E-Mail Kommunikation ist schon so präsent in unserem täglichen Leben, dass wir uns überhaupt keine Gedanken mehr darüber machen.
Trotzdem ist es manchmal an der Zeit, Gewohnheiten in Frage zu stellen. Vor allem auch in Bezug auf E-Mail Sicherheit ist es wichtig, für das Unternehmen ein paar Grundregeln zu definieren.
Continue reading „E-Mail Kommunikation und E-Mail Sicherheit“
Jeder Tag bringt uns neue Fake-Videos. Während manche rein unterhaltenden Charakter haben, stellen andere eine Gefahr für Politik und Gesellschaft dar. Aber nicht nur Fake-Videos stammen aus dem World Wide Web. Der Trend geht zum Identitätsbetrug 2.0. Da reicht es schon, die Stimme zu fälschen.
Im Juni telefonierte die Berliner Bürgermeisterin Giffey eine halbe Stunde mit dem vermeintlichen Kiewer Bürgermeister Klitschko. Und im März kursierte ein Deepfake-Video des ukrainischen Präsidenten Selenskyi, der angeblich zur Kapitulation aufruft.
Bekannte Beispiele. Egal, ob man diese Videos und Videoanrufe im Nachhinein als Shallowfakes, Deepfakes oder andere Arten von Fakes bezeichnet: Sie zeigen uns, dass Fälschungen von bewegten Bildern und damit auch das Thema Deepfakes immer mehr Raum einnehmen. Es soll gezielt manipuliert und desinformiert werden, meistens über die sozialen Medien.
Deepfakes können sowohl Unternehmen als auch Privatpersonen betreffen. Ziel dieses Artikels: Deepfake einfach erklärt. Wir wollen darüber berichten, zu welchen Zwecken Deepfakes eingesetzt werden und woran man sie erkennen kann.
Continue reading „Deepfake einfach erklärt – Identitätsbetrug 2.0“
Am 26.07.2022 aktualisiert Meta (vormals Facebook) seine Datenrichtlinie für Facebook und Instagram und weitere Services. WhatsApp ist in dieser Richtlinie nicht mit eingeschlossen.
Verarbeitet der Meta-Konzern die Daten seiner Nutzer nun datenschutzfreundlicher? Wird dadurch alles besser und einfacher?
Zusammengefasst kann man sagen: Es ändert sich die Richtlinie, nicht aber die Verwendung und Nutzung der Daten. In der tatsächlichen Praxis ändert sich also nichts. Der Konzern möchte lediglich etwas transparenter darstellen, wie Daten verarbeitet werden.
Continue reading „Was ändert sich mit der neuen Datenrichtlinie von META (7/22)?“ Das BayLfD hat seinen 31. Tätigkeitsbericht 2021 veröffentlicht.
Es handelt sich hier um eine Zusammenfassung des relevanten Inhalts durch die Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.
Der Bericht wird nicht im Ganzen wiedergegeben, es werden lediglich einzelne Themen vorgestellt. Insbesondere heben wir die Schlussfolgerung der Aufsichtsbehörde zum jeweiligen Thema hervor.
Hinweis: Im Folgenden in der männlichen Form gesprochen. Der Einfachheit halber beim Lesen unterscheiden wir nicht. Es sind natürlich alle Geschlechter angesprochen.
Continue reading „31. Tätigkeitsbericht des BayLfD“
Das Europäische Parlament hat sich am 23. April 2022 über den Digital Services Act (DSA) geeinigt – nach über eineinhalb Jahren Verhandlungszeit. Am 5. Juli wurde das Gesetz dann vom EU-Parlament mit großer Mehrheit verabschiedet. Das Gesetz über digitale Dienste (so der deutsche Name) wird auch als „erstes Grundgesetz für das Internet“ bezeichnet. Der DSA ist ein Teil des Digital-Pakets, das die EU-Kommission Ende 2020 vorgeschlagen hat. Zum Paket gehört auch der Digital Markets Act (DMA), das Gesetz über digitale Märkte, über das es bereits Ende März eine Entscheidung gab. Auch dieser wurde am 5. Juli verabschiedet.
Bei beiden Gesetzen handelt es sich um EU-Verordnungen, die unmittelbar nach Verabschiedung in den Mitgliedstaaten gelten. Das heißt, es muss kein nationales Gesetz dazu erlassen werden. Kennen wir das nicht schon? Genau, ähnlich verhält es sich mit der DSGVO, die ebenfalls unmittelbar für alle Mitgliedsstaaten der EU gilt.
Inhaltsverzeichnis
Das erklärt die dänische Politikerin Christel Schaldemose in einer Pressemitteilung wie folgt:
„The Digital Services Act will set new global standards. Citizens will have better control over how their data are used by online platforms and big tech-companies. We have finally made sure that what is illegal offline is also illegal online. For the European Parliament, additional obligations on algorithmic transparency and disinformation are important achievements. (…) These new rules also guarantee more choice for users and new obligations for platforms on targeted ads, including bans to target minors and restricting data harvesting for profiling.“
Pressemitteilung des Europäischen Parlaments vom 23.04.2022
Das Ziel des Digital Services Act (DSA) ist es, ein sicheres und zugleich offeneres Internet für die Verbraucher zu schaffen. Die Botschaft lautet: Was außerhalb des Internets verboten ist, soll auch im Internet illegal sein. Konkret sollen
Online Plattformen müssen sich mit dem Gesetz über digitale Dienste künftig an neue Regeln halten. Dabei gelten für sehr große Dienste mit mehr als 45 Millionen monatlich aktiven Nutzern strengere Vorschriften. Geplant sind unter anderem die folgenden Maßnahmen:
Die Europäische Kommission und ihre Mitgliedsstaaten und gegebenenfalls auch Wissenschaftler sollen in Zukunft Zugang zu den Daten von großen Onlineplattformen erhalten. Dadurch soll deren Macht verringert werden. (Auf die Umsetzung dieses Vorhabens darf man gespannt sein, denn die „Big Player“ werden ihre wohlgehüteten Geheimnisse wahrscheinlich nicht freiwillig offenbaren.)
Hier soll es zukünftig mehr Kontrolle in Bezug auf die empfohlenen Inhalte geben.
Nudging heißt auf deutsch anstoßen, anschubsen oder auch anstubsen: Beim Nudging werden User gezielt, aber ohne Druck in eine bestimmte Richtung geführt, damit sie eine gewünschte, „richtige“ Entscheidung treffen. Beispiele dafür sind vordefinierte Standardeinstellungen, Warenkorb-Erinnerungen oder Hinweise auf Funktionalitäten.
Dark Patterns sind „dunkle bzw. versteckte Muster“ und darauf ausgelegt, dass der Benutzer Handlungen ausführt, die seinen Interessen oder auch seinem logischen Verstand entgegenstehen. Hier wird mit der emotionalen oder konditionierten Reaktion des Benutzers gespielt. Ein Beispiel für dark patterns ist, wenn es zwar sehr einfach ist, ein Kundenkonto anzulegen, aber im Gegensatz sehr schwierig, selbiges wieder zu löschen.
Der Verbraucher darf in Zukunft nicht mehr durch irreführende Schnittstellen und Praktiken manipuliert werden. Ebenso muss das Abbestellen eines Services genauso einfach sein wie das Abonnieren. Das bedeutet auch, dass Zustimmen-Buttons nicht hervorgehoben und Ablehnen-Buttons nicht versteckt werden dürfen.
Online-Marktplätze müssen sicher stellen, dass sie den Verbrauchern sichere Produkte und Services anbieten. Sie müssen die Richtigkeit der Informationen ihrer Händler besser kontrollieren und außerdem illegale Inhalte vermeiden. Weiterhin müssen Verbraucher immer angemessen informiert werden.
Illegale Inhalte müssen auf Anweisung eines EU-Mitgliedsstaates gelöscht werden. Dies betrifft Produkte, aber auch Inhalte zu Gewalt und Volksverhetzung. Beispielsweise sollen Opfer von Cybercrimes (z.B. revenge porn) in Zukunft besser geschützt werden. Darüber hinaus muss es klare Verfahren geben, wie Nutzer Online-Plattformen illegale Inhalte melden können. Im Gegenzug muss es auch möglich sein, fälschlicherweise gelöschte Inhalte wieder herzustellen.
Große Plattformen müssen einmal pro Jahr selbst analysieren, wie sich ihre Dienste auf die Öffentlichkeit auswirken. Sie müssen selbst risikobasierte Maßnahmen ergreifen und das Risikomanagementsystem zusätzlich von unabhängiger Seite prüfen lassen. Damit sollen die Risiken vermindert werden,
Dieser Punkt wurde in Anbetracht der derzeitigen Krise aufgenommen und betrifft die Manipulation von Online-Informationen. Die Kommission kann den Mechanismus aktivieren, um gegebenenfalls Maßnahmen zur Wahrung der Grundrechte zu ergreifen. Hier geht es die Auswirkung von Aktivitäten sehr großer Plattformen und Suchmaschinen.
Bei Nichtbeachtung der Regelungen können gegen Online Plattformen und Suchmaschinen Geldbußen in Höhe von bis zu sechs Prozent des Jahresumsatzes verhängt werden.
Betroffen sind alle Unternehmen, die digitale Dienste in der EU erbringen – unabhängig davon, ob sie in der EU oder außerhalb niedergelassen sind.
Die Dienstleister werden in verschiedene Kategorien eingeteilt – je nach Verwendung der Daten: Internetprovider, Hosting Anbieter, Clouddienste, soziale Netzwerke, Messenger und Onlinemarktplätze.
Für sehr große Online-Plattformen und Suchmaschinen mit mehr als 45 Millionen aktiven Nutzern (wie zum Beispiel facebook oder Instagram) gelten besonders strenge Vorschriften. Gleichzeitig sind Kleinst- und Kleinunternehmen von bestimmten Verpflichtungen befreit.
Die Kommission hat die alleinige Aufsichtsbefugnis über sehr große Plattformen und Suchmaschinen. Dabei arbeiten sie mit den Mitgliedsstaaten zusammen. Unterstützt werden sollen sie durch ein neues Europäisches Gremium für digitale Dienste („Digital Services Board“). Zudem sind in jedem Land „Digital Services Coordinators“ zuständig.
Am 5. Juli hat das EU-Parlament sowohl den Digital Services Act als auch den Digital Markets Act verabschiedet. Anschließend wird das Gesetz im EU Official Journal veröffentlicht und tritt 20 Tage danach in Kraft. 15 Monate später ist das Gesetz rechtskräftig – spätestens am 1.1.2024.
In Deutschland gibt es bereits ein Gesetz mit ähnlichen Zielsetzungen, das Netzwerkdurchsetzungsgesetz (NetzDG) von 2017. Dieses wird wird mit dem DSA hinfällig werden. Auch wenn das neue Gesetz bei den Löschfristen zurückbleibt, ist der Geltungsbereich des DSA größer.
Noch mehr Bürokratie oder vielleicht ein Schritt in die richtige Richtung? Was ist Ihre Meinung dazu? Wir freuen uns über einen Kommentar!
Digital Services Act: So will die EU das Internet reparieren | ZEIT ONLINE
Die Homeoffice-Pflicht ist jetzt erst mal vorbei. Also alle Mitarbeiter wieder zurück ins Büro? Dann braucht sich niemand darum kümmern, wie IT-Sicherheit und Datenschutz im Homeoffice geregelt werden müssen.
Während ich diesen Beitrag verfasse, sitze ich gerade in der Ferne abends am Pool, einen Cocktail neben mir. Da flitzen meine Finger heute etwas lockerer über die Tastatur. So stelle ich mir remote arbeiten vor. 😉
Zum Glück gibt es Homeoffice bei der Datenbeschützerin seit der ersten Stunde, also schon vor Corona. Das war immer das Teil unserer Arbeitsweise. Jede/r im Team teilt sich seine Arbeitszeit so ein, wie es im Rahmen der Kundenprojekte und der persönlichen Interessen am besten passt. Natürlich freue mich mich, wenn wir alle mal gemeinsam im Büro sind und Mittagspause machen oder einfach nur quatschen. Aber deswegen wird niemand ins Büro zitiert.
Auch wenn der eine oder andere im tiefsten Inneren der Überzeugung ist, dass es doch besser sei, wenn die Mitarbeiter alle vor Ort im Büro wären, so wird doch ein Großteil der Unternehmen die (bedingte) Möglichkeit für Homeoffice auch weiterhin anbieten. Damit stellt sich die Frage, wie das Thema der Security beim Arbeiten außerhalb des Büros geregelt wird.
Während der Pandemie haben sich viele tatsächlich einfach durchgewurschtelt, ohne alles konkret zu regeln. Da waren wir ja froh, wenn irgendetwas lief und die Hotline, bei der man angerufen hat, überhaupt besetzt war. Ob sich da jemand kurzfristig darum gekümmert hat, dass Security-Vorgaben vollständig eingehalten wurden, wage ich zu bezweifeln.
Inhaltsverzeichnis
Seit Beginn der (für manche überstürzten) Homeoffice-Pflicht während des ersten Lockdowns haben sich viele Unternehmen etwas mehr mit diesem Thema beschäftigt. Trotzdem gibt es noch zahlreiche Firmen, die sich dazu noch überhaupt keine Gedanken gemacht haben oder die auf jeden Fall ihre Regelungen nochmal auf den Prüfstand stellen müssen.
Eine der ersten Fragen, die uns hier erreichen, ist immer nach Regelungen zum Datenschutz bei der remote Arbeit. „Wir benötigen noch fürs Homeoffice eine Datenschutzrichtlinie.“ Natürlich ist der Datenschutz hier ein wichtiges Thema, aber aus meiner Sicht bei Weitem nicht die größte Baustelle. Wahrscheinlich resultiert das aus der häufig unklaren Definition, was ist Datenschutz und was ist es NICHT. Daher haben wir uns diesem Thema auch etwas ausführlicher gewidmet, falls es Sie interessiert, wo die Grenzen der Definition sind.
Vielleicht resultiert die Frage aber auch daraus, dass es für den Datenschutz ein Gesetz gibt und man dieses bestmöglich einhalten möchte.
Wie dem auch sei, im Homeoffice geht es neben dem Datenschutz noch viel mehr um das gesamte Thema der Informationssicherheit. Sie möchten ja nicht nur personenbezogene Daten schützen, sondern alle Informationen, die wichtig für Ihr Unternehmen sind, oder?
Daher ist es mir sehr wichtig, im folgenden nicht nur den Blick auf den Datenschutz zu haben, sondern auf die gesamte Sicherheit Ihrer Informationen, also auf die Informationssicherheit. Hier geht es dann neben den personenbezogenen Daten auch um die Sicherheit der IT-Systeme (IT-Sicherheit), sowie generell um organisatorische Maßnahmen, die jeder Mitarbeiter eigenständig umsetzen muss. Nicht immer wird alles von der Technik gesteuert. Manchmal gehört auch eigenständiges Mitdenken dazu – einer der wichtigsten Punkte, um ein sicheres Arbeiten von unterwegs oder zu Hause zu ermöglichen.
Haben Sie sich diese Frage schon einmal gestellt oder haben Sie diese Frage schon jemand anderem gestellt? Was haben Sie als Antwort bekommen?
Das mag vielleicht alles stimmen (ich sag mal ganz bewusst „vielleicht“), aber das war nicht die Antwort auf die Frage.
Was müssen Sie im Homeoffice schützen?
Unsere Erfahrung zeigt: Diese Frage haben sich so die wenigsten gestellt. Würde man sich diese Frage nämlich stellen, dann käme man unweigerlich zum Ergebnis, dass im Homeoffice keine anderen Werte / Informationen / Daten geschützt werden müssen als auch im Unternehmen. Das heißt, das, was wichtig und schützenswert ist, ist es sowohl in der Firma als auch im Homeoffice. Daran darf sich nichts ändern.
Meistens liegt die Herausforderung in der Beantwortung dieser Frage, wenn Ihr Unternehmen noch kein ISMS (Managementsystem für Informationssicherheit) implementiert hat.
Warum ist dieser Punkt so wichtig? Wenn Sie die am höchsten zu schützenden Werte Ihres Unternehmens kennen und diese auch tatsächlich bewertet haben, kann es sein, dass Sie zu dem Ergebnis kommen, dass zum Beispiel Konstruktionsdaten Ihr am höchsten zu schützender Wert sind (wie gesagt, nur ein Beispiel). Diese Daten sind Ihnen so wichtig, dass sie das Unternehmen nicht verlassen dürfen. Damit haben Sie schon anhand der Daten definiert, dass Konstruktionsdaten für remote Arbeit gar nicht in Frage kommen.
Verstehen Sie, worauf ich hinaus möchte? Im ersten Schritt identifizieren Sie Ihre Werte und klassifizieren diese. Wie wichtig ist Ihnen die Vertraulichkeit, Verfügbarkeit und die Integrität bei jedem dieser Werte? Wenn Sie diese Einschätzung vornehmen, ist es egal, ob die Daten oder andere physikalische Gegenstände in der Firma oder im Homeoffice verwendet werden. Die Bewertung darf sich dadurch nicht unterscheiden.
Das kommt – wie so oft im Leben – darauf an. Jetzt wissen wir, was Ihre höchst zu schützenden Werte sind und dass diese am höchsten geschützt werden müssen.
Je nachdem, ob beim Arbeiten von unterwegs für diese Werte ein höheres Risiko identifiziert wurde, müssen natürlich auch weitere Schutzmaßnahmen für das remote Arbeiten implementiert werden. Aber deswegen wird der Datenschutz oder die IT-Sicherheit im Homeoffice nicht höher bewertet, als in den Unternehmensräumen. Dieses Verständnis ist extrem wichtig, um die richtige Auswahl der Schutzmaßnahmen zu gewährleisten.
Nichtsdestotrotz gibt es einige Basics an technischen und organisatorischen Maßnahmen für das remote Arbeiten und für die Firma, über die man nicht diskutieren sollte.
Jedes – wirklich jedes – Unternehmen, das Mitarbeiter beschäftigt und IT-Ausstattung verwendet, sollte eine IT-Sicherheitsrichtlinie haben. Wir stellen Ihnen sogar ein kostenloses Muster zur Verfügung, um Ihnen die Erstellung zu erleichtern.
Die Regelungen, die Sie in der IT-Sicherheitsrichtlinie treffen, müssen unabhängig der Örtlichkeit des Arbeitsplatzes gelten. Das Sperren des Rechners bei Abwesenheit muss im Office genauso Pflicht sein wie unterwegs im Café. Hier noch ein paar Tipps, was Sie unter anderem in der Richtlinie regeln sollten:
Zugangskennungen sind leider ein viel zu unterschätztes Angriffsziel. Warum sollte sich ein Angreifer die Mühe machen, umständlich und aufwändig durch Firewalls einzudringen und sonstige Hürden zu überwinden, wenn er doch nur die Zugangsdaten von privilegierten Anwendern verwenden könnte. Immer noch genügend User haben ihre Zugangsdaten nicht ausreichend geschützt (vom privaten Bereich sprechen wir hier gar nicht).
Wo es möglich und wichtig ist, sollten Sie vom Unternehmen aus sogar eine Zweifaktorauthentifizierung erzwingen. Das heißt, ein Passwort allein reicht dann nicht mehr. Es wird noch ein zweiter Code aus einer Handy-App oder einem Token abgefragt.
Immer noch hören wir, dass Passwörter regelmäßig geändert werden müssen. Selbst das BSI (Bundesamt für Sicherheit in der Informationstechnik) rät davon ab. Passwörter sollen nur noch dann geändert werden, wenn der Verdacht besteht, dass die Passwörter bekannt geworden sind.
Wenn Ihr Passwort Ihre Unterwäsche wäre, dann passen doch folgende Tipps:
Im Idealfall wird die Passwortpolicy vom System technisch erzwungen. Damit bleibt dem User gar nicht mehr viel Spielraum bei der Auswahl und Vergabe eines Passworts. Aber da nicht jedes IT-System die Passwortkomplexität in der gewünschten Weise erzwingen kann, ist es notwendig, die Anwender mit andere Vorgaben oder Hilfsmitteln in die richtige Richtung zu bewegen.
Mein Favorit ist ein Passwortsafe oder Passwort-Tresor. Wie man das Tool auch bezeichnen mag, es ist eine geniale Lösung. Der Passwortsafe
Das Thema ist sicherlich im Homeoffice relevanter als im Büro. Trotzdem sollten Sie sich grundsätzlich darüber Gedanken machen, ob es sinnvoll ist, dass alle möglichen Geräte an Unternehmensrechnern angesteckt werden dürfen.
Natürlich können Sie alle Ports für Speichermedien oder Nicht-Firmengeräte deaktivieren. Machbar ist alles – sinnvoll allerdings nicht. Um hier den Sinn und den Mehrwert einer Schutzmaßnahme zu bewerten, ist der Blick auf das potentielle Risiko wichtig. Welches Risiko möchten Sie mit einer Portsperre minimieren? Geht es um das Einschleusen von Malware und Viren oder geht es eher um den Abfluss von vertraulichen Informationen?
Wenn externe Medien deaktiviert sind, ist dann in allen Fällen der Austausch von Daten mit Kunden / Lieferanten anderweitig geregelt? Vielleicht macht es auch Sinn, unterschiedliche Maßnahmen für Produktionsbereiche, Vertrieb und Office zu gestalten. Ein Servicetechniker, der vor Ort beim Kunden ist, hat manchmal einfach die Situation, dass er Daten zwischen seinem Rechner und dem Kundennetzwerk austauschen muss. Dann ist (so unbeliebt das ganze auch ist) der USB Stick zwangsweise die effizienteste Möglichkeit. Daran ist auch gar nichts verwerflich. Wichtig ist einfach, die richtigen Schutzmaßnahmen für die passende Situation und Risiken zu wählen. Das geht nur, wenn Sie sich vorher Ihrer kritischen bzw. höchst zu schützenden Unternehmenswerte bewusst sind.
Siri, Alexa und Co. sind in vielen Familien gute Freunde (oder Freundinnen?) geworden. Ich weiß, die Datenschützer unter uns sind nicht so sehr mit den virtuellen Assistenten auf Du und Du. Da zähle ich mich ehrlich gesagt auch dazu. Aktuell bin ich noch der Überzeugung, dass mir sowas nicht ins Haus kommt.
Aber unabhängig von persönlichen Meinungen, sind diese Techniken weit in den Haushalten verbreitet. Das heißt also auch, dass es sich dabei um Anwesende im Homeoffice handelt. Daher müssen sie immerhin betrachtet werden. Wenn Sie zum Ergebnis kommen, dass Sie hier ein Risiko sehen, sollten Sie das Thema organisatorisch regeln für das Homeoffice.
Den einen perfekt technisch abgesicherten Arbeitsplatz wird wahrscheinlich kein Unternehmen zur Verfügung stellen können – weder für remotes arbeiten, noch für die Tätigkeit im Unternehmen. Umso wichtiger ist es, dass Ihre Mitarbeiter die Situationen richtig bewerten und vor allem richtig darauf reagieren können.
Es ist sehr wichtig, dass Sie Ihre Mitarbeiter entsprechend auf die Themen vorbereiten und sie damit vertraut machen. Wie müssen Sie reagieren, wenn Ihnen ein E-Mail suspekt vorkommt? Was sollen sie tun, wenn sie vermuten, dass ihr Account von anderen verwendet wird? Egal welche Situation auch eintritt, geben Sie Ihren Mitarbeitern die Möglichkeit, richtig – also in Ihrem Sinne – zu reagieren.
Ein paar Basics, um das Thema immer wieder ins Gedächtnis zu rufen, haben wir auf einem Awareness-Poster zusammen gefasst. Das Poster ist sogar in zwei Sprachen verfügbar. Es gibt auch eine bayerische Version 😀
Sie können die Poster bei uns im Onlineshop bestellen.
Fakt ist, dass wir alle am Thema remote arbeiten nicht mehr vorbei kommen. Eine gute, risikoorientierte IT-Sicherheitsinfrastruktur ist hier unumgänglich. Gerne analysieren wir Ihren aktuellen Stand, wenn Sie dies wünschen. Schreiben Sie uns einfach.
Nichtsdestotrotz ist aber auch das Thema Datenschutz im Homeoffice ein grundsätzliches Thema, das Sie natürlich im Rahmen Ihres Datenschutzmanagements berücksichtigen müssen. Wir empfehlen Ihnen allerdings, das Thema nicht losgelöst zu betrachten und zu bearbeiten, sondern integriert in das gesamte Informationssicherheitsmanagement. Es sind nämlich nicht nur personenbezogene Daten zu Hause (=Datenschutz im Homeoffice) zu berücksichtigen, sondern alle schützenswerten Daten, die für Ihre Firma wichtig sind.
Wie immer interessiert uns Ihre Meinung. Schreiben Sie uns gerne einen Kommentar, was Sie zum Thema Homeoffice für Erfahrungen gemacht haben oder was sie im allgemeinen zur Remotearbeit planen.
Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren
Um ein adäquates Niveau der Informationssicherheit im Unternehmen gewährleisten zu können, müssen Maßnahmen umgesetzt werden. Hier spricht man im Datenschutz gerne über technische und organisatorische Maßnahmen, die sogenannten TOMs. Im Rahmen der Informationssicherheit nennt man das ganze meistens nur „Schutzmaßnahmen“.
In diesem Artikel zeigen wir Ihnen, welche Arten von TOMs (oder Schutzmaßnahmen) Sie im Unternehmen berücksichtigen sollten. Egal ob aufgrund des Datenschutzes (DSGVO), der IT-Sicherheit oder durch globale Anforderungen des Informationssicherheitsmanagements. Immer sind die TOMs oder Schutzmaßnahmen ein wichtiger Baustein.
Im folgenden Artikel werden daher die Begriffe TOMs, technische und organisatorische Maßnahmen oder Schutzmaßnahmen als Synonym verwendet.
Continue reading „Technische und organisatorische Maßnahmen (TOMs) oder Schutzmaßnahmen der Informationssicherheit?“
Aktuell meldet das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine erhöhte Wahrscheinlichkeit für Cyber Bedrohungen. Inzwischen sprechen wir sogar schon vom Cyberwar. Grundsätzlich ist jedes Unternehmen verpflichtet, adäquaten Schutz vor Cyberangriffen umzusetzen, egal ob kriegerische Angriffe oder andere Gründe für Cyber Bedrohungen zugrunde liegen.
Wer allerdings jetzt noch unsicher ist, ob das wichtigste berücksichtigt wurde, sollte unbedingt die Basics zum Schutz vor Cyberangriffen umgesetzt haben. Die Hacking Angriffe nehmen stetig zu. Diese Entwicklung zeigen auch die regelmäßigen Berichte des BSI.
Continue reading „Die 5 Basis-Maßnahmen zum Schutz vor Cyberangriffen und Cyber Bedrohungen“
Inhaltsverzeichnis
Welche Risiken und Chancen wird es bei IT-Sicherheit und Datenschutz in der Zukunft geben?
Diese Frage hat Regina für die Fachzeitschrift Revisionspraxis PRev beantwortet. Wichtig ist und bleibt das eigene Interesse des Unternehmens an guter Informationssicherheit.
Regina empfiehlt, die Compliance Themen rund um die Informationssicherheit als strategisches Thema auf der obersten Ebene zu betrachten. Dabei gilt es, Risiken abzuwägen und einen pragmatischen Ansatz zu verfolgen – denn so kann man auch die Akzeptant im Unternehmen erhöhen.
Der Artikel beschreibt außerdem konkrete Maßnahmen für Unternehmen wie Datenschutz-Basics oder die IT-Sicherheitsrichtlinie.
Melden Sie sich zu unserem Newsletter an und erhalten Sie alle 14 Tage aktuelle und praxisorientierte Informationen zum Datenschutz und zur Informationssicherheit.
