Tag: integrale sicherheit

Blick
Interview mit Reto Zbinden
von Cilgia Grass

Ktipp
Interview mit Reto Zbinden
von Patrick Gut

Sonntagszeitung
Interview mit Reto Zbinden
von Philippe Pfister

Aktuelle Fachthemen rund um Integrale Sicherheit

Security News: Abonnieren Sie jetzt den Newsletter!

Ja, ich möchte jeden Monat die Security News der Swiss Infosec AG erhalten:

 

Die Pflichtangaben sind erforderlich, um Ihnen den Newsletter digital zu senden.
Die freiwillige Angabe weiterer Daten (z.B. Anrede, Vorname, Name) ermöglicht uns, Sie persönlicher anzusprechen.

Selbstverständlich können Sie die Security News der Swiss Infosec AG jederzeit abbestellen. Klicken Sie dazu auf den entsprechenden Link am Ende des Newsletters oder rufen Sie uns an: +41 41 984 12 12 oder senden Sie uns eine Kurznachricht.

 

Security News: Integrale Sicherheit auf den Punkt gebracht

Der Newsletter der Swiss Infosec AG informiert seit 1995 über aktuelle Themen und Sicherheitsfragen im aus dem Bereich der Integralen Sicherheit, das heisst über Informationssicherheit, Datenschutz, IT-Sicherheit, Krisenmanagement, Business Continuity Management und Physische Sicherheit.

 

Security News: Informationen aus erster Hand, jeden Monat neu

Mit dem Newsletter der Swiss Infosec AG sind Sie immer up to date. Er sensibilisiert für Sicherheitsfragen, informiert über neue Dienstleistungen der Swiss Infosec AG und macht Sie auf Security Events und Business Meetings aufmerksam. Als zusätzliche Serviceleistung listen wir immer diejenigen Kurse und Lehrgänge auf, deren Durchführung wir garantieren.
Und falls Sie einen Newsletter verpasst haben, senden wir Ihnen die gewünschte Ausgabe gerne zu.

 

Security News: Verschaffen Sie sich regelmässig einen Informationsvorsprung!

Mit dem Newsletter-Abonnement der Swiss Infosec AG erhalten Sie jeden Monat ausgewählte Fachinformationen aus dem Bereich der Integralen Sicherheit. Informationen, die sich lohnen.

Schnellanfrage
Natürlich 100% vertraulich, kostenfrei und unverbindlich!

Unser Fachwissen massgeschneidert auf Ihr Unternehmen und Ihre Bedürfnisse.

 

Die Swiss Infosec AG organisiert die meisten Lehrgänge und Schulungen auch als Inhouse-Ausbildung bei Ihnen vor Ort.

Effektiv: weil individuell, effizient und zielführend

Wir kennen den Druck und die Herausforderungen des Managements, ebenso die Probleme und Nöte von Mitarbeitenden: Zielerreichung, Ausbildungsnachweis und keine Zeit!

 

Als individuelle Mitarbeiterschulung bieten wir Ihnen neben Trainings und Coachings auch Awareness- und online eLearning-Kursmodule an. Gerne stehen wir Ihnen beratend zur Seite und freuen uns, wenn Sie Datenschutz, Informationssicherheit und IT-Sicherheit jetzt zu Ihrem Thema machen und wir Sie dabei unterstützen dürfen.

 

Sensibilisieren und schulen Sie jetzt all Ihre Mitarbeitenden für sicherheitsrelevante Themen: Lernen zu jeder Zeit, flexibel im Tempo und nutzbringend im Inhalt.

 

Wir freuen uns über Ihren Kontakt unter
Telefon +41 41 984 12 12, infosec@infosec.ch

 


 

Sensibilisieren Sie Ihre Mitarbeitenden für sicherheitsrelevante Themen.

 

Die Mitarbeitersensibilisierung steht im Fokus der Integralen Sicherheit und Informationssicherheit. Organisationen müssen gezielt Massnahmen ergreifen, um ihre Mitarbeitenden zu 'sicherem' Handeln anzuleiten und zu motivieren. Einzelmassnahmen werden dem Ziel, eine nachhaltige Verhaltensbeeinflussung zu bewirken, nicht gerecht.

Mitarbeitersensibilisierung: Awareness als zentrales Schulungsinstrument

Es muss ein Bündel aufeinander abgestimmter Massnahmen, auch als Security Awareness-Kampagne bezeichnet, erarbeitet und umgesetzt werden. Die Inhalte der Security Awareness-Kampagne sind auf die Kultur und die individuelle Risikolage des Unternehmens und den Wissenstand der Mitarbeitenden abzustimmen. Die Swiss Infosec AG hat sich darauf spezialisiert, ihre Kunden bei der Erarbeitung und Durchführung von Awareness-Kampagnen in den Bereichen Integrale Sicherheit, Informationssicherheit, IT-Sicherheit, Datenschutz, Krisenmanagement und BCM zu unterstützen.

Security Awareness-Kampagnen

Die Bestandteile einer Awareness-Kampagne können sein: Edutainments, eLearning-Module, Seminare und Workshops, diverse Print- und E-Medien (beispielsweise Flyer, Plakate, Merkblätter, Intranet Sites, Spiele, Newsletters u.v.a.m.), Wettbewerbe, regelmässige Aufschaltung aktueller News, sogenannte Gadgets bzw. Give-Aways (Mugs, Mausmatten). Die optimale Kombination der einzelnen Instrumente ist für den Erfolg der Kampagne von zentraler Bedeutung.

 

Erfolgreiche Awareness-Kampagnen zeichnen sich aus durch eine systematische Planung und Durchführung funktions- und stufengerechter Aktivitäten und Massnahmen mit dem Ziel, eine nachhaltige Verhaltensänderung zu bewirken und aufrecht zu erhalten. Seit 25 Jahren unterstützen wir unsere Kunden aktiv und erfolgreich bei Awareness-Kampagnen. Profitieren Sie von unserer Erfahrung und unserem Fachwissen. Wir können Sie schnell, flexibel und umfassend unterstützen.

 

Ihre Vorteile

  • Sie profitieren von 30 Jahren Erfahrung, Ideen und Resultaten
  • Sie erreichen eine nachhaltige Verhaltensänderung Ihrer Mitarbeitenden
  • Sie aktivieren den Faktor Mensch
  • Sie behandeln Ihre Mitarbeitenden als zentrale Faktoren Ihrer Sicherheitsaktivitäten

Security Edutainments

Wenn der Spassfaktor zum Erfolgsfaktor wird.

Security ist eine ernste Sache, Sie dafür zu sensibilisieren ganz und gar nicht!

Viren, Würmer, Social Engineering-Attacken, Notfälle und Evakuationen sind nicht der Stoff, aus dem unterhaltsame Lerneinheiten gemacht sind. Meint man und liegt mit dieser Einschätzung falsch. Das Edutainment-Team der Swiss Infosec AG vermittelt diese und andere Themen aus dem Security-Alltag sehr humorvoll, anschaulich und nachweislich nachhaltig. Da kommt Freude auf. Freude, die motiviert und dafür sorgt, dass Informationen, Hints und Tipps ankommen und bleibenden Eindruck hinterlassen – übrigens bereits nach 30 Minuten. So sieht erfolgreiche Wissensvermittlung aus.

 

Die Security-Edutainments dauern 30 bis 120 Minuten und richten sich an Gruppen von 5 bis maximal 250 Personen. Sie festigen das Wissen im Bereich 'Security', fördern gezielt das richtige Handeln in vermeintlich sicheren Situationen und eignen sich besonders gut als Bestandteil einer übergeordneten Awareness-Kampagne.

Security Online-Kurse und Online-Schulungen mit eLearning

Erfahren Sie mehr über den Lernnachweis und die Verbindung mit unserem Schulungstool eLearning made by Swiss Infosec AG. Das ELEARNING PLUG & LEARN ist das Ausbildungs- und Sensibilisierungstool für Security Online Training und Web Based Training.

 

Kontaktieren Sie uns jetzt für die ernste Sache mit Spassfaktor unter +41 41 984 12 12, infosec@infosec.ch

 

 

 

 

 

Cornel Furrer

E-Mail

Sicherheit als Ganzes und in Teilbereichen betrachtet

Wir haben den 360° Best Practice-Sicherheitsblick

Die Integrale Sicherheit umfasst sämtliche Aspekte der unternehmensinternen Sicherheitsteilbereiche, beispielsweise

Mit unserem 360°-Sicherheitsblick und unserer Erfahrung aus über 2000 Projekten setzen wir diese Aspekte in Relation zueinander, behalten die Sicherheit aber stets als Ganzes im Auge und orientieren uns immer an Best Practice.

 

Das gilt auch für unsere

Weitsicht aus Erfahrung. Das ist Integrale Sicherheit made by Swiss Infosec AG.

Mit konsequent integralem Ansatz zu mehr Sicherheit

Sie wollen die Sicherheit in Ihrem Unternehmen maximieren und schädigende Ereignisse für Ihr Unternehmen, Ihre Mitarbeitenden und Partner in Häufigkeit und Auswirkung auf ein akzeptables Minimum reduzieren? Der integrale Ansatz der Swiss Infosec AG verfolgt genau diese Ziele. Wir unterstützen Sie dabei, den gesamten Sicherheitsbereich Ihres Unternehmens

  • konsequent,
  • umfassend,
  • abgestimmt,
  • geplant
    und
  • effizient

zu betrachten und bestehende Synergien sinnvoll auszunützen.

 

Unsere empfohlenen Sicherheitsmassnahmen wirken nachhaltig und halten ethischen, wirtschaftlichen und rechtlichen Anforderungen jederzeit stand.  

 

Konsequent kunden- und zielorientiert: Das ist Integrale Sicherheit made by Swiss Infosec AG

Unsere Erfahrung ist Ihr Nutzen

Wir sind seit 30 Jahren das führende Beratungsunternehmen und Ausbildungsinstitut der Schweiz im Bereich der Integralen Sicherheit. Unsere Unabhängigkeit und unsere Erfahrung machen uns zu Ihrem starken Partner für alles rund um Integrale Sicherheit. Die Spezialisten der Swiss Infosec AG bringen zusammen mehr als 300 Jahre Sicherheitserfahrung mit und viele von ihnen sind lizenzierte ISO 27001 und ISO 22301 Lead Auditoren. 

 

Unsere Erfahrung ist die Garantie dafür, dass Sie das Beste von uns erwarten dürfen. Das ist Integrale Sicherheit made by Swiss Infosec AG

Ihre Sicherheit in guten Händen

Wir beraten und unterstützen grosse und kleine Unternehmen im In- und Ausland, die national und international tätig sind. Genauso individuell wie unsere Kunden sind auch unsere Lösungen. Ihnen gemeinsam ist aber immer, dass sie angemessen, konkret, praxisbezogen und nachhaltig sind. 

 

Ihre Bedürfnisse stehen immer im Mittelpunkt unseres Wirkens. Das ist Integrale Sicherheit made by Swiss Infosec AG.

Ihr erster Schritt zu einer neuen Sicherheitssicht

Erfahren Sie, was wir als erfahrener Spezialist für Integrale Sicherheit für Sie tun können und vereinbaren Sie mit uns ein Beratungsgespräch +41 41 984 12 12, infosec@infosec.ch

 

Ihre Sicherheit im 360°-Blick: Das ist Integrale Sicherheit made by Swiss Infosec AG.

unterschrift rz

Reto Zbinden
CEO, Rechtsanwalt

Risiken systematisch identifizieren, analysieren, bewerten, behandeln und überwachen

Risikomanagement (Risk Management): Mit freundlicher Unterstützung der Swiss Infosec AG

Risikomanagement ist ein Teil der Unternehmensführung, der immer mehr an Bedeutung gewinnt. Risiken zu identifizieren, zu analysieren, zu bewerten und zu behandeln bedeutet nichts anderes als das Unternehmen in seiner Gesamtheit und/oder in einzelnen Bereichen mit entsprechenden Massnahmen proaktiv zu schützen. Vorzugsweise mit System und den erfahrenen Spezialisten der Swiss Infosec AG. Diese unterstützen Sie mit Know-how und Best Practice bei der anspruchsvollen Aufgabe Risikomanagement.

 

Risikomanagement mit System und der Swiss Infosec AG

Risikomanagement ohne systematischen Ansatz ist in vielerlei Hinsicht zum Scheitern verurteilt. Unsere Spezialisten gehen deswegen von der Risikoidentifikation über die Bewertung von Risiken bis hin zu einem aussagekräftigen Berichtswesen für das Management ganz systematisch vor und lassen auch einen anderen Aspekt nie ausser Acht: die Konformität zu Risikomanagement-Normen, Unternehmensrichtlinien, Regulatorien und der Gesetzgebung.

Risk Management: Gut aufgehoben in der Integralen Sicherheit

Risk Management ist Bestandteil der Integralen Sicherheit. Der kontinuierliche Verbesserungsprozess "Plan-Do-Check-Act" (PDCA) trägt dazu bei, schädigende Ereignisse für das Unternehmen, seine Mitarbeitenden und Partner in Häufigkeit und Auswirkung auf ein akzeptables Minimum zu reduzieren.

Risikomanagementaufgaben: Wir unterstützen Sie bei allen Tätigkeiten rund ums Risikomanagement

Aufbau und Betrieb eines Risikomanagementsystems

Risikomanagement zur Identifikation und Bewertung von Risiken im Unternehmen

  • Risikoidentifikation
  • Risikoanalyse und Risikobewertung
  • Risikobeurteilung
  • Risikobewältigung und Risikobehandlung
  • Risikorapportierung und Risikokommunikation
  • Risikoüberwachung und Risikoüberprüfung

Aufbau eines toolunterstützten Risikomanagements (Softwareunterstützung Risk Management)

  • Risikomatrix
  • Risikolisten
  • Risikorapporte
  • Risk Management Workflows
  • Risikoindikatoren
  • Schwellenwerte

Risk Management all inclusive: Beratung, Coaching, Ausbildung und Tool

Die Swiss Infosec AG ist das führende Beratungsunternehmen und Ausbildungsinstitut im Bereich der Integralen Sicherheit. Das heisst für Sie, dass wir Ihnen Risikomanagement all inclusive anbieten können: Perfekte Beratung, Best Practice Coaching, massgeschneiderte Ausbildung und aussagekräftige Audits mit Software-Unterstützung (Software für Risk Management).

Managen Sie Risiken mit System und mit uns, der Swiss Infosec AG!

Kontaktieren Sie uns und überzeugen Sie sich von den Vorteilen eines leistungsstarken, systematischen Risikomanagements. +41 41 984 12 12, infosec@infosec.ch

 

snb  

 

 

 

Bruno Schnarwiler

E-Mail

Informationen und Daten angemessen schützen

Informationssicherheit mit der Erfahrung und Kompetenz der Swiss Infosec AG

Wir befassen uns seit 30 Jahren professionell mit Integraler Sicherheit. Unsere Erfahrung macht uns zu Spezialisten und zum starken Partner an Ihrer Seite, wenn es um Informationssicherheit geht.

Wir unterstützen und beraten Ihre Organisation von der Analyse bis zur Zielerreichung und übernehmen auf Wunsch auch die Leitung Ihres Projekts oder stellen Ihnen einen unserer Spezialisten z.B. als externen Datenschutzbeauftragten oder als CISO (Corporate Information Security Officer) zur Verfügung.

 

Wir schärfen Ihren Blick fürs Notwendige und finden die richtige Praxislösung, die auf Ihr Unternehmen zugeschnitten ist.

Informationssicherheit interessiert nicht nur Sie, sondern auch Ihre Kunden

Mit durchdachter Informationssicherheit schützen Sie Ihre Informationen und Daten auf optimale Art und Weise. Gleichzeitig stellen Sie damit aber auch Ihr Verantwortungsbewusstsein und Ihre Sorgfaltspflicht unter Beweis. Sie zeigen, dass Sie der Sicherheit Ihrer Informationen und Daten eine grosse Bedeutung beimessen. Und dies wird wahrgenommen – von Ihren Kunden, Mitarbeitenden, Lieferanten, Stakeholdern, usw. Erst recht, wenn Sie Ihr Unternehmen z.B. nach ISO 27001 zertifizieren lassen. Transparenz und Sicherheit schaffen Vertrauen und wirken sich positiv auf Ihre Reputation aus.

 

Informationssicherheit sorgt für mehr Sicherheit und Transparenz im Umgang mit Ihren Informationen und Daten – übrigens auch bei Ihren Kunden

 

Informationssicherheit im Überblick: Das ISMS-Big Picture der Swiss Infosec AG

isms aufbau big picture

Das animierte ISMS-Big Picture ist eine Prezi-Präsentation und benötigt einen Flash-Player.

 

Zielgerichtete Informationssicherheit: Was wir für Sie tun können

Informationssicherheit ist ein weites Feld. Gut, dass Sie mit der Swiss Infosec AG Spezialisten an Ihrer Seite haben, die wissen, wie Sie Ihr Ziel erreichen.

 

Unser Serviceangebot

  • Coaching und Consulting in Informationssicherheit (Information Security), Datenschutz und IT-Sicherheit nach Best Practice
  • Projektplanung, Ressourcenplanung
  • Schulung und Ausbildung (inkl. eLearning) in Informationssicherheit, ISMS, Datenschutz und IT-Sicherheit
  • Coaching bei der Anwendung und Umsetzung der Informationssicherheit nach ISO 27001 und bei der Sensibilisierung und Information des Top Managements
  • Durchführung von Risikoanalysen
  • Vorbereitung, Durchführung und Moderation von Risikoanalyse-Workshops auf Managementebene
  • Flexible externe Personallösungen: Wir übernehmen Ihre Aufgaben im Bereich Informationssicherheit und stellen Ihnen bei Bedarf auch einen externen Betrieblichen Datenschutzverantwortlichen zur Verfügung.

Zielgerichtete Informationssicherheit heisst für die Swiss Infosec AG: "Genau so viel, wie Sie brauchen und genau so viel, wie angemessen ist!"

Informationssicherheit: Vertrauen Sie den erfahrenen Spezialisten der Swiss Infosec AG!

Unsere Dienstleistungen führen auch Sie effizient und konsequent zum Ziel. Kontaktieren Sie uns jetzt unter +41 41 984 12 12 oder infosec@infosec.ch, um ein kostenloses Erstgespräch zu vereinbaren.

Unsere Spezialisten beantworten gerne Ihre Fragen rund um die Informationssicherheit Ihres Unternehmens und können schnell erste Verbesserungsmöglichkeiten skizzieren.

 

 

 

 

 

Reto Zbinden

E-Mail

Wir überprüfen Ihre Sicherheitsmassnahmen auf deren Wirksamkeit.

Audits und Sicherheitstests der Swiss Infosec AG: Effizienz klar analysiert

Die Swiss Infosec AG führt ihre Audits und Sicherheitsüberprüfungen mittels Analyse der bestehenden Vorgaben und Dokumentationen, persönlicher Befragungen (Interviews), Begehungen, Schwachstellenuntersuchungen und Systemprüfungen (Betriebssystem, Applikationen sowie Netzwerkanalysen, teilweise unter Rückgriff auf historische Daten) aus.

Audits und Sicherheitstests: Die richtige Wahl

Sie, unsere Kunden

  • agieren vorbildlich und lassen sich durch eine unabhängige externe Stelle überprüfen und unterstützen.
  • wollen Ihre Informationssicherheit (ISMS, ISO 27001, ISO 27002) auf deren Wirksamkeit überprüfen lassen.
  • suchen Unterstützung, um Ihre Physische und Technische Sicherheit (Applikationen, Systeme, Plattformen, Netzwerkkomponenten, SCADA-Systeme) zu prüfen.
  • beabsichtigen, Ihren Datenschutz (VDSZ, DSMS) auf Gesetzeskonformität zu prüfen (Datenschutzaudit) oder Ihren Datenschutz auf die Erfüllung der Anforderungen nach DSGVO (GDPR) zu überprüfen.
  • beschäftigen sich mit Business Continuity Management (BCM, BCMS, ISO 22301) und kennen die Notwendigkeit eines gut ausgebildeten Krisenmanagements.
  • wollen eine Aussage zur Zertifizierbarkeit Ihres Managementsystems (ISMS, DSMS, BCMS) erhalten.
  • entscheiden sich für ein Best Practice Auditing durch einen unabhängigen Spezialisten.

Audit und Sicherheitstest: Wir machen Effizienz sichtbar (Verbesserungspotential übrigens auch)

Wir, Ihre Gutachter, Auditpartner und Fachspezialisten

  • auditieren und überprüfen Ihre Organisation, Systeme, Prozesse, Dokumente, Weisungen oder einzelne Projekte.
  • untersuchen den Auditbereich systematisch und messbar.
  • erstellen einen aussagekräftigen Auditbericht (Audit Report).
  • beurteilen die Risiken und Abweichungen aussagekräftig und praxisorientiert.
  • schlagen die nötigen Massnahmen nach Best Practice vor.
  • priorisieren sicherheitsrelevante Aufgaben.
  • unterscheiden zwischen Sofortmassnahmen und Massnahmen.
  • unterstützen Sie bei der Beurteilung der Zertifizierbarkeit und den Vorbereitungen zu einer Zertifizierung.

Audits und Sicherheitstests: Viele Wege führen zum Ziel, wir kennen alle.

Bei den Auditoren der Swiss Infosec AG handelt es sich um ausgewiesene Spezialisten mit grosser Erfahrung (ISO 27001 Lead Auditoren, ISO 22301 Lead Auditoren, Experten für Datenschutz, OSSTMM Professional Security Tester (OPST), Social Engineers).

 

Wir, Ihre Auditoren unterscheiden zwischen

  • Prozess-Audit (betrachtet einzelne Prozesse)
  • System-Audit (betrachtet das Managementsystem)
  • Netzwerk-Audit (analysiert Netzwerke, IT, Infrastruktur)
  • Social Engineering-Audit (testet die "Schwachstelle Mensch")
  • Datenschutz-Audit (Prüfung des Datenschutzes gemäss Art. 11 DSG, VDSZ oder Überprüfung der Erfüllung der Anforderungen nach DSGVO, GDPR)
  • Vulnerability Scanning (analysiert und identifiziert Schwachstellen)
  • Penetration Testing und Ethical Hacking (prüft Systeme aus der Sicht eines Angreifers)
  • Compliance Audit (überprüft die Übereinstimmung mit Regelwerk, Fragenkatalog)
  • Technisches Audit (betrachtet technische Systeme)
  • Produkt-Audit (betrachtet das Produkt anhand der Kundenerwartungen)
  • Projekt-Audit (betrachtet die Einhaltung der Projektvorgaben)
Entscheiden Sie sich für Best Practice-Audits und -Sicherheitstests vom unabhängigen Spezialisten, von uns!

Wir stehen Ihnen für ein unverbindliches Gespräch und weitere Auskünfte gerne zur Verfügung und sind überzeugt, dass unser Angebot (Beratung, Ausbildung, Services und Tools) Sie und Ihre Organisation nachhaltig schützt. +41 41 984 12 12, infosec@infosec.ch

 

Wir wissen, was Unternehmen sicher macht.

 

 

 

 

 

Reto Zbinden

E-Mail

Wir wissen, welche Daten zu schützen sind!

Datenschutz greift auch in unsere Lebensprozesse ein

Datenschutz ist allgegenwärtig und begleitet uns im Berufsalltag wie auch im Privatleben. Erfahren Sie bei uns alles über Beratung, Ausbildung, eLearning und Services im Fachbereich Datenschutz und wie wir Sie als erfahrene Datenschutzspezialisten unterstützen können.

 

Datenschutzberatung vom Datenschutzteam

Das Datenschutzteam der Swiss Infosec AG unter der Leitung von Dr. iur. Michèle Balthasar nennt Datenschutz seit 30 Jahren sein Zuhause. Sie sind Datenschutzspezialisten und Kenner der Materie und setzen in ihrer Beratungstätigkeit konsequent mit Best Practice um.

 

Von der Swiss Infosec AG erhalten Sie ein Rundum-Datenschutzpaket von Beratung, über Datenschutzausbildung bis hin zur toolgestützten Datenschutzumsetzung.

 

Datenschutzfragen

Wir beantworten alle Datenschutzfragen und beraten Sie in allen Datenschutzbelangen rund um die nationale Datenschutzgesetzgebung (Revision DSG, Informationssicherheitsgesetz, etc.) und die internationale Datenschutzgesetzgebung wie bspw. DSGVO, Privacy Shield und weitere. Dabei werden die datenschutzrelevanten internationalen und nationalen Standards, Regulatorien und Best Practice mit einbezogen.

 

Datenschutznews

 

Datenschutzzertifizierung und Zertifizierungsbegleitung

Streben Sie eine Datenschutzzertifizierung nach VDSZ (DSMS) an? Dann sind Sie bei uns richtig.

 

Denn wir unterstützen unsere Kunden bei der Vorbereitung auf eine Datenschutzzertifizierung nach VDSZ (DSMS) und führen neben der Zertifizierungsbegleitung Audits und Sicherheitstests durch. Wir prüfen Ihre Datenschutzmassnahmen auf Herz und Nieren.

 

Mehr über die Zertifizierungsbegleitung für Datenschutzzertifizierung erfahren.
+41 41 984 12 12, infosec@infosec.ch

 

Datenschutzschulungen für Datenschutzwissen nach Best Practice

Neben unserer Datenschutzberatung geben wir unser Datenschutzwissen an praxisorientierten Datenschutzschulungen weiter. Wählen Sie zwischen den bei uns durchgeführten mehrtägigen Lehrgängen oder eintägigen Kursen oder einer firmeninternen Inhouse-Schulung in Form eines Workshops oder einer Firmenschulung bei Ihnen vor Ort.
 
Lehrgänge und Kurse

  • Betrieblicher Datenschutzverantwortlicher (5 Tage, DSG, DSGVO Basic): Lehrgang, der in die Aufgaben des Betrieblichen Datenschutzverantwortlichen gemäss Artikel 11a DSG einführt.
  • DSGVO-Praktiker (3 Tage, DSGVO Advanced): Schulung, die einen Überblick über die DSGVO vermittelt und Handlungsbedarf bezüglich Unternehmensabläufen, Verträgen und organisatorischen Rahmenbedingungen aufzeigt.
  • Data Protection Officer (DPO) (2 Tage, DSGVO Professional): Schulung mit Fokus auf praxisorientierte Hilfsmittel und Informationen für Datenschutzbeauftragte nach DSGVO.
  • Datenschutzgesetz und Umsetzung (1 Tag, DSG): Überblick, Grundlagen und praktische Anwendung des Datenschutzgesetzes der Schweiz.
  • Datenschutz Aktuell (1 Tag, Aktuelle Informationen über DSG und DSGVO): Bleiben Sie am Ball und regelmässig auf dem Laufenden mit unserem Datenschutz-Update für Datenschutzstellen.

Workshops und Firmenschulungen

Unsere bewährten Datenschutzschulungen spielen Ihnen in die Hände und geben auch Ihnen mehr Datenschutz-Sicherheit.
+41 41 984 12 12, infosec@infosec.ch

 

 

 

Michèle Balthasar
Leiterin Kompetenzzentrum Datenschutz

E-Mail

 

Datenschutzteam: Juristische Aspekte des Datenschutzes

 


 
 
Datenschutzteam: Technisch-organisatorische Massnahmen (TOM) des Datenschutzes

 

 

Schutz von Einrichtungen, Systemen und Personen

Das Angebot der Swiss Infosec AG im Bereich IT-Sicherheit: Beratung, Coaching und mehr

Die Swiss Infosec AG bietet Ihnen umfassende Beratung, zielführendes Coaching und praxisnahe Ausbildung rund um Ihre IT-Sicherheit.

 

IT-Sicherheit dient dem Schutz von elektronischen Informationen bspw. in der Cloud, in Applikationen, auf Systemen oder bei der Übertragung über Netzwerke.

Wir betrachten Einrichtungen, Systeme und Personen als integrales System und unter einem ganzheitlichen (integralen) Sicherheitsaspekt. Von der Analyse Ihrer Sicherheitsmassnahmen, inklusive Massnahmenkatalog, bis zur Definition, Konzeption, Überwachung und Umsetzung technischer Sicherheitsmassnahmen bieten wir Ihnen alles, um Ihr Unternehmen und Ihre IT optimal zu schützen.

 

Das Angebot der Swiss Infosec AG für IT-Sicherheit: Optimaler Schutz von elektronischen Informationen Ihres Unternehmens und der IT.

IT-Sicherheit garantiert Verfügbarkeit, Vertraulichkeit und Integrität

Die IT-Sicherheit bezweckt die angemessene und dauernde Gewährleistung der vereinbarten Verfügbarkeit, Vertraulichkeit und Integrität der elektronisch bearbeiteten, gespeicherten, transportierten und archivierten Informationen und der zu ihrer Darstellung und Bearbeitung notwendigen Applikationen, Systeme und Netzwerke.
Die IT-Sicherheitsspezialisten der Swiss Infosec AG unterstützen Sie wirkungsvoll dabei, diese Herausforderungen erfolgreich zu meistern.

 

IT-Sicherheit, damit Sie gegen Angriffe auf Ihre Applikationen, Systeme und Netzwerke gewappnet sind

IT-Sicherheit ist wirksam

Die Swiss Infosec AG überprüft Ihre Systeme und Applikationen auf deren Schutz und Wirksamkeit. Erfahren Sie mehr über Audits und Analysen Ihrer IT-Sicherheit.

 

Machen Sie IT-Sicherheit richtig: Entscheiden Sie sich für das Angebot der Swiss Infosec AG für IT-Sicherheit!

Wir beraten Sie gerne und unverbindlich. Kontaktieren Sie uns und überzeugen Sie sich von unserem Know-how aus 30 Jahren Erfahrung. +41 41 984 12 12, infosec@infosec.ch

 

 

 

 

 

Reto Steinmann

E-Mail

Schutz vor Cyber-Bedrohungen

Cyber Security: Beratung und Unterstützung beim Schutz vor Cyber-Angriffen

Die Swiss Infosec AG bietet Ihnen Cyber Security Management-Experten mit viel Erfahrung und Best Practice Know-how zur Beratung und Unterstützung bei der Erarbeitung Ihrer Cyber Security-Strategie, der Definition Ihrer Cyber Security-Zielsetzungen, der Umsetzung notwendiger und angemessener Cyber Security-Massnahmen und bei der laufenden Überprüfung und Optimierung Ihres Cyber Security Management Systems.

  

Cyber Security News: Aktuelle Infosec Internet News-Beiträge

 

Download DSGVO-Checkliste
Sicherheit in der Cloud in 10 Schritten

 

Unter Cyber Security verstehen wir sämtliche Risiken, Massnahmen, Prozesse und Aufgaben auf organisatorischer und technischer Ebene zur Identifikation, Analyse und Bewältigung von Cyberbedrohungen und -angriffen.

Die Komplexität und der Umfang der Bedrohungen und Angriffe im Cyber-Raum haben in den letzten Jahren massiv zugenommen. Eine weitere Steigerung ist absehbar und fast sicher. Erfolgreiche Angriffe sind heute nur noch eine Frage des Aufwandes und nicht mehr der technischen Machbarkeit. Die Netzübergänge alleine mittels Firewalls zu schützen reicht nicht mehr aus. Sämtliche Elemente des Systems sind beim Schutz zu berücksichtigen (Prävention) und es müssen auf allen Ebenen entsprechende Sensoren betrieben und überwacht werden, um Angriffe und deren mögliche Auswirkungen früh erkennen zu können (Monitoring). Die entsprechenden Massnahmen bis hin zur Eskalation in den Krisenstab, die Kommunikation an die Öffentlichkeit, die Information der betroffenen Partner, die Einhaltung der gesetzlichen Meldepflichten (Reaktion) und die Koordination der Gegen- und Wiederherstellungsmassnahmen sollten Bestandteil einer umfassend verstandenen Cyber Security bilden.

cyber security beratung ausbildung

 

Seit über 25 Jahren beraten wir unsere Kunden erfolgreich im Bereich der Cyber Security, einem wichtigen Teil der Informationssicherheit und des Risikomanagements, und unterstützen sie bei der Minimierung der Cyber-Risiken. Wir sensibilisieren und schulen Mitarbeitende stufen- und funktionsgerecht, im entscheidenden Moment, das Richtige zu tun. Wir bilden bspw. zum Digital Risk Officer aus und bieten bei Ressourcenengpässen auch einen externen Cyber Security Officer an – schnell, kompetent und zuverlässig.

 

Wir beraten und unterstützen Sie dabei,

  •  Ihre sensitiven Daten und kritischen Systeme zu identifizieren,
  •  die entsprechenden Sicherheitsmassnahmen zu definieren, zu konzipieren, umzusetzen und zu überprüfen
  •  ein wirkungsvolles Monitoring zu definieren, zu konzipieren, umzusetzen und zu überprüfen
  •  ein effektives Krisenmanagement mit entsprechendem Alarmierungsplan aufzubauen, unter Berücksichtigung der Kommunikations-, Informations- und Meldevorgaben seitens Cyber Security
  •  die Bereiche BCM und Krisenmanagement optimal auf die Anforderungen der Cyber Security abzustimmen

 

Eine erfolgreiche und angemessene Cyber Security-Konzeption folgt einem integralen Ansatz

Cyber Security ist viel mehr als reine IT-Security. Cyber Security ist ein wichtiger Teil der Informationssicherheit mit Schnittstellen einerseits zu Krisenmanagement, Kommunikation, Business Continuity Management und andererseits zu IT Security, Datenschutz und Informationsschutz sowie IT-Prozessen an und für sich.

 

Wir beschäftigen uns seit 30 Jahren mit exakt diesen Themen: Integrale Sicherheit, Krisenmanagement, Kommunikation, Business Continuity Management sowie ICT Security, Datenschutz und Informationsschutz


Cyber Security muss in ein entsprechendes Managementsystem eingebettet werden

Laufende Optimierung und Verbesserung sind im Hinblick auf die Effektivität und Effizienz der Cyber Security-Aktivitäten ein zentraler Erfolgsfaktor. Ihre Cyber Security-Strategie und die darauf aufbauenden Prozesse, Massnahmen und Konzeptionen müssen Schritt halten mit den Cyber-Bedrohungen und -Angriffen.

 

Mit einer aktuellen und angemessenen Cyber Security-Strategie und der Unterstützung unserer Spezialisten halten Sie Ihren Vorsprung gegenüber Cyber-Bedrohungen und -Angriffen und leisten so einen zentralen Beitrag zum Erfolg der Digitalisierung Ihres Unternehmens.

 

cyber security consulting schulung

 

Eine Cyber Security-Strategie, eingebettet in ein Managementsystem, bewahrt Sie vor bösen Überraschungen

Cyber Security betrifft Unternehmen unabhängig von ihrer Grösse – Grosskonzerne genauso wie KMUs.

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 


Reto Zbinden zu Wikileaks-Enthüllungen über CIA, Radio SRF 1, Rendez-vous, 08.03.2017
http://www.srf.ch/play/radio/rendez-vous/audio/wikileaks---spione-im-eigenen-heim?id=badc8706-e763-467d-82a4-e2d35e951d08 

 

«Wikileaks» – Spione im eigenen Heim
Die Enthüllungsplattform «Wikileaks» hat Dokumente veröffentlicht, die zeigen, dass der US-Geheimdienst CIA direkt auf jedes Mobiltelefon und jedes Smartphone zugreifen kann. Verschlüsselungstechniken bieten keinen Schutz. Offenbar hat ein CIA-Insider die Informationen geliefert. Was bedeutet das für Wirtschaft und Forschung?


Wer seine Mitarbeitenden schult, gewinnt!

Ihre Mitarbeitenden bilden die erste Verteidigungslinie. Schützen und stärken Sie Ihre Mitarbeitenden durch gezielte Awareness- und Schulungsmassnahmen vor Cyber-Angriffen. Machen Sie Ihre Mitarbeitenden zu einem zuverlässigen Teil Ihrer Cyber Security-Strategie.

 

Ihre Cyber Security-Strategie ist abzustimmen mit:

  • Corporate Governance, Compliance
  • Risikomanagement, Internes Kontrollsystem (IKS)
  • Krisenmanagement/Business Continuity Management (BCM)
  • Informationssicherheit
    • Datenschutz
    • Informationsschutz
    • IT-Sicherheit (IT Security)

 

Schützen Sie Ihr Unternehmen vor Cyber-Bedrohungen und -Angriffen!
Cyber Security by Swiss Infosec AG beinhaltet u.a. folgende Teilbereiche und Prozesse:

  • Identifikation des Bedrohungspotenzials durch Cyber-Bedrohungen
  • Aufbau einer Cyber Security-Strategie
  • Risikomanagement für den Umgang mit Cyber-Risiken (als Teil der Operationellen Risiken)
  • Schutz der Geschäftsprozesse, der Informationen und der Infrastruktur vor Cyber-Bedrohungen (Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit) durch die Umsetzung von Massnahmen zur Minimierung von Cyber-Risiken und die laufende Überprüfung der Wirksamkeit dieser Massnahmen
  • Monitoring zur frühzeitigen Erkennung von Cyber-Bedrohungen und -Angriffen
  • Schnelle und angemessene Reaktionen auf Cyber-Bedrohungen, u.a. durch Eskalation an ein effektives und effizientes Krisenmanagement  
  • Aufrechterhaltung oder Wiederherstellung des normalen Geschäftsbetriebs nach Cyber-Angriffen mittels Massnahmen in den Bereichen Business Continuity Management und Krisenmanagement
  • Regelmässige Durchführung von Verwundbarkeitsanalysen (Vulnerability Scans, Analyse bestehender Schwachstellen und Sicherheitslücken in Software und IT-Infrastruktur) und Penetration Tests (gezielte Angriffe auf Software-Schwachstellen und Sicherheitslücken der IT-Infrastruktur) durch qualifizierte Cyber Security-Experten 

Unsere Spezialisten unterstützen Sie bei der Erarbeitung, Umsetzung und laufenden Optimierung Ihrer Cyber Security-Strategie.

Cyber Security als Teil der Informationssicherheit und der Integralen Sicherheit!

Erfolgreiche Konzepte zur Umsetzung angemessener Cyber Security müssen integral abgestützt werden. Wir sind seit über 25 Jahren Kenner der Integralen Sicherheit und kennen die Nahtstellen zu den einzelnen Sicherheitsthemen bestens. Nur integral können Cyber-Risiken nachhaltig vermindert werden.

Schützen Sie sich vor Cyber-Bedrohungen und Cyber-Angriffen. Wir und unsere Spezialisten unterstützen Sie gerne!

Kontaktieren Sie uns und überzeugen Sie sich von unserem Know-how im Bereich der Cyber Security aus 30 Jahren Erfahrung. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

 

 

 

 

Reto Zbinden

E-Mail

 

Wir machen Ihren Krisenstab fit

Krisenmanagement mit einem gut ausgebildeten Krisenstab

Besser auf Krisen vorbereitet sein: Der Krisenstab Ihres Unternehmens ist ein Werkzeug für Ihr Krisenmanagement. Von ihm hängt es ab, ob und wie Ihr Unternehmen eine Krise meistert. Die Swiss Infosec AG sorgt dafür, dass Ihr Krisenstab so fit wie möglich wird, um Krisensituationen systematisch und gut vorbereitet zu überwinden.

Krisenmanagement und Krisenstab-Coaching:
Wir haben die Best Practice dafür

Unsere Krisenstabspezialisten

Krisenstäbe schaffen Sicherheit

Zu wissen, dass Ihr Krisenstab jede Krise meistert, schafft Sicherheit. Zu wissen, dass Sie mit der Swiss Infosec AG einen erfahrenen und ausgewiesenen Krisencoach an Ihrer Seite haben, schafft das Vertrauen, auch in Ausnahmesituationen die richtigen Entscheide zu treffen. Wir sind an Ihrer Seite: Vor der Krise und – wenn Sie wollen – auch während einer Krise.

Mit Krisenmanagement by Swiss Infosec AG setzen Sie auf einen schlagkräftigen Krisenstab und auf die Erfahrung der Swiss Infosec AG!

Die Swiss Infosec AG unterstützt Unternehmen seit 30 Jahren dabei, das Instrument "Krisenstab" wirkungsvoll einzusetzen und Krisenstäbe mit System zielführend aus- und weiterzubilden.

Kontaktieren Sie uns für ein unverbindliches Erstgespräch über Krisenvorsorge (CEA) durch Krisenmanagement! +41 41 984 12 12, infosec@infosec.ch

 

 

 

 

 

Reinhard Obermüller

E-Mail

Unternehmensprozesse auch bei Betriebsunterbruch sicherstellen

Business Continuity Management (BCM): Durchdacht und gelassen gegen Risiken

BCM ist ein Managementprozess, der sicherstellt, dass kritische Geschäftsprozesse und Geschäftsfunktionen auch in Notsituationen verfügbar bleiben oder schnellstmöglich wieder verfügbar sind. Mit BCM spüren Sie Risiken auf, lange bevor ein Betriebsunterbruch droht, entdecken das Schadenspotential und gehen dagegen vor – überlegt, vernetzt und ohne Zeitdruck.

 

Download Workpaper
Aufbau Business Continuity Management in 4 Schritten

 

 

Business Continuity Management: Unser Know-how für Sie

Die erfahrenen BCM-Spezialisten der Swiss Infosec AG unterstützen Sie mit ihrem Know-how bei allen Massnahmen, die die Verfügbarkeit der kritischen Unternehmensprozesse bei Betriebsunterbruch sicherstellen. Von der Business Impact-Analyse (BIA) und der anschliessenden BCM-Konzeption, über die Entwicklung und Umsetzung von BC-Plänen (Wiederanlaufpläne, Geschäftsfortführungskonzepte) bis zur Crisis Executive Assistance (CEA) sind die BCM-Spezialisten an Ihrer Seite. Natürlich auch dann, wenn Sie eine Zertifizierung nach ISO 22301 anstreben oder im Krisenfall als BMC-Assistenz.

 

Business Continuity Management (BCM): Verlässlich, praktisch, gut

Auf Ihr BCM ist im Not- oder Krisenfall Verlass. Erprobte, praxistaugliche Geschäftsfortführungspläne und BCM-Konzepte unterstützen Sie bei der Wiederherstellung der kritischen Geschäftsprozesse im Falle einer Störung oder eines Unterbruchs.

 

Business Continuity Management: Vorteile, die überzeugen

Unsere Business Continuity Manager

  • sensibilisieren Sie für einen besseren Umgang mit Risiken.
  • spüren Risiken auf, entdecken Schadenspotential, schlagen Massnahmen vor.
  • prüfen Ihr Krisen- und Notfallmanagement und testen Ihre Geschäftsfortführungspläne.
  • coachen Sie bei der Umsetzung des Business Continuity-Managementprozesses.
  • assistieren im Krisenfall (Crisis Executive Assistance).
  • begleiten Sie auf dem Weg zur Zertifizierung oder klären die Zertifizierbarkeit ab.
 
Business Continuity Management: Erfolgsmodell Best Practice

Der Best Practice-Ansatz der Swiss Infosec AG ist seit mehr als 25 Jahren ein Erfolgsmodell und spiegelt sich z.B. in unseren Wiederanlaufplänen wider, den zahlreichen Mustervorlagen und BCM-Ausbildungen (inklusive Lehrgang zum Business Continuity Manager).
Best Practice garantiert, dass unsere Pläne und Konzeptionen in der Praxis funktionieren und jedem Ernstfall standhalten.

 

Mit den BCM-Dienstleistungen der Swiss Infosec AG sind Sie für die Krise und in der Krise gewappnet.

Entscheiden Sie sich für ein Business Continuity Management und für die Swiss Infosec AG

Kontaktieren Sie uns und vereinbaren Sie einen Gesprächstermin, damit wir Sie über unsere BCM-Dienstleistungen wie beispielsweise BCM-Ausbildung, BCM-Audits, BCMS-Zertifizierungsunterstützung und BC-Tool persönlich informieren können: +41 41 984 12 12, infosec@infosec.ch

 

 

 

 

 

Cornel Furrer

E-Mail

Gebäude und Infrastrukturen schützen

Physische Sicherheit beginnt mit Kenntnis der potentiellen Risiken

Wir unterstützen Sie dabei, potentielle Risiken, Gefahren und Sicherheitslücken frühzeitig zu erkennen und alle notwendigen Massnahmen zu ergreifen, um Gebäude, Räume und die sich darin befindlichen Personen und Werte angemessen zu schützen.

Physische Sicherheit überprüfen und verbessern: Wir sagen wie

Es gibt verschiedene Möglichkeiten, die physische Sicherheit in Ihrem Unternehmen zu überprüfen und zu verbessern. Unsere langjährige Erfahrung und unser Best Practice-Ansatz favorisieren folgende drei Verfahren mit unterschiedlichen Schwerpunkten:

  • Funktionierender Zutrittsschutz dank Security Assessment
    Im Zentrum dieses Verfahrens stehen der Zutrittsschutz und die Sicherheitszonen Ihres Unternehmen. Wir überprüfen und beurteilen die vorhandene Zonenbildung unter Berücksichtigung des Schutzbedarfes der einzelnen Räume und des dafür notwendigen Zutrittsschutzes. Unsere Schlussfolgerungen und Empfehlungen fassen wir in einem Abschlussbericht zusammen, der Ihnen als Massnahmenplan dienen kann.
  • Bauliche Sicherheit im Fokus des Security Checks
    Der Verlust und der Ausfall von Räumen, Gebäuden und der darin vorhandenen Einrichtungen haben negative Auswirkungen auf den Geschäftsbetrieb: Betriebsunterbruch, Ansehensverlust, Vertrauensverlust, Beeinträchtigung der wirtschaftlichen Beziehungen und Verlust der Konkurrenzfähigkeit können die Folge sein. Wir untersuchen die bauliche Sicherheit des Gebäudes/der Gebäude auf potentielle Gefahren und erarbeiten für Sie notwendige Massnahmen.
  • Security-Analysen von Prozessen und Abläufen
    Die Security-Analysen dienen dazu, vorhandene Prozesse und Abläufe von sicherheitsrelevanten Schwachstellen und Risiken innerhalb  eines Unternehmens aufzuzeigen und zu bewerten.

Physische Sicherheit: Im Einklang mit internationalen Standards und baulichen Vorschriften

Unsere Spezialisten kennen sich mit internationalen Standards und baulichen Vorschriften aus. Selbstverständlich bilden diese immer die Grundlage ihrer Arbeit:

Internationale Standards

  • ISO 27001/27002
  • IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik BSI, Bonn

Bauliche Vorschriften

  • VKF-Brandschutz
  • SUVA, SECO, EKAS
  • SIA-Normen

Die SIA-Normen im Detail
Im SIA-Normenwerk werden drei Arten von Normen unterschieden. Technische Normen sind Regeln der Baukunde, Vertragsnormen regeln die Zusammenarbeit zwischen den Parteien und Verständigungsnormen unterstützen die Zusammenarbeit.

  • Technische Normen
    Die technischen Normen sind anerkannter Stand der Technik im Bereich des Bauwesens. Da sie von Experten erarbeitet werden und eine breit angelegte Vernehmlassung durchlaufen, sind sie in gewissem Mass rechtlich relevant. Der in den meisten Normen enthaltene «Ausnahmeartikel» erlaubt allerdings eine Abweichung von der Norm, falls die Lösung nachgewiesenermassen gleichwertig ist.
  • Vertragliche Normen
    Vertragsnormen regeln Vertragsverhältnisse und besondere Verfahren im Bauwesen. Sie sind nichts anderes als vom SIA in paritätischen Gremien entwickelte und festgelegte allgemeine Geschäftsbedingungen. Vertragsnormen sollen als Hilfsmittel teilweise komplexe Situationen klar und einfach regeln. Damit allgemeine Geschäftsbedingungen zur Anwendung kommen, müssen die Parteien deren Verbindlichkeit in den vertraglichen Grundlagen festhalten.
    Zu den vertraglichen Normen gehören auch die Allgemeinen Bedingungen Bau (ABB). Sie enthalten allgemeine Vertragsbedingungen, die für einzelne Baubereiche oder Bauteile gelten, aber nicht technischer Art sind. Es handelt sich um Erläuterungen zu vertragsrelevanten Aspekten. Sie umschreiben in der Regel Zuordnungen von Aufgaben oder die Abgrenzung von Leistungen.
  • Verständigungsnormen
    Verständigungsnormen enthalten Definitionen, Klassifizierungen, Kennwerte, Erläuterungen und Rechenhilfen, die der Vereinfachung und Koordination der Zusammenarbeit der am Bau Beteiligten dienen.

Physische Sicherheit: Unser Spezialwissen für Sie

Gerne stehen wir Ihnen für ein unverbindliches Erstgespräch zur Verfügung. Kontaktieren Sie uns jetzt telefonisch oder per E-Mail unter +41 41 984 12 12 oder infosec@infosec.ch und vereinbaren Sie einen Termin mit unseren Spezialisten.

 

 

 

 

 

Cornel Furrer

E-Mail

Fehlen Ihnen Know-how oder personelle Ressourcen?

Rent a Specialist: Die flexible Personallösung der Swiss Infosec AG für jede Security-Herausforderung

Seit 30 Jahren befassen wir uns professionell mit allem rund um Integrale Sicherheit. Wir wissen deshalb genau, wo Personalressourcen und/oder die entsprechenden Fachkenntnisse in Unternehmen oftmals fehlen. Mit diesem Wissen bauen wir unseren HR Pool kontinuierlich und zielgerichtet auf. Heute haben wir für praktisch jede Security-Herausforderung den passenden Spezialisten und natürlich massgeschneiderte Security Skills.

Rent a Specialist: Für jedes Pensum und jede Aufgabe die richtige Person

Security-Herausforderungen gibt es viele und Sie möchten sie alle bestmöglich bestehen. Nicht selten fehlen aber die entsprechend ausgebildeten Personen dafür. Oder aber das vorgesehene Pensum ist zu klein für eine fixe Stelle oder zu gross, um noch neben einer anderen Aufgabe bewältigt zu werden. Hier treten die Spezialisten der Swiss Infosec AG auf den Plan: Sie übernehmen flexibel, unabhängig und damit ohne Interessenkonflikte Ihre Security-Aufgaben.

Rent a Specialist: Damit Sie sich weiterhin auf Ihre Kernaufgaben konzentrieren können.

Während unsere Spezialisten für Sie als externer Datenschutzbeauftragter (BDSV), Chief Information Security Officer (CISO), Projektleiter oder Ausbildner tätig sind, können Sie sich in aller Ruhe auf Ihre Kernaufgaben konzentrieren. Das spart nicht nur Nerven, sondern vor allem Zeit und Geld.

 

Im Rahmen eines Security Skills-Mandates bei der Leumi Private Bank durfte die Swiss Infosec AG den Chief Information Security Officer vor Ort unterstützen und verschiedene IT Security-Projekte mit Best Practices umsetzen.

Die Swiss Infosec AG sticht zweifelsfrei heraus, denn sie kennt unsere Branche und bietet auf unsere Situation zugeschnittene Lösungen. Wir schätzen die Zusammenarbeit, weil sie ihre Dienstleistung, ihre Professionalität, ihr Know-how und ihre Bereitschaft voll und ganz auf die Anforderungen der Leumi Private Bank ausrichtet.
Daniel Brunner, Chief Information Security Officer, Leumi Private Bank

Rent a Specialist und kontaktieren Sie uns!

Wir beraten Sie gerne und stellen das passende Angebot für Sie zusammen. Kontaktieren Sie uns (+41 41 984 12 12; infosec@infosec.ch) und unsere Spezialisten sind schon bald Ihre Spezialisten.

 

kev  

 

 

 

Ken Vogel

E-Mail

Keine Zeit für Informationssicherheit? Keine Zeit für den Aufbau eines ISMS nach ISO 27001?

Ab sofort erhalten Sie Security-Unterstützung auf Abruf

Wir sind Ihre flexible Personallösung für konsequente Informationssicherheit und schaffen Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Daten.

Schnell zu Ihrem Spezialisten für Informationssicherheit, IT Security und Datenschutz

Fehlende Personalressourcen, fehlendes Spezial-Know-how?
Unsere Spezialisten übernehmen Ihre Aufgaben in den Bereichen Informationssicherheit, IT Security und Datenschutz in Projekten oder bei Ihnen vor Ort praktisch von heute auf übermorgen und mit einer garantierten Verfügbarkeit von mindestens 50%. Unsere Offerte und ein Vertragsentwurf sind innert zwei Tagen bei Ihnen.

 

Schnell und in der gewohnten Qualität von Swiss Infosec AG: Security und Privacy as a Service

Security Officer: Von Wollen und Haben…

Sie, unsere Kunden

  • handeln und reagieren vorbildlich.
  • betrachten Informationssicherheit umfassend und integral.
  • schützen vertrauliche Informationen (Kunden- und Personendaten).
  • wollen Ihre Sicherheit und Sicherheitsstrategie konsequent durchsetzen.
  • erkennen, dass Sie einen Corporate Information Security Officer (CISO) brauchen.
  • suchen personelle Ressourcen oder Know-how.
  • entscheiden sich für einen persönlichen externen und unabhängigen Spezialisten als Security Officer auf Zeit.

…zu haben wollen: Der externe Security Officer der Swiss Infosec AG

Wir, Ihr Security Officer vor Ort und auf Zeit

  • decken fehlende Ressourcen mit ausgewiesenen Fachspezialisten schnell und flexibel ab.
  • priorisieren sicherheitsrelevante Aufgaben und unterscheiden zwischen Sofortmassnahmen und Massnahmen.
  • schlagen vor und leiten die nötigen Massnahmen zielführend nach Best Practice ein.
  • agieren als Bindeglied zwischen verschiedenen Stakeholdern.
  • übernehmen jederzeit und kurzfristig auch als Stellvertreter.
  • entlasten Ihr Budget durch einfache und jederzeit kündbare Verträge.

Der externe Security Officer: Die flexible Personallösung für Sie

Ihr vorbildliches Handeln und Ihre Weitsicht sprechen für sich, unsere Erfahrung, Unabhängigkeit und Flexibilität für uns. Zögern Sie deshalb nicht, Ihr Personalproblem in unsere Hände zu legen und die Vorteile eines externen Security Officers in Anspruch zu nehmen.

Bei Anruf: Unterstützung auf Abruf!

Kontaktieren Sie uns (Telefon +41 41 984 12 12, infosec@infosec.ch) und seien Sie bei der Lösung Ihres Ressourcenproblems genauso konsequent wie beim Thema Informationssicherheit!

 

kev  

 

 

 

Ken Vogel

E-Mail

Schützen Sie Ihr Unternehmen vor Informationsabfluss

Social Engineering: Weil der Mensch die grösste Schwachstelle ist

Viele Unternehmen führen technische Audits im Bereich IT-Sicherheit und Physische Sicherheit durch, um Informationen, Daten und andere Werte zu schützen. Sie vernachlässigen dabei aber oft die grösste Schwachstelle überhaupt: den Menschen. Oft ist bei unsachgemässem Umgang mit wichtigen Informationen nicht einmal böse Absicht im Spiel, sondern Unwissen und mangelndes Sicherheitsbewusstsein.

Social Engineering: Mit simplen Tricks zum Ziel

Unter Social Engineering verstehen wir das Planen und Durchführen von Angriffen auf Informationen und Systeme unter Ausnutzung der 'Schwachstelle Mensch' mit dem Ziel an vertrauliche Informationen zu gelangen. Das ist einfacher, als Sie glauben. Mit «Sorry, ich habe den Badge vergessen» öffnen sich ganz viele Türen.

 

security audits social engineering

Social Engineering-Audit: Damit Ihre Regeln halten, was sie versprechen

In einem Social Engineering-Audit werden nicht einzelne Mitarbeitende überprüft, sondern das Firmensystem. Die Social Engineers der Swiss Infosec AG testen, ob die firmeninternen Regeln eingehalten und umgesetzt werden. Alle Überprüfungsschritte werden vorgängig in Zusammenarbeit mit dem Auftraggeber erarbeitet und durch die Verantwortlichen genehmigt.

Social Engineering-Audit: Vorteile, die überzeugen

Mit einem Social Engineering-Audit

  • können Sie Ihr Unternehmen realitätsnah auf das Sicherheitsbewusstsein und -verhalten und die Sicherheitskenntnisse Ihrer Mitarbeitenden überprüfen.
  • erhalten Sie Grundlagen und Steuerungswissen für die Weiterentwicklung der Sicherheitsschulungen.
  • können Sie und Ihr Unternehmen wirkungsvoll Ihr schwächstes Glied in der Sicherheitskette überprüfen und damit Risiken wie Imageverlust und materielle und finanzielle Verluste minimieren.
Schützen Sie Ihr Unternehmen mit dem Social Engineering der Swiss Infosec AG vor Informationsabfluss!

Kontaktieren Sie uns (+41 41 984 12 12, infosec@infosec.ch)! Wir stehen Ihnen für ein unverbindliches Gespräch und weitere Auskünfte gerne zur Verfügung.

 

 

 

 

 

Cornel Furrer

E-Mail

Das Training-Tool zur Mitarbeiterschulung aller Stufen: 
schnell, individuell und effizent

Profitieren Sie von unserer mehr als 25jährigen Erfahrung und benutzen Sie noch heute die für Sie vorbereiteten Wissensmodule! Bei der Schulung und Sensibilisierung Ihrer Mitarbeitenden überlassen wir nichts dem Zufall. Die Swiss Infosec AG hat mit dem ELEARNING PLUG & LEARN eine zielgerichtete, effiziente und erst noch kostengünstige Methode entwickelt, um Ihre Mitarbeitenden schnell und nachhaltig Sicherheitswissen zu vermitteln. Das ELEARNING PLUG & LEARN eignet sich für grosse und kleine Unternehmen und für grosse und kleine Benutzergruppen gleichermassen. Eigentlich könnte diese Methode auch 'plug & earn' heissen, denn die Schulung mit diesem System zahlt sich aus: punkto Zeit, Wissen und Kosten.

 

Elearning
Module
Service
Kunden

 

Modular aufgebautes Best Practice-Sicherheitswissen

Das Ausbildungstool ELEARNING PLUG & LEARN der Swiss Infosec AG offeriert viele gute Gründe

Ihre Vorteile

  • Unsere mehr als 25jährige Erfahrung
  • Kostengünstig:
    • keine Lizenz- und Systemkosten
    • Keine Kosten für Autorentool
  • Ihre Mitgliedschaft in der Blended Learning Group BLG
  • Eigene und firmenindividualisierte Lernmodule
  • Schneller, gezielter und effizienter Wissenstransfer
  • Freie Wahl des Ausbildungsbeginns und des Lerntempos
  • Flexibilität und Nachhaltigkeit
  • Ausbildungs- und Lernnachweis mit Zertifikat
  • Praxiserprobt:
    • Bspw. über 2500 Benutzer beim Kanton Zug
    • Bspw. über 600 Benutzer bei der Kernkraftwerk Leibstadt AG
  • Idealer Bestandteil für eine Awareness-Kampagne inkl. Unterstützung Schulungsorganisation (z.B. Präsenzschulungen)

Auf die Plätze, fertig… WISSEN
So schnell und effizient haben Sie Ihre Mitarbeitenden noch nie geschult!

Nutzen Sie jetzt die Chance Ihre Mitarbeitenden kostengünstig und zielgerichtet zu schulen und sie für das Thema Sicherheit nachhaltig zu sensibilisieren.

Ihre Mitarbeitenden sind Risiko und Chance zugleich! Reduzieren Sie Sicherheitsrisiken und packen Sie die Chance auf mehr Sicherheitswissen: Mit dem Ausbildungstool ELEARNING PLUG & LEARN der Swiss Infosec AG.

Ihre Informationen sind wertvoll!

Profitieren Sie vom Know-how der Swiss Infosec AG aus mehr als 25 Jahren Praxiserfahrung und bestimmen Sie selber über Lerntempo, Flexibilität und Nachhaltigkeit bei Schulungen und Know-how-Bildung.

Ausbildungstool plus ISO 27001: Nachweislich eine gute Verbindung

Das Ausbildungstool ELEARNING PLUG & LEARN der Swiss Infosec AG ist auch ein hervorragendes Ausbildungsinstrument, wenn es darum geht, Ihre Mitarbeitenden auf die ISO 27001-Zertifizierung vorzubereiten oder sie für die Erhaltung dieser Zertifizierung zu sensibilisieren.

Mit unserem Ausbildungstool ELEARNING PLUG & LEARN können Sie jederzeit den Nachweis erbringen, dass Ihre Ausbildungsmassnahmen nicht nur durchgeführt worden sind, sondern in der Tat auch wirken. Und wenn Wissenslücken erkannt worden sind, lassen sich diese gezielt und effizient schliessen. Ganz einfach clever.

Die aktuellen Top-3-Module

Unsere Kunden schätzen unsere Flexibilität und Schnelligkeit. Ebenso beweisen sie uns tagtäglich den Nutzen und die Effektivität unseres Ausbildungstool ELEARNING PLUG & LEARN. Profitieren auch Sie davon!

  • Informations- und IT-Sicherheit
  • ISO 27001/27002 und ISMS
  • Geldwäschereigesetz GwG
Das Ausbildungstool der Swiss Infosec AG: Mehr als ein Angebot

Die Swiss Infosec AG wäre nicht das führende Ausbildungs- und Beratungsunternehmen der Schweiz im Bereich der Integralen Sicherheit, der Informationssicherheit, der IT-Sicherheit sowie des Datenschutzes, wenn wir uns mit wenig zufrieden geben würden. Wir haben uns intensiv damit auseinandergesetzt, wie wir unser Ausbildungstool ELEARNING PLUG & LEARN noch flexibler und damit kundenspezifischer gestalten können. Das Resultat unserer Überlegungen sind drei Angebote, die keine Wünsche offen lassen:

Haben Sie gewusst?

Fixfertige und praxiserprobte Wissens- und Lernmodule sind für Sie sofort einsatzbereit.

Kontaktieren Sie uns jetzt unverbindlich und erhalten Sie die Zugangsdaten für Ihren Demo-Account.
+41 41 984 12 12, infosec@infosec.ch

 

kev  

 

 

 

Ken Vogel

E-Mail

4 Ansatzpunkte

  1. Schaffen Sie eine Firmenkultur, die sich proaktiv mit den Sicherheitsanforderungen des Unternehmens auseinandersetzt
    Alle Mitarbeitenden müssen sich der Geschäftsanforderungen an die Informations- und IT-Sicherheit bewusst sein, um so Probleme in diesem Bereich erfolgreich angehen und die Informationen schützen zu können. Ohne umfassendes, funktionsgerechtes und aktuelles Sicherheitswissen kann den Anforderungen nicht adäquat begegnet werden.
  2. Es sollte Spass machen. Der spielerische Umgang mit Sicherheitsfragen kann ein sehr guter Ansatz sein, um die Mitarbeitenden besser miteinbeziehen zu können. Punkte wie Ranglisten, Preise und ähnliches tragen ebenso zur Messbarkeit des Erfolgs der Sicherheitsaktivitäten bei.
  3. Erstellen Sie angemessene Metriken. Sie sollten wissen, ob Ihre Schulungsprogramme wirksam sind. Ein einfacher Ansatz wäre, gleich zu Beginn Kennzahlen zu vereinbaren und diese dann zu verfolgen. Mögliche Variablen sind Reduktion der Phishing-Angriffe, weniger Security Tickets für das Helpdesk usw.
  4. Managen Sie die Security-Richtlinien und setzen sie Sie durch. Sobald sich ein Grundwissen über die Sicherheitsanforderungen der Organisation gebildet hat, ist das Gelernte durch- und umzusetzen. Hier macht es sich bezahlt, wenn Policies kooperativ über die Geschäftseinheiten hinweg umgesetzt werden. So sollte Security nicht zum Stolperstein werden, sondern die verschiedenen Gruppen sollten weiterhin produktiv arbeiten können, egal wo sie sich befinden und ungeachtet des Netzwerks, der Endgeräte usw.

 

Darkreading.com; Stan Black; 21.10.2016
http://www.darkreading.com/endpoint/flipping-security-awareness-training/a/d-id/1327250?

Hier 7 Tipps zu deren Verhinderung

 

Cyber-Sicherheit ist genauso wichtig wie physische Sicherheit und jedes Unternehmen hat sich wegen jederzeit möglicher Angriffe eingehend damit zu befassen, inbesondere, da diese überall in Ihrem Unternehmen vorkommen können.

  • Digitale Identitäten konsolidieren: Laut Verizon’s 2016 Data Breach Investigation Report lassen sich 63 % aller Datenlecks auf schwache, voreingestellte oder gestohlene Passwörter zurückführen. Es ist wichtig, sich einen ganzheitlichen Überblick über alle Anwender zu verschaffen und Sicherheitsrichtlinien für Passwörter zu stärken sowie durchzusetzen. Wo immer es möglich ist, sollten Passwörter abgeschafft werden.
  • Auditieren des Risikos, das von Dritten ausgeht: Hacker gelangen oft über ausgelagerte IT oder Vertriebspartner von ausserhalb ins Netzwerk. Unternehmen sollten Audits und Assessments durchführen, um die Sicherheit und Datenschutzstandards Dritter zu überprüfen.
  • Implementierung von Multifaktor-Authentifizierung (MFA) in allen Bereichen: MFA gilt als eine der effektivsten Massnahmen, um Angreifer daran zu hindern, Zugriff auf das Netzwerk zu erhalten und zu Zielsystemen zu gelangen.
  • Single Sign-On (SSO) ermöglichen: SSO für Unternehmens- und Cloud-Apps spart – gemeinsam mit automatischer Provisionierung von Cloud-Applikationen und selbstständigen Passwort-Resets – Helpdesk-Zeit und Kosten und steigert die Effizienz der Anwender.
  • Least-Privilege-Zugänge durchsetzen: Rollenbasierter Zugriff, Least-Privilege und Just-in-Time-Gewährung von Rechten schützen wichtige Accounts und reduzieren die Gefahr des Datenverlusts durch böswillige Insider.
  • Steuern von Sessions privilegierter Anwender: Protokollierung und Überwachung aller Befehle privilegierter Anwender machen Compliance Reports endlich wieder zur Nebensache und ermöglichen forensische Ermittlungen und tiefgreifende Analysen.
  • Das innere Netzwerk schützen: Netzwerksegmentierung, Isolation hochsensibler Daten sowie Verschlüsselung von Daten sowohl im Ruhezustand als auch während der Verarbeitung bieten starken Schutz vor böswilligen Insidern und hartnäckigen Hackern, die es hinter die Firewall geschafft haben.

 

„Es gibt kein Wundermittel gegen IT-Sicherheitsbedrohungen“, sagt Michael Neumayr, Regional Sales Director Zentraleuropa bei Centrify. „Aber mit der richtigen Strategie, starken Sicherheitsrichtlinien und aktiver Beteiligung aller Mitarbeiter kann das Risiko einer Cyber-Attacke drastisch minimiert werden. Wenn Unternehmen die oben angeführten Schritte befolgen, können sie das Risiko von Cyber-Angriffen senken, die unternehmensweite Compliance verbessern und von Kostenvorteilen profitieren.“

 

It-daily.net, centrify.com/de; 02.11.2016
https://www.it-daily.net/favorit-201611

Rundumsicht hilft Ihren Sicherheitsbestrebungen

 

Man kenn das schon aus Film, Fernsehen und Literatur: Eine Gruppe von Tunichtguten setzt eine Mischung aus Social Engineering, Einbruch und Hacking ein, um in eine scheinbar unüberwindliche Festung reinzukommen und sich dann mit einer Millionenbeute aus dem Staub zu machen. Obwohl der künstlerischen Phantasie entsprungen hat dieses Szenario durchaus eine realistische Basis.  
Die meisten Unternehmen werden kaum mit einem ressourcenreichen Angreifer konfrontiert sein. Man sollte sich aber trotzdem zu Herzen nehmen: Cyber-Sicherheit sollte für einen erfolgreichen Schutz Brücken bauen zwischen den verschiedenen Teams, die für IT-Sicherheit (SecOps), Netzwerkbetrieb (NetOps) verantwortlich sind. Hacke rechnen damit, dass die oft bestehende Fragmentierung der verschiedenen Sicherheitsteilbereiche Angriffe auf die Unternehmenssicherheit nur schwer oder mit Verzögerung erkannt werden.  
Oft wird ein erfolgreicher Hackerangriff aus dem Cyberspace heraus mit Elementen physischer Angriffe kombiniert. Haben die Angreifer grosse Ressourcen zur Verfügung oder falls es sich um einen staatlich initiierten Angriff handelt, stellen die Kosten (etwa für zusätzliche Laptops, Hotelkosten zur besseren Ausspionierung etc.) keinen grossen Aufwand dar.

 

In diesem Zusammenhang kann oft eine Sicherheitslücke festgestellt werden, die auf den organisatorischen Gegebenheiten eines Unternehmens basiert und zwar: der CSO verantwortet die IT-Sicherheit, der CIO den IT-Betrieb und wiederum jemand anderes, z.B. der COO oder der CFO, sind für die physische Sicherheit verantwortlich. Dies bedeutet wiederum: Das IT-Sicherheitsteam versucht, das IT-Netzwerk zu schützen, das Betriebsteam versucht sicherzustellen, dass das Netzwerk läuft wie es soll und die Leute, die mit der physischen Sicherheit befasst sind, kümmern sich um die Sicherheits der vorhandenen Assets und der Mitarbeitenden. Auch existieren oft für diese drei Gruppen drei verschiedene Budgets, die Zielsetzungen unterscheiden sich und so entstehen Sicherheitslücken, die relativ leicht von Angreifern ausgenutzt werden werden können. Was hier ebenso oft fehlt, ist der Austausch dieser Gruppen unter sich, der in nicht vorhandenem Know-how resultiert und die Gruppen im Dunkeln drüber lässt, wer unter Umständen welchen Angriffen ausgesetzt war.

 

Daher wäre es ideal, wenn die organisatorische und finanzielle Verantwortung für diese Teilbereiche sich in den Händen einer Person aus der Führungsetage befinden würde. Dies sollte dazu beitragen, dass alle Rädchen des Schutzdispositivs produktiv zusammenarbeiten.

 

Computerwoche.de; Thorsten Henning; 16.11.2016
http://www.computerwoche.de/a/sicherheit-umfasst-nicht-nur-den-cyberspace,3327023

Es kreucht und fleucht nicht nur in der Natur

 

Laut einem Sicherheitsexperten sind nicht feindlich gesinnte Staaten oder Organisationen die grösste Gefahr für die kritischen Infrastrukturen, nein, es sind Eichhörnchen (Sciurus vulgaris). Cris Thomas, der durch Tiere verursachte Stromunterbrüche seit 2013 verfolgt, kann mit erstaunlichen Zahlen aufwarten. Eichhörnchen, Vögel, Ratten und Schlangen waren für mehr als 1700 Stromunterbrüche verantwortlich, die fast 5 Millionen Menschen betrafen. Während einer Sicherheitskonferenz sagte Cris Thomas, dass es ihm primär darum ginge, die Hysterie rund um Cyber-Angriffe zu vermindern.

 

Seine Forschungen ergaben bisher die folgenden Resultate:

Eichhörnchen waren an 879 «Angriffen» schuldig, Vögel an 434, Schlangen an 83, Waschbären griffen 72 Mal an, Ratten machten sich 36 Mal an kritischen Infrastrukturen zu schaffen und in drei Fällen waren sogar Frösche die Täter

 

Sollten auch Sie Probleme mit Eichhörnchen haben, können Sie hier eine Anzahl von ansprechenden Rezepten finden, die Ihnen bei der Nagerbewältigung helfen können.

 

Bbc.com; 17.01.2017
http://www.bbc.com/news/technology-38650436

Cybersecurity in der Chemieindustrie


Datenklau und Schäden durch Malware sind für die deutsche Industrie ein 22-Mrd.- Euro-Problem, schätzt der IT-Verband Bitkom. Und Chemie- und Pharmaindustrie sind auch hier ganz vorne mit dabei. Dabei sind gezielte Hacker-Angriffe noch nicht einmal das Hauptproblem.

Zwei Drittel der deutschen Industrie sind von Datenklau, Spionage und Sabotage betroffen – der Schaden summiert sich laut IT-Verband Bitkom auf 22,35 Mrd. Euro pro Jahr. Nach einer Studie des IT-Verbands Bitkom (Wirtschaftsschutz 2015) stehen Chemie- und Pharmaindustrie auf der Beliebtheitsskala der Angriffsziele an zweiter Stelle.

Die grösste Tätergruppe für Datendiebstahl, Industriespionage oder Sabotage sind ehemalige und aktuelle Mitarbeiter, gefolgt von Lieferanten und Dienstleistern (Bitkom-Studie Wirtschaftsschutz 2015).


Mehr als zwei Drittel der Chemie- und Pharmaunternehmen in Deutschland hatten in den letzten zwei Jahren ein Cybersecurity-Problem. Besonders betroffen waren dabei die Bereiche Produktion sowie Forschung und Entwicklung. Und die Dunkelziffer ist hoch: Betroffene wenden sich selten an Ermittlungsbehörden, in der Regel werden IT-Security-Vorfälle in den Unternehmen nur intern untersucht; meist sind die Täter ehemalige oder aktuelle Mitarbeiter. Doch das Problem ist noch deutlich grösser, als Medienberichte über aktive Sabotage und Spionage sowieso schon vermuten lassen: Für die Verfügbarkeit von Chemieanlagen stellen Computerviren eine noch grössere Gefahr dar.

Obwohl die meisten Unternehmen technische Massnahmen wie Passwortschutz auf den Geräten, Firewalls und Virenscanner installiert haben und auch ihre Netzwerkverbindungen verschlüsseln, reicht dieser Basisschutz längst nicht mehr aus. Wie konkret die Bedrohung von aussen ist, zeigte auch der Angriff auf ein deutsches Stahlwerk vor drei Jahren: Hacker hatten sich über gefälschte E-Mails an Mitarbeiter des Stahlherstellers Zugriff auf das Büronetzwerk verschafft und sich von dort aus bis in die Automatisierungssysteme der Produktion vorgearbeitet und schliesslich die Steuerung eines Hochofens übernommen. In der Folge wurde die Anlage schwer beschädigt, der Schaden ging in die Millionen.

Während es sich bei diesem Angriff um eine gezielte Attacke auf ein bestimmtes Ziel handelte, ist die Gefahr prinzipiell auch für jede andere Industrieanlage sehr gegenwärtig. Wie konkret, testete der TÜV Süd mit einer sogenannten Honigfalle (Honeynet): Dazu wurde die Wasserversorgungsanlage einer Kleinstadt mit realer Steuerungs-Hard- und Software simuliert. Die Sicherheitsvorkehrungen entsprachen dem industrieüblichen Niveau. Das Ergebnis erschreckt selbst hartgesottene Automatisierer: Innerhalb von acht Monaten verzeichnete der fiktive Betreiber über das Internet rund 60‘000 Zugriffsversuche aus 150 Ländern, allen voran China und die USA.

Der IT-Security-Spezialist Kaspersky berichtete im vergangenen Jahr von 26.000 Steuerungsrechnern, die alleine in Deutschland via Internet erreichbar sind – die meisten davon (92 %) nutzen unsichere Internetverbindungsprotokolle, die Angreifern sogenannte „Man-in-the-Middle“-Attacken ermöglichen. Dazu kommt, dass die voreingestellten Passwörter der Steuerungshersteller häufig von den Anwendern nicht durch eigene ersetzt werden – offenbar in Unkenntnis darüber, dass die simple Suchmaschinenanafrage „scada passwords“ Listen der Default-Zugangscodes liefert, die von der „Netz-Community“ mit viel Liebe zum Detail aktuell gehalten werden (letztes Update: November 2016). Dazu kommt, dass manche Hersteller es gar nicht zulassen, Passwörter zu ändern. Kein Wunder, dass auch der Sachversicherer Allianz die Cybersecurity für das Risiko hält, auf das Unternehmen am schlechtesten vorbereitet sind.

Doch was tun? Massnahmen, wie sie beispielsweise von der Regierung in Singapur ergriffen werden, kann sich die Industrie im Zeitalter der Industrie 4.0 nicht leisten: So hatte die Regierung in Singapur im vergangenen Jahr angekündigt, fast alle 100‘000 Behördenrechner vom Internet trennen zu wollen. Als Antwort empfiehlt der IT-Verband Bitkom ein ganzes Bündel an Massnahmen umzusetzen: Dazu gehört die Erhöhung der organisatorischen Sicherheit, die Sicherheit im Hinblick auf die Mitarbeiter zu verbessern, und schliesslich Sicherheitszertifizierungen anzustreben, um zu erreichen, dass sich ein Unternehmen nachhaltig mit dem Thema Sicherheit und Cybersecurity auseinandersetzt.

In der chemischen und pharmazeutischen Produktion gewinnt insbesondere die IT-Sicherheit der Automatisierungssysteme (Automationsecurity) an Bedeutung. Mit der Namur Empfehlung NE 153 hat der Arbeitskreis 4.18 der Anwendervereinigung bereits vor zwei Jahren ein Papier vorgelegt, in dem die grundsätzlichen Anforderungen an zukünftige Automatisierungslösungen definiert werden.
Die Automatisierungsanwender in der Prozessindustrie wollen damit erreichen, dass IT-Securitykonzepte und -funktionen künftig ein integraler Bestandteil der Automatisierungskomponenten werden, und damit auch selbstverständlich zum Funktionsumfangs dieser Lösungen gehören. Den Anwendern geht es insbesondere darum, die Komplexität von Automatisierungslösungen zu reduzieren, wenn IT-Security von vornherein Bestandteil einer Komponente ist. Denn derzeit werden technische Cybersecurity-Massnahmen in der Regel zusätzlich aufgepfropft, was die Komplexität der Automatisierungsstruktur erhöht.

Doch was können Anlagenbetreiber bereits heute tun? Der Chemieverband VCI beschreibt in seinem 2015 erschienenen „Leitfaden Automation Security“ Handlungsfelder und die wesentlichen Bestandteile eines Konzeptes für die IT-Security von Automatisierungstechnik. Demnach muss die Grundlage für ein Sicherheitskonzept eine Risikoanalyse für alle betroffenen Systeme und Komponenten in einer Produktionsanlage sein. Diese sollte zudem regelmässig der aktuellen Bedrohungslage angepasst werden. Auf der Namur-Hauptsitzung im November 2015 wurden dafür Ansätze vorgestellt: So definiert die systembasierte Vorgehensweise das Risiko als Produkt aus der Wahrscheinlichkeit des Angriffs und den Auswirkungen eines erfolgreichen Angriffs. Um dieses zu quantifizieren, wurden in der für Steuerungs- und Leittechnik massgeblichen Norm IEC 62443 (ehemals ISA 99) analog zum Safety Integrity Level SIL der Funktionalen Sicherheit vier Schutzziele (Security Level, Target Protection Level) definiert. SL-0 bedeutet, dass keine besonderen Anforderungen bestehen und keine besonderen Schutzmassnahmen zu ergreifen sind, SL-4 steht dagegen für das höchste Schutzziel: den Schutz gegen vorsätzlich durchgeführte Angriffsszenarien mit hochentwickelten Hilfsmitteln. Wie hoch das aktuelle Schutzniveau in einer Anlage ist, wird dabei mit einem Fragebogen erfasst. Darauf aufbauend empfiehlt IEC 62443 die Einteilung des Automatisierungssystems in Zonen und Kommunikationsschnittstellen.

IEC 62443 gibt generell gute Hinweise, um seinen Cyber Security Status zu verbessern, allerdings ist die Norm meiner Meinung nach von ihrer Wortwahl her zu kompliziert und zu EDV-lastig“, bewertet Thomas Wegner, Lead Security Architect beim norwegischen Düngemittel-Hersteller Yara, den Standard. Das Chemieunternehmen hat bereits früh eine eigene Vorgehensweise für die Bewertung von Cybersecurity-Risiken entwickelt: „Man muss den Automatisierungsingenieuren etwas an die Hand geben, das verständlich und praktikabel ist“, so Wegner. Seine Empfehlung: Ein Team, bestehend aus IT- und Automatisierungsingenieuren des Unternehmens, sollte die Inhalte der Norm in eine an das Unternehmen angepasste und für die Mitarbeiter verständliche Anleitung übersetzen: „Stelle fest, was Du hast, lege fest, was wichtig ist und schütze dann konsequent das, was wichtig ist.“ Als primäre Massnahmen empfiehlt Wegner das per Firewall oder Daten-Diode getrennte Betreiben von kritischen Systemen in eigenen Netzwerken, deren vollständige Härtung sowie periodische Updates und konsequente Virenkontrolle.

Das mit Abstand grösste Sicherheitsproblem im Hinblick auf die Anlagenverfügbarkeit stellen aus Sicht des Security-Experten Viren dar, die über USB-Sticks oder ungeprüfte Laptops in das Unternehmen gelangen. Bei Yara hat man – wie in vielen anderen Chemieunternehmen auch – deshalb USB-Anschlüsse gesperrt und werden Laptops vor dem Anschliessen einer Virenprüfung unterzogen. Um das Bewusstsein bei Mitarbeitern und Dienstleistern zu erhöhen, werden USB-Anschlüsse nicht nur elektronisch deaktiviert, sondern mit farbigen Kunststoff-USB-Locks blockiert. Der physische Zugriff auf PC wird erschwert, indem diese in PC-Schränken weggeschlossen werden, die Kommunikation für Fernwartungsmassnahmen muss manuell initiiert werden und ist Timer-gesteuert zeitlich limitiert. Zudem helfen E-Learning-Massnahmen dabei, das Bewusstsein der Mitarbeiter für das Vermeiden von Cybersecurity-Risiken zu schärfen. „Die meisten Vorfälle passieren, weil Mitarbeiter nicht gut genug Bescheid wissen“, berichtet Wegner.

Um festzustellen, wie wirksam diese Massnahmen sind, hat man bei Yara professionelle Computer- und Netzwerk-Penetrations-Tester beauftragt, in die Automatisierungs-System-Netzwerke einzudringen. Vor der Umsetzung konnten sich diese in anderthalb Tagen Zugriff verschaffen, nachher war es den Auftragshackern innerhalb von mehreren Wochen nicht mehr gelungen. Doch darauf ausruhen kann man sich nicht – damit Cyber Security nicht nur eine Modeerscheinung bleibt, empfiehlt Wegner die finanziellen Aufwendungen dafür im Safety-Budget unter zu bringen – denn „für Automatisierungs-Systeme gilt: ohne Cyber Security keine Safety“, so Wegner.

 

Chemietechnik.de; Armin Scheuermann; 09.03.2017
http://www.chemietechnik.de/ct-report-cybersecurity-in-der-chemischen-industrie/

Beachten Sie die folgenden Punkte


Biometrische Verfahren begegnen uns in immer mehr Bereichen unseres Alltags: Wir entriegeln unser Smartphone per Fingerabdruck, verschaffen uns über Gesichtserkennung Zutritt zu sensiblen Unternehmensbereichen oder bezahlen demnächst per Netzhaut-Scan. Schon heute liegt das weltweite Marktvolumen von Unternehmen, die Biometrie-Lösungen anbieten, bei fünf Milliarden US-Dollar. Bis 2020 soll es auf 33 Milliarden US-Dollar ansteigen.

Das Wachstum überrascht nicht, wenn man sich die zahlreichen Vorteile biometrischer Verfahren vergegenwärtigt: Die Verifizierung geht schneller und ist bequemer als so ziemlich alle Alternativen. Biometrische Merkmale sind vermeintlich einzigartig und untrennbar mit ihrem Träger verknüpft. Anders als Passwörter oder Hardware-Token können sie nicht vergessen, verloren oder verlegt werden.

Hinzu kommt ein nicht zu unterschätzender Coolness-Faktor: Bereits seit Jahrzehnten präsentiert uns Hollywood Iris- und Fingerabdruckscanner als futuristische Methode, mit der Superhelden und Bösewichter den Zugang zu ihren Geheimbasen regulieren.


Aber keine Sicherheitstechnologie ist ohne Schwächen. In der allgemeinen Begeisterung geht oft unter, dass gegen den Einsatz biometrischer Verfahren zahlreiche Bedenken bestehen. Die sechs wichtigsten lauten:

1. Biometrische Verfahren lassen sich überlisten

Die Behauptung, dass biometrische Merkmale nicht kopiert werden können, ist falsch. Der Chaos Computer Club (CCC) fälschte in der Vergangenheit mehrfach erfolgreich Fingerabdrücke und Iris-Scans führender deutscher Politiker. Bereits 2008 veröffentlichte der gemeinnützige Verein den Fingerabdruck von Wolfgang Schäuble, 2014 war Ursula von der Leyen an der Reihe. Auch eine Iris-Attrappe veröffentlichte der CCC – von Angela Merkel. Die Aktionen sollen keinen Schaden verursachen, sondern auf die Schwächen der biometrischen Verfahren aufmerksam machen.

2. Merkmale können nicht geändert warden

Biometrische Merkmale sind fest mit ihrem Träger verknüpft. Dieser vermeintliche Vorteil kann schnell zum Nachteil werden – nämlich dann, wenn ein Merkmal doch erfolgreich kopiert wurde. Anders als ein Passwort lässt sich ein gestohlener Fingerabdruck nicht „zurücksetzen“ oder ändern. Was passiert, wenn ein biometrisches Merkmal in die Hände eines Kriminellen gelangt oder etwa im Dark Web zum Kauf angeboten wird? Bleibt dessen Träger dann bis an sein Lebensende von entsprechenden Authentifizierungsverfahren ausgeschlossen, weil das Risiko zu gross wäre? Bislang ist es den Anbietern biometrischer Verfahren nicht gelungen, dieses Dilemma zufriedenstellend zu lösen. Und was passiert, wenn ein gespeichertes biometrisches Merkmal sich durch äusserliche Einflüsse – einen Unfall beispielsweise – verändert und nicht mehr erkannt wird?

3. Anwender bleiben skeptisch

Längst nicht alle Anwender sind der Ansicht, dass ihr Fingerabdruck in den Datenbanken grosser Konzerne gut aufgehoben ist. Spätestens seit den NSA-Enthüllungen überlegen viele Menschen sich zweimal, ob sie ihre biometrischen Informationen einem amerikanischen Server anvertrauen wollen. Es bleibt abzuwarten, ob die Anbieter das Vertrauen zurückgewinnen und die Skeptiker überzeugen können. Einstweilen besteht der Vertrauensmangel für viele Konsumenten als Grund, andere Authentifizierungsverfahren vorzuziehen.

4. Datenschutz

Datenschutz ist ein Thema, das die Anbieter mittlerweile ebenso sehr beschäftigt wie die Anwender. Gerade in Deutschland bestehen strenge Regeln, in welcher Form und unter welchen Bedingungen biometrische Informationen gespeichert werden dürfen. Auch Rechtsunklarheiten sind noch auszuräumen. Fest steht jedoch: Ohne vorherige Zustimmung ist die Überprüfung biometrischer Merkmale in vielen Fällen illegal.

5. Vergleichsweise hohe Fehlerrate

Eine Genauigkeit von 98 bis 99 Prozent klingt nur für Laien gut. Ein kleines Anwendungsbeispiel: 10.000 Mitarbeiter eines grossen Unternehmens betreten tagtäglich das Firmengelände und authentifizieren sich biometrisch. Bei einer 98-prozentigen Genauigkeitsrate bedeutet das, dass jeden Tag 200 Personen an der Zugangskontrolle scheitern und mit Verspätung in ihren Arbeitstag starten. Es gibt bei diesem Authentifizierungsverfahren sowohl das Problem der Falschzurückweisungsrate (FRR), bei der valide Benutzer nicht erkannt wird, als auch der Falschakzeptanzrate (FAR), bei dem unberechtigten Benutzer autorisiert werden. Da beide Werte miteinander korrelieren, bedeutet dies, je kleiner die FAR wird, desto höher wird die FRR. Beispielsweise könnten Krankheiten dazu führen, dass valide Benutzer aufgrund der Veränderung des biometrischen Merkmals nicht mehr erkannt werden.

6. Massenabfertigung unmöglich

Per Fingerabdruckscan ein Smartphone zu entriegeln, geht unkompliziert und schnell. Aber wie verifiziert man die Identitäten von hunderten Menschen gleichzeitig? Wie viele Scanner werden benötigt, wenn 50.000 Menschen kurz vor Anpfiff ein Fussballstadion betreten wollen? In solchen Fällen scheinen andere Formen der Zugangskontrolle sinnvoller. Besonders, da Systeme bei der Identifikation die gescannten Daten mit bereits gespeicherten Datensätzen abzugleichen. Je mehr Datensätze allerdings gespeichert sind, desto länger dauert dieser Datenabgleich in der Regel – der Authentifizierungsvorgang verzögert sich.

Neue Sicherheitstechnologien geraten bereits am ersten Tag ihrer Veröffentlichung in den Fokus von Hackern, die sie knacken wollen. Iris-Scans und Methoden zur Gesichtserkennung werden mit 3D-Modellen und hochauflösenden Fotos überlistet, das Austricksen von Fingerabdruckscannern gestaltet sich häufig sogar noch einfacher. Zwar ist mit den Fälschungen ein vergleichsweise hoher Aufwand verbunden, aber gerade bei Prominenten und Personen mit Zugang zu besonderen Gebäuden, Informationen oder Ressourcen lohnt jede Arbeit. Erleichtert wird entsprechendes ausserdem durch immer bessere Technologien, wie z.B. hochauflösende Kameras, Fotos in sozialen Netzwerken sowie Stimmmustern auf Youtube.

Selbst die komplexesten Verfahren der Stimmenerkennung können mittlerweile überlistet werden. Und nicht immer entwickeln nur Hacker das dazu benötigte Werkzeug: Erst Ende 2016 stellte der Softwarehersteller Adobe ein Programm namens Voco vor, das Wörter in einzelne Laute zerlegt und auf Basis von lediglich zwanzig Minuten Tonaufnahme jede Stimme täuschend echt imitiert. Das gesprochene Wort könnte dank dieser innovativen Technik als biometrisches Merkmal jede Relevanz verlieren.

Für Unternehmen und Anwender ist wichtig, dass sie sich der Schwächen biometrischer Verfahren bewusst sind, wenn sie sich nach einer neuen Sicherheitslösung umsehen. Denn ob es sinnvoll ist, bei Zugangskontrollen oder anderen Sicherheitschecks biometrische Merkmale zur Identifikation heranzuziehen, lässt sich immer nur von Fall zu Fall entscheiden. Biometrie kann allerdings immer nur ein Faktor von Multi-Faktor-Authentifizierung sein und sollte niemals als alleiniges Erkennungselement eingesetzt werden.


Security-insider.de; Dr. Amir Alsbih, Peter Schmitz, 09.02.2017
http://www.security-insider.de/6-tuecken-der-biometrie-a-579740/ lang=de

Ein kleiner Überblick

Da Unternehmenssicherheit mehr und mehr in Unternehmen zum Alltagsthema wird, setzen Unternehmen vermehrt auf einen Chief Information Security Officer (CISO).

 

Der Aufgabenbereich des CISO hat sich Jahren in Richtung strategischer Inhalte verschoben, um Sicherheitslücken und Probleme zu vermeiden, bevor diese eintreten. Ein guter CISO wird im Vorfeld aktiv und verhindert, dass es überhaupt zu einem Datendiebstahl oder einem längeren Ausfall der IT-Systeme kommt. Eine der wichtigsten Verantwortungsbereiche des CISO ist ein intelligentes und ganzheitliches Risiko-Management. Er verantwortet proaktiv sowohl den Schutz von Menschen, Organen als auch von Unternehmensinformationen und -technologien. Darüber hinaus ist es seine Aufgabe, die Mitarbeiter zu sensibilisieren und aufzuklären.

 

Die wichtigsten Aufgaben und Verantwortungsbereiche des CISO sind die Erarbeitung und Umsetzung sicherheitsrelevanter Massnahmen und daraus abgeleitete Sicherheitsziele für das Unternehmen.

 

Wie schwer ist es für Unternehmen, geeignete und loyale Kräfte am Markt zu rekrutieren? Es gibt keine Musterlösung um CISO zu werden - oder um einen guten CISO für das eigene Unternehmen zu finden. Unternehmen erkennen die Ernsthaftigkeit der IT-Sicherheit, haben es aber schwer, personell aufzurüsten, um geeignet qualifizierte Mitarbeiter an Bord zu holen. Dies hat zur Folge, dass auf dem Arbeitsmarkt nur wenige Experten im Bereich IT-Sicherheit verfügbar sind. Da es sich im IT-Sicherheitsbereich um einen Arbeitnehmermarkt handelt, suchen die Spezialisten bevorzugt nach Unternehmen, die technologische Vorreiter sind und die dem Kandidaten die aktuell besten Standards bieten.

 

Cio.de; Martin Krill; 01.08.2017

https://www.cio.de/a/was-ein-ciso-mitbringen-muss,3330494

Sechs Tipps zur Cloud-Security

Reflexartige Ängste wegen Sicherheitsdefiziten in Public Clouds mögen vielleicht naiv sein. Jedoch fordern Public und Hybrid Clouds unterschiedliche Risiko- und Compliance-Überlegungen und bringen andere Herausforderungen als traditionelle unternehmensinterne Rechenzentren. Nachfolgend sieben Punkte, mit denen sich Unternehmen befassen sollten:

 

 1. Gemeinsame Verantwortung

 Man muss wissen, welche Verantwortungen beim Einsatz einer Public Cloud hat. Bei IaaS gelten bei der Beschaffung und beim Unterhalt von OS UND Applikationen die gleichen Anforderungen wie beim eigenen Rechenzentrum. Der Provider hat jedoch bei SaaS mehr Verpflichtungen, die Verantwortung für die Datensicherheit bleibt aber immer beim Auftraggeber, also Ihrem Unternehmen.

 

2. Bestehende Best-IT-Practices

Die Bereitstellung von Services im Rahmen hybrider Architekturen lässt sich auch über traditionelle IT-Methodologien regeln. Die ITIL Service Strategy z.B. ist eines von fünf ITIL Lifecycle-Modulen. Sie bietet Leitlinien für den Entwurf, die Entwicklung sowie die Einführung einer Service Provider-Strategie und orientiert sich an der Unternehmensstrategie.

 

3. Geschäftszentrierter IT-Sicherheits-Ansatz

Sicherheit ist nicht nur ein Problem der Technologie, sie muss auch vor dem betriebswirtschaftlichen Hintergrund betrachtet werden. Dazu gehört beispielsweise eine Definition der Geschäftsrisiken im Hinblick auf die Verlusttoleranz.

 

4. Regeln für die Sicherheit

Unternehmen müssen unbedingt mittels Tools wie einer Cloud-Management-Plattform für Transparenz und Kontrolle über komplexe hybride und heterogene Umgebungen sorgen.

 

5. Erstellung eines Notfallplans

Kommt es zu einem Unglück, zählt jede Minute, gleich ob Brand oder Unfall. Aufgaben, Zuständigkeiten und Prozesse müssen dann eindeutig geregelt sein. Unternehmen können sich hier beispielsweise die Best Practices von Rettungsdiensten und anderen sicherheitskritischen Einrichtungen ansehen und vieles davon übernehmen.

 

6. Sicherheit als Standard

Bei den herkömmlichen langlebigen Applikations-Instanzen bedeutet die Aufrechthaltung einer sicheren Infrastruktur die Analyse und automatische Korrektur von Konfigurationsänderungen, um den gewohnten Endzustand beibehalten zu können.

 

Security-insider.de; Gordon Haff, Peter Schmitz; 02.08.2017

http://www.security-insider.de/sieben-tipps-zur-cloud-security-a-630536/

Datenschutz & EU-DSGVO: Wem gehören die Daten, Fahrer oder Autohersteller?

Detaillierte Fragen zu Entstehung, Speicherung, Verarbeitung und Verwendung von Daten aus vernetzten Fahrzeugen werden gegenwärtig von den Autoherstellern ignoriert. So jedenfalls das Resultat einer kürzlich erfolgten Recherche von FIRMENAUTO bei deutschen Autoproduzenten.
Dem deutschen Bundesverband Fuhrparkmanagement ging es ähnlich. "Die Fahrzeugindustrie ignoriert offenbar bei diesem Thema die Interessen der Firmenkunden", kritisiert Marc-Oliver Prinzing, Vorstandsvorsitzender des Verbands.

 

Möglicherweise ist dies aber auch ein Eingeständnis, dass die Verantwortlichen gegenwärtig mit dem Datenschutz zu ringen haben. Ab dem 25. Mai 2018 gilt nämlich die europäische Datenschutz-Grundverordnung (EU-DSGVO), die der Branche Vorschriften über den Umgang mit Fahrzeugdaten macht. Gerade bezüglich der rechtmässigen Datensammlung gibt es in der DSGVO klare Regeln. "Wenn ein Hersteller die Daten nicht rechtmässig erhebt, darf er sie auch nicht verwenden", erklärt Volker Lüdemann, Professor für Wirtschafts- und Wettbewerbsrecht an der Hochschule Osnabrück und Wissenschaftlicher Leiter des Niedersächsischen Datenschutzzentrums.

 

Die Autohersteller sind im Besitz riesiger Datenmengen, die täglich auch durch den reinen Betrieb ihrer Autos anwachsen. Wie der ADAC in einer Mitte letzten Jahres veröffentlichten Studie zur Datenspeicherung im Auto herausgefunden hat, sendet zum Beispiel der Renault Zoe alle 30 Minuten Daten wie die Fahrzeugidentifikationsnummer, verschiedene Seriennummern, Datum, Uhrzeit und die Standortinformationen. Die Mercedes B-Klasse übermittelt in kurzen Zeitabständen neben der GPS-Position Daten zu Kilometerstand, Verbrauch, Tankfüllung, Reifendruck und zu Füllständen der Betriebsflüssigkeiten. Beim BMW i3 wiederum interessiert sich der Hersteller unter anderem für den gewählten Fahrmodus, den Status der Batterie sowie für die letzte Abstellposition des Fahrzeugs.

 

Diese Datensammlungen liefern Datenschützern genug Munition, da die Daten detaillierte Aussagen über Fahrzeugbewegungen, Fahrverhalten und Persönlichkeit eines Fahrers ermöglichen. "Das Risiko entsteht in dem Moment, in dem sich technische und funktionelle Fahrzeugdaten mit dem Fahrer oder Halter des Fahrzeugs verknüpfen lassen. Das ist bei allen im Fahrzeug erhobenen Maschinendaten der Fall, die nicht sofort gelöscht, sondern gespeichert werden und damit einem Zugriff durch Dritte offenstehen", erklärt Sascha Kremer, Fachanwalt für IT-Recht und externer Datenschutzbeauftragter.
Ein Anfang Juni 2017 veröffentlichtes Positionspapier der Bundesdatenschutzbeauftragten Andrea Vosshoff beschreibt rund ein Dutzend Empfehlungen, wie man Datenschutz im Auto umsetzen könnte. Es sollte unter anderem klar erkennbar sein, welche Daten ohne eine ausdrückliche Einwilligung der Fahrzeugnutzer auf Basis eines Gesetzes verarbeitet werden dürfen. Eine Datenspeicherung für den reinen Fahrbetrieb ist dem Papier zufolge in der Regel nicht erforderlich. Gefragt seien technische Möglichkeiten wie zum Beispiel datenschutzfreundliche Voreinstellungen im Fahrzeug, damit der Nutzer auf Wunsch den Zugriff auf bestimmte Daten gewähren oder verweigern könne. Generell ist es aus Sicht des Datenschutzes wünschenswert, dass Fahrzeugnutzer personenbezogene Daten einfach löschen können.

 

Datenschutz im vernetzten Fahrzeug hat bei vielen Fahrern noch keine hohe Priorität, wie der Kommunikationswissenschaftler Dr. Thilo von Pape vom Lehrstuhl für Medienpsychologie der Universität Hohenheim in einer gerade laufenden Studie festgestellt hat.
"Viele Fahrer unterschätzen die Brisanz der Daten, die sie preisgeben. Dabei speichern viele Autos Daten, die Schlüsse auf Fahrstil und Gefahrenverhalten des Fahrers zulassen und ihn zum gläsernen Fahrer machen", erklärt der Studienleiter.
Er ist der Meinung, dass Betroffene ihre Daten nicht schützen können, wenn sie nicht wissen, was warum und wozu gespeichert wird. Ein Fazit der Studie: Technisch bewanderte Nutzer haben häufig ein grösseres Vertrauen in die Autohersteller als in Internetkonzerne wie Google, Apple und Amazon.

 

Firmenauto.de; Joachim Geiger; 18.09.2017
https://www.firmenauto.de/umgang-mit-neuer-eu-datenschutz-verordnung-fahrer-oder-autohersteller-wem-gehoeren-die-daten-9461561.html

IT-Sicherheit: Ungeschützte Router und Webcams stellen Privatsphäre- und Sicherheitsrisiken dar

Eine Studie von Avast hat gezeigt, dass Hunderttausende von IoT-Geräten in der Schweiz, in Deutschland und Österreich Schwachstellen haben und so durch Hacker leicht ein gigantisches Botnet zu kreieren wäre.

 

Deutschland:

In Deutschland wurden über 820'000 Netzwerke geprüft. 175'500 der fast drei Millionen darin befindlichen haben sich als unsicher erwiesen, weiter hatten fast 140'000 Router, mehr als 8000 Drucker und über 1000 Webcams Schwachstellen, die man ausnützen könnte.

 

Österreich:

Hier wurden über 80'000 Netzwerke geprüft. Mehr als 31'000 der über 280'000 sich darin befindenden IoT-Geräte haben sich als unsicher erwiesen. Auch zeigten sich bei einem Drittel der gescannten Router, fast 10% der Webcams und ungefähr 5% der Drucker Schwachstellen.

 

Schweiz:

Avast überprüfte in der Schweiz über 90'000 Netzwerke. Hier zeigte sich, dass rund 42'000 der mehr als 350'000 registrierten IoT-Geräte Schwachstellen auswiesen, ebenso waren ungeschützt: fast 36'000 Router, nahezu 2000 Drucker und 134 der überprüften Webcams.

 

Es ist für jeden leicht, IP-Adressen und Schnittstellen zu scannen und herauszufinden, welches Gerät über welche IP-Adresse erreichbar ist. Fast ebenso leicht können Hacker dann auch den Gerätetyp (Webcam, Drucker, Wasserkocher, Kühlschrank, usw.), die Marke, das Modell und die darauf installierte Software-Version herausfinden. Dann kann mithilfe im Internet einfach auffindbarer Listen ungeschützter Geräte herausgefunden werden, welche dieser Geräte als unsicher gelten.

 

Itseccity.de; Avast, ra; 02.10.2017
http://www.itseccity.de/markt/studien/avast120917.html

IT-Sicherheit: Industriegüter brauchen andere Lösungen als Konsumgüter

Nicht nur für den Verbraucher sei Cybersecurity wichtig, sondern Cybersecurity sei auch eine Grundvoraussetzung für die Digitalisierung in der Industrie. Positiv bewertet der Maschinenbau die Bemühung der EU-Kommission, einen einheitlichen Ansatz in der IT-Sicherheit zu finden. Der VDMA verweist aber auch auf die vielen verschiedenen Anwendungsfälle digitaler Produktionstechnologien. Hier würde eine Einheitslösung den Anforderungen an Investitionsgüter nicht gerecht. Der Verband warnt daher vor kostspieligen Zertifizierungen, die Käufern nur eine Scheinsicherheit bieten würden.

 

„Cybersecurity muss auf europäischer Ebene koordiniert werden, weil Datenströme nicht an Landesgrenzen haltmachen. Ein Käufer sollte die Sicherheit seines Produkts beurteilen und vergleichen können. Dafür braucht es aber Vorgaben, die der Komplexität des Themas gerecht werden, und keinen politischen Schnellschuss der EU“, erklärt Thilo Brodtmann, Hauptgeschäftsführer des VDMA.
„IT-Sicherheit bedeutet für den Fernseher im Wohnzimmer etwas ganz anderes als für eine Werkzeugmaschine mit mehreren Jahrzehnten Lebensdauer. Bevor plakativ neue Labels eingeführt werden, brauchen wir erst eine differenzierte Debatte darüber, unter welchen Voraussetzungen ein Produkt als sicher gelten sollte. Dafür gibt es in Europa schon erprobte Prozesse, weil es ja jetzt schon eine Vielzahl von Anforderungen an Maschinen gibt.“

 

In der Industrie unterscheidet sich der Einsatz digitaler Technologien oft von Einzelfall zu Einzelfall. Anders als bei massenhaft gefertigten Konsumgütern, werden Maschinen vom Kunden oft für einen individuellen Zweck eingesetzt. Eine besondere Herausforderung stellt auch die lange Lebensdauer von Investitionsgütern dar: mit neuen technischen Möglichkeiten verändert sich auch der Bedarf an IT-Sicherheit, was in den Anforderungen an Cybersecurity zu berücksichtigen ist.

 

Chemietechnik.de; 19.09.2017
http://www.chemietechnik.de/vdma-industriegueter-brauchen-andere-loesungen-als-konsumgueter/

Datenschutz & EU-DSGVO: Die anderen 66% haben wenigstens einen Anfang gemacht

Der grossen Mehrheit der Unternehmen in Deutschland drohen in wenigen Monaten Millionen-Bussgelder. Am 25. Mai 2018 müssen nach einer zweijährigen Übergangsfrist die Vorgaben der EU-Datenschutz-Grundverordnung (DS-GVO) umgesetzt sein – doch nur eine Minderheit wird diesen Termin einhalten können. Selbst von den Unternehmen, die sich aktuell mit der DS-GVO beschäftigen, gehen nur 19 Prozent davon aus, dass sie die Vorgaben der Verordnung zu diesem Datum vollständig umgesetzt haben. Weitere 20 Prozent erwarten, dass sie die Anforderungen zum grössten Teil erfüllen werden. Mehr als jedes zweite dieser Unternehmen (55 Prozent) sagt, in acht Monaten werde die Umsetzung nur teilweise erfolgt sein.
Das ist das Ergebnis einer repräsentativen Befragung unter mehr als 500 Unternehmen, die Bitkom im Rahmen seiner Privacy Conference in Berlin vorgestellt hat. „Die Zeit drängt, um die Vorgaben der Datenschutzgrundverordnung umzusetzen. Unternehmen, die bis jetzt abgewartet haben, müssen das Thema schnellstmöglich aufarbeiten“, sagte Susanne Dehmel, Geschäftsleiterin Recht & Sicherheit beim Bitkom. „Wer den Kopf in den Sand steckt, verstösst demnächst gegen geltendes Recht und riskiert empfindliche Bussgelder zu Lasten seines Unternehmens.“

 

Aktuell haben sogar erst 13 Prozent der Unternehmen erste Massnahmen zur Umsetzung der DS-GVO begonnen oder abgeschlossen. Dehmel: „Vor einem Jahr lag der Anteil bei 8 Prozent, viel passiert ist seitdem offenkundig nicht.“ 49 Prozent beschäftigen sich derzeit mit dem Thema. Jedes dritte Unternehmen (33 Prozent) gibt an, sich bislang noch überhaupt nicht mit den Vorgaben der Verordnung beschäftigt zu haben. Von den Unternehmen, die sich bereits mit der DS-GVO beschäftigt haben, sagt rund die Hälfte (47 Prozent), dass sie bisher höchstens 10 Prozent aller notwendigen Arbeiten erledigt hat. Nur 3 Prozent gehen davon aus, dass sie mehr als die Hälfte der Aufgaben abgearbeitet haben.

 

Selbst grundlegende organisatorische Voraussetzungen für den Datenschutz im Unternehmen fehlen häufig. So geben 42 Prozent der Unternehmen an, dass sie kein sogenanntes Verfahrensverzeichnis haben, in dem die internen Prozesse für die Verarbeitung personenbezogener Daten dokumentiert sind. Vor einem Jahr lag der Anteil mit 46 Prozent ähnlich hoch. Ohne ein solches Verzeichnis ist die Anpassung der eigenen Prozesse an die DS-GVO schwierig.
„Ein Verfahrensverzeichnis ist heute schon Pflicht, künftig aber noch dringender erforderlich. Die neue Verordnung verlangt von den Unternehmen den Nachweis der rechtskonformen Datenverarbeitung. Eine solche Datenschutz-Dokumentation wird in Streitfällen eine wichtige Rolle spielen“, so Dehmel.

 

Die Umfrage zeigt auch: Die Nutzung personenbezogener Daten ist für viele Unternehmen von zentraler Bedeutung. Jedes Dritte (32 Prozent) setzt sie zur Verbesserung von Produkten und Dienstleistungen ein. Und 4 von 10 Unternehmen (42 Prozent) geben sogar an, dass die Nutzung personenbezogener Daten die Grundlage des eigenen Geschäftsmodells ist. Dehmel: „Angesichts der Bedeutung von personenbezogenen Daten für die Geschäftstätigkeit der Unternehmen ist es schwer nachzuvollziehen, warum so viele die Übergangsfrist bei der Datenschutzgrundverordnung bislang untätig verstreichen liessen.“

 

Die Unternehmen, die sich mit der DS-GVO beschäftigt haben oder dies noch tun wollen, nennen als grösste Herausforderungen bei der Umsetzung den schwer abzuschätzenden Aufwand (52 Prozent), Rechtsunsicherheit (43 Prozent) und mangelnde praktische Umsetzungshilfen (32 Prozent).
Entsprechend wünschen sich 28 Prozent Auslegungshilfen der Verordnung durch die EU-Kommission, 27 Prozent hätten gerne Praxisleitfäden und 16 Prozent Handreichungen von den Aufsichtsbehörden. „Das Gesetz ist an vielen Stellen vage und den Unternehmen fehlen Vorgaben, wie sie damit umgehen sollen. Konkrete Vorgaben wären hilfreich“, so Dehmel. „Allerdings dürfen die rechtlichen Unsicherheiten kein Grund dafür sein, die Hände in den Schoss zu legen.“ Künftig rechnen 35 Prozent mit Mehraufwand im Unternehmen durch die DS-GVO. Jedes fünfte Unternehmen (20 Prozent) erwartet dabei sogar deutlich mehr Aufwand. Nur 3 Prozent rechnen dauerhaft mit weniger Aufwand.

 

Dennoch halten sich bei der grundsätzlichen Bewertung der Datenschutzgrundverordnung Zuversicht und Skepsis die Waage. So rechnen 6 von 10 Unternehmen (60 Prozent) damit, dass die DSG-VO langfristig zu mehr Rechtssicherheit führt, fast ebenso viele (57 Prozent) erwarten einheitlichere Wettbewerbsbedingungen in der EU. 4 von 10 Unternehmen sagen sogar, dass ihr eigenes Unternehmen durch die DS-GVO Vorteile hat (39 Prozent) und dass sie ein Wettbewerbsvorteil für europäische Unternehmen ist (38 Prozent). Allerdings gibt es auch kritische Einschätzungen. So befürchten 57 Prozent kurzfristig mehr Rechtsunsicherheit, 42 Prozent glauben, dass Geschäftsprozesse komplizierter werden. Mehr als jeder dritte Befragte (36 Prozent) sagt zudem, die DS-GVO bremst Innovationen in Europa, jeder Vierte (23 Prozent) sieht einen Wettbewerbsnachteil für europäische Unternehmen. Und 14 Prozent gehen sogar so weit zu sagen, die Datenschutzverordnung stelle eine Gefahr für die eigene Geschäftstätigkeit dar.

 

Bitkom.org; 19.09.2017
https://www.bitkom.org/Presse/Presseinformation/Jedes-dritte-Unternehmen-hat-sich-noch-nicht-mit-der-Datenschutzgrundverordnung-beschaeftigt.html

Cyber Security: Zehn Tipps zum Schutz eines Kleinunternehmens

Während es viele Arten von Angriffen auf Ihr IT-System geben könnte, werden nachfolgend 10 Punkte aufgelistet, deren Umsetzung nicht zu schwierig ist und die bereits einen grossen Beitrag zur Sicherheit Ihrer IT leisten.

 

  1. Keine E-Mails von unbekannten Absendern öffnen
  2. Nur URLs mit https benutzen
  3. Setzen Sie ein VPN (Virtual Private Network) ein
  4. Aktualisieren Sie regelmässig Ihre Firewall
  5. Benutzen Sie eine Anti-Virus-Software und aktualisieren Sie diese regelmässig
  6. Setzen Sie starke Passwörter und Zwei-Faktor-Authentifizierung ein
  7. Aktualisieren Sie Ihr Betriebssystem regelmässig
  8. Sichern und schützen Sie auch Ihr Handy
  9. Legen Sie passende und sinnvolle Regeln fest
  10. Machen Sie Ihren Mitarbeitenden klar, dass Sicherheit eine Aufgabe aller ist

 

Itseccity.de; NordVPN, ra; 22.09.2017
http://www.itseccity.de/markt/tipps--hinweise/nordvpn220917.html

 

Auch die Teppichetage braucht Informationen

Die Geschäftsleitung, im engeren wie weiteren Sinn, muss kein Cybersicherheitsexperte sein, sie muss aber im Rahmen ihrer GRC-Pflichten über gewisse Punkte informiert sein. Dazu muss ihr das Sicherheitsteam einige relevante Fragen beantworten.


Fünf Fragen sind hier schon recht hilfreich und die Antworten sollten zu einer besseren Umsetzung der IT-Sicherheitsmassnahmen beitragen.

  • Was ist das aktuelle Niveau der Cyberrisiken und wie wirken sie sich auf das Geschäft aus und welche Pläne bestehen, um festgestellte Probleme zu behandeln?
  • Wie und wann erhält die Geschäftsleitung solche Informationen informiert?
  • Werden, falls ja wie, die bestehenden Standards und Best Practices für das Cybersicherheitsprogramm des Unternehmen umgesetzt?
  • Welche und wie viele Cybersicherheitsvorfälle werden in einer Durchschnittswoche festgestellt und ab wann wird die Geschäftsleitung darüber informiert?
  • Wie umfassend ist der entsprechende Response-Plan und wie oft wird er getestet?

 

Computerwelt.at; Christof Baumgartner, pi; 06.10.2017
http://www.computerwelt.at/news/detail/artikel/122485-die-fuenf-wichtigsten-fragen-an-it-sicherheitsteams/

 

Datensicherheit als (positiver) Kostenfaktor

Zum Erhalt ihrer Wettbewerbsfähigkeit müssen sich viele Unternehmen zwingend mit der digitalen Transformation befassen und dies vor der Kulisse einer sich ständig weiterentwickelnden Bedrohungslandschaft. Es ist nicht zu vergessen, dass Vertrauen die Grundlage für eine Kundenbindung ist und dem Firmenimage ein gutes Fundament verleiht. Was kann man tun, dieses Vertrauen zu gewinnen und zu steigern und die Datensicherheit sicherzustellen?


Zuerst ist zu beachten, dass Datenintegrität auf robuster Sicherheit basiert und somit auf Datenverarbeitungssystemen, die nur autorisierten Daten- und Systemzugriff gestatten.


Datenvertraulichkeit umfasst die Prozesse der Erfassung, Übertragung und Speicherung, egal wo. Datenintegrität wiederum bedingt, dass die Daten während Übertragung und Speicherung von nichtautorisierten Personen nicht verändert werden können. Geschieht dies trotzdem, müssen entsprechende Speicherungsprozesse es erlauben, den Originalzustand wiederherzustellen.
Wichtig ist auch der Schutz der Gesamtinfrastruktur von Rechenzentrum bis zur Cloud-Umgebung. Integrierte Sicherheits-Tool ermöglichen hier Kontrollen, um sicherzustellen, dass nur autorisierte Datenbearbeitungen erfolgen.


Es ist nicht leicht, immer das Richtige zu tun. Viele Unternehmen kompromittieren ihre Datensicherheit dadurch, dass sie sich auf die falschen Bereiche konzentrieren. Die Sicherheit der Daten im Besitz eines Unternehmens sicherzustellen, ist ein komplexer Prozess.

 

Silicon.de; Andreas Riepen; 06.10.2017
http://www.silicon.de/blog/datensicherheit-erhoeht-geschaeftlichen-erfolg/?inf_by=571f18402ad0a18179d76003

 

Der Beginn von mehr Daten- und Informationsschutz

Die DSGVO ist gegenwärtig eine der grössten grossen Herausforderungen für die IT-Sicherheit. Einerseits verspricht sie den Betroffenen grössere Kontrolle über ihre personenbezogenen Daten, andererseits resultieren daraus Während sie auf der einen Seite den EU-Bürgern mehr Kontrolle über ihre persönlichen Daten zusichert, bedeutet sie für die Unternehmen veränderte Anforderungen für die Verarbeitung personenbezogener Daten.

 

Das „Recht auf Vergessenwerden“ bedeutet, dass betroffene Personen von verantwortlichen Unternehmen verlangen werden können, ihre personenbezogenen Daten zu löschen, wenn diese für den ursprünglichen Zweck der Datenerhebung nicht mehr benötigt werden. Dies ist verbunden mit dem Prinzip der „Datensparsamkeit“: die eingesetzten Systeme und Technologien müssen dementsprechend sicherstellen, dass gespeicherte Daten dem Zweck angemessen sind und auf das für Verarbeitung erforderliche Mass beschränkt werden.

 

Auch müssen Unternehmen künftig die Aufsichtsbehörden und betroffenen Personen innert 72 Stunden nach Entdeckung einer Datenpanne informieren. Neu ist ebenfalls die «freiwillige» Einwilligung der Verbraucher, die bedingt, dass Unternehmen im Besitz einer rechtsgültigen Einwilligung der betroffenen Person zur Datensammlung sind. Diese Daten wiederum müssen den betroffenen Personen jederzeit einfach zur Verfügung gestellt werden können.

 

Klar ist, dass die Geschäftsleitung ihren Fokus auf die DSGVO richten muss/sollte, auch hinsichtlich der Tatsache, dass die DSGVO nicht nur durch Unternehmen in der EU umzusetzen ist, sondern auch von Unternehmen und Organisationen ausserhalb der EU, die personenbezogene Daten von in der EU ansässigen Firmen und Organisationen bearbeiten. Es ist deswegen sicherzustellen, dass die Systeme, die personenbezogene Daten bearbeiten, die folgenden Punkte nachhaltig abdecken können: Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme.

 

Die Umsetzung der DSGVO-Anforderungen ist eine Herausforderung. Gelingt dies aber, ist dies bezüglich Kunden und Dritten vertrauensbildend und damit ein Teil des unsichtbaren Kapitals einer Firma, dass sich positiv im globalen Wettbewerb lässt.

 

 

Funkschau.de; Ralph Horner, Axel Pomper; 09.10.2017
http://www.funkschau.de/telekommunikation/artikel/146340/1/

 

Die chemische Industrie und Cyber Security

IBM fand 2015 in einer Studie heraus, dass Produktionsanlagen eher als Finanzdienstleister einer Cyber-Attacke ausgesetzt sind. So sind an Grossprojekten im Bereich der Öl- und Gasindustrie zahlreiche Unternehmen mit unterschiedlichen sicherheitstechnischen Zielen beteiligt. Hersteller wollen sicherstellen, dass ihre Betriebssysteme geschützt sind, Integratoren müssen ihr technisches Know-how schützen, und die Anwender sind für die Sicherheit des Systembetriebs verantwortlich. Alle diese Aspekte müssen beachtet werden, und Lieferanten, Integratoren und Endanwender sind gefordert, ihr spezielles Know-how zu bündeln.

 

Der IEC-Standard für die Cyber-Sicherheit IEC 62443 befindet sich gegenwärtig in der Entwurfsphase und befasst sich mit wesentlichen Sicherheitstechniken zur Vermeidung von Cyber-Angriffen auf Anlagennetzwerke und Systeme. IEC 62443 enthält sieben grundlegende Anforderungen. Diese betreffen die verschiedenen sicherheitsrelevanten Ziele, wie z. B. den Schutz des Systems vor unberechtigtem Zugriff. IEC 62443 befasst sich ebenfalls auch mit dem Schutz von Netzwerken innerhalb von Automationssystemen. So fordert die Norm die Trennung des Gesamtsystems. Ausserdem wird das Konzept von Sicherheitszonen, definierten Kanälen und zusätzlichen Firewalls an jedem Kanal eingeführt, der eine Sicherheitszone mit einer anderen verbindet. Durch diese Struktur entsteht ein mehrlagiges System verschiedener Abwehrmechanismen („Defense in Depth“). Für die Firewalls gelten je nach Sicherheitsebene und Zone erfordert unterschiedliche technische Anforderungen.

 

Was ist zu schützen? Die neuste Ausgabe von IEC 61511 fordert, dass betriebliche Anforderungen und physikalische Strukturen gleichermassen zu berücksichtigen sind, dies bedeutet: Durchführung einer Sicherheitsrisikobewertung des sicherheitstechnischen Systems, Gewährleistung einer ausreichenden Widerstandsfähigkeit des SIS gegenüber den erkannten Sicherheitsrisiken, Absicherung der Funktion des SIS, Fehlererkennung und -korrektur, Schutz vor ungewollten Programmänderungen, Schutz der Daten zur Fehlersuche der Sicherheitsfunktionen und Schutz vor einer Manipulation der Beschränkungen zur Verhinderung der Deaktivierung von Alarmen und manuellen Abschaltung sowie Aktivierung/Deaktivierung von Lese-/Schreibzugriff mit einem sicheren Verfahren.
Strukturell verlangt die IEC 61511 von Anlagenbetreibern, dass ihr sicherheitstechnisches System zu bewerten ist. Die Betreiber müssen die Unabhängigkeit zwischen den Schutz-ebenen sicherstellen, unterschiedliche Schutzebenen etablieren, die Schutzebenen physisch trennen sowie Ausfälle gemeinsamer Ursachen zwischen den Schutzebenen identifizieren und vermeiden.

 

Die Norm IEC 61511 hat eine besondere Bedeutung für die Korrelation zwischen Cyber- und Anlagensicherheit. Sie besagt, dass die sicherheitstechnischen Funktionen physisch von den nicht sicherheitsbezogenen Funktionen getrennt werden sollen, wo immer es möglich ist. Beide Standards betonen auch, dass das Gesamtsystem nur so stark ist wie sein schwächstes Glied. Beim Einsatz integrierter Sicherheitssysteme sollte die gesamte Hard- und Software, als Teil der Sicherheitsfunktion betrachtet werden. Das heisst, dass das Sicherheitssystem und das Standardautomatisierungssystem den gleichen Managementprozess zu durchlaufen haben. Anwender haben ebenso organisatorische Massnahmen zu ergreifen, die von ausschlaggebender Bedeutung für die Cyber-Sicherheit sind. Keine vorhandene Technologie kann einen Schutz gegen neu entstehende Angriffsmöglichkeiten bieten. Aus diesem Grund besteht ein hoher Bedarf an regelmässiger Prüfung interner Netzwerke. Es ist ebenso wichtig, dass die Möglichkeiten einer Manipulation ständig im Auge behalten und berücksichtigt werden. Wenn zum Beispiel ein Bediener eine Anlage über ein industrielles Protokoll abschalten kann, ist dies für einen Angreifer auch nur ein kleines Problem.

 

Wie man sieht, gibt es viele Möglichkeiten, die Cyber-Sicherheit industrieller Anlagen zu sichern. Nebst den erwähnten technischen Sicherheitsmassnahmen sind weitere, aus der Erfahrungswelt der Informationstechnik abgeleitete, organisatorische Massnahmen erforderlich. Alle sicherheitsrelevanten Informationen sollten darüber hinaus auf jeder Stufe der Projektplanung über die gesamte Lebensdauer einer Anlage sorgfältig dokumentiert werden. Hersteller, Integratoren und Anwender müssen jederzeit die neuesten sicherheitstechnischen Erkenntnisse berücksichtigen und strengste Qualitätskontrollverfahren implementieren.

 

 

Chemietechnik.de; 11.10.2017
http://www.chemietechnik.de/cyber-security-in-der-chemie/#

 

Versäumnis Sicherheit

Das Beispiel der kürzlichen kritischen Sicherheitslücke bei den Herzschrittmachern der US-Firma Abbott zeigt, wie sich die Cyber-Bedrohungslage weiter verschärfen wird. Ähnlichen Gefahren müssen ebenso Anwenderunternehmen mit einem ganzheitlichen Security-Ansatz, den passenden Werkzeugen und der richtigen Strategie begegnen. Doch liegt die Verantwortung nicht nur bei den Usern. Zuallererst sind aber die Hersteller gefragt, die möglichen Angriffe auf Sicherheitslücken zu unterbinden.

 

Die Sicherheitslücke dieser Herzschrittmacher gibt einen Eindruck einer möglichweise bedrohlichen Zukunft. Nicht nur die Medizintechnik, auch vernetzte Fahrzeuge oder Gebäude bieten Angreifern eine riesige Angriffsfläche. Fortwährend steigt die Zahl der potenziellen Ziele steigt kontinuierlich und Cyber-Kriminellen wenden immer ausgeklügeltere Methoden an und bauen ihr Waffenarsenal stetig aus. Dies bedeutet, dass es immer schwieriger werden wird, die Übersicht behalten zu können. Umso wichtiger ist es, dass sich alle Anbieter von vernetzten Gerätes dieser Bedrohungslage bewusst sind und die erforderlichen Massnahmen umsetzen.

 

Funkschau.de; Stefan Adelmann; 20.10.2017
http://www.funkschau.de/telekommunikation/artikel/146755/

 

Best Practice für mehr Cyber-Sicherheit

WannaCry und NotPetya haben die Wichtigkeit von Cybersecurity wieder aufgezeigt. Cybersecurity wandelt sich aber auch stetig: ungezählte neue IoT-Geräte, Laptops und Server bilden eine Angriffsoberfläche ungeahnten Ausmasses, die neue Sicherheitsansätze erfordert.

 

Regel 1: Risiken aktiv managen
WannaCry trat im Mai 2017 in Erscheinung und es zeigte sich sehr bald, dass der Exploit auf einer Lücke beruhte, für die es bereits seit März einen Patch gab. Das Problem war also fehlendes oder nicht ausreichendes Patch-Management und unzureichende Kenntnis der eigenen Netzwerke.

 

Regel 2: Modernisieren
Wenn Unternehmen ihre IT aktualisieren, bietet sich die perfekte Gelegenheit, die Angriffsoberfläche zu reduzieren und auf die schnellen Veränderungen in der Bedrohungslandschaft zu reagieren. So können sie ihre eigene Sicherheit durch verbesserte Einblicke ins Netzwerk, kontinuierliches und umfassendes Monitoring sowie durch das Patching von Schwachstellen erhöhen. Legacy-Systeme, für die es keine Updates mehr gibt, können isoliert und vom internetverbundenen Netzwerk abgeschnitten werden, bis sie ersetzt sind.

 

Regel 3: Bestehende Cybersecurity Frameworks einsetzen
Bestehende Regelwerke, wie NIST oder die ISO/IEC-27000-Reihe sind hier besonders von Nutzen. Sie unterstützen Unternehmen dabei, technische Kontrollen zu automatisieren und die Sicherheitseffektivität zu erhöhen. Geeignete Massnahmen zu treffen, hilft nicht nur in Hinblick auf mögliche Angriffe, sondern auch in Hinblick auf die kommende EU-Datenschutz-Grundverordnung (DSGVO): Diese sieht technische und organisatorische Massnahmen für die Informationssicherheit vor.

 

Regel 4: Awareness bei den Mitarbeitenden
Gut ausgebildete und gut informierte Mitarbeiterinnen und Mitarbeiter sind in der IT ein wesentlicher Teil des Schutzes – ganz unabhängig von einer konkreten Bedrohungslage. Jedoch gibt es viele Branchen, vom öffentlichen Dienst, über Öl und Gas bis zu Versorgungsunternehmen, in denen die gut ausgebildeten und erfahrenen Angestellten bald in Rente gehen. Dieser Verlust von Know-how erschwert den Kampf gegen Bedrohungen.

 

Security-insider.de; Jens Freitag, Peter Schmitz; 19.10.2017
https://www.security-insider.de/vier-best-practices-fuer-mehr-cyber-sicherheit-a-649491/

 

Ist gar nichts mehr heilig?

Lovense Remote ist eine Bedien-App für Android-Smartphones und iPhones zur Steuerung eines smarten, fernbedienbaren Bluetooth-basierten Vibrators. Mit der App lässt sich das Sexspielzeug remote bedienen, auch über „grössere Entfernungen“. Weniger gut ist aber, dass die App alle Geräusche, die bei der Benutzung des Vibrators entstehen, ohne Wissen der Benutzerin (beziehungsweise des Benutzers) auf dem Smartphone aufzeichnet, wie US-Medien berichten . Die Audio-Datei liegt abgespeichert auf dem Smartphone, ohne dass dessen Besitzerin/Besitzer von der Existenz weiss.

 

Die Benutzer hatten der App zuvor den Zugriff auf das Mikrofon und die Kamera des Smartphones gestattet, jedoch nur für die Chat-Funktion, die in der Lovense-App integriert ist. Zudem sollte die App Sprachaufzeichnungen nur auf Anweisung der Benutzerin/des Benutzers versenden. Die App sollte aber ausdrücklich nicht durchgehend während der Benutzung alle Geräusche aufzeichnen. Doch genau das war der Fall, wie mehrere Benutzerinnen und Benutzer meldeten.

 

Dies ist nicht das erste Datenschutzproblem, das in Zusammenhang mit Sex-Spielzeugen auftritt. So sammelte zudem bereits der We-Vibe-Vibrator Nutzerdaten.

 

Pcwelt.de; Hans-Christian Dirscherl; 13.11.2017
https://www.pcwelt.de/a/lovense-vibrator-app-zeichnet-heimlich-geraeusche-auf,3448730

 

Man hat auch gar keine Ruhe mehr

Eine Nutzerin des vernetzten We-Vibe-Vibrators hatte vergangenes Jahr gegen den Hersteller eine Sammelklage eingereicht, nachdem Experten zuvor Sicherheitslücken entdeckt hatten. Die App sammelte nämlich Nutzerdaten und schickte diese an die Server des Herstellers. Darunter befanden sich Aufzeichnungen über Datum und Uhrzeit der Nutzung, über Vibrationsintensität und Vibrationsmuster, alles verknüpft – und das war ein Knackpunkt – mit der registrierten E-Mail-Adresse.

 

Standard Innovation argumentierte, es bräuchte diese Informationen zu Marktforschungszwecken und um das Produkt zu verbessern. Sie würden nicht mit den Stammdaten der Nutzer zusammengeführt. Das Gericht sah das anders und die Sammelklage endete im März mit einem Vergleich: Standard Innovation zahlte den Klägern insgesamt 3,75 Millionen US-Dollar Schadenersatz. Schon zuvor hatte das Unternehmen seine App überarbeitet und den Nutzer die Option gegeben, das Produkt auch gänzlich ohne Datenerfassung zu nutzen.

 

Zeit.de; Eike Kühl; 14.11.2017
http://www.zeit.de/digital/datenschutz/2017-11/sexspielzeug-vibrator-dildo-app-gehackt/komplettansicht

 

12 haarsträubende Security-Desaster

Zunächst hapert es einmal an den Grundlagen. Dazu kommt dann noch ein ungesunde Dosis Faulheit. Warnzeichen werden gekonnt und höchst zuverlässig ignoriert. Nachdem Sie endlich bemerkt haben, dass Sie gehackt wurden und dabei die Daten Ihrer Kunden gestohlen wurden, tun Sie dann was? Richtig: Sie schweigen.

 

Was Sie gerade gelesen haben, ist das Grundrezept für ein unheilbringendes IT-Sicherheits-Debakel. Hier noch weitere:

 

Schlampereien einer amerikanischen Auskunftei
Der Finanzdienstleister Equifax liess eine Schwachstelle in Apache Struts (bekannt geworden im März 2017) ungepatcht. Daraufhin konnten kriminelle Hacker im Rahmen mehrerer Angriffe die persönlichen Daten von circa 145 Millionen US-Bürgern abgreifen.

 

Public Cloud im mehrfachen Sinne
Die Daten von sechs Millionen Verizon-Kunden wurden wegen eines ungeschützten AWS-Servers kompromittiert. Kontrolliert wurde der Server von einem Partnerunternehmen, das die bei der Service-Hotline eingehenden Anrufe der Verizon-Kunden beantwortete. Jeder, der die Webadresse des Servers kannte, hätte sich an dieser Datenbank bedienen können.

 

Online-Stelldicheins auch nicht mehr sicher
Die Online-"Dating"-Seite AdultFriendFinder wurde im Oktober 2016 Ziel eines Hackerangriffs. Dabei wurden 99 Prozent aller Kundenpasswörter gecrackt. Möglich gemacht wurde das, indem die Verantwortlichen bei FriendFinder alle Passwörter lediglich als SHA-1-Hashwerte abspeicherten.

 

Versicherer? Nein, Verunsicherer!
Vom Hackerangriff auf Anthem waren circa 80 Millionen Kunden in den USA betroffen. Verantwortlich für das Desaster war offenbar ein Mitarbeiter eines Subunternehmens von Anthem, der auf einen Phishing-Link geklickt hatte. Nicht gerade förderlich war dabei, dass auch in diesem Fall die Daten unverschlüsselt vorgehalten wurden.

 

Amerikanische Behörden sind nicht gefeit
Kriminelle Hacker verschafften sich 2012 Zugang zu den Systemen des OPM (Office of Personnel Management) und wurden zwei Jahre lang nicht bemerkt. Weitere Black-Hat-Hacker drangen 2014 erneut in die Systeme des OPM ein und wurden 1 Jahr lang nicht bemerkt. dringen. Auch diese Cyber-Unholde konnten ein Jahr lang unbemerkt ihr Unwesen treiben. Von diesem Data Breach waren rund 22 Millionen aktive und ehemalige Regierungsangestellte betroffen.

 

Und Yahoo wurde immer billiger
Die Hackerangriffe auf Yahoo in den Jahren 2013 und 2014 waren zusammengenommen wohl die grösste Security-Katastrophe aller Zeiten. Zumindest gemessen an den Zahlen: alle drei Milliarden Nutzer fielen dem Hack zum Opfer.

 

Zum 1., zum 2., zum 3! Und die Hacker haben zugeschlagen…
Bei einem Hackerangriff auf die Auktionsplattform eBay im Mai 2014 wurden die Account-Daten von circa 145 Millionen Usern kompromittiert. Die Angreifer hatten dabei für ganze 229 Tage vollen Zugriff auf das Unternehmensnetzwerk, bevor der Einbruch festgestellt wurde.

 

Erfolgreiches Phishing
Angreifer konnten mit der Malware "Citadel" Login-Daten eines Partnerunternehmens abgreifen, die ihnen wiederum Zugang zum Netzwerk von Target verschafften. Die persönlichen Daten von circa 70 Millionen Target-Kunden sowie 40 Millionen Kreditkarten-Datensätze wurden von kriminellen Hackern behändigt.

 

Einfaches verlinken bei LinkedIn
Bei einer Hackerattacke 2012 wurden beim Karriere-Netzwerk LinkedIn ca. 6,5 Millionen User-Passwörter gestohlen. Im Jahr 2016 musste LinkedIn eingestehen, dass von dem Breach 100 Millionen Nutzer mehr betroffen waren als zunächst angenommen.

 

Vertrau mir!
Die Passwörter von 1,5 Millionen Nutzern von eHarmony fielen in die Hände von kriminellen Hackern und wurden kurze Zeit später in einem russischen Hacker-Forum veröffentlicht.

 

Dropbox als Opfer
Erst ungefähr vier Jahre nach dem Dropbox-Hack im Jahre 2012 später traten die vollen Ausmasse dieses Hackerangriffs zutage als die E-Mail-Adressen und Passwörter von knapp 69 Millionen Dropbox-Nutzern im Darknet zum Verkauf angeboten werden.

 

Probleme im Land der aufgehenden Sonne
Der japanische Elektronik-Riese Sony musste das komplette Netzwerk 2011 nach einer Hacker-Attacke für drei Wochen offline nehmen, um die Schäden zu beheben. Beim Angriff selbst wurden Login-Daten, Usernamen und persönliche Daten von über 100 Millionen Nutzern kompromittiert.

 

Computerwoche.de; Florian Maier, James A. Martin; 17.11.2017
https://www.computerwoche.de/a/12-haarstraeubende-security-desaster,3332022,2

 

12/2017

Die DSGVO (Datenschutz-Grundverordnung) tritt im kommenden Mai in Kraft und wird damit das Datenschutzrecht der EU vereinheitlichen, aber auch teilweise hier in der Schweiz anwendbar sein. Wie bekannt ist, wird Non-Compliance die Unternehmen sehr teuer zu stehen kommen und die mit der DSGVO einhergehenden organisatorischen Probleme harren bei vielen Unternehmen immer noch der Lösung.

Die DSGVO deckt primär die folgenden Gebiete ab:

  • Recht auf Vergessenwerden: Personenbezogene Daten müssen auf Anfrage durch Organisationen unverzüglich gelöscht werden
  • Privacy by Design: Die eingesetzten IKT-Systeme und -Technologien haben das Prinzip der Datensparsamkeit befolgen
  • Datenpannen: Im Fall der Fälle müssen Organisationen die Aufsichtsbehörden und Betroffenen innerhalb von 72 Stunden informieren
  • Datenschutz-Folgenabschätzung: Risiken und mögliche Folgen für die Betroffenen bei der Verarbeitung von sensiblen personenbezogenen Daten müssen durch die Organisationen vorgängig bewertet werden
  • Freiwillige Einwilligung: Organisationen müssen eine spezifische und durch die Betroffenen jederzeit widerrufbare Einwilligung zur Sammlung personenbezogener Daten einholen
  • Datenübertragbarkeit: Personenbezogene Daten müssen den Betroffenen in einem gebräuchlichen Format zur Verfügung gestellt werden

Es bleibt nicht mehr viel Zeit bis zum Stichtag – mit den folgenden Themen müssen sich Unternehmen bis dahin noch befassen:

  • Benennung eines EU-DSGVO-Experten, der das Unternehmen und die interne IT-Landschaft genau kennt
  • Einen Überblick über die vorhandene Sicherheitsorganisation und die Sicherheitssysteme erhalten
  • Prüfung einer möglichen Zertifizierung (z.B. nach ISO 27001)
  • Überprüfung der eingesetzten Massnahmen zum Schutz sensibler Daten
  • Schaffung der Voraussetzungen zur DSGVO-Umsetzung
  • Bestimmung und Dokumentation der aus der DSGVO entstehenden erforderlichen Kommunikationsabläufe
  • Überprüfung der Lieferantenvereinbarungen und -verträge bezüglich möglichen Handlungsbedarfs hinsichtlich der DSGVO
  • Datenklassifizierung zur Unterstützung der Datenschutz-Folgenabschätzung
  • Einbindung aller erforderlichen Abteilungen und Bereiche um sicherzustellen, dass alle Anforderungen abgedeckt werden können.

 

Nexus-ag.de; 09.11.2017
https://www.it-daily.net/it-sicherheit/datenschutz/17172-fit-fuer-die-eu-datenschutz-grundverordnung

 

12/2017

Die 5 «effektivsten» ICS-Hackerangriffe

Kein Strom mehr in der Ukraine
Im Dezember 2015 gelingt Hackern eine koordinierte Attacke auf mindestens drei Energienetzbetreiber in der Ukraine. Rund 225.000 Einwohner sind von einem mehrstündigen Ausfall der Stromversorgung betroffen.

 

Spitäler sind auch nicht mehr ausgenommen
Im Februar 2016 schleusen Unbekannte einen Ransomware-Trojaner in das Netzwerk eines Krankenhauses in Neuss in Deutschland ein. Die Kosten für die Analyse des Hackerangriffs und die Wiederherstellung des IT-Betriebs betragen ungefähr eine Million Euro.

 

Cyberangriffe auf die internationale Bankeninfrastruktur
2016 wird bekannt, dass sich unbekannte Personen sich nicht autorisierten Zugang zu Dienstleistungen des SWIFT-Systems verschaffen konnten. Die erfolgten Angriffe auf eine Zentralbank von Bangladesch, eine Bank in Ecuador und eine Bank in der Ukraine verursachten einen Folgeschaden von mehr als 100 Millionen US-Dollar.

 

ITK-Provider verursachen Millionen von Ausfallstunden
Im aktuellen BSI-Lagebericht werden drei grosse Störungen bei ITK-Providern erwähnt. Insgesamt fielen ungefähr 36 Millionen Nutzerstunden in den Bereichen Telefonie und Internet aus.

 

Petya auch hier
Der Verschlüsselungstrojaner Petya (alias NotPetya, ExPetr, DiskCoder.C) setzte die IT-Systeme zahlreicher Organisationen schachmatt. In einigen Fällen hatte der Angriff massive Auswirkungen auf Produktion und Geschäftsprozesse.

 

Cio.de; Marcus Pauli; 10.11.2017
https://www.cio.de/a/die-5-schlimmsten-ics-hacks,3331728

 

01/2018

Eine unbekannte Person machte sich im September dieses Jahres via Internet am Abwassernetz einer deutschen Stadt zu schaffen: aus den USA verschaffte er sich Zugang zu den Pumpensteuerungssystemen. Diese Systeme aus Rohren, Sammelbecken, Schiebern und Pumpen sind miteinander vernetzt und können von einer Leitzentrale aus gesteuert werden. Teils sind diese Anlagen mit eigenen Glasfasersträngen verbunden, teils sind sie aber auch via Modems u.ä. an das Internet angebunden.

Die grosse Zahl von Endpunkten bietet einem Hacker Tausende von Möglichkeiten, das erwähnte Abwassernetz zu attackieren. Würde es stark regnen, könnten Angreifer eine Stadt weitgehend lahmlegen: Überschwemmungen, nicht gereinigte Abwässer, die sich zurückstauen, möglicherweise sogar Überflutungen durch sanitäre Abwässer in den Strassen. Pech für den Angreifer war jedoch, dass der Angriff erkannt wurde und Gegenmassnahmen ergriffen werden konnten.

 

Es geht hier aber nicht nur um Abwasser in der Strasse und möglicher damit einhergehender Gefährdungen. Regierungen sind sich bewusst, dass nebst Stromversorgern kritische Infrastrukturen wie Banken, das Gesundheitswesen, Medien und andere ähnliche Einrichtungen immer wieder das Ziel von Cyberattacken sind.
Ob das Motiv nun darin besteht, Geld zu erpressen oder ob es darum geht, Angst, Schrecken und Verunsicherung zu verbreiten – die Anfälligkeit einer Hochleistungsgesellschaft steigt mit der fortschreitenden Vernetzung, die Verwundbarkeit wächst exponentiell. Sabotageattacken seien daher in Betracht zu ziehen, schreibt die Behörde. Und: Dass dabei Menschen zu Schaden kommen könnten, sei "ebenfalls einzukalkulieren".

 

Terroranschläge über das Internet sind schon längere Zeit möglich, jedoch aufwendig und kostspielig. Momentan wird eher davon ausgegangen, dass sich Nationalstaaten solcher Mittel bedienen, jedoch ist es gut möglich, dass mit der zunehmenden Vernetzung und seitens Angreifern gewachsenem Know-how sich dieser Schwerpunkt auf Cyberkrieger aller Couleur verlagern könnte.

 

Spiegel.de; Jörg Diehl, Nicolai Kwasniewski, Fabian Reinbold; 07.12.2017
http://www.spiegel.de/netzwelt/web/so-bedrohen-hacker-wasserversorgung-stromnetz-und-kliniken-a-1181325.html

01/2018

Big Data ist schon seit Längerem ein Schlüsselbegriff für die Digitalisierung, der sowohl für Chancen als auch für Risiken steht. Die Chancen liegen primär im wirtschaftlichen Bereich, und in zweiter Linie bilden Big Data eine Ressource für die zivile Sicherheit.

Die Risiken liegen in der intransparenten Beobachtung und möglichen Fremdsteuerung des Verhaltens von Kunden und Bürgern. Unter Big Data versteht man die Sammlung, Zusammenführung und Auswertung von Daten über alle Lebenszyklen von Gütern und über ihre Umgebungen bei der Beschaffung, Herstellung, Ausführung und beim Vertrieb und Kundendienst. Die Daten kommen aus allen Bereichen über einzelne Firmen, Branchen und Ländergrenzen hinweg zusammen, und zwar sehr schnell – oft online während der Entstehungsprozesse, aus den verschiedensten Quellen und in grosser Menge.

 

Mithilfe von Big Data können Produktions- und Logistiksteuerung von Massenwaren in grossen Produktionsstrassen und Vertriebsnetzen verbessert und kostengünstiger gestaltet werden. Sie erlauben die Optimierung von Dienstleistungen und eine schnellere und sachnähere Bedienung von Kunden.

 

Ein typischer Mechanismus zur Sammlung von Webnutzungsdaten sind Cookies. Das sind kleine Datensätze, die ein Nutzer beim Aufruf einer Webseite in seinem Browser speichert. Cookies enthalten ein Pseudonym des Nutzers (wie eine Garderobenmarke) und die Adresse der gerade aufgerufenen Webseite. Beim nächsten Aufruf der Webseite durch den Nutzer wird das Cookie an den Webserver zurückgeschickt und dieser erkennt seinen Nutzer wieder und kann an die vorherige Sitzung anknüpfen.
Cookies, die mithilfe eingebetteter Bilder oder Logos von Drittanbietern bei verschiedenen Webservices untergebracht sind, erlauben den Drittanbietern die Spurenverfolgung über eben diese verschiedenen Webservices hinweg, das nennt man Tracking. Weit verbreitete Tracker stammen von Doubleclick und Adition mit dem Ziel der personalisierten Werbung und von Google-Analytics zur Erstellung von Statistiken über die Nutzung von Webseiten.
Cookies sind übrigens nicht die einzigen Tracking-Mechanismen. Mit denselben technischen und algorithmischen Mitteln, mit denen Anbieter Kunden und ihr Verhalten auswerten, können Bürger in ihrem Verhalten beobachtet werden, mit dem Ziel, daraus kriminelle oder gar terroristische Tätigkeiten herauszufiltern.

 

Algorithmen müssen sich zwangsläufig an einer jeweiligen Anwendungsaufgabe orientieren. Zum Beispiel leitet ein Werbealgorithmus aus dem Kauf eines Reiseführers und dem Buchen einer Fahrkarte zum selben Reiseziel sowie aus der Kenntnis bisher gebuchter Hotelkategorien ab, dass dieser Nutzer bereit ist, ein Hotel am Reiseziel zu einer gewohnten Hotelkategorie zu buchen. Diese Hotelkategorie wird dann punktgenau angeboten.
Ein Algorithmus zur Kriminalitätsbekämpfung dagegen würde zum Beispiel aus dem Surfen über Waffenangebote und bestimmte Lokale, die als Treffpunkte gewaltbereiter Menschen aufgefallen sind, eine Zugehörigkeit zu einer Gewaltszene ableiten. Das könnte zur polizeilichen Überwachung dieser Person und der auffällig werdenden Lokale führen.

 

Pcwelt.de; Rüdiger Grimm; 20.12.2017
https://www.pcwelt.de/a/datenschutz-und-big-data-daten-nutzen-ohne-die-freiheit-einzuschraenken,3449183

01/2018

Besonders häufig angegriffene Wirtschaftsbranchen

Der Finanzsektor:
er ist stetig unter Druck durch Mitbewerber mit neuen digitalen Dienstleistungen und muss die bestehenden IT-Systeme auf Vordermann bringen. Der Wert der Kundendaten steigt, da die Kunden komfortablere und stärker personalisierte Serviceleistungen fordern.

 

Gesundheitswesen:
Die Digitalisierung von Patientendaten wird das Gesundheitswesen auf den Kopf stellen. Wearables und Fitness-Apps bringen Verbesserungen, KI und internetfähige Endgeräte werden die Diagnosegeschwindigkeit rasant erhöhen und die Patientenversorgung verbessern.

 

Handel:
Immer mehr Online-Shopping und Datenanalysetools helfen Händlern dabei, ihren Kunden individuellere abgestimmte Einkaufserlebnisse anbieten zu können. Diese Daten sind aber gut zu schützen, das sie nicht nur aus Einkaufsgewohnheiten und Login-Daten bestehen, sondern auch aus Kontodetails und Adressen.

 

Telekommunikation:
Telekommunikationsunternehmen sind als Anbieter von Internetdiensten besonderen Risiken ausgesetzt, denn sie müssen Sicherheitsmassnahmen in ihre Netzwerkinfrastruktur, Software, die Anwendungen und Endgeräte einbauen, um die Risiken für die Kunden möglichst niedrig zu halten.

 

Produktion:
In der Industrie konzentrieren sich Hacker hauptsächlich auf lukrative Industriespionage. Ziele sind hauptsächlich vernetzte Maschinen, Roboter und 3D-Drucker. Auch machen es Sicherheitslücken für Angreifer einfach, an Produktionspläne zu gelangen, ebenso könnte in Produktionsprozesse eingegriffen bzw. diese sabotiert werden.

 

Behörden:
Auch Verwaltungsbehörden sind gegen Breaches und Datenmissbrauch nicht gefeit. Die in Ministerien und anderen Verwaltungseinheiten gespeicherten Daten sind sensibel und daher Hauptangriffsziele.


All-about-security.de; Srinivasan C. R.; 18.12.2017
https://www.all-about-security.de/security-artikel/management-und-strategie/single/cyber-security-trends-2018/

02/2018

Antwort und Beispiele: Die Datenschutz-Grundverordnung gilt für

  • ein Unternehmen oder eine Einrichtung, welches oder welche personenbezogene Daten im Rahmen der Tätigkeiten einer in der EU ansässigen Zweigstelle verarbeitet, unabhängig davon, wo die Datenverarbeitung stattfindet; oder
  • ein Unternehmen, das ausserhalb der EU ansässig ist und Waren/Dienstleistungen (bezahlt oder unentgeltlich) anbietet oder das Verhalten von Personen in der EU beobachtet.

 

Wenn Ihr Unternehmen ein kleines oder mittleres Unternehmen (KMU) ist, das personenbezogene Daten gemäss den oben genannten Beschreibungen verarbeitet, müssen Sie die Bestimmungen der Datenschutz-Grundverordnung erfüllen. Wenn die Verarbeitung personenbezogener Daten jedoch nicht zu den Kerntätigkeiten Ihres Unternehmens gehört und Ihre Tätigkeit keinerlei Risiko für Personen darstellt, gelten einige der Pflichten der Datenschutz-Grundverordnung für Sie nicht verbindlich (zum Beispiel die Ernennung eines Datenschutzbeauftragten). Beachten Sie, dass die „Kerntätigkeiten“ Tätigkeiten umfassen sollten, bei denen die Verarbeitung von Daten einen untrennbaren Teil der Tätigkeiten des Verantwortlichen oder Auftragsverarbeiters bilden muss.

 

Beispiele:

Anwendungsbereich der Verordnung eröffnet
Ihr Unternehmen ist ein kleines Unternehmen im Bereich der Hochschulbildung und ist mit einer Niederlassung mit Sitz ausserhalb der EU online tätig. Es hat in erster Linie Universitäten mit spanischer und portugiesischer Sprache in der EU als Zielgruppe. Es bietet kostenlose Beratung für eine Reihe von Studiengängen, und die Studenten benötigen für den Zugriff auf Ihre Online-Materialien einen Benutzernamen und ein Kennwort. Ihr Unternehmen stellt diesen Benutzernamen und das Kennwort bereit, sobald die Studenten ein Anmeldeformular ausgefüllt haben.

 

Anwendungsbereich der Verordnung nicht eröffnet
Ihr Unternehmen ist ein Dienstleister mit Sitz ausserhalb der EU. Es bietet Kunden ausserhalb der EU Dienstleistungen an. Seine Kunden können seine Dienste nutzen, wenn sie in andere Länder reisen, auch innerhalb der EU. Sofern Ihr Unternehmen seine Dienste nicht gezielt auf Personen in der EU ausrichtet, fällt es nicht unter die Vorschriften der Datenschutz-Grundverordnung.

 

Europäische Kommission; BOW; 30.01.2018
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/application-regulation/who-does-data-protection-law-apply_de

02/2018

Antwort: Ja, die Anwendung der Datenschutz-Grundverordnung ist nicht von der Grösse Ihres Unternehmens/Ihrer Organisation, sondern von der Art Ihrer Tätigkeiten abhängig. Tätigkeiten, die ein hohes Risiko für die Rechte und Freiheiten von Personen darstellen, lösen die Anwendung strengerer Vorschriften aus, egal ob ein KMU oder eine grosse Gesellschaft diese Tätigkeiten ausüben. Einige der Pflichten der Datenschutz-Grundverordnung gelten jedoch möglicherweise nicht für alle KMU.

 

Unternehmen mit weniger als 250 Mitarbeitern müssen zum Beispiel kein Verzeichnis ihrer Verarbeitungstätigkeiten führen, sofern die Verarbeitung personenbezogener Daten keine regelmässige Tätigkeit ist, eine Gefahr für die Rechte und Freiheiten von Personen darstellt oder sensible Daten bzw. Strafregister betrifft.

 

KMU müssen nur dann einen Datenschutzbeauftragten ernennen, wenn die Verarbeitung ihre Haupttätigkeit ist und besondere Gefahren für die Rechte und Freiheiten von Personen (zum Beispiel die Beobachtung von Personen oder die Verarbeitung sensibler Daten oder von Strafregistern) darstellt, insbesondere, da sie in grossem Umfang stattfindet.

 

Europäische Kommission; BOW; 30.01.2018
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/application-regulation/do-rules-apply-smes_de

02/2018

Antwort: Nein, die Vorschriften gelten ausschliesslich für personenbezogene Daten natürlicher Personen, sie regeln nicht die Daten von Unternehmen oder anderen juristischen Personen. Einpersonengesellschaften betreffende Informationen können jedoch personenbezogene Daten darstellen, wenn sie die Identifizierung einer natürlichen Person ermöglichen.

Die Vorschriften gelten ebenfalls für alle personenbezogenen Daten von natürlichen Personen in Ausübung einer beruflichen Tätigkeit, zum Beispiel geschäftliche E-Mail-Adressen wie „vorname.nachname@unternehmen.eu“ oder die beruflichen Telefonnummern der Mitarbeiter.

 

Europäische Kommission; BOW; 30.01.2018
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/application-regulation/do-data-protection-rules-apply-data-about-company_de

02/2018

Antwort und Beispiel: Die Art und Anzahl der personenbezogenen Daten, die ein Unternehmen/eine Organisation verarbeiten kann, hängt vom Grund ihrer Verarbeitung (rechtlicher Grund) und der beabsichtigen Nutzung ab. Das Unternehmen/die Organisation muss mehrere wesentliche Vorschriften beachten, unter anderem:

  • müssen personenbezogene Daten auf rechtmässige und nachvollziehbare Weise verarbeitet werden, und gegenüber den Personen, deren Daten verarbeitet werden, muss Fairness gewährleistet sein („Rechtmässigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
  • müssen bestimmte Zwecke für die Verarbeitung der Daten festgelegt sein und diese Zwecke den Personen, deren Daten Sie erheben, mittgeteilt werden; ein Unternehmen/eine Organisation darf personenbezogene Daten nicht zu unbestimmten Zwecken erheben („Zweckbindung“);
  • das Unternehmen/die Organisation darf ausschliesslich jene personenbezogenen Daten erheben und verarbeiten, die zur Erfüllung dieses Zwecks erforderlich sind („Datenminimierung“);
  • das Unternehmen/die Organisation muss sicherstellen, dass die personenbezogenen Daten sachlich richtig und auf dem neuesten Stand hinsichtlich der Zwecke sind, für die sie verarbeitet werden, und sie berichtigen, wenn dies nicht der Fall ist („Richtigkeit“);
  • das Unternehmen/die Organisation darf die personenbezogenen Daten nicht für andere Zwecke nutzen, die nicht mit dem ursprünglichen Zweck der Erhebung vereinbar sind;
  • das Unternehmen/die Organisation muss sicherstellen, dass personenbezogene Daten nicht länger als für die Zwecke, für die sie erhoben wurden, erforderlich gespeichert werden („Speicherbegrenzung“);
  • das Unternehmen/die Organisation muss angemessene technische und organisatorische Garantien einbauen, mit denen die Sicherheit der personenbezogenen Daten, einschliesslich Schutz vor unbefugter oder unrechtmässiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung gewährleistet wird („Integrität und Vertraulichkeit“).

 

Beispiel:

Ihr Unternehmen/Ihre Organisation betreibt ein Reisebüro. Wenn Sie die personenbezogenen Daten Ihrer Kunden erhalten, müssen Sie in einer klaren und einfachen Sprache erklären, weshalb Sie die Daten benötigen, wie Sie sie nutzen und wie lange Sie beabsichtigen, diese aufzubewahren. Die Verarbeitung sollte so angepasst werden, dass die wesentlichen Datenschutzgrundsätze eingehalten werden.

 

Europäische Kommission; BOW; 30.01.2018
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/principles-gdpr/overview-principles/what-data-can-be-processed-and-under-which-conditions_de

02/2018

Antwort: Nein. Der Zweck der Verarbeitung personenbezogener Daten muss bekannt sein und die Personen, deren Daten verarbeitet werden, müssen darüber unterrichtet werden. Es ist nicht möglich, einfach anzugeben, dass personenbezogene Daten erhoben und verarbeitet werden. Dieser Grundsatz wird als „Zweckbindung“ bezeichnet.

 

Europäische Kommission; BOW; 30.01.2018
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/principles-gdpr/purpose-data-processing/can-data-be-processed-any-purpose_de

02/2018

Antwort und Beispiele: Ja, aber nur in bestimmten Fällen. Wenn ein Unternehmen/eine Organisation Daten auf der Grundlage eines berechtigten Interesses, eines Vertrags oder lebenswichtiger Interessen erhoben hat, dürfen diese für einen anderen Zweck verwendet werden, aber erst, nachdem überprüft wurde, dass der neue Zweck mit dem ursprünglichen Zweck vereinbar ist.

 

Folgendes sollte berücksichtigt werden:

  • die Verbindung zwischen dem ursprünglichen und neuen/zukünftigen Zweck;
  • der Zusammenhang, in dem die Daten erhoben wurden (Welche Beziehung besteht zwischen Ihrem Unternehmen/Ihrer Organisation und der betroffenen Person?);
  • die Art der Daten (Sind es sensible Daten?);
  • die möglichen Folgen der beabsichtigten Weiterverarbeitung (Welche Auswirkungen hat sie für die betroffene Person?);
  • das Vorhandensein geeigneter Garantien (wie Verschlüsselung oder Pseudonymisierung).

 

Wenn Ihr Unternehmen/Ihre Organisation die Daten für Statistiken oder wissenschaftliche Forschung nutzen möchte, ist es nicht erforderlich, die Vereinbarkeitsprüfung durchzuführen.

 

Wenn Ihr Unternehmen/Ihre Organisation die Daten auf der Grundlage einer Einwilligung oder einer rechtlichen Bestimmung erhoben hat, ist eine Weiterverarbeitung über die durch die ursprüngliche Einwilligung oder rechtliche Bestimmung abgedeckten Bereiche hinaus nicht möglich. Für die weitere Verarbeitung wäre die Einholung einer neuen Einwilligung oder eine neue Rechtsgrundlage erforderlich.

 

Beispiele:

Weiterverarbeitung möglich

Eine Bank verfügt über einen Vertrag mit einem Kunden, der dem Kunden ein Bankkonto und ein Privatdarlehen gewährt. Am Ende des ersten Vertragsjahrs verwendet die Bank die personenbezogenen Daten des Kunden, um zu überprüfen, ob er für eine bessere Darlehensvariante und einen Sparplan infrage kommt. Sie unterrichtet den Kunden. Die Bank darf die Kundendaten erneut verarbeiten, da der neue Zweck mit den ursprünglichen Zwecken vereinbar ist.

 

Weiterverarbeitung nicht möglich

Dieselbe Bank möchte die Kundendaten auf der Grundlage des genannten Vertrags für ein Bankkonto und ein Privatdarlehen an ein Versicherungsunternehmen weitergeben. Diese Verarbeitung ist ohne die ausdrückliche Einwilligung des Kunden unzulässig, da der Zweck nicht mit dem ursprünglichen Zweck der Datenverarbeitung vereinbar ist.

 

Europäische Kommission; BOW; 30.01.2018
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/principles-gdpr/purpose-data-processing/can-we-use-data-another-purpose_de

02/2018

Antwort und Beispiel: Personenbezogene Daten sollten nur verarbeitet werden, wenn es nach allgemeinem Ermessen unmöglich ist, die Verarbeitung auf andere Weise durchzuführen. Sofern es möglich ist, sollten möglichst anonyme Daten verwendet werden.

 

Wenn personenbezogene Daten erforderlich sind, sollten diese dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Mass beschränkt sein („Datenminimierung“). Es obliegt der Verantwortung Ihres Unternehmens/Ihrer Organisation, als Verantwortlicher zu bewerten, wie viele Daten erforderlich sind, und zu gewährleisten, dass nicht relevante Daten nicht erhoben werden.

 

Beispiel:

Ihr Unternehmen/Ihre Organisation bietet Car Sharing-Dienstleistungen für Privatpersonen an. Für diese Dienste benötigt es/sie Name, Adresse und Kreditkartennummer der Kunden und eventuell Informationen darüber, ob die Person eine Behinderung hat (also Gesundheitsdaten), nicht aber über die rassische Herkunft.

 

Europäische Kommission; BOW; 30.01.2018
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/principles-gdpr/data-minimisation/how-much-data-can-be-collected_de

02/2018

Antwort und Beispiel: Daten müssen so kurz wie möglich gespeichert werden. Der Zeitraum sollte die Gründe für die Verarbeitung der Daten sowie rechtliche Verpflichtungen zur Aufbewahrung der Daten für einen festgelegten Zeitraum (zum Beispiel wenn das nationale Arbeits-, Steuer- oder Betrugsbekämpfungsrecht vorsieht, dass Ihr Unternehmen/Ihre Organisation personenbezogene Daten der Mitarbeiter für einen festgelegten Zeitraum aufbewahren muss, Dauer der Produktgewährleistung, usw.) berücksichtigen.

 

Ihr Unternehmen/Ihre Organisation sollte Fristen zur Löschung oder Überprüfung der gespeicherten Daten festlegen.

 

Ausnahmsweise dürfen personenbezogene Daten zu Archivzwecken im öffentlichen Interesse oder bei wissenschaftlicher oder historischer Forschung länger aufbewahrt werden, sofern geeignete technische und organisatorische Massnahmen (wie Anonymisierung, Verschlüsselung usw.) getroffen werden.

 

Ihr Unternehmen/Ihre Organisation muss zudem sicherstellen, dass die aufbewahrten Daten sachlich richtig und auf dem neuesten Stand sind.

 

Beispiel:

Daten wurden zu lange ohne Aktualisierung aufbewahrt

Ihr Unternehmen/Ihre Organisation betreibt eine Arbeitsvermittlung und sammelt zu diesem Zweck die Lebensläufe von Personen, die eine Beschäftigung suchen und Ihnen für Ihre Vermittlungsdienstleistungen ein Entgelt zahlen. Sie planen, die Daten 20 Jahre lang aufzubewahren, und treffen keine Massnahmen zur Aktualisierung der Lebensläufe. Die Speicherfrist erscheint dem Zweck, kurz- bis mittelfristig Beschäftigung für eine Person zu finden, unangemessen. Die Tatsache, dass Sie keine regelmässige Aktualisierung der Lebensläufe verlangen, macht einige der Suchanfragen für die Beschäftigung suchende Person nach einem gewissen Zeitraum nutzlos (zum Beispiel da die Person neue Qualifikationen erworben hat).

 

Europäische Kommission; BOW; 30.01.2018
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/principles-gdpr/storage-periods/how-long-can-data-be-kept-and-it-necessary-update-it_de

02/2018

Antwort: Zum Zeitpunkt der Erhebung ihrer Daten müssen Personen mindestens über Folgendes in klarer Weise informiert werden:

  • wer Ihr Unternehmen/Ihre Organisation ist (Ihre Kontaktdaten und die Kontaktdaten Ihres Datenschutzbeauftragten, falls zutreffend);
  • warum Ihr Unternehmen/Ihre Organisation die personenbezogenen Daten nutzen wird (Zwecke);
  • die Kategorien personenbezogener Daten, die verarbeitet werden;
  • die Rechtsgrundlage für die Verarbeitung ihrer Daten;
  • wie lange die Daten aufbewahrt werden;
  • welche weiteren Empfänger die Daten erhalten könnten;
  • ob die personenbezogenen Daten in ein Land ausserhalb der EU übermittelt werden;
  • dass sie das Recht auf eine Kopie der Daten (Auskunftsrecht) sowie weitere grundlegende Rechte im Bereich des Datenschutzes (siehe vollständige Liste der Rechte) haben;
  • das Bestehen ihres Beschwerderechts bei einer Datenschutzbehörde;
  • ihr Recht, die Einwilligung jederzeit zurückzuziehen;
  • sofern zutreffend, das Bestehen einer automatisierten Entscheidungsfindung, nach welcher Logik die entsprechende Verarbeitung erfolgt und welche Auswirkungen sie hat.

 

Siehe die vollständige Liste der bereitzustellenden Informationen.

 

Die Informationen können schriftlich oder mündlich auf Antrag der Person, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde, oder gegebenenfalls auf elektronischem Weg erteilt werden. Ihr Unternehmen/Ihre Organisation muss diese in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache sowie unentgeltlich übermitteln.

 

Falls Daten durch ein anderes Unternehmen/eine andere Organisation erhoben werden, sollte Ihr Unternehmen/Ihre Organisation der betroffenen Person die oben genannten Informationen spätestens innerhalb eines Monats nach Erhebung der personenbezogenen Daten erteilen; oder sofern Ihr Unternehmen/Ihre Organisation mit der Person kommuniziert, zum Zeitpunkt, zu dem die Daten zur Kommunikation mit der betroffenen Person verwendet werden; oder falls die Offenlegung an ein anderes Unternehmen beabsichtigt ist, zum Zeitpunkt der ersten Offenlegung der personenbezogenen Daten.

 

Ihr Unternehmen/Ihre Organisation ist ebenso verpflichtet, die Person über die Kategorien von Daten und darüber zu unterrichten, aus welcher Quelle die personenbezogenen Daten stammen, einschliesslich der Information, ob die Daten aus öffentlich zugänglichen Quellen stammen. Unter bestimmten, in Artikel 13 Absatz 4 und Artikel 14 Absatz 5 der Datenschutz-Grundverordnung aufgeführten Umständen kann Ihr Unternehmen/Ihre Organisation von der Pflicht, die Person zu unterrichten, befreit werden. Prüfen Sie, ob eine solche Befreiung auf Ihr Unternehmen/Ihre Organisation zutrifft.

 

Europäische Kommission; BOW; 30.01.2018
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/principles-gdpr/transparency/what-information-must-be-given-individuals-whose-data-collected_de

02/2018

Antwort und Beispiele: Ihr Unternehmen/Ihre Organisation darf nur unter folgenden Umständen personenbezogene Daten verarbeiten:

  • mit Einwilligung der betroffenen Personen;
  • bei Bestehen einer vertraglichen Verpflichtung (ein Vertrag zwischen Ihrem Unternehmen/Ihrer Organisation und einem Kunden);
  • zur Erfüllung einer rechtlichen Verpflichtung (nach EU- oder nationalem Recht);
  • wenn die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse (nach EU- oder nationalem Recht) erforderlich ist;
  • zum Schutz lebenswichtiger Interessen einer Person;
  • aus berechtigten Interessen Ihrer Organisation, aber nur, nachdem sichergestellt wurde, dass die Grundrechte und Grundfreiheiten der betroffenen Person bei der Datenverarbeitung nicht ernsthaft beeinträchtigt werden. Wenn die Rechte der Person die Interessen Ihrer Organisation überwiegen, scheidet das berechtigte Interesse Ihrer Organisation als Grundlage für die Datenverarbeitung aus. Die Bewertung, ob das berechtigte Interesse Ihres Unternehmens/Ihrer Organisation an der Verarbeitung die Interessen der betroffenen Personen überwiegt, hängt von den Umständen des Einzelfalls ab.

Beispiele:

Einwilligung

Ihr Unternehmen/Ihre Organisation bietet eine Musik-App an und verlangt nach der Einwilligung der Nutzer zur Verarbeitung ihrer musikalischen Vorlieben, um passende Musiktitel und mögliche Konzerte zu empfehlen.

 

Vertragliche Verpflichtung

Ihr Unternehmen/Ihre Organisation verkauft Waren online. Es/sie darf Daten verarbeiten, die erforderlich sind, um vor Abschluss des Vertrags und zur Vertragsabwicklung auf Verlangen des einzelnen Kunden die erforderlichen Massnahmen zu ergreifen. Sie können also den Namen des Kunden, die Lieferadresse, die Kreditkartennummer (bei Kartenzahlung) usw. verarbeiten.

 

Rechtliche Verpflichtung

Sie führen ein Unternehmen mit Mitarbeitern. Sie sind im Rahmen der Sozialversicherung gesetzlich dazu verpflichtet, der zuständigen Behörde personenbezogene Daten (zum Beispiel wöchentliches Einkommen Ihrer Mitarbeiter) zur Verfügung zu stellen.

 

Öffentliches Interesse

Beispiel: Eine Berufsvereinigung, wie zum Beispiel eine Anwalts- oder Ärztekammer, der die entsprechende öffentliche Gewalt übertragen wurde, kann Disziplinarverfahren gegen ihre Mitglieder durchführen.

 

Lebenswichtiges Interesse einer Person

Ein Krankenhaus behandelt einen Patienten nach einem verheerenden Verkehrsunfall. Das Krankenhaus benötigt nicht die Einwilligung dieser Person, um nach ihrem Ausweis zu suchen, um zu überprüfen, ob in der Datenbank des Krankenhauses die medizinische Vorgeschichte zu finden ist, oder um ihre Angehörigen zu kontaktieren.

 

Die berechtigten Interessen Ihrer Organisation

Ihr Unternehmen/Ihre Organisation stellt die Netzwerksicherheit sicher, indem Sie die Nutzung der IT-Geräte Ihrer Mitarbeiter überwachen. Ihr Unternehmen/Ihre Organisation darf personenbezogene Daten zu diesem Zweck nur dann verarbeiten, wenn Sie die schonendste Methode hinsichtlich der Privatsphäre und Datenschutzrechte Ihrer Mitarbeiter anwenden, zum Beispiel indem Sie den Zugriff auf bestimmte Websites einschränken. (Beachten Sie, dass dies in EU-Mitgliedstaaten, in denen das nationale Recht strengere Vorschriften für die Verarbeitung im Arbeitsumfeld vorsieht, nicht möglich ist).

 

Europäische Kommission; BOW; 30.01.2018
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/grounds-processing/when-can-personal-data-be-processed_de

Lehrgang für Betriebliche Datenschutz-Verantwortliche (BDSV) gemäss Schweizer Datenschutzgesetz (DSG).

Erweiterte Grundlagen und Praxiswissen spezifisch für Schweizer Unternehmen. (DSGVO Advanced)

Schulung über die Aufgaben des Datenschutzbeauftragten (DPO). (DSGVO Professional)

Bleiben Sie auf dem Laufenden mit unserem Datenschutz-Update für Datenschutzstellen.

Überblick, Grundlagen und praktische Anwendung des Datenschutzgesetzes der Schweiz.

Grundlagen über die datenschutzrechtlichen Anforderungen gemäss Schweizer Datenschutzgesetz.
Dieser Kurs wird von Digicomp durchgeführt.

Gewährleistung der Vertraulichkeit, Verfügbarkeit und Integrität von Informationen und Daten.

Die 360° Security View: Sicherheit als Ganzes und in Teilbereiche betrachten. Bewerten, planen und umsetzen.

Umfassende Einführung und Good Practice für die Sicherheit in der Cloud (DSG inkl. DSGVO Basic)

Rechte und Pflichten: rechtliche Anforderungen, technische Grundlagen und praktische Umsetzung.

Gefahrensituationen, die von Menschen ausgehen, erkennen. Konflikte analysieren und lösen.

Alles Wichtige zu Informations- und IT-Sicherheit und für den sicheren Umgang mit Ihren Informationen und Daten.

FirmenschulungDEF

Workshop zur Feststellung der Wirksamkeit des Datenschutzes nach DSG & DSGVO in Ihrem Unternehmen.

Firmenschulung DEF

Workshop zur Bestimmung der Konformität & weiteren Schritte zur Konformitätsumsetzung nach DSGVO.

Firmenschulung DEF

Workshop zur Erstellung und Führung eines mit Artikel 30 DSGVO konformen Verarbeitungsverzeichnisses.

Firmenschulung DEF

Workshop zur Erstellung einer mit Artikel 35 DSGVO konformen Datenschutz-Folgenabschätzung (DSFA).

Firmenschulung DEF

Workshop über das Wichtigste zur DSGVO und relevanter Managementsensibilisierung.

Firmenschulung DEF

Grundlagen über Vertraulichkeit, Verfügbarkeit und Integrität von Informationen und Daten.

Krisenmanager: Betriebsnotwendige Prozesse definieren, Krisensituationen identifizieren & Massnahmen einleiten.

Umfassende Grundlagen für die praktische Umsetzung von Evakuationsinstruktionen

Learnings zur optimalen Bewältigung einer Krise. Richten Sie Ihr Augenmerk auf die wirklichen Bedrohungen.

Firmenschulung DEF

Prüfen Sie Ihre Krisenorganisation im Ausnahmezustand. Buchen Sie jetzt Ihr Warm-up mit einer 20-Stunden-Übung.

Firmenschulung DEF

Grundlagen BCM und Krisenmanagement zur optimalen Bewältigung von Ereignissen.
Durchführung von Digicomp

Beweisen Sie Ihre Stärke in einer Notsituation! Buchen Sie jetzt Ihre massgeschneiderte Evakuationsübung.

Firmenschulung DEF

IT-Risiken analysieren und bewerten, IT-Sicherheitsmassnahmen planen, umsetzen und überprüfen.

Vorbereitung zur Erlangung des Zertifikats Certified Information Systems Security Professional (CISSP).

Passen Sie sich an wachsende Risiken an. Digitale Risiken und Gefahren erkennen, bewerten und entsprechend behandeln.

Potenziale zur effektiven Umsetzung des Risikomanagements in der Praxis: Risiken abschätzen und Schäden vermindern.

Praxis-Grundlagen zur Durchführung von Audits nach Auditierleitfäden ISO 19011 und ISO 27007.

Betriebsnotwendige Prozesse definieren, Business Continuity Management System einrichten.

Business Continuity Management System (BCMS) nach ISO 22301 auditieren, mit Prüfungsabschluss.

Risiken abschätzen und senken, Information Security Management System einrichten und betreiben.

Information Security Management System (ISMS) nach ISO 27001 auditieren, mit Prüfungsabschluss.

Haben Sie eine Weiterbildung mit einem Titel gemacht, dessen Aufrechterhaltung eine Weiterbildungspflicht beinhaltet?

Gerne bestätigen wir Ihnen als Ausbildungsinstitut die Anzahl besuchter Stunden an einem unserer Lehrgänge oder Themenkurse.

Diese Bestätigung können Sie bei Ihrer Organisation, die Ihnen den Zertifikatstitel vergeben hat, vorlegen. Diese Organisationen entscheiden frei, ob Sie und wie viele Anzahl CPE Hours oder CPE Credits (continuing professional education) erhalten.

Bitte senden Sie uns die nötigen Angaben zu Ihrem besuchten Swiss Infosec AG-Anlass. Der Weiterbildungsnachweis wird Ihnen nach interner Prüfung zugestellt.

Die Swiss Infosec AG unterstützt Sie auf Ihrem Weg zu mehr Sicherheitskompetenz und steht Ihnen auch gerne beratend zur Seite. Zögern Sie deshalb nicht, uns zu kontaktieren: +41 41 984 12 12, infosec@infosec.ch


Ausbildungsnachweis
Natürlich 100% vertraulich, kostenfrei und unverbindlich!


03/2018

Antwort: Als Unternehmen/Organisation müssen Sie häufig personenbezogene Daten verarbeiten, um Aufgaben im Rahmen Ihrer Geschäftstätigkeit durchzuführen. Die Verarbeitung personenbezogener Daten in diesem Zusammenhang ist nicht notwendigerweise durch eine rechtliche Verpflichtung begründet oder dient der Erfüllung der Bestimmungen eines Vertrags mit einer Person. In solchen Fällen kann die Datenverarbeitung durch 'berechtigte Interessen' gerechtfertigt sein.

 

Ihr Unternehmen/Ihre Organisation muss die betroffenen Personen über die Verarbeitung unterrichten, wenn es/sie deren personenbezogene Daten erhebt.

Ihr Unternehmen/Ihre Organisation muss ebenfalls sicherstellen, dass es/sie mit der Verfolgung seiner/ihrer berechtigten Interessen die Rechte und Freiheiten dieser Personen nicht ernsthaft beeinträchtigt, denn sonst kann Ihr Unternehmen/Ihre Organisation sich zur Begründung der Verarbeitung der Daten nicht auf berechtigte Interessen berufen und muss eine andere Rechtsgrundlage finden.

 

Beispiel: Ihr Unternehmen/Ihre Organisation hat ein berechtigtes Interesse, wenn die Verarbeitung in einem Kundenverhältnis stattfindet, wenn es personenbezogene Daten für Zwecke der Direktwerbung verarbeitet, um Betrug zu verhindern oder die Netzwerk- und Informationssicherheit Ihres IT-Systems sicherzustellen.

 

Europäische Kommission; 28.02.2018; bow

https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/grounds-processing/what-does-grounds-legitimate-interest-mean_de

 

03/2018

Antwort: Wenn eine Einwilligung zur Verarbeitung personenbezogener Daten erforderlich ist, müssen die folgenden Bedingungen erfüllt sein, damit diese Einwilligung Gültigkeit besitzt:

  • sie muss freiwillig erfolgen;
  • sie muss in informierter Weise geschehen;
  • sie muss für einen bestimmten Zweck gegeben werden;
  • auf alle Gründe für die Verarbeitung muss unmissverständlich hingewiesen werden;
  • sie muss ausdrücklich sein und durch eine bestätigende Handlung erfolgen (zum Beispiel ein elektronisches Kontrollkästchen, das die Person online ausdrücklich bestätigen muss, oder eine Unterschrift auf einem Formular);
  • sie nutzt eine klare und einfache Sprache und ist eindeutig wahrnehmbar;
  • es ist möglich, die Einwilligung zu widerrufen, und diese Möglichkeit wird erklärt (zum Beispiel ein Abmeldelink am Ende eines per E-Mail empfangenen Newsletters).

 

Damit die Einwilligung als freiwillig gilt, muss die Person die freie Wahl haben und in der Lage sein, die Einwilligung zu verweigern oder zurückzuziehen, ohne dadurch Nachteile zu erleiden. Die Einwilligung erfolgt nicht freiwillig, wenn zum Beispiel ein klares Ungleichgewicht zwischen der Person und dem Unternehmen/der Organisation besteht (zum Beispiel Beziehung zwischen Arbeitgeber und Arbeitnehmer) oder wenn ein Unternehmen/eine Organisation Personen als Bedingung für die Erfüllung eines Vertrags oder einer Dienstleistung zur Einwilligung in die Verarbeitung nicht erforderlicher personenbezogener Daten auffordert.

 

Die Einwilligung gilt als in informierter Weise gegeben, wenn die Person zumindest folgende Informationen erhält:

  • die Identität der für die Datenverarbeitung verantwortlichen Organisation;
  • die Zwecke der Datenverarbeitung;
  • die Art der verarbeiteten Daten;
  • die Möglichkeit, die Einwilligung zu widerrufen (zum Beispiel ein Abmeldelink am Ende einer E-Mail);
  • falls zutreffend, die Absicht, die Daten ausschliesslich für eine automatisierte Entscheidungsfindung einschliesslich Profiling zu verwenden;
  • wenn die Einwilligung sich auf eine internationale Datenübermittlung bezieht, die möglichen Risiken von Datenübermittlungen in Drittländer die nicht Gegenstand eines Angemessenheitsbeschlusses der Kommission sind und in denen keine angemessene Garantien bestehen.

 

Beachten Sie:

Wenn eine Person der Verarbeitung ihrer personenbezogenen Daten zustimmt, können Sie die Daten nur für jene Zwecke verarbeiten, zu denen die Einwilligung erfolgt ist.

 

Beispiele: Freiwillige Einwilligung

Sie sind eine Fluggesellschaft und in Ihrer Datenschutzerklärung ist angegeben, dass personenbezogene Daten von Kunden für ein von Ihrem Unternehmen organisiertes Gewinnspiel verarbeitet werden können, bei dem ein kostenloser Flug zu gewinnen ist. Kunden, die das Kontrollkästchen aktiviert haben, um der Teilnahme am Gewinnspiel zuzustimmen, haben sich somit eindeutig einverstanden erklärt, ihre personenbezogenen Daten zum Zwecke des Gewinnspiels verarbeiten zu lassen. Die Einwilligung erfolgt zur Datenverarbeitung für die Zwecke des Gewinnspiels, jedoch nicht zu anderen Zwecken.

 

Nicht freiwillige Einwilligung
Ihr Unternehmen/Ihre Organisation bietet Filmdienste im Internet an. Bei der Erhebung der Daten für diesen Vertrag erfragen Sie auch zusätzliche Daten wie die sexuelle Orientierung und die politische Einstellung einer Person. Diese Person könnte der Auffassung sein, dass ihre Einwilligung in die Verarbeitung dieser Art von Daten für den Zugang zu den gewünschten Filmen erforderlich ist. Die Einwilligung erfolgt hier nicht freiwillig, sondern es handelt sich um eine 'gebundene Einwilligung'.

 

Europäische Kommission; 28.02.2018; bow
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/grounds-processing/when-consent-valid_de

 

03/2018

Antwort: Der Widerruf der Einwilligung muss so einfach wie die Erteilung sein. Wird die Einwilligung zurückgezogen, darf Ihr Unternehmen/Ihre Organisation die Daten nicht mehr verarbeiten. Sobald die Einwilligung widerrufen wurde, muss Ihr Unternehmen/Ihre Organisation sicherstellen, dass die Daten gelöscht werden, sofern keine anderweitige Rechtsgrundlage für die Verarbeitung (zum Beispiel Speicherpflichten oder Notwendigkeit zur Vertragserfüllung) besteht.

Wurden die Daten für mehrere Zwecke verarbeitet, dürfen die personenbezogenen Daten für den Teil der Verarbeitung nicht mehr genutzt werden, für den die Einwilligung widerrufen wurde bzw. für keine Zwecke, je nachdem, welcher Art der Widerruf der Einwilligung war.

 

Beispiel: Sie versenden einen Online-Newsletter. Ihr Kunde erteilt seine Einwilligung zur Registrierung für den Online-Newsletter, der es Ihnen erlaubt, alle Daten zu seinen Interessen zu verarbeiten, um ein Profil darüber zu erstellen, an welchen Artikeln er Interesse zeigt. Ein Jahr später teilt er Ihnen mit, dass er den Online-Newsletter nicht mehr erhalten möchte. Sie müssen sämtliche personenbezogenen Daten über diese Person aus Ihrer Datenbank löschen, die im Zusammenhang mit der Registrierung für den Newsletter erhoben wurden, einschliesslich der Profile zu dieser Person.

 

Europäische Kommission; 28.02.2018; bow

https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/grounds-processing/what-if-somebody-withdraws-their-consent_de

03/2018

Antwort: Die folgenden personenbezogenen Daten gelten als 'sensibel' und unterliegen besonderen Verarbeitungsbedingungen:

  • personenbezogene Daten, aus denen rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen einer Person hervorgehen;
  • Gewerkschaftszugehörigkeit;
  • genetische Daten, biometrische Daten, die ausschliesslich zur eindeutigen Identifizierung einer natürlichen Person verarbeitet werden;
  • Gesundheitsdaten;
  • Daten zum Sexualleben oder zur sexuellen Orientierung einer Person.

 

Europäische Kommission; 28.02.2018; bow

https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/sensitive-data/what-personal-data-considered-sensitive_de

03/2018

Antwort: Ihr Unternehmen/Ihre Organisation darf nur dann sensible Daten verarbeiten, wenn eine der nachstehend aufgeführten Bedingungen erfüllt ist:

  • die ausdrückliche Einwilligung der Person wurde eingeholt (ein Gesetz kann diese Möglichkeit in bestimmten Fällen ausschliessen);
  • das EU- oder nationale Recht oder eine Kollektivvereinbarung verpflichtet Ihr Unternehmen/Ihre Organisation, diese Daten zu verarbeiten, um die ihm/ihr und der betroffenen Person aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte auszuüben bzw. den diesbezüglichen Pflichten nachzukommen;
  • die lebenswichtigen Interessen der Person bzw. einer Person, die aus körperlichen oder rechtlichen Gründen ausserstande ist, ihre Einwilligung zu geben, sind gefährdet;
  • Sie sind eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht, die Daten ihrer Mitglieder oder anderer Personen verarbeitet, die regelmässige Kontakte mit der Organisation unterhalten;
  • die personenbezogenen Daten wurden von der Person offensichtlich öffentlich gemacht;
  • die Daten werden zur Feststellung, Geltendmachung oder Verteidigung von Rechtsansprüchen benötigt;
  • die Daten werden aus Gründen eines erheblichen öffentlichen Interesses auf der Grundlage des EU- oder nationalen Rechts verarbeitet;
  • die Daten werden für die Zwecke der Gesundheitsvorsorge oder Arbeitsmedizin, der Beurteilung der Arbeitsfähigkeit des Beschäftigten, medizinischer Diagnostik, der Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder der Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des EU- oder nationalen Rechts oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs verarbeitet;
  • die Daten werden aus Gründen eines öffentlichen Interesses im Bereich der öffentlichen Gesundheit auf der Grundlage des EU- oder nationalen Rechts verarbeitet;
  • die Daten werden für Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke auf der Grundlage des EU- oder nationalen Rechts verarbeitet.

Für die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten können im nationalen Recht weitere Bedingungen auferlegt werden. Fragen Sie bei Ihrer nationalen Datenschutzbehörde nach.

 

Beispiel:

Sie dürfen sensible Daten verarbeiten
Ein Arzt empfängt eine Reihe Patienten in seiner Klinik. Er registriert die Besuche in einer Datenbank, in der Felder wie Name/Vorname des Patienten, Beschreibung der Symptome und verschriebene Medikamente aufgeführt sind. Hierbei handelt es sich um sensible Daten. Die Verarbeitung von Gesundheitsdaten durch die Klinik ist im Rahmen der Datenschutzverordnung erlaubt, da sie für die Behandlung der Person erforderlich ist und im Verantwortungsbereich eines Arztes liegt, der einer beruflichen Geheimhaltungspflicht unterliegt.

 

Sie dürfen sensible Daten nicht verarbeiten
Ihr Unternehmen vertreibt Kleidung über das Internet. Sie fragen zur Anpassung Ihrer Dienstleistung an den Kunden nach Angaben zur Grösse, bevorzugten Farbe, Zahlungsmethode, zum Namen und zur Adresse, um das Produkt liefern zu können. Darüber hinaus fragt Ihr Unternehmen nach den politischen Ansichten seiner Kunden. Sie benötigen die meisten dieser Informationen, um Ihre vertraglichen Pflichten zu erfüllen. Die politischen Ansichten Ihrer Kunden werden jedoch zur Herstellung und Lieferung der Kleidungsstücke nicht benötigt. Diese Informationen dürfen Sie im Rahmen dieses Vertragsverhältnisses nicht erfragen.

 

Europäische Kommission; 28.02.2018; bow

https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/sensitive-data/under-what-conditions-can-my-company-organisation-process-sensitive-data_de

 

03/2018

Antwort: Der Verantwortliche entscheidet über die Zwecke und die Mittel der Verarbeitung personenbezogener Daten. Wenn Ihr Unternehmen/Ihre Organisation also entscheidet, „wofür“ und „wie“ die personenbezogenen Daten verarbeitet werden sollen, ist es/sie der Verantwortliche. Mitarbeiter, die innerhalb Ihrer Organisation personenbezogene Daten verarbeiten, tun dies, um Ihre Aufgabe als Verantwortlicher wahrzunehmen.

 

Ihr Unternehmen/Ihre Organisation ist ein gemeinsam Verantwortlicher, wenn es/sie gemeinsam mit einer oder mehreren Organisationen festlegt, „wofür“ und „wie“ personenbezogene Daten verarbeitet werden sollen. Gemeinsam Verantwortliche gehen eine Vereinbarung ein, in der festgelegt wird, wer von ihnen welche Verpflichtungen gemäss den Vorschriften der Datenschutz-Grundverordnung erfüllt. Die wesentlichen Punkte der Vereinbarung müssen den Personen mitgeteilt werden, deren Daten verarbeitet werden.

 

Der Auftragsverarbeiter verarbeitet ausschliesslich im Auftrag des Verantwortlichen personenbezogene Daten. Der Auftragsverarbeiter ist in der Regel ein Dritter ausserhalb des Unternehmens. Bei Unternehmensgruppen kann jedoch ein Unternehmen als Auftragsverarbeiter für ein anderes fungieren.

 

Die Pflichten des Auftragsverarbeiters gegenüber dem Verantwortlichen werden in einem Vertrag oder sonstigen Rechtsakt festgehalten. Der Vertrag muss unter anderem Angaben dazu machen, was mit den personenbezogenen Daten geschieht, sobald er ausgelaufen ist. Eine übliche Tätigkeit von Auftragsverarbeitern ist die Bereitstellung von IT-Lösungen einschliesslich Speicherung in einer Cloud. Der Auftragsverarbeiter darf nur einen Teil seiner Aufgabe per Unterauftrag an einen anderen Auftragsverarbeiter vergeben oder einen gemeinsamen Auftragsverarbeiter ernennen, wenn er die vorherige schriftliche Einwilligung des Verantwortlichen erhalten hat.

In gewissen Situationen kann eine Einrichtung Verantwortlicher, Auftragsverarbeiter oder beides sein.

 

Beispiele:

Verantwortlicher und Auftragsverarbeiter
Eine Brauerei hat viele Mitarbeiter. Sie unterzeichnet einen Vertrag mit einem Lohnabrechnungsunternehmen, damit dieses die Abrechnung der Gehälter übernimmt. Die Brauerei unterrichtet das Lohnabrechnungsunternehmen, wann die Gehälter gezahlt werden sollen, wenn ein Mitarbeiter das Unternehmen verlässt oder eine Lohnerhöhung erhält, und stellt alle weiteren Informationen zur Gehaltsabrechnung und Bezahlung zur Verfügung. Das Lohnabrechnungsunternehmen stellt das IT-System und speichert die Mitarbeiterdaten. Die Brauerei ist der Verantwortliche und das Lohnabrechnungsunternehmen der Auftragsverarbeiter.

 

Gemeinsam Verantwortliche
Ihr Unternehmen/Ihre Organisation bietet über eine Internetplattform Kinderbetreuungsdienste an. Gleichzeitig hat Ihr Unternehmen/Ihre Organisation einen Vertrag mit einem anderen Unternehmen, der es Ihnen ermöglicht, Zusatzleistungen anzubieten. Diese Zusatzleistungen beinhalten die Möglichkeit, dass Eltern nicht nur den Kinderbetreuer auswählen, sondern auch Spiele und DVDs ausleihen, die der Kinderbetreuer mitbringt. Beide Unternehmen sind an der technischen Einrichtung der Website beteiligt. In diesem Fall haben die beiden Unternehmen sich dazu entscheiden, die Plattform für beide Zwecke zu nutzen (Kinderbetreuungsdienste und Verleih von DVDs/Spielen), und übermitteln sehr häufig Kundennamen. Die beiden Unternehmen sind daher gemeinsam Verantwortliche, da sie nicht nur vereinbart haben, die Möglichkeit „kombinierter Dienstleistungen“ anzubieten, sondern auch am Design einer gemeinsamen Plattform arbeiten und diese nutzen.

 

Europäische Kommission; 28.02.2018; bow

https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/obligations/controller-processor/what-data-controller-or-data-processor_de

 

03/2018

Antwort: Jemand anders (eine natürliche oder juristische Person oder sonstige Stelle) darf personenbezogene Daten in Ihrem Auftrag verarbeiten, sofern ein Vertrag oder sonstiger Rechtsakt dies vorsieht. Es ist wichtig, dass der von Ihnen ernannte Auftragsverarbeiter hinreichende Garantien dafür bietet, dass geeignete technische und organisatorische Massnahmen getroffen werden, die den Anforderungen der Datenschutz-Grundverordnung genügen und den Schutz der Rechte von Personen gewährleisten.

 

Der ernannte Auftragsverarbeiter kann ohne Ihre vorherige, gesonderte oder allgemeine schriftliche Genehmigung keinen weiteren Auftragsverarbeiter in Anspruch nehmen. Der Vertrag oder Rechtsakt zwischen Ihrem Unternehmen/Ihrer Organisation und dem Auftragsverarbeiter sollte unter anderem die folgenden Elemente umfassen:

  • die personenbezogenen Daten werden nur auf dokumentierte Weisung des Verantwortlichen verarbeitet;
  • der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
  • der Auftragsverarbeiter bietet ein vom Verantwortlichen festgelegtes Mindestschutzniveau;
  • der Auftragsverarbeiter unterstützt Sie bei der Gewährleistung der Einhaltung der Datenschutz-Grundverordnung.

 

Beispiele:

Ein Bauunternehmen nutzt einen Unterauftragnehmer für bestimmte Bauarbeiten und stellt diesem die Kontaktdaten der Kunden zur Verfügung, bei denen die Bauarbeiten stattfinden. Der Unterauftragnehmer verarbeitet die Daten weiter, um den Kunden Werbematerial zu schicken. Der Unterauftragnehmer gilt hier nicht nur als „Auftragsverarbeiter“ gemäss der Datenschutz-Grundverordnung, da er die personenbezogenen Daten nicht ausschliesslich im Auftrag des Bauunternehmens verarbeitet, sondern auch für eigene Zwecke weiterverarbeitet. Der Unterauftragnehmer handelt daher als „Verantwortlicher“.

 

Sie sind ein Einzelhandelsunternehmen, das sich dazu entschliesst, eine Sicherungsdatei seiner Kundendatenbank auf einem Cloud-Server zu speichern. Zu diesem Zweck gehen Sie einen Vertrag mit einem Cloud-Anbieter ein, der für seine Datenschutzstandards bekannt ist und zusätzlich über ein zertifiziertes System zur Verschlüsselung von Daten verfügt. Der Cloud-Anbieter ist Ihr Auftragsverarbeiter, da er durch die Speicherung der personenbezogenen Daten Ihrer Kunden auf seinen Servern in Ihrem Auftrag personenbezogene Daten verarbeitet.

 

Europäische Kommission; 28.02.2018; bow

https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/obligations/controller-processor/can-someone-else-process-data-my-organisations-behalf_de

 

03/2018

Antwort: Die Datenschutz-Grundverordnung beruht auf einem risikobasierten Ansatz. Dies bedeutet, dass Unternehmen/Organisationen, die personenbezogene Daten verarbeiten, dazu angehalten sind, entsprechend der Risikostufe ihrer Verarbeitungstätigkeiten Schutzmassnahmen einzuführen. Die Pflichten eines Unternehmens, das viele Daten verarbeitet, sind daher umfangreicher als jene für ein Unternehmen, das nur wenige Daten verarbeitet.

 

Die Wahrscheinlichkeit, dass ein Unternehmen/eine Organisation, das/die viele Daten verarbeitet, einen Datenschutzbeauftragten einstellen muss, ist zum Beispiel höher als bei einem Unternehmen/einer Organisation, das/die wenige Daten verarbeitet (dies korrespondiert in diesem Fall mit dem Begriff der Verarbeitung personenbezogener Daten „in grossem Umfang“). Die Art der personenbezogenen Daten und die Auswirkungen der beabsichtigten Verarbeitung spielen ebenfalls eine Rolle. Die Verarbeitung weniger, jedoch sensibler Daten (zum Beispiel Gesundheitsdaten) erfordert die Umsetzung strengerer Massnahmen, um die Datenschutz-Grundverordnung einzuhalten.

In jedem Fall müssen die Grundsätze des Datenschutzes eingehalten werden, und es muss Personen ermöglicht werden, ihre Rechte wahrzunehmen.

 

Europäische Kommission; 28.02.2018; bow

https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/obligations/risk-based-approach/are-obligations-same-regardless-amount-data-my-company-organisation-handles_de

 

Hinweis zur Verwendung von Cookies
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung
OK