Ein Jahr nach Einführung der Datenschutzgrundverordnung ist der Informationssicherungs-Prozess in Unternehmen im Gange und nimmt weiter an Priorität zu. Nach der letzten Informationsveranstaltung bei der IHK in Stuttgart zur Informationssicherung im Mittelstand #10 einige Fakten zum Thema.
- Angriffe auf die Informationstechnologie von Unternehmen werden häufiger, professioneller, komplexer und sind im Alltagsbetrieb kaum mehr zu erkennen. Lt. IHK liegt der Anteil der Spams im E-Mailverkehr bei über 90%.
- durch immer neue Funktionalitäten bei Cyberangriffe sind Unternehmen bei der Erkennung herausgefordert, aktuelle Beispiele:
-
- das Scannen von Hardware-Ports nach Offenen Zugängen in das System
- Übernahme von betrieblichen Mailaccounts und Fremdnutzung über Abgriff von Kundendaten
Beispiel: Versand von Mails mit validen Kundendaten, auch in Bezug auf vorhergehende Mail-Kommunikation mit einem Schadprogramm, dass sich über ein Excel-Makro lokal installiert - Trojaner, welche eine Verbindung nach außen schaffen und nach Ziel-Systemprüfung die passende Schadprogramme installieren
- Check auf organisatorische Mängel, z.B. dem Abgreifen des Admin-Passwortes eine externen Wartungsfirma mit Zugriff auf die komplette betriebliche Infrastruktur
- die Datenschutz-Aufsichtsbehörde in Stuttgart kündigt für 2019 für Unternehmen mit sensiblem Datengut (z.B. Arztpraxen) verstärkte Kontrollen an.
Was bedeutet das für die Unternehmen?
- Um Störungen zu erkennen und Risiken zu bemessen ist die permanente Anpassung und Reflektion des Datenverarbeitungsverzeichnisses (Grundlagen der DSGVO seit Mai 2018) unerlässlich
- Daraus ergeben sich die Erfordernisse der Technischen und Organisatorischen Maßnahmen (TOMS) und langfristig die IT-Sicherheitslinien für den Betrieb. Dabei hilft es die Dokumentation TOMs als einen Nachweis zu führen, der die betriebliche Haltung zum Datenschutz und zur IT-Sicherheit abbildet. Diese Prozessdokumentation gilt als Rechenschaftspflicht im Rahmen der DSGVO und ist auf Nachfrage vorzuzeigen.
- Wichtig ist in Unternehmen eine permanente Risikoabschätzung über die Folgen eines Datenmissbrauches. Das ist aufgrund mangelnder Transparenz nicht immer einfach.
- als weitere Herausforderung hat sich das Recht auf Löschung in der Praxis herausgestellt. Dabei geht es nicht so sehr um die Echtzeit-Datenbestände, sondern um die Daten, welche über Backup, Kommunikation- und Synchronisationsroutinen vervielfältigt auf unterschiedlichen Speichermedien liegen.
- die Praxis fordert von Unternehmen im Umgang mit digitaler Information nicht nur die Erfüllung der Datenschutzgrundverordnung, sondern einen permanenten Informations-Sicherungsprozess.
Orientierungshilfen für kleine - mittlere Unternehmen
- Die Datenschutzbehörde in Thüringen gibt Unternehmen praxisbezogene Orientierungshilfen an die Hand mit den wesentlichen Datenschutzanforderungen zu z.B. Cloud-Computing, Apps oder im Krankenhausinformationsbereich. Auch ein Meldebogen für Datenschutzverletzungen macht den Umgang damit greifbarer.
- Die Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet eine übersichtliche Einstiegshilfe zum IT-Grundschutz für die systematische Umsetzung von Sicherheitsmaßnahme. Dabei gibt es drei Vorgehensweisen für den IT-Grundschutzes: Die Basis-Absicherung liefert einen Einstieg in ein Informationssicherheitssystem, mit der Standard-Absicherung kann ein kompletter Sicherheitsprozess implementiert werden (BSI-Standard 100-2 ist kompatibel zur ISO 27001-Zertifizierung). Die Kern-Absicherung ist eine Vorgehensweise zum Einstieg, bei der zunächst ein kleiner Teil eines größeren Informationsverbundes betrachtet wird. Die Anleitungen Basis- und Kernabsicherung sollen insbesondere Verantwortlichen in kleinen und mittelständischen Betrieben den Einstieg in die Thematik erleichtern.
15.05.19 E. Langenstein
Informationsdienste & Datenmanagement