Gesammeltes Wissen

60 Sekunden für mehr Informationssicherheit

Wenn ein lieber Mensch von uns geht, sind wir nicht nur mit unserer Trauer konfrontiert, sondern müssen, wenn es um nahe Verwandte geht, auch noch viel Bürokratie erledigen. Gut, wenn der Verstorbene schon zu Lebzeiten einiges organisiert hat und man selbst nicht alles entscheiden oder suchen muss. Ein Testament kann bei Vielem eine große Hilfe sein. Doch je mehr Menschen im digitalen Zeitalter Dienste und Services online nutzen, desto schwieriger wird die Nachlassverwaltung.

Viele kennen das ja von sich selbst: „Oh, das ist aber ein gutes Angebot, da schließe ich mal ein (Probe-)Abo bei Dienst XY ab.“ – Sollte uns dann etwas zustoßen, werden die Hinterbliebenen wohl nur in den seltensten Fällen die Kundennummern und Passwörter für die gebuchten Dienste kennen. Wer von uns könnte auf einen Schlag alle Verträge, Abos und andere Verpflichtungen aufzählen, die er derzeit laufen hat? Wahrscheinlich niemand. Wie sollen das denn nur unsere Hinterbliebenen schaffen?

Je mehr wir digitale Angebote nutzen, zu denen es in 90 Prozent der Fälle nur Mail-Verkehr gibt und kein Papierstück, desto wichtiger wird es, Kundennummern oder Zugangsdaten an einem sicheren Ort für anvertraute Personen zu deponieren, damit diese im schlimmsten Fall schnell Zugriff darauf haben und diese ganze Bürokratie etwas geordneter angehen können. Denn es fühlt sich schon ein wenig falsch an, in privaten Mails und Unterlagen eines lieben verstorbenen Menschen herumzuwühlen, bis man einen eventuell geschlossenen Vertrag findet, von dem man nichts weiß.

Es kostet nicht viel Zeit, die Daten für jedes neue Angebot, für das man sich angemeldet hat, schriftlich festzuhalten (ein einfaches Word-Dokument genügt). Diese Infos werden in ausgedruckter Form an einem zentralen Ort gesammelt, zum Beispiel bei den Steuerunterlagen. Wenig Aufwand für uns, aber eine riesige Hilfe für Hinterbliebene, die sowieso schon genug Schmerz verkraften müssen. – Oder möchten Sie selbst ständig bei Facebook oder Xing von Ihren Verstorbenen angelächelt werden, weil niemand deren Profile abmelden oder löschen kann?

[Autorin: Katja Eicher, VdS Schadenverhütung GmbH]

Nicht allzu selten sehen wir diesen Spruch oder ähnliche Mitteilungen auf unserem Monitor genau in dem Moment, in dem wir Feierabend machen wollen, in einem Meeting sitzen und eine Präsentation halten müssen oder einfach schnell etwas nachgucken wollen. Aber nicht nur auf der Arbeit werden wir mit diesen nervigen Updates konfrontiert. Das Ganze geht privat auf unseren Smartphones weiter: „Wir haben Änderungen eingepflegt. Bitte laden Sie sich die neueste App aus dem App-Store, damit Sie unseren Service wie gewohnt nutzen können.“ Oder die berüchtigte Meldung: „Optimiere WhatsApp“, genau in dem Moment, in dem wir unseren Bekannten schreiben wollten, wo wir uns treffen …

Nervig, aber mehr als notwendig! Auch für Ihre eigenen Daten! Täglich werden unzählige neue Schwachstellen in Systemen, Software oder eben in den Apps entdeckt. Damit Kriminelle diese Einfallstore nicht ausnutzen können, bringen die Hersteller regelmäßig Updates oder Sicherheitspatches heraus. Je nach Dringlichkeit der Sicherheitslücke werden diese Updates entweder dem Nutzer zur freiwilligen Nutzung zur Verfügung gestellt oder ungefragt zwangsweise eingespielt.

Schützen Sie Ihre Daten und die Daten Ihres Unternehmens und führen Sie regelmäßig Updates durch! Kleiner Tipp: Reservieren Sie für sich einmal in der Woche ein Zeitfenster für Updates. Schauen Sie in dieser Zeit nach, ob Updates für Ihren PC oder Ihr Smartphone vorhanden sind, und installieren Sie diese sofort, dann werden Sie auch nicht zu den ungünstigsten Zeiten von den kleinen nervigen Benachrichtigungen auf Ihrem Bildschirm gestört. Für das Smartphone klappt das beispielsweis super am Sonntagabend auf der Couch, während der Tatort läuft. Da braucht man das Ding sowieso nicht.

[Autorin: Katja Kern, VdS Schadenverhütung GmbH]

Durch die europäische Datenschutzgrundverordnung (DSGVO) werden die Unternehmen verpflichtet, ein Datenschutzmanagement zu etablieren, welches den Schutz der personenbezogenen Daten in Unternehmen sicherstellen soll.

Mit dem Sammelbegriff Datenschutzmanagement werden alle Prozesse bezeichnet, die notwendig sind, um die Umsetzung der gesetzlichen Anforderungen des Datenschutzes bei der Planung, Einrichtung, dem Betrieb und nach der Deaktivierung von Verfahren zur Informationsverarbeitung sicherzustellen.

Folgende Aktivitäten sollten hierbei beachtet bzw. umgesetzt werden:

  • Zuweisung von Verantwortlichkeiten (Topmanagement usw.)
  • Bestellung und Meldung des Datenschutzbeauftragten
  • Zusammenstellen eines Datenschutz-Teams
  • Erstellen einer zentralen Datenschutz-Leitlinie
  • Erstellen der Datenschutz-Richtlinien wie z. B.:
    • Umgang mit personenbezogenen Daten
    • Zutritts-, Zugangs- und Zugriffsrichtlinien
    • Abwesenheitsregelungen (Zugang zum Datenbestand des Abwesenden)
    • Richtlinie für die Nutzung von Home Office
    • Integration privater IT-Systeme (Bring Your Own Device/BYOD)
  • Schulung/Sensibilisierung der Mitarbeiter
  • Erstellen eines Verarbeitungsverzeichnisses
  • Prozess zur Bearbeitung von Datenpannen
  • Datenmanagement (Aufbewahrungs-/Löschfristen)
  • Erstellen und Umsetzen von technischen und organisatorischen Maßnahmen
    • Passwortrichtlinien
    • Datenschutzfolien für Bildschirme
    • Verschlüsselung von Festplatten
    • usw.

Bei der Umsetzung dieser Aktivitäten für den Einsatz eines DSGVO-konformen Datenschutzmanagements können Ihnen die VdS-Richtlinien zur Umsetzung der DSGVO (VdS 10010) behilflich sein.

Um sich ein aktuelles Bild des Datenschutzniveaus in Ihrem Unternehmen zu machen, empfehle ich Ihnen den VdS-Quick-Check unter www.vds-quick-check.de.

[Autor: Thomas Schmidt, Telefonbau Arthur Schwabe GmbH & Co. KG]

Immer häufiger werden Cyber-Angriffe unter Verwendung von E-Mails durchgeführt. Entweder enthalten diese Nachrichten bereits selbst Schadsoftware (versteckt in einer unbedenklich erscheinenden Datei) oder sie sollen die Empfänger dazu verleiten, einen „bösartigen“ Link zu nutzen, um so Schadsoftware herunterzuladen und auszuführen. Neben den technischen Möglichkeiten des Mail-Filterns ist ein geschärftes Sicherheitsbewusstsein der Nutzer ein wichtiger Baustein zum Schutz von Unternehmen.

Hier finden Sie einige Tipps, um gefälschte E-Mails zu erkennen:

  1. Achten Sie auf die Anrede in der Mail, häufig finden Sie hier schon Ansätze (z. B. „sehr geehrtes Damen und Herr“). Die Anreden sind oft unpersönlich und/oder fehlerhaft.

  2. Achten Sie generell auf Rechtschreibung und Grammatik. Oftmals sind diese gefälschten Mails in einem schlechten Deutsch geschrieben.

  3. Achten Sie genau auf den Absender der Mail: Erwarten Sie von diesem Absender eine E-Mail mit diesem Inhalt? Stimmt die Adresse exakt?

  4. erfen Sie einen Blick auf die Signatur: Passt diese zum Absender der Mail und seinem Unternehmen?

  5. Sehen Sie sich die Betreffzeile an. Oftmals werden Formulierungen genutzt, die den Empfänger verunsichern oder verängstigen sollen, z. B. „Ihr Konto ist abgelaufen“ oder „Ihr Passwort ist unsicher und wurde geändert“.

  6. Ist der Sachverhalt der E-Mail nachvollziehbar? Oder erwarten Sie von Ihrem Kollegen überhaupt keine Rechnung?

  7. Sofern Sie aufgefordert werden, persönliche Daten wie z. B. PINs, Passwörter oder Ähnliches einzugeben, sollten Sie dies auf keinen Fall machen, denn „echte“ Unternehmen fragen diese Daten nicht per Mail ab.

Sofern Sie bei einem oder mehreren der oben genannten Punkte stutzig werden, handelt es sich mit hoher Wahrscheinlichkeit um eine gefälschte Mail. Informieren Sie hierüber Ihren Sicherheitsbeauftragten und öffnen Sie niemals Anhänge solcher Mails. Sprechen oder schreiben Sie ggf. den vermeintlichen Absender an – aber keinesfalls via „Antworten“-Funktion!

[Autor: Thomas Schmidt, Telefonbau Arthur Schwabe GmbH & Co. KG]

Mobile Computer (meist Notebooks genannt) sind bei vielen Mitarbeitern nicht mehr aus dem Arbeitsalltag wegzudenken. Um das Risiko eines Datenverlustes zu verringern, sind nachfolgende Regeln eine sinnvolle Vorgabe für Ihre Sicherheits-Policy.

A) Absicherung des Gerätes gegen unbefugten Zugriff

  1. Sperrung des Geräts mithilfe einer PIN oder eines Kennworts.
  2. Automatische Sperrung des Geräts bei Inaktivität.
  3. Der eingebaute Datenträger (Festplatte/SSD) des Geräts sollte verschlüsselt sein, falls sensible Daten darauf gespeichert werden.
  4. Das Gerät ist stets sicher zu verwahren und sollte nicht an Dritte weitergegeben werden, insbesondere nicht im entsperrten Zustand.
  5. Bei Verwendung von öffentlichen, ungesicherten Netzen (z. B. WLAN-Hotspots) muss eine sichere, verschlüsselte Verbindung genutzt werden (z. B. VPN).
  6. Die Nutzung und der Anschluss von Datenträgern und Geräten aus unbekannter Herkunft sind erst nach erfolgter Überprüfung auf Schadsoftware gestattet.

B) Umgang mit Betriebssystem und Software

  1. Regelmäßiges Aktualisieren des Betriebssystems und aller installierten Programme.
  2. Installation von Software nur aus vertrauenswürdigen Quellen (z. B. Hersteller-Website) und nur nach Rückfrage bei oder Informationsaustausch mit der eigenen IT-Abteilung.
  3. Deinstallation von Software, die nicht (mehr) benötigt wird, erfolgt ausschließlich durch die Mitarbeiter der eigenen IT-Abteilung.

[Autor: Thomas Schmidt, Telefonbau Arthur Schwabe GmbH & Co. KG]

Bis vor Kurzem war das Telemediengesetz (TMG) die rechtliche Grundlage für das Betreiben von Websites in Deutschland. Dieses Gesetz wurde nun durch das endgültige Inkfrafttreten der EU-Datenschutzgrundverordnung (DSGVO) verdrängt. Zusätzlich zum TMG mussten Datenschutzbeauftragte bislang die ePrivacy-Richtlinie beachten. Sie gilt auch in Zukunft – aber in einer neuen Fassung, was einige Änderungen beim Datenschutz für Websites nach sich zieht.

Diese grundsätzliche Rechtslage hat sich auch durch die DSGVO nicht geändert, denn deren Erwägungsgrund 30 stellt klar, dass IP-Adressen als „Online-Kennungen“ und damit als personenbezogene Daten zu betrachten sind. Da selbst bei einem reinen Lesezugriff auf eine Homepage automatisch die IP-Adresse des Besuchers übermittelt wird, fällt allein deswegen das Bereitstellen einer Website in den Geltungsbereich der DSGVO.

Was müssen Sie als Betreiber einer Website beachten?

  1. Sorgen Sie dafür, dass Ihre Website verschlüsselt ist.
  2. Überarbeiten Sie Ihre Datenschutzerklärung.
  3. Überprüfen Sie alle Formulare auf Ihrer Website (SSL-Protokoll).
  4. Überprüfen Sie alle Social-Media-Plugins und ggf. eingebettete Videos oder Bildmaterial.
  5. Checken Sie Ihr Statistik-Tool.
  6. Informieren Sie über auf der Website verwendete Cookies.
  7. Bringen Sie Ihren Newsletter auf den neuesten Stand (Kopplungsverbot beachten!).
  8. Prüfen Sie, ob mit Ihrem Webhoster ein Vertrag zur Auftragsverarbeitung geschlossen werden muss.

[Autor: Thomas Schmidt, Telefonbau Arthur Schwabe GmbH & Co. KG]

Mit wachsender Durchdringung der Geschäftsprozesse durch die Informationstechnik (IT) erhöht sich auch die Abhängigkeit der Unternehmen bezüglich der Verfügbarkeit und Integrität der ITSysteme, Anwendungen sowie der Daten und Informationen. Daraus ergibt sich die Notwendigkeit, diese vor unzulässiger und unsachgemäßer Nutzung sowie Missbrauch, Verlust, Preisgabe, Zerstörung und Manipulation zu schützen.

Hier nun ein kleines Regelwerk zur Einhaltung oben genannter Notwendigkeiten, das selbstverständlich ausformuliert in einer entsprechenden Unternehmensrichtlinie dokumentiert werden muss.

Die „10 goldenen Regeln“ des Datenschutzes und der Informationssicherheit:

  1. Machen Sie sich mit Ihren Ansprechpartnern im Umfeld des Datenschutzes und der Informationssicherheit vertraut.
  2. Sicherheitsrelevante Vorfälle sind direkt an den zuständigen Verantwortlichen zu melden.
  3. Halten Sie Ihre persönlichen PINs und Passwörter immer streng geheim. Ändern Sie diese sofort, wenn Sie den Verdacht haben, dass Ihr Passwort bekannt geworden ist.
  4. Teilen Sie mit niemandem vertrauliche Informationen – es sei denn, dass Sie sicher sind, dass der Empfänger hierzu auch berechtigt ist.
  5. Öffnen Sie niemals E-Mails von unbekannten Absendern.
  6. Machen Sie sich mit der Klassifizierung aller Informationen, mit denen Sie arbeiten, vertraut und sichern Sie Ihre Daten entsprechend.
  7. Sorgen Sie stets für einen sicheren Umgang mit vertraulichen und geheimen Informationen.
  8. Schließen Sie vertrauliche und geheime Informationen immer ein, wenn Sie den Arbeitsplatz verlassen.
  9. Sperren Sie immer Ihren PC, wenn Sie Ihren Arbeitsplatz verlassen und schließen Sie ggf. Ihr Büro ab.
  10. Halten Sie geeignete Sicherheitsstandards ein, wenn Sie sich über den Remote-Zugang einwählen.

[Autor: Thomas Schmidt, Telefonbau Arthur Schwabe GmbH & Co. KG]

Jeder kennt den Rat: Nutzen Sie sichere Passwörter und verwenden Sie für jede Anwendung ein anderes Passwort. Der Rat kommt nicht von ungefähr: Die Top-3-Passwörter im Jahr 2017 waren: „hallo“, „passwort“ und „hallo123“. Doch was tun? Viele Unternehmen schaffen Passwortregeln (Mindestlänge, Groß-/Kleinschreibung, Ziffern, Sonderzeichen etc.), um Trivialpasswörter zu unterbinden – mit dem Ergebnis, dass Post-its am Monitor und unter der Tastatur kleben. Sicherheit sieht anders aus. Mit dem Aufstellen der Regeln ist es eben nicht getan.

Es müssen auch Tipps her, die den ganzen Passwort-Wahnsinn beherrschbar machen. Zwei davon erhalten Sie heute hier:

  1. Nutzen Sie keine Wörter, sondern Sätze wie Liedzeilen oder Zitate, bei denen Sie die Anfangsbuchstaben unter Beachtung der Groß-/Kleinschreibung aneinanderreihen. Beispiel gefällig? Hier hat sich ein Hit versteckt: AddN,b1nTe! (Tipp: Helene Fischer).
  2. Nutzen Sie Passwort-Manager. Das sind kleine Programme, die Sie als App auf Ihrem PC oder Smartphone überall dabei haben und die Ihre Passwörter, geschützt wie in einem Tresor, enthalten. Sie müssen sich nur ein einziges Passwort merken: das für Ihren Tresor. Aber bitte erstellen Sie eines unter Beachtung von Tipp 1.

[Autor: Sebastian Brose, VdS Schadenverhütung GmbH]

phone_icon
+49 (0) 221 7766 - 6452
fax_icon
+49 (0) 221 7766 - 109
nach oben
Top