60 Sekunden für mehr Informationssicherheit

Einfache Verhaltensweisen im Alltag erhöhen die Informationssicherheit

Durch die europäische Datenschutzgrundverordnung (DSGVO) werden die Unternehmen verpflichtet, ein Datenschutzmanagement zu etablieren, welches den Schutz der personenbezogenen Daten in Unternehmen sicherstellen soll.

Mit dem Sammelbegriff Datenschutzmanagement werden alle Prozesse bezeichnet, die notwendig sind, um die Umsetzung der gesetzlichen Anforderungen des Datenschutzes bei der Planung, Einrichtung, dem Betrieb und nach der Deaktivierung von Verfahren zur Informationsverarbeitung sicherzustellen.

Folgende Aktivitäten sollten hierbei beachtet bzw. umgesetzt werden:

  • Zuweisung von Verantwortlichkeiten (Topmanagement usw.)
  • Bestellung und Meldung des Datenschutzbeauftragten
  • Zusammenstellen eines Datenschutz-Teams
  • Erstellen einer zentralen Datenschutz-Leitlinie
  • Erstellen der Datenschutz-Richtlinien wie z. B.:

    • Umgang mit personenbezogenen Daten
    • Zutritts-, Zugangs- und Zugriffsrichtlinien
    • Abwesenheitsregelungen (Zugang zum Datenbestand des Abwesenden)
    • Richtlinie für die Nutzung von Home Office
    • Integration privater IT-Systeme (Bring Your Own Device/BYOD)

  • Schulung/Sensibilisierung der Mitarbeiter
  • Erstellen eines Verarbeitungsverzeichnisses
  • Prozess zur Bearbeitung von Datenpannen
  • Datenmanagement (Aufbewahrungs-/Löschfristen)
  • Erstellen und Umsetzen von technischen und organisatorischen Maßnahmen

    • Passwortrichtlinien
    • Datenschutzfolien für Bildschirme
    • Verschlüsselung von Festplatten
    • usw.

Bei der Umsetzung dieser Aktivitäten für den Einsatz eines DSGVO-konformen Datenschutzmanagements können Ihnen die VdS-Richtlinien zur Umsetzung der DSGVO (VdS 10010) behilflich sein.

Um sich ein aktuelles Bild des Datenschutzniveaus in Ihrem Unternehmen zu machen, empfehle ich Ihnen den VdS-Quick-Check unter www.vds-quick-check.de.

[Autor: Thomas Schmidt, Telefonbau Arthur Schwabe GmbH & Co. KG]


60 Sekunden für mehr Informationssicherheit

Gefährliche E-Mails schneller und besser erkennen

Immer häufiger werden Cyber-Angriffe unter Verwendung von E-Mails durchgeführt. Entweder enthalten diese Nachrichten bereits selbst Schadsoftware (versteckt in einer unbedenklich erscheinenden Datei) oder sie sollen die Empfänger dazu verleiten, einen „bösartigen“ Link zu nutzen, um so Schadsoftware herunterzuladen und auszuführen. Neben den technischen Möglichkeiten des Mail-Filterns ist ein geschärftes Sicherheitsbewusstsein der Nutzer ein wichtiger Baustein zum Schutz von Unternehmen.

Hier finden Sie einige Tipps, um gefälschte E-Mails zu erkennen:

  1. Achten Sie auf die Anrede in der Mail, häufig finden Sie hier schon Ansätze (z. B. „sehr geehrtes Damen und Herr“). Die Anreden sind oft unpersönlich und/oder fehlerhaft.
  2. Achten Sie generell auf Rechtschreibung und Grammatik. Oftmals sind diese gefälschten Mails in einem schlechten Deutsch geschrieben.
  3. Achten Sie genau auf den Absender der Mail: Erwarten Sie von diesem Absender eine E-Mail mit diesem Inhalt? Stimmt die Adresse exakt?
  4. Werfen Sie einen Blick auf die Signatur: Passt diese zum Absender der Mail und seinem Unternehmen?
  5. Sehen Sie sich die Betreffzeile an. Oftmals werden Formulierungen genutzt, die den Empfänger verunsichern oder verängstigen sollen, z. B. „Ihr Konto ist abgelaufen“ oder „Ihr Passwort ist unsicher und wurde geändert“.
  6. Ist der Sachverhalt der E-Mail nachvollziehbar? Oder erwarten Sie von Ihrem Kollegen überhaupt keine Rechnung?
  7. Sofern Sie aufgefordert werden, persönliche Daten wie z. B. PINs, Passwörter oder Ähnliches einzugeben, sollten Sie dies auf keinen Fall machen, denn „echte“ Unternehmen fragen diese Daten nicht per Mail ab.

Sofern Sie bei einem oder mehreren der oben genannten Punkte stutzig werden, handelt es sich mit hoher Wahrscheinlichkeit um eine gefälschte Mail. Informieren Sie hierüber Ihren Sicherheitsbeauftragten und öffnen Sie niemals Anhänge solcher Mails. Sprechen oder schreiben Sie ggf. den vermeintlichen Absender an – aber keinesfalls via „Antworten“-Funktion!

[Autor: Thomas Schmidt, Telefonbau Arthur Schwabe GmbH & Co. KG]


60 Sekunden für mehr Informationssicherheit

Einige grundlegende Regeln für die Verwendung von Notebooks

Mobile Computer (meist Notebooks genannt) sind bei vielen Mitarbeitern nicht mehr aus dem Arbeitsalltag wegzudenken. Um das Risiko eines Datenverlustes zu verringern, sind nachfolgende Regeln eine sinnvolle Vorgabe für Ihre Sicherheits-Policy.

A) Absicherung des Gerätes gegen unbefugten Zugriff

  1. Sperrung des Geräts mithilfe einer PIN oder eines Kennworts.
  2. Automatische Sperrung des Geräts bei Inaktivität.
  3. Der eingebaute Datenträger (Festplatte/SSD) des Geräts sollte verschlüsselt sein, falls sensible Daten darauf gespeichert werden.
  4. Das Gerät ist stets sicher zu verwahren und sollte nicht an Dritte weitergegeben werden, insbesondere nicht im entsperrten Zustand.
  5. Bei Verwendung von öffentlichen, ungesicherten Netzen (z. B. WLAN-Hotspots) muss eine sichere, verschlüsselte Verbindung genutzt werden (z. B. VPN).
  6. Die Nutzung und der Anschluss von Datenträgern und Geräten aus unbekannter Herkunft sind erst nach erfolgter Überprüfung auf Schadsoftware gestattet.

B) Umgang mit Betriebssystem und Software

  1. Regelmäßiges Aktualisieren des Betriebssystems und aller installierten Programme.
  2. Installation von Software nur aus vertrauenswürdigen Quellen (z. B. Hersteller-Website) und nur nach Rückfrage bei oder Informationsaustausch mit der eigenen IT-Abteilung.
  3. Deinstallation von Software, die nicht (mehr) benötigt wird, erfolgt ausschließlich durch die Mitarbeiter der eigenen IT-Abteilung.

[Autor: Thomas Schmidt, Telefonbau Arthur Schwabe GmbH & Co. KG]


60 Sekunden für mehr Informationssicherheit

Was Betreiber einer Website beachten müssen

Bis vor Kurzem war das Telemediengesetz (TMG) die rechtliche Grundlage für das Betreiben von Websites in Deutschland. Dieses Gesetz wurde nun durch das endgültige Inkfrafttreten der EU-Datenschutzgrundverordnung (DSGVO) verdrängt. Zusätzlich zum TMG mussten Datenschutzbeauftragte bislang die ePrivacy-Richtlinie beachten. Sie gilt auch in Zukunft – aber in einer neuen Fassung, was einige Änderungen beim Datenschutz für Websites nach sich zieht.

Diese grundsätzliche Rechtslage hat sich auch durch die DSGVO nicht geändert, denn deren Erwägungsgrund 30 stellt klar, dass IP-Adressen als „Online-Kennungen“ und damit als personenbezogene Daten zu betrachten sind. Da selbst bei einem reinen Lesezugriff auf eine Homepage automatisch die IP-Adresse des Besuchers übermittelt wird, fällt allein deswegen das Bereitstellen einer Website in den Geltungsbereich der DSGVO.

Was müssen Sie als Betreiber einer Website beachten?

  1. Sorgen Sie dafür, dass Ihre Website verschlüsselt ist.
  2. Überarbeiten Sie Ihre Datenschutzerklärung.
  3. Überprüfen Sie alle Formulare auf Ihrer Website (SSL-Protokoll).
  4. Überprüfen Sie alle Social-Media-Plugins und ggf. eingebettete Videos oder Bildmaterial.
  5. Checken Sie Ihr Statistik-Tool.
  6. Informieren Sie über auf der Website verwendete Cookies.
  7. Bringen Sie Ihren Newsletter auf den neuesten Stand (Kopplungsverbot beachten!).
  8. Prüfen Sie, ob mit Ihrem Webhoster ein Vertrag zur Auftragsverarbeitung geschlossen werden muss.

[Autor: Thomas Schmidt, Telefonbau Arthur Schwabe GmbH & Co. KG]


60 Sekunden für mehr Informationssicherheit

Zehn goldene Regeln für den Alltag

Mit wachsender Durchdringung der Geschäftsprozesse durch die Informationstechnik (IT) erhöht sich auch die Abhängigkeit der Unternehmen bezüglich der Verfügbarkeit und Integrität der ITSysteme, Anwendungen sowie der Daten und Informationen. Daraus ergibt sich die Notwendigkeit, diese vor unzulässiger und unsachgemäßer Nutzung sowie Missbrauch, Verlust, Preisgabe, Zerstörung und Manipulation zu schützen.

Hier nun ein kleines Regelwerk zur Einhaltung oben genannter Notwendigkeiten, das selbstverständlich ausformuliert in einer entsprechenden Unternehmensrichtlinie dokumentiert werden muss.

Die „10 goldenen Regeln“ des Datenschutzes und der Informationssicherheit:

  1. Machen Sie sich mit Ihren Ansprechpartnern im Umfeld des Datenschutzes und der Informationssicherheit vertraut.
  2. Sicherheitsrelevante Vorfälle sind direkt an den zuständigen Verantwortlichen zu melden.
  3. Halten Sie Ihre persönlichen PINs und Passwörter immer streng geheim. Ändern Sie diese sofort, wenn Sie den Verdacht haben, dass Ihr Passwort bekannt geworden ist.
  4. Teilen Sie mit niemandem vertrauliche Informationen – es sei denn, dass Sie sicher sind, dass der Empfänger hierzu auch berechtigt ist.
  5. Öffnen Sie niemals E-Mails von unbekannten Absendern.
  6. Machen Sie sich mit der Klassifizierung aller Informationen, mit denen Sie arbeiten, vertraut und sichern Sie Ihre Daten entsprechend.
  7. Sorgen Sie stets für einen sicheren Umgang mit vertraulichen und geheimen Informationen.
  8. Schließen Sie vertrauliche und geheime Informationen immer ein, wenn Sie den Arbeitsplatz verlassen.
  9. Sperren Sie immer Ihren PC, wenn Sie Ihren Arbeitsplatz verlassen und schließen Sie ggf. Ihr Büro ab.
  10. Halten Sie geeignete Sicherheitsstandards ein, wenn Sie sich über den Remote-Zugang einwählen.

[Autor: Thomas Schmidt, Telefonbau Arthur Schwabe GmbH & Co. KG]


60 Sekunden für mehr Informationssicherheit

Hallo123 – Beherrschen Sie den Passwortwahnsinn!

Jeder kennt den Rat: Nutzen Sie sichere Passwörter und verwenden Sie für jede Anwendung ein anderes Passwort. Der Rat kommt nicht von ungefähr: Die Top-3-Passwörter im Jahr 2017 waren: „hallo“, „passwort“ und „hallo123“. Doch was tun? Viele Unternehmen schaffen Passwortregeln (Mindestlänge, Groß-/Kleinschreibung, Ziffern, Sonderzeichen etc.), um Trivialpasswörter zu unterbinden – mit dem Ergebnis, dass Post-its am Monitor und unter der Tastatur kleben. Sicherheit sieht anders aus. Mit dem Aufstellen der Regeln ist es eben nicht getan.

Es müssen auch Tipps her, die den ganzen Passwort-Wahnsinn beherrschbar machen. Zwei davon erhalten Sie heute hier:

  1. Nutzen Sie keine Wörter, sondern Sätze wie Liedzeilen oder Zitate, bei denen Sie die Anfangsbuchstaben unter Beachtung der Groß-/Kleinschreibung aneinanderreihen. Beispiel gefällig? Hier hat sich ein Hit versteckt: AddN,b1nTe! (Tipp: Helene Fischer).
  2. Nutzen Sie Passwort-Manager. Das sind kleine Programme, die Sie als App auf Ihrem PC oder Smartphone überall dabei haben und die Ihre Passwörter, geschützt wie in einem Tresor, enthalten. Sie müssen sich nur ein einziges Passwort merken: das für Ihren Tresor. Aber bitte erstellen Sie eines unter Beachtung von Tipp 1.

[Autor: Sebastian Brose, VdS Schadenverhütung GmbH]