 |
|||||||||||||||||||||||||||||||||||||||||||
Nr. 1 / Januar 2008 |
|||||||||||||||||||||||||||||||||||||||||||
ISSN 1424-4217 |
|||||||||||||||||||||||||||||||||||||||||||
|
 Dringender Handlungsbedarf für Inhaber von Datensammlungen: Ein Datenschutzverantwortlicher ist zu benennen Das revidierte Datenschutzgesetz (DSG), das am 01.01.2008 in Kraft getreten ist, verpflichtet einerseits den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), ein Register der Datensammlungen zu führen und andererseits Inhaber von Datensammlungen, diese bereits vor der Eröffnung zur Registrierung dann anzumelden, wenn sie regelmässig besonders schützenswerte Personendaten oder Persönlichkeitsprofile bearbeiten oder regelmässig Personendaten an Dritte bekannt geben. Auch bereits bestehende derartige Datensammlungen unterliegen dieser neuen Gesetzesbestimmung: Sie müssen gemäss Art. 38 des revidierten. DSG vom Inhaber spätestens ein Jahr nach Inkrafttreten dieses Gesetzes zur Registrierung angemeldet werden, d.h. bis Ende 2008. Zwang zur Registrierung Industrie- und Handelsbetriebe egal welcher Grösse erfassen regelmässig Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen (sog. Personendaten), bewahren diese auf und verwenden sie dann für vielfältigste Zwecke. Unter den erfassten Daten finden sich auch sogenannte besonders schützenswerte Personendaten, d.h. Daten, die religiöse, weltanschauliche, politische, gewerkschaftliche Angaben und/oder Angaben über die Gesundheit, Intimsphäre, die Rassenzugehörigkeit, Massnahmen der sozialen Hilfe, administrative, strafrechtliche Verfolgungen und/oder über Sanktionen von bestimmten oder bestimmbare Personen enthalten. Eine Datensammlung liegt dann vor, wenn der erfasste Bestand von Personendaten so aufgebaut ist, dass er auf mehr als eine Person Bezug nimmt und die Daten nach betroffenen Personen erschlossen werden können. Datensammlungen mit obigen Merkmalen müssen also gemäss Art. 38 DSG vom Inhaber beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten zur Registrierung angemeldet werden. Ausnahmen von der Registrierungspflicht Der Inhaber von Datensammlungen muss seine Sammlungen dann nicht anmelden, wenn er Daten aufgrund einer gesetzlichen Verpflichtung bearbeitet oder Art. 11a DSG sowie Art. 4 VDSG zum Zuge kommen. Die wichtigste und entscheidende Ausnahme von der Anmeldepflicht ergibt sich jedoch aus Art. 11a, Abs. 5, lit.e DSG: Der Inhaber muss Datensammlungen dann nicht anmelden, wenn er einen Datenschutzverantwortlichen bezeichnet hat, der unabhängig die betriebsinterne Einhaltung der Datenschutzvorschriften überwacht und ein Verzeichnis der Datensammlungen führt. Diese Ausnahme soll die Selbstregulierung fördern. Aufgaben des Datenschutzverantwortlichen Art. 12b VDSG umschreibt die Aufgaben und die Stellung des Datenschutzverantwortlichen: Um seine Aufgaben effizient erfüllen zu können, muss der Datenschutzverantwortliche über fundierte Fachkenntnisse (zum Mindesten umfassende Kenntnisse der Datenschutzgesetzgebung, der technischen Standards, der Organisation des Inhabers der Datensammlung sowie der Einzelheiten der durch diesen veranlassten Bearbeitungen von Personendaten) verfügen. Zudem darf der Datenschutzverantwortliche keine anderen Tätigkeiten ausüben, die mit seinen Aufgaben als Datenschutzverantwortlicher unvereinbar sind. Zu den Aufgaben des Datenschutzverantwortlichen gehören die Beratung, Ausbildung, Sensibilisierung und Kontrolle der Mitarbeiter des Unternehmens. Er begutachtet alle Projekte und Massnahmen, welche den Datenschutz betreffen; daraus folgt, dass der Inhaber der Datensammlung ihn jeweils konsultieren muss, bevor eine neue Datenbearbeitung begonnen wird. Der Datenschutzberater muss dem Inhaber der Datensammlung Korrekturmassnahmen empfehlen, wenn er feststellt, dass Datenschutzvorschriften verletzt wurden und darf bezüglich der fachlichen Ausübung seiner Funktion keinen Weisungen unterliegen. Der Inhaber der Datensammlung darf nicht in die Erfüllung der Aufgaben des Datenschutzverantwortlichen eingreifen. Die Stellung im Unternehmen muss es dem Datenschutzverantwortlichen erlauben, seine Aufgaben ohne Interessenkonflikte wahrzunehmen und ohne dass Druck auf ihn ausgeübt wird. Der Inhaber der Datensammlung kann einen Mitarbeiter oder einen aussenstehenden Dritten als Datenschutzverantwortlichen bezeichnen, der diese Anforderungen erfüllt. Interner vs externer Datenschutzverantwortlicher Die Einsetzung eines betriebsinternen Mitarbeiters wird aber wegen der geforderten Unabhängigkeit oft schwer umzusetzen sein. Ein aussenstehender Dritter wird den Grundsatz der Unabhängigkeit besser gewährleisten können, weil er mögliche Interessenkonflikte gelassener angehen kann.Interessenkonflikte sind auch dann kaum zu vermeiden, wenn der Datenschutzberater Direktionsmitglied ist, und/oder wenn er Funktionen in Bereichen wie Personalführung, der Informationssystemverwaltung oder der Informationstechnologien ausübt oder wenn er zu einer Dienststelle gehört, die besonders schützenswerte Daten bearbeitet. Der Grundsatz der Unabhängigkeit muss nicht nur vom Inhaber der Datensammlung, sondern auch vom Datenschutzverantwortlichen selbst befolgt werden. Er ist dazu verpflichtet, auf jede Tätigkeit zu verzichten, die mit den Aufgaben, die er für den Inhaber der Datensammlung erfüllt, in einen Konflikt geraten könnte. Der Inhaber von Datensammlungen tut gut daran, dieses Konfliktpotential bei der Ernennung eines Datenschutzverantwortlichen zu berücksichtigen. Er wird dabei zur Einsicht kommen, dass ein Dritter besser geeignet ist (insbesondere bezüglich Umgang mit den Mitarbeitern des Unternehmens), den vom Gesetz verlangten Grundsatz der Unabhängigkeit auch beim Vollzug der Vorschriften umzusetzen. Ein Dritter wird wegen seiner Spezialisierung auch meistens fachlich besser qualifiziert sein. Für den Inhaber von Datensammlungen besteht, für welche Lösung er sich auch bei der Ernennung auch entscheiden mag, und unabhängig davon, ob Datensammlungen bereits bestehen oder neu eröffnet werden sollen, dringender Handlungsbedarf. Es muss darauf hingewiesen werden, dass gemäss Art. 34 DSG diejenigen Inhaber von Datensammlungen mit Haft oder mit Busse bestraft werden, die vorsätzlich die Anmeldung von Datensammlungen unterlassen oder dabei vorsätzlich falsche Angaben machen. Dass diese Verletzung von Meldepflichten ein Offizialdelikt ist (d.h., eine Verletzung der Meldepflicht ist von Amtes wegen und nicht „bloss“ auf Antrag hin zu bestrafen) weist auf die Wichtigkeit hin, die der Gesetzgeber dem neuen Gesetzesartikel beimisst und verstärkt so den Handlungsdruck auf Inhaber von Datensammlungen. Was ist zu tun? Der Inhaber ist also wahlweise verpflichtet, sobald wie möglich • neue Datensammlungen vor deren Eröffnung bzw. bereits bestehende Datensammlungen bis Ende 2008 beim EDÖB zur Registrierung anzumelden oder aber • einen internen / externen Datenschutzverantwortlicher nu bezeichnen. Als Datenschutzspezialisten sind wir bestens qualifiziert, Inhaber von Datensammlungen oder deren Vertreter bei deren Entscheidfindung beratend beizustehen. Bei der Problemlösung werden in Zusammenarbeit mit Ihnen v.a. folgende Fragen zu beantworten sein: 1. Enthalten Ihre Datensammlungen besonders schützenswerte Personendaten oder Persönlichkeitsprofile? 2. Werden diese besonders schützenswerten Personendaten oder Persönlichkeitsprofile regelmässig bearbeitet? 3. Werden Personendaten regelmässig an Dritte weitergegeben? 4. Besteht überhaupt eine Anmeldungspflicht zur Registrierung? 5. Legt im Einzelfall eine Ausnahme von dieser Pflicht zur Anmeldung zur Registrierung vor? 6. Rechtfertigt es sich im Einzelfall, eine Datensammlung nicht zur Registrierung anzumelden und deshalb einen Datenschutzverantwortlichen zu bezeichnen? 7. Soll ein Mitarbeiter des Inhabers der Datensammlung als Datenschutzverantwortlicher bezeichnet werden? 8. Gibt es betriebsintern Mitarbeiter, die über die nötigen Fachkenntnisse verfügen und zudem die Funktion betriebsintern unabhängig ausüben können? 9. Soll ein Dritter mit dieser Funktion betraut werden? Selbstverständlich sind wir gerne bereit, die Funktion eines Datenschutzverantwortlichen für Sie zu übernehmen. Sollten Sie zu diesem Thema Fragen haben, können gerne Sie mit unserem CEO Herrn Reto Zbinden einen Besprechungstermin vereinbaren. Quelle: Swiss Infosec AG, 8.1.08 < zu den Themen Volumen der internen Sicherheitsverstösse massiv gestiegen: Oft fehlen die Grundlagen Eine Studie in Kooperation zwischen der Fachzeitschrift InfoWeek und dem Unternehmen Steria Mummert zur Lage der IT-Sicherheit in deutschen Unternehmen im Jahre 2007 hat gezeigt, dass sehr oft in Organisationen die Grundlagen zu diesem Themenkreis in Organisationen fehlen und dass ein Drittel aller IT-Sicherheitsverstösse von den eigenen Mitarbeitern verursacht werden. Damit hat sich der Anteil der "hausgemachten" Sicherheitsprobleme seit 2006 annähernd verdoppelt. Zwar gelten Hacker, die Viren und Trojaner einschleusen, immer noch als Problemquelle Nummer eins. Immer häufiger sind allerdings Mitarbeiter beteiligt, die unbewusst bösartige Programme aktivieren. Die Sicherheitslücken entstehen vor allem, weil das Zusammenspiel zwischen Mensch und Technik nicht immer funktioniert. IT-Sicherheit ist nicht nur eine technische Frage: Um einen vollständigen Schutz vor unbefugten Zugriffen oder Datenverlust zu gewährleisten, müssen technische Sicherheitsmassnahmen und korrekte Bedienung nahtlos ineinandergreifen. Viele Unternehmen sehen sich im Umgang mit dieser menschlichen Komponente mit Problemen konfrontiert. Denn Voraussetzung dafür, dass alle Mitarbeiter sich korrekt verhalten, ist eine regelmässige Schulung. Doch vielerorts fehlen hierfür noch die Grundlagen. Zwar geben vier von fünf Unternehmen an, ihre Mitarbeiter über Sicherheitsvorschriften zu informieren. Allerdings hat nicht einmal die Hälfte der Unternehmen ihre Sicherheitsanforderungen auch nur teilweise schriftlich festgehalten. Wie schnell sensible Daten nach aussen gelangen können, zeigt sich beispielsweise in der Anzahl mobiler Systeme, die Zugriff auf das Firmennetzwerk haben. Dazu gehören unter anderem Notebooks, Handhelds und Mobiltelefone. Im Durchschnitt haben 32 Prozent der Mitarbeiter ins Netzwerk eingebundene Laptops im Einsatz. Einen PDA verwendet immerhin noch etwa jeder zehnte Mitarbeiter. Diese Fernzugriffe auf das Unternehmensnetzwerk stellen für die Unternehmen ein hohes Sicherheitsrisiko dar. Zusätzlich zu den Gefahren, denen ohnehin jeder Rechner ausgesetzt ist, kommen bei mobilen Geräten noch die Risiken einer unzureichenden Verschlüsselung und des einfacheren unbefugten Zugangs hinzu. Es gibt aber auch Positives zu vermelden. Zumindest ein Teil der Mitarbeiter hat ein gesteigertes Sicherheitsbewusstsein entwickelt: In 35 Prozent aller Fälle hat ein Mitarbeitender auf versuchte Hackerangriffe hingewiesen oder verdächtige Dateianhänge gemeldet. Zwei Jahre zuvor lag dieser Anteil noch bei weniger als 25 Prozent. Die Mehrheit der IT-Angriffe (55 Prozent) wird jedoch nach wie vor durch die Analyse von Server- beziehungsweise Firewall-Protokollen aufgedeckt. Quelle: presseportal.de; 6.12.07; Jörg Forthmann < zu den Themen Eine andere Sicht auf die Probleme des Jahres 2007: Gefahrenanalyse und Vorschau mittels sieben Sicherheitskategorien Der IT-Ausrüster Cisco stellt seinen ersten Jahresbericht zur globalen Lage der IT-Sicherheit vor. Der "Cisco 2007 Annual Security Report" gibt eine kompakte Übersicht über die wichtigsten Sicherheitsvorfälle des vergangenen Jahres. Ferner zeigt die weltweite Bedrohungsentwicklung auf und wagt Prognosen für das Jahr 2008. Die zunehmend globale Natur von Angriffen auf IT-Systeme scheint eine der wichtigsten Erkenntnisse dieses Reports zu sein. Der Trend zum Web 2.0 und die rasche Verbreitung IP-basierter Kommunikationsmodelle bieten Kriminellen immer neue Angriffspunkte. IT-Sicherheit, so warnen die Autoren des Reports, sei heute nicht mehr nur ein Kampf gegen Viren und Spam. Organisationen müssten sich vielmehr verstärkt auch auf politisch motivierte Identitätsdiebstahl- und Denial-of-Service-Angriffe einstellen. Als Beispiel werden die Attacken russischer Hacker-Gangs auf IT-Systeme im Nachbarland Estland genannt. Sie waren eine Reaktion auf die Entfernung eines Denkmals aus Sowjet-Zeiten im Frühjahr 2007. Im Gegensatz zu den meisten Jahresendberichte zum Thema IT-Sicherheit fokussiert dieser Bericht nicht auf Bedrohungen der Content Security wie Viren, Würmer, Trojaner, Spam oder Phishing. Dem Cisco-Bericht liegt stattdessen ein ganzheitlicher Ansatz zugrunde, der sich methodisch auf sieben sicherheitsrelevante Kategorien stützt: Verwundbarkeit von IT-Systemen, physische Bedrohungen, Legalitäts-, Vertrauens- und Identitätsaspekte, der Faktor Mensch sowie geopolitische Gesichtspunkte. Anhand dieser Kategorien werden systematisch die jeweiligen Schutzanforderungen herausgearbeitet, zum Beispiel Anti-Malware-Vorkehrungen, Schutz vor Datenverlust, organisationsweites Risikomanagement und Katastrophenvorsorge. Die Analysen des Berichts münden in konkrete Handlungsempfehlungen von Security-Experten der Firma Cisco. Wirtschaftsunternehmen, Regierungsorganisationen und Endverbraucher können damit den wachsenden Sicherheitsherausforderungen adäquat begegnen. Dazu gehören: regelmässige Security-Audits und enge Kollaboration der IT-Verantwortlichen mit sämtlichen Nutzergruppen innerhalb und ausserhalb der eigenen Organisation, die Sensibilisierung aller Beteiligten für Fragen der IT-Security sowie gezielte Schulungsmassnahmen sowie die breite Verankerung einer integrierten Sicherheitsstrategie auf allen Ebenen der Infrastruktur, einschliesslich Nutzer, Netzwerk, Applikationen und Daten. Den gesamten Bericht (in Englisch) finden Sie hier. Quelle: itseccity.de; 2.1.08 < zu den Themen Richtlinien zum Datenschutzmanagementsystem des neuen DSG: Die Anhörungsergebnisse werden ausgewertet Am 28. September 2007 hat der Bundesrat die Inkraftsetzung des revidierten Datenschutzrechts auf den 1. Januar 2008 beschlossen. Die Revision sieht unter anderem die Möglichkeit vor, Datenschutzzertifizierungen durchzuführen. Diese dienen der Verbesserung des Datenschutzes und der Datensicherheit. Die Durchführung von Zertifizierungen bleibt vollumfänglich privaten Zertifizierungsstellen überlassen. Da es sich um eine vollständig neue Materie handelt, wurde dafür eine eigene Verordnung (Verordnung über die Datenschutzzertifizierungen [VDSZ]) erlassen. Das revidierte Gesetz sieht folgende zwei Zertifizierungsobjekte vor: die Zertifizierung von Organisation und Verfahren des Datenschutzes (Datenschutzmanagementsystem) einerseits und die Zertifizierung von Produkten (Programme und Systeme) andererseits. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte ist beauftragt, zunächst Richtlinien über die Mindestanforderungen an das Datenschutzmanagementsystem und sodann – bis spätestens am 1. Januar 2010 – Richtlinien darüber, welche datenschutzspezifischen Kriterien im Rahmen der Zertifizierung eines Produkts mindestens zu prüfen sind, zu erlassen. Der EDÖB wird mit dem Erlass der Richtlinien betreffend die Zertifizierung von Produkten etwas zuwarten, um die gegenwärtig auf europäischer Ebene in diesem Bereich laufenden Bestrebungen zur Erarbeitung von standardisierten Vorgaben beobachten zu können. Gemäss Artikel 4 Abs. 3 VDSZ erlässt der oder die Beauftragte Richtlinien über die Mindestanforderungen an das Datenschutzmanagementsystem. Er oder sie berücksichtigt dabei internationale Normen und Standards für die Errichtung, den Betrieb, die Überwachung und die Verbesserung von Managementsystemen, insbesondere die entsprechenden ISO-Normen. Gestützt auf die Ende September 2007 definitiv verabschiedete VDSZ hat der EDÖB einen Richtlinienentwurf ausgearbeitet, der sich hauptsächlich auf die Norm ISO 27001:2005 abstützt. Angesichts der zahlreichen von der Zertifizierung betroffenen Akteure, ist am 31.10.2007 eine Anhörung sowie eine Ämterkonsultation innerhalb der Bundesverwaltung, eröffnet worden. Bis zum Ende der auf den 28. November 2007 festgelegten Anhörungsfrist sind zahlreiche Stellungnahmen eingegangen, die nun seitens EDÖB ausgewertet und bereinigt werden. Der EDÖB wird den Richtlinienentwurf im Lichte der uns gelieferten Bemerkungen und Vorschläge überarbeiten. Eine erneute Anhörung der interessierten Kreise hängt vom Ausmass der angebrachten Anpassungen ab. Die Inkraftsetzung der Richtlinien ist auf den Frühling 2008 geplant. Den erwähnten Richtlinienentwurf finden Sie hier. Quelle: www.edoeb.ch; 7.1.08 < zu den Themen Wegweiser durch die Standards: Eine Hilfestellung des deutschen BITKOM und des DIN Management und IT-Verantwortliche stellen sich oft die Frage, welches Sicherheitsniveau für ihr Unternehmen angemessen ist und wie viel sie in die IT-Sicherheit investieren müssen. Die Nutzung von gängigen IT-Sicherheitsstandards bietet eine Lösung für diese Fragen, da sie sich am Stand der Technik und der Wissenschaft orientieren und so Aktualität gewährleisten. Dies verbessert damit das Sicherheitsniveau einer Organisation ganz erheblich. Praxiserprobte Vorgehensmodelle und methodische Vereinheitlichung tragen dazu bei, dass Ressourcen eingespart und Kosten gesenkt werden können. Die Einführung, Implementierung und Beachtung solcher Standards tragen ebenso das ihre zur Erfüllung der Compliance bei. Der deutsche Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (BITKOM) und das Deutsche Institut für Normung e.V. (DIN) haben in einer gemeinsamen Publikation die verschiedenen Standards für IT-Sicherheit dargestellt und nach verschiedenen Kriterien bewertet, um so Unternehmen die Suche nach für sie relevanten IT-Sicherheitsstandards zu erleichtern. Die neue Ausgabe dieses Leitfadens finden Sie hier. Quelle: verivox.de; 3.12.07 < zu den Themen NATO als Retter?: Der Schutz vor Cyberangriffen muss umfassend sein Bei der Verteidigung des Cyberspace soll künftig die NATO eine wichtige Rolle spielen. Das unterstrichen der Präsident des Atlantic Council Fred Kempe, und der estnische Botschafter in Washington, Väino Reinart, bei der Vorstellung eines Berichts des Atlantic Council und des British North American Committee zum Thema Netzsicherheit. Das US-Verteidigungsministerium habe bei einem Treffen von NATO-Vertretern in Washington gefordert, dass die NATO die Cybersecurity zu einem zentralen Thema ihrer Arbeit machen solle, erklärte Kempe. Botschafter Reinart verwies auf die Rolle der NATO als Garant für die Sicherheit seiner Mitgliedsstaaten seit 60 Jahren. Auch wenn er bei Cyberattacken nicht gleich den "Bündnisfall" eintreten sieht, erwarte man die Erarbeitung von Strategien gegen Angriffe auf die Netze der Länder. Estland hatte diese Forderung erstmals nach den massiven Attacken auf estnische Regierungs- und Unternehmensserver im vergangenen Frühjahr erhoben. "Estland wird Ende des Jahres seine Strategie zum Thema Cybersecurity verabschieden", sagte Reinart. Zugleich soll Anfang kommenden Jahres letzte Hand an die Texte zur Schaffung des "Nato Center of Excellence in Cooperative Cyber Defense" gelegt werden. Die Teilnahme der USA an dem Center in Tallin begrüsse man sehr, sagte Reinart gestern. Laut einer Pressemitteilung der Estnischen Botschaft in Washington haben neben den Vereinigten Staaten auch Bulgarien, Deutschland, Litauen, Polen und Spanien ihre Zusammenarbeit bei der Initiative angekündigt. Sicherheitsexperten hatten nach den Attacken keine schlüssigen Hinweise auf die Täter finden können. Es sei bis heute nicht klar, wer wirklich "abgedrückt" habe, sagte Paul Kurtz, der als COO von Good Harbor Consulting verschiedene US-Präsidenten in Sachen Cybersecurity beraten hat. Daher ist es auch mit Sanktionen so eine Sache, sagten die Experten auf die Frage, welche Möglichkeiten denn die NATO in Zukunft haben könnte. Auch die Frage nach möglichen Handelsbeschränkungen und einer Ächtung der "digitalen Schurkenstaaten", etwa im Rahmen der Welthandelsorganisation, beantwortet Kurtz eher zurückhaltend. Seine Empfehlung ging eher dahin, das Risikobewusstsein bei Regierungsstellen und auch in den Chefetagen der Unternehmen zu schärfen. Wie Reinart empfahl er die Ratifizierung und – vor allem – die Umsetzung der Cybercrime Konvention des Europarates. Kurtz unterstrich mit Blick auf die globale Natur des Phänomens die Notwendigkeit internationaler Standards, die beiden ISO Standards 27001 und ISO 27002. Regierungsstellen und Unternehmensleitungen tun nach seiner Ansicht zu wenig angesichts Weiterentwicklung der Kriminalität im Netz. "Russische und chinesische Cyberkriminelle gehen ein uns aus in den Netzen von Regierungen und Unternehmen", sagte Kurtz. "Cyberkriminalität ist heute lukrativer als der gesamte Handel mit illegalen Drogen", warnte auch Paul Twomey, Präsident und CEO der Internet Corporation for Assigned Names and Numbers (ICANN), der privaten Verwaltung des Domain Name System (DNS). "Ich könnte Ihnen gleich für 25 Cent pro Maschine ein Botnetz mieten und einen Angriff nach Wunsch für Sie starten für 30.000 Euro", beschrieb Twomey die kriminellen Geschäftsmodelle. Selbst vergleichsweise einfache Attacken wie Diebstahl oder Übernahme des Domainnamens eines Unternehmens könne die Betroffenen Millionen kosten. Twomey berichtete vom Anruf eines Unternehmens, dessen Seite von einem Pornoanbieter übernommen worden war. So etwas könne teuer werden, etwa wenn man, wie in einem anderen Fall einer "verlorenen" Domain täglich für eine Viertelmillion Dollar Software verkaufe, sagte Twomey. Auf grundsätzliche Massnahmen zum Schutz der eigenen Netze, Adressressourcen und Daten verweist der vorgestellte Bericht. Die Hauptforderung dabei ist, dass Unternehmenschefs das Zepter bei der Sicherheit selbst in die Hand nehmen. Damit es keine Ausrede dafür gebe und auch Zeitmangel nicht vorgeschoben werden könne, habe man eigens eine herausnehmbare Checkliste gemacht. "Sie können diese Liste herausreissen und den Rest des Berichts vergessen", sagte Twomey. Den Bericht finden Sie hier. Quelle: heise.de; 13.12.07; Monika Ehrwert < zu den Themen Rechtssichere Archivierung in der Bundesrepublik: Leitfaden des deutschen Wirtschaftsministeriums erschienen Rechtliche und technische Unsicherheiten führen vielfach dazu, dass papiergebundene und elektronische Dokumente unnötigerweise immer noch simultan geführt und aufbewahrt werden, klagte der Leiter der Abteilung Technologiepolitik im Bundeswirtschaftsministerium (BMWi), Detlef Dauke, anlässlich einer Konferenz zur rechtssicheren elektronischen Archivierung in Berlin. "Die künftige Aktenregistratur wird das elektronische Archiv sein", erklärte Dauke und verwies auf Beispiele wie den Handelskonzern Metro, der auf dem Weg zu einem vollständig elektronischen Workflow sei, oder die Lufthansa, die qualifizierte Signaturen zur beweiskräftigen Dokumentation der Umrüstung von Flugzeugen in einem elektronischen Archivsystem einsetze. "In der Breite sind wir noch nicht so weit", bedauerte Dauke. Besonders im Mittelstand und in der öffentlichen Verwaltung sieht er noch einen grossen Handlungsbedarf. Damit Unternehmen und Verwaltungen den hohen Mehraufwand und die zusätzlichen Kosten der parallel betriebenen papiergebundenen und elektronischen Dokumentation von Geschäftsprozessen abbauen können, hat das BMWi jetzt zur Hilfestellung einen 'Handlungsleitfaden zur Aufbewahrung elektronischer und elektronisch signierter Dokumente' herausgegeben. Den entsprechenden Leitfaden finden Sie hier. Quelle: www.heise.de; Richard Sietmann; 13.12.07 < zu den Themen Neue US-SCADA-Richtlinien: Ausserplanmässige Überarbeitung Das amerikanische „National Institute of Standards and Technology“ (NIST) hat die neuen Sicherheitsrichtlinien für IT-Systeme der US-Regierung, die für industrielle Kontrollprozesse eingesetzt werden, veröffentlicht. Diese Richtlinien befinden sich in einem überarbeiteten Anhang zur Publikation NIST 800-53 mit dem Titel „Recommended Security Controls for Federal Information Systems“. Laut dem NIST war diese Überarbeitung durch die dringend benötigten Richtlinien betreffend angemessener Sicherheitsmechanismen und Gegenmassnahmen für staatliche industrielle Kontrollsysteme erforderlich geworden. Die überarbeiteten Richtlinien finden Sie hier. Quelle: infosecnews.org; 2.1.08; William Jackson < zu den Themen EU möchte, dass Telekom-Firmen Datenkompromittierungen offenlegen: Entwurf des Textes liegt vor Analog den USA, wo aber die Offenlegungspflicht bedeutend weiter geht, will die Europäische Union nun einführen, dass Telekommunikationsfirmen ihre Kunden informieren müssen, sollten deren Daten kompromittiert worden sein. Diese Offenlegungspflichten sind in den USA allgegenwärtig, jedoch gibt es warnende Stimmen, die sagen, dass das Publikum möglicherweise durch die schiere Menge der Offenlegungen abstumpfen könnte und Datenkompromittierungen als 'normal' hinnehmen könnte. Es scheint jedoch, dass dieser EU-Vorschlag sehr auf die individuellen Umstände eines Falles eingehen will und dass mögliche Gefährdungen VOR einer Information der Kunden in Betracht zu ziehen sind. Sie finden den Gesetzesvorschlag hier. Quelle: out-law.com; 5.12.07 < zu den Themen Telekommunikationsdaten-Vorratsspeicherung in der BRD: Gesetz höchst umstritten Das zu Jahresbeginn in Kraft getretene Gesetz zur Vorratsdatenspeicherung von Telekommunikationsdaten stösst bei Opposition und Datenschützern auf verschärfte Kritik. Mit der grössten Verfassungsbeschwerde in der deutschen Geschichte wollen rund 30.000 Bürger das neue Gesetz zur massenhaften Speicherung von Telefon- und Internetverbindungsdaten zu Fall bringen. Initiiert hatte die Verfassungsbeschwerde der Arbeitskreis Vorratsdatenspeicherung. Nachdem das von CDU, CSU und SPD beschlossene Gesetz zur Protokollierung der Telekommunikation der gesamten Bevölkerung im Bundesgesetzblatt verkündet worden ist, hat der Berliner Rechtsanwalt Meinhard Starostik am 31. Dezember 2007 die Verfassungsbeschwerde gegen die Datensammlung beim Bundesverfassungsgericht in Karlsruhe eingereicht. In der über 150-seitigen langen Beschwerdeschrift wurde zudem beantragt, die Datensammlung wegen "offensichtlicher Verfassungswidrigkeit" durch eine einstweilige Anordnung sofort auszusetzen. Starostik äusserte sich zuversichtlich, dass die Beschwerde Erfolg haben wird. "Die verdachtslose Überwachung, so wie sie der Gesetzgeber nun vorsieht, muss das Bundesverfassungsgericht eigentlich ablehnen", so Starostik. Es wird erwartet, dass das Bundesverfassungsgericht seine Vorgaben zur Online-Durchsuchung im ersten Quartal 2008 bekannt gibt. Das Gesetz zur Datenvorratsspeicherung wurde im November gegen den Widerstand der Opposition von der grossen Koalition verabschiedet. Begründet wird die Neuregelung mit der Sorge vor neuen Terroranschlägen. Die Bundesregierung setzt damit eine Richtlinie der Europäischen Union (EU) um. Mit dem Inkrafttreten des Gesetzes zum 1. Januar 2008 werden von nun an die Telefon- und Internetdaten aller Bundesbürger für Ermittlungszwecke gespeichert. Die Telekommunikationsunternehmen seien verpflichtet die Verbindungsdaten von Mobil- und Festnetztelefonen und dem Internet zu sammeln und ein halbes Jahr lang zu speichern. Für die Abfrage der Verbindungsdaten von den Unternehmen ist jedoch eine richterliche Genehmigung erforderlich. Einen absoluten Schutz vor der Datenüberwachung haben nur Strafverteidiger, Seelsorger und Abgeordnete. Quelle: silicon.de; Anja Schütz; 2.1.08 < zu den Themen Sicherheitsrichtlinien für Telearbeitsplätze und mobile Geräte: Amerikanischer Standard veröffentlicht Im Rahmen der steigenden Bedeutung von Telearbeitsplätzen und den immer wichtiger werdenden mobilen Geräten wie Laptops und Smartphones etc. hat das amerikanische NIST (National Institute of Standards and Technology) einen Standard mit Sicherheitsrichtlinien veröffentlicht. Ein Teil dieses Standards befasst sich mit dem Schutz von Handys, PDAs und Smartphones wie Blackberry sowie Windows Mobile-Geräten, ein anderer gibt Richtlinien zum sicheren Gebrauch von Geräten Dritter, so z.B. Computern, die während Konferenzen oder in einem Hotel zur Verfügung gestellt werden. Das Dokument finden Sie hier. Quelle: nist.gov; Shirley Radack; 18.12.07 < zu den Themen
 Special Events 2008: Jetzt Fachwissen von Spezialisten abholen
Quelle: Swiss Infosec AG < zu den Themen Einladung zur Meet Swiss Infosec!: 24.01.2008, 13.30 - 16.50 Uhr, Airport Conference Center in Zürich Flughafen 14.15 h 15.00 h 15.20 h 16.05 h 16.50 h Wir freuen uns, Sie an der Meet Swiss Infosec! begrüssen zu dürfen. Melden Sie sich noch heute an, ein Anruf +41 (0)41 984 12 12 genügt oder gleich jetzt online anmelden.
 Agenda 2008: Nächste Lehrgänge und Themenkurse
Quelle: Swiss Infosec AG < zu den Themen ISO/IEC 27001 Lead Auditor: Lehrgang mit offizieller Zertifizierung
Swiss Infosec AG - Ihr eduQua zertifiziertes Aus- und Weiterbildungsteam: Zertifikat für Weiterbildungen 
Mit eduQua wurde das erste Schweizer Label geschaffen, das auf Anbieter von Weiterbildung zugeschnitten ist. Dabei werden diverse Punkte geprüft, welche für die Qualität von Weiterbildungen massgebend sind. So werden neben dem eigentlichen Kursangebot die Kommunikation mit den Kunden, die Art und Weise der Leistungserbringung, das eingesetzte Personal (Ausbildner), der Lernerfolg sowie Qualitätssicherung und -entwicklung unter die Lupe genommen und bei erfolgreichem Nachweis mit dem eduQua-Label versehen. Die Swiss Infosec AG freut sich, dieses Label tragen zu dürfen und ist darum bemüht, ihren Kunden qualitativ hoch stehende Weiterbildungen im Bereich der IT- und Informationssicherheit anbieten zu können. Informationen zu unserem Aus- und Weiterbildungsangebot finden Sie hier. Quelle: Swiss Infosec AG < zu den Themen
 Swiss Infosec AG ist anerkannte unabhängige Prüfstelle: Anerkennung durch certifida Die Swiss Infosec AG ist per Dezember 2007 vom Vorstand und der Zertifizierungskommission von certifida.ch als unabhängige Prüfstelle anerkannt worden. Im Rahmen europaweiten Bemühungen für die Bildung von vertrauensbildenden Massnahmen in der elektronischen und physischen Kommunikation und insbesondere im elektronischen Geschäftsverkehr, ist certifida eine Pionierorganisation. Die von Politikern und Behörden gewünschten und geförderten "Tripple P" (PPP = Public Private Partnership) Aktivitäten finden bei certifida eine konkrete Umsetzung. Als Trägerorganisationen des Vereins zeichnen sich das Eidgenössische Büro für Konsumentenfragen BFK, das Konsumentenforum kf, die Schweizerische Normen-Vereinigung, SwissICT, economiesuisse und die Swiss Pharma Quality Association aus. Die Organisation überprüft als unabhängige Instanz die Auditierung von Vertrauenssiegeln und bestätigt deren Freigabe bzw. Erteilung. Weitere Informationen zu certifida finden Sie hier. Quelle: Swiss Infosec AG < zu den Themen Informationssicherheit, dank der ISMS Tool Box: Das unentbehrliche Werkzeug für Sicherheitsbeauftragte!
Quelle: Swiss Infosec AG < zu den Themen Das Netzwerk für Sicherheit-Profis: Das ISMS Praxis Forum  Das Praxis Forum stellt einen geschlossenen Kreis von Informations- und IT-Sicherheitsbeauftragten dar. Das Praxis Forum widmet seine Tätigkeit einerseits Themen im Sicherheitsbereich und andererseits dem kompetenten Einsatz und der zielgerichteten Weiterentwicklung der ISMS Tool Box. Die Regelwerke und Funktionalitäten der ISMS Tool Box stehen allen Mitgliedern des Praxis Forums zur Verfügung. Das Praxis Forum trifft sich vier Mal jährlich um laufend Erfahrungen auszutauschen und Anregungen auf Akzeptanz und Praxis zu prüfen und zu integrieren. Als Lizenznehmer der ISMS Tool Box sind Sie gleichzeitig Mitglied des Praxis Forums. Die Mitglieder des Praxis Forums haben einen exklusiven Zugriff auf die ISMS Tool Box Community und so bspw. Zugang zur jeweils aktuellsten Version des ISO Plus-Kataloges mitsamt aller Musterlösungen. www.ismstoolbox.com Quelle: Swiss Infosec AG < zu den Themen Überbrückung von Ressourcen- oder Kompetenzengpässen: Kompetent, unkompliziert und flexibel  Möchten Sie einen aktuellen Ressourcen- oder Kompetenzmangel überbrücken? Möchten Sie Engpässe bei unternehmensinternen Projekten entschärfen? Die Swiss Infosec AG bietet Ihren Kunden projekterfahrene Spezialisten und Projektleiter an, die unkompliziert und kompetent Engpässe in einem Unternehmen überbrücken können. Unsere Spezialisten übernehmen Aufgaben und Projekte, setzen diese um und bringen sie erfolgreich zum Abschluss. Kompetenz, Erfahrung und Erfolg. Swiss Infosec AG verfügt für Projekte im Bereich der Integralen Sicherheit sowie der Informations- und IT-Sicherheit über Spezialisten mit Know-how und Erfahrung. Die Swiss Infosec AG zählt organisatorische, konzeptionelle, rechtliche, ökonomische, psychologische, technische und physische Aspekte der Integralen Sicherheit, Informations- und IT-Sicherheit zu ihren Kompetenzen. Wir unterstützen Sie. Seit 1989 bringt Swiss Infosec AG erfahrene Projektleiter und -mitarbeitende sowie Experten im In- und Ausland erfolgreich zum Einsatz. Aus dem Pool der Swiss Infosec AG werden Projektleitende mit mehrjähriger Projektleitungserfahrung eingesetzt: + zur Überbrückung von Kapazitäts- und Know-how-Engpässen + zur Verstärkung Ihrer Projektteams + zur Beschleunigung von Projekten + für den Know-how-Transfer. Persönlich und flexibel. Unsere Spezialisten helfen Ihnen, Spitzenbelastungen erfolgreich abzudecken. Neben einer externen und neuen Sichtweise, die eine mögliche „Betriebsblindheit“ kompensieren hilft, führt eine externe Unterstützung auch zu einem Know-how-Transfer. Die von Ihnen ausgewählten Spezialisten können auftreten als Linien-/Stabsmitarbeiter, Projektleiter oder als Projektmitarbeiter: unsere Spezialisten in Wort und Bild. Unsere Fachleute zeichnen sich aus durch ihre Motivation, Organisationsvermögen und Eigendisziplin sowie ihre Erfahrung in den Bereichen Projektleitung und haben Interesse an einer lösungsorientierten Zusammenarbeit mit direktem Kundenkontakt. Sprachen in Wort und Schrift: Deutsch, Englisch, Französisch. Sie entscheiden wo und wann. Der Einsatz kann von Ihnen frei definiert werden. Wir unterscheiden zwischen frei einteilbarer Arbeitszeit und einzelnen Fixterminen bei Ihnen vor Ort oder fixem Einsatz vor Ort. Der Spezialist kann von Ihnen wie ein eigener Mitarbeiter eingesetzt werden. Der Umfang des Einsatzes kann wöchentlich/monatlich flexibel festgelegt werden. Das Mandat kann unkompliziert verlängert oder aufgelöst werden. Jederzeit genau Ihrer Situation entsprechend und somit für jede Situation geeignet. Einsatz nach Mass! Genau so lange und genau so, wie Sie es wünschen. Gerne stehen wir Ihnen für ein unverbindliches Gespräch zur Verfügung. E-Mail infosec@infosec.ch; Telefon +41 (0)41 984 12 12. Quelle: Swiss Infosec AG < zu den Themen Swiss Infosec AG sucht Sie! Sales Manager (m/w):  Wir sind ein renommiertes, in der Schweiz führendes, unabhängiges Beratungs- und Ausbildungsunternehmen im Bereich Informations- und IT-Sicherheit. Für die Optimierung unseres Wachstums suchen wir eine motivierte Persönlichkeit in der Funktion als Sales Manager (m/w) Ihr Aufgabengebiet: • Verkauf von Inseraten und Sponsoring für Newsletter, Webseite und Broschüren • Verkauf unserer Beratungs- und Ausbildungsdienstleistungen • Betreuung und Ausbau bestehender Kunden • Akquisition von neuen Kunden | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
