Tag: informationssicherheit

Aktuelle Fachthemen rund um Integrale Sicherheit

Security News: Abonnieren Sie jetzt den Newsletter!

Ja, ich möchte jeden Monat die Security News der Swiss Infosec AG erhalten:

 

Die Pflichtangaben sind erforderlich, um Ihnen den Newsletter digital zu senden.
Die freiwillige Angabe weiterer Daten (z.B. Anrede, Vorname, Name) ermöglicht uns, Sie persönlicher anzusprechen.

Selbstverständlich können Sie die Security News der Swiss Infosec AG jederzeit abbestellen. Klicken Sie dazu auf den entsprechenden Link am Ende des Newsletters oder rufen Sie uns an: +41 41 984 12 12 oder senden Sie uns eine Kurznachricht.

 

Security News: Integrale Sicherheit auf den Punkt gebracht

Der Newsletter der Swiss Infosec AG informiert seit 1995 über aktuelle Themen und Sicherheitsfragen im aus dem Bereich der Integralen Sicherheit, das heisst über Informationssicherheit, Datenschutz, IT-Sicherheit, Krisenmanagement, Business Continuity Management und Physische Sicherheit.

 

Security News: Informationen aus erster Hand, jeden Monat neu

Mit dem Newsletter der Swiss Infosec AG sind Sie immer up to date. Er sensibilisiert für Sicherheitsfragen, informiert über neue Dienstleistungen der Swiss Infosec AG und macht Sie auf Security Events und Business Meetings aufmerksam. Als zusätzliche Serviceleistung listen wir immer diejenigen Kurse und Lehrgänge auf, deren Durchführung wir garantieren.
Und falls Sie einen Newsletter verpasst haben, senden wir Ihnen die gewünschte Ausgabe gerne zu.

 

Security News: Verschaffen Sie sich regelmässig einen Informationsvorsprung!

Mit dem Newsletter-Abonnement der Swiss Infosec AG erhalten Sie jeden Monat ausgewählte Fachinformationen aus dem Bereich der Integralen Sicherheit. Informationen, die sich lohnen.

Schnellanfrage
Natürlich 100% vertraulich, kostenfrei und unverbindlich!

Effektiv: weil individuell, effizient und zielführend

Wir kennen den Druck und die Herausforderungen des Managements, ebenso die Probleme und Nöte von Mitarbeitenden: Zielerreichung, Ausbildungsnachweis und keine Zeit!

 

Als individuelle Mitarbeiterschulung bieten wir Ihnen neben Trainings und Coachings auch Awareness- und online eLearning-Kursmodule an. Gerne stehen wir Ihnen beratend zur Seite und freuen uns, wenn Sie Datenschutz, Informationssicherheit und IT-Sicherheit jetzt zu Ihrem Thema machen und wir Sie dabei unterstützen dürfen.

 

Sensibilisieren und schulen Sie jetzt all Ihre Mitarbeitenden für sicherheitsrelevante Themen: Lernen zu jeder Zeit, flexibel im Tempo und nutzbringend im Inhalt.

 

Wir freuen uns über Ihren Kontakt unter
Telefon +41 41 984 12 12, infosec@infosec.ch

 


 

Sensibilisieren Sie Ihre Mitarbeitenden für sicherheitsrelevante Themen.

 

Die Mitarbeitersensibilisierung steht im Fokus der Integralen Sicherheit und Informationssicherheit. Organisationen müssen gezielt Massnahmen ergreifen, um ihre Mitarbeitenden zu 'sicherem' Handeln anzuleiten und zu motivieren. Einzelmassnahmen werden dem Ziel, eine nachhaltige Verhaltensbeeinflussung zu bewirken, nicht gerecht.

Mitarbeitersensibilisierung: Awareness als zentrales Schulungsinstrument

Es muss ein Bündel aufeinander abgestimmter Massnahmen, auch als Security Awareness-Kampagne bezeichnet, erarbeitet und umgesetzt werden. Die Inhalte der Security Awareness-Kampagne sind auf die Kultur und die individuelle Risikolage des Unternehmens und den Wissenstand der Mitarbeitenden abzustimmen. Die Swiss Infosec AG hat sich darauf spezialisiert, ihre Kunden bei der Erarbeitung und Durchführung von Awareness-Kampagnen in den Bereichen Integrale Sicherheit, Informationssicherheit, IT-Sicherheit, Datenschutz, Krisenmanagement und BCM zu unterstützen.

Security Awareness-Kampagnen

Die Bestandteile einer Awareness-Kampagne können sein: Edutainments, eLearning-Module, Seminare und Workshops, diverse Print- und E-Medien (beispielsweise Flyer, Plakate, Merkblätter, Intranet Sites, Spiele, Newsletters u.v.a.m.), Wettbewerbe, regelmässige Aufschaltung aktueller News, sogenannte Gadgets bzw. Give-Aways (Mugs, Mausmatten). Die optimale Kombination der einzelnen Instrumente ist für den Erfolg der Kampagne von zentraler Bedeutung.

 

Erfolgreiche Awareness-Kampagnen zeichnen sich aus durch eine systematische Planung und Durchführung funktions- und stufengerechter Aktivitäten und Massnahmen mit dem Ziel, eine nachhaltige Verhaltensänderung zu bewirken und aufrecht zu erhalten. Seit 25 Jahren unterstützen wir unsere Kunden aktiv und erfolgreich bei Awareness-Kampagnen. Profitieren Sie von unserer Erfahrung und unserem Fachwissen. Wir können Sie schnell, flexibel und umfassend unterstützen.

 

Ihre Vorteile

  • Sie profitieren von 30 Jahren Erfahrung, Ideen und Resultaten
  • Sie erreichen eine nachhaltige Verhaltensänderung Ihrer Mitarbeitenden
  • Sie aktivieren den Faktor Mensch
  • Sie behandeln Ihre Mitarbeitenden als zentrale Faktoren Ihrer Sicherheitsaktivitäten

Security Edutainments

Wenn der Spassfaktor zum Erfolgsfaktor wird.

Security ist eine ernste Sache, Sie dafür zu sensibilisieren ganz und gar nicht!

Viren, Würmer, Social Engineering-Attacken, Notfälle und Evakuationen sind nicht der Stoff, aus dem unterhaltsame Lerneinheiten gemacht sind. Meint man und liegt mit dieser Einschätzung falsch. Das Edutainment-Team der Swiss Infosec AG vermittelt diese und andere Themen aus dem Security-Alltag sehr humorvoll, anschaulich und nachweislich nachhaltig. Da kommt Freude auf. Freude, die motiviert und dafür sorgt, dass Informationen, Hints und Tipps ankommen und bleibenden Eindruck hinterlassen – übrigens bereits nach 30 Minuten. So sieht erfolgreiche Wissensvermittlung aus.

 

Die Security-Edutainments dauern 30 bis 120 Minuten und richten sich an Gruppen von 5 bis maximal 250 Personen. Sie festigen das Wissen im Bereich 'Security', fördern gezielt das richtige Handeln in vermeintlich sicheren Situationen und eignen sich besonders gut als Bestandteil einer übergeordneten Awareness-Kampagne.

Security Online-Kurse und Online-Schulungen mit eLearning

Erfahren Sie mehr über den Lernnachweis und die Verbindung mit unserem Schulungstool eLearning made by Swiss Infosec AG. Das ELEARNING PLUG & LEARN ist das Ausbildungs- und Sensibilisierungstool für Security Online Training und Web Based Training.

 

Kontaktieren Sie uns jetzt für die ernste Sache mit Spassfaktor unter +41 41 984 12 12, infosec@infosec.ch

 

 

 

 

 

Cornel Furrer

E-Mail

Informationen und Daten angemessen schützen

Informationssicherheit mit der Erfahrung und Kompetenz der Swiss Infosec AG

Wir befassen uns seit 30 Jahren professionell mit Integraler Sicherheit. Unsere Erfahrung macht uns zu Spezialisten und zum starken Partner an Ihrer Seite, wenn es um Informationssicherheit geht.

Wir unterstützen und beraten Ihre Organisation von der Analyse bis zur Zielerreichung und übernehmen auf Wunsch auch die Leitung Ihres Projekts oder stellen Ihnen einen unserer Spezialisten z.B. als externen Datenschutzbeauftragten oder als CISO (Corporate Information Security Officer) zur Verfügung.

 

Wir schärfen Ihren Blick fürs Notwendige und finden die richtige Praxislösung, die auf Ihr Unternehmen zugeschnitten ist.

Informationssicherheit interessiert nicht nur Sie, sondern auch Ihre Kunden

Mit durchdachter Informationssicherheit schützen Sie Ihre Informationen und Daten auf optimale Art und Weise. Gleichzeitig stellen Sie damit aber auch Ihr Verantwortungsbewusstsein und Ihre Sorgfaltspflicht unter Beweis. Sie zeigen, dass Sie der Sicherheit Ihrer Informationen und Daten eine grosse Bedeutung beimessen. Und dies wird wahrgenommen – von Ihren Kunden, Mitarbeitenden, Lieferanten, Stakeholdern, usw. Erst recht, wenn Sie Ihr Unternehmen z.B. nach ISO 27001 zertifizieren lassen. Transparenz und Sicherheit schaffen Vertrauen und wirken sich positiv auf Ihre Reputation aus.

 

Informationssicherheit sorgt für mehr Sicherheit und Transparenz im Umgang mit Ihren Informationen und Daten – übrigens auch bei Ihren Kunden

 

Informationssicherheit im Überblick: Das ISMS-Big Picture der Swiss Infosec AG

isms aufbau big picture

Das animierte ISMS-Big Picture ist eine Prezi-Präsentation und benötigt einen Flash-Player.

 

Zielgerichtete Informationssicherheit: Was wir für Sie tun können

Informationssicherheit ist ein weites Feld. Gut, dass Sie mit der Swiss Infosec AG Spezialisten an Ihrer Seite haben, die wissen, wie Sie Ihr Ziel erreichen.

 

Unser Serviceangebot

  • Coaching und Consulting in Informationssicherheit (Information Security), Datenschutz und IT-Sicherheit nach Best Practice
  • Projektplanung, Ressourcenplanung
  • Schulung und Ausbildung (inkl. eLearning) in Informationssicherheit, ISMS, Datenschutz und IT-Sicherheit
  • Coaching bei der Anwendung und Umsetzung der Informationssicherheit nach ISO 27001 und bei der Sensibilisierung und Information des Top Managements
  • Durchführung von Risikoanalysen
  • Vorbereitung, Durchführung und Moderation von Risikoanalyse-Workshops auf Managementebene
  • Flexible externe Personallösungen: Wir übernehmen Ihre Aufgaben im Bereich Informationssicherheit und stellen Ihnen bei Bedarf auch einen externen Betrieblichen Datenschutzverantwortlichen zur Verfügung.

Zielgerichtete Informationssicherheit heisst für die Swiss Infosec AG: "Genau so viel, wie Sie brauchen und genau so viel, wie angemessen ist!"

Informationssicherheit: Vertrauen Sie den erfahrenen Spezialisten der Swiss Infosec AG!

Unsere Dienstleistungen führen auch Sie effizient und konsequent zum Ziel. Kontaktieren Sie uns jetzt unter +41 41 984 12 12 oder infosec@infosec.ch, um ein kostenloses Erstgespräch zu vereinbaren.

Unsere Spezialisten beantworten gerne Ihre Fragen rund um die Informationssicherheit Ihres Unternehmens und können schnell erste Verbesserungsmöglichkeiten skizzieren.

 

 

 

 

 

Reto Zbinden

E-Mail

Wir wissen, welche Daten zu schützen sind!

Datenschutz greift auch in unsere Lebensprozesse ein

Datenschutz ist allgegenwärtig und begleitet uns im Berufsalltag wie auch im Privatleben. Erfahren Sie bei uns alles über Beratung, Ausbildung, eLearning und Services im Fachbereich Datenschutz und wie wir Sie als erfahrene Datenschutzspezialisten unterstützen können.

 

Datenschutzberatung vom Datenschutzteam

Das Datenschutzteam der Swiss Infosec AG unter der Leitung von Dr. iur. Michèle Balthasar nennt Datenschutz seit 30 Jahren sein Zuhause. Sie sind Datenschutzspezialisten und Kenner der Materie und setzen in ihrer Beratungstätigkeit konsequent mit Best Practice um.

 

Von der Swiss Infosec AG erhalten Sie ein Rundum-Datenschutzpaket von Beratung, über Datenschutzausbildung bis hin zur toolgestützten Datenschutzumsetzung.

 

Datenschutzfragen

Wir beantworten alle Datenschutzfragen und beraten Sie in allen Datenschutzbelangen rund um die nationale Datenschutzgesetzgebung (Revision DSG, Informationssicherheitsgesetz, etc.) und die internationale Datenschutzgesetzgebung wie bspw. DSGVO, Privacy Shield und weitere. Dabei werden die datenschutzrelevanten internationalen und nationalen Standards, Regulatorien und Best Practice mit einbezogen.

 

Datenschutznews

 

Datenschutzzertifizierung und Zertifizierungsbegleitung

Streben Sie eine Datenschutzzertifizierung nach VDSZ (DSMS) an? Dann sind Sie bei uns richtig.

 

Denn wir unterstützen unsere Kunden bei der Vorbereitung auf eine Datenschutzzertifizierung nach VDSZ (DSMS) und führen neben der Zertifizierungsbegleitung Audits und Sicherheitstests durch. Wir prüfen Ihre Datenschutzmassnahmen auf Herz und Nieren.

 

Mehr über die Zertifizierungsbegleitung für Datenschutzzertifizierung erfahren.
+41 41 984 12 12, infosec@infosec.ch

 

Datenschutzschulungen für Datenschutzwissen nach Best Practice

Neben unserer Datenschutzberatung geben wir unser Datenschutzwissen an praxisorientierten Datenschutzschulungen weiter. Wählen Sie zwischen den bei uns durchgeführten mehrtägigen Lehrgängen oder eintägigen Kursen oder einer firmeninternen Inhouse-Schulung in Form eines Workshops oder einer Firmenschulung bei Ihnen vor Ort.
 
Lehrgänge und Kurse

  • Betrieblicher Datenschutzverantwortlicher (5 Tage, DSG, DSGVO Basic): Lehrgang, der in die Aufgaben des Betrieblichen Datenschutzverantwortlichen gemäss Artikel 11a DSG einführt.
  • DSGVO-Praktiker (3 Tage, DSGVO Advanced): Schulung, die einen Überblick über die DSGVO vermittelt und Handlungsbedarf bezüglich Unternehmensabläufen, Verträgen und organisatorischen Rahmenbedingungen aufzeigt.
  • Data Protection Officer (DPO) (2 Tage, DSGVO Professional): Schulung mit Fokus auf praxisorientierte Hilfsmittel und Informationen für Datenschutzbeauftragte nach DSGVO.
  • Datenschutzgesetz und Umsetzung (1 Tag, DSG): Überblick, Grundlagen und praktische Anwendung des Datenschutzgesetzes der Schweiz.
  • Datenschutz Aktuell (1 Tag, Aktuelle Informationen über DSG und DSGVO): Bleiben Sie am Ball und regelmässig auf dem Laufenden mit unserem Datenschutz-Update für Datenschutzstellen.

Workshops und Firmenschulungen

Unsere bewährten Datenschutzschulungen spielen Ihnen in die Hände und geben auch Ihnen mehr Datenschutz-Sicherheit.
+41 41 984 12 12, infosec@infosec.ch

 

 

 

Michèle Balthasar
Leiterin Kompetenzzentrum Datenschutz

E-Mail

 

Datenschutzteam: Juristische Aspekte des Datenschutzes

 


 
 
Datenschutzteam: Technisch-organisatorische Massnahmen (TOM) des Datenschutzes

 

 

Schutz von Einrichtungen, Systemen und Personen

Das Angebot der Swiss Infosec AG im Bereich IT-Sicherheit: Beratung, Coaching und mehr

Die Swiss Infosec AG bietet Ihnen umfassende Beratung, zielführendes Coaching und praxisnahe Ausbildung rund um Ihre IT-Sicherheit.

 

IT-Sicherheit dient dem Schutz von elektronischen Informationen bspw. in der Cloud, in Applikationen, auf Systemen oder bei der Übertragung über Netzwerke.

Wir betrachten Einrichtungen, Systeme und Personen als integrales System und unter einem ganzheitlichen (integralen) Sicherheitsaspekt. Von der Analyse Ihrer Sicherheitsmassnahmen, inklusive Massnahmenkatalog, bis zur Definition, Konzeption, Überwachung und Umsetzung technischer Sicherheitsmassnahmen bieten wir Ihnen alles, um Ihr Unternehmen und Ihre IT optimal zu schützen.

 

Das Angebot der Swiss Infosec AG für IT-Sicherheit: Optimaler Schutz von elektronischen Informationen Ihres Unternehmens und der IT.

IT-Sicherheit garantiert Verfügbarkeit, Vertraulichkeit und Integrität

Die IT-Sicherheit bezweckt die angemessene und dauernde Gewährleistung der vereinbarten Verfügbarkeit, Vertraulichkeit und Integrität der elektronisch bearbeiteten, gespeicherten, transportierten und archivierten Informationen und der zu ihrer Darstellung und Bearbeitung notwendigen Applikationen, Systeme und Netzwerke.
Die IT-Sicherheitsspezialisten der Swiss Infosec AG unterstützen Sie wirkungsvoll dabei, diese Herausforderungen erfolgreich zu meistern.

 

IT-Sicherheit, damit Sie gegen Angriffe auf Ihre Applikationen, Systeme und Netzwerke gewappnet sind

IT-Sicherheit ist wirksam

Die Swiss Infosec AG überprüft Ihre Systeme und Applikationen auf deren Schutz und Wirksamkeit. Erfahren Sie mehr über Audits und Analysen Ihrer IT-Sicherheit.

 

Machen Sie IT-Sicherheit richtig: Entscheiden Sie sich für das Angebot der Swiss Infosec AG für IT-Sicherheit!

Wir beraten Sie gerne und unverbindlich. Kontaktieren Sie uns und überzeugen Sie sich von unserem Know-how aus 30 Jahren Erfahrung. +41 41 984 12 12, infosec@infosec.ch

 

 

 

 

 

Reto Steinmann

E-Mail

Schutz vor Cyber-Bedrohungen

Cyber Security: Beratung und Unterstützung beim Schutz vor Cyber-Angriffen

Die Swiss Infosec AG bietet Ihnen Cyber Security Management-Experten mit viel Erfahrung und Best Practice Know-how zur Beratung und Unterstützung bei der Erarbeitung Ihrer Cyber Security-Strategie, der Definition Ihrer Cyber Security-Zielsetzungen, der Umsetzung notwendiger und angemessener Cyber Security-Massnahmen und bei der laufenden Überprüfung und Optimierung Ihres Cyber Security Management Systems.

  

Cyber Security News: Aktuelle Infosec Internet News-Beiträge

 

Download DSGVO-Checkliste
Sicherheit in der Cloud in 10 Schritten

 

Unter Cyber Security verstehen wir sämtliche Risiken, Massnahmen, Prozesse und Aufgaben auf organisatorischer und technischer Ebene zur Identifikation, Analyse und Bewältigung von Cyberbedrohungen und -angriffen.

Die Komplexität und der Umfang der Bedrohungen und Angriffe im Cyber-Raum haben in den letzten Jahren massiv zugenommen. Eine weitere Steigerung ist absehbar und fast sicher. Erfolgreiche Angriffe sind heute nur noch eine Frage des Aufwandes und nicht mehr der technischen Machbarkeit. Die Netzübergänge alleine mittels Firewalls zu schützen reicht nicht mehr aus. Sämtliche Elemente des Systems sind beim Schutz zu berücksichtigen (Prävention) und es müssen auf allen Ebenen entsprechende Sensoren betrieben und überwacht werden, um Angriffe und deren mögliche Auswirkungen früh erkennen zu können (Monitoring). Die entsprechenden Massnahmen bis hin zur Eskalation in den Krisenstab, die Kommunikation an die Öffentlichkeit, die Information der betroffenen Partner, die Einhaltung der gesetzlichen Meldepflichten (Reaktion) und die Koordination der Gegen- und Wiederherstellungsmassnahmen sollten Bestandteil einer umfassend verstandenen Cyber Security bilden.

cyber security beratung ausbildung

 

Seit über 25 Jahren beraten wir unsere Kunden erfolgreich im Bereich der Cyber Security, einem wichtigen Teil der Informationssicherheit und des Risikomanagements, und unterstützen sie bei der Minimierung der Cyber-Risiken. Wir sensibilisieren und schulen Mitarbeitende stufen- und funktionsgerecht, im entscheidenden Moment, das Richtige zu tun. Wir bilden bspw. zum Digital Risk Officer aus und bieten bei Ressourcenengpässen auch einen externen Cyber Security Officer an – schnell, kompetent und zuverlässig.

 

Wir beraten und unterstützen Sie dabei,

  •  Ihre sensitiven Daten und kritischen Systeme zu identifizieren,
  •  die entsprechenden Sicherheitsmassnahmen zu definieren, zu konzipieren, umzusetzen und zu überprüfen
  •  ein wirkungsvolles Monitoring zu definieren, zu konzipieren, umzusetzen und zu überprüfen
  •  ein effektives Krisenmanagement mit entsprechendem Alarmierungsplan aufzubauen, unter Berücksichtigung der Kommunikations-, Informations- und Meldevorgaben seitens Cyber Security
  •  die Bereiche BCM und Krisenmanagement optimal auf die Anforderungen der Cyber Security abzustimmen

 

Eine erfolgreiche und angemessene Cyber Security-Konzeption folgt einem integralen Ansatz

Cyber Security ist viel mehr als reine IT-Security. Cyber Security ist ein wichtiger Teil der Informationssicherheit mit Schnittstellen einerseits zu Krisenmanagement, Kommunikation, Business Continuity Management und andererseits zu IT Security, Datenschutz und Informationsschutz sowie IT-Prozessen an und für sich.

 

Wir beschäftigen uns seit 30 Jahren mit exakt diesen Themen: Integrale Sicherheit, Krisenmanagement, Kommunikation, Business Continuity Management sowie ICT Security, Datenschutz und Informationsschutz


Cyber Security muss in ein entsprechendes Managementsystem eingebettet werden

Laufende Optimierung und Verbesserung sind im Hinblick auf die Effektivität und Effizienz der Cyber Security-Aktivitäten ein zentraler Erfolgsfaktor. Ihre Cyber Security-Strategie und die darauf aufbauenden Prozesse, Massnahmen und Konzeptionen müssen Schritt halten mit den Cyber-Bedrohungen und -Angriffen.

 

Mit einer aktuellen und angemessenen Cyber Security-Strategie und der Unterstützung unserer Spezialisten halten Sie Ihren Vorsprung gegenüber Cyber-Bedrohungen und -Angriffen und leisten so einen zentralen Beitrag zum Erfolg der Digitalisierung Ihres Unternehmens.

 

cyber security consulting schulung

 

Eine Cyber Security-Strategie, eingebettet in ein Managementsystem, bewahrt Sie vor bösen Überraschungen

Cyber Security betrifft Unternehmen unabhängig von ihrer Grösse – Grosskonzerne genauso wie KMUs.

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 


Reto Zbinden zu Wikileaks-Enthüllungen über CIA, Radio SRF 1, Rendez-vous, 08.03.2017
http://www.srf.ch/play/radio/rendez-vous/audio/wikileaks---spione-im-eigenen-heim?id=badc8706-e763-467d-82a4-e2d35e951d08 

 

«Wikileaks» – Spione im eigenen Heim
Die Enthüllungsplattform «Wikileaks» hat Dokumente veröffentlicht, die zeigen, dass der US-Geheimdienst CIA direkt auf jedes Mobiltelefon und jedes Smartphone zugreifen kann. Verschlüsselungstechniken bieten keinen Schutz. Offenbar hat ein CIA-Insider die Informationen geliefert. Was bedeutet das für Wirtschaft und Forschung?


Wer seine Mitarbeitenden schult, gewinnt!

Ihre Mitarbeitenden bilden die erste Verteidigungslinie. Schützen und stärken Sie Ihre Mitarbeitenden durch gezielte Awareness- und Schulungsmassnahmen vor Cyber-Angriffen. Machen Sie Ihre Mitarbeitenden zu einem zuverlässigen Teil Ihrer Cyber Security-Strategie.

 

Ihre Cyber Security-Strategie ist abzustimmen mit:

  • Corporate Governance, Compliance
  • Risikomanagement, Internes Kontrollsystem (IKS)
  • Krisenmanagement/Business Continuity Management (BCM)
  • Informationssicherheit
    • Datenschutz
    • Informationsschutz
    • IT-Sicherheit (IT Security)

 

Schützen Sie Ihr Unternehmen vor Cyber-Bedrohungen und -Angriffen!
Cyber Security by Swiss Infosec AG beinhaltet u.a. folgende Teilbereiche und Prozesse:

  • Identifikation des Bedrohungspotenzials durch Cyber-Bedrohungen
  • Aufbau einer Cyber Security-Strategie
  • Risikomanagement für den Umgang mit Cyber-Risiken (als Teil der Operationellen Risiken)
  • Schutz der Geschäftsprozesse, der Informationen und der Infrastruktur vor Cyber-Bedrohungen (Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit) durch die Umsetzung von Massnahmen zur Minimierung von Cyber-Risiken und die laufende Überprüfung der Wirksamkeit dieser Massnahmen
  • Monitoring zur frühzeitigen Erkennung von Cyber-Bedrohungen und -Angriffen
  • Schnelle und angemessene Reaktionen auf Cyber-Bedrohungen, u.a. durch Eskalation an ein effektives und effizientes Krisenmanagement  
  • Aufrechterhaltung oder Wiederherstellung des normalen Geschäftsbetriebs nach Cyber-Angriffen mittels Massnahmen in den Bereichen Business Continuity Management und Krisenmanagement
  • Regelmässige Durchführung von Verwundbarkeitsanalysen (Vulnerability Scans, Analyse bestehender Schwachstellen und Sicherheitslücken in Software und IT-Infrastruktur) und Penetration Tests (gezielte Angriffe auf Software-Schwachstellen und Sicherheitslücken der IT-Infrastruktur) durch qualifizierte Cyber Security-Experten 

Unsere Spezialisten unterstützen Sie bei der Erarbeitung, Umsetzung und laufenden Optimierung Ihrer Cyber Security-Strategie.

Cyber Security als Teil der Informationssicherheit und der Integralen Sicherheit!

Erfolgreiche Konzepte zur Umsetzung angemessener Cyber Security müssen integral abgestützt werden. Wir sind seit über 25 Jahren Kenner der Integralen Sicherheit und kennen die Nahtstellen zu den einzelnen Sicherheitsthemen bestens. Nur integral können Cyber-Risiken nachhaltig vermindert werden.

Schützen Sie sich vor Cyber-Bedrohungen und Cyber-Angriffen. Wir und unsere Spezialisten unterstützen Sie gerne!

Kontaktieren Sie uns und überzeugen Sie sich von unserem Know-how im Bereich der Cyber Security aus 30 Jahren Erfahrung. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

 

 

 

 

Reto Zbinden

E-Mail

 

Das Training-Tool zur Mitarbeiterschulung aller Stufen: 
schnell, individuell und effizent

Profitieren Sie von unserer mehr als 25jährigen Erfahrung und benutzen Sie noch heute die für Sie vorbereiteten Wissensmodule! Bei der Schulung und Sensibilisierung Ihrer Mitarbeitenden überlassen wir nichts dem Zufall. Die Swiss Infosec AG hat mit dem ELEARNING PLUG & LEARN eine zielgerichtete, effiziente und erst noch kostengünstige Methode entwickelt, um Ihre Mitarbeitenden schnell und nachhaltig Sicherheitswissen zu vermitteln. Das ELEARNING PLUG & LEARN eignet sich für grosse und kleine Unternehmen und für grosse und kleine Benutzergruppen gleichermassen. Eigentlich könnte diese Methode auch 'plug & earn' heissen, denn die Schulung mit diesem System zahlt sich aus: punkto Zeit, Wissen und Kosten.

 

Elearning
Module
Service
Kunden

 

Modular aufgebautes Best Practice-Sicherheitswissen

Das Ausbildungstool ELEARNING PLUG & LEARN der Swiss Infosec AG offeriert viele gute Gründe

Ihre Vorteile

  • Unsere mehr als 25jährige Erfahrung
  • Kostengünstig:
    • keine Lizenz- und Systemkosten
    • Keine Kosten für Autorentool
  • Ihre Mitgliedschaft in der Blended Learning Group BLG
  • Eigene und firmenindividualisierte Lernmodule
  • Schneller, gezielter und effizienter Wissenstransfer
  • Freie Wahl des Ausbildungsbeginns und des Lerntempos
  • Flexibilität und Nachhaltigkeit
  • Ausbildungs- und Lernnachweis mit Zertifikat
  • Praxiserprobt:
    • Bspw. über 2500 Benutzer beim Kanton Zug
    • Bspw. über 600 Benutzer bei der Kernkraftwerk Leibstadt AG
  • Idealer Bestandteil für eine Awareness-Kampagne inkl. Unterstützung Schulungsorganisation (z.B. Präsenzschulungen)

Auf die Plätze, fertig… WISSEN
So schnell und effizient haben Sie Ihre Mitarbeitenden noch nie geschult!

Nutzen Sie jetzt die Chance Ihre Mitarbeitenden kostengünstig und zielgerichtet zu schulen und sie für das Thema Sicherheit nachhaltig zu sensibilisieren.

Ihre Mitarbeitenden sind Risiko und Chance zugleich! Reduzieren Sie Sicherheitsrisiken und packen Sie die Chance auf mehr Sicherheitswissen: Mit dem Ausbildungstool ELEARNING PLUG & LEARN der Swiss Infosec AG.

Ihre Informationen sind wertvoll!

Profitieren Sie vom Know-how der Swiss Infosec AG aus mehr als 25 Jahren Praxiserfahrung und bestimmen Sie selber über Lerntempo, Flexibilität und Nachhaltigkeit bei Schulungen und Know-how-Bildung.

Ausbildungstool plus ISO 27001: Nachweislich eine gute Verbindung

Das Ausbildungstool ELEARNING PLUG & LEARN der Swiss Infosec AG ist auch ein hervorragendes Ausbildungsinstrument, wenn es darum geht, Ihre Mitarbeitenden auf die ISO 27001-Zertifizierung vorzubereiten oder sie für die Erhaltung dieser Zertifizierung zu sensibilisieren.

Mit unserem Ausbildungstool ELEARNING PLUG & LEARN können Sie jederzeit den Nachweis erbringen, dass Ihre Ausbildungsmassnahmen nicht nur durchgeführt worden sind, sondern in der Tat auch wirken. Und wenn Wissenslücken erkannt worden sind, lassen sich diese gezielt und effizient schliessen. Ganz einfach clever.

Die aktuellen Top-3-Module

Unsere Kunden schätzen unsere Flexibilität und Schnelligkeit. Ebenso beweisen sie uns tagtäglich den Nutzen und die Effektivität unseres Ausbildungstool ELEARNING PLUG & LEARN. Profitieren auch Sie davon!

  • Informations- und IT-Sicherheit
  • ISO 27001/27002 und ISMS
  • Geldwäschereigesetz GwG
Das Ausbildungstool der Swiss Infosec AG: Mehr als ein Angebot

Die Swiss Infosec AG wäre nicht das führende Ausbildungs- und Beratungsunternehmen der Schweiz im Bereich der Integralen Sicherheit, der Informationssicherheit, der IT-Sicherheit sowie des Datenschutzes, wenn wir uns mit wenig zufrieden geben würden. Wir haben uns intensiv damit auseinandergesetzt, wie wir unser Ausbildungstool ELEARNING PLUG & LEARN noch flexibler und damit kundenspezifischer gestalten können. Das Resultat unserer Überlegungen sind drei Angebote, die keine Wünsche offen lassen:

Haben Sie gewusst?

Fixfertige und praxiserprobte Wissens- und Lernmodule sind für Sie sofort einsatzbereit.

Kontaktieren Sie uns jetzt unverbindlich und erhalten Sie die Zugangsdaten für Ihren Demo-Account.
+41 41 984 12 12, infosec@infosec.ch

 

kev  

 

 

 

Ken Vogel

E-Mail

Informationssicherheit: IT-Angriffe bleiben zu lange unentdeckt

Im Report «M-Trends 2016 EMEA» hat Mandiant Consulting einige Informationen zu Online-Attacken zusammengetragen. Auffällig ist hier die grosse Diskrepanz zwischen den Aufklärungsraten in einem globalen Durchschnitt und den für Europa und Nahost detaillierten Zahlen. Im weltweiten Durchschnitt brauchten Unternehmen 146 Tage bis zur Aufdeckung eines Angriffs, auf Europa und Nahost runtergebrochene Zahlen zeigen, dass es in diesem geografischen Bereich durchschnittlich 469 Tage dauert, bis sich eine Firma eines Angriffs bewusst wird.

 

Dies bedeutet, ein Angreifer kann während fast 16 Monaten ein System ausspionieren, Schäden begehen und auf Firmendaten zugreifen.

 

Datenschutzpraxis-de; 9.9.2016; https://www.datenschutz-praxis.de/fachnews/angriffe-auf-it-lange-unentdeckt/

Massgeschneidert passt besser

 

Unternehmen setzen häufig auf Vorlagen für Sicherheitsrichtlinien, um den zunehmenden Compliance-Anforderungen zu entsprechen. Dies scheinen oftmals die einfachsten und schnellsten Lösungen zu sein, um Konformität zu Vorschriften zu gewährleisten und das eigene Richtlinienwerk diesbezüglich anzureichern. So ist es in den USA ein einträgliches Geschäft, Vorlagen für Richtlinien anzubieten, die Anforderungen wie PCI-DSS, HIPPA oder NIST entsprechen. Diese Vorlagen können in der Tat sehr hilfreich sein, immer vorausgesetzt, sie werden ordnungsgemäss überprüft und umgesetzt.

 

Wenn diesen Vorlagen aber blind vertraut wird, und sie ohne Überprüfung übernommen werden, birgt dies auch Risiken. Häufig werden diese Vorlagen als Reaktion angeschafft, nachdem das Unternehmen für den einen oder anderen Standard bewertet wurde. Oft verfügen diese Unternehmen über keinen wirklichen Sicherheitsverantwortlichen. Nach einem Compliance Audit in kleinen und mittleren Unternehmen geschieht es daher häufig, dass nach entsprechenden Vorlagen gesucht wird, um den geforderten Standards zu entsprechen.

Das Risiko pfannenfertiger Vorlagen besteht darin, dass zwar die Richtlinie der Vorlage übernommen wird, aber nicht in die tägliche Praxis umgesetzt wird. Wenn in der Richtlinie beispielsweise vorgegeben wird, dass ein Kennwort zwölf Zeichen lang und komplex sein muss, dann muss dies auch tatsächlich so umgesetzt werden. Geschieht dies nicht, dann wird dies bei der nächsten Prüfung oder bei einem Sicherheitsvorfall entsprechend bewertet. Bei einem Audit wird der Prüfer wahrscheinlich daraufhin alle anderen Sicherheitsrichtlinien in Frage stellen, da Zweifel an der Integrität des Sicherheitsprogramms des Unternehmens bestehen. Wenn ein Unternehmen derart die Nichteinhaltung der Compliance quasi dokumentiert, erleichtert sie dem Prüfer die Arbeit. Bei einer Untersuchung nach einem Datendiebstahl oder einem anderen Sicherheitsvorfall könnte dies finanzielle Folgen haben, wie auch eine Änderung hinsichtlich der Bewertung des Compliance-Status.

 

Eine weitere Herausforderung bei der Verwendung von entsprechenden Templates ist, dass diese unter Umständen nicht verständlich formuliert sind. Viele Sicherheitsrichtlinienvorlagen sind so verfasst, dass sie ohne Jurastudium kaum verstanden werden können. Oft wird eine sehr formale Sprache verwendet, die mit einer Richtlinienumsetzung in der Praxis wenig zu tun hat. Die besten Richtlinien sind diejenigen, die kurz und leicht verständlich formuliert sind. Und zwar auch für diejenigen Mitarbeiter, die sich nicht hauptberuflich mit IT-Sicherheit befassen. Richtlinien, für deren Verständnis man einen Anwalt konsultieren müsste, werden von Mitarbeitern auch nicht eingehalten werden.

 

Derzeit existiert noch nicht die eine Methode, um den Erfolg oder Misserfolg eines Sicherheitsprogramms schlussendlich zu bewerten. CISOs versuchen mit unterschiedlichen Metriken, den Erfolg ihrer Bemühungen zu belegen. Auditoren, die angehalten sind, das Sicherheitsprogramm des Unternehmens oder einen Sicherheitsvorfall zu untersuchen, werden sich immer auf die Sicherheitsrichtlinien und deren Umsetzung konzentrieren.

 

Längst nicht alle Compliance-Auditoren verfügen über einen technischen Hintergrund. Viele verlassen sich auf automatisierten Abläufe und Richtlinien- wie Verfahrensdokumentationen für ihre Bewertung. Die einfache Übernahme von Sicherheitsvorlagen ohne Überarbeitung kann, aus Sicht des Prüfers, einen negativen Eindruck im Hinblick auf das Sicherheitsprogramms hinterlassen.

 

Wenn es darum geht, ein eigenes Sicherheitsprogramm aufzubauen, können Vorlagen für Sicherheitsrichtlinien eine echte Hilfe sein. Sie müssen jedoch überprüft, bearbeitet und an die spezifischen Anforderungen des Unternehmens angepasst werden. Die Richtlinien müssen zudem mit der gelebten Praxis in der Organisation übereinstimmen und sollten in einer verständlichen Sprache verfasst sein. Compliance-Auditoren bilden sich ihre Meinung über das Sicherheitsprogramm eines Unternehmens zu einem guten Teil über die verwendeten Richtlinien und die Prozesse beziehungsweise Abläufe. Ein Einsatz von nicht überarbeiteten Vorlagen kann den Erfolg einer Compliance-Prüfung da schon einmal gefährden.

 

Searchsecurity.de; Josef Granneman; 01.2017
http://www.searchsecurity.de/tipp/Die-Verwendung-von-Vorlagen-fuer-Sicherheitsrichtlinien-birgt-Risiken

Compliance-Funktionen sind mehr und mehr gefordert

 

Zwei wichtige neue Gesetze für Sicherheit und Privatsphäre stehen derzeit in Europa bzw. der EU im Zentrum der Aufmerksamkeit: die Richtlinie zur Netz- und Informationssicherheit (NIS) und die Datenschutz-Grundverordnung (DSGVO/GDPR).

 

Die GDPR gilt auch für Unternehmen, die nicht in Europa oder EU ansässig sind. Beide Gesetze verlangen von den betroffenen Organisationen angemessene Sicherheitsmassnahmen nach Best Practice, dies beinhaltet u.a. auch die jeweiligen Risiken, persönliche Daten und den Schutz von Netzen und Informationssystemen. Die NIS-Richtlinie verlangt, dass Organisationen Behörden Cybersicherheitsvorfälle zu melden haben, wenn diese einen wesentlichen Einfluss auf die Bereitstellung oder Kontinuität ihrer Dienste haben. Wie auch in der GDPR müssen Unternehmen den relevanten Behörden alle Verletzungen von persönlichen Daten mitteilen. Nur wenn es unwahrscheinlich scheint, dass die Verletzung in einem Risiko für die Rechte und Freiheiten des Einzelnen resultiert, kann von dieser Regelung abgesehen werden.

 

Die NIS-Richtlinie muss bis zum 10. Mai 2018 von den EU-Mitgliedstaaten in ihre nationale Gesetzen übernommen und angewandt werden. Bis zu diesem Zeitpunkt werden die Unternehmen über die spezifischen Anforderungen unterrichtet sein, die in ihrem Mitgliedstaat angewandt und durchgesetzt werden. Die GDPR ist eine Verordnung und die Mitgliedstaaten sind verpflichtet, diese Verordnung in Form von nationalen Gesetzen zu verabschieden, um sie umzusetzen. Die Unternehmen müssen der Regelung bis zum 25. Mai 2018 nachkommen. Zunächst aber gilt es festzustellen, ob das Unternehmen von der NIS-Richtlinie oder der GDPR oder von beiden betroffen ist.

 

Security-insider.de; Thorsten Henning, Peter Schmitz; 28.12.2016
http://www.security-insider.de/neue-gesetzgebung-zur-cybersicherheit-a-568767/

Kontrolle und Optimierung

 

Aleksandra Sowa

ISBN: 3658156260

Grundlagen, Anwendungen und Technologien

 

Rainer Alt, Olaf Reinhold

ISBN: 3662527898

Der Markt wird’s schon richten


Minus mal Minus ist plus - das gilt in der Mathematik immer, selten aber im Leben. Eine Ausnahme kann man in Russland beobachten. Dort führt die Kombination von Pornografie (fi nden wir bäh) und Zensur (lehnen wir strikt ab) zu mehr informationeller Selbstbestimmung. Wenn auch unbeabsichtigt. Mit Brazzers.com setzte die staatliche Zensurbehörde Roskomnadsor kürzlich ein weiteres beliebtes Portal für Sexfilmchen auf den Index.

Knapp 59 000 Webadressen sind inzwischen in Russland gesperrt. Darunter Online-Casinos und eindeutig extremistische Seiten. Aber auch Kreml-kritische Ressourcen wie etwa die russischsprachige Seite des Ex-Schachweltmeisters und Putin-Gegners Garri Kasparow (kasparov.ru).

Als Roskomnadsor im September 2016 den Marktführer PornHub aus Russland verbannte, lieferten sich die Betreiber einen Twitter-Schlagabtausch mit den Zensoren: "Wenn wir euch einen kostenlosen Premium-Zugang schenken, nehmt ihr uns dann wieder von der Stopp-Liste?", fragten sie frech. Die Beamten twitterten etwas verkniffen zurück: "Tut uns Leid, wir sind hier nicht auf dem Markt. Und die Demogratie ist keine Handelsware."


Offenbar herrscht in der russischen Regierung die Überzeugung, es schade der Geburtenrate, wenn zu viel sexuelle Energie durch den Konsum von Nacktfilmchen vergeudet wird. Allerdings geht sie dabei nicht konsequent vor: Im russischen Facebook-Klon VKontakte sind nicht nur Raubkopien vieler Kino-Blockbuster frei zugänglich, sondern auch Pornografie aller Couleur, auch ganz üble.

Der positive Nebeneffekt kam im Januar bei einem Treffen von Verteidigern eines freien Internet im Moskauer Sacharow-Zentrum zur Sprache. Andrej Soldatow, Experte für Geheimdienste und Überwachung im Netz, erinnerte sich bei der Vorstellung seines neuen Buches an die Untergangsstimmung nach Putins Rückkehr in den Kreml 2012. Damals hätten sich die Aktivisten die Köpfe zerbrochen, wie die Menschen in Russland dazu bewegt werden könnten, Programme zu nutzen, mit denen man sich anonym im Netz bewegen und gesperrte Seiten lesen kann. "Aber seit dem Verbot von PornHub schnellen die Nutzerzahlen von Anonymizern in Russland nach oben. Roskomnadsor hat sich die Aufgabe für uns erledigt."


Sueddeutsche.de; Julian Hans; 07.02.2017
http://www.sueddeutsche.de/digital/internet-russland-zensiert-porno-seiten-ein-schwerer-fehler-1.3368267 lang=de

Sonst noch was?


Syrien, Irak, Iran, Somalia, Sudan, Libyen und Jemen stehen derzeit im Fokus der US-Sicherheitsbehörden. Dass die US-Justiz offenbar grosse Probleme damit hat, das per präsidialem Dekret erlassene Reiseverbot als verfassungskonform anzuerkennen, scheint bei der US-Regierung niemanden gross zu kümmern. Natürlich lästert Trump kräftig über Twitter und schickt seine Sprecher aus, um die verantwortlichen Richter schlecht zu reden – ein Innehalten ob des möglichen Verfassungsbruchs scheint es aber nicht zu geben. Ganz im Gegenteil.
Während die Trump Administration noch vor Gericht um das Reiseverbot streitet, macht sich der US-Heimatschutz Homeland Security bereits Gedanken darüber, wie auf anderen Wegen die vermeintliche Gefahr durch Reisende aus den sieben überwiegend muslimischen Ländern abgewendet werden kann. Der Chef von Homeland Security informierte den US-Kongress am Dienstag darüber, dass man beim Heimatschutz darüber nachdenke, die Passwörter von Social-Media-Accounts in den Visa-Anträgen von Reisenden abzufragen, die aus Syrien, Irak, Iran, Somalia, Sudan, Libyen oder Jemen in die USA wollen. Homeland Security wolle wissen “Was tust du, was sagst du?”, erklärte Kelly dem Kongress. “Wenn sie nicht kooperieren, kommen sie auch nicht rein.” Unter Barack Obama war eine ähnliche Erweiterung der Visa-Unterlagen angedacht, aber wieder verworfen worden. Allerdings nur, was die Passwörter anging. Social-Media-Accounts müssen seitdem von allen Einreisenden in den Visa-Anträgen angeben werden.

 

Gulli.com; nf; 9.2.2017
http://www.gulli.com/news/28142-einmal-reisepass-und-facebook-passwort-bitte-2017-02-09 lang=de

Praxisorientiertes Management von Informationssicherheits-, IT- und Cyber-Risiken

 

Hans-Peter Königs

ISBN-10: 3658120037

Eine umfassende Einführung

 

Fabian Schär, Aleksander Berentsen

ISBN-10: 3738653929

Ein kleiner Überblick

Da Unternehmenssicherheit mehr und mehr in Unternehmen zum Alltagsthema wird, setzen Unternehmen vermehrt auf einen Chief Information Security Officer (CISO).

 

Der Aufgabenbereich des CISO hat sich Jahren in Richtung strategischer Inhalte verschoben, um Sicherheitslücken und Probleme zu vermeiden, bevor diese eintreten. Ein guter CISO wird im Vorfeld aktiv und verhindert, dass es überhaupt zu einem Datendiebstahl oder einem längeren Ausfall der IT-Systeme kommt. Eine der wichtigsten Verantwortungsbereiche des CISO ist ein intelligentes und ganzheitliches Risiko-Management. Er verantwortet proaktiv sowohl den Schutz von Menschen, Organen als auch von Unternehmensinformationen und -technologien. Darüber hinaus ist es seine Aufgabe, die Mitarbeiter zu sensibilisieren und aufzuklären.

 

Die wichtigsten Aufgaben und Verantwortungsbereiche des CISO sind die Erarbeitung und Umsetzung sicherheitsrelevanter Massnahmen und daraus abgeleitete Sicherheitsziele für das Unternehmen.

 

Wie schwer ist es für Unternehmen, geeignete und loyale Kräfte am Markt zu rekrutieren? Es gibt keine Musterlösung um CISO zu werden - oder um einen guten CISO für das eigene Unternehmen zu finden. Unternehmen erkennen die Ernsthaftigkeit der IT-Sicherheit, haben es aber schwer, personell aufzurüsten, um geeignet qualifizierte Mitarbeiter an Bord zu holen. Dies hat zur Folge, dass auf dem Arbeitsmarkt nur wenige Experten im Bereich IT-Sicherheit verfügbar sind. Da es sich im IT-Sicherheitsbereich um einen Arbeitnehmermarkt handelt, suchen die Spezialisten bevorzugt nach Unternehmen, die technologische Vorreiter sind und die dem Kandidaten die aktuell besten Standards bieten.

 

Cio.de; Martin Krill; 01.08.2017

https://www.cio.de/a/was-ein-ciso-mitbringen-muss,3330494

12/2017

Die 5 «effektivsten» ICS-Hackerangriffe

Kein Strom mehr in der Ukraine
Im Dezember 2015 gelingt Hackern eine koordinierte Attacke auf mindestens drei Energienetzbetreiber in der Ukraine. Rund 225.000 Einwohner sind von einem mehrstündigen Ausfall der Stromversorgung betroffen.

 

Spitäler sind auch nicht mehr ausgenommen
Im Februar 2016 schleusen Unbekannte einen Ransomware-Trojaner in das Netzwerk eines Krankenhauses in Neuss in Deutschland ein. Die Kosten für die Analyse des Hackerangriffs und die Wiederherstellung des IT-Betriebs betragen ungefähr eine Million Euro.

 

Cyberangriffe auf die internationale Bankeninfrastruktur
2016 wird bekannt, dass sich unbekannte Personen sich nicht autorisierten Zugang zu Dienstleistungen des SWIFT-Systems verschaffen konnten. Die erfolgten Angriffe auf eine Zentralbank von Bangladesch, eine Bank in Ecuador und eine Bank in der Ukraine verursachten einen Folgeschaden von mehr als 100 Millionen US-Dollar.

 

ITK-Provider verursachen Millionen von Ausfallstunden
Im aktuellen BSI-Lagebericht werden drei grosse Störungen bei ITK-Providern erwähnt. Insgesamt fielen ungefähr 36 Millionen Nutzerstunden in den Bereichen Telefonie und Internet aus.

 

Petya auch hier
Der Verschlüsselungstrojaner Petya (alias NotPetya, ExPetr, DiskCoder.C) setzte die IT-Systeme zahlreicher Organisationen schachmatt. In einigen Fällen hatte der Angriff massive Auswirkungen auf Produktion und Geschäftsprozesse.

 

Cio.de; Marcus Pauli; 10.11.2017
https://www.cio.de/a/die-5-schlimmsten-ics-hacks,3331728

 

12/2017

Die DSGVO (Datenschutz-Grundverordnung) tritt im kommenden Mai in Kraft und wird damit das Datenschutzrecht der EU vereinheitlichen, aber auch teilweise hier in der Schweiz anwendbar sein. Wie bekannt ist, wird Non-Compliance die Unternehmen sehr teuer zu stehen kommen und die mit der DSGVO einhergehenden organisatorischen Probleme harren bei vielen Unternehmen immer noch der Lösung.

Die DSGVO deckt primär die folgenden Gebiete ab:

  • Recht auf Vergessenwerden: Personenbezogene Daten müssen auf Anfrage durch Organisationen unverzüglich gelöscht werden
  • Privacy by Design: Die eingesetzten IKT-Systeme und -Technologien haben das Prinzip der Datensparsamkeit befolgen
  • Datenpannen: Im Fall der Fälle müssen Organisationen die Aufsichtsbehörden und Betroffenen innerhalb von 72 Stunden informieren
  • Datenschutz-Folgenabschätzung: Risiken und mögliche Folgen für die Betroffenen bei der Verarbeitung von sensiblen personenbezogenen Daten müssen durch die Organisationen vorgängig bewertet werden
  • Freiwillige Einwilligung: Organisationen müssen eine spezifische und durch die Betroffenen jederzeit widerrufbare Einwilligung zur Sammlung personenbezogener Daten einholen
  • Datenübertragbarkeit: Personenbezogene Daten müssen den Betroffenen in einem gebräuchlichen Format zur Verfügung gestellt werden

Es bleibt nicht mehr viel Zeit bis zum Stichtag – mit den folgenden Themen müssen sich Unternehmen bis dahin noch befassen:

  • Benennung eines EU-DSGVO-Experten, der das Unternehmen und die interne IT-Landschaft genau kennt
  • Einen Überblick über die vorhandene Sicherheitsorganisation und die Sicherheitssysteme erhalten
  • Prüfung einer möglichen Zertifizierung (z.B. nach ISO 27001)
  • Überprüfung der eingesetzten Massnahmen zum Schutz sensibler Daten
  • Schaffung der Voraussetzungen zur DSGVO-Umsetzung
  • Bestimmung und Dokumentation der aus der DSGVO entstehenden erforderlichen Kommunikationsabläufe
  • Überprüfung der Lieferantenvereinbarungen und -verträge bezüglich möglichen Handlungsbedarfs hinsichtlich der DSGVO
  • Datenklassifizierung zur Unterstützung der Datenschutz-Folgenabschätzung
  • Einbindung aller erforderlichen Abteilungen und Bereiche um sicherzustellen, dass alle Anforderungen abgedeckt werden können.

 

Nexus-ag.de; 09.11.2017
https://www.it-daily.net/it-sicherheit/datenschutz/17172-fit-fuer-die-eu-datenschutz-grundverordnung

 

01/2018

Big Data ist schon seit Längerem ein Schlüsselbegriff für die Digitalisierung, der sowohl für Chancen als auch für Risiken steht. Die Chancen liegen primär im wirtschaftlichen Bereich, und in zweiter Linie bilden Big Data eine Ressource für die zivile Sicherheit.

Die Risiken liegen in der intransparenten Beobachtung und möglichen Fremdsteuerung des Verhaltens von Kunden und Bürgern. Unter Big Data versteht man die Sammlung, Zusammenführung und Auswertung von Daten über alle Lebenszyklen von Gütern und über ihre Umgebungen bei der Beschaffung, Herstellung, Ausführung und beim Vertrieb und Kundendienst. Die Daten kommen aus allen Bereichen über einzelne Firmen, Branchen und Ländergrenzen hinweg zusammen, und zwar sehr schnell – oft online während der Entstehungsprozesse, aus den verschiedensten Quellen und in grosser Menge.

 

Mithilfe von Big Data können Produktions- und Logistiksteuerung von Massenwaren in grossen Produktionsstrassen und Vertriebsnetzen verbessert und kostengünstiger gestaltet werden. Sie erlauben die Optimierung von Dienstleistungen und eine schnellere und sachnähere Bedienung von Kunden.

 

Ein typischer Mechanismus zur Sammlung von Webnutzungsdaten sind Cookies. Das sind kleine Datensätze, die ein Nutzer beim Aufruf einer Webseite in seinem Browser speichert. Cookies enthalten ein Pseudonym des Nutzers (wie eine Garderobenmarke) und die Adresse der gerade aufgerufenen Webseite. Beim nächsten Aufruf der Webseite durch den Nutzer wird das Cookie an den Webserver zurückgeschickt und dieser erkennt seinen Nutzer wieder und kann an die vorherige Sitzung anknüpfen.
Cookies, die mithilfe eingebetteter Bilder oder Logos von Drittanbietern bei verschiedenen Webservices untergebracht sind, erlauben den Drittanbietern die Spurenverfolgung über eben diese verschiedenen Webservices hinweg, das nennt man Tracking. Weit verbreitete Tracker stammen von Doubleclick und Adition mit dem Ziel der personalisierten Werbung und von Google-Analytics zur Erstellung von Statistiken über die Nutzung von Webseiten.
Cookies sind übrigens nicht die einzigen Tracking-Mechanismen. Mit denselben technischen und algorithmischen Mitteln, mit denen Anbieter Kunden und ihr Verhalten auswerten, können Bürger in ihrem Verhalten beobachtet werden, mit dem Ziel, daraus kriminelle oder gar terroristische Tätigkeiten herauszufiltern.

 

Algorithmen müssen sich zwangsläufig an einer jeweiligen Anwendungsaufgabe orientieren. Zum Beispiel leitet ein Werbealgorithmus aus dem Kauf eines Reiseführers und dem Buchen einer Fahrkarte zum selben Reiseziel sowie aus der Kenntnis bisher gebuchter Hotelkategorien ab, dass dieser Nutzer bereit ist, ein Hotel am Reiseziel zu einer gewohnten Hotelkategorie zu buchen. Diese Hotelkategorie wird dann punktgenau angeboten.
Ein Algorithmus zur Kriminalitätsbekämpfung dagegen würde zum Beispiel aus dem Surfen über Waffenangebote und bestimmte Lokale, die als Treffpunkte gewaltbereiter Menschen aufgefallen sind, eine Zugehörigkeit zu einer Gewaltszene ableiten. Das könnte zur polizeilichen Überwachung dieser Person und der auffällig werdenden Lokale führen.

 

Pcwelt.de; Rüdiger Grimm; 20.12.2017
https://www.pcwelt.de/a/datenschutz-und-big-data-daten-nutzen-ohne-die-freiheit-einzuschraenken,3449183

01/2018

Eine unbekannte Person machte sich im September dieses Jahres via Internet am Abwassernetz einer deutschen Stadt zu schaffen: aus den USA verschaffte er sich Zugang zu den Pumpensteuerungssystemen. Diese Systeme aus Rohren, Sammelbecken, Schiebern und Pumpen sind miteinander vernetzt und können von einer Leitzentrale aus gesteuert werden. Teils sind diese Anlagen mit eigenen Glasfasersträngen verbunden, teils sind sie aber auch via Modems u.ä. an das Internet angebunden.

Die grosse Zahl von Endpunkten bietet einem Hacker Tausende von Möglichkeiten, das erwähnte Abwassernetz zu attackieren. Würde es stark regnen, könnten Angreifer eine Stadt weitgehend lahmlegen: Überschwemmungen, nicht gereinigte Abwässer, die sich zurückstauen, möglicherweise sogar Überflutungen durch sanitäre Abwässer in den Strassen. Pech für den Angreifer war jedoch, dass der Angriff erkannt wurde und Gegenmassnahmen ergriffen werden konnten.

 

Es geht hier aber nicht nur um Abwasser in der Strasse und möglicher damit einhergehender Gefährdungen. Regierungen sind sich bewusst, dass nebst Stromversorgern kritische Infrastrukturen wie Banken, das Gesundheitswesen, Medien und andere ähnliche Einrichtungen immer wieder das Ziel von Cyberattacken sind.
Ob das Motiv nun darin besteht, Geld zu erpressen oder ob es darum geht, Angst, Schrecken und Verunsicherung zu verbreiten – die Anfälligkeit einer Hochleistungsgesellschaft steigt mit der fortschreitenden Vernetzung, die Verwundbarkeit wächst exponentiell. Sabotageattacken seien daher in Betracht zu ziehen, schreibt die Behörde. Und: Dass dabei Menschen zu Schaden kommen könnten, sei "ebenfalls einzukalkulieren".

 

Terroranschläge über das Internet sind schon längere Zeit möglich, jedoch aufwendig und kostspielig. Momentan wird eher davon ausgegangen, dass sich Nationalstaaten solcher Mittel bedienen, jedoch ist es gut möglich, dass mit der zunehmenden Vernetzung und seitens Angreifern gewachsenem Know-how sich dieser Schwerpunkt auf Cyberkrieger aller Couleur verlagern könnte.

 

Spiegel.de; Jörg Diehl, Nicolai Kwasniewski, Fabian Reinbold; 07.12.2017
http://www.spiegel.de/netzwelt/web/so-bedrohen-hacker-wasserversorgung-stromnetz-und-kliniken-a-1181325.html

02/2018

Antwort und Beispiele: Die Datenschutz-Grundverordnung gilt für

  • ein Unternehmen oder eine Einrichtung, welches oder welche personenbezogene Daten im Rahmen der Tätigkeiten einer in der EU ansässigen Zweigstelle verarbeitet, unabhängig davon, wo die Datenverarbeitung stattfindet; oder
  • ein Unternehmen, das ausserhalb der EU ansässig ist und Waren/Dienstleistungen (bezahlt oder unentgeltlich) anbietet oder das Verhalten von Personen in der EU beobachtet.

 

Wenn Ihr Unternehmen ein kleines oder mittleres Unternehmen (KMU) ist, das personenbezogene Daten gemäss den oben genannten Beschreibungen verarbeitet, müssen Sie die Bestimmungen der Datenschutz-Grundverordnung erfüllen. Wenn die Verarbeitung personenbezogener Daten jedoch nicht zu den Kerntätigkeiten Ihres Unternehmens gehört und Ihre Tätigkeit keinerlei Risiko für Personen darstellt, gelten einige der Pflichten der Datenschutz-Grundverordnung für Sie nicht verbindlich (zum Beispiel die Ernennung eines Datenschutzbeauftragten). Beachten Sie, dass die „Kerntätigkeiten“ Tätigkeiten umfassen sollten, bei denen die Verarbeitung von Daten einen untrennbaren Teil der Tätigkeiten des Verantwortlichen oder Auftragsverarbeiters bilden muss.

 

Beispiele:

Anwendungsbereich der Verordnung eröffnet
Ihr Unternehmen ist ein kleines Unternehmen im Bereich der Hochschulbildung und ist mit einer Niederlassung mit Sitz ausserhalb der EU online tätig. Es hat in erster Linie Universitäten mit spanischer und portugiesischer Sprache in der EU als Zielgruppe. Es bietet kostenlose Beratung für eine Reihe von Studiengängen, und die Studenten benötigen für den Zugriff auf Ihre Online-Materialien einen Benutzernamen und ein Kennwort. Ihr Unternehmen stellt diesen Benutzernamen und das Kennwort bereit, sobald die Studenten ein Anmeldeformular ausgefüllt haben.

 

Anwendungsbereich der Verordnung nicht eröffnet
Ihr Unternehmen ist ein Dienstleister mit Sitz ausserhalb der EU. Es bietet Kunden ausserhalb der EU Dienstleistungen an. Seine Kunden können seine Dienste nutzen, wenn sie in andere Länder reisen, auch innerhalb der EU. Sofern Ihr Unternehmen seine Dienste nicht gezielt auf Personen in der EU ausrichtet, fällt es nicht unter die Vorschriften der Datenschutz-Grundverordnung.

 

Europäische Kommission; BOW; 30.01.2018
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/application-regulation/who-does-data-protection-law-apply_de

02/2018

Antwort: Nein, die Vorschriften gelten ausschliesslich für personenbezogene Daten natürlicher Personen, sie regeln nicht die Daten von Unternehmen oder anderen juristischen Personen. Einpersonengesellschaften betreffende Informationen können jedoch personenbezogene Daten darstellen, wenn sie die Identifizierung einer natürlichen Person ermöglichen.

Die Vorschriften gelten ebenfalls für alle personenbezogenen Daten von natürlichen Personen in Ausübung einer beruflichen Tätigkeit, zum Beispiel geschäftliche E-Mail-Adressen wie „vorname.nachname@unternehmen.eu“ oder die beruflichen Telefonnummern der Mitarbeiter.

 

Europäische Kommission; BOW; 30.01.2018
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/application-regulation/do-data-protection-rules-apply-data-about-company_de

02/2018

Antwort und Beispiel: Die Art und Anzahl der personenbezogenen Daten, die ein Unternehmen/eine Organisation verarbeiten kann, hängt vom Grund ihrer Verarbeitung (rechtlicher Grund) und der beabsichtigen Nutzung ab. Das Unternehmen/die Organisation muss mehrere wesentliche Vorschriften beachten, unter anderem:

  • müssen personenbezogene Daten auf rechtmässige und nachvollziehbare Weise verarbeitet werden, und gegenüber den Personen, deren Daten verarbeitet werden, muss Fairness gewährleistet sein („Rechtmässigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
  • müssen bestimmte Zwecke für die Verarbeitung der Daten festgelegt sein und diese Zwecke den Personen, deren Daten Sie erheben, mittgeteilt werden; ein Unternehmen/eine Organisation darf personenbezogene Daten nicht zu unbestimmten Zwecken erheben („Zweckbindung“);
  • das Unternehmen/die Organisation darf ausschliesslich jene personenbezogenen Daten erheben und verarbeiten, die zur Erfüllung dieses Zwecks erforderlich sind („Datenminimierung“);
  • das Unternehmen/die Organisation muss sicherstellen, dass die personenbezogenen Daten sachlich richtig und auf dem neuesten Stand hinsichtlich der Zwecke sind, für die sie verarbeitet werden, und sie berichtigen, wenn dies nicht der Fall ist („Richtigkeit“);
  • das Unternehmen/die Organisation darf die personenbezogenen Daten nicht für andere Zwecke nutzen, die nicht mit dem ursprünglichen Zweck der Erhebung vereinbar sind;
  • das Unternehmen/die Organisation muss sicherstellen, dass personenbezogene Daten nicht länger als für die Zwecke, für die sie erhoben wurden, erforderlich gespeichert werden („Speicherbegrenzung“);
  • das Unternehmen/die Organisation muss angemessene technische und organisatorische Garantien einbauen, mit denen die Sicherheit der personenbezogenen Daten, einschliesslich Schutz vor unbefugter oder unrechtmässiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung gewährleistet wird („Integrität und Vertraulichkeit“).

 

Beispiel:

Ihr Unternehmen/Ihre Organisation betreibt ein Reisebüro. Wenn Sie die personenbezogenen Daten Ihrer Kunden erhalten, müssen Sie in einer klaren und einfachen Sprache erklären, weshalb Sie die Daten benötigen, wie Sie sie nutzen und wie lange Sie beabsichtigen, diese aufzubewahren. Die Verarbeitung sollte so angepasst werden, dass die wesentlichen Datenschutzgrundsätze eingehalten werden.

 

Europäische Kommission; BOW; 30.01.2018
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/principles-gdpr/overview-principles/what-data-can-be-processed-and-under-which-conditions_de

02/2018

Antwort: Nein. Der Zweck der Verarbeitung personenbezogener Daten muss bekannt sein und die Personen, deren Daten verarbeitet werden, müssen darüber unterrichtet werden. Es ist nicht möglich, einfach anzugeben, dass personenbezogene Daten erhoben und verarbeitet werden. Dieser Grundsatz wird als „Zweckbindung“ bezeichnet.

 

Europäische Kommission; BOW; 30.01.2018
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/principles-gdpr/purpose-data-processing/can-data-be-processed-any-purpose_de

02/2018

Antwort und Beispiele: Ja, aber nur in bestimmten Fällen. Wenn ein Unternehmen/eine Organisation Daten auf der Grundlage eines berechtigten Interesses, eines Vertrags oder lebenswichtiger Interessen erhoben hat, dürfen diese für einen anderen Zweck verwendet werden, aber erst, nachdem überprüft wurde, dass der neue Zweck mit dem ursprünglichen Zweck vereinbar ist.

 

Folgendes sollte berücksichtigt werden:

  • die Verbindung zwischen dem ursprünglichen und neuen/zukünftigen Zweck;
  • der Zusammenhang, in dem die Daten erhoben wurden (Welche Beziehung besteht zwischen Ihrem Unternehmen/Ihrer Organisation und der betroffenen Person?);
  • die Art der Daten (Sind es sensible Daten?);
  • die möglichen Folgen der beabsichtigten Weiterverarbeitung (Welche Auswirkungen hat sie für die betroffene Person?);
  • das Vorhandensein geeigneter Garantien (wie Verschlüsselung oder Pseudonymisierung).

 

Wenn Ihr Unternehmen/Ihre Organisation die Daten für Statistiken oder wissenschaftliche Forschung nutzen möchte, ist es nicht erforderlich, die Vereinbarkeitsprüfung durchzuführen.

 

Wenn Ihr Unternehmen/Ihre Organisation die Daten auf der Grundlage einer Einwilligung oder einer rechtlichen Bestimmung erhoben hat, ist eine Weiterverarbeitung über die durch die ursprüngliche Einwilligung oder rechtliche Bestimmung abgedeckten Bereiche hinaus nicht möglich. Für die weitere Verarbeitung wäre die Einholung einer neuen Einwilligung oder eine neue Rechtsgrundlage erforderlich.

 

Beispiele:

Weiterverarbeitung möglich

Eine Bank verfügt über einen Vertrag mit einem Kunden, der dem Kunden ein Bankkonto und ein Privatdarlehen gewährt. Am Ende des ersten Vertragsjahrs verwendet die Bank die personenbezogenen Daten des Kunden, um zu überprüfen, ob er für eine bessere Darlehensvariante und einen Sparplan infrage kommt. Sie unterrichtet den Kunden. Die Bank darf die Kundendaten erneut verarbeiten, da der neue Zweck mit den ursprünglichen Zwecken vereinbar ist.

 

Weiterverarbeitung nicht möglich

Dieselbe Bank möchte die Kundendaten auf der Grundlage des genannten Vertrags für ein Bankkonto und ein Privatdarlehen an ein Versicherungsunternehmen weitergeben. Diese Verarbeitung ist ohne die ausdrückliche Einwilligung des Kunden unzulässig, da der Zweck nicht mit dem ursprünglichen Zweck der Datenverarbeitung vereinbar ist.

 

Europäische Kommission; BOW; 30.01.2018
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/principles-gdpr/purpose-data-processing/can-we-use-data-another-purpose_de

02/2018

Antwort und Beispiel: Personenbezogene Daten sollten nur verarbeitet werden, wenn es nach allgemeinem Ermessen unmöglich ist, die Verarbeitung auf andere Weise durchzuführen. Sofern es möglich ist, sollten möglichst anonyme Daten verwendet werden.

 

Wenn personenbezogene Daten erforderlich sind, sollten diese dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Mass beschränkt sein („Datenminimierung“). Es obliegt der Verantwortung Ihres Unternehmens/Ihrer Organisation, als Verantwortlicher zu bewerten, wie viele Daten erforderlich sind, und zu gewährleisten, dass nicht relevante Daten nicht erhoben werden.

 

Beispiel:

Ihr Unternehmen/Ihre Organisation bietet Car Sharing-Dienstleistungen für Privatpersonen an. Für diese Dienste benötigt es/sie Name, Adresse und Kreditkartennummer der Kunden und eventuell Informationen darüber, ob die Person eine Behinderung hat (also Gesundheitsdaten), nicht aber über die rassische Herkunft.

 

Europäische Kommission; BOW; 30.01.2018
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/principles-gdpr/data-minimisation/how-much-data-can-be-collected_de

02/2018

Antwort und Beispiel: Daten müssen so kurz wie möglich gespeichert werden. Der Zeitraum sollte die Gründe für die Verarbeitung der Daten sowie rechtliche Verpflichtungen zur Aufbewahrung der Daten für einen festgelegten Zeitraum (zum Beispiel wenn das nationale Arbeits-, Steuer- oder Betrugsbekämpfungsrecht vorsieht, dass Ihr Unternehmen/Ihre Organisation personenbezogene Daten der Mitarbeiter für einen festgelegten Zeitraum aufbewahren muss, Dauer der Produktgewährleistung, usw.) berücksichtigen.

 

Ihr Unternehmen/Ihre Organisation sollte Fristen zur Löschung oder Überprüfung der gespeicherten Daten festlegen.

 

Ausnahmsweise dürfen personenbezogene Daten zu Archivzwecken im öffentlichen Interesse oder bei wissenschaftlicher oder historischer Forschung länger aufbewahrt werden, sofern geeignete technische und organisatorische Massnahmen (wie Anonymisierung, Verschlüsselung usw.) getroffen werden.

 

Ihr Unternehmen/Ihre Organisation muss zudem sicherstellen, dass die aufbewahrten Daten sachlich richtig und auf dem neuesten Stand sind.

 

Beispiel:

Daten wurden zu lange ohne Aktualisierung aufbewahrt

Ihr Unternehmen/Ihre Organisation betreibt eine Arbeitsvermittlung und sammelt zu diesem Zweck die Lebensläufe von Personen, die eine Beschäftigung suchen und Ihnen für Ihre Vermittlungsdienstleistungen ein Entgelt zahlen. Sie planen, die Daten 20 Jahre lang aufzubewahren, und treffen keine Massnahmen zur Aktualisierung der Lebensläufe. Die Speicherfrist erscheint dem Zweck, kurz- bis mittelfristig Beschäftigung für eine Person zu finden, unangemessen. Die Tatsache, dass Sie keine regelmässige Aktualisierung der Lebensläufe verlangen, macht einige der Suchanfragen für die Beschäftigung suchende Person nach einem gewissen Zeitraum nutzlos (zum Beispiel da die Person neue Qualifikationen erworben hat).

 

Europäische Kommission; BOW; 30.01.2018
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/principles-gdpr/storage-periods/how-long-can-data-be-kept-and-it-necessary-update-it_de

02/2018

Antwort: Zum Zeitpunkt der Erhebung ihrer Daten müssen Personen mindestens über Folgendes in klarer Weise informiert werden:

  • wer Ihr Unternehmen/Ihre Organisation ist (Ihre Kontaktdaten und die Kontaktdaten Ihres Datenschutzbeauftragten, falls zutreffend);
  • warum Ihr Unternehmen/Ihre Organisation die personenbezogenen Daten nutzen wird (Zwecke);
  • die Kategorien personenbezogener Daten, die verarbeitet werden;
  • die Rechtsgrundlage für die Verarbeitung ihrer Daten;
  • wie lange die Daten aufbewahrt werden;
  • welche weiteren Empfänger die Daten erhalten könnten;
  • ob die personenbezogenen Daten in ein Land ausserhalb der EU übermittelt werden;
  • dass sie das Recht auf eine Kopie der Daten (Auskunftsrecht) sowie weitere grundlegende Rechte im Bereich des Datenschutzes (siehe vollständige Liste der Rechte) haben;
  • das Bestehen ihres Beschwerderechts bei einer Datenschutzbehörde;
  • ihr Recht, die Einwilligung jederzeit zurückzuziehen;
  • sofern zutreffend, das Bestehen einer automatisierten Entscheidungsfindung, nach welcher Logik die entsprechende Verarbeitung erfolgt und welche Auswirkungen sie hat.

 

Siehe die vollständige Liste der bereitzustellenden Informationen.

 

Die Informationen können schriftlich oder mündlich auf Antrag der Person, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde, oder gegebenenfalls auf elektronischem Weg erteilt werden. Ihr Unternehmen/Ihre Organisation muss diese in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache sowie unentgeltlich übermitteln.

 

Falls Daten durch ein anderes Unternehmen/eine andere Organisation erhoben werden, sollte Ihr Unternehmen/Ihre Organisation der betroffenen Person die oben genannten Informationen spätestens innerhalb eines Monats nach Erhebung der personenbezogenen Daten erteilen; oder sofern Ihr Unternehmen/Ihre Organisation mit der Person kommuniziert, zum Zeitpunkt, zu dem die Daten zur Kommunikation mit der betroffenen Person verwendet werden; oder falls die Offenlegung an ein anderes Unternehmen beabsichtigt ist, zum Zeitpunkt der ersten Offenlegung der personenbezogenen Daten.

 

Ihr Unternehmen/Ihre Organisation ist ebenso verpflichtet, die Person über die Kategorien von Daten und darüber zu unterrichten, aus welcher Quelle die personenbezogenen Daten stammen, einschliesslich der Information, ob die Daten aus öffentlich zugänglichen Quellen stammen. Unter bestimmten, in Artikel 13 Absatz 4 und Artikel 14 Absatz 5 der Datenschutz-Grundverordnung aufgeführten Umständen kann Ihr Unternehmen/Ihre Organisation von der Pflicht, die Person zu unterrichten, befreit werden. Prüfen Sie, ob eine solche Befreiung auf Ihr Unternehmen/Ihre Organisation zutrifft.

 

Europäische Kommission; BOW; 30.01.2018
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/principles-gdpr/transparency/what-information-must-be-given-individuals-whose-data-collected_de

02/2018

Antwort und Beispiele: Ihr Unternehmen/Ihre Organisation darf nur unter folgenden Umständen personenbezogene Daten verarbeiten:

  • mit Einwilligung der betroffenen Personen;
  • bei Bestehen einer vertraglichen Verpflichtung (ein Vertrag zwischen Ihrem Unternehmen/Ihrer Organisation und einem Kunden);
  • zur Erfüllung einer rechtlichen Verpflichtung (nach EU- oder nationalem Recht);
  • wenn die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse (nach EU- oder nationalem Recht) erforderlich ist;
  • zum Schutz lebenswichtiger Interessen einer Person;
  • aus berechtigten Interessen Ihrer Organisation, aber nur, nachdem sichergestellt wurde, dass die Grundrechte und Grundfreiheiten der betroffenen Person bei der Datenverarbeitung nicht ernsthaft beeinträchtigt werden. Wenn die Rechte der Person die Interessen Ihrer Organisation überwiegen, scheidet das berechtigte Interesse Ihrer Organisation als Grundlage für die Datenverarbeitung aus. Die Bewertung, ob das berechtigte Interesse Ihres Unternehmens/Ihrer Organisation an der Verarbeitung die Interessen der betroffenen Personen überwiegt, hängt von den Umständen des Einzelfalls ab.

Beispiele:

Einwilligung

Ihr Unternehmen/Ihre Organisation bietet eine Musik-App an und verlangt nach der Einwilligung der Nutzer zur Verarbeitung ihrer musikalischen Vorlieben, um passende Musiktitel und mögliche Konzerte zu empfehlen.

 

Vertragliche Verpflichtung

Ihr Unternehmen/Ihre Organisation verkauft Waren online. Es/sie darf Daten verarbeiten, die erforderlich sind, um vor Abschluss des Vertrags und zur Vertragsabwicklung auf Verlangen des einzelnen Kunden die erforderlichen Massnahmen zu ergreifen. Sie können also den Namen des Kunden, die Lieferadresse, die Kreditkartennummer (bei Kartenzahlung) usw. verarbeiten.

 

Rechtliche Verpflichtung

Sie führen ein Unternehmen mit Mitarbeitern. Sie sind im Rahmen der Sozialversicherung gesetzlich dazu verpflichtet, der zuständigen Behörde personenbezogene Daten (zum Beispiel wöchentliches Einkommen Ihrer Mitarbeiter) zur Verfügung zu stellen.

 

Öffentliches Interesse

Beispiel: Eine Berufsvereinigung, wie zum Beispiel eine Anwalts- oder Ärztekammer, der die entsprechende öffentliche Gewalt übertragen wurde, kann Disziplinarverfahren gegen ihre Mitglieder durchführen.

 

Lebenswichtiges Interesse einer Person

Ein Krankenhaus behandelt einen Patienten nach einem verheerenden Verkehrsunfall. Das Krankenhaus benötigt nicht die Einwilligung dieser Person, um nach ihrem Ausweis zu suchen, um zu überprüfen, ob in der Datenbank des Krankenhauses die medizinische Vorgeschichte zu finden ist, oder um ihre Angehörigen zu kontaktieren.

 

Die berechtigten Interessen Ihrer Organisation

Ihr Unternehmen/Ihre Organisation stellt die Netzwerksicherheit sicher, indem Sie die Nutzung der IT-Geräte Ihrer Mitarbeiter überwachen. Ihr Unternehmen/Ihre Organisation darf personenbezogene Daten zu diesem Zweck nur dann verarbeiten, wenn Sie die schonendste Methode hinsichtlich der Privatsphäre und Datenschutzrechte Ihrer Mitarbeiter anwenden, zum Beispiel indem Sie den Zugriff auf bestimmte Websites einschränken. (Beachten Sie, dass dies in EU-Mitgliedstaaten, in denen das nationale Recht strengere Vorschriften für die Verarbeitung im Arbeitsumfeld vorsieht, nicht möglich ist).

 

Europäische Kommission; BOW; 30.01.2018
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/grounds-processing/when-can-personal-data-be-processed_de

Gewährleistung der Vertraulichkeit, Verfügbarkeit und Integrität von Informationen und Daten.

Die 360° Security View: Sicherheit als Ganzes und in Teilbereiche betrachten. Bewerten, planen und umsetzen.

Umfassende Einführung und Good Practice für die Sicherheit in der Cloud (DSG inkl. DSGVO Basic)

Rechte und Pflichten: rechtliche Anforderungen, technische Grundlagen und praktische Umsetzung.

Gefahrensituationen, die von Menschen ausgehen, erkennen. Konflikte analysieren und lösen.

Workshop zur Feststellung der Wirksamkeit des Datenschutzes nach DSG & DSGVO in Ihrem Unternehmen.

Firmenschulung DEF

Alles Wichtige zu Informations- und IT-Sicherheit und für den sicheren Umgang mit Ihren Informationen und Daten.

FirmenschulungDEF

Workshop zur Bestimmung der Konformität & weiteren Schritte zur Konformitätsumsetzung nach DSGVO.

Firmenschulung DEF

Workshop zur Erstellung und Führung eines mit Artikel 30 DSGVO konformen Verarbeitungsverzeichnisses.

Firmenschulung DEF

Workshop zur Erstellung einer mit Artikel 35 DSGVO konformen Datenschutz-Folgenabschätzung (DSFA).

Firmenschulung DEF

Workshop über das Wichtigste zur DSGVO und relevanter Managementsensibilisierung.

Firmenschulung DEF

Grundlagen über Vertraulichkeit, Verfügbarkeit und Integrität von Informationen und Daten.

Information Security Management System (ISMS) nach ISO 27001 auditieren, mit Prüfungsabschluss.

Risiken abschätzen und senken, Information Security Management System einrichten und betreiben.

Haben Sie eine Weiterbildung mit einem Titel gemacht, dessen Aufrechterhaltung eine Weiterbildungspflicht beinhaltet?

Gerne bestätigen wir Ihnen als Ausbildungsinstitut die Anzahl besuchter Stunden an einem unserer Lehrgänge oder Themenkurse.

Diese Bestätigung können Sie bei Ihrer Organisation, die Ihnen den Zertifikatstitel vergeben hat, vorlegen. Diese Organisationen entscheiden frei, ob Sie und wie viele Anzahl CPE Hours oder CPE Credits (continuing professional education) erhalten.

Bitte senden Sie uns die nötigen Angaben zu Ihrem besuchten Swiss Infosec AG-Anlass. Der Weiterbildungsnachweis wird Ihnen nach interner Prüfung zugestellt.

Die Swiss Infosec AG unterstützt Sie auf Ihrem Weg zu mehr Sicherheitskompetenz und steht Ihnen auch gerne beratend zur Seite. Zögern Sie deshalb nicht, uns zu kontaktieren: +41 41 984 12 12, infosec@infosec.ch


Ausbildungsnachweis
Natürlich 100% vertraulich, kostenfrei und unverbindlich!


03/2018

Antwort: Als Unternehmen/Organisation müssen Sie häufig personenbezogene Daten verarbeiten, um Aufgaben im Rahmen Ihrer Geschäftstätigkeit durchzuführen. Die Verarbeitung personenbezogener Daten in diesem Zusammenhang ist nicht notwendigerweise durch eine rechtliche Verpflichtung begründet oder dient der Erfüllung der Bestimmungen eines Vertrags mit einer Person. In solchen Fällen kann die Datenverarbeitung durch 'berechtigte Interessen' gerechtfertigt sein.

 

Ihr Unternehmen/Ihre Organisation muss die betroffenen Personen über die Verarbeitung unterrichten, wenn es/sie deren personenbezogene Daten erhebt.

Ihr Unternehmen/Ihre Organisation muss ebenfalls sicherstellen, dass es/sie mit der Verfolgung seiner/ihrer berechtigten Interessen die Rechte und Freiheiten dieser Personen nicht ernsthaft beeinträchtigt, denn sonst kann Ihr Unternehmen/Ihre Organisation sich zur Begründung der Verarbeitung der Daten nicht auf berechtigte Interessen berufen und muss eine andere Rechtsgrundlage finden.

 

Beispiel: Ihr Unternehmen/Ihre Organisation hat ein berechtigtes Interesse, wenn die Verarbeitung in einem Kundenverhältnis stattfindet, wenn es personenbezogene Daten für Zwecke der Direktwerbung verarbeitet, um Betrug zu verhindern oder die Netzwerk- und Informationssicherheit Ihres IT-Systems sicherzustellen.

 

Europäische Kommission; 28.02.2018; bow

https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/grounds-processing/what-does-grounds-legitimate-interest-mean_de

 

03/2018

Antwort: Wenn eine Einwilligung zur Verarbeitung personenbezogener Daten erforderlich ist, müssen die folgenden Bedingungen erfüllt sein, damit diese Einwilligung Gültigkeit besitzt:

  • sie muss freiwillig erfolgen;
  • sie muss in informierter Weise geschehen;
  • sie muss für einen bestimmten Zweck gegeben werden;
  • auf alle Gründe für die Verarbeitung muss unmissverständlich hingewiesen werden;
  • sie muss ausdrücklich sein und durch eine bestätigende Handlung erfolgen (zum Beispiel ein elektronisches Kontrollkästchen, das die Person online ausdrücklich bestätigen muss, oder eine Unterschrift auf einem Formular);
  • sie nutzt eine klare und einfache Sprache und ist eindeutig wahrnehmbar;
  • es ist möglich, die Einwilligung zu widerrufen, und diese Möglichkeit wird erklärt (zum Beispiel ein Abmeldelink am Ende eines per E-Mail empfangenen Newsletters).

 

Damit die Einwilligung als freiwillig gilt, muss die Person die freie Wahl haben und in der Lage sein, die Einwilligung zu verweigern oder zurückzuziehen, ohne dadurch Nachteile zu erleiden. Die Einwilligung erfolgt nicht freiwillig, wenn zum Beispiel ein klares Ungleichgewicht zwischen der Person und dem Unternehmen/der Organisation besteht (zum Beispiel Beziehung zwischen Arbeitgeber und Arbeitnehmer) oder wenn ein Unternehmen/eine Organisation Personen als Bedingung für die Erfüllung eines Vertrags oder einer Dienstleistung zur Einwilligung in die Verarbeitung nicht erforderlicher personenbezogener Daten auffordert.

 

Die Einwilligung gilt als in informierter Weise gegeben, wenn die Person zumindest folgende Informationen erhält:

  • die Identität der für die Datenverarbeitung verantwortlichen Organisation;
  • die Zwecke der Datenverarbeitung;
  • die Art der verarbeiteten Daten;
  • die Möglichkeit, die Einwilligung zu widerrufen (zum Beispiel ein Abmeldelink am Ende einer E-Mail);
  • falls zutreffend, die Absicht, die Daten ausschliesslich für eine automatisierte Entscheidungsfindung einschliesslich Profiling zu verwenden;
  • wenn die Einwilligung sich auf eine internationale Datenübermittlung bezieht, die möglichen Risiken von Datenübermittlungen in Drittländer die nicht Gegenstand eines Angemessenheitsbeschlusses der Kommission sind und in denen keine angemessene Garantien bestehen.

 

Beachten Sie:

Wenn eine Person der Verarbeitung ihrer personenbezogenen Daten zustimmt, können Sie die Daten nur für jene Zwecke verarbeiten, zu denen die Einwilligung erfolgt ist.

 

Beispiele: Freiwillige Einwilligung

Sie sind eine Fluggesellschaft und in Ihrer Datenschutzerklärung ist angegeben, dass personenbezogene Daten von Kunden für ein von Ihrem Unternehmen organisiertes Gewinnspiel verarbeitet werden können, bei dem ein kostenloser Flug zu gewinnen ist. Kunden, die das Kontrollkästchen aktiviert haben, um der Teilnahme am Gewinnspiel zuzustimmen, haben sich somit eindeutig einverstanden erklärt, ihre personenbezogenen Daten zum Zwecke des Gewinnspiels verarbeiten zu lassen. Die Einwilligung erfolgt zur Datenverarbeitung für die Zwecke des Gewinnspiels, jedoch nicht zu anderen Zwecken.

 

Nicht freiwillige Einwilligung
Ihr Unternehmen/Ihre Organisation bietet Filmdienste im Internet an. Bei der Erhebung der Daten für diesen Vertrag erfragen Sie auch zusätzliche Daten wie die sexuelle Orientierung und die politische Einstellung einer Person. Diese Person könnte der Auffassung sein, dass ihre Einwilligung in die Verarbeitung dieser Art von Daten für den Zugang zu den gewünschten Filmen erforderlich ist. Die Einwilligung erfolgt hier nicht freiwillig, sondern es handelt sich um eine 'gebundene Einwilligung'.

 

Europäische Kommission; 28.02.2018; bow
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/grounds-processing/when-consent-valid_de

 

03/2018

Antwort: Der Widerruf der Einwilligung muss so einfach wie die Erteilung sein. Wird die Einwilligung zurückgezogen, darf Ihr Unternehmen/Ihre Organisation die Daten nicht mehr verarbeiten. Sobald die Einwilligung widerrufen wurde, muss Ihr Unternehmen/Ihre Organisation sicherstellen, dass die Daten gelöscht werden, sofern keine anderweitige Rechtsgrundlage für die Verarbeitung (zum Beispiel Speicherpflichten oder Notwendigkeit zur Vertragserfüllung) besteht.

Wurden die Daten für mehrere Zwecke verarbeitet, dürfen die personenbezogenen Daten für den Teil der Verarbeitung nicht mehr genutzt werden, für den die Einwilligung widerrufen wurde bzw. für keine Zwecke, je nachdem, welcher Art der Widerruf der Einwilligung war.

 

Beispiel: Sie versenden einen Online-Newsletter. Ihr Kunde erteilt seine Einwilligung zur Registrierung für den Online-Newsletter, der es Ihnen erlaubt, alle Daten zu seinen Interessen zu verarbeiten, um ein Profil darüber zu erstellen, an welchen Artikeln er Interesse zeigt. Ein Jahr später teilt er Ihnen mit, dass er den Online-Newsletter nicht mehr erhalten möchte. Sie müssen sämtliche personenbezogenen Daten über diese Person aus Ihrer Datenbank löschen, die im Zusammenhang mit der Registrierung für den Newsletter erhoben wurden, einschliesslich der Profile zu dieser Person.

 

Europäische Kommission; 28.02.2018; bow

https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/grounds-processing/what-if-somebody-withdraws-their-consent_de

03/2018

Antwort: Die folgenden personenbezogenen Daten gelten als 'sensibel' und unterliegen besonderen Verarbeitungsbedingungen:

  • personenbezogene Daten, aus denen rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen einer Person hervorgehen;
  • Gewerkschaftszugehörigkeit;
  • genetische Daten, biometrische Daten, die ausschliesslich zur eindeutigen Identifizierung einer natürlichen Person verarbeitet werden;
  • Gesundheitsdaten;
  • Daten zum Sexualleben oder zur sexuellen Orientierung einer Person.

 

Europäische Kommission; 28.02.2018; bow

https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/sensitive-data/what-personal-data-considered-sensitive_de

03/2018

Antwort: Ihr Unternehmen/Ihre Organisation darf nur dann sensible Daten verarbeiten, wenn eine der nachstehend aufgeführten Bedingungen erfüllt ist:

  • die ausdrückliche Einwilligung der Person wurde eingeholt (ein Gesetz kann diese Möglichkeit in bestimmten Fällen ausschliessen);
  • das EU- oder nationale Recht oder eine Kollektivvereinbarung verpflichtet Ihr Unternehmen/Ihre Organisation, diese Daten zu verarbeiten, um die ihm/ihr und der betroffenen Person aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte auszuüben bzw. den diesbezüglichen Pflichten nachzukommen;
  • die lebenswichtigen Interessen der Person bzw. einer Person, die aus körperlichen oder rechtlichen Gründen ausserstande ist, ihre Einwilligung zu geben, sind gefährdet;
  • Sie sind eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht, die Daten ihrer Mitglieder oder anderer Personen verarbeitet, die regelmässige Kontakte mit der Organisation unterhalten;
  • die personenbezogenen Daten wurden von der Person offensichtlich öffentlich gemacht;
  • die Daten werden zur Feststellung, Geltendmachung oder Verteidigung von Rechtsansprüchen benötigt;
  • die Daten werden aus Gründen eines erheblichen öffentlichen Interesses auf der Grundlage des EU- oder nationalen Rechts verarbeitet;
  • die Daten werden für die Zwecke der Gesundheitsvorsorge oder Arbeitsmedizin, der Beurteilung der Arbeitsfähigkeit des Beschäftigten, medizinischer Diagnostik, der Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder der Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des EU- oder nationalen Rechts oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs verarbeitet;
  • die Daten werden aus Gründen eines öffentlichen Interesses im Bereich der öffentlichen Gesundheit auf der Grundlage des EU- oder nationalen Rechts verarbeitet;
  • die Daten werden für Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke auf der Grundlage des EU- oder nationalen Rechts verarbeitet.

Für die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten können im nationalen Recht weitere Bedingungen auferlegt werden. Fragen Sie bei Ihrer nationalen Datenschutzbehörde nach.

 

Beispiel:

Sie dürfen sensible Daten verarbeiten
Ein Arzt empfängt eine Reihe Patienten in seiner Klinik. Er registriert die Besuche in einer Datenbank, in der Felder wie Name/Vorname des Patienten, Beschreibung der Symptome und verschriebene Medikamente aufgeführt sind. Hierbei handelt es sich um sensible Daten. Die Verarbeitung von Gesundheitsdaten durch die Klinik ist im Rahmen der Datenschutzverordnung erlaubt, da sie für die Behandlung der Person erforderlich ist und im Verantwortungsbereich eines Arztes liegt, der einer beruflichen Geheimhaltungspflicht unterliegt.

 

Sie dürfen sensible Daten nicht verarbeiten
Ihr Unternehmen vertreibt Kleidung über das Internet. Sie fragen zur Anpassung Ihrer Dienstleistung an den Kunden nach Angaben zur Grösse, bevorzugten Farbe, Zahlungsmethode, zum Namen und zur Adresse, um das Produkt liefern zu können. Darüber hinaus fragt Ihr Unternehmen nach den politischen Ansichten seiner Kunden. Sie benötigen die meisten dieser Informationen, um Ihre vertraglichen Pflichten zu erfüllen. Die politischen Ansichten Ihrer Kunden werden jedoch zur Herstellung und Lieferung der Kleidungsstücke nicht benötigt. Diese Informationen dürfen Sie im Rahmen dieses Vertragsverhältnisses nicht erfragen.

 

Europäische Kommission; 28.02.2018; bow

https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/sensitive-data/under-what-conditions-can-my-company-organisation-process-sensitive-data_de

 

03/2018

Antwort: Der Verantwortliche entscheidet über die Zwecke und die Mittel der Verarbeitung personenbezogener Daten. Wenn Ihr Unternehmen/Ihre Organisation also entscheidet, „wofür“ und „wie“ die personenbezogenen Daten verarbeitet werden sollen, ist es/sie der Verantwortliche. Mitarbeiter, die innerhalb Ihrer Organisation personenbezogene Daten verarbeiten, tun dies, um Ihre Aufgabe als Verantwortlicher wahrzunehmen.

 

Ihr Unternehmen/Ihre Organisation ist ein gemeinsam Verantwortlicher, wenn es/sie gemeinsam mit einer oder mehreren Organisationen festlegt, „wofür“ und „wie“ personenbezogene Daten verarbeitet werden sollen. Gemeinsam Verantwortliche gehen eine Vereinbarung ein, in der festgelegt wird, wer von ihnen welche Verpflichtungen gemäss den Vorschriften der Datenschutz-Grundverordnung erfüllt. Die wesentlichen Punkte der Vereinbarung müssen den Personen mitgeteilt werden, deren Daten verarbeitet werden.

 

Der Auftragsverarbeiter verarbeitet ausschliesslich im Auftrag des Verantwortlichen personenbezogene Daten. Der Auftragsverarbeiter ist in der Regel ein Dritter ausserhalb des Unternehmens. Bei Unternehmensgruppen kann jedoch ein Unternehmen als Auftragsverarbeiter für ein anderes fungieren.

 

Die Pflichten des Auftragsverarbeiters gegenüber dem Verantwortlichen werden in einem Vertrag oder sonstigen Rechtsakt festgehalten. Der Vertrag muss unter anderem Angaben dazu machen, was mit den personenbezogenen Daten geschieht, sobald er ausgelaufen ist. Eine übliche Tätigkeit von Auftragsverarbeitern ist die Bereitstellung von IT-Lösungen einschliesslich Speicherung in einer Cloud. Der Auftragsverarbeiter darf nur einen Teil seiner Aufgabe per Unterauftrag an einen anderen Auftragsverarbeiter vergeben oder einen gemeinsamen Auftragsverarbeiter ernennen, wenn er die vorherige schriftliche Einwilligung des Verantwortlichen erhalten hat.

In gewissen Situationen kann eine Einrichtung Verantwortlicher, Auftragsverarbeiter oder beides sein.

 

Beispiele:

Verantwortlicher und Auftragsverarbeiter
Eine Brauerei hat viele Mitarbeiter. Sie unterzeichnet einen Vertrag mit einem Lohnabrechnungsunternehmen, damit dieses die Abrechnung der Gehälter übernimmt. Die Brauerei unterrichtet das Lohnabrechnungsunternehmen, wann die Gehälter gezahlt werden sollen, wenn ein Mitarbeiter das Unternehmen verlässt oder eine Lohnerhöhung erhält, und stellt alle weiteren Informationen zur Gehaltsabrechnung und Bezahlung zur Verfügung. Das Lohnabrechnungsunternehmen stellt das IT-System und speichert die Mitarbeiterdaten. Die Brauerei ist der Verantwortliche und das Lohnabrechnungsunternehmen der Auftragsverarbeiter.

 

Gemeinsam Verantwortliche
Ihr Unternehmen/Ihre Organisation bietet über eine Internetplattform Kinderbetreuungsdienste an. Gleichzeitig hat Ihr Unternehmen/Ihre Organisation einen Vertrag mit einem anderen Unternehmen, der es Ihnen ermöglicht, Zusatzleistungen anzubieten. Diese Zusatzleistungen beinhalten die Möglichkeit, dass Eltern nicht nur den Kinderbetreuer auswählen, sondern auch Spiele und DVDs ausleihen, die der Kinderbetreuer mitbringt. Beide Unternehmen sind an der technischen Einrichtung der Website beteiligt. In diesem Fall haben die beiden Unternehmen sich dazu entscheiden, die Plattform für beide Zwecke zu nutzen (Kinderbetreuungsdienste und Verleih von DVDs/Spielen), und übermitteln sehr häufig Kundennamen. Die beiden Unternehmen sind daher gemeinsam Verantwortliche, da sie nicht nur vereinbart haben, die Möglichkeit „kombinierter Dienstleistungen“ anzubieten, sondern auch am Design einer gemeinsamen Plattform arbeiten und diese nutzen.

 

Europäische Kommission; 28.02.2018; bow

https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/obligations/controller-processor/what-data-controller-or-data-processor_de

 

03/2018

Antwort: Jemand anders (eine natürliche oder juristische Person oder sonstige Stelle) darf personenbezogene Daten in Ihrem Auftrag verarbeiten, sofern ein Vertrag oder sonstiger Rechtsakt dies vorsieht. Es ist wichtig, dass der von Ihnen ernannte Auftragsverarbeiter hinreichende Garantien dafür bietet, dass geeignete technische und organisatorische Massnahmen getroffen werden, die den Anforderungen der Datenschutz-Grundverordnung genügen und den Schutz der Rechte von Personen gewährleisten.

 

Der ernannte Auftragsverarbeiter kann ohne Ihre vorherige, gesonderte oder allgemeine schriftliche Genehmigung keinen weiteren Auftragsverarbeiter in Anspruch nehmen. Der Vertrag oder Rechtsakt zwischen Ihrem Unternehmen/Ihrer Organisation und dem Auftragsverarbeiter sollte unter anderem die folgenden Elemente umfassen:

  • die personenbezogenen Daten werden nur auf dokumentierte Weisung des Verantwortlichen verarbeitet;
  • der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
  • der Auftragsverarbeiter bietet ein vom Verantwortlichen festgelegtes Mindestschutzniveau;
  • der Auftragsverarbeiter unterstützt Sie bei der Gewährleistung der Einhaltung der Datenschutz-Grundverordnung.

 

Beispiele:

Ein Bauunternehmen nutzt einen Unterauftragnehmer für bestimmte Bauarbeiten und stellt diesem die Kontaktdaten der Kunden zur Verfügung, bei denen die Bauarbeiten stattfinden. Der Unterauftragnehmer verarbeitet die Daten weiter, um den Kunden Werbematerial zu schicken. Der Unterauftragnehmer gilt hier nicht nur als „Auftragsverarbeiter“ gemäss der Datenschutz-Grundverordnung, da er die personenbezogenen Daten nicht ausschliesslich im Auftrag des Bauunternehmens verarbeitet, sondern auch für eigene Zwecke weiterverarbeitet. Der Unterauftragnehmer handelt daher als „Verantwortlicher“.

 

Sie sind ein Einzelhandelsunternehmen, das sich dazu entschliesst, eine Sicherungsdatei seiner Kundendatenbank auf einem Cloud-Server zu speichern. Zu diesem Zweck gehen Sie einen Vertrag mit einem Cloud-Anbieter ein, der für seine Datenschutzstandards bekannt ist und zusätzlich über ein zertifiziertes System zur Verschlüsselung von Daten verfügt. Der Cloud-Anbieter ist Ihr Auftragsverarbeiter, da er durch die Speicherung der personenbezogenen Daten Ihrer Kunden auf seinen Servern in Ihrem Auftrag personenbezogene Daten verarbeitet.

 

Europäische Kommission; 28.02.2018; bow

https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/obligations/controller-processor/can-someone-else-process-data-my-organisations-behalf_de

 

03/2018

Antwort: Die Datenschutz-Grundverordnung beruht auf einem risikobasierten Ansatz. Dies bedeutet, dass Unternehmen/Organisationen, die personenbezogene Daten verarbeiten, dazu angehalten sind, entsprechend der Risikostufe ihrer Verarbeitungstätigkeiten Schutzmassnahmen einzuführen. Die Pflichten eines Unternehmens, das viele Daten verarbeitet, sind daher umfangreicher als jene für ein Unternehmen, das nur wenige Daten verarbeitet.

 

Die Wahrscheinlichkeit, dass ein Unternehmen/eine Organisation, das/die viele Daten verarbeitet, einen Datenschutzbeauftragten einstellen muss, ist zum Beispiel höher als bei einem Unternehmen/einer Organisation, das/die wenige Daten verarbeitet (dies korrespondiert in diesem Fall mit dem Begriff der Verarbeitung personenbezogener Daten „in grossem Umfang“). Die Art der personenbezogenen Daten und die Auswirkungen der beabsichtigten Verarbeitung spielen ebenfalls eine Rolle. Die Verarbeitung weniger, jedoch sensibler Daten (zum Beispiel Gesundheitsdaten) erfordert die Umsetzung strengerer Massnahmen, um die Datenschutz-Grundverordnung einzuhalten.

In jedem Fall müssen die Grundsätze des Datenschutzes eingehalten werden, und es muss Personen ermöglicht werden, ihre Rechte wahrzunehmen.

 

Europäische Kommission; 28.02.2018; bow

https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/obligations/risk-based-approach/are-obligations-same-regardless-amount-data-my-company-organisation-handles_de

 

03/2018

Antwort: Unternehmen/Organisationen sind angehalten, zum frühestmöglichen Zeitpunkt der Gestaltung der Verarbeitungsvorgänge technische und organisatorische Massnahmen zu treffen, die darauf ausgelegt sind, die Privatsphäre zu schützen und Datenschutzgrundsätze von Beginn an zu garantieren („Datenschutz durch Technikgestaltung“). Durch Voreinstellung sollen Unternehmen/Organisationen sicherstellen, dass personenbezogene Daten mit dem grösstmöglichen Datenschutz (zum Beispiel sollten ausschliesslich benötigte Daten verarbeitet werden, kurze Speicherfristen und begrenzte Zugänglichkeit vorgesehen werden) verarbeitet werden, damit diese Daten von vornherein nicht einer unbestimmten Zahl von Personen zugänglich gemacht werden („datenschutzfreundliche Voreinstellungen“).

 

Beispiele:

Datenschutz durch Technikgestaltung
Die Nutzung der Pseudonymisierung (Ersatz personenbezogener Informationen durch künstliche Kennungen) und Verschlüsselung (Kodierung von Nachrichten, damit nur Befugte sie lesen können).

 

Datenschutzfreundliche Voreinstellungen
soziale Medien-Plattformen sollten ermutigt werden, die Voreinstellung der Nutzerprofile auf bestmögliche datenschutzfreundliche Weise vorzunehmen, indem zum Beispiel von Beginn an die Zugänglichkeit zum Nutzerprofil eingeschränkt wird, sodass es nicht durch Voreinstellung einer unbestimmten Zahl von Personen zugänglich ist.

 

Europäische Kommission; 28.02.2018; bow

https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/obligations/data-protection-design-and-default/what-does-data-protection-design-and-default-mean_de

 

03/2018

Antwort: Eine Verletzung des Schutzes personenbezogener Daten liegt vor, wenn die Daten, für die Ihr Unternehmen/Ihre Organisation verantwortlich ist, von einem sicherheitsrelevantes Ereignis betroffen sind, das zu einer Verletzung der Vertraulichkeit, Verfügbarkeit oder Integrität führt. Wenn dies geschieht und die Verletzung womöglich ein Risiko für die Rechte und Freiheiten einer Person darstellt, muss Ihr Unternehmen/Ihre Organisation die Aufsichtsbehörde unverzüglich und spätestens binnen 72 Stunden, nachdem ihm/ihr die Verletzung bekannt wurde, darüber unterrichten. Wenn Ihr Unternehmen/Ihre Organisation Auftragsverarbeiter ist, meldet es/sie jede Verletzung des Schutzes personenbezogener Daten dem Verantwortlichen.

Hat die Verletzung des Schutzes personenbezogener Daten ein hohes Risiko für die betroffenen Personen zur Folge, so müssen diese ebenfalls informiert werden, sofern keine wirksamen technischen und organisatorischen Massnahmen bzw. sonstigen Massnahmen umgesetzt wurden, die gewährleisten, dass dieses Risiko aller Wahrscheinlichkeit nach nicht mehr besteht.

Es ist entscheidend, als Organisation geeignete technische und organisatorische Massnahmen zu treffen, um mögliche Verletzungen des Schutzes personenbezogener Daten zu vermeiden.

 

Beispiele:

Organisation muss Datenschutzbehörde und betroffene Personen unterrichten
Die Daten der Mitarbeiter eines Textilunternehmens wurden offengelegt. Diese Daten umfassten die Privatadressen, Familienzusammensetzungen, monatlichen Gehälter und Krankenversicherungsansprüche aller Mitarbeiter. Das Textilunternehmen ist hier verpflichtet, die Aufsichtsbehörde über die Verletzung des Schutzes personenbezogener Daten zu unterrichten. Da die personenbezogenen Daten sensible Daten wie Gesundheitsdaten umfassen, muss das Unternehmen seine Mitarbeiter ebenfalls benachrichtigen.

 

Ein Krankenhausmitarbeiter kopiert Patientendaten auf eine CD und veröffentlicht sie im Internet. Das Krankenhaus findet es einige Tage später heraus. Nachdem das Krankenhaus es herausgefunden hat, muss es die Aufsichtsbehörde binnen 72 Stunden darüber unterrichten, und da die personenbezogenen Daten sensible Informationen beinhalten, zum Beispiel darüber, ob ein Patient an Krebs erkrankt ist, schwanger ist usw., muss es auch die Patienten darüber informieren. In diesem Fall würden Zweifel bestehen, ob das Krankenhaus geeignete technische und organisatorische Schutzmassnahmen getroffen hat. Hätte es geeignete Schutzmassnahmen getroffen (zum Beispiel die Verschlüsselung von Daten), wäre das Bestehen eines wesentlichen Risikos unwahrscheinlich und das Krankenhaus könnte von der Pflicht, die Patienten zu unterrichten, befreit sein.

 

Unternehmen muss Kunden unterrichten und diese müssen dann eventuell die Datenschutzbehörde und betroffene Personen informieren
Ein Cloud-Dienst verliert mehrere Festplatten, auf denen personenbezogene Daten von mehreren seiner Kunden gespeichert sind. Er muss diese Kunden unverzüglich unterrichten, wenn ihm die Verletzung des Schutzes personenbezogener Daten bekannt wird. Seine Kunden müssen in Abhängigkeit von den durch den Auftragsverarbeiter verarbeiteten Daten möglicherweise die Datenschutzbehörde und die betroffenen Personen benachrichtigen.

 

Europäische Kommission; 28.02.2018; bow

https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/obligations/data-breaches/what-data-breach-and-what-do-we-have-do-case-data-breach_de

 

 

 

03/2018

Antwort: Eine Datenschutz-Folgenabschätzung ist erforderlich, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Eine Datenschutz-Folgenabschätzung ist insbesondere in folgenden Fällen erforderlich:

  • systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, einschliesslich Profiling;
  • umfangreiche Verarbeitung sensibler Daten;
  • systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Nationale Datenschutzbehörden können in Abstimmung mit dem Europäischen Datenschutzausschuss Listen der Fälle bereitstellen, in denen eine Datenschutz-Folgenabschätzung erforderlich ist. Die Datenschutz-Folgenabschätzung ist vor der Verarbeitung durchzuführen und sollte als dynamisches Instrument und nicht als einmaliger Vorgang angesehen werden. Wenn weiterhin ein Risiko besteht, das nicht durch die durchgeführten Massnahmen eingedämmt werden kann, muss die Datenschutzbehörde vor der Verarbeitung konsultiert werden.

 

Beispiele:

Datenschutz-Folgenabschätzung erforderlich
Eine Bank prüft ihre Kunden mithilfe einer Datenbank für die Kreditauskunft; ein Krankenhaus führt in Kürze eine neue Datenbank für Gesundheitsinformationen mit den Gesundheitsdaten seiner Patienten ein; ein Busunternehmen beabsichtigt, an Bord Kameras einzurichten, um das Verhalten seiner Fahrer und Fahrgäste zu überwachen.

 

Datenschutz-Folgenabschätzung nicht erforderlich
Ein Gemeindearzt verarbeitet die personenbezogenen Daten seiner Patienten. Hier ist keine Datenschutz-Folgenabschätzung erforderlich, da die Verarbeitung durch Gemeindeärzte bei einer übersichtlichen Anzahl an Patienten nicht in grossem Umfang erfolgt.

 

Europäische Kommission; 28.02.2018; bow

https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/obligations/impact-assessments/when-data-protection-impact-assessment-dpia-required_de

 

03/2018

Antwort: Ihr Unternehmen/Ihre Organisation muss als Verantwortlicher oder Auftragsverarbeiter einen Datenschutzbeauftragten ernennen, wenn seine/ihre Kerntätigkeiten die Verarbeitung sensibler Daten in grossem Umfang bzw. die regelmässige systematische Überwachung von Personen in grossem Umfang umfassen. Die Überwachung des Verhaltens betroffener Personen umfasst in diesem Zusammenhang jegliche Form der Verfolgung und Profilerstellung im Internet, auch für Zwecke der verhaltensorientierten Werbung.

 

Öffentliche Behörden haben (mit Ausnahme von Gerichten im Rahmen ihrer justiziellen Tätigkeit) grundsätzlich eine Verpflichtung, einen Datenschutzbeauftragten zu ernennen.

 

Der Datenschutzbeauftragte kann Beschäftigter Ihrer Organisation sein oder auf der Grundlage eines Dienstleistungsvertrags extern beauftragt werden. Der Datenschutzbeauftragte kann eine Person oder Organisation sein.


Beispiele:

Datenschutzbeauftragter zwingend vorgeschrieben
Ein Datenschutzbeauftragter ist zum Beispiel zwingend vorgeschrieben, wenn Ihr Unternehmen/Ihre Organisation:

  • ein Krankenhaus ist, das sensible Daten in grossem Umfang verarbeitet;
  • eine Sicherheitsfirma ist, die für die Überwachung von Einkaufszentren und öffentlichen Plätzen verantwortlich ist;
  • eine kleine Personalberatung ist, die Profile von Personen erstellt.

 

Datenschutzbeauftragter nicht zwingend vorgeschrieben
Ein Datenschutzbeauftragter ist nicht zwingend vorgeschrieben, wenn

  • Sie ein Gemeindearzt sind und die personenbezogenen Daten Ihrer Patienten verarbeiten;
  • Sie eine kleine Anwaltskanzlei haben und die personenbezogenen Daten Ihrer Mandanten verarbeiten.

 

Europäische Kommission; 28.02.2018; bow

https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/obligations/data-protection-officers/does-my-company-organisation-need-have-data-protection-officer-dpo_de

 

03/2018

Antwort: Der Datenschutzbeauftragte unterstützt den Verantwortlichen oder Auftragsverarbeiter in allen mit dem Schutz personenbezogener Daten zusammenhängenden Fragen. Der Datenschutzbeauftragte hat insbesondere folgende Aufgaben:

  • Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und ihrer Beschäftigten hinsichtlich ihrer Pflichten nach der Datenschutzverordnung;
  • Überwachung der Einhaltung aller Datenschutzvorschriften durch die Organisation einschliesslich Überprüfungen, Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter;
  • Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung;
  • Tätigkeit als Anlaufstelle für Anfragen von Personen in mit der Verarbeitung ihrer personenbezogenen Daten und der Ausübung ihrer Rechte zusammenhängenden Fragen;
  • Zusammenarbeit mit den Datenschutzbehörden und Tätigkeit als Anlaufstelle für Datenschutzbehörden in mit der Verarbeitung zusammenhängenden Fragen.

 

Die Organisation muss den Datenschutzbeauftragten frühzeitig einbinden. Der Datenschutzbeauftragte darf vom Verantwortlichen oder Auftragsverarbeiter keine Anweisungen bezüglich der Ausübung seiner Aufgaben erhalten. Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene der Organisation.

 

Europäische Kommission; 28.02.2018; bow

https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/obligations/data-protection-officers/what-are-responsibilities-data-protection-officer-dpo_de

Mehr Sicherheit im Zeitalter von Cloud-Computing, IT-Dienstleistungen und industrialisierter IT-Produktion

 

Autoren: Eberhard von Faber,‎ Wolfgang Behnsen

ISBN-10: 3658208333

12/2018

Ein Mann aus Minnesota wurde verhaftet und an die USA ausgeliefert, nachdem er angeblich seinen eigenen Tod für einen Versicherungsbetrug vorgetäuscht hatte. Der 54jährige Angeklagte Igor Vorotinov trat im November 2018 nach seiner Verhaftung in der Republik Moldau erstmals vor einen US-Richter. Er war auf der Flucht, seit im Februar 2015 Anklage wegen Postbetrug erhoben wurde.


Laut der Anklageschrift kaufte Vorotinov bereits im März 2010 eine 2 Millionen Dollar Lebensversicherung von Mutual of Omaha Insurance Company und ernannte seine Frau Irina zur Alleinbegünstigten. Im Oktober 2011 erhielt die Polizei in Moldawien dann Berichte über eine Leiche, mit Dokumenten wie Reisepass, Hotelkarten und Telefonnummern, aus denen hervorging, dass es sich um die von Vorotinow handelte. Seine Frau reiste nach Moldawien, identifizierte die Leiche als seine, erhielt eine Sterbeurkunde und liess die Leiche einäschern, bevor sie mit der Asche zurückkehrte.


Ein Scheck über $2'048'414 wurde vom Versicherer an Irina geschickt, die eine Drittpartei anwarb, um ihn auf ein neu eröffnetes Konto einzuzahlen, bevor sie sie anscheinend anordnete, $1,5 Mio. an ihren Sohn Alkon zu überweisen. Gemäss Justizministerium wurden zwischen dem 29. März 2012 und Januar 2015 mehr als 1,5 Mio. USD des Erlöses auf Bankkonten in der Schweiz und Moldawien überwiesen. Der angebliche Betrug wurde jedoch zunichte gemacht, als Alkon nach der Rückkehr von einer Reise nach Moldawien vom Zoll in Detroit gestoppt wurde. Auf seinem Laptop entdeckten Agenten Fotos von seinem Vater, die im April und Mai 2013 aufgenommen wurden, lebendig und gesund.


Irina Vorotinova verbüsst derzeit eine 37-monatige Haftstrafe in einem Bundesgefängnis, nachdem sie sich Postbetrug und einer "Geldtransaktion mit kriminell erlangtem Eigentum" schuldig bekannte, während ihr Sohn sich der Verbrechensverschleierung schuldig bekannte und zu drei Jahren Haft auf Bewährung verurteilt wurde. Sie wurden auch zur Rückerstattung von $2'056'554 verurteilt.

 

 

Infosesecurity-magazine.com; Phli Muncaster; 23.11.2018

https://www.infosecurity-magazine.com/news/alleged-insurance-fraudster/

12/2018

Defizite bei den Fähigkeiten und Fertigkeiten zeigen sich, da grössere Sicherheitsvorfälle die Leistung und den Ruf des Unternehmens beeinträchtigen. Der Aufbau der Sicherheitskräfte von morgen ist unerlässlich, um dieser Herausforderung zu begegnen und eine robuste und langfristige Sicherheit für Unternehmen im digitalen Zeitalter zu gewährleisten. Die Behebung des Fachkräftemangels erfordert, dass Unternehmen ihre Einstellung und Vorgehensweise bei der Einstellung, Schulung und Teilnahme an kollaborativen Entwicklungsbemühungen ändern. Ein zu starrer und traditioneller Ansatz bei der Identifizierung von Kandidaten, gepaart mit überlasteten und unterbesetzten Arbeitsteams, erfordert eindeutig neue Taktiken und neue Ideen.


Betrachten Sie zum Beispiel, dass neue Forschungen von Cybersecurity Ventures ergeben, dass nur 20% der weltweiten Cybersicherheitsbelegschaft aus Frauen besteht. Diese Statistik beweist auf den ersten Blick, dass es viele ungenutzte Talente gibt. Wenn man genauer hinschaut, muss man lernen, was Unternehmen anders machen müssen, um aus einem breiteren Spektrum an Bildung, Erfahrung und Fachwissen hervorragende Kandidaten zu gewinnen. Und natürlich geht es weit über die Geschlechterdiversität hinaus - Unternehmen müssen herausfinden, wie sie effektiv aus jüngeren und älteren Altersgruppen, benachteiligten Stadtteilen, liberalen Kunsthochschulen und anderen atypischen Bevölkerungsgruppen rekrutieren können.


Unternehmen, die keinen kreativeren Ansatz verfolgen, werden in den nächsten Jahren gefährlich unterbesetzt sein, da sowohl Angriffe als auch Abwehrmassnahmen (z.B. Sicherheitssoftwareplattformen, Patches und Konfigurationspraktiken, Analytik und Machine Learning) immer komplexer werden.

 

Die Entwicklung der Security-Belegschaft

 

Die Sicherheitsmitarbeiter, die typischerweise als das für die Informationssicherheitsaktivitäten eines Unternehmens verantwortliche Personal definiert sind, haben sich seit ihren Anfängen rasant entwickelt. Die Informationssicherheitsfunktion existiert oft nur als Teil einer anderen zugehörigen Geschäftsfunktion, wie z.B. Risiko, technischer IT-Betrieb, Recht und/oder Audit. Es kann als Informations-, Cyber-, Assurance- oder Betriebssicherheit identifiziert werden. Es kann auch verschiedenen Geschäftseinheiten rapportieren, einschliesslich Finanzen, Risiko, Governance oder IT.


Im Laufe seiner Entwicklung hat das Fehlen einer Konsensdefinition der Informationssicherheitsfunktion es zahlreichen, unterschiedlichen Komponenten ermöglicht, die Sicherheitskräfte eines Unternehmens zu bilden. So sind beispielsweise Mitarbeiter, die in den Bereichen Bedrohungsintelligenz, Business Continuity und Sicherheitsbetrieb tätig sind, tragen alle wesentlich zur Informationssicherheit bei, doch treffen sie sich selten in einer bestimmten Funktion unter einer bestimmten Führungskraft.

 

Angebot und Nachfrage

 

Die Schliessung der Lücke zwischen Angebot und Nachfrage ist für ein Unternehmen unerlässlich, um einen effektiven Sicherheitsstatus zu entwickeln. Es ist offensichtlich, dass Personen mit den erforderlichen Fähigkeiten, Qualifikationen und Erfahrungen entweder nicht verfügbar sind oder ein Gehalt verlangen, das nicht mit den vorhandenen Budgets erreicht werden kann. Aufgrund der hohen Nachfrage wechseln talentierte Sicherheitsmitarbeiter regelmässig zu neuen Arbeitgebern, da sie nach besseren Löhnen und Projekten bei renommierteren Unternehmen suchen.


Aber ist das unvermeidlich? Sind Manager so unflexibel, dass sie von den Kandidaten verlangen, dass sie über spezifische Fähigkeiten, Qualifikationen und jahrelange Erfahrung verfügen, dass sie ihre Sicherheitsteams behindern? Tragen uninformierte und ideenlose Rekrutierungspraktiken wesentlich zu dem wahrgenommenen Mangel bei? Da die Gehälter eskalieren, suchen Unternehmen dringend nach einer Lösung für die wahrgenommene Krise bei der Einstellung von Fachkräften für Informationssicherheit.


Um der wachsenden Nachfrage gerecht zu werden, sollten Unternehmen ihren Ansatz erweitern und gezielt daran arbeiten, Sicherheitsexperten aus den verschiedensten Bereichen, Disziplinen und Fähigkeiten zu rekrutieren. Konzentrieren Sie sich auf die Eignung und Einstellung der Kandidaten, anstatt auf eine Vielzahl spezifischer Fähigkeiten, Erfahrungen und Qualifikationen zu bestehen, die einen grossen Teil der derzeitigen und zukünftigen Fachleute für Informationssicherheit ausschliessen würden.

 

Menschenzentrierte Security

 

Da Anbieter und Tools den Markt für Sicherheitslösungen durchdringen, sind potenzielle Mitarbeiter dazu gekommen, Informationssicherheit als zutiefst technisch wahrzunehmen, so dass Personalvermittler Schwierigkeiten haben, Kandidaten mit einer weniger traditionellen Mischung aus Ausbildung und Erfahrung zu identifizieren und anzusprechen.


Unternehmen erkennen schnell, dass helle, fleissige und neugierige Personen zu den wertvollsten Sicherheitsressourcen gehören, die ein Unternehmen nutzen kann. Ein menschenorientierter Ansatz für die Informationssicherheit wird eine Belegschaft fördern, die in der Lage ist, die Herausforderungen des digitalen Risikos zu bewältigen.


Um einen humanzentrierten Ansatz zu erreichen, sollte die Informationssicherheitsfunktion mit dem Personalwesen zusammenarbeiten und die Vorteile etablierter Personalpraktiken nutzen, um eine vielfältige Belegschaft mit leistungsfähigen Mitarbeitern aufzubauen. Ein humanzentrierter Ansatz, der von der Personalabteilung unterstützt wird, bildet die Struktur für eine starke Unternehmenskultur am Arbeitsplatz, die sich durch kompetente und zufriedene Fachleute für Informationssicherheit auszeichnet.

 

Aufbau einer nachhaltigen Security-Truppe

 

Die zunehmende Abhängigkeit von digitalen Systemen in Verbindung mit einer dynamischen Bedrohungslandschaft hat die Sicherheitskräfte zum Kernstück des Überlebens eines Unternehmens gemacht. Aber für viele Unternehmen ist die Entwicklung einer nachhaltigen Gruppe von Security-Mitarbeitenden nur ein Wunsch: Die Gewinnung und Bindung erfahrener, zertifizierter Sicherheitsexperten ist ein ständiger Kampf.


Unternehmen müssen eine Reihe von strategischen Zielen festlegen, die die Grundlage für eine stärkere Belegschaft und mehr Kandidaten bilden. Mit klarer Ausrichtung und nachhaltigen Personalbemühungen können Unternehmen die Struktur der Sicherheitsmitarbeiter formalisieren, die entsprechenden Talente einsetzen und die Sicherheitsteams besser an die Sicherheitsziele des Unternehmens anpassen. Robustes und vielfältiges Sicherheitspersonal wird Unternehmen in die Lage versetzen, zukünftige Herausforderungen wie Automatisierung, Zusammenlegung von Rollen und Funktionen sowie verstärktes Outsourcing zu bewältigen.

 

 

Infosecisland.com; Steve Durbin; 15.11.2018


http://infosecisland.com/blogview/25137-A-Human-Centered-Approach-to-Building-a-Smart-Satisfied-Information-Security-Team.html

Keine Zeit für Informationssicherheit? Keine Zeit für den Aufbau eines ISMS nach ISO 27001?

Ab sofort erhalten Sie Security-Unterstützung auf Abruf

Wir sind Ihre flexible Personallösung für konsequente Informationssicherheit und schaffen Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Daten.

Schnell zu Ihrem Spezialisten für Informationssicherheit, IT Security und Datenschutz

Fehlende Personalressourcen, fehlendes Spezial-Know-how?
Unsere Spezialisten übernehmen Ihre Aufgaben in den Bereichen Informationssicherheit, IT Security und Datenschutz in Projekten oder bei Ihnen vor Ort praktisch von heute auf übermorgen und mit einer garantierten Verfügbarkeit von mindestens 50%. Unsere Offerte und ein Vertragsentwurf sind innert zwei Tagen bei Ihnen.

 

Schnell und in der gewohnten Qualität von Swiss Infosec AG: Security und Privacy as a Service

Security Officer: Von Wollen und Haben…

Sie, unsere Kunden

  • handeln und reagieren vorbildlich.
  • betrachten Informationssicherheit umfassend und integral.
  • schützen vertrauliche Informationen (Kunden- und Personendaten).
  • wollen Ihre Sicherheit und Sicherheitsstrategie konsequent durchsetzen.
  • erkennen, dass Sie einen Corporate Information Security Officer (CISO) brauchen.
  • suchen personelle Ressourcen oder Know-how.
  • entscheiden sich für einen persönlichen externen und unabhängigen Spezialisten als Security Officer auf Zeit.

…zu haben wollen: Der externe Security Officer der Swiss Infosec AG

Wir, Ihr Security Officer vor Ort und auf Zeit

  • decken fehlende Ressourcen mit ausgewiesenen Fachspezialisten schnell und flexibel ab.
  • priorisieren sicherheitsrelevante Aufgaben und unterscheiden zwischen Sofortmassnahmen und Massnahmen.
  • schlagen vor und leiten die nötigen Massnahmen zielführend nach Best Practice ein.
  • agieren als Bindeglied zwischen verschiedenen Stakeholdern.
  • übernehmen jederzeit und kurzfristig auch als Stellvertreter.
  • entlasten Ihr Budget durch einfache und jederzeit kündbare Verträge.

Der externe Security Officer: Die flexible Personallösung für Sie

Ihr vorbildliches Handeln und Ihre Weitsicht sprechen für sich, unsere Erfahrung, Unabhängigkeit und Flexibilität für uns. Zögern Sie deshalb nicht, Ihr Personalproblem in unsere Hände zu legen und die Vorteile eines externen Security Officers in Anspruch zu nehmen.

Bei Anruf: Unterstützung auf Abruf!

Kontaktieren Sie uns (Telefon +41 41 984 12 12, infosec@infosec.ch) und seien Sie bei der Lösung Ihres Ressourcenproblems genauso konsequent wie beim Thema Informationssicherheit!

 

 

 

 

 

Reto Zbinden

E-Mail

01/2019

Schriften zum Medienrecht und Kommunikationsrecht


Das "Recht auf Vergessenwerden" ist mit der EuGH-Entscheidung "Google Spain" und im Rahmen der Diskussion um die DSGVO Schlagwort für das Interesse des Menschen geworden, belastende oder unvorteilhafte Informationen über die betroffene Person aus der Öffentlichkeit des Internets zurückzuholen oder zumindest vor der Mehrheit der Internetnutzer verborgen zu halten. Carina Becker befasst sich mit den Möglichkeiten der zivilrechtlichen Durchsetzung eines solchen Begehrens. Sie untersucht Anspruchsgrundlagen aus dem Datenschutz- und dem Äußerungsrecht unter Berücksichtigung der neuen Regelungen der Art. 17 und Art. 85 DSGVO

 

Autorin: Carina Becker

ISBN-10: 3161564561

So garantieren Sie die sichere Aufbewahrung Ihrer Informationen nach GeBüV!

Elektronische Informationen und Daten unveränderbar und langzeitig aufbewahren

Die Swiss Infosec AG unterstützt Sie bei der Umsetzung der Gewährleistung der unveränderbaren und gesetzlich geforderten Aufbewahrung Ihrer elektronischen Informationen und Daten.
Sie ist aber auch an Ihrer Seite, wenn es darum geht, umfassende Archivierungskonzepte aufzubauen – sowohl im Bereich der physischen wie auch der elektronischen Archivierung.

Vorteile und Anforderungen der elektronischen Archivierung

Das Gesetzeslage fordert, dass geschäftsrelevante Informationen während zehn Jahren zu archivieren sind und erlaubt es Unternehmen, der gesetzlichen Pflicht zur Aufbewahrung auch mittels elektronischer Archivierung nachzukommen.
Die elektronische Archivierung hat mittel- und langfristig massive wirtschaftliche Vorteile.
Archiviert das Unternehmen die Informationen in elektronischer Form, so kann auf das physische Archiv grösstenteils verzichtet werden. Dies bedingt aber, dass das elektronische Archiv nachweislich die Anforderungen der Geschäftsbücherverordnung (GeBüV) erfüllt, ansonsten den entsprechenden Unterlagen allenfalls nur eine geringe Beweiskraft zukommt.

Elektronische Archivierung: Die GeBüV gibt den Takt an. Effizienz, Sicherheit und Kostenbewusstsein machen die Musik

Eine Überprüfung der Einhaltung der GeBüV ist immer dann dringend empfohlen, wenn zukünftig auf das physische Archiv verzichtet werden soll oder gar das physische Archiv 'entsorgt' werden soll und beinhaltet folgende Punkte/Fragen:

  • Aufbau und Umsetzung unternehmensweiter Archivierungsverfahren und -weisungen
  • Organisation des Bereiches Records Management/Archivierung
  • Erarbeitung Aktenplan: welche Dokumente unterliegen der Aufbewahrungspflicht? Wie lange und in welcher Form müssen diese Dokumente aufbewahrt werden?
  • Muss das Unternehmen E-Mails archivieren?
  • Wie muss das Archivwesen bzw. das Archivsystem dokumentiert werden?
  • Wie muss das Archiv geschützt werden?
  • Wie ist mit digital signierten Dokumenten im Archiv zu verfahren?
  • Konzeption und Aufbau der Verfahrensdokumentation?
  • Zu welchen Sicherheits- und Schutzmassnahmen ist das Unternehmen bezüglich physischer und elektronischer Archivierung verpflichtet?
  • Kann auf das physische Archiv verzichtet werden?

MyConsultation: Haben Sie eine oder mehrere Sicherheitsfragen? Stellen Sie uns jetzt Ihre Sicherheitsfrage. Schnell und bequem.

Während die Geschäftsbücherverordnung (GeBüV) in der Schweiz eher ein Schattendasein gefristet hat, verstehen jedoch immer mehr Organisationen, dass sie mittels elektronischer Archivierung effizienter, sicherer und kostengünstiger arbeiten können. Für Firmen, die auch in den USA tätig sind, trägt die elektronische Archivierung sehr viel zur Lösung der Probleme bei der 'Electronic Discovery' bei.

Die Swiss Infosec AG ist Ihr Spezialist für elektronische Archivierung, Best Practice inklusive

Die Swiss Infosec AG hat für Unternehmen verschiedener Branchen die konzeptionellen Lösungen für die unterschiedlichsten Archivierungsbedürfnisse erstellen dürfen. Dazu gehören u.a. Ist-Soll-Analysen, Verfahrensdokumentationen, Archivierungsweisungen, die Erstellung von Aktenplänen sowie die erforderliche Schulung der relevanten Mitarbeitenden.

Ist elektronische Archivierung etwas für Sie? Kontaktieren Sie uns jetzt und unverbindlich!

Ein Gespräch mit uns zeigt Ihnen, wie elektronische Archivierung in Ihr Unternehmenskonzept passt und was wir für Sie tun können, z.B. auch in Form von Schulungen. +41 41 984 12 12, infosec@infosec.ch

 

snb  

 

 

 

Bruno Schnarwiler

E-Mail

Intelligente Vernetzung erfordert intelligente Sicherheitskonzepte

 

Die neuen Möglichkeiten, die IoT eröffnet, erfordern in Sachen Informationssicherheit eine besonders konsequente Haltung und innovative Lösungsansätze. Vertrauen Sie deshalb auf das Know-how unserer erfahrenen Spezialisten. Sie beraten und unterstützen Sie in allen Sicherheitsfragen rund um IoT und darüber hinaus.

 

Kontaktieren Sie uns online (infosec@infosec.ch) oder telefonisch (+41 41 984 12 12) für ein kostenloses Erstgespräch.

 


IoT – Was ist das?

Vereinfacht gesagt werden «Things», also physische und virtuelle Dinge, vernetzt und kommunizieren untereinander. Viele IoT-Anwendungen betreffen Industrie, Energie und Verkehr. IoT beeinflusst und bestimmt jedoch auch immer mehr den privaten Bereich: Die Fernsteuerung von elektronischen Haushaltgeräten oder der heimischen LED-Beleuchtung ist bequem und kann ein Mehr an Sicherheit oder ein Weniger an Stromverbrauch generieren und die zahlreichen Applikationen, mit denen Schritte, Herz- und Pulsfrequenz usw. ermittelt und ausgewertet werden (Beispiel Smart Watch) sind bereits selbstverständlich.

 

IoT beruht auf dem Konzept, Daten aus unterschiedlichsten Bereichen zu erfassen, zu sammeln, über das Internet zu teilen und zu nutzen. Möglich machen das verschiedene Komponenten wie Sensoren und Aktoren, vor allem aber die sogenannten Smarts. Smarts sind rechnende, koordinierende, kommunizierende und steuernde Komponenten, die je nach Anwendung in beliebiger Form und Vielzahl auftreten können. Smarts tragen die von Sensoren gesammelten Informationen zusammen und verarbeiten sie. Zudem können sie Steuerungsaufträge an Aktoren übergeben und Schnittstellen für menschliche Interaktionen anbieten.

 

IoT News: Aktuelle Infosec Internet News-Beiträge

 

IoT – Was bringt es?

Der grosse Vorteil von IoT liegt in der Vereinfachung von Prozessen, die zu einer deutlichen Effizienzsteigerung führt. Durch die Sammlung beliebig vieler Daten und Informationen lassen sich Geräte ortsunabhängig steuern und überwachen. Das spart Ressourcen und sorgt für eine beispiellose Flexibilität und für Bequemlichkeit im Alltag.

 

Wo wird IoT bereits erfolgreich eingesetzt?

  • Im Industriesektor: Fernüberwachung von Industrieanlagen z.B. Industrial Control Systems (ICS)
  • Im Energiesektor: Smart Grid, Smart Energy (Stichwort intelligente Stromnetze, Steigerung der Netzeffizienz)
  • Im Verkehrsmanagement: Smart City (Erfassung der Verkehrsflüsse)
  • Im Gesundheitswesen: IoT-Geräte beispielsweise zur Überwachung oder sogar zur Steuerung der Vitalwerte von Patienten

 

Und die Sicherheit? Welche Risiken bestehen?

Wie bei allen neuen bzw. weiterentwickelten Technologien stehen den zahlreichen Vorteilen sicherheitsrelevante Risiken gegenüber. IoT bietet die Möglichkeit, riesige Datenmengen zu sammeln und zu verarbeiten, darunter auch kritische, personenbezogene Daten oder Informationen über kritische Infrastrukturen. Solche Datensammlungen sind wertvoll und deshalb potenziell auf dem Radar von Datendieben. Zudem besteht die Gefahr, dass Kriminelle die Kontrolle über IoT-Geräte und deren Steuerung übernehmen. Nicht abschliessend geklärt ist die Frage, wem die Daten auf IoT-Geräten tatsächlich gehören.

 

IoT – aber sicher: mit der Unterstützung unserer erfahrenen Spezialisten

Die zahlreichen Möglichkeiten, die IoT eröffnet, erfordern in Sachen Informationssicherheit eine besonders konsequente Haltung.
Setzen Sie auf die Erfahrung und das Know-how unserer Spezialisten und sichern Sie sich deren Unterstützung und Beratung in folgenden Bereichen:

  • Konzeptionelle Unterstützung basierend auf anerkannten Grundlagen, beispielsweise
    • ISO/IEC 30141:2018 – Internet of Things (loT) – Reference Architecture: Orientierungshilfe bei der Definition von generischen Ansätzen zur Problemlösung
    • ISO/IEC 15408 – Common Criteria for Information Technology Security Evaluation: Hilfestellung bei der Bewertung der Sicherheit von einzelnen IoT-Anwendungen
    • ISO/IEC 62443 – Industrial communication networks – Network and system security
    • Guide to Industrial Control Systems (ICS) Security: Eine umfassende Ausführung des NIST zur sicheren Integration von ICS
  • Risikoanalysen
  • Audits: technische, konzeptionelle oder Compliance Audits
  • Situationsanalysen von bereits bestehenden IoT-Geräten/Infrastrukturen
  • Evaluation von IoT-Herstellern, -Lieferanten und -Produkten
  • Erarbeitung von Strategien im Umgang mit IoT

 

Der Siegeszug von IoT lässt sich nicht aufhalten. Dank intelligenter Sicherheitskonzepte ist dies auch gar nicht notwendig.

 

Kontaktieren Sie uns online (infosec@infosec.ch) oder telefonisch (+41 41 984 12 12) für ein kostenloses Erstgespräch.

 

 

 

 

 

Reto Steinmann

E-Mail

Kontrolle und Optimierung

Dieses Lehrbuch bietet Grundlagenwissen zum Thema Informationssicherheit sowie Informationssicherheitsmanagement. Neben der Erklärung aktueller und relevanter Grundbegriffe bietet es Definitionen und skizziert methodische und rechtliche Rahmen. Die optimale praktische Gestaltung des Informationssicherheitsmanagements wird unter Berücksichtigung zweier gängiger Standards zur Informationssicherheit, des Grundschutzhandbuches und ISO 27001, dargelegt. Damit gibt die Autorin konkrete Antworten auf Fragen der Risikobewertung und Gefahrenanalyse, der Sicherheits- und Datenschutzkontrollen sowie zum Incident Management und dem Security Audit und -Monitoring.

 

Autorin: Aleksandra Sowa

ISBN-10: 3658156260

Externer Security Officer

Keine Zeit für Informationssicherheit?
Ab sofort erhalten Sie Security-Unterstützung auf Abruf!

06/2019

Mitarbeiter zielgerichtet für Informationssicherheit sensibilisieren

 

Kristin Weber, Andreas E. Schütz und Tobias Fertig zeigen in diesem essential, wie Mitarbeiter in acht Schritten für das Thema Informationssicherheit sensibilisiert werden können. Vorgestellt wird ein Vorgehen, welches Erkenntnisse aus der Verhaltenspsychologie berücksichtigt und somit eine passgenaue Auswahl von Sensibilisierungsmaßnahmen erlaubt.

 

Autoren: Kristin WeberAndreas E. SchützTobias Fertig

ISBN-10: 3658262575

Ausgewähltes Expertenwissen

Events und Business Meetings rund um das Thema Integrale Sicherheit

Treffen Sie unsere Spezialisten und Persönlichkeiten aus der Wirtschaft! Die Swiss Infosec AG ist seit mehr als 25 Jahren als produkte- und herstellerneutrales, unabhängiges Beratungs- und Ausbildungsunternehmen erfolgreich tätig. Das aus der Praxis gewonnene Wissen und unsere Erfahrung geben wir gerne weiter. Nicht nur in Kursen und Lehrgängen, sondern auch im Rahmen von Events und Business Meetings.

Nice to know: Fachspezifischer Wissenstransfer direkt vom Experten

An unseren Events und Business Meetings.erfahren Sie mehr über aktuelle Sicherheitsthemen und Lösungsansätze. Spannende Expertenreferate und Keynotes, die den Begriff „Sicherheit“ noch weiter fassen, garantieren Ihnen einen Mehrwert an Wissen auf hohem Niveau.


Nice to meet: Networking ist an unseren Events und Business Meetings inklusive

An unseren Events und Business Meetings steht nicht nur der Wissenstransfer im Mittelpunkt, sondern auch der persönliche Austausch zwischen den Teilnehmenden. Stichwort Networking. Hier können Sie wertvolle Kontakte knüpfen und vertiefen.

 

Events und Business Meetings by Swiss Infosec AG: Best Practice im besten Sinne.


Security Events und Business Meetings: Anlässe, die Sie weiterbringen

Sie wollen Ihre Sicherheitskompetenzen stärken. Ergänzen Sie unsere individuellen Aus- und Weiterbildungsangebote mit dem Besuch unserer Events und Business Meetings. Unser Wissen bringt Sie weiter.

Informieren Sie sich über aktuelle Events und Business Meetings und planen Sie schon heute Ihre Teilnahme!

Ein Blick auf unsere Events-Agenda hält Sie auf dem Laufenden. So können Sie Ihre Teilnahme allenfalls perfekt auf weitere Aus- und Weiterbildungsaktivitäten abstimmen. +41 41 984 12 12, infosec@infosec.ch

 

Events und Business Meetings by Swiss Infosec AG: Kostenlose Teilnahme, unbezahlbarer Wissensgewinn, unbezahlbare Begegnungen.

Wir freuen uns auf Sie!

 

Miro Schenker

Unterschrift MIR

Chief Strategy Officer

miro.schenker@infosec.ch
+41 79 634 77 49

MEET SWISS INFOSEC!

Die führende Fachveranstaltung der Schweiz für Integrale Sicherheit

MEET SWISS INFOSEC! ist die ideale Plattform für Ihr Unternehmen. Die MEET SWISS INFOSEC! findet zweimal jährlich im Hotel Radisson Blu in Zürich Flughafen statt und steht ganz im Zeichen der Integralen Sicherheit. Die Fachveranstaltung zieht Security-Interessierte aus dem In- und Ausland an und kombiniert Security und Networking in gelungener Weise. Sie ist deshalb bestens geeignet, um Ihr Unternehmen auf attraktive und innovative Art zu präsentieren.

MEET SWISS INFOSEC!: Die attraktive Verbindung von nice to know und nice to meet.

MEET SWISS INFOSEC!: aktuell, informativ, überraschend

Der Fokus der Referate an der MEET SWISS INFOSEC! liegt auf aktuellen Themen, Trends und Lösungsansätzen. In der abschliessenden Keynote wird das Thema „Sicherheit“ oftmals aus einer überraschenden Perspektive heraus betrachtet. Prominente Referenten sorgen dabei für den Wow-Effekt. Rückblick auf die aktuelle Ausgabe der MEET SWISS INFOSEC!

FACTS & FIGURES: 35x MEET SWISS INFOSEC! 6500+ Anmeldungen, 250+ Anmeldungen pro Event, 240+ Referate

 

 

MEET SWISS INFOSEC!: Best Practice in ihrer schönsten Form

MEET SWISS INFOSEC!: Ihr place to be

Stellen Sie Ihre Sicherheitslösungen einem Fachpublikum vor und profitieren Sie von persönlichen Begegnungen und Feedbacks. Ob spannende, praxisorientierte Erfahrungsberichte zu integralen Aspekten der Sicherheit, ob interessante Ausführungen zu Informationssicherheit, IT-Sicherheit und Datenschutz: Sie finden offene Ohren.

UNSERE KUNDEN: Ihre Zielgruppe

grafik diagramm branchen

MEET SWISS INFOSEC!: Massgeschneiderte Sponsoring-Engagements

Wählen Sie zwischen Sponsoring-Engagements mit der Bezeichnung S, M, L und XL und erreichen Sie mit unseren firmeneigenen Werbekanälen Ihre Zielgruppe.

 

MEET SWISS INFOSEC!: Nutzen Sie Ihre Möglichkeiten!

Wir beraten Sie gerne. Kontaktieren Sie uns jetzt unverbindlich und nutzen Sie die MEET SWISS INFOSEC! als Plattform für Ihr Unternehmen. +41 41 984 12 12, infosec@infosec.ch

 

Wir freuen uns über Ihren Kontakt.

 

Miro Schenker

Unterschrift MIR

Chief Strategy Officer

miro.schenker@infosec.ch
+41 79 634 77 49

 

 

 

 

 

Miro Schenker

E-Mail

ISMS-Beispiel

Wie ein skalierbares ISMS komplexeste Anforderungen in einer sehr grossen Organisation erfolgreich meistert.

Ausbildungsagenda 2019

Meeting Points: Hier werden Sie besser!
Mit unserem Kursangebot schnell und sicher ans Ziel kommen.

Security Awareness & Online-Kurse

Awareness- und eLearning-Module: Lernen zu jeder Zeit, flexibel im Tempo und nutzbringend im Inhalt.

Jubiläumsanlass 30 Jahre Swiss Infosec AG

23. September 2019, Zürich Flughafen
13.00 bis 17.15 h, anschliessend Apéro riche

Sicherheit im Fokus auf Informationssicherheit, IT-Sicherheit, Datenschutz, Cyber Security, Cloud Security und Krisenmanagement

Ihre Teilnahme ist kostenlos!

Für Betriebliche Datenschutzverantwortliche und Informations- und IT-Sicherheitsbeauftragte

27. September 2019, Sursee
9 bis 12 h, anschliessend Lunch

Treffen Sie sich an diesem kostenlosen Refresher mit ausgewiesenen Sicherheits-Spezialisten für den Fachaustausch und erfahren Sie mehr über die aktuellen Tendenzen und Neuerungen im Bereich des Datenschutzes und der Informations- und IT-Sicherheit.

Event Review

Wolken vs. Cloud
24. Juni 2019, Zürich Flughafen

Der Himmel über Zürich präsentierte sich am 24. Juni fast wolkenlos. Trotzdem waren an der Sommerausgabe der MEET SWISS INFOSEC! alle Augen auf Wolken und die Cloud gerichtet. Das Motto Wolken vs. Cloud lockte an diesem warmen Tag mehr als 200 Personen in den angenehm kühlen Saal des Radisson Blu Hotels in Zürich-Flughafen. Sie alle wollten mehr über die Cloud und ihre Kolleginnen von der Wetterfront erfahren und wurden nicht enttäuscht. Die Referenten vermittelten nicht nur gekonnt Fakten, Tipps und Lösungsansätze, sondern sorgten mit Referatstiteln, die sich an das Motto anlehnten, auch für den berühmten roten Faden. Das Thema "Cloud" wurde aus verschiedensten Blickwinkeln beleuchtet. Thomas Bucheli, Leiter SRF Meteo, spannte in seiner Keynote schliesslich den Bogen zu den Wolken am Himmel und lieferte eindrückliche und überraschende Parallelen zur virtuellen Cloud.

 

  • Reto C. Zbinden

    Reto C. Zbinden, Rechtsanwalt, CEO, Swiss Infosec AG, begrüsst das Publikum, Referenten und Event Partner zur 35. MEET SWISS INFOSEC!

  • Gabriel Kälin

    «Klare Sicht im Azorenhoch bzw. bessere Sichtbarkeit des Netzwerkverkehrs auf MS Azure» verspricht Gabriel Kälin, Channel Systems Engineer, Fortinet dank Security Best Practices

  • Thomas Kretzschmar

    Mit «Wolkig mit Aussicht auf Exploits» beschreibt Thomas Kretzschmar, Networking & Security, VMware Schweiz, die Grosswetterlage rund um sichere Umgebungen.

  • Cornel Furrer

    «Wo ist die Cloud» fragen Cornel Furrer und Tobias Sturzenegger, beide Swiss Infosec AG. (Unter dem Tuch übrigens nicht)

  • Cornel Furrer

    Beim Generationen-Dialog sind sich jung und jünger, Cornel Furrer und Tobias Sturzenegger, beide Swiss Infosec AG, nähergekommen.

  • André Duvillard

    Der Himmel lichtet sich, weil Bund, Kantone und die Gesellschaft Cyber-Sicherheit gemeinsam angehen wollen, weiss André Duvillard, Delegierter Sicherheitsverbund Schweiz.

  • Pause & Networking

    Pause & Networking
    Pausengespräch an der MEET SWISS INFOSEC!

  • Pause & Networking

    Pause & Networking
    Fachsimpeln in der Pause

  • Pause & Networking

    Pause & Networking
    Gesunde Stärkung in der Pause

  • Pause & Networking

    Pause & Networking
    Süsse Stärkung in der Pause

  • Georg Bommer

    Georg Bommer, Consultant, DataGovernance Technologies Ltd: Datenklassifizierung als integraler Teil der Data Governance.

  • Martin Hüsser

    Martin Hüsser, Consultant, DataGovernance Technologies Ltd: Entspannt dank automatischer Klassifizierung von Millionen unstrukturierter Daten.

  • Andreas Hausmann

    «Wissen Sie zu 100%, was in Ihrem Netzwerk ist?», fragt Andreas Hausmann, Aruba Chief Technologist, Hewlett Packard Enterprise

  • Thomas Bucheli

    Fast wie im Fernsehstudio: Thomas Bucheli, Leiter SRF Meteo, während seines Referats «Cloud der ersten Art».

  • Thomas Bucheli

    Ein Mann, der weiss, was Wolken sind: Thomas Bucheli, Leiter SRF Meteo.

  • Thomas Bucheli

    Thomas Bucheli, Leiter SRF Meteo, als Referent in Hochform.

  • Apéro

    Apéro riche mit…

  • Apéro

    …kompetenter Unterstützung zum Abschluss einer erfolgreichen MEET SWISS INFOSEC!

  • Auf Wiedersehen

    Auf Wiedersehen an der nächsten MEET SWISS INFOSEC! vom 23. September 2019, die ganz im Zeichen von 30 Jahre Swiss Infosec AG steht.

  • Auf Wiedersehen

    Auf Wiedersehen an der nächsten MEET SWISS INFOSEC! vom 23. September 2019, die ganz im Zeichen von 30 Jahre Swiss Infosec AG steht.

 

Begrüssung: Reto C. Zbinden, Rechtsanwalt, CEO, Swiss Infosec AG, freut sich über das Interesse an der MEET SWISS INFOSEC! und am Thema "Wolken vs. Cloud" und heisst seine Gäste, die Referenten und Event- Partner herzlich willkommen. In seiner kurzen Einführung nimmt er Bezug auf die Kernkompetenzen der Swiss Infosec AG, die dieses Jahr ihr 30jähriges Bestehen feiert, und verspricht in diesem Zusammenhang eine besondere Ansage am Ende der Veranstaltung.

 

Herzlichen Dank: Die Swiss Infosec AG darf bei der Durchführung der MEET SWISS INFOSEC! einmal mehr auf namhafte Event-Partner zählen: ARUBA (a Hewlett Packard Enterprise Company), DATAGOVERNANCE TECHNOLOGIES, INFINIGATE, SWISS GRC und VMWARE unterstützen die führende Fachveranstaltung für Integrale Sicherheit.

 

Klare Sicht im Azorenhoch bzw. bessere Sichtbarkeit des Netzwerkverkehrs auf Microsoft Azure verspricht Gabriel Kälin, Channel Systems Engineer, Fortinet, dank Security Best Practices. Er erläutert, weshalb der Netzwerkverkehr auf Microsoft Azure anders ist und wie er sich vom Netzwerk-Traffic auf anderen Cloud Computing-Plattformen unterscheidet. Die erschwerte Sichtbarkeit des Netzwerkverkehrs auf Microsoft Azure ist dabei eine besondere Herausforderung. Zudem verlangen die vielfältigen Kommunikationsströme (alle Hosts in einem VNET und peered VNET können direkt kommunizieren) erhöhte Aufmerksamkeit. Gabriel Kälin präsentiert mit einer Live-Demonstration Lösungsansätze und verrät Security Best Practice-Tipps, die den Netzwerkverkehr auf Microsoft Azure sichtbarer und auch sicherer machen.

Referat hier herunterladen

 

Um die Sichtbarkeit von Netzwerk-Traffic geht es auch im Referat von Thomas Kretzschmar, Networking & Security, VMware Schweiz. Mit "Wolkig mit Aussicht auf Exploits" beschreibt er die Grosswetterlage rund um sichere Umgebungen und rät, diese mit flexibler Segmentierung, künstlicher Intelligenz und Application Whitelisting zu verbessern. Weder die in den 60er Jahren des letzten Jahrhunderts (nicht primär für die Sicherheit) entwickelten Protokolle, noch die verschiedenen Firewalls der 90er Jahre genügen den heutigen Ansprüchen an Netzwerksichtbarkeit und -sicherheit. Intelligente, flexible Lösungen sind gefragt, und auch ein anderer Blickwinkel in Bezug auf die Erkennung von Gefahren: Dem Blacklisting-Ansatz (Auflistung von unerwünschten Anwendungen, die deren Ausführung verhindert) wird der Application Whitelisting-Ansatz gegenübergestellt (Liste von Anwendungen, die ausgeführt werden dürfen). Vor dem Hintergrund flexibler Segmentierung und künstlicher Intelligenz in Verbindung mit einer entsprechenden Software favorisiert Thomas Kretzschmar den Whitelisting-Ansatz klar.

Referat hier herunterladen

 

Cornel Furrer, COO, Managing Consultant, Swiss Infosec AG, und Tobias Sturzenegger, Consultant, Swiss Infosec AG, (der den erkrankten Niklaus Manser ersetzt) verlassen die Tiefen der Technik und katapultieren das Publikum zurück an die Oberfläche. In ihrem Generationen-Dialog "Wo ist die Cloud?" machen sie den IT-Graben zwischen jung und jünger oder Nutzer und Nerd sichtbar. Auf unterhaltsame Weise bringen sie Begriffe wie "Computerwurm", "Virus" und "Firewall" auf den Punkt. Komplexes in einfachen Worten zu erklären, ist gerade im IT-Bereich mit seiner eigenen hochspezialisierten Fachsprache oft alles andere als einfach, aber notwendig und wirkungsvoll. So gelingt es dem Nerd, dem Nutzer die abstrakte Cloud und deren Vor- und Nachteile plausibel zu machen, ihn auf seine Eigenverantwortung hinzuweisen, aber auch auf die Möglichkeit von Audits (Stichwort ISAE 3402) betreffend Compliance und Wirksamkeit des Cloud-Betreibers durch spezialisierte Firmen. Fazit des Dialogs: Jung und jünger sind sich nähergekommen und: Anschaulichkeit macht schlau(er).

Referat hier herunterladen

 

"Der Himmel lichtet sich." freut sich André Duvillard, Delegierter Sicherheitsverbund Schweiz (SVS). Grund dafür ist, dass Cyber-Sicherheit (endlich) als gemeinschaftliche Aufgabe von Bund, Kantonen und der Gesellschaft betrachtet wird. André Duvillard zeigt auf, wie sich der Sicherheitsverbund Schweiz für eine inklusive Strategie im Cyberbereich stark macht. Der SVS ist die föderale Antwort auf neue Sicherheits-herausforderungen, die durch Bedrohungen verschiedenster Herkunft und durch Konflikte an die Schweiz gestellt werden. Der Bedrohung im Cyberraum kommt dabei eine besondere Bedeutung zu. Nicht nur, weil die Gefahr akut ist, dass dieser virtuelle Raum immer raffinierter und öfter missbraucht wird, sondern auch weil diese - wie André Duvillard sie nennt - Querschnittsbedrohung bewusst macht, dass das bisherige Silodenken überwunden werden muss. Die Nationale Cyber Strategie II (NCS) trägt diesem Umstand Rechnung und listet 10 Handlungsfelder auf, mit denen die Vision einer resilienten, vor Cyber-Risiken geschützten und handlungsfähigen Schweiz Realität werden soll: Ein grosse Aufgabe, die nur gemeinsam bewältigt werden kann.

Referat hier herunterladen

 

Millionen unstrukturierter Datenobjekte automatisch klassifizieren. Was wie ein Traum klingt, ist mit der richtigen Software bereits machbar, wissen Georg Bommer, Consultant, DataGovernance Technologies Ltd, und Martin Hüsser, Consultant, DataGovernance Technologies Ltd. Datenklassifizierung als integraler Teil der Data Governance ist nicht nur für die Sicherheit und Compliance im Unternehmen wichtig. Sie ist der zentrale Trigger für alle Data Governance-Prozesse und für die effiziente Bewirtschaftung unstrukturierter Daten. Und solche unstrukturierten Datenobjekte gibt es in Unternehmen millionenfach und meistens erst noch über verschiedene Speicherorte (Systeme, Cloud) verteilt. Ohne automatisierte Datenklassifizierung ist dieser Datenmenge unmöglich beizukommen. Martin Hüsser präsentiert einen Lösungsansatz, der anstelle des funktionalen Ansatzes auf dem sogenannten Information Centric-Ansatz beruht, der für die effiziente Steuerung der Data Governance zwingend ist und auch den Herausforderungen gerecht wird, die das Speichern der Daten in der Cloud (Transparenz und Kontrolle) mit sich bringt.

Referat hier herunterladen

 

"Wissen Sie zu 100%, was in Ihrem Netzwerk ist?" Diese Frage von Andreas Hausmann, Aruba Chief Technologist, Hewlett Packard Enterprise, muss ehrlicherweise wohl mit Nein beantwortet werden.
Umso mehr als durch Mobilität und BYOD der Überblick nicht einfacher geworden ist. Wer darf sich womit verbinden? Wie steht es um die Rechtevergabe auf eigenen Geräten, im Firmen- oder Gastnetz? Wer hat welche Zugriffsrechte und wie können Zugriffe kontrolliert werden? Diese Fragestellungen zeigen, dass separate Systeme eine veritable Sicherheitsherausforderung sind. Eine Herausforderung, die sich mit einer spezifischen Softwarelösung, wie sie Andreas Hausmann vorstellt, jedoch meistern lässt. Sie legt den Fokus auf Angriffe und gefährliches Verhalten innerhalb des Netzwerks und analysiert sowohl das Verhalten der Nutzer als auch der Ereignisse. Damit können kleine Veränderungen, aber auch gefährliche Anomalien erkannt und Nutzer/Geräte frühzeitig isoliert werden.

Referat hier herunterladen

 

Thomas Bucheli, Leiter SRF Meteo, Schweizer Radio und Fernsehen SRF, nimmt sich der Cloud der ersten Art an und wagt als Meteorologe eine wolkenguckerische Schlussbetrachtung. Wolken sind im wahrsten Sinne des Wortes nicht be-greifbar, sie sind aber – anders als die Cloud – zumindest sichtbar. Und: Wolken sind der Ursprung von allem. Ohne Wolken – so paradox das klingen mag – gäbe es kein Licht. Clouds der ersten Art sind sichtbar gemachte Energie. Energiegeladen führt Thomas Bucheli dann weiter durch sein Thema: Er streift die Systematik der Wolken, beschreibt das globale Zusammenspiel der Faktoren, die das Wetter beeinflussen, geht auf den philosophisch-wissenschaftlichen Ansatz der Prognose ein, verweist auf heutige Prognosemethoden (inkl. Ameise aus dem Muotathal) und immer leistungsfähigere Rechner und stellt schliesslich augenzwinkernd die Referatstitel dieser MEET SWISS INFOSEC! in den Wetterkontext. Ein Referat ohne Tiefs, aber mit Tiefe. Ein Meteorologe in Hochform.

Referat hier herunterladen

 

Herzlichen Dank und auf Wiedersehen: Bevor Reto C. Zbinden die 35. MEET SWISS INFOSEC! beschliesst und zum Apéro einlädt, lüftet er noch das Geheimnis um die Ansage zu Beginn der Veranstaltung: Die nächste MEET SWISS INFOSEC! steht ganz im Zeichen von 30 Jahre Swiss Infosec AG und findet bereits am Montag, 23. September 2019, statt. Die Swiss Infosec AG feiert ihr Jubiläum mit einem ganz besonderen Programm, das von Sonja Hasler vom Schweizer Radio und Fernsehen moderiert, von hochkarätigen Referenten wie David Rosenthal und Hannes Lubich bestritten und mit Musik umrahmt wird. Reto C. Zbinden freut sich auf ein Wiedersehen an der 36. MEET SWISS INFOSEC! und bedankt sich beim Publikum, den Referenten, den Event Partnern und bei seinem Team rund um Mr. MEET SWISS INFOSEC!, Miro Schenker.

 

Online Feedbackabgabe

 

Wir freuen uns auf ein Wiedersehen mit Ihnen!
Melden Sie sich hier gleich an.

07/2019

Standardwerk für Kader und Spezialisten

 

Wissen und Know-how: Informationssicherheit, IT-Sicherheit, Datenschutz

Das Online-Standardwerk der Swiss Infosec AG ist Ihr unentbehrlicher Begleiter im Bereich der Integralen Sicherheit und bietet effiziente Unterstützung für Ihre tägliche Arbeit. Das unverzichtbare und umfassende Nachschlagewerk ist das Online-Tool für Ihre täglichen Problemstellungen und Ihr Schlüssel zu mehr Sicherheit für Ihre Unternehmung.

 

Reto C. Zbinden

ISBN 3-952-039-608

Hinweis zur Verwendung von Cookies
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung
OK