeitalter der Industrie 4.0 birgt viele Risiken und ermöglicht Cyberkriminellen, häufiger Schwachstellen auszuloten und zu nutzen.
Die Konsequenzen eines Cyberangriffes können für die betroffenen Unternehmen fatal sein. Denn Imageschäden und der Verlust hochsensibler Daten und der Vertrauensverlust bei Kunden und Partnern sind neben der für die Entdeckung und Beseitigung eben jener Attacken anfallenden hohen Kosten oft die Folge.


Vor dem Hintergrund dieses Bedrohungsszenarios ist es allerdings wenig verständlich, warum viele Unternehmen in puncto IT-Sicherheit und Datenschutz weiterhin lediglich Stückwerk betreiben. Während sich die Szene der Cyberkriminellen organisiert und professionalisiert, verharren manche Firmen bei Schutzstandards und -prozessen, die deutlich in die Jahre gekommen sind.


Ein wichtiger Schritt in die richtige Richtung ist es, sich dem allgemeinen Problem zu stellen und alle Mitarbeiter für die Möglichkeit eines Cyberangriffes zu sensibilisieren. Unternehmen benötigen einen ganzheitlichen strategischen Ansatz, um ihre Sicherheitsrisiken zu minimieren. Nur eine Zusammenführung und umfassende Analyse aller sicherheitsrelevanten Daten aus der IT-Infrastruktur ermöglicht es effektiv, die Risiken von erfolgreichen Angriffen deutlich zu senken.


Auch auf Ebene der EU ist man sich der Herausforderungen durch Angriffe aus dem Web bewusst. Neben dem Beschluss der DSGVO wurde bereits im Juli 2016 die Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen verabschiedet. Mit dieser Richtlinie werden Betreiber so genannter „kritischer Infrastrukturen“, also Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, wie z.B. Energieversorger, in die Pflicht genommen für Maßnahmen gegen Cyberattacken zu sorgen.


All diese Entwicklungen zeigen, dass Angriffe aus dem digitalen Bereich ernsthafte Bedrohungen für alle Branchen und Unternehmensformen darstellen. Unternehmern sei geraten, sich dem Risiko von möglichen Cyberattacken bewusst zu werden und die entsprechenden adäquaten Sicherheitsvorkehrungen zu treffen.

Gerne beraten wir von OPTIQUM Sie dazu. Sprechen Sie uns einfach an.

25. Oktober 2019

Unternehmen drohen höhere Bußgelder

Der DSGVO-Bußgeldkatalog ist da!

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat Ihr Konzept zur Berechnung von Bußgeldern in Verfahren gegen Unternehmen veröffentlicht. Das Konzept betrifft die Bußgeldzumessung in Verfahren gegen Unternehmen im Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO).

Die Bußgeldzumessung soll in fünf Schritten erfolgen, um eine nachvollziehbare, transparente und einzelfallgerechte Form der Bußgeldzumessung zu gewährleisten:

  1. Zuordnung des Unternehmens zu einer Größenklasse,
  2. Bestimmung des mittleren Jahresumsatzes der jeweiligen Untergruppe der Größenklasse
  3. Ermittlung eines wirtschaftlichen Grundwertes
  4. Multiplikation dieses Grundwertes mittels eines von der Schwere der Tatumstände abhängigen Faktors
  5. Anpassung des unter 4. ermittelten Wertes anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände

 

Schon im September diesen Jahres trat der Bundesbeauftragte für Datenschutz, Ulrich Kelber deutlich für die Durchsetzung des Datenschutzes ein und kommentierte: „Die Zurückhaltung der Datenschutzbehörden wird natürlich auch immer weniger werden“ und betont, es werde bald auch in Deutschland Bußgelder „in Millionenhöhe“ geben.

So zeichnet sich schon vor Veröffentlichung des Bußgeldkataloges eine drastische Erhöhung der DSGVO-Bußgelder in Deutschland ab. Allerdings ist es möglich, dass aufgrund neuer Erkenntnisse aus den Abstimmungen mit dem Europäischen Datenschutzausschuss (EDSA) Änderung hinsichtlich Konzept und praktischer Handhabe in der Zukunft möglich sein können. Vorerst gilt jedoch das von der DSK ausgearbeitete Bußgeldkatalog mit der Folge der höheren Bußgelder, besonders für große Unternehmen.


Aktuelles Thema ist dies auch in Berlin – hier sollen in absehbarer Zeit Datenschutz-Bußgelder in zweistelliger Millionenhöhe verhängt werden. Aus rechtlichen Gründen im laufenden Verfahren wird das betroffene Unternehmen nicht benannt. Bekannt wurde aber, dass ein weiteres Unternehmen, die Online-Bestellplattform Delivery Hero Germany GmbH, mit Bußgeldern in Höhe von insgesamt knapp 200.000 Euro belegt wurde. Die Höhe der Bußgelder unterscheidet sich damit deutlich von den bis dato vergebenen Strafbeträgen, die in der Spitze bei 50.000€ lagen.


Einen aktuellen Überblick über die Bußgelder und Sanktionen, die die Datenschutzbehörden in der EU im Rahmen der Allgemeinen Datenschutzverordnung der EU (GDPR, DSGVO) verhängt haben, können Sie hier einsehen: http://www.enforcementtracker.com/


Sorgen Sie also vor und sichern Sie sich ab.

OPTIQUM kann Sie beim Umsetzen eines sinnvollen Datenschutz Konzeptes unterstützen. Beginnend mit einem Datenschutz Audit in Ihrem Unternehmen oder bei Ihren Auftragnehmern bis hin zur Umsetzung eines Datenschutzmanagementsystems nach BS 10012:2017.

 

Rufen Sie uns einfach an. +49 221 82 95 910