Tag: integrale sicherheit

02/2019

Der Mittelstand auf dem digitalen Prüfstand: In puncto Digitalisierung ist beim Deutschen Mittelstand noch viel Luft nach oben. Das größte Hindernis auf dem Weg zu einer stärkeren Digitalisierung ist das fehlende Know-how rund um die IT-Sicherheit. Doch gerade sichere IT-Systeme sind die Voraussetzung dafür, dass kleine und mittelständische Unternehmen die Chancen der Digitalisierung stärker nutzen können. Um für die digitalen Herausforderungen der Zukunft gerüstet zu sein, müssen Geschäftsführer mittelständischer Unternehmen die Themen Digitalisierung, IT-Sicherheit und Datenschutz in den Fokus ihres geschäftlichen Handelns rücken.

 

Autor: Jan Bindig

ISBN-10: 3959721749

02/2019

Straf-, Datenschutz- und Zivilrecht: Das essential fasst den aktuellen Stand der rechtlichen Herausforderungen der Blockchain-Technologie anhand von Beispielen kurz und prägnant zusammen. Als branchen-revolutionierende Technologie stellt die Blockchain das Recht vor besondere Herausforderungen. Die Pseudonymität der Blockchain-Teilnehmer und die Unveränderbarkeit von in der Blockchain gespeicherten Daten scheinen im Konflikt mit wesentlichen Grundgedanken des Datenschutzrechts zu stehen. Auch die Frage nach der national anzuwendenden Rechtsordnung, der gerichtlichen Zuständigkeit und der Beweiskraft von Blockchain-Transaktionen werfen spannende Fragen auf. Die Autoren erörtern Aspekte des Straf- und Zivilrechts und zeigen Lösungsansätze auf.

 

Autoren: Cathrin Hein, Wanja Wellbrock, Christoph Hein

ISBN-10: 3658249307

03/2019

Die alte Platitüde: 100% Sicherheit gibt es nicht

 

Die USA sind im Moment sicherlich in mancher Hinsicht eine gespaltene Nation, aber die Sorge um die Cyber-Sicherheit als Bedrohung für eine Mehrheit der US-Unternehmen gehört nicht dazu. Darin sind sich alle einig.

Die Mehrheit der Teilnehmer einer kürzlich von FICO durchgeführten Umfrage versteht und erkennt das Risiko von Datenschutzverletzungen und erwartet, dass sie zunehmen, glaubt aber auch, dass sie besser vorbereitet ist als ihre Mitbewerber. FICO, ursprünglich Fair, Isaac & Co., ist ein Datenanalyse-Unternehmen mit Sitz in San Jose, Kalifornien, das sich auf Dienstleistungen im Bereich Credit-Scoring spezialisiert hat.

Doch in einer Welt, in der intelligente Unternehmen wie Facebook, Yahoo und Target Opfer von Hackern werden können, wie vorbereitet können sie sein? Fünfhundert Führungskräfte, meist IT-Manager, nahmen an der Studie teil, die von Ovum durchgeführt wurde.

 

Punkt Nr. 1: Unternehmen sind sich bewusst, dass Cyber-Sicherheitsbedrohungen bestehen.

Zwei Drittel (63 Prozent) der Befragten gaben an, dass sie erwarten, dass das Gesamtniveau der Cyber-Bedrohungen und Datenverstösse im Laufe des kommenden Jahres zunehmen wird. Dreiunddreissig Prozent berichteten über einen Anstieg der Cyber-Sicherheitsangriffe, und 57 Prozent berichteten über das gleiche Volumen wie im Vorjahr - damals gaben 61 Prozent der Unternehmen bereits an, eine erhöhte Anzahl von Cyber-Sicherheitsangriffen zu verzeichnen

 

Punkt 2: Auf Cyber-Sicherheitsbedrohungen vorbereitet

Mehr als zwei Drittel (68 Prozent) der Befragten schätzten ihre Cybersicherheitsabwehr als überdurchschnittlich (31 Prozent) oder als eine der besten ihrer Branche (37 Prozent) ein; 93 Prozent glauben, dass das Top-Management ihres Unternehmens ausreichend darauf bedacht war, Verstösse zu verhindern; und 57 Prozent erwarten, dass eine Bewertung ihrer Cybersicherheitsabwehr in einem Jahr zu dem Schluss kommt, dass sich ihre Einsatzbereitschaft verbessert hat.

 

Punkt 3: Strategien zur Risikoeinschätzung eingesetzt

Ein Grund für das Vertrauen der Befragten ist vielleicht die Bandbreite der von ihnen eingesetzten Strategien zur Risikobewertung: Siebenunddreissig Prozent berichteten über die Verwendung von Software, die das Risiko einer Datenschutzverletzung misst, 27 Prozent berichteten über die Durchführung einer Risikobewertung durch eine externe Agentur und nur 13 Prozent verfügten überhaupt nicht über eine Strategie zur Risikobewertung.

 

Punkt 4: Kaum konkrete Cyber Defence-Pläne

Bei den konkreten Methoden zum Schutz der Unternehmensdaten hatten jedoch nur 29 Prozent der Befragten einen getesteten Reaktionsplan für Datenschutzverletzungen; 23 Prozent hatten einen Vorstandsmitglied, der für Cybersicherheit zuständig war; 23 Prozent hatten einen laufenden Überwachungs-, Bewertungs- und Berichtsdienst für Cybersicherheitsrisiken; und 25 Prozent hatten Berichtsstrategien und -mechanismen auf Vorstandsebene, um den Sicherheitsstatus ihrer Organisation hervorzuheben.

 

Punkt 5: Mit solchen Freunden …

Studien zeigen, dass mehr als die Hälfte der Datenschutzverletzungen innerhalb der Lieferkette eingeleitet werden, aber nur 31 Prozent der Befragten berichteten, dass sie regelmässig das Cybersicherheitsrisiko ihrer Partner mit ihrem eigenen vergleichen. Obwohl es mittlerweile üblich ist, dass die Cyber-Risikobewertung Teil des Beschaffungsprozesses ist, führen nur wenige Unternehmen mehr als eine periodische Risikobewertung durch, und 28 Prozent geben zu, eine erste Bewertung überhaupt nicht zu aktualisieren.

 

Punkt 6: Versichert – so irgendwie

Sechsundsiebzig Prozent der US-Organisationen berichten heute über eine Cyber-Risikoversicherung, aber nur 32 Prozent haben eine umfassende Versicherung. Am unwahrscheinlichsten war die Cyber-Risikoversicherung im Gesundheitswesen, wo derzeit nur 30 Prozent versichert sind, während weitere 40 Prozent planen, im kommenden Jahr eine Versicherung abzuschliessen. Viele US-Organisationen (73 Prozent) glauben nicht, dass ihre Prämien auf einer genauen Bewertung ihres Risikoprofils basieren. Die meisten Unternehmen (33 Prozent) sagen, dass ihre Prämien auf Durchschnittswerten ihrer Branche basieren.

 

Punkt 7: Das interne Risiko

Als wir nach der Bedrohung durch diejenigen fragten, die Zugang zu Systemen und Netzwerken hatten, wird das interne Risiko - von ihren eigenen Mitarbeitern - als viel höher wahrgenommen als das Risiko von externen IT-Anbietern und Drittanbietern - 81 Prozent gegenüber 15 Prozent bzw. 4 Prozent. Die Mehrheit der Befragten ist in leitenden IT-Positionen tätig, so dass es interessant ist, dass die grösste Anzahl der Befragten, 55 Prozent, die grösste Bedrohung als von ihrem eigenen Unternehmen ausgehend erachten.

 

Punkt 8: Wir haben sie gut erzogen

Obwohl sie einen grossen Teil ihres Cybersicherheitsrisikos als intern betrachten, glauben 85 Prozent der Befragten, dass ihre Mitarbeiter über ausreichende Kenntnisse verfügen, um Verstösse zu verhindern. Es scheint, dass Bildung und Wissen nicht das gewünschte Verhalten bewirken.

 

Punkt 9: Jede Industrie für sich

Es ist anzumerken, dass bei der Aufteilung der Antworten nach Sektoren ein hohes Mass an Divergenz bestand. Nur 39 Prozent der Befragten mit Telekommunikationsbezug erwarten einen Anstieg der Angriffsraten, verglichen mit 80 Prozent bei Finanzdienstleistungen sowie Einzelhandel und E-Commerce. Dies könnte ein Spiegelbild dafür sein, dass sich das Volumen der Angriffe in den USA nach einer Phase erheblichen Wachstums zu stabilisieren beginnt - oder dass Cyberkriminelle ihre Angriffe auf bestimmte Arten von Organisationen richten, vielleicht diejenigen, die sie als diejenigen wahrnehmen, die die schwächste Verteidigung haben.

 

Eweek.com; Chris Preimesberger; 31.1.2019

https://www.eweek.com/security/why-u.s.-firms-are-less-cyber-secure-than-they-think

03/2019

US-Gericht: Finger weg von den Fingern! Können Behörden Menschen zwingen?

 

Behörden können Menschen nicht zwingen, ihre biometrisch gesicherten Telefone oder andere Geräte freizuschalten, entschied eine Bundesrichterin in Kalifornien am Donnerstag. "Die Regierung darf Finger, Daumen, Gesichtserkennung, Optik/Iris oder andere biometrische Merkmale nicht erzwingen oder anderweitig verwenden, um elektronische Geräte freizuschalten", schrieb Richterin Kandis A. Westmore in einer Stellungnahme für das U.S. District Court for Northern California. Ein Versuch der Strafverfolgungsbehörden in Oakland, Kalifornien, zwei mutmassliche Erpresser zu zwingen, ihre Mobiltelefone mit biometrischen Daten zu entsperren, verletzte den Schutz vor Selbstbelastung durch den Fünften Zusatz, fand Westmore

Bindend für den Supreme Court?

Obwohl Westmores Meinung nicht das Gewicht einer höheren Gerichtsentscheidung hat, könnte sie sehr einflussreich sein. "Beklagte und potenzielle Beklagte werden sich darauf berufen", sagte Kay, "und andere Gerichte werden sich auf ihre Argumente berufen." In den meisten Fällen hat die Frage der Passwörter und der Freischaltung elektronischer Geräte die unteren Bundesgerichte und Staatsgerichte umgetrieben - aber das könnte sich ändern.

"Wie die Richterin in diesem Fall anerkennt, gab es andere Entscheidungen über die obligatorische Offenlegung von Passwörtern, und diese Entscheidung steht im Einklang mit vielen früheren Urteilen", so EPIC. "Dieses Problem tritt jedoch jedes Jahr häufiger auf, da mobile Geräte mit biometrischen Schlössern weit verbreitet sind", so EPIC weiter. "Also würde ich erwarten, dass die Berufungsgerichte - und schliesslich der Oberste Gerichtshof der USA - in naher Zukunft darüber nachdenken werden."

Gesetzgeberische Trägheit

Der Grund, warum die Gerichte eine aggressive Haltung zum Datenschutz bei elektronischen Geräten einnehmen mussten, ist, dass der Gesetzgeber es versäumt hat, das Problem anzugehen. "Unser Rechtssystem hält nicht mit der Geschwindigkeit des technologischen Wandels Schritt", sagte French Caldwell, CFO des Analyst Syndicate, einer IT-Forschungs- und Analysegruppe mit Sitz in Washington, D.C. "Die Gerichte sagen: "Wir können nicht darauf warten, dass der Gesetzgeber dies alles regelt", also werden sie in die Lage gezwungen, neues Recht zu schaffen, weil es kein Gesetz dazu gibt", sagte er TechNewsWorld.

Die Ausgabe wird schliesslich vor dem Obersten Gerichtshof landen, sagte Caldwell, und "es wird lange dauern, bis es an den Obersten Gerichtshof kommt, was dem Gesetzgeber Zeit zum Handeln gibt". Abgesehen vom Schutz der Bürgerrechte könnte es eine Sicherheitslektion geben, die aus der Entscheidung von Westmore zu lernen ist.

"Biometrische Authentifizierung ist nur eine Ebene in der mehrstufigen Authentifizierung", sagt Drinker Biddle's Kay. "Die Technologie sollte mit einem Passcode verwendet werden. Er sollte verwendet werden, um sicherzustellen, dass die Person, die den Passcode eingibt, die Person ist, die den Passcode eingeben soll." 

 

Technewsworld.com; John P. Mello Jr.; 16.01.2019

https://www.technewsworld.com/story/85791.html

03/2019

DSGVO-relevant, sehr vermutlich auch für das kommende DSG

 

Die Kommunikation über WhatsApp ist nicht nur bei Privatpersonen sehr weit verbreitet. Auch die Nutzung durch Unternehmen zur internen Kommunikation sowie zur externen Kommunikation mit Kunden und Geschäftspartnern nimmt zu. Seit Anfang des Jahres 2018 wird in Deutschland auch die Version WhatsApp Business in den App-Stores angeboten.

Diese weist gegenüber der herkömmlichen App zusätzliche Funktionen auf, es sind allerdings keine datenschutzrechtlich relevanten Unterschiede zur herkömmlichen App-Version bekannt. Vermehrt bieten zum Beispiel niedersächsische Apotheken einen Service an, bei dem Kunden rezeptpflichtige Arzneimittel über WhatsApp bestellen können. Die Apotheken bieten ihren Kunden die Möglichkeit, eine Fotografie eines Rezeptes über WhatsApp an eine Mobilfunknummer der Apotheke zu versenden. Die LfD Niedersachsen hat bereits mehrfach öffentlich betont, dass der Einsatz von WhatsApp durch Unternehmen zur betrieblichen Kommunikation gegen die Datenschutz-Grundverordnung (DSGVO) verstösst. WhatsApp ist ein Messenger, der von der WhatsApp Inc. mit Sitz in Kalifornien betrieben wird. Die Nutzer registrieren sich bei dem Dienst mit ihrer Mobilfunknummer. Anschliessend wird regelmässig das Adressbuch der Nutzer ausgelesen und es werden mindestens Namen und Mobilfunknummern an die Server von WhatsApp übermittelt. Dieser Adressbuchabgleich wird unter anderem dazu genutzt, den Nutzern anzuzeigen, welche ihrer Kontakte ebenfalls WhatsApp nutzen.

Der Abgleich wird in regelmässigen Abständen wiederholt, so das auch bei neu aufgenommenen Kontakten geprüft wird, ob sie bereits WhatsApp-Kunden sind. Dabei werden immer auch die Daten von Personen an WhatsApp übermittelt, die WhatsApp nicht nutzen. WhatsApp verlangt von seinen Nutzern, dass sie für die Rechtmässigkeit der Übermittlung an WhatsApp garantieren. Zugleich legt WhatsApp in seiner Datenschutzrichtlinie dar, dass sie Daten nutzen, um Unternehmen zu helfen, „die Effektivität und Verbreitung ihrer Dienste und Nachrichten zu messen und Aufschluss darüber zu erlangen, wie die Menschen mit ihnen auf unseren Diensten interagieren“ und „Erkenntnisse über ihre Kunden zu erlangen und ihre Geschäfte zu verbessern, unsere Preismodelle zu validieren, die Effektivität und Verbreitung ihrer Dienste und Nachrichten zu bewerten und Aufschluss darüber zu erlangen, wie die Menschen mit ihnen auf unseren Diensten interagieren.“ Ausweislich seiner Datenschutzrichtlinie behält sich WhatsApp eine umfassende Verwendung von ihnen vorliegenden Informationen vor, zum Beispiel für „Messungen, Analysen und sonstige Unternehmens-Dienste“. Darüber hinaus teilt WhatsApp grundsätzlich Informationen mit anderen Facebook-Unternehmen.

WhatsApp verfügt über eine Ende-zu-Ende-Verschlüsselung, sodass eine Kenntnisnahme der übermittelten Inhalte während des Übermittlungsvorgangs nur durch die Kommunikationspartner möglich ist. Es ist WhatsApp aber weiterhin möglich, zu erfassen, wer mit wem und wie oft (sogenannten Metadaten) kommuniziert.

Es ergeben sich im Wesentlichen vier datenschutzrechtliche Problemstellungen:

  1. Die Übermittlung der Kontakte aus dem Adressbuch des Nutzers an WhatsApp.

  2. Die Übermittlung von personenbezogenen Daten in die USA.

  3. Die Nutzung von personenbezogenen Daten durch WhatsApp.

  4. Die Übermittlung der Nutzerdaten an andere Unternehmen des Facebook-Konzerns. Die Rechtmässigkeit des Einsatzes von WhatsApp durch Unternehmen richtet sich nach der DSGVO. Die Übermittlung von Kontaktdaten aus dem Adressbuch an WhatsApp ist regelmässig unzulässig. Die Verantwortlichkeit für die Übermittlung von Adressbuchdaten an WhatsApp liegt bei dem jeweiligen Unternehmen, welches WhatsApp zur Kommunikation nutzt. Nach Art. 6 Abs. 1 DSGVO bedarf es für eine solche Übermittlung einer Rechtsgrundlage oder Einwilligung. Bezogen auf die Kontaktdaten von Personen, die bereits Nutzer des WhatsApp-Dienstes sind, kommt für nicht öffentliche Stellen Art. 6 Abs. 1 Buchstabe f DSGVO in Betracht.

Ein berechtigtes Interesse des Nutzers von WhatsApp für die Übermittlung der Kontaktdaten kann allenfalls in Bezug auf die bereits registrierten Nutzer des Messenger-Dienstes unterstellt werden. Selbst wenn man ein berechtigtes Interesse für die Übermittlung von Kontaktdaten an WhatsApp bejaht, wird eine Interessenabwägung zumindest dann nicht zugunsten einer Übermittlung ausgehen, wenn auch Kontaktdaten von solchen betroffenen Personen übermittelt werden, die nicht WhatsApp nutzen. So benutzen viele Betroffene gar keinen oder einen anderen Instant-Messenger-Dienst. Die Kontaktdaten dieser Personen können daher nur mit einer wirksamen Einwilligung gemäss Art. 6 Abs. 1 Buchstabe a in Verbindung mit Art. 7 und 8 DSGVO übermittelt werden. Diese wird regelmässig für die Übermittlung von Daten aus dem Adressbuch des Smartphones nicht vorliegen. Die Einholung einer Einwilligung von den betroffenen Personen ist zwar denkbar, wird aber regelmässig praktisch nicht durchführbar sein.

Verweigert nur eine Person, deren Daten im Adressbuch gespeichert sind, die Einwilligung, ist eine Übermittlung des Adressbuchs zudem nicht mehr auf der Grundlage von Einwilligungen möglich, es sei denn, der nicht einwilligende Kontakt wird zuvor aus dem Adressbuch gelöscht. Für die Funktionsfähigkeit sind diese Übermittlung an WhatsApp und der vollständige Datenabgleich aller im Adressbuch gespeicherten Kontaktdaten nicht zwingend. Dies belegen zahlreiche andere Messenger-Dienste mit alternativen Möglichkeiten der Kontaktaufnahme mit anderen Nutzern desselben Messenger-Dienstes, wie zum Beispiel über einen QR-Code. Sofern andere Messenger-Dienste das gleiche Abgleichverfahren wie WhatsApp vornehmen, löschen zumindest einige nach eigenen Angaben die nicht registrierten Kontakte unmittelbar nach dem Negativabgleich. Es ist aber erstens denkbar, dass ein Smartphone mit einem leeren Adressbuch verwendet wird. Zweitens ist es möglich, durch Einstellungen zum Beispiel in dem Android-Betriebssystem von Smartphones ab der Version 6.0 den Zugriff auf die Kontakte durch die WhatsApp-Anwendung auszuschliessen.

Insbesondere bei dieser Konfiguration des Smartphones ist allerdings die Funktionalität der Anwendung wie folgt eingeschränkt:

  • Wird WhatsApp die Berechtigung zum Zugriff auf die Kontakte nach der Installation, aber vor der ersten Anwendung, nicht erteilt, so kann der Nutzer von sich aus keine Kommunikation starten, er kann nur selbst angeschrieben werden.

  • Eine manuelle Eingabe einer Telefonnummer, die für eine Kommunikation verwendet werden soll, ist nicht möglich.

  • Sobald WhatsApp zu einem späteren Zeitpunkt die Berechtigung zum Zugriff auf die Kontakte erteilt wird, werden wiederum die Telefonnummern aus den Kontakten an WhatsApp übertragen.

Eine datenschutzkonforme Nutzung von WhatsApp ohne Übertragung von Telefonnummern ist also nur bei dauerhafter Deaktivierung des Zugriffs auf die Kontakte direkt nach der Installation möglich. Die Übermittlung von personenbezogenen Daten in die USA ist bei WhatsApp grundsätzlich gerechtfertigt, da WhatsApp am sogenannten Privacy Shield teilnimmt. Das Privacy Shield-Abkommen ist aktuell in Kraft und damit eine gültige Rechtsgrundlage. Auf der Grundlage von Privacy Shield hat die EU-Kommission beschlossen, dass personenbezogene Daten in die USA übermittelt werden dürfen, wenn das empfangende Unternehmen sich zertifiziert hat, d.h. vereinfacht gesagt auf die Einhaltung der Privacy Shield-Grundsätze verpflichtet hat, und auf der Webseite des U.S. Department of Commerce als aktiver Teilnehmer geführt wird. Auf der Grundlage des Privacy Shields dürfen personenbezogene Daten in die USA gemäss Art. 45 Abs. 3 DSGVO übermittelt werden. Daher bestehen gegen die Übermittlung von personenbezogenen Daten in die USA bei der Nutzung derzeit keine Bedenken.

Die LfD Niedersachsen weist dennoch darauf hin, dass gegen die Rechtmässigkeit des Privacy Shields erhebliche Bedenken bestehen. Es besteht daher das Risiko, dass das Privacy Shield-Abkommen gerichtlich angegriffen und durch den EuGH unmittelbar für unwirksam erklärt wird. Dies ist bereits beim Vorgänger, dem sogenannten Safe-Harbor-Abkommen, passiert. Der Einsatz von WhatsApp stellt in jedem Fall einen Verstoss gegen Art. 25 Abs. 1 DSGVO dar. Danach muss der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel der Verarbeitung als auch zum Zeitpunkt der Verarbeitung geeignete und angemessene technische und organisatorische Massnahmen ergreifen, um die Datenschutzgrundsätze wirksam umzusetzen.

Das bedeutet, schon bei der Auswahl der Verarbeitungsmittel muss die Wahl dahingehend getroffen werden, dass unter Verwendung des Verarbeitungsmittels die Datenschutz-Grundverordnung eingehalten werden kann. Die Auswahl von WhatsApp stellt einen Verstoss gegen diese Pflicht dar. Zum einen widerspricht die regelmässige Übermittlung von Daten aus dem Kontaktbuch dem Prinzip der Datensparsamkeit aus Art. 5 Abs. 1 Buchstabe c DSGVO. WhatsApp stellt keine Möglichkeit bereit, diese Übermittlung zu deaktivieren, auf einzelne Kontaktgruppen zu beschränken oder sonst die Übermittlung zu konfigurieren.

Zum anderen wird mit WhatsApp ein Diensteanbieter ausgewählt, der personenbezogene Daten in einer Art und Weise verarbeitet, die mit dem geltenden Recht nicht in Einklang zu bringen ist. WhatsApp legt selbst in seiner Datenschutzrichtlinie dar, dass sie ihnen vorliegende Informationen zu kaum eingegrenzten Zwecken verwenden. WhatsApp und Facebook haben die Geltung der DSGVO und die damit veränderte aufsichtsbehördliche Struktur zum Anlass genommen, die Nutzungsbedingungen für den WhatsApp-Dienst zu ändern und die Übermittlung von Daten von WhatsApp an Facebook (erneut) aufzunehmen. In der Vergangenheit konnte diese Weitergabe von Daten von WhatsApp an Facebook durch eine für sofort vollziehbar erklärte Anordnung des HambBfDI, die durch Entscheidungen deutscher Gerichte bestätigt wurde, zum Schutz nationaler Nutzer unterbunden werden.

Gleichzeitig hatten auch die Europäischen Aufsichtsbehörden mit ihrer klaren Kritik dazu beigetragen, dass diese Pläne gestoppt wurden. WhatsApp und Facebook erkennen diese Untersagungsverfügung nicht mehr an, da seit der Geltung der DSGVO die irische Aufsichtsbehörde federführend für Anordnungen gegenüber diesen Unternehmen zuständig ist. Bislang ist die irische Aufsichtsbehörde trotz der Aufforderung durch den Hamburgischen Beauftragen für Datenschutz und Informationsfreiheit (HambBfDI) nicht tätig geworden. Es ist daher davon auszugehen, dass der Datenaustausch wie in den Nutzungsbedingungen beschrieben erfolgt.

Im oben beschriebenen Beispiel des Einsatzes von WhatsApp durch Apotheken ist darüber hinaus zu berücksichtigen, dass bei der Übersendung der Fotografie des Rezepts Gesundheitsdaten und damit besondere Kategorien personenbezogener Daten gemäss Art. 9 Abs. 1 DSGVO übermittelt werden. Zwar erfolgt die Übermittlung dieser Daten durch den Betroffenen selbst, so dass insofern keine Rechtsgrundlage gemäss Art. 9 Abs. 2 DSGVO erforderlich ist. Allerdings ist die besondere Schutzbedürftigkeit der Gesundheitsdaten Art. 25 Abs. 1 DSGVO zu berücksichtigen. An die technischen und organisatorischen Massnahmen des in dieses Verfahren eingebundenen Instant-Messenger-Services sind entsprechend höhere Anforderungen zu stellen.

 

Lfd.niedersachsen.de; bow; 11.2018, 21.02.2019

https://www.lfd.niedersachsen.de/startseite/themen/wirtschaft/nutzung_von_whatsapp_im_unternehmen/merkblatt-fuer-die-nutzung-von-whatsapp-in-unternehmen-166297.html

03/2019

Weiss das nicht jeder Angestellte? Führungskräfte müssen sich rüsten.

 

Trotz ihrer hochrangigen Positionen sind die Führungskräfte Berichten zufolge das schwache Glied in der Cybersicherheitskette von Unternehmen. Ein neuer Bericht von The Bunker zeigt, dass Cyberkriminelle oft auf diese bekannte Schwachstelle abzielen.

Ein kürzlich veröffentlichtes Whitepaper mit dem Titel Are You The Weakest Link? Wie Senior Executives vermeiden können, die Cybersicherheitskette zu zerreissen, kam zu dem Schluss, dass die Verantwortlichen an der Spitze ein wenig der Grandiosität schuldig sind. Sie ignorieren Cybersicherheitsbedrohungen und -richtlinien unter der fehlgeleiteten Annahme, dass die Regeln nicht für ihre einzigartigen Positionen gelten

“Professionelle Hacker und Gegner werden in der Regel eine gründliche Untersuchung eines leitenden Angestellten oder Vorstandsmitglieds durchführen, einschliesslich einer vollständigen Analyse, die eine eingehende Überwachung der Unternehmenswebsite und der damit verbundenen Social Media Accounts beinhalten könnte", sagte der Bericht. Die meisten Führungskräfte machen die gleichen fünf Fehler, so der Bericht. Führungskräfte erkennen nicht, dass sie Hauptziele für Cyberkriminelle sind, was möglicherweise darauf zurückzuführen ist, dass sie Cybersicherheit als eine IT-Verantwortung betrachten, die nichts mit ihren Führungspositionen zu tun hat

In Wirklichkeit aber heisst es in dem Bericht: "Die IT-Sicherheit ist inzwischen zum Aufgabengebiet aller Menschen geworden, insbesondere derjenigen in den höchsten Positionen jeder Abteilung. Die Führungskräfte müssen die Verantwortung für die besten Praktiken der IT-Sicherheit in ihrem täglichen Verhalten übernehmen". Ein weiterer häufiger Fehler unter den Führungskräften ist, dass sie glauben, dass Cybersicherheitsbedrohungen Angriffe sind, die dem Unternehmen von einem externen bösartigen Akteur passieren, anstatt das Ergebnis von internen Bedrohungen oder Vorfällen zu sein

Viele Top-Führungskräfte glauben Berichten zufolge auch, dass ein Cloud-Anbieter für die Sicherung und Sicherheit aller Informationen verantwortlich ist, obwohl sie Cloud gehostete E-Mails nicht sicher nutzen können. Cyberkriminelle wissen jedoch, dass Top-Führungskräfte oft privilegierten Zugang zu Unternehmensinformationen haben, so dass Hacker bewusst auf ihre persönlichen Accounts abzielen.

"Die Überprüfung der Unternehmensrichtlinien, mit Fokus auf Menschen, Räumlichkeiten, Prozessen, Systemen und Lieferanten, wird wertvolle Einblicke in die zu verbessernden Bereiche liefern. Durch die Förderung einer "Security First"-Kultur sind Unternehmen und ihre Führungskräfte gut positioniert, um die hohen finanziellen Kosten, Reputationsschäden und unerwarteten Ausfallzeiten zu vermeiden, die sich aus einem Cyberangriff oder Datenverlust ergeben könnten", sagte Phil Bindley, Managing Director bei The Bunker.

 

Infosec-magazine.com; Kacy Zurkus; 01.02.2019

https://www.infosecurity-magazine.com/news/execs-remain-weak-link-in/

03/2019

Das Letzte, was ein Unternehmen braucht, ist ein Schwarm von Mythen und Missverständnissen.

 

Cybersicherheit spielt eine integrale Rolle im Bereich guter Geschäftsmodelle. Es wäre schwer für Sie, auf ein Unternehmen zu stossen, das keine Cybersicherheitspolitik als Teil seiner Infrastruktur hat. Aber auch Cybersicherheitsprogramme, die mit guten Absichten gebaut wurden, können nicht ausreichen. Warum? Die besten Absichten basieren oft auf einer Reihe von Mythen, die durch eine Kombination aus Misstrauen, Missverständnissen und Informationsmangel verewigt werden. Dies sind die Mythen der Cybersicherheit, und ich werde einige der häufigsten, die in der gesamten Technologiebranche zu finden sind, aufschlüsseln.

Mythos 1: Sie sind zu klein, um angegriffen zu werden.

Sie lesen ständig über Datenschutzverletzungen. Grosse Unternehmen erleiden Penetrationsangriffe mit Millionen von betroffenen Benutzerdaten, die durch die nebulöse Welt der Hacker gefährdet werden. "Nun," denkst du, "das wird meinem Geschäft nie passieren, es gibt nicht genug Werte, wir sind zu klein." Und das ist einfach falsch. Im Jahr 2016 wurden 43% aller Cyberangriffe gegen kleine und mittlere Unternehmen durchgeführt. Dies ist ein wachsender Trend, da Malware und bösartige Angriffe sowohl in ihrer Komplexität als auch in ihrer Häufigkeit zunehmen. Sie sind genauso wahrscheinlich ein Ziel wie ein Grossunternehmen, also glauben Sie nicht an diese Denkweise.

 

Mythos 2: Passwörter sind ausreichend gut.

Der Untergang jeder Sicherheitspolitik ist die träge "set it and forget it"-Mentalität. Diesen lethargischen Ansatz zu pflegen, ist die Übernahme komplexer Passwörter und der Glaube, dass sie gut genug sind. Sie lassen Ihre Mitarbeiter sich einen 12-stelligen Login-Phrase mit Sonderzeichen, Grossbuchstaben und Zahlen merken? Das muss reichen!

Das ist es nicht, denn eine Mischung aus Social Engineering und komplexen Malware-Angriffen kann sie mit alarmierender Leichtigkeit umgehen. Die plattformübergreifende Wiederverwendung von Passwörtern macht Sie abhängig von der Sicherheit anderer Unternehmen, bei denen ein Verstoss gegen ihre Passwortdatenbank ein Risiko für Konten auf Ihren Systemen darstellt. Böswillige Drittanbieter setzen eine Vielzahl von Bots und Auto-Angriffen ein, um ihren Vorgang zu beschleunigen, und ohne Zwei-Faktor-Authentifizierung und eine Verschlüsselungsstufe (insbesondere in gefährdeten öffentlichen Netzwerken) reicht ein Passwort in der heutigen gefährlichen Cyberwelt einfach nicht mehr aus.

Mythos 3: Antivirus reicht

Ähnlich wie bei der Passwort-Philosophie "set it and forget it" gilt dies auch für Ihr Antiviren-Setup. Es ist verlockend zu glauben, dass die ausgefallene Software, in die Ihr Unternehmen so viel Kapital investiert hat, jeden einzelnen Angreifer blockieren wird, aber auch das ist nicht wahr. Antivirus ist von grundlegender Bedeutung, aber gute Cybersicherheit erfordert ein rigoroses Programm, das Schutz, Erkennung und Reaktionsvorbereitung sowie sichere Praktiken für das Nutzerverhalten umfasst.

Mythos 4: Das ist für die IT-Abteilung

Computer sind nicht einfach, also lassen Sie die IT alles regeln, richtig? Auch das ist eine dumme Art, die Cybersicherheit zu betrachten. Einige Unternehmen haben nicht das nötige Kapital, um erfahrene Mitarbeiter einzustellen. Und selbst mit einem guten IT-Team sind die Mitarbeiter in ihren Fähigkeiten begrenzt. Wenn Sie von Ihrem IT-Team erwarten, dass es jedes einzelne technische Problem bewältigt, vom Zurücksetzen der Anmeldungen über das Verwalten der Netzwerkinfrastruktur bis hin zum Umgang mit potenziellen Eindringlingen, dann fordern Sie Probleme raus. Jeder Mitarbeiter sollte mit guten Cybersicherheitspraktiken vertraut sein.

Mythos 5: BYOD ist sicher

Eine BYOD-Richtlinie (bring your own device) ist zwar beliebt und kostengünstig, stellt aber einen völlig anderen Risikofaktor für ein Unternehmen dar. Die Annahme, dass Smartphones und mobile Geräte, die von Mitarbeitern mitgebracht werden, sicher sind, ist ein schwerer Fehler. Apps mit personenbezogenen Daten, Logins und geschäftsbezogenen Informationen sind leicht zu kompromittieren, und jedes unsichere Gerät ist nur eine weitere potenzielle Lücke in Ihrer Cybersicherheitsgrundlage. Es ist wichtig, dass die Mitarbeiter strenge Richtlinien befolgen, wenn sie ihre eigene Hardware verwenden.

Mythos 6: Absolute Sicherheit ist möglich

Der ewige Kampf der Cybersicherheit ist die ständige Notwendigkeit, sich an neue Bedrohungen anzupassen. Während die Sicherheitsteams Strategien und Taktiken anpassen, um diesen Bedrohungen zu begegnen, entwickeln sich Angriffe weiter, um den Veränderungen zu begegnen. Es ist ein ständiges Schlachtfeld, was bedeutet, dass eine vollständige Sicherheit unmöglich zu erreichen ist. Ein Unternehmen sollte immer mit einer Art Cyberangriff rechnen und über Backup-, Vorfall- und Krisenvorsorge- sowie Disaster Recovery-Massnahmen (BCM) verfügen. Sie können bösartige Bedrohungen nur proaktiv bekämpfen, nicht aber in ihrer Gesamtheit.

Mythos 7: Analysen und Tests sind nicht nötig

Ich konnte mir keinen katastrophaleren Ansatz für einen Cybersicherheitsplan vorstellen. Dies ist wie das Arbeiten an einer Hausarbeit und das Einreichen ohne Korrekturen, Änderungen oder zusätzliche Augen. Sie können nicht vernünftigerweise erwarten, dass Ihre aktuellen Cybersicherheitspläne narrensicher sind, ohne Bewertungen und Penetrationstests durchzuführen. Diese Selbsteinschätzungen sind von unschätzbarem Wert und zeigen, wo Sie am schwächsten und am stärksten sind.

Mythos 8: Bedrohungen kommen nur von aussen

Kompetente Sicherheit erfordert einen ebenso strengen Blick auf interne Mitarbeiter und Richtlinien wie die verschiedenen Angriffe von Dritten. Denn - ob durch menschliches Versagen oder böswillige Absicht - Cybersicherheitsrisiken entstehen sowohl im eigenen Unternehmen als auch ausserhalb. Auch mehr ist gefährdet, wenn man bedenkt, dass die Mitarbeiter der Weg zu den sensibelsten Informationen sind.

 

Darkreading.com; Brian Engle; 31.01.2019
https://www.darkreading.com/vulnerabilities---threats/8-cybersecurity-myths-debunked/a/d-id/1333746

 

03/2019

Kommt er und wenn ja, wann? Der Brexit und das DSG.

 

Welche Folgen hat der Brexit für den grenzüberschreitenden Datenverkehr? Nach dem Referendum im Vereinigten Königreich über den EU-Ausgang (Brexit) im Juni 2016 teilte die britische Regierung ihre Entscheidung zum Austritt aus der EU mit. Das Verfahren für den Austritt des Vereinigten Königreichs aus der Europäischen Union soll am 29. März 2019 abgeschlossen sein. Bis zu diesem Zeitpunkt bleibt das Vereinigte Königreich ein Mitgliedstaat der Europäischen Union. Übermittlung personenbezogener Daten ins Vereinigte Königreich oder nach Gibraltar Um Daten ins Ausland zu übermitteln, müssen die in Artikel 6 DSG genannten Bedingungen erfüllt sein.

Dieser Artikel sieht vor, dass Daten nur dann ins Ausland übermittelt werden dürfen, wenn das Bestimmungsland über Rechtsvorschriften verfügt, die ein angemessenes Datenschutzniveau vorsehen (Art. 6 Abs. 1 DSG) oder, in Ermangelung solcher Vorschriften, wenn das Schutzniveau durch andere Vorschriften oder Garantien gewährleistet wird (Art. 6 Abs. 2 lit. a und g DSG). Nach Artikel 31 Abs. 1 lit. d DSG kann der EDÖB grundsätzlich bestimmen, ob das Schutzniveau in einem Staat angemessen ist, so dass die gesamte Datenübermittlung an diesen Staat zulässig ist. Dies setzt insbesondere voraus, dass der Empfänger der Daten einem Gesetz untersteht, das ein mit dem schweizerischen Recht vergleichbares Datenschutzniveau bietet (Gewährleistung der Rechte der betroffenen Personen, Einhaltung der wichtigsten Datenschutzgrundsätze, unabhängige Aufsichtsbehörde).

Der EDÖB hat auf seiner Website eine Liste der Staaten publiziert, die diese Anforderungen erfüllen (Art. 7 VDSG). Die Liste wird laufend aktualisiert. Das Vereinigte Königreich und Gibraltar gehören derzeit zu den Ländern mit einem angemessenen Niveau, und der EDÖB hat derzeit keine Hinweise, die auf eine Änderung des Status’ auf dieser Liste deuten. Im Hinblick auf die rechtlichen Folgen des Brexit für den Schutz personenbezogener Daten nach dem 29. März 2019 hat die britische Behörde für den Schutz personenbezogener Daten (ICO) auf ihrer Website auch darauf hingewiesen, dass im Vereinigten Königreich ein hohes Mass an Schutz personenbezogener Daten gewährleistet sein wird. Sollte der EDÖB jedoch eine Änderung des Status’ des Vereinigten Königreichs oder Gibraltars auf seiner Staatenliste in Betracht ziehen, würde er die Unternehmen zu gegebener Zeit informieren, damit sie sich insbesondere durch die Verwendung von Standardverträgen vorbereiten können.

 

Edöb.admin.ch; 22.01.2019
https://www.edoeb.admin.ch/edoeb/de/home/datenschutz/handel-und-wirtschaft/uebermittlung-ins-ausland.html

 

03/2019

Die Sphären überschneiden sich mehr und mehr. Kennen Sie Ihre physischen und Cyber-Infrastrukturen?

 

Mehr als jeder zehnte Verstoss gegen den Datenschutz beinhaltet laut einem aktuellen Bericht "körperliche Aktivitäten". Dazu gehört die Nutzung physischer Geräte zur Unterstützung eines Angriffs, aber auch von Hacks, bei denen es um den Einbruch in Hardware und Remote-Angriffe auf physische Infrastrukturen geht.

Die Statistik unterstreicht die Realitäten einer schrumpfenden Kluft zwischen physischen und Cyber-Infrastrukturen. Und, so die Meinung von Sicherheitsexperten, die Einzelpersonen, Unternehmen und Regierungen zwingen sollten, sowohl Cyber- als auch physische Sicherheitsmassnahmen zu kombinieren, sagen Experten.

"Wenn Ihr Türschloss, Ihr Einbruchalarm, Ihre Feuerlöschanlage computerisiert, vernetzt und im Internet ist, haben Sie keine andere Wahl, als sie zu integrieren", sagt Bruce Schneier, Sicherheitsexperte. "Integration geschieht, weil sich Computer in einen Raum bewegen, der nur physisch war."

Aber bei allen Vorteilen der Integration gibt es die Sicherheitsprobleme. Von Hoteltürkartensystemen über Überwachungskameras bis hin zu Kühl- und Heizsystemen sind alle diese Geräte offen für Schwachstellen und Hacking.

"Es gibt eine Erkenntnis bei vielen Unternehmen, dass dies eine sehr reale Bedrohung ist", sagte Ali Neal, Director of International Security Solutions bei Verizon. Industrie- und Fertigungsunternehmen, sagte er, suchen nach Möglichkeiten, Geräte zu isolieren und ihre Netzwerke zu segmentieren. Aber jeder, der Internet of Things-Geräte benutzt, hat ein Problem.

"Entwickler müssen sicherstellen, dass die Sicherheit von Anfang an berücksichtigt wird", sagte Neal. "Softwareplattformen müssen so konzipiert sein, dass diese Geräte von Anfang an sicher sind.”

Handeln Sie jetzt, bevor die Maschinen die Kontrolle übernehmen.

Laut der britischen Regierung wird Cyber heute als eine Bedrohung der Stufe eins angesehen. Aber die Sicherung von Systemen ist schwieriger als früher, warnte Mike Gillespie, Geschäftsführer der Sicherheitsberatung Advent IM und Referent auf der jüngsten International Security Expo in London.

Bis in die 90er Jahre befanden sich die meisten kritischen Infrastrukturen - einschliesslich Energie, Wasser und Verkehr - in den Händen weniger grosser, oft staatlich kontrollierter Unternehmen.

"Was wir sehen, ist, dass einige Systeme und die Automatisierung von Systemen eine Cyber-Bedrohung einführen", sagt Lyn Webb, Partner in der Sicherheitspraxis des Professional Services Unternehmens Deloitte.

Die Situation zwingt Unternehmen, einen anderen und stärker vernetzten Ansatz für ihre Sicherheit zu wählen. Wie Webb erklärt, stellen anfällige physische Sicherheitssysteme eine Bedrohung für die IT-Systemsicherheit dar. Aber schwache Cybersicherheit kann auch eine Bedrohung für die physische Infrastruktur eines Unternehmens - oder für seine Mitarbeiter - darstellen.

"In den letzten drei Jahren wurden wir von Firmen eingeladen, ihre physische Sicherheit zu überprüfen, wie z.B. Torwächter", sagte sie. "Aber wenn wir das Gespräch führen, geht es genauso oft um das Verhalten; einen entsperrten Laptop auf dem Schreibtisch oder das Passwort auf einer Notiz zu hinterlassen.... Sie brauchen eine Kultur, in der Cyber- und physische Sicherheit zusammenwirken."

Wie Webb betont, verfügen Sektoren wie Verteidigung, Öl und Gas sowie Energie und Finanzdienstleistungen eher über eine starke Unternehmenssicherheitskultur. Diese Kultur umfasst Informationssicherheit, aber auch Personalüberprüfung und Verhaltensüberwachung sowie eine stärkere Konzentration auf Insiderbedrohungen. Sie sind auch eher bereit, Mitarbeiter zu schulen, um risikoreiches Verhalten zu vermeiden, sowohl online als auch in der physischen Welt.

Aber wenn es um das Internet der Dinge geht, fühlen sich auch sicherheitsbewusste Unternehmen und Regierungen immer noch wohl. Unternehmen müssen die Vorteile der Konnektivität - einschliesslich verbesserter Betriebszeit, geringerer Betriebskosten und eines reichhaltigeren Informationsflusses - mit den Risiken der Online-Bereitstellung intelligenter Geräte in Einklang bringen.

Auf der International Security Expo in London räumte ein Hersteller von Sicherheitsausrüstung für die Luftfahrtindustrie - der nicht identifiziert werden wollte - ein, dass er bei seinen Produkten die Option der Ferndiagnose entfernt habe. Die Käufer waren der Meinung, dass die Sicherheitsrisiken die Vorteile überwiegen.

Ist Security-Regulierung die Lösung?

Für die meisten Geräte ist das Entfernen der Konnektivität jedoch keine Option. Stattdessen, wie Schneier vorschlägt, muss die Industrie die Sicherheit für angeschlossene Geräte verbessern. Wenn die Industrie nicht handelt, dann fordert Schneier die Regierungen auf, den Sektor zu regulieren.

Die Regulierung wird jedoch Zeit in Anspruch nehmen. Fürs Erste müssen Unternehmen handeln, um ihre eigene cyberphysikalische Sicherheit zu verbessern und sich erneut mit der Art der Ausrüstung zu befassen, die sie kaufen.

"Wenn der Standard darin besteht, alles zu verbinden, müssen Sie das, was Sie tun, kommerzialisieren", sagte David Atkinson, Gründer und CEO des britischen Spezialunternehmens Senseon. "Sie verbinden Geräte, die billig hergestellt und in Serie produziert werden. Die Überprüfung des Codes ist eines der ersten Dinge, die beim IoT durchgeführt werden. Es besteht die reale Gefahr einer Pandemie von Geräten mit sehr geringem Sicherheitsschutz."

Wenn Käufer auf mehr Sicherheit und besseren Datenschutz bei Geräten drängen, könnte die Industrie reagieren. Aber zumindest müssen sich CISOs und Technologieeinkäufer - insbesondere ausserhalb der IT - der Risiken bewusst sein, die von Geräten ausgehen, die nicht gesichert, gepatcht oder verwaltet werden können.

Zumindest sollten "riskante" Geräte von kritischen Systemen isoliert werden, unabhängig davon, ob es sich um eine Kundendatenbank eines Unternehmens oder um Bremsen und Motormanagementsysteme eines Automobils handelt. "Du musst wirklich über deine Sicherheitsentscheidungen nachdenken, und wie du das machen wirst, wenn es Hunderte von Millionen oder sogar Milliarden von Geräten gibt", warnte Atkinson. "Das ist die Herausforderung."

"Cybercontrols haben physische Auswirkungen", betont Marina Kidron, Direktorin für Bedrohungsinformationen bei Skybox Security. "Wenn diese Kontrollen beeinträchtigt werden, gilt das auch für die Sicherheit der Mitarbeiter und der Gemeinden. In kritischen Infrastrukturen müssen Cybersicherheit und physische Sicherheit Hand in Hand gehen. Die Leiter beider Programme müssen die Risiken kommunizieren - und ihre Reaktionen planen.”

Verschwimmen der Grenze zwischen APTs und den gewöhnlichen Cyberkriminellen

"Bedrohungsakteure haben in den letzten Jahren erhebliche Anstrengungen unternommen, um in OT-Umgebungen einzudringen, um die Organisation zu stören, zu beschädigen oder zu erpressen, und zwar in einer Schwere, die von Cyber-Kriegsführung bis hin zum einfachen Geld verdienen reicht", sagte Kidron. "Was sich geändert hat, ist, dass sich die Grenzen zwischen der Taktik des Nationalstaates, den APTs und den üblichen Cyberkriminellen verwischen. NotPetya war ein Paradebeispiel für einen nationalstaatlichen Bedrohungsakteur in der Kleidung von Ransomware, und es ist wahrscheinlich nicht das letzte Mal, dass wir von diesen Arten von Angriffen sehen werden."

Das ist keine Science Fiction: Neben Triton und Stuxnet wurden in den Jahren 2015 und 2016 auch die Stromnetze in der Ukraine angegriffen. Forscher behaupten, dass ausländische Mächte weiterhin Energiesysteme und andere kritische Infrastrukturen in den USA und ihren westlichen Verbündeten untersuchen. Und in vielen Fällen fehlt es privaten Unternehmen an der Widerstandsfähigkeit, den Ressourcen und der Erfahrung, um sich gegen einen nachhaltigen, nationalstaatlichen Angriff zu verteidigen.

Aber es gibt noch eine weitere Wendung in der Geschichte. Geräte, die Unternehmen - und Einzelpersonen - kaufen, um ihre Sicherheit zu verbessern, erweisen sich als unsicher. Es ist schon ein paar Jahre her, dass Forscher gezeigt haben, dass sie die Kontrolle über CCTV-Kameras übernehmen können. Aber Unternehmen investieren weiterhin in vernetzte Sicherheitshardware, ohne die Cyber-Risiken zu bewerten.

Hinzu kommen die Risiken von Eskalation und Ansteckung. IoT oder angeschlossene Systeme könnten isoliert betrachtet nicht die nationale Infrastruktur gefährden, aber sie können dies tun, wenn sie in Massen angegriffen werden. Ein angegriffener Mobilfunkbetreiber oder Geldautomatenbesitzer ist teuer und unangenehm, aber es ist keine systemische Bedrohung.

Wenn alle Banken angegriffen werden oder alle Mobilfunknetze, die eine bestimmte Hardware verwenden, offline genommen werden, dann werden die Auswirkungen dieses "Klassenbruchs" viel gravierender sein. Deshalb sind die Regierungen so besorgt über die elektrische Energie. Nur wenige moderne Systeme können ohne sie arbeiten, und wenn das Stromnetz einmal ausgefallen ist, ist es nur eine Frage der Zeit, bis andere Systeme - von der Telekommunikation über das Wasser bis hin zur Gesundheitsversorgung - ausfallen.

Sicherheits- und Strafverfolgungsbehörden beginnen gerade erst zu begreifen, wie ein Angriff auf eine Klasse von Low-Level-Verbindungsgeräten der Auslöser für eine viel tiefere Krise sein könnte.

 

Threatpost.com; Stephen Pritchard; 18.02.2019
https://threatpost.com/cyberattacks-physical-punch/141922/

 

03/2019

Echtes Verstehen ist unabdingbar. Jetzt müssen Sie auf Risiken und die Auswirkungen auf Ihr Unternehmen reagieren.

 

Bis vor kurzem erhielten die Chief Executive Officers (CEOs) Informationen und Berichte, die sie ermutigten, Informationen und Cybersicherheitsrisiken zu berücksichtigen. Nicht alle von ihnen verstanden es jedoch, auf diese Risiken und die Auswirkungen auf ihre Unternehmen zu reagieren. Ein gründliches Verständnis dessen, was passiert ist und warum es notwendig ist, die zugrunde liegenden Risiken richtig zu verstehen und darauf zu reagieren, ist für den CEO und alle Mitglieder des VR eines Unternehmens im heutigen globalen Geschäftsklima erforderlich. Ohne dieses Verständnis können Risikoanalysen und daraus resultierende Entscheidungen fehlerhaft sein, was dazu führt, dass Unternehmen ein grösseres Risiko eingehen als geplant.

Nach der Überprüfung der aktuellen Bedrohungslandschaft möchte ich besonders auf vier Bereiche der Informationssicherheit hinweisen, mit denen alle CEOs im täglichen Betrieb ihres Unternehmens vertraut sein müssen.

Risikomanagement

Cyberspace ist ein zunehmend attraktiveres Jagdrevier für Kriminelle, Aktivisten und Terroristen, die motiviert sind, Geld zu verdienen, aufzufallen, Störungen zu verursachen oder sogar Unternehmen und Regierungen durch Online-Angriffe zu Fall zu bringen. In den letzten Jahren haben wir gesehen, wie Cyberkriminelle ein höheres Mass an Zusammenarbeit untereinander demonstrierten und ein Mass an technischer Kompetenz, das viele grosse Unternehmen unerwartet überrascht hat.

CEOs müssen auf das Unvorhersehbare vorbereitet sein, damit sie die Widerstandsfähigkeit haben, unvorhergesehenen, schwerwiegenden Ereignissen standzuhalten. Cyberkriminalität, zusammen mit der Zunahme der Online-Ursachen (Hacktivismus), der Anstieg der Compliance-Kosten, um mit dem Anstieg der regulatorischen Anforderungen fertig zu werden, gepaart mit dem unerbittlichen Fortschritt der Technologie vor dem Hintergrund, dass zu wenig in Sicherheitsabteilungen investiert wird, kann alles zusammen den perfekten Bedrohungssturm verursachen. Unternehmen, die herausfinden, worauf das Unternehmen am meisten angewiesen ist, sind gut positioniert, um den Business Case zu quantifizieren und in Resilienz zu investieren, wodurch die Auswirkungen unvorhergesehener Ereignisse minimiert werden.

Rufschädigung vermeiden

Angreifer sind organisierter geworden, Angriffe sind ausgefeilter geworden, und alle Bedrohungen sind gefährlicher und stellen mehr Risiken für den Ruf eines Unternehmens dar. Darüber hinaus haben sich die Markenreputation und die Vertrauensdynamik bei Lieferanten, Kunden und Partnern als sehr reale Ziele für den Cyberkriminellen und Hackaktivisten erwiesen. Angesichts der Geschwindigkeit und Komplexität der Bedrohungslandschaft, die sich täglich ändert, erleben wir allzu oft, dass Unternehmen zurückbleiben, manchmal als Folge von Reputations- und finanziellen Schäden.

CEOs müssen sicherstellen, dass sie auf diese ständig wachsenden Herausforderungen bestens vorbereitet sind, indem sie ihre Unternehmen besser für Angriffe auf ihren Ruf rüsten. Dies mag offensichtlich erscheinen, aber je schneller Sie auf diese Angriffe auf die Reputation reagieren können, desto besser sind Ihre Ergebnisse.

Die Lieferkette sichern

Wenn ich nach Schlüsselbereichen suche, in denen die Informationssicherheit möglicherweise fehlt, komme ich immer wieder auf die Lieferkette zurück. Lieferketten sind das Rückgrat der heutigen Weltwirtschaft, und Unternehmen sind zunehmend besorgt über das Management grösserer Lieferkettenstörungen. Zu Recht sollten sich CEOs Gedanken darüber machen, wie offen ihre Lieferketten für verschiedene Risikofaktoren sind. Unternehmen müssen sich jetzt auf die am stärksten gefährdeten Stellen in ihren Lieferketten konzentrieren. Die unglückliche Realität des heutigen komplexen globalen Marktes besteht darin, dass nicht jeder Sicherheitskompromiss im Voraus verhindert werden kann.

Proaktiv zu sein bedeutet jetzt auch, dass Sie - und Ihre Lieferanten - besser in der Lage sein werden, schnell und intelligent zu reagieren, wenn etwas passiert. In extremen, aber durchaus möglichen Szenarien kann diese Bereitschaft und Widerstandsfähigkeit Wettbewerbsfähigkeit, finanzielle Gesundheit, Aktienkurs oder sogar das Überleben des Unternehmens bestimmen.

Sensibilisierung der Mitarbeitenden und Verhaltensänderungen

Unternehmen investieren weiterhin stark in die "Entwicklung des Humankapitals". Keine Rede des CEOs oder kein Jahresbericht wäre vollständig, ohne seinen Wert zu verdeutlichen. Die implizite Idee dahinter ist, dass Bewusstsein und Training immer eine Art Wert liefern, ohne dass man es beweisen muss - die Zufriedenheit der Mitarbeiter wurde als ausreichend angesehen. Dies ist nicht mehr der Fall. Die heutigen CEOs fordern oft Return on Investment-Prognosen für die Projekte, zwischen denen sie wählen müssen, und Sensibilisierung und Training bilden da keine Ausnahme. Die Bewertung und Demonstration ihres Wertes wird zu einem unternehmerischen Gebot. Leider gibt es keinen einzigen Prozess oder keine Methode, um eine Änderung des Verhaltens der Informationssicherheit einzuführen, da Unternehmen in ihrer Demografie, ihren bisherigen Erfahrungen, Erfolgen und Zielen so unterschiedlich sind.

Während viele Unternehmen Compliance-Aktivitäten durchführen, die unter den allgemeinen Begriff "Sicherheitsbewusstsein" fallen, sollte der eigentliche kommerzielle Treiber das Risiko sein und wie neue Verhaltensweisen dieses Risiko reduzieren können. Die Zeit ist reif und die Chance, vom Bewusstsein zum konkreten Verhalten überzugehen, war noch nie so gross. CEOs sind zunehmend cybertauglich geworden, und Aufsichtsbehörden und Interessengruppen drängen kontinuierlich auf eine stärkere Governance, insbesondere im Bereich des Risikomanagements. Der Übergang zu einer Verhaltensänderung wird dem CISO die nötige Munition zur Verfügung stellen, um positive Antworten auf Fragen zu geben, die wahrscheinlich vom CEO und anderen Mitgliedern des Senior Management Teams gestellt werden.

Vermeiden möglicher Sicherheitsstolpersteine

Unternehmen jeder Art und Grösse agieren in einer zunehmend Cyber-fähigen Welt, und das traditionelle Risikomanagement ist nicht agil genug, um mit den Risiken aus Aktivitäten im Cyberspace umzugehen. Das Risikomanagement im Unternehmen muss erweitert werden, um Risikobeständigkeit zu schaffen, die auf einer Grundlage der Vorsorge basiert, die die Bedrohungsvektoren aus einer Position der Geschäftsakzeptanz und des Risikoprofils bewertet.

Unternehmen haben ein unterschiedliches Mass an Kontrolle über sich entwickelnde Sicherheitsbedrohungen, und da sich die Geschwindigkeit und Komplexität der Bedrohungslandschaft täglich ändert, sehe ich viel zu oft, wie Unternehmen zurückbleiben, manchmal im Zuge von Reputations- und finanziellen Schäden. CEOs müssen jetzt die Führung übernehmen und Bilanz ziehen, um sicherzustellen, dass ihre Unternehmen besser vorbereitet und engagiert sind, um mit diesen ständig wachsenden Herausforderungen umzugehen.

 

Infosecisland.com; Steve Durbin; 14.02.2019
http://infosecisland.com/blogview/25172-What-CEOs-Need-to-Know-About-the-Future-of-Cybersecurity.html

 

03/2019

Auf das müssen Sie beim Kauf und bei der Entwicklung von IT und Software achten

 

Was heisst Privacy by Design und Privacy by Default?
Mehr und mehr verbreiten sich im Datenschutzrecht die Konzepte des Privacy by Design (auf Deutsch: Datenschutz durch Technik) und Privacy by Default (auf Deutsch: datenschutzkonforme Voreinstellungen). Die Europäische Datenschutz-Grundverordnung (DSGVO/GDPR) erwähnt sie, und auch im Entwurf zum neuen Schweizer Datenschutzgesetz (E-DSG) fehlen sie nicht.

Privacy by Design betrifft insbesondere die Architektur und Funktionalität von IT und Software. Auf den Punkt gebracht verpflichtet Privacy by Design datenbearbeitende Unternehmen bereits bei der Beschaffung von IT-Produkten zu proaktiven Massnahmen, um den Datenschutz zu gewährleisten.

Privacy by Default bezieht sich auf die Grundeinstellungen in IT-Produkten und IT-Dienstleistungen. IT-Produkte sind demnach standardmässig datenschutzfreundlich einzustellen. So sind zum Beispiel entsprechende Zugriffsregelungen zu treffen, oder es ist sicherzustellen, dass über das IT-Produkt nicht mehr Daten erhoben werden als notwendig. Dabei sollen insbesondere die Nutzer der Produkte, die ihre Voreinstellungen nicht ändern, nicht benachteiligt werden. Sie gelten in den Augen des Gesetzgebers als wenig geneigt, die datenschutzrechtlichen Einstellungen jeweils ihren Wünschen entsprechend anzupassen.

 

Beschaffung und Entwicklung von IT-Produkten
Diese Forderungen sind an und für sich nicht neu. Es ist allerdings zu erwarten, dass Privacy by Design und Privacy by Default aufgrund der strengeren neuen Vorgaben zum Datenschutz auch auf der Stufe Produktentwicklung vermehrte Beachtung finden werden. Mindestens bei gleichem Preis-/Leistungsverhältnis dürften Nutzer und Unternehmen ihre Produktwahl in Zukunft häufiger davon abhängig machen, ob die bearbeiteten Personendaten nutzerfreundlich und gleichzeitig datenschutzkonform gehandhabt werden können.

So wird sich zum Beispiel ein Unternehmen, das ein Web-Analyse-Tool einsetzt, um IP-Masking bemühen müssen (Verschleierung eines Teilbereichs oder der gesamten IP-Adresse mittels «Maske»).

Für Personalgewinnung könnte sich aufgrund von Privacy by Design eine Plattform aufdrängen, die Zugriffe auf Bewerberdossiers über einen Link einräumt, anstatt die Dossiers bloss mit automatisiertem E-Mail-Versand weiterzuleiten. Dezentral abgelegte E-Mails bergen erfahrungsgemäss ein viel höheres Risiko, dass die Kontrolle darüber verloren geht (Gefahr der Schattendossiers).

Privacy by Default verlangt zur Nutzung von Personendaten für Werbezwecke unter Umständen, dass die Einwilligung der betroffenen Person eingeholt wird: Das entsprechende Feld muss in der Voreinstellung dann leer bleiben und darf nicht schon vorangekreuzt sein.

 

Denken Sie auch an Ihr ERP und CRM
Privacy by Design und Privacy by Default sind auch bei Entwicklung und Einsatz von CRM- oder ERP-Lösungen zu berücksichtigen. Noch immer auf dem Markt erhältlich sind CRM- oder ERP-Lösungen, die eine Löschung von Personendaten nicht erlauben, ohne dass die dahinterliegende finanzielle Transaktion automatisch rückabgewickelt wird. Belege müssen zwar revisionssicher aufbewahrt werden. Dies rechtfertigt aber nach Datenschutzrecht nicht in jedem Fall, dass zusätzlich zu den auf dem Beleg erwähnten Personendaten beispielsweise Gewohnheiten und Kauf-History ebenso lang gespeichert bleiben.

Ganz besondere Beachtung finden die Prinzipien Privacy by Design und Privacy by Default schliesslich auch beim Umgang mit sensiblen Daten (z.B. Gesundheitsdaten). Wegen dem Risikopotential der beabsichtigten Datenbearbeitung für die Nutzer werden Käufer von IT-Produkten regelmässig zur Durchführung einer sog. Datenschutz-Folgenabschätzung verpflichtet sein und daher um eine Risikoanalyse zum Design des Produktes nicht herumkommen.

Privacy by Design und Privacy by Default haben deshalb Auswirkungen auf das gesamte datenbearbeitende System.

 

Entwickler sind gefordert
Für Anbieter von IT-Produkten (IT-Infrastruktur, Netzwerke, Cloud, Software, Apps) lohnt sich eine möglichst frühzeitige und gründliche Prüfung der datenschutzrechtlichen Anforderungen bereits deshalb, weil der Lock-in-Effekt bei IT-Lösungen für den Kunden beachtlich sein kann und aus dessen Sicht deshalb gewisse Weichenstellungen nicht verpasst werden sollten, die vermehrt zum allgemeinen Bewusstsein gehören und zukünftig aktiver eingefordert werden.

 

Wir empfehlen Ihnen als IT-Entwickler deshalb: prüfen Sie die aktuellen und künftigen möglichen datenschutzrechtlichen Anforderungen an Ihr Produkt und schaffen Sie so Vertrauen bei Ihrer Käuferschaft. Wenn Sie selber neue IT-Produkte auf dem Radar haben, empfehlen wir Ihnen, nur solche IT-Produkte in die engere Auswahl zu nehmen, bei denen Sie sich davon überzeugt haben, dass sie Ihren datenschutzrechtlichen Bedürfnissen genügen.

 

Haben Sie Fragen zu IT, Software oder Apps? Wenn Sie Produkte entwickeln oder gerade eine IT-Lösung evaluieren, können wir Ihnen weiterhelfen. Die Spezialisten der Swiss Infosec AG beraten und unterstützen Sie gerne, schnell und zielführend.

 

Swiss Infosec AG; 28.02.2019
Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch
www.infosec.ch/datenschutz

03/2019

Lösungen zur praktischen Umsetzung: Der Praxisband erläutert Schritt für Schritt, wie betrieblicher Datenschutz in der Praxis umgesetzt werden kann. Bereitgestellt wird das gesamte Know-how zum Thema, angefangen von Grundlagenwissen bis hin zu sofort anwendbaren Handlungsanleitungen und Umsetzungshilfen. Zusätzlich können aus der Beuth-Mediathek über 30 Mustervorlagen abgerufen werden. Die zweite Auflage wurde vollständig überarbeitet und berücksichtigt die EU-Datenschutz-Grundverordnung. Der Datenschutzbeauftragte erhält einen praxisorientierten Leitfaden für seine tägliche Arbeit. Die Autorin erläutert, welche Aufgaben der DSB in der Praxis hat, was er mindestens zu regeln hat, wie er beginnen sollte, welche Form die Regelungen haben sollten.

 

Autoren: DIN e.V. und Grit Reimann

ISBN-10: 9783410279815

03/2019

1. Band: Politik und Wirtschaft: Dieses Beitragswerk bringt Vorreiter, öffentliche Meinungsbildner und renommierte Fachexperten zu Fragestellungen des digitalen Wandels zusammen und bündelt deren Blickwinkel auf dieses entscheidende Zukunftsthema. Somit beleuchten die hochkarätigen Autoren aus Politik, Wirtschaft, Wissenschaft und Recht mit ihren Beiträgen, in zwei Bänden des Herausgeberwerkes, unterschiedliche Facetten der Digitalisierung.

 

Autoren: Christian Bär, Thomas Grädler, Robert Mayr

ISBN-10: 9783662557198

03/2019

Impulse für die Rehabilitation: Die Wiedererlangung von Alltagsfähigkeiten hat für Menschen nach schweren Erkrankungen oder Verletzungen einen hohen Stellenwert, denn selbstständiges Handeln in allen Lebensbereichen schafft Lebensqualität. Besteht Bedarf zur Rehabilitation, werden Maßnahmen eingeleitet, die sich u. a. auf den medizinischen, sozialen, beruflichen, pädagogischen und technischen Bereich beziehen. In den letzten Jahren wurden in all diesen Bereichen Fortschritte erzielt, um Betroffenen noch besser helfen zu können.

 

Autoren: Mario A. Pfannstiel, Patrick Da-Cruz, Harald Mehlich

ISBN-10: 3658239867

Intelligente Vernetzung erfordert intelligente Sicherheitskonzepte

 

Die neuen Möglichkeiten, die IoT eröffnet, erfordern in Sachen Informationssicherheit eine besonders konsequente Haltung und innovative Lösungsansätze. Vertrauen Sie deshalb auf das Know-how unserer erfahrenen Spezialisten. Sie beraten und unterstützen Sie in allen Sicherheitsfragen rund um IoT und darüber hinaus.

 

Kontaktieren Sie uns online (infosec@infosec.ch) oder telefonisch (+41 41 984 12 12) für ein kostenloses Erstgespräch.

 


IoT – Was ist das?

Vereinfacht gesagt werden «Things», also physische und virtuelle Dinge, vernetzt und kommunizieren untereinander. Viele IoT-Anwendungen betreffen Industrie, Energie und Verkehr. IoT beeinflusst und bestimmt jedoch auch immer mehr den privaten Bereich: Die Fernsteuerung von elektronischen Haushaltgeräten oder der heimischen LED-Beleuchtung ist bequem und kann ein Mehr an Sicherheit oder ein Weniger an Stromverbrauch generieren und die zahlreichen Applikationen, mit denen Schritte, Herz- und Pulsfrequenz usw. ermittelt und ausgewertet werden (Beispiel Smart Watch) sind bereits selbstverständlich.

 

IoT beruht auf dem Konzept, Daten aus unterschiedlichsten Bereichen zu erfassen, zu sammeln, über das Internet zu teilen und zu nutzen. Möglich machen das verschiedene Komponenten wie Sensoren und Aktoren, vor allem aber die sogenannten Smarts. Smarts sind rechnende, koordinierende, kommunizierende und steuernde Komponenten, die je nach Anwendung in beliebiger Form und Vielzahl auftreten können. Smarts tragen die von Sensoren gesammelten Informationen zusammen und verarbeiten sie. Zudem können sie Steuerungsaufträge an Aktoren übergeben und Schnittstellen für menschliche Interaktionen anbieten.

 

IoT News: Aktuelle Infosec Internet News-Beiträge

 

IoT – Was bringt es?

Der grosse Vorteil von IoT liegt in der Vereinfachung von Prozessen, die zu einer deutlichen Effizienzsteigerung führt. Durch die Sammlung beliebig vieler Daten und Informationen lassen sich Geräte ortsunabhängig steuern und überwachen. Das spart Ressourcen und sorgt für eine beispiellose Flexibilität und für Bequemlichkeit im Alltag.

 

Wo wird IoT bereits erfolgreich eingesetzt?

  • Im Industriesektor: Fernüberwachung von Industrieanlagen z.B. Industrial Control Systems (ICS)
  • Im Energiesektor: Smart Grid, Smart Energy (Stichwort intelligente Stromnetze, Steigerung der Netzeffizienz)
  • Im Verkehrsmanagement: Smart City (Erfassung der Verkehrsflüsse)
  • Im Gesundheitswesen: IoT-Geräte beispielsweise zur Überwachung oder sogar zur Steuerung der Vitalwerte von Patienten

 

Und die Sicherheit? Welche Risiken bestehen?

Wie bei allen neuen bzw. weiterentwickelten Technologien stehen den zahlreichen Vorteilen sicherheitsrelevante Risiken gegenüber. IoT bietet die Möglichkeit, riesige Datenmengen zu sammeln und zu verarbeiten, darunter auch kritische, personenbezogene Daten oder Informationen über kritische Infrastrukturen. Solche Datensammlungen sind wertvoll und deshalb potenziell auf dem Radar von Datendieben. Zudem besteht die Gefahr, dass Kriminelle die Kontrolle über IoT-Geräte und deren Steuerung übernehmen. Nicht abschliessend geklärt ist die Frage, wem die Daten auf IoT-Geräten tatsächlich gehören.

 

IoT – aber sicher: mit der Unterstützung unserer erfahrenen Spezialisten

Die zahlreichen Möglichkeiten, die IoT eröffnet, erfordern in Sachen Informationssicherheit eine besonders konsequente Haltung.
Setzen Sie auf die Erfahrung und das Know-how unserer Spezialisten und sichern Sie sich deren Unterstützung und Beratung in folgenden Bereichen:

  • Konzeptionelle Unterstützung basierend auf anerkannten Grundlagen, beispielsweise
    • ISO/IEC 30141:2018 – Internet of Things (loT) – Reference Architecture: Orientierungshilfe bei der Definition von generischen Ansätzen zur Problemlösung
    • ISO/IEC 15408 – Common Criteria for Information Technology Security Evaluation: Hilfestellung bei der Bewertung der Sicherheit von einzelnen IoT-Anwendungen
    • ISO/IEC 62443 – Industrial communication networks – Network and system security
    • Guide to Industrial Control Systems (ICS) Security: Eine umfassende Ausführung des NIST zur sicheren Integration von ICS
  • Risikoanalysen
  • Audits: technische, konzeptionelle oder Compliance Audits
  • Situationsanalysen von bereits bestehenden IoT-Geräten/Infrastrukturen
  • Evaluation von IoT-Herstellern, -Lieferanten und -Produkten
  • Erarbeitung von Strategien im Umgang mit IoT

 

Der Siegeszug von IoT lässt sich nicht aufhalten. Dank intelligenter Sicherheitskonzepte ist dies auch gar nicht notwendig.

 

Kontaktieren Sie uns online (infosec@infosec.ch) oder telefonisch (+41 41 984 12 12) für ein kostenloses Erstgespräch.

 

 

 

 

 

Reto Steinmann

E-Mail
Schnellanfrage
Natürlich 100% vertraulich, kostenfrei und unverbindlich!

Kontrolle und Optimierung

Dieses Lehrbuch bietet Grundlagenwissen zum Thema Informationssicherheit sowie Informationssicherheitsmanagement. Neben der Erklärung aktueller und relevanter Grundbegriffe bietet es Definitionen und skizziert methodische und rechtliche Rahmen. Die optimale praktische Gestaltung des Informationssicherheitsmanagements wird unter Berücksichtigung zweier gängiger Standards zur Informationssicherheit, des Grundschutzhandbuches und ISO 27001, dargelegt. Damit gibt die Autorin konkrete Antworten auf Fragen der Risikobewertung und Gefahrenanalyse, der Sicherheits- und Datenschutzkontrollen sowie zum Incident Management und dem Security Audit und -Monitoring.

 

Autorin: Aleksandra Sowa

ISBN-10: 3658156260

Mit der EU-Datenschutzgrundverordnung (DSGVO), die ab Mai 2018 anzuwenden ist, wird ein neues Kapitel im Datenschutzrecht aufgeschlagen, das datenverarbeitende Stellen mit Herausforderungen konfrontiert, deren Nichtbeachtung zu erheblichen Bußgeldzahlungen führen kann. Transparenz- und Dokumentationspflichten sowie die Pflicht zur Rechenschaft über getroffene Maßnahmen zur Gewährleistung der Datensicherheit, die vorzunehmende Datenschutzfolgenabschätzung, die verschärften Meldepflichten bei Datenpannen, die erweiterte Verantwortlichkeit der Auftragsverarbeiter und die Interessenabwägungen im Rahmen des risikobasierten Ansatzes der DSGVO sind Themen, mit denen sich jeder Verantwortliche intensiv auseinandersetzen muss.

 

Autoren: Jürgen Taeger und Detlev Gabel

ISBN-10: 3800516594

Effizienter Schutz vernetzter Produktionslinien

Komplexer werdende Daten- und Informationsströme in der industriellen Fertigung führen zu einer vermehrt unternehmensübergreifenden Kommunikation. Dies hat direkte Auswirkungen auf die notwendigen Schutzvorkehrungen für IT, Produktion und Produktionsdaten. Ohne ausreichende Security-Maßnahmen entstehen zu hohe Risiken für Manipulation an Prozessen, Daten und Maschinen und damit für die Produktionsmittel und Produkte. Modernes Identity and Access Management (IAM) wird in Zukunft eine zentrale Rolle spielen.

 

Autor: Sebastian Rohr

ISBN-10: 3834333824

04/2019

Alles Wissenswerte über das Zusammenspiel zwischen Datenschutz, gesetzlichen Aufbewahrungs- und Verjährungsfristen

 

Personendaten können nur für eine gewisse Dauer aufbewahrt werden. Danach sind sie nach schweizerischem (DSG) wie auch nach europäischem Datenschutzrecht (DSGVO/GDPR) zu löschen.

 

Ausgenommen von der Löschpflicht sind zunächst Daten, die aufgrund einer gesetzlichen Vorschrift aufbewahrt werden müssen. Ist das der Fall, müssen und dürfen Dokumente während dieser Dauer nicht gelöscht werden. Am wichtigsten ist die gesetzliche Aufbewahrungspflicht für Geschäftsbücher, Geschäftsberichte und Buchungsbelege, die 10 Jahre beträgt.

 

Für die Zeit nach Ablauf dieser Dauer oder falls keine gesetzliche Aufbewahrungsfrist besteht, können Dokumente zunächst solange verwendet und aufbewahrt werden, wie die darin enthaltenen Personendaten zum Zweck, zu dem sie erhoben wurden, noch gebraucht werden. Auch aus dem Grundsatz der Datenrichtigkeit für Personendaten wird die Pflicht zur Löschung abgeleitet: Je älter Personendaten sind, desto eher werden sie in der Tendenz nicht mehr zutreffen.

 

Beispielsweise können Unterlagen, die für das Verfassen eines Zwischenzeugnisses benötigt werden, solange behalten werden, wie das Anstellungsverhältnis dauert. Grundlagendokumente des Unternehmens, wie etwa dessen Statuten oder Organisationsreglement, sollten während der ganzen Lebensdauer des Unternehmens aufbewahrt werden.

 

Werden Personendaten nicht mehr zum ursprünglich erhobenen Zweck gebraucht, kann im Allgemeinen angenommen werden, dass zu Beweiszwecken Unterlagen dennoch so lange aufbewahrt werden dürfen (aber nicht müssen) bis die Verjährungsfrist der zugrundeliegenden Forderung noch nicht abgelaufen ist. Ab diesem Zeitpunkt kann eine Forderung nicht mehr (gerichtlich) durchgesetzt werden. Beispielsweise verjährt die Forderung aus einem Auftragsverhältnis auf Bezahlung eines Übersetzungshonorars 10 Jahre nach seiner Fälligkeit. Hat der Kunde dem Übersetzungsunternehmen die Rechnung nicht bezahlt, kann das Unternehmen dies vom Kunden noch während 10 Jahren nach Bestellung der Übersetzungsleistung verlangen (und auch durchsetzen), später aber nicht mehr. Bei der Frage, welche Unterlagen während laufender Verjährungsfrist noch zu behalten sind, geht es im Wesentlichen um die Einschätzung, wie das Unternehmen im Hinblick auf potenzielle rechtliche Auseinandersetzungen aufgestellt sein will.

 

Zusammengefasst lässt sich die Aufbewahrungsdauer von Personendaten enthaltenden Dokumenten anhand dieser drei Fragen nachvollziehen (in dieser Reihenfolge):

a) Besteht eine gesetzliche Aufbewahrungsfrist?
b) Werden Personendaten noch gebraucht?
c) Wenn nicht: ist eine weitere Aufbewahrung zu Beweiszwecken bis zum Ablauf der Verjährungsfristen erforderlich?

 

Wenn alle drei Fragen mit nein beantwortet werden können, verlangt der Datenschutz, dass Personendaten gelöscht werden oder der Zugriff darauf zumindest stark eingeschränkt wird. Da die gesetzliche Aufbewahrungspflicht für Geschäftsbücher, Geschäftsbericht und Buchungsbelege 10 Jahre beträgt und viele Forderungen nach 10 Jahren verjähren, haben sich als genereller Richtwert 10 Jahre eingebürgert. Es gelten teilweise aber auch andere gesetzliche Aufbewahrungs- und Verjährungsfristen:

 

1.1 Gesetzliche Aufbewahrungsfristen

 2019 03 22 12h00 03

 

1.2 Verjährungsfristen

 Verjährungsfristen

 

Wir empfehlen deshalb: Legen Sie unter Berücksichtigung des Bearbeitungszwecks und der jeweils geltenden Aufbewahrungs- und Verjährungsfristen für die Dokumente in Ihrem Unternehmen, die Personendaten enthalten, Fristen fest, nach deren Ablauf die Personendaten gelöscht werden können.

Haben Sie Fragen zu Personendaten generell oder zur Aufbewahrungspflicht oder Verjährungsfristen im Speziellen? Oder können wir Ihnen weiterhelfen, weil Sie ein individuelles Löschkonzept brauchen? Die Spezialisten der Swiss Infosec AG beraten und unterstützen Sie gerne, schnell und zielführend.

 

Swiss Infosec AG; 20.03.2019
Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch
www.infosec.ch/datenschutz

04/2019

Warum IoT nur mit einer hohen Stammdatenqualität funktioniert

 

Drei Entwicklungen fordern Unternehmen heraus, das bestehende Potenzial vorliegender Datenbestände effizient und zukunftsweisend zu nutzen:

  • Die Digitalisierung schreitet stetig voran.
  • Der Wettbewerbsdruck steigt.
  • Die Industrie 4.0 beschreibt ein Szenario künftiger Automatisierung der Produktionsabläufe.

 

Grundlage für IoT-Anwendungen ist eine hohe Qualität des Datenmaterials, um mehrwertstiftende Informationen zu gewinnen. Je höher der Mehrwert – respektive die Datenqualität – desto besser die Grundlage, um automatisch relevante Informationen aus der realen Welt zu erfassen, miteinander zu verknüpfen und im Netzwerk verfügbar zu machen. Stammdaten nehmen dabei eine besondere Rolle ein.

 

IoT: Einmalig erstellt, mehrfach genutzt, selten geändert

Stammdaten (engl. „Master Data“) bezeichnen die grundlegenden Unternehmensdaten, die für den laufenden Betrieb in verschiedenen Unternehmensbereichen erforderlich sind. Dazu gehören bspw. Daten von Kunden, Produkten, Mitarbeitern und Lieferanten. Laut ISO sind Stammdaten „Grunddaten eines Unternehmens. Sie existieren unabhängig von anderen Daten und werden in Geschäftstransaktionen referenziert“ (ISO 8000- 1:2011).

Abgegrenzt werden Stammdaten von Transaktions- und Bestandsdaten. Diese Bewegungsdaten sind variable Daten, die sich während eines Geschäftsprozesses häufig ändern und für jeden Geschäftsvorfall neu erfasst, abgeleitet oder berechnet werden müssen. Beispiele sind Bestellmengen, Wertpapierkurse oder Kontensalden.

 

Stammdatenmanagement ist eine Philosophie

Stammdatenmanagement (SDM), engl. „Master Data Management“, bezeichnet die Verwaltung von Stammdaten. Eine passende Definition liefert das Analystenhaus Gartner: „Stammdatenmanagement beschreibt organisatorische und/oder technologiebasierte Aktivitäten, bei denen Geschäftsbereiche zusammen mit der IT-Abteilung arbeiten, um die Qualität der unternehmensweiten Stammdaten zu verbessern und Hoheit über diese zu erlangen.“

 

Ein besonderes Augenmerk liegt dabei auf der Kooperation zwischen der IT und den Fachbereichen wie HR, Marketing oder Einkauf. SDM ist unterdessen kein befristetes Projekt – es ist ein Mindset, welches von allen beteiligten Mitarbeitern und Fachbereichen im Unternehmen gelebt werden sollte.

 

Da die Verbesserung der Datenqualität durchaus eine komplexe Aufgabe ist, bedarf es des Einsatzes und Zusammenspiels verschiedener dedizierter Softwaresysteme (z. B. Integrationsplattformen, Analysewerkzeuge, Datenmodellierungswerkzeuge, Workflow-Engines) zum Datenmanagement. Außerdem sind häufig auch organisatorische und restrukturierende Maßnahmen in Unternehmen erforderlich.

 

IoT-Massnahmen erschwert oder blockiert wegen mangelnder Stammdatenqualität

Die Notwendigkeit des SDM ergibt sich durch die Probleme der Unternehmen aufgrund minderer Stammdatenqualität. Verantwortlich hierfür sind der technologische Fortschritt, der es ermöglicht, immer größere Datenmengen speichern zu können, und die unzureichende Pflege der Daten. Auch die zunehmend heterogenen Systemlandschaften und die Einführung neuer Geschäftslösungen wie Systeme für „Customer Relationship Management“ oder „Enterprise Resource Planning“ haben diesen Trend verstärkt. Hinzu kommen Probleme des Managements, allen voran unzureichend definierte Verantwortlichkeiten bzgl. der Daten. Daraus resultieren die folgenden typischen Probleme im SDM, die in der Konsequenz IoT-Maßnahmen erschweren oder gar blockieren.

  • Datenmehrfach-Erfassung und -Speicherung führt zu Duplikaten
  • Erschwerte Prozessautomatisierung durch unklare Datenbasen
  • Kein einheitliches Datenmodell
  • Fehlende Prozesse zur nachhaltigen Kontrolle der Datenqualität
  • Unterschiedliches Verständnis der Daten bei den Mitarbeitern
  • Fehlende Struktur und Regelwerke für Datenqualitätsmessungen
  • Erschwerte Analysen für Reports
  • Validitätsprobleme von Reports

 

Datenqualität zum Kernziel erklären – für IoT!

Bezogen auf das SDM vor dem Hintergrund der Umsetzung von IoT-Vorhaben ist insbesondere die Verbesserung der Datenqualität eines der zentralen Vorhaben in Unternehmen. Während in der englischen Literatur vorrangig der Begriff „Data Quality“ gebraucht wird, werden in der deutschen Literatur die Begriffe Datenqualität und Informationsqualität häufig synonym verwendet. Grundsätzlich gilt, dass aus Daten erst in Verbindung mit einem Kontext Informationen gewonnen werden und die Qualität der Daten auch nur in diesem Kontext beurteilt werden kann (vgl. Gebauer / Windheuser 2011). Auch stellen Daten, als immaterielles Gut, erst dann einen Wert für eine Organisation dar, wenn sie in ausreichend hoher Qualität vorliegen (vgl. Otto / Reichert 2010). Die Verbesserung der Datenqualität bedarf organisatorischer Anpassungen im Unternehmen – zusammenfassend als Data Governance bezeichnet, die zur effizienten Umsetzung eine Software-Unterstützung benötigen.

 

Am Markt existierende Systeme decken oftmals einen Großteil der erforderlichen Funktionalität zur Pflege und Verbesserung der Daten sowie zur softwareseitigen Unterstützung einer Data Governance ab. Sie beinhalten meist eine Integrationsplattform, die eine Vernetzung singulärer Anwendungen überflüssig macht. Die Stammdatenmanagement-Systeme versprechen eine verbesserte Unterstützung der anstehenden Aufgaben und bieten eine Plattform, die eine Vernetzung zwischen Maschinen überhaupt erst ermöglicht bzw. erheblich vereinfacht.

 

Ein Beispiel der IoT-Ära zur Illustration

Was tun, wenn der Toner leer ist?

 

IoT verfolgt das Ziel, „relevante Informationen aus der realen Welt zu erfassen, miteinander zu verknüpfen und im Netzwerk verfügbar zu machen. Dieser Informationsbedarf besteht, weil in der realen Welt Dinge einen bestimmten Zustand haben (z. B. ‚Luft ist kalt‘, ‚Druckertoner ist voll‘), dieser Zustand im Netzwerk jedoch nicht verfügbar ist.“ (Wikipedia)

 

Nun können diese realen Informationen in unterschiedlicher Weise im Netzwerk zur Verfügung gestellt werden. Entweder durch eine automatisierte, technologisch gestützte Erhebung der Daten (z.B. wenn ein Drucker erkennt, dass der Toner leer ist) oder durch eine manuelle Eingabe (z.B. wenn ein Mitarbeiter im System hinterlegt, dass der Toner leer ist). Insbesondere der manuelle Vorgang ist fehleranfällig. Der Drucker soll nun direkt mit dem Bestellmanagement-System kommunizieren und automatisch einen Bestellvorgang für einen neuen Toner auslösen. Die Bestellung erfolgt mit dem notwendigen Vorlauf bis zum Zeitpunkt des Austauschs, also noch bevor der aktuelle Toner leer ist. Die Herausforderung besteht darin, den Toner vorrätig zu haben und gleichzeitig unter der Maxime zu handeln, die Lagerhaltungskosten zu minimieren. Dies nennt sich Predictive Maintenance.

 

Hierzu muss im Bestellsystem für den Drucker der richtige Tonertyp hinterlegt sein, mit den entsprechenden Einkaufskonditionen. Sind diese Materialstammdaten nicht korrekt, wird aufgrund der schlechten Datenqualität eine fehlerhafte oder überteuerte Bestellung ausgelöst. Zusätzlich kann der Drucker für den Zeitraum der aufwendigen manuellen Neubestellung nicht genutzt werden. Überträgt man dieses plakative Beispiel aus dem Büroalltag in die voll automatisierten Produktionshallen deutscher Hightech-Unternehmen, wird schnell deutlich, welche Tragweite Datenqualität im Kontext von IoT haben kann.

 

Handbuch IoT; Tobias Brockmann, Nadja Schröder; 11.2018
Creative Commons-Lizenz: https://creativecommons.org/licenses/by-sa/3.0/de/

 

apps grc software tool

 

IoT – Internet of Things

Intelligente Vernetzung erfordert intelligente Sicherheitskonzepte

 

Die neuen Möglichkeiten, die IoT eröffnet, erfordern in Sachen Informationssicherheit eine besonders konsequente Haltung und innovative Lösungsansätze. Vertrauen Sie deshalb auf das Know-how unserer erfahrenen Spezialisten. Sie beraten und unterstützen Sie in allen Sicherheitsfragen rund um IoT und darüber hinaus.

 

Kontaktieren Sie uns online (infosec@infosec.ch) oder telefonisch (+41 41 984 12 12) für ein kostenloses Erstgespräch.

 

Mehr

04/2019

E-Health-Innovationen machen unser Leben sicherer und gesünder – ein Milliardengeschäft.

 

Das Marktforschungsunternehmen Gartner erwartet bis 2020 weltweit 20 Milliarden vernetzte Medizingeräte, die im Krankenhaus 4.0, beim Arzt, im Smarthome oder in der Smart City zum Einsatz kommen. Der Gesamtwert des IoMT-Marktes in Europa betrug laut einer Studie von Deloitte letztes Jahr rund 12 Mrd. US-Dollar. 2020 sollen es 40 Mrd. sein. Auf dem Markt tummeln sich dabei nicht nur diverse Start-ups, sondern vor allem auch Big Player wie Siemens, Apple und Google bzw. die Alphabet-Tochter verily.

 

IoMT: Vielfalt der Sensoren

Herzfrequenzsensoren erkennen Anzeichen eines Vorhofflimmerns, Beschleunigungssensoren registrieren schwere Stürze und schlagen Alarm. Sensoren sind heute in der Lage, nahezu jede Körperfunktion rund um die Uhr zu überwachen, machen unser aller Leben und vor allem das von Patienten leichter und sicherer. Diabetiker, Epileptiker und Herzpatienten werden schon gewarnt, bevor sie selber Anzeichen verspüren und Krankenhäuser und (Not-)Ärzte können frühzeitig alarmiert werden. Viele Sensoren sind dabei heute so klein, dass sie einfach mit der Smartwatch getragen werden können. Für spezielle Anwendungen geht es auch noch kleiner bzw. filigraner. Sensoren auf Kontaktlinsen etwa sind in der Lage, anhand der Tränenflüssigkeit den Blutzuckerwert zu messen und zu übermitteln. Im Krankenhaus überwachen Sensoren dabei nicht nur Patienten, sondern auch medizinische Geräte. Diese lassen sich so nicht nur leicht lokalisieren, sondern auch rechtzeitig warten. Durch die Möglichkeiten einer Predictive Maintenance werden so Ausfallzeiten verhindert und Kosten gesenkt.

 

Augmented Reality und Virtual Reality

Durch Augmented Reality lassen sich komplette Eingriffe realitätsnah simulieren. Im echten OP erleichtern auf Datenbrillen projizierte Informationen das Operieren. Der Chirurg muss nicht mehr seinen Kopf zum Monitor heben, sondern kann sich komplett auf den Patienten konzentrieren. In Zukunft sollen Mediziner während einer Operation passgenau CT- und MRT-Bilder über den Patienten eingeblendet bekommen, um bestimmte Bereiche besser lokalisieren zu können.
Ein Forscherteam der RWTH und FH Aachen präsentierte vor Kurzem eine 3-D-Betrachtung eines stark verlagerten Kiefergelenkbruchs mittels einer Virtual-Reality-Brille. Dabei wurde deutlich, wie hilfreich eine solche Darstellung für den Chirurgen bei der Planung seines Eingriffs sein kann. Natürlich ist diese Technologie auch während der fachärztlichen Ausbildung oder während des Studiums besonders vielversprechend.

 

Digitale Gesundheitsakte

Gesundheitsminister Jens Spahn will, dass ab 2021 Versicherte generell ihre Patientendaten auch per Handy oder Tablet einsehen können. Während die Techniker Krankenkasse und die AOK eine eigene Lösung anbieten, ist "vivy" ein Gemeinschaftsprojekt diverser anderer privater und gesetzlicher Krankenkassen. Die App ist dabei elektronische Gesundheitsakte und persönliche Assistentin zugleich. Sie hilft bei der Einhaltung von Medikationsplänen oder erinnert an den nächsten Impf- / Vorsorgetermin. Welche Daten wann an wen übermittelt werden, entscheidet der Nutzer selbst. Auch soll technisch und organisatorisch sichergestellt sein, dass Krankenversicherungen keinen Zugriff auf persönliche Daten bekommen können. Akzeptanz und Vertrauen in derartige Produkte fehlt allerdings dennoch in breiten Schichten der Bevölkerung.

 

Sicherheitsbedenken

Vernetzte Geräte bilden naturgemäß eine Angriffsfläche für Hacker. Neben unseren Gesundheitsdaten kann dadurch auch unmittelbar unser Leben bedroht werden, bspw. wenn der Herzschrittmacher gehackt wird. Nach dem Medizinproduktgesetz müssen vernetzte Medizingeräte zwar besonders hohe Sicherheits- und Qualitätsauflagen erfüllen, doch absolute Sicherheit kann auch dadurch nie gewährleistet werden. Das Potenzial das Leben vor allem von Risikopatienten deutlich sicherer zu machen, scheint dabei aktuell die Risiken mehr als aufzuwiegen. Dies darf aber nicht dazu führen, verstärkte Sicherheitsmaßnahmen zu vernachlässigen.

 

Handbuch IoT, 11.2018
Creative Commons-Lizenz: https://creativecommons.org/licenses/by-sa/3.0/de/

 

apps grc software tool

 

IoT – Internet of Things

Intelligente Vernetzung erfordert intelligente Sicherheitskonzepte

 

Die neuen Möglichkeiten, die IoT eröffnet, erfordern in Sachen Informationssicherheit eine besonders konsequente Haltung und innovative Lösungsansätze. Vertrauen Sie deshalb auf das Know-how unserer erfahrenen Spezialisten. Sie beraten und unterstützen Sie in allen Sicherheitsfragen rund um IoT und darüber hinaus.

 

Kontaktieren Sie uns online (infosec@infosec.ch) oder telefonisch (+41 41 984 12 12) für ein kostenloses Erstgespräch.

 

Mehr

04/2019

Risikofaktor IoT: Schützenswert sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen

 

Am 25. Mai 2016 trat die EU- Datenschutz-Grundverordnung (EU-DSGVO) in Kraft, ab dem 25. Mai 2018 müssen die EU- Mitgliedstaaten die Verordnung anwenden. Obwohl das Bewusstsein in den Chefetagen der Unternehmen gestiegen ist, sind nicht alle Unternehmen gut aufgestellt. Mit der EU-DSGVO gibt es erstmals eine Verordnung, die das Datenschutzrecht EU-weit vereinheitlicht und die Unternehmen zum Nachweis verpflichtet, die Prinzipien des EU-Datenschutzes einzuhalten. Sie gilt für in der EU ansässige Unternehmen, aber auch für ausländische Unternehmen, wenn diese eine Niederlassung in der EU haben oder Daten von Menschen in der EU verarbeiten. Also de facto für alle größeren internationalen Unternehmen, aber auch für viele Mittelständler und KMU. Die Strafen bei Verletzung der EU-DSGVO sind saftig: Bis zu 20 Millionen oder vier Prozent des Jahresumsatzes – im Zweifelsfall gilt der höhere Wert.

 

DSGVO und IoT

Als Daten gelten dabei nicht nur Kontaktdaten wie Name, Adresse, E-Mail-Adresse, Telefonnummer. Damit betrifft sie auch das IoT, sammeln seine Geräte doch zuhauf vielfältige Nutzerdaten. Je nach Funktion reichen diese von Blutgruppe, über das bevorzugte TV-Programm bis hin zum Aufenthaltsort des Hundes. Hier sollte ein Privacy-by-Design-Ansatz verfolgt werden, damit schon bei der Entwicklung die Datenschutzrisiken geringgehalten werden können und Datensicherheit gewährleistet ist. Schließlich ist auch zu klären, wo im Unternehmen die Daten überhaupt gespeichert sind und wer Zugriff darauf hat.

 

Was ist neu?
Ganz wichtig: Unternehmen haben eine Rechenschaftspflicht. Im Fall einer Klage gilt die Beweislastumkehr: Nicht der Kläger muss nachweisen, dass die EU-DSGVO verletzt worden ist. Das Unternehmen muss beweisen, dass es die strengen Kriterien der Verordnung erfüllt. Hier könnte sich unter Umständen für Unternehmen ein Betätigungsfeld eröffnen, um unliebsamen Konkurrenten zu schaden. Außerdem muss in bestimmten Fällen ein Datenschutzbeauftragter ernannt werden. Hinzu kommt die Verpflichtung, ein sogenanntes "Privacy by Design" einzuführen, mit dem datenschutzrelevante Maßnahmen von Beginn an in Design sowie Entwicklung von Systemen, Prozessen und Produkten integriert werden. Auch sind mehr Daten betroffen, so etwa Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder bestimmbaren Person. Die Anforderungen an "bestimmbare Personen" sind sehr gering. Auch Lieferanten können betroffen sein, zum Beispiel solche, die von einem Unternehmen beauftragt werden, personenbezogene Mitarbeiterdaten zu verarbeiten.

 

Mehr Rechte für Beschäftigte, mehr Pflichten für die Unternehmen
Nach Auffassung vieler Fachleute werden die Pflichten des Arbeitgebers beim Datenschutz deutlich erhöht, die Rechte der Beschäftigten hingegen gestärkt. Diese erhalten die Hoheit über ihre Daten und das Recht, auf Anfrage zu erfahren, ob, welche und in welchem Umfang personenbezogene Daten durch den Arbeitgeber verarbeitet werden. Das muss laut EU-DSGVO schneller und umfassender geschehen, als dies früher der Fall war. Unternehmen ohne digitale Personalakte haben hier einen großen Aufwand, da die dafür zuständigen Personalabteilungen meist in einem mühseligen Prozess die zerstückelt geführten Personalakten, Gehaltsabrechnungen oder Berichte prüfen müssen.

 

Vieles hängt von der Art und Größe des Unternehmens ab
Einige Experten warnen, die Aufgaben im Zusammenhang mit der Verordnung zu unterschätzen. Die häufig vertretene Ansicht, dass die Erstellung eines Verarbeitungsverzeichnisses die Erfüllung der Richtlinien gemäß DSGVO bedeutet, ist leider nicht richtig. Ein Verarbeitungsverzeichnis ist zwar wesentlich, jedoch nur einer von mehreren Schritten der Umsetzung. Jedes Unternehmen muss also auch alle technischen und organisatorischen Maßnahmen zur Sicherung und zum Schutz der Daten umsetzen und auch dokumentieren. Nicht zu vergessen, die Einhaltung und Dokumentation aller Betroffenenrechte. Eine Lösung muss all diese Aspekte mitberücksichtigen und ganzheitlich erfüllen. In welchem "Detailgrad" die Umsetzung auf Unternehmensebene erfolgt, hängt jedoch von der Art und Größe des Unternehmens sowie den verfügbaren Ressourcen ab. Entscheidend ist auch die Branche, da jede ihre ganz eigenen Anforderungen hat.

 

Zertifizierungen als Basis
Manche Unternehmen profitieren von bereits vorhandenen Zertifizierungen, etwa nach ISO 9001 oder ISO / IEC 27001. Diese Zertifizierungen dienen als Basis für ein Datenschutzmanagementsystem (DSMS), das die Compliance mit der EU-DSGVO gewährleistet. Ähnliches gilt für die Zertifizierung nach dem Standard BS 10012:2017. Trotzdem muss vieles noch angepasst werden im Hinblick auf die neuen Regeln.

 

Datenschutz als Querschnittsaufgabe

Wichtig sei es, darin stimmen Experten überein, das Thema EU-DSGVO als Querschnittsthema im gesamten Unternehmen zu verankern und das Bewusstsein der Mitarbeiter für diese Problematik zu schärfen. Vom Vorstand oder der Geschäftsführung bis hin zum Betriebsrat müssen die Verantwortlichen über die Regelungen und Veränderungen beim Datenschutz informiert und teilweise aktiv werden:

  • Vorstand und Geschäftsführung müssen die veränderte datenschutzrechtliche Praxis im Unternehmen kennen;
  • die IT-Abteilung muss prüfen, welche technisch-organisatorischen Maßnahmen für das geforderte Risk-Management notwendig sind;
  • die Finanzabteilung muss die Kosten berücksichtigen, die dem Unternehmen durch Anpassungsprozesse entstehen;
  • die Rechtsabteilung muss viele Verträge anpassen;
  • die Compliance-Abteilung muss die Risiken eines Verstoßes gegen die Verordnungen berücksichtigen – diese betreffen die außerordentlich hohen Bußgelder, aber auch den Vertrauensverlust, der bei Kunden, Lieferanten oder Mitarbeitern entstehen kann;
  • die Forschungs- und Entwicklungsabteilung muss schon bei einem frühen Projektstadium darauf achten, dass die datenschutzrechtlichen Grundsätze eingehalten werden;
  • für die Personalabteilung entsteht ein hoher Aufwand, da sie einerseits Mitarbeiterschulungen zum Thema organisieren, andererseits den Mitarbeitern auf Nachfrage nachweisen muss, wie ihre Daten geschützt werden; auch der Betriebsrat ist einzubinden.

 

Ist es sinnvoll, darüber hinauszugehen?
Vielleicht aber ist es sinnvoll, noch ein paar Schritte weiterzugehen. Die Einhaltung der EU-DSGVO-Compliance sollte Teil einer umfassenden Unternehmensphilosophie sein und von der Spitze her gelebt werden – damit ist das EU-DSGVO-Management Chefsache. Es sollte nicht einfach eine lästige Pflicht sein, denn immerhin geht es darum, das Image  des Unternehmens in der Öffentlichkeit, bei gegenwärtigen und künftigen Mitarbeitern sowie bei Geschäftspartnern als verantwortungsvoll handelnde Organisation zu stärken. Dazu gehören auch ein umfassender Schutz der Daten und der sichere IT-Betrieb.

 

Die Risiken einer Verletzung des Datenschutzes sind groß und müssen im Einzelfall genau analysiert werden. Doch wie sieht es mit den Chancen aus? Zum Beispiel könnte ein gut umgesetztes Datenschutzmanagementsystem auch den Eintritt in Länder mit einem ähnlich hohen Datenschutzniveau deutlich erleichtern, wie z. B. Kanada oder Japan. Echte Mehrwerte im Wettbewerb entstehen, wenn es gelingt, über entsprechende Maßnahmen und ihre Dokumentation Vertrauen zu schaffen. Zudem fördern transparente personenbezogene Daten die Automatisierung von Prozessen und treiben somit die Digitalisierung voran. Einige aktuelle Studien belegen, dass Unternehmen, die auf diesem Weg vorangegangen sind, sich bereits Vorteile verschafft haben. Es liegt also an den Unternehmen selbst, ob ihnen die EU-DSGVO mehr nutzt oder doch eher schadet.

 

Neue Risiken durch IoT in Industriesystemen

Das Internet der Dinge (IoT) ist insbesondere im Industrieumfeld eine noch junge Technologie. Daher steht bei der Entwicklung von IoT-Komponenten und OT-Lösungen („Operational Technologies“) für viele Unternehmen noch immer die Funktionalität im Vordergrund. Die Produktentwicklung hat genug damit zu tun, die neuen Kommunikationstechniken, das komplizierte Zusammenspiel von Sensoren, Aktoren und PLCs („Programmable Logic Controller“), in den Griff zu bekommen. Wichtig ist, dass die Produkte und Lösungen funktional laufen – Sicherheitsaspekte sind, wenn überhaupt, nur ein Randthema.

 

Doch IoT bringt nicht nur neue Möglichkeiten, sondern auch neue Risiken. Die Verbindung technischer Systeme mit dem Firmennetzwerk und dem Internet über standardisierte Kommunikationsschnittstellen erlaubt eine umfassende Kontrolle und Steuerung dieser Systeme. Allerdings nicht nur für berechtigte Nutzer, sondern bei unzureichender Absicherung auch für Angreifer. Diese können dabei nicht nur Informationen gewinnen, sie können auch die Steuerung der betreffenden Systeme übernehmen und sogar Fehlfunktionen auslösen. Man kann sich entsprechende Schadensszenarien leicht ausmalen; erst recht, wenn IoT auch in kritischen Infrastrukturen zum Einsatz kommt, beispielsweise in der Strom- und Wasserversorgung.

 

Neue Risiken, das bedeutet konkret neue Angriffspunkte. Der einfachste ist der direkte Zugriff auf Anlagen. So erhalten externe Service-Unternehmen oft für Wartungsarbeiten einen Zugriff auf die Steuerung von Anlagen und Maschinen, mitunter verschaffen sie ihn sich auch selbst, indem sie zur Erfüllung von Wartungsverträgen entsprechende Bauteile implementieren. Das muss nicht in böser Absicht geschehen, aber über diese Verbindungen ist der unkontrollierte Zugriff auf Steuersysteme von extern möglich und per „Hopping“ von System zu System steht dem Service-Dienstleister dann auch bei unzureichender Absicherung und nicht vorhandener Segmentierung des Netzwerkes mehr oder weniger das gesamte Netz seines Kunden offen. Dies gilt besonders, wenn im IoT-Endgerät oder der Maschine eine LTE-Komponente verbaut ist; man kann dann die Kommunikation nach außen kaum unterbinden.  Das gezielte Scannen und Stören von Funkverbindungen, das hier gelegentlich vorgeschlagen wird, ist jedenfalls klar verboten.

 

Vielfach werden in IoT-Lösungen technische Komponenten verwendet, die über keine oder nur unzureichende Schutzmechanismen verfügen. Sie verwenden zum Beispiel eine unsichere Hard- und Software-Architektur oder unsichere Kommunikationsprotokolle und lassen sich nicht aktualisieren. Die Hersteller und Anlagenbauer sind nicht für das Thema IoT- / OT- Security sensibilisiert. Wenn etwa Bauteile in der Klimatechnik oder in Brandmeldeanlagen nicht geschützt sind, so können Angreifer die Raumtemperatur oder Luftfeuchtigkeit verändern, was in einem Rechenzentrum katastrophale Folgen haben kann. Das Beispiel Rechenzentrum zeigt deutlich die ungeklärten Zuständigkeiten für Security in Unternehmen. Die Server und Anwendungen im Rechenzentrum werden von der IT meist nach Sicherheitsvorgaben betrieben, das Rechenzentrum selbst mit allen Non-IT-Komponenten liegt aber in einer anderen Zuständigkeit und unterliegt keinen exakten Vorgaben für Security.

 

Ein bevorzugtes Ziel für Angreifer sind auch IoT-Systeme in der Logistik. Hier werden natürlich mobile Verbindungen verwendet, wobei mittlerweile nicht nur Lkw mit entsprechenden Systemen ausgestattet sind, sondern auch Container oder sogar einzelne Paletten. Die IoT-Logistik-Sensoren müssen aufgrund der hohen Stückzahl und des Preisdrucks in der Logistik natürlich günstig sein. Logistiker können damit eine Lieferkette sehr genau verfolgen, sie bieten damit aber auch Angreifern die Möglichkeit, Daten abzufangen oder zu verändern. Die IoT-Systeme laufen hier ja nicht in einem gesicherten Umfeld, sondern weit ab vom jeweiligen Unternehmen; man muss im Grunde nur am richtigen Ort mit einem Lesegerät sein, schon kann man die Daten einsammeln. Auf diese Weise kann man nicht nur detaillierte Informationen über Lieferketten erhalten, sondern kann sie bei Bedarf lahmlegen.

 

Die direkten Abwehrmöglichkeiten gegen derartige Angriffe sind im Nachhinein bei bestehenden Lösungen begrenzt. Wichtig ist vor allem, sich der durch IoT-/OT-Systeme entstehenden Risiken überhaupt erst einmal bewusst zu werden und sich nicht nur an deren Funktionalität zu erfreuen. Unternehmen sollten sich daher bei IoT- / OT-Projekten immer folgende Fragen stellen:

  • Welche IoT- / OT-Komponenten und -Systeme werden im eigenen Unternehmensnetzwerk verwendet? Welche IoT-/ OT-Geräte sind unbekannt?
  • Welche Kommunikationsverbindungen haben diese untereinander und nach außen?
  • Sind von einzelnen Systemen auch andere zu erreichen, die im Normalfall keine Kommunikationsbeziehung untereinander haben? Lässt sich das durch Netzwerksegmentierung unterbinden?
  • Bestehen unkontrollierte Wartungszugänge?
  • Sind die Security-Funktionen der Produkte aktiviert und werden die Softwareversionen der Produkte regelmäßig auf Security-Schwachstellen geprüft?
  • Wer im Unternehmen ist für die Sicherheit der IoT-/OT-Systeme verantwortlich?
  • Besitzen die Verantwortlichen für diese Systeme aus z. B. Produktion, Logistik und Gebäudetechnik sicherheitstechnisches Know-how und Security-Awareness?

 

Noch ein wichtiger Aspekt: Die Sicherung der IoT-Systeme eines Unternehmens ist keine einmalige Aufgabe. Die Technologien rund um IoT und OT entwickeln sich rasant weiter und die IT-Sicherheit muss darauf flexibel reagieren können. Wichtig ist, dass IoT fest in der unternehmensweiten Cyber-Defense-Strategie verankert ist.

 

Handbuch IoT, Dr. Ralf Magagnoli, 11.2018
Creative Commons-Lizenz: https://creativecommons.org/licenses/by-sa/3.0/de/

 

apps grc software tool

 

IoT – Internet of Things


Intelligente Vernetzung erfordert intelligente Sicherheitskonzepte

 

Die neuen Möglichkeiten, die IoT eröffnet, erfordern in Sachen Informationssicherheit eine besonders konsequente Haltung und innovative Lösungsansätze. Vertrauen Sie deshalb auf das Know-how unserer erfahrenen Spezialisten. Sie beraten und unterstützen Sie in allen Sicherheitsfragen rund um IoT und darüber hinaus.

 

Kontaktieren Sie uns online (infosec@infosec.ch) oder telefonisch (+41 41 984 12 12) für ein kostenloses Erstgespräch.

 

Mehr

04/2019

Das IoT ist voller Daten, Auswertung ist für den optimalen Nutzen zentral

 

Internet of Things (IoT): Einsatz im Produktionsumfeld

Für die in vielen Branchen übliche Nutzung des "Internet of Things" (IoT) gibt es einen ausschlaggebenden Grund: Mit den gewonnenen Daten können Prozesse und Betriebsabläufe genauer gesteuert und die Auslastung kann effizienter geregelt werden. Hier fällt ein hohes Volumen relativ kleiner Datensätze an, wie sie von Sensoren erfasst und weitergemeldet werden. Doch neben der Herausforderung, große Mengen anfallender Daten zu verarbeiten und daraus Schlüsse zu ziehen, gilt es beim IoT  weitere Hürden zu meistern.

 

Denn um auf Echtzeit-Analysen basierende Entscheidungen zu treffen, sind vor allem die Geschwindigkeit der Datenverarbeitung und die Sicherheit der Datenübertragung von entscheidender Bedeutung. Smarte Sensoren und IoT-Geräte unterscheiden sich sowohl in ihrem Einsatzzweck als auch in der Vielschichtigkeit der von ihnen erhobenen Daten. Die verschiedenen Daten zu analysieren, um daraus Erkenntnisse abzuleiten, ist beim Einsatz des IoT ebenso eine Herausforderung wie die Einhaltung von Governance-Richtlinien bei der Datenverarbeitung.

 

In der Fertigung lassen sich Maschinen mit Sensoren ausstatten, die für eine vorausschauende Instandhaltung („Predictive Maintenance“) herangezogen werden können. Im Gegensatz zum herkömmlichen Ansatz, Wartungen nach vorher definierten Arbeitsstunden oder geleisteter Stückzahl stattfinden zu lassen, meldet die Maschine den Status ihrer Abnutzung und ihres technischen Zustandes aktiv an einen Produktionsserver, der das Wartungsintervall individuell auf diese eine Maschine abstimmt. Damit wird zweierlei erreicht: Einerseits wird verspätete Wartung und eventuell einhergehender Schaden vermieden, andererseits entstehen keine zu kurzen Wartungszyklen. Beides schont die finanziellen und logistischen Ressourcen des Unternehmens. Auch die Logistik während und nach der Produktion wird durch Big Data im IoT wesentlich erleichtert. Besonders in der Just-in-time-Fertigung ist es sowohl für produzierende Betriebe als auch Zulieferer wichtig, nachvollziehen zu können, wo sich Werkstücke aktuell befinden. Damit sollen Lagerhaltungskosten weitgehend ausgeschlossen werden.

 

IoT und Big Data in der Energieversorgung

Doch auch andere Branchen setzen mittlerweile auf Big Data und Industry of Things. So sind Energieversorgungsunternehmen durch Veränderungen, beispielsweise bei der Energieerzeugung, mit neuen Anforderungen an ihre betrieblichen Prozesse konfrontiert. Dazu kommt der Wandel der Kundenanforderungen. Auch die vermehrte Nutzung alternativer Heizarten bei Endkonsumenten, beispielsweise Wärmepumpen oder Solaranlagen, führt zu einer weiteren Komplexität beim Stromvertrieb. So sollten Konsumenten mit Preisnachlässen dafür belohnt werden, wenn sie den Strom zu einem Zeitpunkt verbrauchen, an dem er besonders günstig für den Vertrieb bereitsteht. Hierzu messen intelligente Stromzähler („Smart Meter“) den Energieverbrauch und können diese Informationen den Versorgern zeitnah übermitteln. In einem System mit automatisierten Stromzählern werden Verbrauchsdaten in Echtzeit analysiert und entsprechende Muster erkannt, die zur Prognose herangezogen werden. Auch können Sensoren und intelligente Stromzähler rechtzeitig vor drohenden Ausfällen einzelner Komponenten im Stromnetz warnen. Die gewonnenen Daten werden in einer Big-Data-Lösung zusammengefasst, die detaillierten Aufschluss über die aktuelle und künftige Situation liefert. Dadurch wird es Energieversorgern ermöglicht, die Ausfallsicherheit in erheblichem Maß zu steigern, um so die Versorgungssicherheit der Verbraucher zu garantieren.

 

Mit Big Data und IoT zu mehr Gesundheit

Neue medizinische Methoden, verbesserte Behandlungen oder die bessere Anpassung von Medikamenten sind mit enormen Investitionen in Forschung verbunden. Dafür benötigt der Gesundheitssektor – mehr denn je – eine solide Datenbasis. Aber auch die Behandlung der Patienten selbst muss in Zeiten knapper Gesundheitskassen effizienter gestaltet werden. So kann die Erfassung von Patientendaten über mobile Tracker einen vollständigen Überblick über den Gesundheitsstatus bieten. Ein solcher Tracker kann mittels Hautsensor beispielsweise den Blutzuckerspiegel messen. Das gilt ebenso für Vitalfunktionen wie eine Messung von Puls oder Blutdruck, wie sie manche Smartwatch oder mancher Fitnesstracker bereits bietet. Durch den Abgleich von Echtzeit-Analysedaten und Machine-Learning-Modellen, basierend auf historischen Patientendaten, wird eine vorausschauende und nachhaltige Patientenüberwachung gewährleistet. Daraus können Ärzte frühzeitig Abweichungen von individuellen Normalwerten erkennen und so im Idealfall Menschenleben retten. Außerdem ist es möglich, dass diese Daten – anonymisiert – dazu führen, auch anderen Patienten schnell eine erfolgreiche Behandlungsmethode zur Verfügung zu stellen. Zusätzlich können unterstützende Reha- und Wellnessanwendungen entwickelt, getestet und bei Erfolg breit angewendet werden. Dies geschieht über mit dem Internet verbundene Geräte, die beispielsweise Blutdruck und Herzfrequenz überwachen sowie Aufschluss über Cholesterinwerte oder andere medizinisch relevante Faktoren bieten. Mittels maschinellen Lernens können Ärzte, Krankenhäuser und Pharmaunternehmen positive Musterveränderungen erfassen und konsequent weiterentwickeln.

 

Zielführende Versicherungsprodukte

Die Basis der Geschäftstätigkeiten von Versicherungen sind Daten. Sie berechnen Risiken und legen daraufhin die Höhe der Raten für Versicherungspolicen fest. Dies erfolgte bislang über theoretische mathematische Modelle, die auf regelmäßigen Marktanalysen, Studien und Statistiken beruhten. Mit dem zunehmenden Wettbewerbsdruck müssen Versicherer ihre Angebote vielschichtiger und an die Zielgruppe angepasster entwickeln. Auch die Art und Weise, wie und wogegen sich Konsumenten und Unternehmen versichern wollen, ändert sich – etwa durch die Veränderung im Falle von Gebäudeschäden durch den Klimawandel oder die Einführung neuer Technologien wie etwa dem autonomen Fahren im Straßenverkehr.

 

Handbuch IoT; Daniel Metzger; 11.2018
Creative Commons-Lizenz: https://creativecommons.org/licenses/by-sa/3.0/de/

 

apps grc software tool

 

IoT – Internet of Things

Intelligente Vernetzung erfordert intelligente Sicherheitskonzepte

 

Die neuen Möglichkeiten, die IoT eröffnet, erfordern in Sachen Informationssicherheit eine besonders konsequente Haltung und innovative Lösungsansätze. Vertrauen Sie deshalb auf das Know-how unserer erfahrenen Spezialisten. Sie beraten und unterstützen Sie in allen Sicherheitsfragen rund um IoT und darüber hinaus.

 

Kontaktieren Sie uns online (infosec@infosec.ch) oder telefonisch (+41 41 984 12 12) für ein kostenloses Erstgespräch.

 

Mehr

04/2019

Sicherheit beginnt mit der Geräteentwicklung.

 

Ein effizienter Schutz von Operational-Technology-Systemen und IoT-Geräten benötigt einen um- fassenden Security-Lifecycle-Ansatz. Gefordert sind einerseits die Hersteller von Maschinen, industriellen Steuergeräten (PLCs) und Anlagen, die ihre Produkte gemäß dem „Security by Design“-Prinzip entwickeln müssen. Aber auch die Unternehmen sowie die Anwender müssen mehr in die Sicherheit der eingesetzten Lösungen investieren.

 

Fertigungsunternehmen aus allen Branchen werden immer stärker zum Ziel von Cyber-Attacken aller Art. Aktuellen Marktzahlen von NTT Security zufolge richten sich mehr als ein Drittel aller Cyber-Attacken gegen die Fertigungsindustrie. Gerade für Industriespionage ist der Anlagen- und Maschinenbau ein lukratives Ziel von Cyber-Angreifern. Klar ist: Unternehmen müssen Operational-Technology (OT)-Systeme und IoT-Geräte besser schützen. Kompromisslose IT-Sicherheit ist nur mit End-to-End-Lösungen und -Services möglich, die auf einem durchgängigen Security-Lifecycle-Modell basieren.

 

OT-Systeme und IoT-Geräte: Sicherheit beginnt mit der Geräteentwicklung

Fachliche Anforderungen und deren technische Umsetzung waren für die Hersteller von Maschinen, Produktionsanlagen, Schaltsystemen und Komponenten, beispielweise im Smart-City-Umfeld, die Richtschnur. Mit Security-Themen haben sich die Entwicklungsingenieure und Techniker bestenfalls am Rande befasst – oder dann, wenn die Systeme bereits in Betrieb waren.

 

Daher lautet die erste Empfehlung: Security by Design. Bereits bei der fachlichen Anforderungsanalyse neuer Geräte, Maschinen und Lösungen, beispielsweise für die industrielle Verfahrenstechnik, sollten Hersteller eine Bewertung der Security-Risiken einplanen. Einerseits geht es um die Ermittlung aktueller Angriffsvektoren, gegen die ein System oder Gerät geschützt werden soll, und andererseits müssen sich Entwickler auch damit befassen, welche Angriffspunkte im weiteren Lebenszyklus entstehen könnten.

 

In diesem Zusammenhang werden Ansätze wie Security-Agility und Crypto-Agility immer wichtiger. Im Kern geht es darum, dass Entwickler und Benutzer der fertigen Produkte, Lösungen und Services sich darauf einstellen müssen, dass die aktuell implementierten Sicherheitsmaßnahmen bei einem Produktlebenszyklus von zehn bis zwanzig Jahren regelmäßig überprüft, aktualisiert und ergänzt werden müssen: Welche Art der Softwarewartung ist geplant? Wie und in welchen Release-Zyklen sollen Software- und Security-Updates eingespielt werden? Ist die in Entwicklung befindliche Hardware auch für die zukünftigen Anforderungen (beispielsweise Speicher, Prozessorleistung usw.) ausgelegt?

 

Wer heute ein sicheres Maschinen-, Produkt- und Geräte-Design erstellen will, muss sich natürlich auch mit Kommunikationsprotokollen befassen – das heißt, mit den aktuell im Einsatz befindlichen Lösungen und deren fortlaufender Aktualisierung. Beispiele dafür sind TLS („Transport Layer Security“) und dessen Vorgänger SSL („Secure Sockets Layer“) zur Absicherung von Datenverbindungen. Aufgrund verschiedener in den letzten Jahren entdeckter und ausgenutzter Schwachstellen lautet die Empfehlung, alle Versionen von SSL und TLS 1.0 zu deaktivieren. Neue Kommunikationsprotokolle und natürlich auch die Nutzung von aktuellen Kryptoverfahren und Schlüssellängen müssen natürlich beim Design der Hardware berücksichtigt worden sein. Bei allen Sicherheitsmaßnahmen kommt es darauf an, dass Hersteller – angelehnt an das IT-Security-Management – einen nachvollziehbaren und dokumentierten Sicherheitsprozess definieren, um die Security über den gesamten Lebenszyklus ihrer Produkte gewährleisten zu können.


Zertifizierung von Produkten

Die Hersteller von Geräten und Systemen für „Kritische Infrastrukturen“ (KRITIS) sind dazu übergegangen, ihre Produkte nach dem „Industrial-IT-Security-Standard IEC (International Engineering Consortium) 62443“ für industrielle Kommunikationsnetze und Systeme zertifizieren zu lassen. Die entsprechenden Zertifizierungen übernehmen etwa der VDE oder die TÜV-Gesellschaften. Unternehmen, die Automatisierungs- und Steuerungssysteme herstellen, können diese Produkte und die Prozesse gemäß den IEC-62443-Vorgaben auf potenzielle Schwachstellen untersuchen lassen und auf Basis der Ergebnisse eine entsprechende Produktzertifizierung erlangen – oder müssen nachbessern und wirkungsvolle Schutzmaßnahmen entwickeln und Prozesse im Unternehmen ausrollen. Schwerpunkt des IEC-62443-Standards bildet die IT-Sicherheit von „Industrial Automation and Control Systems“ (IACS), die überall dort gefordert ist, wo es um einen sicheren und zuverlässigen Betrieb von Anlagen und Infrastrukturen geht. Eine Vorbereitung für eine IEC-62443-Zertifizierung wird meist durch externe OT-Sicherheitsspezialisten unterstützt.

 

Mit einem umfassenden Sicherheitskonzept und einer Security-Roadmap für den gesamten Lebenszyklus von Produkten und Lösungen sind Hersteller auf einem guten Wege. Sie können sich damit einen wichtigen Wettbewerbsvorsprung – auch im Hinblick auf außereuropäische Anbieter – verschaffen.


Um erfolgreich digitalisieren zu können, wird zunächst eine Datenbasis benötigt, die über Unternehmensgrenzen hinaus auswertbar ist.

 

Verbesserte Sicherheit im täglichen Betrieb

In Produktionsnetzen mit Maschinen, Leitständen zur Steuerung, Robotern, Förderbändern und vielem mehr steht seit langer Zeit das Thema Verfügbarkeit im Vordergrund. Die Security ist eher von untergeordneter Bedeutung. Aufgrund der Vielzahl bekannt gewordener Angriffe auf Produktionsanlagen ändert sich das langsam. Eine der ersten Maßnahmen ist die Festlegung von Verantwortlichkeiten für Sicherheitsaufgaben.

 

Die Verantwortung für die Verfügbarkeit der Produktionsnetze liegt beim Produktionsleiter; daran wird sich wahrscheinlich in der Praxis auch so schnell nichts ändern. Unternehmen der Automobilbranche etwa haben eigene Abteilungen gegründet, die sich explizit um OT-Security kümmern. Andere Branchen – und dort vor allem der gehobene Mittelstand – sind erst dabei, Verantwortliche zu benennen. Damit ist ein wichtiger Schritt getan, um die IT-Sicherheit in den Produktionsnetzen gezielt angehen zu können.

 

Sind Verantwortlichkeiten und Rollen geklärt, sollten Unternehmen – meist unterstützt durch externe Sicherheitsexperten und -analysten – ein Security- Assessment ihrer Produktionsnetze durch- führen. Basis dafür bilden Interviews mit den Betreibern und Verantwortlichen der OT-Umgebungen und ein Asset-Discovery, das mithilfe von Threat-Detection-Sensoren eine Bestandsaufnahme der vorhandenen OT- und IoT-Systeme sowie der internen und externen Kommunikationsbeziehungen liefert. Erfahrungen aus der Praxis zeigen, dass dabei immer Geräte und Verbindungen zum Vorschein kommen, von denen zuvor keiner Kenntnis hatte. Gerade diese sind hochriskant: Wenn niemand im Unternehmen von deren Existenz wusste, können Angreifer über dieses Einfallstor unentdeckt Wirtschaftsspionage betreiben. Ein wichtiges Ziel der Bestandsaufnahme ist, bei den er- mittelten Schwachstellen eine Priorisierung vorzunehmen. Was ist von höchster Kritikalität?  Diese Sicherheitslücken müssen sofort geschlossen werden, andere können schrittweise beseitigt werden.

 

Weitere Themen der OT-Security-Analyse sind ein OT-Security-Vulnerability-Assessment, OT-Security-Risk-Assessment, OT- Governance und eine strukturierte Planung der weiteren Schritte zur Erhöhung der OT- Security. Gerade die Priorisierung der umzusetzenden Maßnahmen stellt viele Unternehmen vor große Herausforderungen. Fester Bestandteil der Analyse ist eine genaue Dokumentation der Assets und von deren Kommunikationsbeziehungen. Vorbild dafür ist die Konfigurationsdatenbank (CMDB) der IT-Systeme.

 

Bei der Ermittlung der externen Kommunikationskanäle interessiert zunächst, welche überhaupt vorhanden sind: Einwahlverbindungen, aber auch Standleitungen und Maschinen mit LTE-Karten für die Remote- Wartung. Solche Verbindungen sollten genau unter die Lupe genommen werden: Im Juli 2018 waren als Folge eines Datenlecks bei einem kanadischen Dienstleister namens „Level One Robotics and Controls“ fast 160 GB Daten verschiedener Automobilbauer öffentlich im Internet zugänglich. Die Daten wurden hierbei über direkte Kommunikationsverbindungen zwischen dem Dienstleister und den Automobilkonzernen abgezogen.

 

Dieser Fall verdeutlicht, wie wichtig es ist, zu wissen, wer mit wem kommuniziert und diese Fakten in eine Risikoanalyse einzubeziehen. Die technische Grundlage dafür stellen die Threat-Detection-Sensoren in OT-Umgebungen bereit, die sich nicht nur für eine Bestandsaufnahme, sondern auch für ein kontinuierliches Monitoring nutzen lassen. Dann sind Unternehmen sofort auf einem aktuellen Stand, wissen jederzeit, was in ihren Produktionsnetzen geschieht und können bei Bedarf schnell reagieren. Die Bestandsaufnahme und fortlaufende Überwachung der internen und externen Kommunikationsabläufe in einem Produktionsnetzwerk sind zentrale Bestandteile, um eine hohe Sicherheit von OT-Systemen und IoT-Geräten über den gesamten Lebenszyklus zu erzielen.

 

Handbuch IoT; Christian Koch; 11.2018
Creative Commons-Lizenz: https://creativecommons.org/licenses/by-sa/3.0/de/

 

apps grc software tool

 

IoT – Internet of Things

Intelligente Vernetzung erfordert intelligente Sicherheitskonzepte

 

Die neuen Möglichkeiten, die IoT eröffnet, erfordern in Sachen Informationssicherheit eine besonders konsequente Haltung und innovative Lösungsansätze. Vertrauen Sie deshalb auf das Know-how unserer erfahrenen Spezialisten. Sie beraten und unterstützen Sie in allen Sicherheitsfragen rund um IoT und darüber hinaus.

 

Kontaktieren Sie uns online (infosec@infosec.ch) oder telefonisch (+41 41 984 12 12) für ein kostenloses Erstgespräch.

 

Mehr

05/2019

Eine Einführung für die Geschäftsleitung (Teil 2)

 

Die Rolle der Cybersecurity besteht darin, die Ziele des Unternehmens zu erreichen und, zunehmend, Wettbewerbsvorteile zu schaffen. Sie sollte einen Mehrwert für Ihre Organisation darstellen und nicht den Fortschritt behindern. Dies erfordert eine positive Cybersicherheitskultur und angemessene Investitionen und ein angemessenes Management der Cybersecurity.

 

Was sollte die Geschäftsleitung tun?

Integrieren Sie Cybersecurity in die Ziele und Risiken Ihrer Organisation.

 

Es gibt zwei Gründe, warum das so wichtig ist.

 

Erstens wirkt sich die Cybersecurity auf jeden Aspekt Ihrer Organisation aus. Um sie richtig zu managen, muss sie daher in das organisatorische Risikomanagement und die Entscheidungsfindung integriert werden. Zum Beispiel:

  • Das operationelle Risiko wird wahrscheinlich durch die Cybersecurity verstärkt, da Sie sich auf die Sicherheit der von Ihnen genutzten digitalen Dienste (E-Mail-Dienste, massgeschneiderte Software usw.) verlassen.
  • Ein gewisses rechtliches Risiko ist mit dem Cybersicherheitsrisiko verbunden (z.B. vertragliche Anforderungen zum Schutz von Daten oder Partnerschaften, regulatorische Anforderungen zum spezifischen Umgang mit Daten).
  • Das finanzielle Risiko wird durch die Cybersecurity beeinflusst (z.B. Geldverlust durch Betrug, der durch Cyber ermöglicht wurde, Umsatzeinbussen, wenn Dienste durch einen Cyberangriff offline genommen werden).
  • Eine gute Cybersecurity ermöglicht es Ihnen auch, ein gewisses Risiko einzugehen, wenn Sie neue Technologien zur Innovation nutzen. Ein zu vorsichtiger Umgang mit Risiken kann zu verpassten Geschäftsmöglichkeiten oder zusätzlichen (und unnötigen) Kosten führen.

Zweitens muss die Cybersecurity integriert werden, damit sie erfolgreich ist. Bei einer guten Cybersecurity geht es nicht nur darum, gute Technologien zu haben, sondern auch darum, dass Menschen ein gutes Verhältnis zur Sicherheit haben und dass Sie über die richtigen Prozesse in der gesamten Organisation verfügen, um diese zu verwalten.

 

Zum Beispiel, um sich vor einem Angreifer zu schützen, der auf sensible Daten zugreifen will (während sichergestellt wird, dass nur diejenigen mit einem aktuellen und gültigen Bedürfnis diese sehen können), benötigen Sie:

  • eine gute technische Lösung zur Speicherung der Daten
  • angemessene Schulung des Personals, dass die Daten bearbeitet
  • einen Prozess zur Verwaltung der Personalbewegungen, der auf die Zugangsverwaltung abgestimmt ist.

 

Spiegeln Sie dies in Ihrer Struktur wider.

Überlassen Sie es nicht einer Person; die Cybersecurity ist die Verantwortung der gesamten Geschäftsleitung.

 

Ein Cybersicherheitsvorfall betrifft die gesamte Organisation - nicht nur die IT-Abteilung. So kann er sich beispielsweise auf den Online-Verkauf oder Vertragsbeziehungen auswirken oder rechtliche oder regulatorische Massnahmen auslösen. Es sollte genügend Fachwissen innerhalb der Geschäftsleitung vorhanden sein, um eine Cybersicherheitsstrategie vorzugeben und Entscheidungen hinterfragen zu können. Jedes Mitglied der Geschäftsleitung benötigt genügend Fachwissen, um zu verstehen, wie sich dies konkret auf seinen Schwerpunktbereich auswirkt, und um die allgemeinen Auswirkungen auf die Organisation als Ganzes zu verstehen.

 

Arbeiten Sie mit Ihren Experten zusammen

Überlegen Sie, ob Ihre Berichtsstruktur es der Geschäftsleitung ermöglicht, sich mit der Cybersecurity wie erforderlich zu befassen. Wenn der CISO an einen Ansprechpartner in der Geschäftsleitung rapportiert, der sich nur auf einen Aspekt konzentriert - sei es Finanzen oder Recht oder Technologie -, kann dies die Fähigkeit der Geschäftsleitung beschränken, die weiteren Auswirkungen der Cybersecurity zu erkennen. In der Mehrheit der FTSE350-Organisationen berichtet der CISO nun direkt an die Geschäftsleitung.

 

Ein guter Ausgangspunkt für die Verbesserung der Cybersecurity in Ihrer Organisation ist die Kommunikation zwischen Experten und Geschäftsleitungsmitgliedern. Die richtige Struktur zu finden, kann helfen, aber wir sehen auch oft eine Zurückhaltung beider Parteien, sich zu engagieren:

  • Technische Mitarbeiter denken, dass die Geschäftsleitung sie nicht verstehen wird.
  • Die Geschäftsleitung ist der Ansicht, dass das technische Personal nicht in der Lage ist, die Fragen im Zusammenhang mit den strategischen Zielen der Organisation zu erläutern.

Die Verbesserung der Kommunikation zwischen diesen beiden Gruppen erfordert Anstrengungen von beiden Seiten:

  • Eine Geschäftsleitung benötigt ein so gutes Verständnis der Cybersecurity, dass sie verstehen kann, wie Cybersecurity ihre übergeordneten Unternehmensziele unterstützt.
  • Das technische Personal muss verstehen, dass die Kommunikation über Cyberrisiken eine Kernkomponente seiner Arbeit ist, und sicherstellen, dass es den Beitrag seines Rolle als zu den Zielen der Organisation versteht.

 


 
Was wäre ein gutes Cybersecurity-Vorgehen?

Die folgenden Fragen können verwendet werden, um produktive Diskussionen mit Ihrem technischen Team zu führen. Ziel ist es, herauszufinden, was "gute" Cybersecurity ausmacht, wenn es darum geht, Cybersecurity in Ihre Struktur und Ziele zu integrieren.

 

Frage 1

 

Verstehen wir als Geschäftsleitung, wie sich Cybersecurity auf unsere individuelle und kollektive Verantwortung auswirkt?

 

Sie sollten in Betracht ziehen:

  • Verfügt jedes Geschäftsleitungsmitglied über genügend Fachwissen, um die potenziellen Auswirkungen und den Wert der Cybersecurity zu verstehen?
  • Gibt es jemanden, der für die Cybersecurity der Organisation verantwortlich ist?
  • Wer ist für die Überwachung der Cybersecurity verantwortlich?
  • Sind wir uns darüber im Klaren, welche Informationen sowohl die Geschäftsleitung als auch unsere breiteren Interessengruppen benötigen?

 

Frage 2

 

Wer ist in der Organisation derzeit für die Cybersecurity verantwortlich?

 

Dies kann eine Person oder eine Funktion sein, z.B. ein Audit Committee. Sie sollten in Betracht ziehen:

  • Wie arbeiten sie mit der Geschäftsleitung zusammen - berichten sie direkt an die Geschäftsleitung oder passen sie in einen anderen Berichtsprozess? Ermutigt dies die Geschäftsleitung, sich aktiv an den Diskussionen über Cybersecurity zu beteiligen?
  • Was sind ihre Ziele und wer legt sie fest - treiben diese Ziele die Cybersecurity voran, um ein Unternehmen zu unterstützen?
  • Haben sie Zugang zu allen Personen, die sie benötigen, um eine effektive Cybersecurity zu gewährleisten - dies könnte nur im Hinblick auf die Ressourcen erfolgen, die zur Erreichung Ihrer Cybersicherheitsziele erforderlich sind, aber es könnten auch die Teams sein, mit denen sie verbunden werden müssen, z.B. Personal, Finanzen usw.

 

Frage 3

 

Wie stellen wir als Geschäftsleitung sicher, dass die Cybersicherheitsmassnahmen unserer Organisation wirksam sind?

 

Sie möchten vielleicht die Gewissheit haben, dass:

  • Das Unternehmen wendet eine angemessene Palette von technischen Assurance-Tätigkeiten an, deren Ergebnisse der Geschäftsleitung auf sinnvolle Weise vermittelt werden. Assurance-Aktivitäten können die Überprüfung von Abwehrmassnahmen anhand geeigneter Rahmenbedingungen beinhalten.
  • Bedrohungsbewertungen und Verteidigungsprioritäten werden regelmässig überprüft und die Abwehrmassnahmen entsprechend aktualisiert.
  • Der Fokus Ihrer Cybersicherheitsmassnahmen richtet sich nach den Risiken, die Sie identifiziert und priorisiert haben.

 

Frage 4

 

Haben wir als Unternehmen einen Prozess, der sicherstellt, dass das Cyber-Risiko mit dem Geschäftsrisiko integriert wird?

 

Ein Beispiel dafür wäre, wenn ein Risiko von einem Teil der Organisation gegen ein anderes abgewogen wurde. So kann beispielsweise ein Unternehmen beurteilen, dass die Einführung einer Bring Your Own Device (BYOD)-Richtlinie dem Unternehmen einen erheblichen Nutzen in Form von flexibler Arbeit bringt. Im Rahmen des Änderungsfalls, einschliesslich der Bewertung des Geschäftsrisikos, ein BYOD-Modell nicht zu implementieren, sollten Sie auch Folgendes tun:

  • Bewerten Sie den Anstieg des Risikos, das mit der erhöhten Anzahl von Geräten verbunden ist, die an Ihr Netzwerk angeschlossen sind.
  • Bewerten Sie das Risiko, das damit verbunden ist, dass Sie keine Geräte besitzen und somit keine Kontrolle über diese Geräte haben, die mit Ihrem Netzwerk verbunden sind.
  • Wägen Sie bewusst Geschäftsrisiken und -nutzen und technische Risiken und Nutzen von BYOD ab.
  • Berücksichtigen Sie andere Modelle, wie z.B. Corporate Owned, Personally Enabled (COPE) und vergleichen Sie die Risiken und Vorteile.
  • Bewertung der Eignung geplanter Sicherheitsmassnahmen, um sicherzustellen, dass sie die Ziele der flexiblen Arbeit unterstützen und nicht einschränken.
  • In diesem Beispiel wurde das Cyberrisiko der Einführung des neuen Dienstes (BYOD) in das Geschäftsrisiko integriert. Diejenigen, die für einen Dienst verantwortlich sind, sollten bestmögliche Beratung erhalten, damit sie Cyberrisiken und andere Risiken (und Vorteile) bei ihrer Entscheidungsfindung klar abwägen können.

 

https://www.ncsc.gov.uk/collection/board-toolkit; NCSC, bow; 23.04.2019
Crown Copyright, Open Government licence http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/

 

cyber security

 

Cyber Security

Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

05/2019

Eine Einführung für die Geschäftsleitung (Teil 3)

 

Cyber-Fähigkeiten sind bereits sehr gefragt, und die Studie Global Information Security Workforce schätzt, dass bis 2022 350’000 entsprechend ausgebildete und erfahrene Personen in Europa fehlen werden. Unternehmen müssen jetzt Massnahmen ergreifen, um sicherzustellen, dass sie in Zukunft auf Cybersicherheitsexpertise zurückgreifen können.

 

Was sollte die Geschäftsleitung tun?

Feststellung Ihrer aktuellen Fähigkeiten

 

Die Geschäftsleitung sollte verstehen, welche Cyber-Expertise es in der Organisation gibt und was Sie benötigen. Haben Sie einen CISO? Ein Informationssicherheitsteam? Incident Manager? Wenn nicht, sollten Sie?

 

Diese Informationen geben Ihnen einen Einblick in die Widerstandsfähigkeit der Cybersicherheitsmassnahmen (hängen Sie derzeit von einer Person ab?) und helfen Ihnen auch, die Herkunft der erhaltenen Cybersicherheitsinformationen zu verstehen.

 

Vielleicht sollten Sie auch die Expertise der Geschäftsleitung selbst berücksichtigen. Verfügen Sie derzeit über ausreichende Fachkenntnisse, um sicherzustellen, dass die Geschäftsleitung in der Lage ist, angemessene strategische Entscheidungen zur Cybersecurity zu treffen? Sind Sie wahrscheinlich in der Lage, Schritt zu halten, wenn der technologische Fortschritt neue Sicherheitsherausforderungen mit sich bringt?

 

Was sollte Ihre Organisation tun?

Erstellen Sie einen Organisationsplan

 

Angesichts des Mangels an entsprechend qualifizierten Personen und der zunehmenden Abhängigkeit von digitalen Diensten, die gesichert werden müssen, werden Unternehmen, die sich nicht mit Cybersecurity befassen, bald in Verzug geraten.

 

  1. Finden Sie heraus, welche spezifische Cybersicherheitsexpertise Sie benötigen. "Cybersecurity" umfasst eine Reihe verschiedener Fähigkeiten, von der Netzwerksicherheit über das Risikomanagement bis hin zur Reaktion auf Vorfälle. Es kann nützlich sein, zuerst zu überlegen, welche Fähigkeiten Sie benötigen, um Ihre Ziele oder Risiken mit höchster Priorität zu managen, und dann zu beurteilen, welche (falls vorhanden) dieser Fähigkeiten Sie nicht auslagern können und daher im Haus haben müssen.
  2. Stellen Sie fest, wie dringend Sie diese Fähigkeiten benötigen. Wenn Sie erwägen, bestehende Mitarbeiter zu schulen, unterschätzen Sie nicht, was dies bedeutet. Die Teilnahme an einer Schulung macht jemanden nicht zum Cyber-Sicherheitsexperten: Er muss auch die Möglichkeit haben, praktische Fähigkeiten zu entwickeln, und deshalb bedarf es der Unterstützung durch die Organisation. Wenn Sie kurzfristig Expertise benötigen, ist es vielleicht besser, einen Berater oder Spezialisten zu gewinnen.
  3. Überlegen Sie, wie Sie professionelle Cybersicherheits-Fähigkeiten erkennen können. Dies könnte bedeuten, dass die Überprüfung der Fähigkeit oder Qualität eines neuen Mitarbeiters und/oder die Entwicklung von Ausbildungsplänen schwierig ist. Überlegen Sie, wie Sie mit vertrauenswürdigen Partnern oder Branchenspezialisten zusammenarbeiten können, um Ihnen die nötige Sicherheit zu geben.

 

DIE FÄHIGKEITEN, DIE SIE HABEN, OPTIMAL NUTZEN
Der beste Weg, die Fähigkeiten, die Sie haben, zu nutzen, ist, die Dinge zu identifizieren und sich auf sie zu konzentrieren, die einzigartig für Sie sind (oder die Dinge, für die nur Menschen innerhalb Ihrer Organisation am besten geeignet sind). Dies kann durch den Einsatz etablierter, marktgängiger Technologien ermöglicht werden. So können Sie beispielsweise Cloud-Anbietern den Aufbau und die Sicherung Ihrer Infrastruktur gestatten, so dass Ihre Experten Zeit damit verbringen können, die einzigartigen Einblicke in Ihr Unternehmen zu nutzen.

 

Bauen Sie Ihre beste Belegschaft auf: gleichberechtigt, vielfältig und integrativ.

 

Aufgrund des Defizits an Fähigkeiten im Bereich der Cybersecurity muss Ihre Organisation Talente aus einem möglichst grossen Pool gewinnen und fördern. Die Cybersicherheitsbranche steht vor den gleichen Qualifikationsanforderungen wie alle technologieorientierten Branchen. Unternehmen können es schwierig finden, hochkarätiges Personal aus allen demografischen Gruppen einzustellen und zu halten. Tatsächlich gibt es viele talentierte Frauen und Minderheiten, die in der Cybersecurity arbeiten, aber oft weniger sichtbar sind. Sie können feindliche Arbeitsumgebungen erleben, die ihre Karriere verlangsamen oder unterbrechen oder die Branche ganz vermeiden. Die Zusammenarbeit bei der Bewältigung dieser Herausforderungen verschafft Ihrem Unternehmen einen Wettbewerbsvorteil.

 

ÜBER DIE TECHNISCHEN FÄHIGKEITEN HINAUSBLICKEN
Bei der Gestaltung von Jobrollen und gewünschten Kandidatenprofilen, insbesondere im Einstiegsbereich, sollten Sie ideenreich sein. Der Schutz unserer Organisationen beruht darauf, dass viele verschiedene technische und nicht-technische Fähigkeiten zusammengeführt werden, um Sicherheit zu gewährleisten, die mit den Zielen der Organisation übereinstimmt. Rekrutieren Sie für breitere Geschäftsfähigkeiten, Ambitionen und Potenziale sowie für aktuelle technische Fähigkeiten.

 

SICH UM IHR BESTEHENDES TALENT KÜMMERN
Wenn wir versuchen, unsere Organisationen vielfältiger und integrativer zu gestalten, konzentrieren wir uns oft darauf, neue Talente zu gewinnen, während wir die Probleme ignorieren, die Ihre derzeitigen Mitarbeiter daran hindern, zu bleiben und zu gedeihen, sobald sie einmal da sind. Die verfügbaren Talente mögen sich Ihrer eigenen direkten Kontrolle entziehen, aber Sie können kontrollieren, wie viel Cyber-Sicherheitstalente Sie aufgrund schwieriger Richtlinien und Prozesse sowie einer unangenehmen Arbeitskultur verlieren. Neben einer starken Sicherheitskultur sollten Sie sich auf eine vollständig integrative Arbeitskultur konzentrieren.

 

Schulen, einkaufen oder für die Zukunft entwickeln

 

Im Grossen und Ganzen gibt es 3 Möglichkeiten, um die Cyber-Expertise innerhalb Ihrer Organisation zu erhöhen.

 

SCHULUNG DES BESTEHENDEN PERSONALS
Berücksichtigen Sie nicht nur die Mitarbeiter, die bereits in sicherheitsrelevanten Positionen tätig sind. Schliesslich gibt es viele verschiedene Aspekte der Cybersecurity und jemand, der Experte für das Design einer Netzwerkarchitektur ist, könnte eine ganz andere Qualifikation haben als die Person, die mit dem Personal arbeitet, um sicherzustellen, dass Sicherheitsrichtlinien praktisch und effektiv sind.

Je nach den Bedürfnissen Ihrer Organisation und Ihres Personals kann die Schulung in Form von Training am Arbeitsplatz, beruflichen Qualifikationen oder Praktika erfolgen. Denken Sie daran, dass sich die Entwicklung von Cybersicherheitskompetenz nicht von vielen anderen Berufsbereichen unterscheidet: Die Mitarbeiter werden kontinuierliche Investitionen, Schulungen und Entwicklungsmöglichkeiten benötigen, um ihr Fachwissen zu verfeinern und auch mit den Veränderungen in der Branche Schritt zu halten.

 

BESCHAFFUNG VON EXTERNER EXPERTISE
Für die Einführung von externem Fachwissen stehen mehrere komplementäre Wege zur Verfügung. Eine grosse Organisation wird sie wahrscheinlich alle nutzen.

  1. Rekrutieren Sie einen qualifizierten, nicht geschäftsführenden Direktor für Ihre Geschäftsleitung.
  2. Beauftragen Sie einen Berater mit der Bereitstellung spezifischer Cyber-Sicherheitsberatung.
  3. Identifizieren Sie spezifische Cybersicherheitsdienste, die von einem Dritten erfüllt werden können.
  4. Rekrutieren Sie Mitarbeiter, die bereits über die erforderlichen Fähigkeiten verfügen.

 

 


 

 

Was wäre ein gutes Cybersecurity-Vorgehen?


Die folgenden Fragen können verwendet werden, um produktive Diskussionen mit Ihrem technischen Team zu führen. Ziel ist es, herauszufinden, was "gute" Cybersecurity im Hinblick auf die Steigerung der Expertise im Bereich Cybersecurity ausmacht.

 

Frage 1

 

Als Organisation, welche Cyber-Expertise benötigen wir und was haben wir?

 

Sie sollten herausfinden:

  • Welche Expertise benötigen wir, um unser Cyber-Risiko zu managen? Was müssen wir intern halten und was können wir auslagern?
  • Ist jeder unserer Anforderungen fortlaufend? Zum Beispiel benötigen Sie vielleicht ein Penetrationstestteam, das nur einige Male im Jahr kommt, aber Sie brauchen vielleicht jemanden, der Ihre Systeme das ganze Jahr über überwacht.
  • Welches Fachwissen ist das Minimum für alle Mitarbeiter? Wie können Sie eine gesunde Cybersicherheitskultur in der Organisation sicherstellen? Wie gut und wie oft schulen Sie das Personal in Ihren Sicherheitsrichtlinien und besonderen Bedrohungen, für die Ihr Unternehmen anfällig sein könnte?
  • Wie viele Mitarbeiter haben wir derzeit mit Cyber-Sicherheitsexpertise? Welche Lücken, sagen sie, haben wir?

 

Frage 2

 

Als Organisation, was ist unser Plan zur Entwicklung dessen, was wir nicht haben?

 

Sie sollten herausfinden:

  • Welche Fähigkeiten stehen im Vordergrund?
  • Wer muss die Planung für Cyber-Know-how entwickeln, und wie müssen sie diese erfüllen?
  • Wie findet man Menschen mit der richtigen Eignung für die verschiedenen Cybersicherheitsfähigkeiten? Denken Sie daran, dass Menschen mit unterschiedlichem Hintergrund und mit technischen und nichttechnischen Fähigkeiten für diesen Bereich gut geeignet sein können.
  • Welche Unterstützung kann die Geschäftsleitung diesem Arbeitsfeld geben, sowohl in Bezug auf Investitionen als auch auf weitere Ressourcen?

 

Frage 3

 

Habe ich als Mitglied der Geschäftsleitung genügend Expertise, um Entscheidungen zur Cybersecurity rechtfertigen zu können?

 

  • Habe ich genug Verständnis für die Entscheidungen, die in meiner Organisation zur Cybersecurity getroffen werden, um den Aktionären gegenüber rechenschaftspflichtig zu sein?
  • Wenn nicht, welchen Plan habe ich, um mein Fachwissen zu erweitern? Es gibt auch viele Trainingsanbieter, die Schulungen speziell für die Geschäftsleitungsebene durchführen.

 

Frage 4

 

Bauen wir als Unternehmen eine gleichberechtigte, vielfältige und integrative Belegschaft auf, um unsere Herausforderungen im Bereich Cybersecurity zu bewältigen?

 

  • Haben wir die richtigen Richtlinien, und funktionieren sie in der Praxis gut und sehen auf dem Papier gut aus?
  • Sammeln wir die richtigen Daten und interpretieren sie richtig? Führen wir dann die richtigen Gespräche mit Personen in der gesamten Organisation, um diese Daten zu ergänzen und ein besseres Bild von weniger greifbaren Massnahmen zu erhalten?
  • Machen wir aktive, sinnvolle Anstrengungen, um aus allen Gemeinschaften zu rekrutieren um die Gesellschaft, in der wir tätig sind, zu reflektieren?
  • Verwenden wir eine Reihe von Rekrutierungsmethoden, um unbewusste Verzerrungen zu überwinden und sicherzustellen, dass wir die Stärken der Kandidaten umfassen herauszufinden?
  • Sind wir zuversichtlich, dass wir Mitarbeiter einstellen und entwickeln, um den Herausforderungen unserer Organisation in Zukunft gerecht zu werden und nicht nur die Aufgaben von heute zu erfüllen?
  • Schaffen wir das richtige Umfeld und die richtige Kultur, damit sich die Mitarbeiter sicher fühlen können, offen auf Probleme hinzuweisen?

 

https://www.ncsc.gov.uk/collection/board-toolkit; NCSC, bow; 23.04.2019
Crown Copyright, Open Government licence http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/

 

cyber security

 

Cyber Security

Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

05/2019

Eine Einführung für die Geschäftsleitung (Teil 4)

 

Bei der Etablierung und Aufrechterhaltung einer gesunden Kultur in jedem Teil des Unternehmens geht es darum, den Menschen in den Mittelpunkt von Strukturen und Richtlinien zu stellen. Bei der Cybersecurity besteht jedoch manchmal die Tendenz, sich fast ausschliesslich auf die technischen Fragen zu konzentrieren und die Bedürfnisse der Menschen und ihre tatsächliche Arbeitsweise zu übersehen.

 

Das führt selten zum Erfolg. Wir wissen zum Beispiel, dass, wenn die offizielle Policy es jemandem schwer macht, seine Arbeit zu tun, oder wenn eine Policy nicht mehr praktikabel ist, die Menschen Umgehungsmöglichkeiten und "inoffizielle" Wege finden, bestimmte Aufgaben zu erfüllen.

 

Ohne eine gesunde Sicherheitskultur werden sich die Mitarbeiter nicht mit Cybersecurity beschäftigen, so dass Sie nichts über diese Umgehungsmöglichkeiten oder inoffiziellen Ansätze wissen. So haben Sie nicht nur ein ungenaues Bild von der Cybersecurity Ihrer Organisation, sondern verpassen auch die Möglichkeit, wertvolle Beiträge von Mitarbeitern zu erhalten, wie Richtlinien oder Prozesse verbessert werden können.

 

Was sollte die Geschäftsleitung tun?

Mit gutem Beispiel vorangehen

 

Sie geben den Ton an, wenn es um die Cybersecurity geht. Führen Sie mit gutem Beispiel und setzen Sie sich für Cybersecurity in Ihrer Organisation ein.

 

Wir hören oft Geschichten von Führungskräften, die Sicherheitsrichtlinien und -prozesse ignorieren, oder von der Forderung nach einer "Sonderbehandlung" in irgendeiner Weise (z.B. die Forderung nach einem anderen Gerät als dem Standard). Dies sagt allen anderen in der Organisation, dass Sie die Regeln vielleicht nicht für zweckmässig halten und/oder dass es akzeptabel ist, zu versuchen, sie zu umgehen.

 

Wenn Richtlinien für Sie als Geschäftsleitungsmitglied nicht funktionieren (d.h. wenn Sie etwas anderes tun, um Ihre Arbeit leichter zu erledigen), dann besteht eine gute Chance, dass sie auch nicht für andere funktionieren. Wenn es den Anschein hat, dass sich die Politik nachteilig auf die Organisation auswirkt, arbeiten Sie mit den Entscheidungsträgern zusammen, um sie anzupassen.

 

Kultur braucht Zeit und gemeinsame Anstrengungen, um sich zu entwickeln. Gehen Sie nicht davon aus, dass, weil die Geschäftsleitung einen Sicherheitsansatz gebilligt hat, dieser automatisch in der gesamten Organisation kaskadiert wird

 

Was sollte Ihre Organisation tun?

Menschen in den Mittelpunkt der Sicherheit stellen

 

Letztendlich sollte die Rolle der Sicherheit darin bestehen, dass Ihr Unternehmen in die Lage versetzt wird, seine Ziele zu erreichen. Daraus folgt, dass, wenn Ihre Cybersicherheitsmassnahmen für die Leute nicht funktionieren, dann funktionieren Ihre Sicherheitsmassnahmen nicht.

 

Einige Organisationen geraten in die Falle, die Menschen als das "schwache Glied" zu behandeln, wenn es um die Cybersecurity geht. Das ist ein Fehler. Effektive Sicherheit bedeutet, alle verschiedenen Komponenten auszugleichen und nicht zu erwarten, dass der Mensch immer der Technologie gerecht werden muss. Noch wichtiger ist, dass die Organisation nicht ohne Menschen funktionieren kann, daher sollten die Mitarbeiter unterstützt werden, damit sie ihre Arbeit so effektiv und sicher wie möglich erledigen können.

 

Sicherheit und Führung müssen das Beste aus dem machen, was das Verhalten der Menschen ihnen sagt. Während die technische Überwachung nach Anomalien suchen kann, kann der Mensch als Frühwarnsystem fungieren und intuitiv etwas entdecken, das ungewöhnlich aussieht. Sicherzustellen, dass die Mitarbeiter wissen, an wen sie Bedenken melden müssen, kann der Organisation langfristig viel Zeit und Geld sparen. Wenn die Mitarbeiter ein festgelegtes Verfahren umgehen, kann dies eine bestimmte Richtlinie oder einen bestimmten Prozess hervorheben, der einer Überprüfung bedarf.

 

Entwicklung einer "gerechten Kultur"

Die Entwicklung einer "gerechten Kultur" wird es der Organisation ermöglichen, mit dem Personal die bestmögliche Interaktion bezüglich Cybersecurity zu haben. Die Mitarbeiter werden ermutigt, sich zu Wort zu melden und Bedenken zu äussern, es werden geeignete Massnahmen ergriffen, und niemand versucht, Schuld zuzuweisen. Dies ermöglicht es den Mitarbeitern, sich darauf zu konzentrieren, den grösstmöglichen Nutzen für das Unternehmen zu erzielen, anstatt sich auf den Schutz ihrer selbst zu konzentrieren.

 

 


 

 

Was wäre ein gutes Vorgehen?

 

Die folgenden Fragen können verwendet werden, um produktive Diskussionen mit Ihrem technischen Team zu führen. Ziel ist es, herauszufinden, was "gute" Cybersecurity im Hinblick auf die Entwicklung einer positiven Cybersicherheitskultur ausmacht.


Frage 1

 

Setze ich als Geschäftsleitungsmitglied ein Beispiel?

 

Sie könnten dies tun, indem Sie:

  • Sicherstellen, dass sich die Mitarbeiter auf allen Ebenen des Unternehmens befähigt fühlen und einen geeigneten Mechanismus haben, um Sicherheitsbedenken anzusprechen.
  • Sich mit Sicherheitsentscheidungen befassen und diese respektieren und mit Entscheidungsträgern zusammenarbeiten, um ineffektive Richtlinien hervorzuheben.
  • Übernehmen Sie Verantwortung für Ihre eigene Rolle in der Cybersecurity, indem Sie das Risiko, das Sie als wahrscheinliches Ziel für Angreifer darstellen, erkennen und entsprechend handeln.
  • Offen und positiv mit den Mitarbeitern darüber sprechen, warum Cybersecurity für das Unternehmen wichtig ist.

 

Frage 2

 

Haben wir als Organisation eine gute Sicherheitskultur?

 

Einige Zeichen dafür, dass eine Organisation einen guten Ansatz hat, wären:

  • Die Mitarbeiter wissen, wie sie Bedenken oder verdächtige Aktivitäten melden können, und fühlen sich dazu ermächtigt.
  • Die Mitarbeiter fürchten keine Repressalien, wenn sie Bedenken oder Vorfälle melden.
  • Die Mitarbeiter fühlen sich in der Lage, Prozesse konstruktiv zu hinterfragen.
  • Die Mitarbeitereinbindung wird nachweislich zur Gestaltung der Sicherheitspolitik genutzt.
  • Die Mitarbeiter verstehen, wie wichtig Cybersicherheitsmassnahmen sind und was sie für das Unternehmen bedeuten.

 

Frage 3

 

Was tun wir als Organisation um eine gute Sicherheitskultur zu unterstützen?

 

Dies kann je nach Grösse Ihrer Organisation sehr unterschiedlich sein. Einige Beispiele, die wir gesehen haben, sind unter anderem:

  • Angemessene Ressourcen für die Mitarbeiter-Awareness.
  • Sicherstellen, dass die Mitarbeiter bei der Erstellung neuer Richtlinien oder Systemdesigns einbezogen werden.
  • Teilen von Sicherheitsmetriken, die sich auf den Erfolg und nicht auf das Scheitern konzentrieren (z.B. wie viele Personen Phishing-E-Mails identifiziert haben und nicht wie viele Personen auf sie geklickt haben).
  • Unterstützung der Wichtigkeit der Cybersicherheit durch die Geschäftsleitung.

 

https://www.ncsc.gov.uk/collection/board-toolkit; NCSC, bow; 23.04.2019
Crown Copyright, Open Government licence http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/

 

cyber security

 

Cyber Security

Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

05/2019

Eine Einführung für die Geschäftsleitung (Teil 5)

 

Es gibt zwei Aufgaben in diesem Abschnitt, aber wir untersuchen sie Seite an Seite, da sich die Ergebnisse der einen auf die andere auswirkt und umgekehrt. Die beiden Aufgaben sind:

  • Ausarbeitung, welche Komponenten Ihres "technischen Bereiches" (d.h. Ihrer Systeme, Daten, Dienste und Netzwerke) für die Ziele Ihrer Organisation am kritischsten sind.
  • Verständnis dafür, was Ihren technischen Bereich ausmacht, so dass Sie eine Ausgangsbasis schaffen können, die in Ihre Risikobewertungen und Ihre Abwehrmassnahmen einfliesst.

 

Während diese beiden Aufgaben getrennte Zwecke haben, müssen Sie einen Überblick Ihrer technischen Ausstattung haben, um zu verstehen, welche Teile davon geschäftskritisch sind. Gleichzeitig müssen Sie die Bereiche zu priorisieren, die der Baseline zugeordnet werden sollen, da dies für Ihren gesamten technischen Bereich zu tun eine sehr ressourcenintensive Aufgabe wäre.

 

Was sollte die Geschäftsleitung tun?

Finden Sie heraus, was Ihnen am wichtigsten ist.

Wie bei allen anderen Geschäftsrisiken wird Ihr Unternehmen nicht in der Lage sein, alle Cyber-Sicherheitsrisiken zu jeder Zeit zu minimieren. Daher muss die Geschäftsleitung wichtige Ziele kommunizieren (es könnte z.B. sein, "Kunden und Klienten einen guten Service zu bieten"), damit sich die technischen Experten auf den Schutz der Dinge konzentrieren können, die sicherstellen, dass diese Ziele erreicht werden.

 

Die Geschäftsleitung sollte auch prüfen, was für das Unternehmen am wertvollsten ist. So könnte die Geschäftsleitung beispielsweise wissen, dass ein bestimmter Partner für die Organisation entscheidend ist und dass eine Kompromittierung seiner Daten katastrophal wäre. Dies sollte den technischen Teams mitgeteilt werden, damit sie dem Schutz dieser "Kronjuwelen" Priorität einräumen können.

 

Es ist sehr wichtig, dass es sich um eine aktive und kontinuierliche Diskussion zwischen der Geschäftsleitung und ihren Experten handelt:

  • Die Geschäftsleitung wird Geschäftseinblicke haben, die technische Teams möglicherweise nicht haben (z.B. welche Partnerbeziehung priorisiert werden muss).
  • Technische Teams haben Wissen über die Treiber für Schlüsselziele (z.B. welche Netzwerke oder Systeme bestimmte Partner nutzen).

 

Nur wenn man diese beiden zusammenbringt, kann man sich ein vollständiges Bild davon machen, was es zu schützen gilt. Sobald Sie dieses Bild haben, ist es wahrscheinlich, dass die Geschäftsleitung innerhalb dieser Liste noch Prioritäten setzen muss. Dieses Verständnis wird nicht nur dazu beitragen, das Ziel Ihrer Cybersecurity zu fokussieren, sondern auch die Einschätzung der Bedrohung, der Ihr Unternehmen ausgesetzt sein könnte, beeinflussen.

 

Was sind Ihre Kronjuwelen?

Ihre Kronjuwelen sind die Dinge, die für Ihre Organisation am wertvollsten sind. Sie könnten wertvoll sein, weil Sie ohne sie einfach nicht funktionieren könnten, oder weil ihre Kompromittierung Reputationsschäden verursachen würde, oder es zu finanziellen Verlusten führen würde. Einige Beispiele könnten sein:

  • umfangreiche personenbezogene Daten
  • geistiges Eigentum
  • Ihre öffentlich zugängliche Website
  • industrielle Steuerungssysteme

 

Was sollte Ihre Organisation tun?

Finden Sie heraus, wo Sie anfangen.

 

Dies liefert Informationen, die Ihre Risikoentscheidungen auf zweierlei Weise unterstützen.

 

Erstens beeinflusst es die Optionen, die Sie haben. Zu wissen, welche Systeme miteinander verbunden sind, wer und was Zugang zu bestimmten Daten hat und wem welche Netzwerke gehören, ist entscheidend für den Aufbau einer guten Verteidigung. Diese Informationen werden auch bei einem Vorfall benötigt, um eine Bewertung des Schadens, den ein Angreifer verursachen könnte, oder der Auswirkungen von Abhilfemassnahmen, die Sie ergreifen könnten, vorzunehmen.

 

Zweitens könnte es Ihre Risikobewertung beeinflussen. Manchmal kommt ein Risiko nicht von einer Bedrohung eines wichtigen Vermögenswertes, sondern von einer Schwachstelle in den Systemen Ihres Unternehmens. Viele Vorfälle sind das Ergebnis von Schwachstellen in älteren und Legacy-Systemen, und die Vorfälle entstehen nicht, weil die Schwachstelle nicht abgewehrt werden kann, sondern weil die Organisation nicht über ein ausreichendes Verständnis ihrer Systeme verfügte, um zu erkennen, dass sie gefährdet waren.

 

Das Verständnis der Gesamtheit Ihrer technischen Landschaft kann eine gewaltige oder unmögliche Aufgabe sein - insbesondere für Organisationen, deren Netzwerke und Systeme organisch gewachsen sind - aber auch nur ein grundlegendes Verständnis wird helfen, und ein gutes Verständnis Ihrer Prioritäten kann helfen, diese Aufgabe zu fokussieren.

 

Identifizierung kritischer technischer Vermögenswerte

Basierend auf den Prioritäten der Geschäftsleitung müssen Sie ermitteln, welche Teile des technischen Bereichs für die Erreichung der obersten Ziele entscheidend sind. Dies können Systeme, Daten, Netzwerke, Dienste oder Technologien sein. So kann beispielsweise die Pflege eines langfristigen Kundenstamms ein vorrangiges Ziel sein. Es gibt viele Möglichkeiten, wie eine gute Cybersecurity dies ermöglichen könnte. Es könnte sein:

  • Sicherung einer Kundendatenbank zum Schutz ihrer Daten
  • Sicherstellung der Ausfallsicherheit des Auftragsabwicklungssystems, um sicherzustellen, dass die Lieferungen pünktlich erfolgen.
  • Sicherstellung der Verfügbarkeit der Website, damit Kunden Sie problemlos kontaktieren können.

 

Es kann manchmal schwierig sein, diese Abhängigkeiten zu identifizieren, da sie ein so integraler Bestandteil Ihres Betriebs sind, dass sie als selbstverständlich angesehen werden können, aber die folgenden Fragen können helfen. Dies in Verbindung mit dem Baselining Ihrer IT-Landschaft zu tun, wird auch dazu beitragen, potenziell Vermögenswerte zu identifizieren, die Ihnen nicht einmal bekannt waren und die für die Bereitstellung bestimmter Dienstleistungen tatsächlich entscheidend sind.

 

Zusammenarbeit mit Lieferanten und Partnern

Die meisten Unternehmen haben Lieferanten oder Partner, mit denen sie Informationen, Systeme oder Dienstleistungen erhalten, bereitstellen oder teilen. Sie müssen dies in der Baseline Ihrer IT-Landschaft berücksichtigen, da dies potenzielle Einstiegspunkte in Ihre Organisation sind.

 

 


 

 

Cybersecurity: Was wäre ein gutes Vorgehen?

Die folgenden Fragen können verwendet werden, um produktive Diskussionen mit Ihrem technischen Team zu führen. Ziel ist es, herauszufinden, was "gute" Cybersecurity ausmacht, wenn es darum geht, Ihre Ausgangslage zu ermitteln und herauszufinden, was Ihnen am wichtigsten ist.


Frage 1

Haben wir als Unternehmen ein klares Verständnis dafür, wie technische Systeme, Prozesse oder Vermögenswerte zur Erreichung unserer Ziele beitragen?

 

Einige Fragen, die dabei helfen können, diese Abhängigkeiten zu identifizieren:

  • Was sind unsere "Kronjuwelen" (d.h. die Dinge, ohne die unsere Organisation nicht überleben könnte)?
  • Welche Anforderungen müssen wir erfüllen (z.B. gesetzliche oder vertragliche Anforderungen)?
  • Was wollen wir nicht, dass es passiert, wie könnte es passieren?

 


Frage 2

Haben wir als Geschäftsleitung unsere vorrangigen Ziele klar kommuniziert und haben wir die Gewissheit, dass diese Prioritäten unsere Bemühungen um Cybersecurity leiten?

 

Die Cyber-Sicherheitsstrategie sollte in die Strategie Ihrer Organisation integriert werden, und Ihre strategischen Prioritäten sollten die Abwehrmassnahmen leiten. Eine gute Organisation sollte über einen Prozess verfügen, um sicherzustellen, dass diese Strategien aufeinander abgestimmt bleiben, und sollte in der Lage sein zu zeigen, wie die Investitionen auf diese Prioritäten ausgerichtet sind.

 

Wenn zum Beispiel ein Versprechen an Kunden über ihre Privatsphäre eine Priorität ist, dann könnten Sie Folgendes tun:

  • festzustellen, was dieses Versprechen gefährden könnte, z.B. der Verlust ihrer Kreditkartendaten.
  • festzustellen, welche technischen Mittel erforderlich sind, um diese Daten zu schützen, z.B. Datenbank, Zugangsmanagementsystem.
  • bei der Umsetzung von Cybersicherheitsmassnahmen die Verteidigung dieser Vermögenswerte in den Vordergrund zu stellen.
  • regelmässige Auditierung der Massnahmen

 

Frage 3

Wie identifizieren und verfolgen wir als Unternehmen Systeme, Daten oder Dienstleistungen, für die wir verantwortlich sind?

 

Wenn Sie eine grosse Organisation sind und Ihre Systeme organisch gewachsen sind, kann es unpraktisch sein, die Details Ihrer Systeme, Geräte und Netzwerke zu verstehen. Mindestens sollten Sie sich darüber im Klaren sein, welchen Grad an Verständnis Sie haben und welche potenziellen Risiken sich aus undokumentierten Systemen ergeben können. Im Idealfall beginnen Sie mit einer guten Vorstellung davon beginnen, wie Ihre IT-Landschaft aussieht, und haben dann einen Prozess, um sicherzustellen, dass alle Änderungen berücksichtigt und aufgezeichnet werden, um die Baseline auf dem neuesten Stand zu halten. Diese Baseline kann Informationen beinhalten wie z.B.:

  • Inventarisierung der in der gesamten Organisation verwendeten Hard- und Software
  • ein aktuelles Verzeichnis der Systeme, einschliesslich aller mit dem Internet verbundenen, partnerseitig gerichteten Systeme und Netzwerke.
  • Details zu Datensätzen; welche Dienste, Systeme und Benutzer haben Zugriff auf sie, wo werden sie gespeichert, wie werden sie verwaltet.

 

https://www.ncsc.gov.uk/collection/board-toolkit; NCSC, bow; 23.04.2019
Crown Copyright, Open Government licence http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/

 

cyber security

 

Cyber Security

Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

05/2019

Eine Einführung für die Geschäftsleitung (Teil 6)

 

Die Art der Bedrohung wird durch die Art der Organisation und die Dienstleistungen einer Organisation bestimmt. So wird beispielsweise die überwiegende Mehrheit der Organisationen nicht gezielt von Nationalstaaten angesprochen und kann sich daher auf die Bedrohungen durch Cyberkriminelle konzentrieren. Organisationen, die Teil des Sektors für kritische nationale Infrastrukturen und Verteidigungsanlagen sind oder Dienstleistungen für diese erbringen, können jedoch durch Nationalstaaten gefährdet sein.

 

Das Verständnis der Bedrohungen, denen Ihr Unternehmen ausgesetzt ist, sei es für sich allein oder aufgrund der Tatsache, mit wem Sie zusammenarbeiten, ermöglicht es Ihnen, den Ansatz Ihres Unternehmens für Investitionen in Cybersecurity entsprechend anzupassen. Sie müssen bewusst entscheiden, gegen welche Bedrohung Sie sich verteidigen wollen, sonst riskieren Sie, sich gegen alles verteidigen zu wollen, und dies erst noch ineffizient.


Cybersecurity: Was sollte die Geschäftsleitung tun?

 

Verstehen Sie die Bedrohung.

Ein Verständnis der Cybersecurity-Bedrohungslandschaft ist der Schlüssel, um der Geschäftsleitung dabei zu helfen, gut informierte Governance-Entscheidungen zu treffen. Beispielsweise können Sie sich anders auf eine Fusion mit einem Unternehmen vorbereiten, wenn Sie wissen, dass sie wichtige Produkte oder Dienstleistungen für kritische nationale Infrastrukturen schaffen und daher ein Ziel für einen Nationalstaat sein können. Die Geschäftsleitung wird bereits einen Einblick in die Bedrohungen oder Herausforderungen ihres Sektors haben. Dies sollte durch ein Bewusstsein für die Motivationen von Angreifern und einen Mechanismus ergänzt werden, um über wichtige Entwicklungen der Cybersecurity (z.B. das Wachstum von Ransomware) auf dem Laufenden zu bleiben.

 

Cybersecurity: Security-Zusammenarbeit

Eine der besten Informationsquellen über bewährte Verfahren und relevante Bedrohungen können Ihre Branchenkollegen sein. Angreifer richten sich oft in ähnlicher Weise gegen eine Reihe von Organisationen im gleichen Sektor. Die Pflege dieser kooperativen Beziehungen im Bereich der Sicherheit hat zwei grosse Vorteile. Erstens kann es dazu beitragen, die Widerstandsfähigkeit der eigenen Organisation zu erhöhen, indem es frühzeitig vor Bedrohungen warnt und die Cybersicherheitspraxis verbessert. Zweitens trägt es dazu bei, die Widerstandsfähigkeit des gesamten Sektors zu erhöhen, was die Attraktivität für potenzielle Angreifer verringern kann.

 

Cybersecurity: Bewerten Sie die Bedrohung

Die Ausarbeitung der für Ihre Organisation relevanten "Bedrohungsakteure" (die Gruppen oder Einzelpersonen, die in der Lage sind, einen Cyberangriff durchzuführen) kann Ihnen helfen, Entscheidungen darüber zu treffen, gegen was Sie sich aktiv verteidigen werden. Obwohl Investitionen in eine gute Ausgangsbasis für Cyber-Sicherheitskontrollen dazu beitragen, Ihr Unternehmen vor den häufigsten Bedrohungen zu schützen, kann die Implementierung effektiver Abwehrmassnahmen gegen einen gezielteren oder nachhaltigeren Angriff kostspielig sein. Abhängig von der Wahrscheinlichkeit und den Auswirkungen dieser Bedrohung könnten Sie entscheiden, dass es sich nicht lohnt, diese zusätzlichen Investitionen vorzunehmen.

 

Die laufende Diskussion zwischen der Geschäftsleitung und Experten wird Ihnen helfen, die Bedrohungen zu priorisieren, gegen die Sie sich aktiv wehren können. Die Experten werden ein vertieftes Verständnis der Bedrohung haben, und die Geschäftsleitung wird in der Lage sein, die Merkmale der Organisation zu identifizieren, die sie zu einem attraktiven Ziel für Angreifer machen könnten. Es ist auch wichtig, diese Diskussion vor jeder Entscheidung zu führen, die das Bedrohungsprofil der Organisation erheblich verändern wird, um dem technischen Personal die Zeit zu geben, die Cybersecurity der Organisation entsprechend anzupassen.

 

Cybersecurity: Zusammenarbeit mit Lieferanten und Partnern

Bei der Beurteilung der Bedrohung sollten Sie nicht nur den Wert berücksichtigen, den Sie als eigenständige Organisation haben könnten, sondern auch den Wert, den Sie als Weg in eine andere, möglicherweise grössere Organisation darstellen können. Beispielsweise können Sie wichtige Dienstleistungen für eine Organisation erbringen, die an der kritischen nationalen Infrastruktur beteiligt ist. In diesem Fall kann ein Nationalstaat Ihre Organisation angreifen, um Zugang zu seinem eigentlichen Ziel zu erhalten.

 

Cybersecurity: Was sollte Ihre Organisation tun?

 

Unterschätzen Sie nicht die Auswirkungen ungeplanter Angriffe

Bei einem ungerichteten Angriff erreicht ein Angreifer mit einem «Giesskannenprinzip»-Ansatz Tausende potenzieller Opfer auf einmal, anstatt ein bestimmtes Opfer anzugreifen. Angreifer verwenden oft automatisierte, weit verbreitete Tools, die öffentlich zugängliche Websites nach bekannten Schwachstellen durchsuchen. Das gleiche Tool wird dann, sobald eine Schwachstelle gefunden wurde, diese Website automatisch ausnutzen, unabhängig davon, zu wem sie gehört. Dies könnte genauso viel Einfluss auf Ihre Organisation haben wie ein gezielter Angriff. Eine gute Grundlage für grundlegende Cyber-Sicherheitskontrollen und -prozesse schützt Ihr System vor den meisten dieser Angriffe.

 

Beschaffen Sie sich gute Informationen – und nutzen Sie sie

Sie benötigen verschiedene Arten von Bedrohungsinformationen für verschiedene Zwecke. Für Governance-Entscheidungen ist ein gutes Gesamtbild der Bedrohungen erforderlich, und für alltägliche und taktische Entscheidungen sind zeitnahe Informationen über Bedrohungen erforderlich. Viele Partner aus Industrie und Verwaltung bieten Informationen über Bedrohungen, von jährlichen Berichten über allgemeine Trends bis hin zu hochtechnischen Berichten über eine bestimmte Art von Malware. Sie benötigen daher einen Mechanismus, um zu ermitteln, welche Informationen Ihre Organisation benötigt, zu welchem Zweck und um diese Informationen intern zu teilen. Entscheidend ist, dass Sie diese Informationen nutzen, um Geschäftsentscheidungen zu treffen, einschliesslich Beschaffung, Outsourcing, Training, Richtlinien und Verteidigung Ihrer Netzwerke.

 

Sie können auch intern Bedrohungsinformationen sammeln. Sie werden wahrscheinlich Erfahrung mit Angriffen auf Ihre eigene Organisation haben, die strategische Einblicke in die Aktivitäten von Bedrohungsakteuren sowie taktische Details über die Methoden der Bedrohungsakteure liefern können. Diese spezifischen Details werden wahrscheinlich aus der Protokollierung oder Überwachung innerhalb Ihrer Organisation entstehen.

 

 


 

 

Cybersecurity: Was wäre ein gutes Vorgehen?

Die folgenden Fragen können verwendet werden, um produktive Diskussionen mit Ihrem technischen Team zu führen. Ziel ist es, herauszufinden, was "gute" Cybersecurity ausmacht, um die Bedrohung der Cybersecurity für Ihr Unternehmen zu verstehen.

 

Frage 1

 

Welche Bedrohungen bewerten wir als relevant für unser Unternehmen und warum?

Diese Analyse sollte:

  • Identifizierung der potenziellen Motivation für diese Bedrohungen und der Wahrscheinlichkeit, dass sie sich auf Ihre Organisation richten.
  • Beeinflussen, welche Risiken Sie bereit sind zu tolerieren.
  • durch die Zusammenarbeit mit wichtigen Partnern in Ihrer Branche angereichert werden.
  • durch Beweise aus den bisherigen Angriffen gestützt werden

 

Frage 2

 

Wie bleiben wir als Unternehmen über die Cyber-Bedrohung auf dem Laufenden?

Sie können:

  • versuchen, Beweise für Angriffe in Systemprotokollen zu finden, die Sie möglicherweise besitzen.
  • Abonnieren Sie eine Reihe von Feeds mit Informationen über Bedrohungen.
  • Teil einer branchenspezifischen Intelligence-Sharing-Gruppe sein.
  • über Mechanismen verfügen, um wichtige Updates von Cyber-Bedrohungen intern zu teilen.

 

Frage 3

 

Wie nutzen wir als Unternehmen Bedrohungsinformationen, um den Normalbetrieb zu unterstützen?

Dies sollte ein kontinuierlicher Zyklus mit Gefährdungsbeurteilungen sein, die die Normalbetriebsentscheidungen beeinflussen und Normalbetriebserfahrungen, die in die Gefährdungsbeurteilungen einfliessen. Beispiele hierfür können sein:

  • Bewertung der Wahrscheinlichkeit und der Auswirkungen von Bedrohungen als zusätzliche Information für Risikobewertungen und -appetit
  • Aufklärung der Mitarbeiter über die wichtigsten Bedrohungen, denen sie ausgesetzt sind, damit sie fundierte Entscheidungen treffen können.
  • Lehren aus früheren Vorfällen ziehen, die in Bedrohungsbewertungen einfliessen.
  • Nutzung von Bedrohungsinformationen zur Fokussierung von Abwehrmassnahmen
  • Berücksichtigung von Bedrohungen bei Änderungs- oder Beschaffungsentscheidungen (z.B. bei der Auswahl eines neuen IT-Anbieters, bei der Prüfung einer möglichen Fusion oder bei der Entwicklung eines neuen Produkts)

 

https://www.ncsc.gov.uk/collection/board-toolkit; NCSC, bow; 23.04.2019
Crown Copyright, Open Government licence http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/

 

cyber security

 

Cyber Security

Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

05/2019

Eine Einführung für die Geschäftsleitung (Teil 7)

 

Die meisten Unternehmen werden bereits Massnahmen ergreifen, um ihr Cybersicherheitsrisiko zu bewerten und zu managen. Es lohnt sich jedoch, darüber nachzudenken, durch was diese Tätigkeit ausgelöst wird. Häufig führen Unternehmen Risikomanagementübungen aus Gründen der "Compliance" durch, die Folgendes beinhalten können:

  • Verpflichtungen aus externem Druck (z.B. regulatorische Anforderungen)
  • Kundenanforderungen
  • rechtliche Beschränkungen

Wenn dies aus diesen Gründen geschieht, besteht die Gefahr, dass das Risikomanagement zu einer Tick-box-Übung wird. Dies kann dazu führen, dass Unternehmen glauben, ein Risiko bewältigt zu haben, obwohl sie in Wirklichkeit lediglich einen Prozess eingehalten haben, der (wenn auch unbeabsichtigte) negative Folgen haben kann.

 

Compliance und Sicherheit sind nicht dasselbe. Sie können sich überschneiden, aber die Einhaltung gemeinsamer Sicherheitsstandards kann mit sehr schwachen Sicherheitspraktiken koexistieren und diese überdecken. Ein gutes Risikomanagement sollte über die reine Compliance hinausgehen. Ein gutes Risikomanagement sollte Einblick in die Gesundheit Ihrer Organisation geben und Chancen und mögliche Probleme erkennen.

 

Was sollte die Geschäftsleitung tun?

 

Integrieren Sie Cybersecurity in die Prozesse des organisatorischen Risikomanagements

Viele Ihrer organisatorischen Risiken haben eine Cyberkomponente. Das Cyber-Sicherheitsrisiko sollte daher in Ihren organisatorischen Ansatz für das Risikomanagement integriert werden. Der Umgang mit dem Cyber-Sicherheitsrisiko als eigenständigem Thema (oder einfach im Sinne von "IT-Risiko") wird es Ihnen schwer machen, die breiteren Auswirkungen dieser Cyber-Sicherheitsrisiken zu erkennen oder alle anderen organisatorischen Risiken zu berücksichtigen, die Auswirkungen auf die Cybersecurity haben.

 

Die Rolle der Cybersecurity sollte darin bestehen, das Unternehmen zu unterstützen und zu befähigen, und zwar durch das Management seiner Risiken, ohne wesentliche Aktivitäten zu blockieren, oder die Dinge zu verlangsamen oder die Kosten für die Geschäftstätigkeit unverhältnismässig hoch zu machen.

 

Machen Sie das Ausmass der Risikoreduktion nicht zum Massstab für den Erfolg

Es kann schwierig sein, den Erfolg der Cybersicherheitsmassnahmen Ihres Unternehmens zu messen. Ein typisches Ergebnis einer guten Cybersecurity ist das Fehlen eines Fehlers, der schwer zu messen ist, und da die Cybersecurity noch ein relativ neues Feld ist, gibt es noch nicht viele etablierte Metriken, auf die man sich stützen kann.

 

Es ist üblich, dass Risikobewertungen eine Art Bewertungsniveau liefern, sei es ein hoch, mittel oder niedrig, oder eine Zahl, und so könnte es verlockend sein, dies als Leistungskennzahl für Ihre Cybersicherheitsmassnahmen zu verwenden. Dies sind jedoch schlechte Metriken für Ihre internen Sicherheitsbemühungen, da sie von externen Faktoren beeinflusst werden, die ausserhalb Ihrer Kontrolle liegen - Faktoren, die sich extrem schnell ändern. Täglich werden neue Schwachstellen entdeckt, und die Zahl der Akteure, die Cyber-Mittel zur Erreichung ihrer Ziele einsetzen wollen, steigt.

 

Die Steigerung der Leistung durch die Reduzierung einer mit dem Cyber-Sicherheitsrisiko verbundenen Zahl wird wahrscheinlich Anreize für Risikobeurteiler und Gutachter schaffen, die Risiken zu unterschätzen, was zu weniger fundierten Entscheidungen führt. Einige Überlegungen darüber, wie "gute Metriken" aussehen, werden bei der Implementierung effektiver Cybersicherheitsmassnahmen angestellt.

 

Was sollte Ihre Organisation tun?

 

Seien Sie realistisch in Bezug auf die Risiken.

Ähnliche Grundsätze des Risikomanagements nach bewährten Verfahren gelten für das Management von Cyberrisiken wie für das Management anderer organisatorischer Risiken. Es gibt jedoch zwei Dinge zu beachten.

 

Erstens schreiten Lösungen und Technologien in der Cybersecurity so schnell voran, dass es leicht ist, sich in veralteten Bewertungen von Cyberrisiken zu verfangen. Daher müssen Sie Cyber-Sicherheitsrisiken möglicherweise häufiger überprüfen als andere Risiken.

 

Zweitens, da die Cybersecurity noch ein relativ neues Gebiet ist, wird die Organisation kein so intuitives Verständnis von Cybersicherheitsrisiken haben, wie es für das finanzielle Risiko der Fall wäre. Wenn neue Technologien auftauchen, gibt es vielleicht keine riesige Evidenzbasis, auf die man sich bei der Erstellung einer Risikobewertung stützen kann. Dies ist bei der Betrachtung des Vertrauens, das Sie in eine Bewertung des Cybersicherheitsrisikos haben, zu berücksichtigen, insbesondere wenn diese Bewertung direkt mit der Bewertung etablierterer Risiken verglichen werden soll.

 

Ein gutes Beispiel dafür ist die Cloud-Sicherheit. Der NCSC sieht viele Organisationen zögern, Cloud-Dienste zu nutzen, weil sie intuitiv davon ausgehen, dass es ein hohes Risiko ist, vor allem durch den Glauben, dass die Speicherung von etwas Wertvollem bei einem Dritten riskanter ist. In Wirklichkeit hat der Dritte (in diesem Fall also ein Cloud-Service-Provider) möglicherweise bessere Sicherheitsmassnahmen in seinen Rechenzentren als Ihre eigene Vor-Ort-Speicherung. Das Gesamtrisiko kann also geringer sein. Eine Entscheidung für den Einsatz neuester Technologien - wie Cloud Storage - müsste auf einem umfassenden Verständnis aller Risiken beruhen und nicht auf einer intuitiven Bewertung.

 

 


 

 

Was wäre ein gutes Vorgehen?

Die folgenden Fragen können verwendet werden, um produktive Diskussionen mit Ihrem technischen Team zu führen. Ziel ist es, herauszufinden, was "gute" Cybersecurity im Hinblick auf das Management von Cybersicherheitsrisiken ausmacht.

 

Frage 1

 

Haben wir als Unternehmen einen Prozess, der sicherstellt, dass die Entscheidungsträger so gut wie möglich informiert sind?

Der Hauptfokus Ihres Prozesses sollte sein, dass Entscheidungsträger die fundiertesten Entscheidungen treffen können. Die Entscheidungsträger können die Geschäftsleitung sein (die eine Risikobereitschaft basierend auf dem Verständnis eines technischen oder operativen Risikos festlegen muss) oder die Praktiker, die entscheiden müssen, wie eine bestimmte, von der Geschäftsleitung vorgegebene Vorgehensweise umzusetzen ist. Beide müssen so gut wie möglich informiert sein (in einer verständlichen Form), damit diese Entscheidungen gut getroffen werden können. Das bedeutet, dass die Ergebnisse der Risikobewertungen sinnvoll ausgedrückt werden müssen. Qualifizierte Ergebnisse sind in der Regel am effektivsten und sind sinnlosen Ergebnissen vorzuziehen, bei denen manchmal beliebige Zahlen addiert oder multipliziert werden, um eine Punktzahl abzuleiten.

 

Frage 2

 

Wie bleiben wir als Unternehmen über die Cyber-Bedrohung auf dem Laufenden?

Jeder Entscheidungsträger in Ihrer Organisation sollte sich der Bedeutung des Cyber-Sicherheitsrisikos bewusst sein und über genügend Fachwissen (oder Zugang zu Fachwissen) verfügen, um das Cyber-Sicherheitsrisiko bei seinen Entscheidungen zu berücksichtigen. Zuerst sollten Sie vielleicht Folgendes tun:

  • bewusst mögliche Cyber-Sicherheitsrisiken in Ihre Entscheidungsprozesse einbauen.
  • Fokussierung auf Schulung der Mitarbeitenden über Cybersecurity

Eine Möglichkeit, zu überprüfen, ob dies funktioniert, besteht darin, sich eine in Ihrer Organisation getroffene Entscheidung anzusehen und zu überprüfen, ob das Cyber-Sicherheitsrisiko mit anderen Geschäftsrisiken im Gleichgewicht ist. So kann beispielsweise ein Unternehmen beurteilen, dass die Einführung einer Bring Your Own Device (BYOD)-Richtlinie dem Unternehmen einen erheblichen Nutzen in Form von flexibler Arbeit bringt. Es gibt viele verschiedene Dinge, von denen Sie erwarten würden, dass sie bei dieser Entscheidung berücksichtigt werden, einschliesslich:

  • die potenzielle Verbesserung der Mitarbeiterproduktivität
  • die potenziellen Auswirkungen auf die Sicherheit, wenn Geräte vorhanden sind, deren Verbindung zu den Netzwerken der Organisation von der Organisation nicht kontrolliert wird.
  • die Kostenauswirkungen
  • die Auswirkungen auf die Haftung

Wurden diese bei der Entscheidung gemeinsam berücksichtigt oder wurde die Sicherheit erst diskutiert, als die Entscheidung bereits getroffen wurde?

 

Frage 3

 

Wie nutzen wir als Unternehmen Bedrohungsinformationen, die in den Normalbetrieb einfliessen sollen?

Sowohl die Geschäftsleitung als auch die Praktiker sollten in der Lage sein, den Prozess in wenigen Minuten klar und einfach zu artikulieren. Die Einzelheiten dieses Rahmens können Folgendes umfassen:

  • wie Risiken eskaliert werden
  • wie hoch ist die Schwelle für die Beteiligung der Geschäftsleitung an einer Risikoentscheidung.
  • wie wir das Vertrauen in eine bestimmte Risikobewertung vermitteln.
  • wie oft die Risiken überprüft werden
  • wer welche Risiken besitzt
  • wer für das Framework selbst und dessen Zweckmässigkeit verantwortlich ist (z.B. Sicherstellung, dass die Ergebnisse des Risikobewertungsprozesses die Bewertung des Risikos wirklich widerspiegeln)

 

Frage 4

 

Haben wir als Geschäftsleitung klar definiert, welche Arten von Risiken wir bereit wären einzugehen, und welche inakzeptabel sind?

  • Unterstützen Sie Entscheidungsträger, wenn sie Risikoentscheidungen innerhalb der von Ihnen festgelegten Parameter treffen.
  • Klarheit über den Prozess und den Schwellenwert für die Eskalation des Risikos.
  • Seien Sie so spezifisch wie möglich in Bezug auf die Risikoarten und die Höhe des Risikos. Beispielsweise sind Sie möglicherweise nicht bereit, ein erhebliches Risiko für personenbezogene Daten zu tolerieren, würden aber akzeptieren, dass E-Mails für einen Tag nicht verfügbar sind.
  • Betrachten Sie das kumulative Risiko, das Sie eingehen; es ist möglich, dass alle Ihre Cyberrisiken gleichzeitig eintreffen können. Wegen einem einzigen Vorfall können Sie für einen Tag E-Mails verlieren, die öffentliche Website ist möglicherweise nicht verfügbar und Finanzdaten, die Sie besitzen, können gestohlen werden. Auch wenn Sie ein gewisses Risiko akzeptiert haben, dass all diese Dinge passieren, haben Sie vielleicht nicht darüber nachgedacht, ob die Organisation es tolerieren könnte, dass sie alle auf einmal passieren.

 

https://www.ncsc.gov.uk/collection/board-toolkit; NCSC, bow; 23.04.2019
Crown Copyright, Open Government licence http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/

 

cyber security

 

Cyber Security

Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

05/2019

Eine Einführung für die Geschäftsleitung (Teil 8)

 

Die Implementierung guter Cybersicherheitsmassnahmen ist nicht nur ein wichtiger Bestandteil der Erfüllung der gesetzlichen Anforderungen, sondern trägt auch dazu bei, die Wahrscheinlichkeit eines signifikanten Vorfalls zu verringern. Die Implementierung selbst sehr einfacher Cyber-Sicherheitskontrollen wird dazu beitragen, die Wahrscheinlichkeit eines Vorfalls zu verringern.

 

Was sollte die Geschäftsleitung tun?

Werden Sie ein wenig technisch

Ein grundlegendes Verständnis der Cybersecurity kann Ihnen helfen, die richtigen Fragen zu stellen, um die Sicherheit der Cyberresistenz Ihrer Organisation zu gewährleisten - so wie Sie ein gewisses Verständnis der Finanzen haben müssen, um die finanzielle Gesundheit Ihrer Organisation zu beurteilen. Ein guter Ausgangspunkt ist es, Ihre bestehenden Cybersicherheitsmassnahmen mit Ihren Experten zu besprechen, und die folgenden Fragen geben einen Anhaltspunkt dafür, welche Fragen Sie stellen sollten.

 

Was sollte Ihre Organisation tun?

Beginnen Sie mit einer Cybersicherheits-Baseline.

Angreifer verwenden oft gängige Methoden, um ein Netzwerk anzugreifen. Viele dieser Methoden können durch die Implementierung grundlegender Cyber-Sicherheitskontrollen abgeschwächt werden. Es gibt mehrere Frameworks, die zeigen, wie gute Cyber-Sicherheitskontrollen aussehen. Dazu gehören die 10 Schritte des NCSC zur Cyber Security, ISO/IEC 27002 und das NIST Cyber Security Framework.
Passen Sie Ihre Abwehrmassnahmen an Ihre Risiken mit höchster Priorität an.

 

Die grundlegenden Cyber-Sicherheitskontrollen helfen, die häufigsten Cyberangriffe abzuschwächen, aber sobald Sie diese Baseline erreicht haben, müssen Sie Ihre Abwehrmassnahmen so anpassen, dass sie Ihre Risiken mit höchster Priorität mindern. Ihre Massnahmen werden sowohl auf Ihre IT-Landschaft (Schutz der Dinge, die Ihnen am wichtigsten sind) als auch auf die Bedrohung (Schutz vor Methoden bestimmter Akteure) zugeschnitten.

 

Erstellen Sie Ihre Verteidigungsmassnahmen in Schichten

Wie bei der physischen und personellen Sicherheit kann die Cybersecurity auf mehrere Massnahmen zurückgreifen, die (bei gleichzeitiger Umsetzung) dazu beitragen, die Wahrscheinlichkeit eines Single Point of Failure zu verringern. Dieser Ansatz wird allgemein als "tiefgehende Verteidigung" bezeichnet. Jede Massnahme bietet eine Sicherheitsebene und wird gemeinsam eingesetzt, um die Wahrscheinlichkeit eines Cybervorfalls erheblich zu reduzieren. Sobald Sie Ihre Cybersicherheits-Baseline festgelegt haben, können Sie sich darauf konzentrieren, Ihre Abwehrkräfte um diejenigen Dinge zu schichten, die für Sie am wichtigsten sind - oder besonders wertvoll für jemand anderen.

 

Schutz vor jemandem in Ihrem Netzwerk

Die Verteidigung endet nicht an der Grenze Ihres Netzwerks. Eine gute Verteidigung setzt voraus, dass ein Angreifer auf Ihr System zugreifen kann und arbeitet daran, den Schaden, den er anrichten kann, zu minimieren, sobald er sich in ihm befindet. Eine der wichtigsten Massnahmen, die Sie ergreifen können, um mögliche Schäden zu begrenzen, ist die Einschränkung ihrer Bewegung und ihres Zugangs. Die effektive Verwaltung von Benutzerrechten und die Trennung Ihres Netzwerks sind gängige Ansätze. Die schnellstmögliche Identifizierung eines Angreifers in Ihrem System hilft auch, den Schaden zu begrenzen, den er verursachen kann. Überwachung und Protokollierung sind der Schlüssel, um Anzeichen von bösartigen Aktivitäten erkennen zu können.

 

Diese Massnahmen werden auch dazu beitragen, die Bedrohung durch einen bösartigen Insider zu mindern; jemanden, der legitimen Zugriff auf Ihre Systeme hat, diesen Zugriff aber dann nutzt, um Schaden anzurichten. Diese Bedrohungen unterscheiden sich in Potential und Absichten, von einem verärgerten Mitarbeiter bis hin zur Unternehmensspionage.

 

Überprüfung und Bewertung Ihrer Massnahmen

Gute Cybersecurity ist ein kontinuierlicher Kreislauf, in dem es darum geht, die richtigen Informationen zu haben, fundierte Entscheidungen zu treffen und Massnahmen zur Risikominderung zu ergreifen. Sie müssen Ihre Abwehrmassnahmen kontinuierlich bewerten und anpassen, wenn sich die Bedürfnisse Ihrer Organisation und das Profil der Bedrohung ändern. Um dies zu tun, ist es wichtig, eine Möglichkeit zu haben, um zu beurteilen, ob Ihre Verteidigung effektiv ist.

 

Es gibt mehrere Mechanismen, um die Wirksamkeit Ihrer Sicherheitskontrollen technisch zu bewerten. Dies kann beispielsweise das Testen der Sicherheit Ihrer Netzwerke (Pen-Testing) bis hin zur Zertifizierung von Produkten oder Dienstleistungen umfassen. Sie können eine Kombination aus internen Mechanismen und objektiver Bewertung durch eine externe Quelle verwenden.
Der Kontakt mit dem Personal hilft Ihnen auch, sich ein genaueres Bild von den Verteidigungmechanismen Ihrer Organisation zu machen. Es gibt Ihnen auch die Möglichkeit, wertvolle Anregungen von Mitarbeitern zu erhalten, wie Richtlinien oder Prozesse verbessert werden können. Kennzahlen oder Indikatoren können Ihnen auch sagen, wo Sie Ihren Ansatz ändern oder sich an neue Gegebenheiten anpassen müssen. Wenn Sie genau verstehen wollen, was ein Indikator Ihnen sagt, müssen Sie möglicherweise die Situation genauer untersuchen. Ein Beispiel ist die Anzahl der Personen, die verdächtige E-Mails melden. Ein Rückgang der Anzahl der Personen, die eine solche Meldung machen, kann entweder bedeuten, dass weniger bösartige E-Mails in die Posteingänge der Personen gelangen, oder es könnte bedeuten, dass weniger Personen Bedenken melden, weil sie kein Feedback erhalten, wenn sie es tun, und daher glauben, dass nichts danach getan wird.

 

 


 

 

Was wäre ein gutes Vorgehen?

Die folgenden Fragen können verwendet werden, um produktive Diskussionen mit Ihrem technischen Team zu führen. Ziel ist es, herauszufinden, was "gute" Cybersecurity ausmacht, wenn es darum geht, die Cybersicherheitsmassnahmen Ihrer Organisation zu bewerten.

 

Frage 1

Wie stellen wir als Unternehmen sicher, dass unsere Massnahmen effektiv sind?

Sie können diese Informationen einholen durch:

  • Penetration Tests, die von einer externen Organisation durchgeführt werden, und Massnahmen, die auf der Grundlage ihrer Ergebnisse ergriffen werden.
  • Automatisiertes Testen Ihrer Abwehrmassnahmen und Überwachung der Aktivitäten in Ihren Netzwerken durch Ihr IT-Sicherheitsteam.
  • Bei der Überprüfung von Abwehrmassnahmen anhand geeigneter Standards/Normen kann es sich um einen internen Review oder einen unabhängigen Berater handeln.
  • Sicherstellung, dass Bedrohungsbeurteilungen und Verteidigungsprioritäten regelmässig überprüft und die Abwehrmassnahmen entsprechend aktualisiert werden.
  • Sicherstellen, dass der Fokus Ihrer Cybersicherheitsmassnahmen auf die Risiken ausgerichtet ist, die Sie identifiziert und priorisiert haben.

 

Frage 2

Als Unternehmen, welche Massnahmen ergreifen wir, um den Schaden zu minimieren, den ein Angreifer in unserem Netzwerk anrichten könnte?

Bedenken Sie Folgendes:

  • Wie Sie Benutzer oder Systeme authentifizieren und ihnen Zugriff gewähren. Sie möchten sicherstellen, dass diese Massnahmen nicht einfach zu umgehen sind und Sie nur autorisierten Zugriff gewähren.
  • Wie Sie die Präsenz eines Angreifers in Ihren Netzwerken erkennen würden - normalerweise durch Überwachung.
  • Wie Sie Ihr Netzwerk so trennen, dass ein Angreifer, wenn er Zugang zu einem Gerät erhält, nicht auf Ihre gesamte IT-Landschaft zugreifen kann.

 

Frage 3

Implementieren wir als Unternehmen Cyber-Sicherheitskontrollen, um uns gegen die häufigsten Angriffe zu schützen?

Wie wehren wir uns als Unternehmen gegen Phishing-Angriffe?

  • Wir filtern oder blockieren eingehende Phishing-E-Mails.
  • Wir stellen sicher, dass externe Post als extern gekennzeichnet wird.
  • Wir stoppen Angreifer, unsere eigenen E-Mails zu "fälschen".
  • Wir helfen unseren Mitarbeitern, verdächtige E-Mails zu identifizieren und zu melden.
  • Wir begrenzen die Auswirkungen von Phishing-Angriffen, die durchkommen.

 

Wie kontrollieren wir als Unternehmen die Verwendung von privilegierten IT-Konten?

  • Wir verwenden "geringste Privilegien" bei der Einrichtung von Mitarbeiterkonten.
  • Wir reduzieren die Auswirkungen von Angriffen, indem wir privilegierte Konten kontrollieren.
  • Wir haben starke Verbindungen zwischen unseren HR-Prozessen und der IT Account-Funktion.

 

Wie stellen wir als Unternehmen sicher, dass unsere Software und Geräte auf dem neuesten Stand sind?

  • Wir haben Prozesse definiert, um alle ausnutzbaren Schwachstellen in unserem technischen Bestand zu identifizieren, zu analysieren und zu beheben.
  • Wir haben einen 'End of Life Plan' für Geräte und Software erstellt, die nicht mehr unterstützt werden.
  • Unsere Netzwerkarchitektur minimiert den Schaden, den ein Angriff verursachen kann.
  • Wir nutzen angemessen Drittanbieter- oder Cloud-Services und konzentrieren uns darauf, wo wir den grössten Einfluss haben können.

 

Als Unternehmen, welche Authentifizierungsmethoden werden verwendet, um den Zugriff auf Systeme und Daten zu kontrollieren?

  • Wir ergreifen Massnahmen, um die Verwendung sinnvoller Passwörter zu fördern.
  • Wir stellen sicher, dass Passwörter die Mitarbeiter nicht unverhältnismässig belasten.
  • Wir implementieren nach Möglichkeit eine Zwei-Faktor-Authentifizierung (2FA).

 

https://www.ncsc.gov.uk/collection/board-toolkit; NCSC, bow; 23.04.2019
Crown Copyright, Open Government licence http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/

 

cyber security

 

Cyber Security

Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

05/2019

Eine Einführung für die Geschäftsleitung (Teil 9)

 

Es gibt vier Gründe, warum Cybersecurity eine wichtige Rolle bei der Zusammenarbeit mit Lieferanten und Partnern spielt:

  1. Sie erhöhen die Anzahl der Routen und externen Berührungspunkte in Ihrer Organisation. Wenn also einer von ihnen gefährdet ist, sind auch Sie in Gefahr.
  2. Sie können als Zugang in die Organisation, die Sie beliefern, gezielt angesprochen werden.
  3. Ihre Lieferanten können als Zugang in Ihr Unternehmen gezielt angesprochen werden.
  4. Möglicherweise geben legen Sie sensible oder wertvolle Daten oder Informationen offen, die von Lieferanten geschützt werden sollten.

Der Nachweis eines guten Cybersicherheitsniveaus ist zunehmend ein wichtiger Bestandteil von Liefer- und Dienstleistungsverträgen und ist bereits Voraussetzung für viele Regierungsaufträge.

 

Cybersecurity: Was sollte die Geschäftsleitung tun?

 

Integrieren Sie Cybersecurity in jede Entscheidung

Alle Organisationen werden eine Beziehung zu mindestens einer anderen Organisation haben, sei es der Anbieter Ihres E-Mail-Dienstes oder die Entwickler der von Ihnen verwendeten Buchhaltungssoftware bis hin zu Ihrer traditionellen Beschaffungslieferkette. Die meisten Unternehmen werden auf mehrere Beziehungen angewiesen sein. Jede dieser Beziehungen hat ein gewisses Mass an verbundenem Vertrauen, normalerweise eine Form des Zugriffs auf Ihre Systeme, Netzwerke oder Daten. Es gibt drei wesentliche Dinge, die Sie daher sicherstellen müssen:

  1. Dass dieser Zugriff für einen Angreifer keinen Weg darstellt, um Zugang zu Ihrer Organisation zu erhalten, entweder durch vorsätzliches Handeln oder unbeabsichtigte Folge.
  2. Dass ein Partner oder Lieferant mit sensiblen Daten angemessen und sicher umgeht.
  3. Dass jedes Produkt oder jede Dienstleistung, die Sie kaufen, über die entsprechende Sicherheit verfügt.

Das Cyber-Sicherheitsrisiko sollte bei jeder Entscheidung über neue Beziehungen oder Kooperationen eine zentrale Rolle spielen. Dazu gehören Entscheidungen über Lieferanten, Anbieter, Fusionen, Übernahmen und Partner.

 

Cybersecurity: Was sollte Ihre Organisation tun?

 

Identifizieren Sie Ihr gesamtes Spektrum an Lieferanten und Partnern, welche Sicherheitsgarantien Sie von ihnen erwarten, und kommunizieren Sie dies klar und deutlich.

Überprüfen Sie Ihre aktuellen Lieferkettenvereinbarungen, um sicherzustellen, dass Sie Ihre Sicherheitsbedürfnisse klar darlegen und die daraus resultierenden Massnahmen identifizieren. Wenn Sie selbst Lieferant sind, stellen Sie sicher, dass Sie die von Ihrem Kunden für Sie festgelegten Sicherheitsanforderungen mindestens erfüllen.

 

Stellen Sie sicher, dass die von Ihnen festgelegten Sicherheitsanforderungen gerechtfertigt und verhältnismässig sind und den bewerteten Risiken für Ihren Betrieb entsprechen. Achten Sie auch auf den aktuellen Sicherheitsstatus Ihrer Lieferanten, um ihnen Zeit zu geben, die notwendigen Verbesserungen vorzunehmen.

 

Gewinnen Sie Sicherheit

Sicherheit sollte von Anfang an in alle Vereinbarungen integriert werden, und Sie sollten darauf vertrauen können, dass Ihre Sicherheitsbedürfnisse erfüllt werden. Abhängig von Ihrer Beziehung zum Lieferanten oder Anbieter und Ihren Ressourcen können Sie sich diese durch Prüfung, Auditierung oder Einhaltung von Akkreditierungsstandards sichern.

 

Berücksichtigen Sie die Auswirkungen, wenn Ihr Lieferant gefährdet ist

Unabhängig davon, wie umfassend Ihre Sicherheitsvereinbarungen mit Ihren Partnern sind und wie gut sie ihre Kontrollen umsetzen, sollten Sie davon ausgehen, dass Ihre Partner irgendwann gefährdet sein werden. Unter Berücksichtigung dieser Annahme sollten Sie die Sicherheit Ihrer Netzwerke, Systeme und Daten entsprechend planen. Das ist auch in Ihren Sicherheitsvereinbarungen zu berücksichtigen; was erwarten Sie von ihnen und ihrer Antwort? Müssen sie Sie benachrichtigen? Müssen sie Ihnen helfen, wenn Sie in Folge auch gefährdet sind?

 

 


 

 

Cybersecurity: Was wäre ein gutes Vorgehen?

Die folgenden Fragen können verwendet werden, um produktive Diskussionen mit Ihrem technischen Team zu führen. Ziel ist es, herauszufinden, was "gute" Cybersecurity ausmacht, wenn es darum geht, die Cybersicherheitsmassnahmen Ihrer Organisation zu bewerten.

 

Frage 1

 

Wie können wir als Unternehmen die Risiken mindern, die mit dem Austausch von Daten und Systemen mit anderen Unternehmen verbunden sind?

Sie sollten:

  • Haben Sie ein gutes Verständnis für Ihre Lieferanten, welche Daten und Netzwerke sie haben und haben Sie einen Prozess, um diese Informationen auf dem neuesten Stand zu halten.
  • Setzen Sie klare Erwartungen daran, wie Ihre Partner Ihre Daten schützen und auf Ihre Systeme zugreifen.
  • Sicherheit in alle Beziehungen und Vereinbarungen von Anfang an integrieren.

Um dies zu tun, können Sie:

  • Wenn Sie eine sehr grosse Anzahl von Supply-Chain-Unternehmen haben, vereinbaren Sie mit Ihren Hauptlieferanten Prozesse darüber, wie sie alle Arbeiten untervergeben, insbesondere welche Verpflichtungen sie haben, Sie zu informieren.
  • Wählen Sie Organisationen, die die Sicherheit ihrer Sicherheitsmassnahmen nachweisen können. So werden beispielsweise grössere Unternehmen regelmässig Pen-Tests durchgeführt und auf die Ergebnisse reagiert haben, um ihre verbleibenden Schwachstellen zu verstehen.
  • Beschränken Sie die mit anderen Organisationen ausgetauschten Dienste und Informationen auf das erforderliche Minimum.
  • Implementieren Sie Benutzer- und System-Authentifizierung und -Autorisierung, bevor der Zugriff gewährt wird.
  • Auditieren Sie alle sensiblen Aktionen oder den Datenaustausch/Zugriff.

 

Frage 2

 

Wie stellen wir als Unternehmen sicher, dass die Cybersecurity bei jeder Geschäftsentscheidung berücksichtigt wird?

Sicherheit sollte in Ihre Kultur und Strategie eingebettet sein und daher bei jeder Entscheidung über Beschaffung, Fusionen oder Übernahmen bewusst berücksichtigt werden. Wenn es einen Prozess gibt, um diese Entscheidungen zu treffen, kann die Sicherheit explizit als relevante Gegenleistung identifiziert und alle Schlussfolgerungen festgehalten werden.

 

Frage 3

 

Sind wir als Unternehmen zuversichtlich, dass wir unsere Sicherheitsanforderungen als Lieferant erfüllen?

Wenn Sie ein Lieferant für andere Unternehmen sind, sind Sie einem erhöhten Risiko ausgesetzt. Sowohl ein Reputationsrisiko (wenn Ihr Produkt dazu führt, dass Ihr Kunde gefährdet wird) als auch ein operatives Risiko (da Sie jetzt Zugang zu mehr und potenziell wertvolleren Organisationen haben). Sie sollten:

  • Wissen, wie Sie reagieren würden, wenn Ihr Unternehmen gefährdet wird, Partnernetzwerke, mit denen Sie verbunden sind, gefährdet werden oder Kundendaten, die Sie möglicherweise besitzen.
  • Verstehen Sie Ihre Kunden und die Auswirkungen, die sie auf Ihr Bedrohungsprofil haben können

 

Frage 4

 

Haben wir als Geschäftsleitung eine klare Strategie für den Einsatz von Lieferanten und haben wir diese kommuniziert?

Wenn Beschaffungs- und Lieferantenentscheidungen unterhalb der Geschäftsleitung getroffen werden, beschreiben Sie klar:

  • Welches Risiko sind Sie bereit, bei der Nutzung von Lieferanten einzugehen? Wenn beispielsweise Ihre Organisation durch einen Angriff auf die Lieferkette gefährdet ist, sind Sie möglicherweise nicht dem gleichen Reputationsrisiko ausgesetzt wie wenn Sie direkt gefährdet wären, aber Sie sind möglicherweise dem gleichen finanziellen Risiko ausgesetzt.
  • Welche Erwartungen haben Sie an die Sicherheit der Lieferanten und wie viel sind Sie bereit, für eine bessere Sicherheit zu zahlen? Wenn beispielsweise Unternehmen A teurer, aber auch sicherer ist, wie viel billiger müsste Unternehmen B sein, um es zur besseren Option zu machen?
  • Welche Chancen versuchen Sie zu nutzen? Dies sollte durch ein Bewusstsein dafür unterstützt werden, was Sie innerhalb Ihrer Organisation leisten können und was Sie auslagern werden. Wenn Sie beispielsweise der Meinung sind, dass es nicht möglich ist, Ihren eigenen Datenspeicher zu unterstützen, nutzen Sie dann die Vorteile des wettbewerbsorientierten Cloud-Datenspeichermarktes?

 

https://www.ncsc.gov.uk/collection/board-toolkit; NCSC, bow; 23.04.2019
Crown Copyright, Open Government licence http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/

 

cyber security

 

Cyber Security

Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

05/2019

Eine Einführung für die Geschäftsleitung (Teil 10)

 

Vorfälle können einen enormen Einfluss auf ein Unternehmen in Bezug auf Kosten, Produktivität und Reputation haben. Die Bereitschaft, Vorfälle zu erkennen und schnell darauf zu reagieren, trägt dazu bei, zu verhindern, dass der Angreifer weiteren Schaden anrichtet und damit die finanziellen und operativen Auswirkungen zu reduzieren. Die effektive Bewältigung des Vorfalls im Rampenlicht der Medien wird dazu beitragen, die Auswirkungen auf Ihren Ruf zu reduzieren.

 

Was sollte die Geschäftsleitung tun?

 

Stellen Sie sicher, dass Sie einen Plan haben.

Jedes zehnte Unternehmen hat keinen Vorfallmanagementplan. Wenn Sie eine dieser Organisationen sind, dann sollten Sie sich sofort damit befassen.

 

 

Verstehen Sie Ihre Rolle im Vorfallmanagement.

Vorfälle treten oft in ungünstigen Momenten auf und die Entscheidungsfindung der meisten Menschen ist in Krisenzeiten beeinträchtigt. Aus diesen Gründen muss jeder im Voraus ein klares Verständnis seiner Rolle und der organisatorischen Reaktion haben, insbesondere Geschäftsleitungsmitglieder, die das Unternehmen wahrscheinlich in den Medien vertreten würden.

 

Die Geschäftsleitung muss auch explizit angeben, wem sie bereit ist, die Zuständigkeit zu übertragen (insbesondere ausserhalb der Kernarbeitszeit), und was genau diese Zuständigkeit abdeckt. Zum Beispiel, umfasst das den Anruf bei einer vertraglich vereinbarten Incident Response Company oder das Abschalten einer öffentlich zugänglichen Website? Die Geschäftsleitung muss auch explizit darüber informiert werden, wann sie über einen Vorfall informiert werden möchte, sowohl in Bezug auf den Zeitpunkt des Vorfalls als auch in Bezug auf die Bedeutung des Vorfalls, über den sie informiert werden muss.

 

 

Nehmen Sie an Übungen teil

Der beste Weg, diese Prozesse und Schwellenwerte zu testen (und ein gutes Verständnis der Rolle der Geschäftsleitung zu erlangen), ist die Ausübung des Incident Management Plans. Wenn Sie während eines echten Vorfalls involviert wären, sollten Sie auch an einer Übung beteiligt sein. Dies in Zusammenarbeit mit dem operativen Personal kann auch dazu beitragen, Fragen der Autorität für kritische Entscheidungen aufzuzeigen. Auch wenn Sie keine direkte Rolle bei der Reaktion auf einen Vorfall spielen, kann die Durchführung einer Übung eine gute Möglichkeit sein, die Realitäten der Auswirkungen eines Vorfalls auf Ihr Unternehmen zu verstehen.

 

 

Eine "schuldlose" Kultur fördern

Die Post-Incident-Analyse liefert Erkenntnisse, die Ihnen helfen können, die Wahrscheinlichkeit von Vorfällen in der Zukunft zu reduzieren und deren potenzielle Auswirkungen zu reduzieren. Entscheidend für diese Erkenntnis ist, dass man ehrlich und objektiv darüber sein muss, was passiert ist. Dies kann nur in einer Kultur ohne Vorwürfe geschehen, wie Sie sie bei der Untersuchung von Gesundheits- und Sicherheitsvorfällen verwenden würden. Kritisch für die Geschäftsleitung ist die neue Regelung, wie z.B. GDPR, klar, dass die Verantwortung für Vorfälle oder Datenschutzverletzungen bei der Organisation und nicht bei einer Person liegt. Daher ist die Geschäftsleitung als Leitungsorgan letztendlich für alle Cybersicherheitsvorfälle verantwortlich. Die Zuweisung von Schuldzuweisungen an eine bestimmte Person innerhalb der Organisation wird als schlechte Cybersicherheitspraxis behandelt.

 

Was sollte Ihre Organisation tun?

 

Finden Sie heraus, wie ein Vorfall aussehen würde.

Eines der häufigsten Dinge, die übersehen werden, ist die Möglichkeit, zu erkennen, was ein Vorfall ist. Das hat zwei Aspekte:

  • herauszufinden, wie Sie ein Ereignis überhaupt erkennen würden.
  • Ausarbeitung, an welchem Punkt ein Ereignis (etwas, das in Ihren Netzwerken oder Systemen passiert) zu einem Vorfall wird.

 

Cybersecurity: wie würden Sie ein Ereignis erkennen?

Abhängig von seinen Motiven wird ein Angreifer Ihnen wahrscheinlich nicht sagen, wann er Ihre Organisation erfolgreich gefährdet hat. Daher benötigen Sie Ihre eigenen Methoden, um einen Eindringling oder einen Angriff zu identifizieren. Dies geschieht in der Regel in Form einer Überwachung. Überwachung bezieht sich auf die Beobachtung von Daten oder Protokollen, die in Ihren Netzwerken oder Systemen gesammelt wurden, um Muster oder Anomalien zu identifizieren, die auf bösartige Aktivitäten hinweisen könnten. Auch wenn Sie keine Überwachung zur Identifizierung des Vorfalls haben, ist es dennoch sinnvoll, System- oder Netzwerkprotokolle zu sammeln (insbesondere solche, die für Ihre kritischen Anlagen relevant sind), damit Sie sie nachträglich überprüfen können, sobald Sie wissen, dass ein Vorfall aufgetreten ist.

 

Cybersecurity: wann wird ein Ereignis zu einem Vorfall?

Dies ist oft keine klare Entscheidung. Sie können versuchen, so viele Informationen wie möglich zu sammeln, um Ihre Einschätzung eines "Ereignisses" einzustufen, aber Sie werden wahrscheinlich kein vollständiges Bild davon haben, was passiert ist. Eine Vorfallsreaktion auszulösen, kann Auswirkungen auf Kosten, Ruf und Produktivität haben, daher sollten Sie sich überlegen, wer die Befugnis hat, diese Entscheidung zu treffen, und welche Schwellenwerte für einen Vorfall im Voraus gelten.

 

Cybersecurity: was ist ein Cybersicherheitsvorfall?

Eine Verletzung der Sicherheitsregeln für ein System oder einen Dienst - am häufigsten:

  • Versuche, sich unberechtigten Zugang zu einem System und/oder zu Daten zu verschaffen.
  • unbefugte Nutzung von Systemen zur Verarbeitung oder Speicherung von Daten
  • Änderungen an einer System-Firmware, -Software oder -Hardware ohne Zustimmung des Systemeigentümers.
  • böswillige Unterbrechung und/oder Denial-of-Service

 

 

Verwenden Sie die Informationen, die Sie bereits haben.

Alle Informationen, die Sie zuvor über das, was wichtig ist, den Schutz, die Bedrohung und Ihre IT-Landschaft, gesammelt haben, liefern wichtige Erkenntnisse in zwei Schlüsselbereichen:

  • Es wird Ihnen einen Einblick in die Auswirkungen von Vorfällen gegeben. Wenn der Angreifer auf ein bestimmtes Benutzergerät zugegriffen hat, auf was kann er dann zugreifen? Konnten sie auf die Dinge zugreifen, die Ihnen am wichtigsten sind?
  • Es wird Ihnen helfen, Ihre operative Reaktion zu bestimmen. Wenn sich der Angreifer in einem bestimmten Netzwerk befindet, können Sie dieses Netzwerk isolieren? Wenn ja, welche Auswirkungen hätte das auf Ihre Organisation?

 

 

Ergreifen von Präventivmassnahmen

Ergreifen Sie Massnahmen, um den Schaden, den ein Angreifer anrichten könnte, zu verringern. Das könnte sein:

  • Einführung von Massnahmen, die ihre Bewegung einschränken, sobald sie sich in Ihrem Netzwerk befinden.
  • präventive Reduzierung der Auswirkungen von Angriffen (z.B. hilft die Sicherung Ihrer Daten, die Auswirkungen eines Ransomware-Vorfalls zu reduzieren).

Wie bei allen anderen Abwehrmassnahmen sollten diese darauf ausgerichtet sein, das zu schützen, was für Sie am wichtigsten ist.

 

 

Erstellen eines Vorfallmanagementplans

Cyber Incident Response ist ein komplexes Thema, da keine zwei Vorfälle gleich sind. Wie bei jeder Business Continuity-Planung können Sie jedoch einen Plan entwickeln, der die wichtigsten Elemente Ihrer Antwort beschreibt. Ihr Plan sollte nicht nur die technischen Elemente abdecken, sondern auch:

  • die Personen- und Prozesselemente wie Medien-, Kunden- und Stakeholder Handling
  • Berichterstattung an die Regulierungsbehörden
  • Umgang mit Klagen

Für häufigere Vorfälle (z.B. DDOS) kann es hilfreich sein, ein spezifisches "Playbook" zu entwickeln, das die Reaktion Ihrer Organisation beschreibt.

 

 

Testen Sie Ihren Plan

Das Üben Ihrer Reaktion auf verschiedene Szenarien ist der Schlüssel, um sicherzustellen, dass Ihre Pläne effektiv sind und aktuell bleiben. Es gibt verschiedene Trainingspakete, die Sie verwenden können. Dies wird ein entscheidender Teil der Rolle für alle Mitarbeiter sein, die direkt am Vorfallmanagement beteiligt sind, aber jedes Geschäftsleitungsmitglied muss auch seinen spezifischen Verantwortungsbereich während eines Vorfalls verstehen.

 

 

Ziehen Sie Ihre Lehren draus

Ein oft übersehener Aspekt des Vorfallmanagements ist die Überprüfung nach einem Vorfall. Ein Vorfall kann wertvolle Einblicke in Ihre Cyber-Bereitschaft geben, darunter:

 

1. Die Bedrohung, der Ihr Unternehmen ausgesetzt ist.

  • Wer führte den Angriff durch und war er gezielt?
  • Haben sie es so gemacht, wie Sie es erwartet haben?
  • Sind sie hinter den Dingen her, die Sie erwartet haben?

 

2. Die Effektivität Ihrer Verteidigungsmassnahmen

  • Wovor haben Ihre Verteidigungsanlagen Sie geschützt?
  • Wovor haben sie es nicht getan?
  • Könnten sie verbessert werden?

 

3. Die Effektivität Ihrer Massnahmen zur Gefahrenabwehr

  • Was hätten Sie anders gemacht?
  • Hat Ihre Reaktion dazu beigetragen, die Auswirkungen des Vorfalls zu reduzieren?
  • Hat das einige Aspekte verschlimmert?

 

Zusammenarbeit mit Lieferanten und Partnern: Ihr Plan sollte auch berücksichtigen, wie Sie die Auswirkungen auf Partner oder Kundenorganisationen mindern, wenn Sie gefährdet sind. Wann informieren Sie sie? Welche Mechanismen gibt es, um den Schaden zu begrenzen, den es für sie anrichten könnte? Sie sollten auch darüber nachdenken, was Sie tun würden, falls ein Lieferant gefährdet wird; Sie haben möglicherweise keine Kontrolle darüber, wie er mit dem Vorfall umgeht. Was können Sie selbstständig tun, um die Auswirkungen auf Ihr Unternehmen zu reduzieren? Der beste Weg, dieses Risiko zu minimieren, ist ein kooperativer Ansatz für Ihre Sicherheit mit Ihren Partnern und Lieferanten.

 

 


 

 

Cybersecurity: Was wäre ein gutes Vorgehen?

Die folgenden Fragen können verwendet werden, um produktive Diskussionen mit Ihrem technischen Team zu führen. Ziel ist es, herauszufinden, was "gute" Cybersecurity bei der Reaktion auf Cyber-Vorfälle ausmacht.

 

Frage 1

 

Haben wir als Unternehmen einen Vorfallmanagementplan und wie stellen wir sicher, dass dieser für Cyber-Vorfälle wirksam ist?

Ein grundlegender Plan sollte Folgendes umfassen:

  • Identifizierung der wichtigsten Ansprechpartner (Incident Response Team oder Anbieter, Senior Management, Legal, PR- und HR-Kontakte, Versicherungsanbieter usw.).
  • Klare Eskalationswege (z.B. für das Top-Management) und definierte Prozesse für kritische Entscheidungen.
  • Klare Zuordnung der Verantwortlichkeiten (insbesondere ob es sich um normale Arbeitszeiten oder 24/7 handelt).
  • Grundlegendes Flussdiagramm oder Prozess für den gesamten Lebenszyklus eines Vorfalls.
  • Mindestens eine Konferenztelefonnummer, die für dringende Vorfallsanrufe zur Verfügung steht.
  • Anleitung zu regulatorischen Anforderungen, z.B. wann Vorfälle gemeldet werden müssen und wann Rechtsbeistand in Anspruch genommen wird.
  • Notfallmassnahmen für kritische Funktionen.

 

Frage 2

 

Wissen wir als Unternehmen, wo wir bei einem Vorfall Hilfe suchen können?

Dies kann sein:

  • Intelligence Sharing-Gruppen, für Details zu anderen Unternehmen, die den gleichen Vorfall erleben)
  • Relevante Beratungsunternehmen bzw. Dienstleister

 

Frage 3

 

Lernen wir als Unternehmen aus Vorfällen und Beinaheunfällen?

Es ist wichtig, Lehren aus Vorfällen und aus Beinaheunfällen zu ziehen. Diese geben Ihnen wertvolle Einblicke in die Bedrohung, der Sie ausgesetzt sind, die Wirksamkeit Ihrer Verteidigung und mögliche Probleme mit Ihrem Weisungswesen oder Ihrer Kultur. Eine gute Organisation wird diese Erkenntnisse nutzen, um besser auf zukünftige Vorfälle zu reagieren und nicht versuchen, Schuldzuweisungen vorzunehmen. Die Geschäftsleitung kann beschliessen, dass sie nicht die Details jedes Vorfalls kennen muss, sondern nur die wichtigsten Erkenntnisse aus den erlebten Vorfällen.

 

Frage 4

 

Wie sollen wir als Unternehmen wissen, wann ein Vorfall eingetreten ist?

Dies umfasst zwei Aspekte: Was sind die Auslöser, die uns mitteilen können, dass ein Vorfall stattgefunden hat, und wie teilen wir diese Informationen dann innerhalb der Organisation mit?

 

Wenn Sie sich überlegen, was einen Vorfall auslösen könnte, müssen Sie Folgendes berücksichtigen:

  • Welche Überwachung gibt es in Bezug auf kritische Vermögenswerte (z.B. personenbezogene Daten), die bei Gefährdung, Verlust oder Änderung Auswirkungen haben würden?
  • Wer untersucht die Protokolle und ist ausreichend geschult, um abnormale Aktivitäten zu identifizieren?
  • Welche Meldeverfahren gibt es, damit die Mitarbeiter verdächtige Aktivitäten melden können?
  • Sind die Schwellenwerte für Warnmeldungen auf das richtige Niveau eingestellt - sind sie niedrig genug, um angemessen vor potenziellen Vorfällen zu warnen, und hoch genug, dass das mit ihnen befasste Team nicht mit irrelevanten Informationen überlastet wird?
    Wenn Sie überlegen, wie ein Vorfall intern mitgeteilt werden wird, sollten Sie Folgendes berücksichtigen:
  • Was ist ein Vorfall?
  • Wer hat die Befugnis, diese Entscheidung zu treffen?
  • Wer muss die Details des Vorfalls kennen?
  • Hat die Geschäftsleitung die Schwelle für den Fall, dass sie über einen Vorfall informiert werden möchte, ausdrücklich festgelegt?

 

Frage 5

 

Wissen wir als Geschäftsleitung, wer bei einem Vorfall führt und wer die Befugnis hat, Entscheidungen zu treffen?

Dies hängt von Ihrer Organisationsstruktur ab. Dies kann bei einem Geschäftsleitungsmitglied oder einer der Führungskräfte liegen oder in verschiedene Rollen aufgeteilt sein. Im Idealfall sollten Sie:

  • Geben Sie genau an, wer in der Lage ist, Entscheidungen zu welchen Aspekten zu treffen.
  • Haben Sie Backup-Pläne, wenn diese Entscheidungsträger nicht in der Lage sind, diese Pflicht zu erfüllen (z.B. ausserhalb der Arbeitszeit).
  • Testen Sie diesen Entscheidungsprozess mit Fokus auf mögliche Bereiche mit sich überschneidender Verantwortung.

 

Frage 6

 

Verstehe ich als Geschäftsleitungsmitglied, was von meiner Rolle während eines Vorfalls verlangt wird, und hatte ich eine Ausbildung, um mich für diese Rolle zu rüsten?

 

Bedenken Sie:

  • Habe ich das nötige Verständnis, um Entscheidungen potenziell ausserhalb der Arbeitszeit und unter Zeitdruck zu treffen?
  • Brauche ich ein Training, um meine spezifische Rolle bei einem Vorfall zu unterstützen, wie z.B. das Verständnis relevanter Vorschriften oder den Umgang mit den Medien?

 

https://www.ncsc.gov.uk/collection/board-toolkit; NCSC, bow; 23.04.2019
Crown Copyright, Open Government licence http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/

 

cyber security

 

Cyber Security

Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

05/2019

Datenschutzwissen über die korrekte Verwendung von DSGVO-konformen Messenger-Diensten in Ihrem Unternehmen

 

Nicht erst seit Geltung der Datenschutz-Grundverordnung (DSGVO) herrscht grosse Verunsicherung bezüglich des Einsatzes von Messenger-Diensten. Letztes Jahr hat etwa die Empfehlung des Zürcher Datenschutzbeauftragten hohe Wellen geworfen, wonach WhatsApp aus den Schulen zu verbannen sei. Nur wenige Kantone vertreten eine andere Position.

 

Wie steht es nun um den Gebrauch von WhatsApp in meinem Unternehmen? Bei der Beurteilung der Rechtmässigkeit fällt nüchtern betrachtet weniger ins Gewicht, ob WhatsApp, sondern wie genau WhatsApp eingesetzt wird. Aber zuerst der Reihe nach:

 

Kritisiert wird zunächst einmal der automatische Abgleich des Adressbuchs, damit WhatsApp erkennen kann, welche eigenen Kontakte WhatsApp bereits nutzen. Gerade diejenigen Kontakte, die WhatsApp bewusst nicht installiert haben, dürften mit einer Übertragung ihrer Daten aber längst nicht immer einverstanden sein. Kommt hinzu, dass sich WhatsApp seinen Nutzungsbedingungen nach vorbehält, Informationen wie Protokoll- und Nutzungsdaten an Facebook, deren Tochterfirma WhatsApp ist, weiterzuleiten. Gerade deswegen kann Begehren betroffener Personen auf Auskunft und Löschung nicht wie erforderlich nachgekommen werden. Aber nicht alles an WhatsApp ist schlecht: Datenschutzrechtlich wünschenswert ist auf jeden Fall die gebotene Ende-zu-Ende-Verschlüsselung für die mit WhatsApp versendeten Inhalte.

 

Worauf muss ich aber nun achten, um in meinem Unternehmen WhatsApp rechtskonform zu nutzen?

  • Das Adressbuch sollte möglichst ausschliesslich Kontakte enthalten, die WhatsApp bereits nutzen.
  • Es sollten per WhatsApp keine besonders schützenswerten Personendaten (Rückschlüsse möglich auf religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten, Gesundheit, Intimsphäre oder Rassenzugehörigkeit, Massnahmen der sozialen Hilfe, administrative oder strafrechtliche Verfolgungen und Sanktionen) oder Persönlichkeitsprofile ausgetauscht werden (Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt).
  • Auf die Kommunikation mit WhatsApp sollte generell verzichtet werden, wenn aus dem konkreten Zusammenhang heraus bereits die Tatsache einer Kommunikation sensibel sein kann (z.B. Kontakt mit Berufsgeheimnisträgern oder vertrauliche Übernahmeverhandlungen).

 

Das Bayerische Landesamt für Datenschutzaufsicht schlägt ausserdem vor (was auch auf das Schweizerische Datenschutzrecht passt):

  • Nachrichtenverläufe über WhatsApp sollten nicht archiviert werden.
  • Automatische Speicherung der Nachrichten im internen Speicher, insbesondere der Anhänge, sollte vermieden werden, wenn weitere Apps auf dem mobilen Gerät installiert sind, denen Zugriff auf den internen Speicher gestattet wird (Gefahr eines unberechtigten Zugriffs und Fehlversand von Anhängen).
  • WhatsApp sollte von einem separaten Smartphone oder über eine Container-Lösung (Mobile Device Management) betrieben werden.

Die Hürden für einen datenschutzrechtskonformen Einsatz von WhatsApp sind also ziemlich hoch. Im Anwendungsbereich der DSGVO gelten zusätzlich noch strengere Vorgaben (vgl. z.B. Stellungnahmen der deutschen Datenschutzaufsichtsbehörden Bayern und Niedersachsen). Es könnte sich daher unter Umständen lohnen, als Alternative zu WhatsApp Messenger-Dienste wie das Schweizerische Threema oder Signal in Betracht zu ziehen.

Fragen Sie sich, ob die DSGVO für Ihr Unternehmen relevant ist und wie Sie mit Messenger-Diensten umgehen sollten? Die Spezialisten von der Swiss Infosec AG helfen Ihnen gerne weiter. www.infosec.ch/dsgvo

 

Swiss Infosec AG; 29.04.2019
Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch
www.infosec.ch/datenschutz

05/2019

Eine Einführung für die Geschäftsleitung (Teil 1)

 

Cybersecurity ist der Schutz von Geräten, Diensten und Netzwerken - und der darin enthaltenen Informationen - vor Diebstahl oder Beschädigung durch elektronische Mittel.

 

Was muss ich über Cybersecurity wissen?

Es gibt drei gemeinsame Mythen über die Cybersecurity. Wenn Sie verstehen, warum sie falsch sind, können Sie einige wichtige Aspekte der Cybersecurity verstehen.

 

Mythos 1: Cyber ist kompliziert, das werde ich nicht verstehen

Realität: Sie müssen kein technischer Experte sein, um eine fundierte Entscheidung zur Cybersecurity zu treffen.

Wir alle treffen jeden Tag Sicherheitsentscheidungen (z.B. ob wir die Alarmanlage einschalten sollen), ohne unbedingt zu wissen, wie der Alarm funktioniert. Die Aufsichtsräte treffen regelmässig Finanz- oder Risikoentscheidungen, ohne die Details jedes Kontos oder jeder Rechnung kennen zu müssen. Die Geschäftsleitung sollte sich auf seine Cyber-Sicherheitsexperten verlassen, um Informationen zu erhalten, damit die Geschäftsleitung fundierte Entscheidungen über die Cybersecurity treffen kann.

 

Mythos 2: Cyber-Angriffe sind ausgeklügelt, ich kann nichts tun, um sie zu stoppen

Realität: Wenn Sie einen methodischen Ansatz für die Cybersecurity verfolgen und relativ kleine Änderungen vornehmen, kann das Risiko für Ihre Organisation erheblich reduziert werden.

Die überwiegende Mehrheit der Angriffe basiert immer noch auf bekannten Techniken (z.B. Phishing-E-Mails), gegen die man sich wehren kann. Einige Bedrohungen können sehr komplex sein und mit fortschrittlichen Methoden in bestens verteidigte Netzwerke eindringen. Normalerweise sehen wir dieses Mass an Einsatz und Fachwissen nur bei Angriffen von Nationalstaaten. Die meisten Organisationen werden wahrscheinlich kein Ziel für einen nachhaltigen Angriff dieser Art sein, und selbst diejenigen, die es sind, werden feststellen, dass selbst der raffinierteste Angreifer mit der einfachsten und billigsten Option beginnt, um ihre fortgeschrittenen Methoden nicht zu verraten.

 

Mythos 3: Cyberangriffe erfolgen gezielt, ich bin nicht gefährdet

Realität: Viele Cyber-Angriffe sind opportunistisch und jede Organisation könnte von diesen ungezielten Angriffen betroffen sein.

Die Mehrheit der Cyber-Angriffe erfolgt nicht gezielt und ist opportunistisch. Der Angreifer hofft, eine Schwäche (oder Schwachstelle) in einem System auszunutzen, egal wem dieses System gehört. Diese können ebenso schädlich sein wie gezielte Angriffe; die Auswirkungen von WannaCry auf globale Unternehmen sind ein gutes Beispiel dafür. Wenn Sie mit dem Internet verbunden sind, dann sind Sie diesem Risiko ausgesetzt. Dieser Trend zu ungezielten Angriffen wird sich wahrscheinlich nicht ändern, denn jede Organisation - auch Ihre - wird für einen Angreifer einen Wert haben, auch wenn es nur das Geld ist, das Sie bei einem Ransomware-Angriff bezahlen könnten.

Wie funktionieren Cyber-Angriffe?

Eine gute Möglichkeit, Ihr Verständnis von Cybersecurity zu verbessern, sind Beispiele, wie Cyberangriffe funktionieren und welche Massnahmen Organisationen ergreifen, um sie zu mindern. Die Überprüfung von Vorfällen, die in Ihrem Unternehmen aufgetreten sind, ist ein guter Ausgangspunkt.

 

Cyber-Angriffe haben im Allgemeinen 4 Stufen:

  • Beobachtung - Untersuchung und Analyse der verfügbaren Informationen über das Ziel, um potenzielle Schwachstellen zu identifizieren.
  • Lieferung - an den Punkt in einem System kommen, an dem sie einen ersten Einstieg in das System haben.
  • Verletzung - Ausnutzung der Schwachstelle(n), um sich unbefugten Zugriff zu verschaffen.
  • Beeinflussen - Ausführen von Aktivitäten innerhalb eines Systems, die das Ziel des Angreifers erreichen.
Abwehr von Cyberangriffen

Das Wichtigste, was man über Cyber-Sicherheitsverteidigung verstehen muss, ist, dass sie in Schichten gestaltet werden und verschiedene Massnahmen umfassen muss, von Technologielösungen über Benutzeraufklärung bis hin zu effektiven Richtlinien.

Als Geschäftsleitungsmitglied sind Sie ein Ziel

Führungskräfte oder Interessenvertreter in Unternehmen sind oft das Ziel von Cyber-Angriffen, da sie Zugang zu wertvollen Ressourcen (in der Regel Geld und Informationen) und Einfluss innerhalb der Organisation haben.

 

Angreifer können versuchen, Ihre IT-Konten direkt anzugreifen, oder sie können versuchen, Sie mit einer überzeugend aussehenden gefälschten E-Mail-Adresse zu verkörpern. Sobald sie die Fähigkeit haben, sich als Sie auszugeben, ist ein typischer nächster Schritt, Anfragen zu senden, um nicht regelkonforme Geldüberweisungen zu tätigen. Diese Angriffe sind billig und oft erfolgreich, da sie die Zurückhaltung der Mitarbeiter ausnutzen, um eine nicht standardisierte Anfrage von jemandem weiter oben in der Organisation zu hinterfragen.

 

Ein gutes Cyber-Sicherheitsbewusstsein in Ihrer gesamten Organisation, zweckmässige Sicherheitsrichtlinien und einfache Meldeprozesse tragen dazu bei, dieses Risiko zu minimieren. Es ist auch wichtig, dass die Geschäftsleitungsmitglieder die Sicherheitsrichtlinien ihrer Organisation verstehen und befolgen, damit die Mitarbeiter, wenn ein Nachahmer versucht, sie zu umgehen, erkennen können, dass etwas nicht stimmt.

Sie sollten auch überlegen, wie Informationen über Sie (die öffentlich zugänglich sind) einem Angreifer helfen können, der versucht, sich als Sie auszugeben.

 

https://www.ncsc.gov.uk/collection/board-toolkit; NCSC, bow; 23.04.2019
Crown Copyright, Open Government licence http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/

 

cyber security

 

Cyber Security

Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

05/2019

Firmenwissen schützen vor Social Engineering

 

Das Risiko ungewollt zum Mittäter von Angreifern zu werden, welche es auf das Firmenwissen unserer Unternehmen abgesehen haben, ist allgegenwärtig und es kann jeden treffen. "Schwachstelle Mensch: Unternehmen schützen" beschreibt die Gefahr durch Social Engineering für jeden leicht verständlich und nachvollziehbar.

 

Autor: Michael Willer

ASIN: B07C283D25

05/2019

Leitfaden für ein Regelwerk zur IT-Sicherheit im Unternehmen

 

Das Buch richtet sich an Führungskräfte und Sicherheitsbeauftragte, die vor der Aufgabe stehen, Regelungen zur IT-Sicherheit für ihr Unternehmen zu definieren. Dieses Buch liefert dazu eine konkrete Anleitung. Es basiert auf internationalen Standards wie BSI Grundschutz-Handbuch, Cobit und ITIL.

 

Autoren: Ralf-T. Grünendahl, Andreas F. Steinbacher und Peter H.L. Will

ISBN-10: 383480598X

05/2019

Die Welt im Schatten der Computerkriminalität

 

Wahlmanipulation, Erpressung, Rufmord, Handel mit Kinderpornografie: Viele traditionelle Formen der Kriminalität bedienen sich zunehmend moderner Informations- und Kommunikationstechnologien – die Digitalisierung der Kriminalität schreitet voran. Dazu kommen neue Formen der Computerkriminalität, die erst mit der jetzt erreichten Verbreitung und Nutzung von Computern möglich sind.

 

Autor: Cornelius Granig

ASIN: B07QFXK9J1

Externer Security Officer

Keine Zeit für Informationssicherheit?
Ab sofort erhalten Sie Security-Unterstützung auf Abruf!

06/2019

 

Einführung zum Leitfaden in 7 Kapiteln

 

Aufbau einer «cybersicheren» Kultur

Die Kultur Ihres Unternehmens ist entscheidend für den Aufbau einer erfolgreichen Cybersecurity. Seine Kultur muss Sicherheitsverhalten betonen, verstärken und Ohne eine Cybersecurity-Kultur wird es keine widerstandsfähige Belegschaft.


Einstellung
Die Einstellung einer Organisation ist ein kritischer Bestandteil der Kultur. Wenn wir Awareness in die Unternehmenskultur einführen, erhöhen wir unsere Fähigkeit, Cyberrisiken anzugehen. Jedes Unternehmen ist gefährdet, sei es ein kleines gemeinnütziges oder ein Fortune-100-Unternehmen. Angesichts der Häufigkeit von Cyberangriffen müssen wir wachsam und vorbereitet sein. Die Einstellung wird angemessene Verhaltensweisen auf individueller Ebene fördern und zu der belastbaren Belegschaft beitragen, die jedes Unternehmen benötigt.

 

Führung
Die Führungskräfte der Organisation geben den Ton an. Führung ist der wichtigste Faktor, um Awareness und Einstellung zu beeinflussen. Führungskräfte müssen sich der Cybersecurity-Weiterbildung, der Einstellung und Best Practice widmen. Führungskräfte müssen auch Sicherheitsinvestitionen unterstützen und sich für Cybersecurity im Risikomanagement von Unternehmen einsetzen. Von Führungskräften wird kein vertieftes technisches Wissen verlangt, sondern sie sollten gute persönliche Sicherheitsgewohnheiten auf Grundlage solider Richtlinien vorleben. Die Einbeziehung von Führungskräften ist für ein Cyber-Secure-Unternehmen von entscheidender Bedeutung.

 

Training und Sensibilisierung
Sobald Führungskräfte eine Cybersecurity-Kultur fördern, ist der nächste Schritt die Implementierung von Sensibilisierungsschulungen für die Mitarbeitenden. Diese Schulungen vermitteln ein Verständnis für Risiken und - was am wichtigsten ist - liefern konkrete Schritte zur Minderung dieser Risiken. Trainingsprogramme gibt es in vielen Formen; die meisten beinhalten computergestützte Lernmodule und praktische Übungen.

 

Der Einsatz von Social Engineering um Exploits via ahnungslose Mitarbeitende zu verbreiten, ist ein zunehmendes Risiko. Sie können selbst Zugang zu den betreffenden Daten oder Systemen haben oder ausgenutzt werden, um diejenigen zu erreichen, die dies tun. Ein Schlüsselelement eines Trainingsprogramms ist die Abhärtung Ihrer Mitarbeitenden gegen die Realität von Social Engineering-Angriffen. Kein Programm führt zu einer nachhaltigen Erfolgsrate von 100% gegenüber Angriffen durch Menschen, kann aber den Umfang und die Auswirkungen von Angriffen erheblich reduzieren; Ihre Cyber-Verteidiger können sich auf eine kleinere, überschaubare Menge von Vorfällen konzentrieren.

 

Ein weiterer gängiger Weg, um den Aufbau einer Cybersecurity-Kultur zu unterstützen, sind interne Sensibilisierungskampagnen. Von Postern und Newslettern über Wettbewerbe bis hin zu Gewinnspielen haben Unternehmen effektive Wege gefunden, um Begeisterung für wichtige Sicherheitsthemen zu erzeugen.

 

Leistungsmanagement
Anreize und Abschreckungsmittel können einen tiefgreifenden Einfluss auf das menschliche Verhalten haben. Damit ein echter kultureller Wandel bezüglich Cybersecurity-Akzeptanz eintritt, müssen die individuellen Leistungsziele mit den Zielen des Unternehmens übereinstimmen. Leistungsziele für die Sicherheit können der Abschluss der erforderlichen Schulungen, verbesserte Reaktionen auf Phishing-Übungen, die Einhaltung von Richtlinien und die Vermeidung von riskantem Online-Verhalten sein. Finanzielle und operative Kennzahlen sind in Unternehmen üblich; Sicherheitsmetriken sollten es auch sein.

 

Stärkung durch Technologie und Vorgaben
Technische Kontrollen im Zusammenhang mit menschlichem Verhalten können implementiert werden, um die Cybersecurity-Kultur zu stärken. So wie physische Zugangskontrollen das mentale Bewusstsein für einen physischen Perimeter stärken, können auch Passwortrichtlinien, Multi-Faktor-Authentifizierung und Lösungen für das Management mobiler Geräte die Sicherheitskultur stärken. Richtlinien auf Unternehmensebene können auch die Umsetzung von Kontrollen vorantreiben, indem sie die negativen Folgen von Verstössen aufzeigen.

 

Es gibt viele Möglichkeiten, wie diese Richtlinien umgesetzt werden können, die die einzigartige Kultur jedes Unternehmens widerspiegeln. Entscheidend ist, dass sie die Grundlage für die Entwicklung einer Cybersecurity-Kultur bilden, indem sie das Bewusstsein schärfen und die richtige Denkweise fördern. Mit einer soliden Cybersecurity-Kultur kann sich jede Unternehmensfunktion auf ihren eigenen Beitrag zum Schutz des Unternehmens konzentrieren.

 

NIST; Susie Cone, Maurice Uenuma; Übersetzung bow; 22.10.2018
Creative Commons Attribution https://creativecommons.org/licenses/by-nc-sa/4.0
Link: https://bit.ly/2UVbfdQ

 

cyber security

 

Cyber Security


Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

06/2019

 

Generalaufgaben für Management, Planung und Governance

 

Cybersecurity-Generalaufgaben: Festlegung der Gesamtrichtung und Prioritäten, Aufrechterhaltung des Einflusses und Risikominderung

 

Welche Rolle spielen Führung, Planung und Governance?
Wenn Sie für die allgemeine strategische Ausrichtung des Unternehmens oder für die Aufrechterhaltung der Kontrollen und die Risikominderung verantwortlich sind, gilt dieser Abschnitt für Sie.

 

Führungs-, Planungs- und Governance-Experten sind oft die obersten Führungskräfte oder unterstützen strategische Entscheidungsträger direkt. Sie können an Vorstandsprozessen beteiligt sein, als leitende Angestellte mitwirken oder eine komplexe Regierungsbehörde mit treuhänderischer Verantwortung und Haushaltsbefugnis leiten. Oder Sie sind der Eigentümer und Betreiber eines kleinen Unternehmens oder Franchiseunternehmens. Was alle diese Rollen gemeinsam haben, ist, dass endgültige Entscheidungen von Ihnen getroffen werden, oder Sie unterstützen diejenigen, die diese Entscheidungen treffen. Da konkurrierende Anforderungen ausgeglichen werden müssen und nur begrenzte Ressourcen zur Verfügung stehen, spielen Sie eine entscheidende Rolle bei der Festlegung von Prioritäten und deren Einhaltung. Gleichzeitig müssen strategische Risiken für das Unternehmen angegangen werden. Sie sind oft der Schiedsrichter bei schwierigen Entscheidungen.

 

Sie sind für die Organisation wichtig, denn ohne Sie fehlt der Organisation die Richtung und der Zusammenhalt. Sie sind die Drehscheibe, um die vielen Bereiche des Unternehmens zu verbinden, zu koordinieren und zu steuern.

 

Führungs-, Planungs- und Governance-Rollen befassen sich bezüglich Cybersecurity mit:

  1. Management und Minderung der gesamten cyberbezogenen Geschäftsrisiken
  2. Einrichtung effektiver Governance-Kontrollen
  3. Priorisierung und Ressourcenbeschaffung für Cybersecurity-Programme
  4. Schutz der vertraulichen Informationen, auf die Sie sich bei der Planung und Entscheidungsfindung verlassen
  5. Etablierung einer Cybersecurity-Kultur innerhalb des Unternehmens


Was Management, Planer und Governance-Experten bzgl. Cybersecurity tun sollten:

  • Verstehen Sie die Grundlagen und Best Practice in der Cybersecurity so gut, dass eine fundierte Entscheidungsfindung möglich ist
    • Etablierung eines regelmässigen Berichtsprozesses für Cyberrisiken innerhalb des Unternehmens
    • Zusammenarbeit mit vertrauenswürdigen Dritten, um sich über Cyberrisiken und deren Eindämmung zu informieren - dazu gehören Berater, Branchengruppen, Anbieter von Cybersecurity-Dienstleistungen und Schulungsanbieter
    • Regelmässige Beauftragung objektiver Risikobewertungen des Unternehmens
    • Leiten Sie die Umsetzung von (inter-)national anerkannten Cybersecurity-Best Practice-Frameworks
  • Ziehen Sie Cyberrisiken in den Risikomanagementprozess des Unternehmens mit ein
    • Vermeiden Sie es, Cyberrisiken als eigenständige und mysteriöse Angelegenheit nur für Technologen zu behandeln
    • Verstehen Sie die organisatorischen Auswirkungen von Cyber-Vorfällen
    • Berücksichtigen Sie die möglicherweise von Partnern und Lieferanten eingeführten Risiken
    • Durchführung von Krisenstabsübungen, um sich und Ihr Unternehmen mit der Vorgehensweise bei Katastrophen und Sicherheitsvorfällen vertraut zu machen
    • Priorisieren Sie cyberbezogene Risiken, um sicherzustellen, dass angemessene Aufmerksamkeit und Anstrengungen auf deren Minderung gerichtet sind
  • Entwickeln und unterhalten Sie Informationssicherheitsvorgaben und -richtlinien für Ihr Unternehmen
    • Stellen Sie sicher, dass die Richtlinien zur Informationssicherheit auf Risikobewertungen, Vorschriften und Normen/Best Practices basieren
    • Stellen Sie sicher, dass die Sicherheitsrichtlinien des Unternehmens angemessen umgesetzt, institutionalisiert und kommuniziert werden
    • Seien Sie sich der relevanten Datenschutzbestimmungen und -gesetze bewusst, um sicherzustellen, dass diese von Ihrem Unternehmen eingehalten werden
    • Erstellen Sie einen Zeitplan, um die Richtlinien regelmässig zu überprüfen und zu aktualisieren
  • Fördern Sie die Entwicklung effektiver funktionsübergreifender Teams zur Erreichung von Cybersecurity-Zielen für die Organisation
  • Sorgen Sie für die angemessene Finanzierung von Cybersecurity-Ressourcenanforderungen
    • Digitale Ressourcen können nicht ohne menschliche und technische Ressourcen geschützt werden; seien Sie bereit, Ressourcen einzusetzen, die auf eine kohärente Cybersecurity-Strategie ausgerichtet sind
    • Planen Sie für zukünftige Bedürfnisse
  • Schützen Sie sensible strategische, finanzielle, rechtliche und Risikoinformationen
    • Geben Sie nur notwendige Informationen weiter
    • Stellen Sie sicher, dass die Informationen in Übereinstimmung mit den Richtlinien zur Datenspeicherung des Unternehmens oder externen Vorschriften aufbewahrt/vernichtet werden
    • Verwenden Sie starke Verschlüsselung, sichere Passwörter und andere Methoden, um Dateien zu schützen, wenn Sie sie an andere übermitteln
  • Schützen Sie den Zugriff auf Online-Datenaustausch-Plattformen oder Plattformen zur Unterstützung von Entscheidungsprozessen, indem Sie bewährte Verfahren anwenden, wie z.B.:
    • Starke Passwörter
    • Eindeutige Passwörter für jedes kritische Konto
    • Multi-Faktor-Authentifizierung

Was wir alle tun sollten:

  • Stellen Sie sicher, dass alle Betriebssysteme und Anwendungen auf dem neuesten und sichersten Stand sind, indem Sie automatische Hersteller-Updates aktivieren
  • Wenn Sie von zu Hause aus arbeiten, sichern Sie Ihr Heimnetzwerk durch die Anwendung von Best Practices, z.B.:
    • Ändern Sie Ihr Passwort für den Wireless Router, Ihre SSID und schränken Sie die Möglichkeiten anderer ein, sie zu finden
    • Maximieren Sie die Verschlüsselungsstufen auf Ihrem Wireless Router
    • Erhöhen Sie die Datenschutzeinstellungen in Ihrem Browser
    • Verwenden Sie nach Möglichkeit Virtual Private Networks (VPN), um auf Unternehmensnetzwerke zuzugreifen.
    • Für zusätzliche Sicherheit schützen Sie die Privatsphäre beim Surfen durch verschlüsselte Browser
    • Für zusätzliche Sicherheit schützen Sie persönliche E-Mail-Konten durch verschlüsselte E-Mails
  • Sichern Sie auf Reisen Ihre Verbindungen zum Unternehmen.
    • Geben Sie mit öffentlichen Computern keine sensiblen Informationen ein, z.B. in Hotel-Lobbys, Bibliotheken und Internetcafés
    • Nutzen Sie den VPN-Zugang zu Unternehmensnetzwerken, wann immer dies möglich ist
    • Verwenden Sie kein öffentliches Wi-Fi ohne VPN, um sensible Informationen zu übertragen
    • Verwenden Sie einen spezifischen drahtlosen Hotspot für den Internetzugang
    • Wenn ein Hotspot nicht verfügbar ist, sollten Sie die Anbindung an ein Geschäftshandy in Betracht ziehen
    • Erwägen Sie die Verwendung von Einwegtelefonen, wenn Sie in Regionen mit fragwürdiger Datensicherheit oder übermässiger Überwachung reisen
    • Schützen Sie Ihren Computer physisch vor Diebstahl und unbefugtem Zugriff
  • Nutzen Sie Social Media sinnvoll
    • Wenden Sie starke Datenschutzeinstellungen an
    • Geben Sie auf Geschäftskonten keine personenbezogenen Daten weiter
    • Geben Sie keine Geschäftsinformationen auf persönlichen Konten weiter

 

NIST; Susie Cone, Maurice Uenuma; Übersetzung bow; 22.10.2018
Creative Commons Attribution https://creativecommons.org/licenses/by-nc-sa/4.0
Link: https://bit.ly/2UVbfdQ

 

cyber security

 

Cyber Security


Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

06/2019

 

Generalaufgaben für Verkauf, Marketing, Kommunikation

 

Cybersecurity-Generalaufgaben: Sensibilisierung, Kommunikation, Generierung von Einnahmen und Interaktion mit Kunden

 

Welche Rolle spielen Vertrieb, Marketing und Kommunikation
Wenn Sie mit Kunden, Klienten, Spendern oder Bürgern interagieren, gilt dieses Kapitel Ihnen: Fachleute aus den Bereichen Vertrieb, Marketing und Kommunikation sind diejenigen, die potenzielle und bestehende Kunden ansprechen, um das Bewusstsein für Produkte und Dienstleistungen zu fördern, das Interesse zu wecken und Einnahmen durch Verkäufe oder andere Mittel zu generieren. Möglicherweise sind Sie auch an der öffentlichen und medienwirksamen Kommunikation beteiligt. Sie sind die Botschafter der Organisation, die Nachrichten über die guten Dinge, denen, die es wissen müssen, zur Verfügung stellen und auf aktuelle Ereignisse reagieren. Dazu gehört auch die entscheidende Arbeit, Geschäftsideen in echte Geschäftsabschlüsse umzusetzen. Zusammen mit den Menschen, die die Produkte oder Dienstleistungen liefern, sind Sie oft die sichtbarsten und nach aussen gerichteten Personen in Ihrem Unternehmen.

 

Sie sind für das Unternehmen wichtig, denn ohne Sie sitzen Ideen, Produkte und Dienstleistungen still - Sie machen das Unternehmen zu einem lebenden Teil der Umwelt.

 

Die Rolle von Vertrieb, Marketing und Kommunikation in der Cybersecurity besteht aus:

  1. Schutz der Unternehmensmarke, der Reputation und des Vertrauens von Bürgern, Kunden und Partnern
  2. Verhinderung/Begrenzung von Informationsverlust bei der Interaktion mit der Aussenwelt
  3. Reduzierung der Risiken für das Unternehmensnetzwerk bei Remote-Arbeit, Telearbeit und Reisen

 

Was Vertriebs-, Marketing- und Kommunikationsexperten tun sollten:

  • Kommunizieren Sie die Bedeutung von Cybersecurity-Fragen an Ihre Interessengruppen
    • Greifen Sie auf seriöse Quellen zu, um ein umfassendes Verständnis dafür zu entwickeln, wie Informationen und Systeme in das menschliche Ökosystem passen, mit dem Sie interagieren - dazu gehören Berater, Industriegruppen, Cybersecurity-Dienstleister und Bildungseinrichtungen
    • Inventarisieren Sie die Arten von Informationen, die Ihrem Unternehmen anvertraut werden und berücksichtigen Sie die möglichen Auswirkungen von kompromittierten Daten auf Ihre Kunden und Partner
    • Verstehen Sie die potenziellen Auswirkungen eines Cyberunfalls auf Ihr Unternehmen, einschliesslich Kundenvertrauen und Wettbewerbsvorteil
  • Entwickeln Sie einen Kommunikationsplan für den unvermeidlichen Cyber-Ereignisfall
    • Teilnahme an der Planung des internen Incident Response Teams
    • Machen Sie sich mit dem Reaktionsplan für Cyber-Vorfälle vertraut
    • Teilnahme an "Tabletop-Übungen" und anderen Planungsarbeiten zur Antizipation von Cyber-Vorfällen
    • Entwurf eines Kommunikationsplans im Einklang mit regulatorischen Anforderungen, rechtlichen Überlegungen, branchenspezifischen Best Practices und Verpflichtungen gegenüber externen Interessengruppen
  • Schützen Sie gemeinsam genutzte Dateien
    • Verwenden Sie Verschlüsselung, Passwörter und andere Methoden, um Dateien zu schützen, wenn Sie sie an/von Kunden und Partnern übermitteln
  • Schützen Sie den Zugriff auf Ihre Customer Relationship Management (CRM)-Plattform durch die Anwendung von Best Practices, wie z.B.:
    • Starke Passwörter
    • Eindeutige Passwörter für jedes kritische Konto
    • Multi-Faktor-Authentifizierung
    • Einschränkung der Zugangsmöglichkeiten nach Bedarf
    • Löschen von Mitarbeitenden oder Lieferanten, wenn sie nicht mehr involviert sind
  • Schützen Sie Kundeninformationen in Angeboten, Bestellungen, Rechnungen, Zahlungen und Präsentationen
    • Nur notwendige Informationen weitergeben
    • Sicherstellen, dass die Informationen in Übereinstimmung mit den Datenhaltungsrichtlinien des Unternehmens oder den geltenden Vorschriften vernichtet werden
  • Bringen Sie die Cyber-Bedenken Ihrer Kunden in das Unternehmen ein
  • Seien Sie sich der Auswirkungen bewusst, die sich aus der Geschäftstätigkeit in ausländischen Jurisdiktionen mit unterschiedlichen Vorschriften wie der Datenschutz-Grundverordnung (DSGVO) der EU ergeben

 

Was wir alle tun sollten:

  • Stellen Sie sicher, dass alle Betriebssysteme und Anwendungen auf dem neuesten und sichersten Stand sind, indem Sie automatische Updates vom Hersteller aktivieren.
  • Wenn Sie von zu Hause aus arbeiten, sichern Sie Ihr Heimnetzwerk durch die Anwendung von Best Practices, z.B.:
    • Ändern Sie Ihr Passwort für den Wireless Router, Ihre SSID und schränken Sie die Möglichkeiten anderer ein, es zu finden
    • Maximieren Sie die Verschlüsselungsstufen auf Ihrem Wireless Router
    • Erhöhen Sie die Datenschutzeinstellungen in Ihrem Browser
    • Verwenden Sie wann immer möglich Virtual Private Networks (VPN) um auf Ihre Unternehmensnetzwerke zuzugreifen.
    • Für zusätzliche Sicherheit schützen Sie die Privatsphäre beim Surfen durch verschlüsselte Browser
    • Für zusätzliche Sicherheit schützen Sie persönliche E-Mail-Konten durch verschlüsselte E-Mails
  • Sichern Sie auf Reisen Ihre Verbindungen zum Unternehmen
    • Geben Sie keine sensiblen Informationen auf öffentlichen Computern ein, z.B. in Hotel-Lobbys, Bibliotheken und Internetcafés
    • Nutzen Sie den VPN-Zugang zu Unternehmensnetzwerken, wann immer dies möglich ist
    • Verwenden Sie kein öffentliches Wi-Fi ohne VPN, um sensible Informationen zu übertragen
    • Verwenden Sie einen dedizierten drahtlosen Hotspot für den Internetzugang
    • Wenn ein Hotspot nicht verfügbar ist, sollten Sie die Anbindung an ein Firmen- oder Geschäftshandy in Betracht ziehen
    • Erwägen Sie die Verwendung von Einwegtelefonen, wenn Sie in Regionen mit fragwürdiger Datensicherheit oder übermässiger Überwachung reisen
    • Schützen Sie Ihren Computer physisch vor Diebstahl und unbefugtem Zugriff
  • Social Media sinnvoll nutzen
    • Wenden Sie starke Datenschutzeinstellungen an
    • Geben Sie keine personenbezogenen Daten auf Geschäftskonten weiter
    • Geben Sie keine Geschäftsinformationen auf Privatkonten weiter

 

NIST; Susie Cone, Maurice Uenuma; Übersetzung bow; 22.10.2018
Creative Commons Attribution https://creativecommons.org/licenses/by-nc-sa/4.0
Link: https://bit.ly/2UVbfdQ

 

cyber security

 

Cyber Security


Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

06/2019

 

Generalaufgaben für Facilities, physische Systeme und Betrieb

 

Cybersecurity-Generalaufgaben: Entwicklung und Bereitstellung von Produkten und Dienstleistungen, Verwaltung von Abläufen und Wartung der physischen Umgebung.

 

Mit was sich Facilities, physische Systeme und Betrieb beschäftigen
Wenn Sie die Produkte und Dienstleistungen Ihres Unternehmens für Ihre Kunden entwerfen und bereitstellen, Teil der Abläufe zur Unterstützung der Bereitstellung sind oder die physische Umgebung verwalten und warten, gilt dieser Abschnitt für Sie.

 

Da die Arten von Produkten und Dienstleistungen sehr unterschiedlich sind, decken Facilities, physische Systeme und Betrieb eine Vielzahl von Funktionen ab, von der Standortverwaltung über den Produktingenieur, den Betriebsanalytiker bis hin zum Vertriebsleiter und darüber hinaus. Sie liefern der Welt die Wertigkeit des Unternehmens aus und erfüllen damit seinen Hauptzweck. Ihre Rolle wirkt sich direkt auf Bürger, Kunden und Partner aus, die von den Produkten und Dienstleistungen Ihres Unternehmens abhängig sind.

 

Sie sind dem Unternehmen wichtig, denn die erfolgreiche Entwicklung und Lieferung seiner Produkte und Dienstleistungen hängt von Ihnen ab. Das Unternehmen würde ohne die von Ihnen bereitgestellten Fähigkeiten nicht mehr funktionieren und der Hauptzweck des Unternehmens würde unerfüllt bleiben. Ihre Leistung ist auch entscheidend für die Aufrechterhaltung eines Wettbewerbsvorteils - was Ihr Unternehmen einzigartig und anerkannt macht - in einer lauten und geschäftigen Welt. Darüber hinaus bergen die von Ihnen betriebenen Technologiesysteme, einschliesslich derjenigen, die physische Prozesse steuern (Operational Technology (OT), weniger Informationstechnologie (IT)), potenzielle Risiken für Leib und Leben, so dass Ihre Sicherheitsbereitschaft an erster Stelle steht.

 

Die Rolle von Facilities, physischen Systemen und Betrieb in der Cybersecurity ist:

  1. Schutz der Einzigartigkeit der Produkte und Dienstleistungen, die Ihr Unternehmen anbietet
  2. Sicherung physischer Systeme vor Beeinträchtigung durch alle Gefahren, einschliesslich physischer und Cyberrisiken
  3. Integration von Cybersecurity mit physischer Sicherheit und Sicherung

 

Was die Fachleute für Facilities, physische Systeme und Operationen tun sollten:

  • Identifizierung von Cyberrisiken für die Widerstandsfähigkeit physischer Systeme, einschliesslich Kontrollsysteme
    • Einbeziehung von IT- und OT-Stakeholdern
    • Vertrauenswürdige Dritte einbeziehen, um ein Verständnis für Cyberrisiken in der physischen Umgebung zu entwickeln
    • Durchführung einer umfassenden Bewertung der physischen Umgebung, um Schwachstellen zu identifizieren
  • Sicherstellen, dass angemessene physische Sicherheitskontrollen in den Einrichtungen umgesetzt werden
  • Entwicklung eines umfassenden Plans zur Verbesserung der Sicherheit von Kontrollsystemen
    • Nutzung von Best Practice-Frameworks für die Cybersecurity
  • Einbeziehung von Cybersecurity-Massnahmen in das allgemeine Sicherheitsprogramm
    • Sicherstellen, dass die Mitarbeiterschulung das Bewusstsein für Cyberrisiken in der physischen Umgebung beinhaltet
    • Nutzung des Sicherheitsprogramms als weiteres Mittel zur Förderung einer Cybersecurity-Kultur
    • Zusammenarbeit mit der IT-Abteilung bei der Entwicklung eines Systems für Gäste, die auf die physische Umgebung zugreifen: Einschränkung des direkten Zugriffs, Bereitstellung eines eingeschränkten Wi-Fi-Netzwerks usw.
  • Schutz des geistigen Eigentums
    • Verwenden Sie Verschlüsselung, Passwörter und andere Methoden, um Dateien zu schützen, wenn Sie sie an/von Kunden und Partnern übermittel
    • Nur notwendige Informationen weitergeben
    • Sicherstellen, dass sensible Informationen in Übereinstimmung mit den Datenhaltungsrichtlinien des Unternehmens oder externen Vorschriften vernichtet werden
    • Verhindern Sie Fernzugriff auf Systeme, es sei denn, dies ist absolut notwendig
  • Berücksichtigung von Sicherheitsrisiken und -minderungen in der Lieferkette
    • Sicherstellen, dass Sicherheitskontrollen bei Bedarf in die Produkte integriert sind
    • Sicherstellen, dass Lieferanten die Best Practices für die Sicherheit einhalten
  • Schützen Sie den Zugriff auf Ihre Informationsspeicher, indem Sie bewährte Verfahren anwenden, wie z.B.:
    • Starke Passwörter
    • Eindeutige Passwörter für jedes kritische Konto
    • Multi-Faktor-Authentifizierung

 

Was wir alle tun sollten:

  • Stellen Sie sicher, dass alle Betriebssysteme und Anwendungen auf dem neuesten und sichersten Stand sind, indem Sie automatische Updates vom Hersteller aktivieren
  • Wenn Sie von zu Hause aus arbeiten, sichern Sie Ihr Heimnetzwerk durch die Anwendung von Best Practices, z.B.:
    • Ändern Sie Ihr Passwort für den Wireless Router, Ihre SSID und schränken Sie die Möglichkeiten anderer ein, es zu finden
    • Maximieren Sie die Verschlüsselungsstufen auf Ihrem Wireless Router
    • Erhöhen Sie die Datenschutzeinstellungen in Ihrem Browser
    • Verwenden Sie wann immer möglich Virtual Private Networks (VPN) um auf Ihre Unternehmensnetzwerke zuzugreifen.
    • Für zusätzliche Sicherheit schützen Sie die Privatsphäre beim Surfen durch verschlüsselte Browser
    • Für zusätzliche Sicherheit schützen Sie persönliche E-Mail-Konten durch verschlüsselte E-Mails
  • Sichern Sie auf Reisen Ihre Verbindungen zum Unternehmen
    • Geben Sie keine sensiblen Informationen auf öffentlichen Computern ein, z.B. in Hotel-Lobbys, Bibliotheken und Internetcafés
    • Nutzen Sie den VPN-Zugang zu Unternehmensnetzwerken, wann immer dies möglich ist
    • Verwenden Sie kein öffentliches Wi-Fi ohne VPN, um sensible Informationen zu übertragen
    • Verwenden Sie einen dedizierten drahtlosen Hotspot für den Internetzugang
    • Wenn ein Hotspot nicht verfügbar ist, sollten Sie die Anbindung an ein Firmen- oder Geschäftshandy in Betracht ziehen
    • Erwägen Sie die Verwendung von Einwegtelefonen, wenn Sie in Regionen mit fragwürdiger Datensicherheit oder übermässiger Überwachung reisen
    • Schützen Sie Ihren Computer physisch vor Diebstahl und unbefugtem Zugriff
  • Social Media sinnvoll nutzen
    • Wenden Sie starke Datenschutzeinstellungen an
    • Geben Sie keine personenbezogenen Daten auf Geschäftskonten weiter
    • Geben Sie keine Geschäftsinformationen auf Privatkonten weiter

 

NIST; Susie Cone, Maurice Uenuma; Übersetzung bow; 22.10.2018
Creative Commons Attribution https://creativecommons.org/licenses/by-nc-sa/4.0
Link: https://bit.ly/2UVbfdQ

 

cyber security

 

Cyber Security


Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

06/2019

 

Generalaufgaben für Finanzen und Verwaltung

 

Cybersecurity-Generalaufgaben: Unterstützung aller Funktionen innerhalb des Unternehmens bei der Planung, Prognose, Buchhaltung, Transaktionen und Verwaltung

 

Was Finanzen und Verwaltung in mehr Detail machen
Wenn Sie an der Verwaltung der Finanzen des Unternehmens beteiligt sind, von der Planung und Budgetierung über die Buchhaltung bis hin zur Abwicklung von Transaktionen, gilt dieser Abschnitt Ihnen.

 

Sie sind dafür verantwortlich, dass jeder Teil des Unternehmens in der Lage ist, für Waren und Dienstleistungen zu bezahlen, innerhalb eines Budgets zu arbeiten, Einnahmen und Ausgaben zu verfolgen und Geschäfte mit externen Einheiten - von Kunden bis Lieferanten - zu tätigen. Sie können auch administrative Unterstützung für die Planungs- und Governance-Funktion leisten oder den Bürobetrieb verwalten.
Diese Funktion umfasst alle Personen, die in diesen Bereichen eine Vollzeitbeschäftigung ausüben, gilt aber auch für alle Führungskräfte, Manager und Mitarbeitenden, die sich mit Finanz- und Verwaltungsangelegenheiten befassen, also fast alle.

 

In vielen Fällen beinhaltet die Funktion Finanzen und Verwaltung das unternehmensweite Risikomanagement mit den dazugehörigen Prozessen und die Personalberichterstattung an einen Chief Financial Officer (CFO) oder eine ähnliche Funktion. Auch interne Audit- und Compliance-Funktionen können einbezogen werden.

 

Sie sind für das Unternehmen wichtig, denn ohne die Fähigkeit, die finanzielle Gesundheit aufrechtzuerhalten, wesentliche Transaktionen durchzuführen, Geschäftsrisiken zu managen und die Planungs- und Governance-Funktion zu unterstützen, ist der Geschäftsbetrieb gefährdet.

 

Die Rolle von Finanzen und Verwaltung bei der Cybersecurity beinhaltet:

  1. Integration von Cyberrisiken in den Risikomanagementprozess des Unternehmens
  2. Ressourcenbeschaffung für Cybersecurity-Initiativen im Einklang mit der Sicherheitsstrategie und im Gleichgewicht mit anderen IT-Investitionen
  3. Wahrung der Vertraulichkeit und Integrität sensibler Finanzinformationen, um die Sicherheit und Einhaltung der geltenden Richtlinien zu gewährleisten

 

Was Finanz- und Verwaltungsfachleute tun sollten:

  • Sicherstellen, dass Cyberrisiken in den Risikomanagementprozess des Unternehmens integriert werden
    • Identifizieren Sie cyberbezogene Risiken für das Unternehmen im Risikomanagementprozess frühzeitig und nicht als separate Aktivität oder spätere Ergänzung
    • Verstehen Sie die vielen verschiedenen geschäftlichen Auswirkungen von Cyber-Bedrohungen, die von Geschäftsunterbrechungen und Reputationsverlust bis hin zu gesetzlicher Haftung und Sachschäden reichen
  • Bereitstellung ausreichender Mittel, um den Erfolg der Cybersecurity-Strategie des Unternehmens zu ermöglichen
    • Verweisen Sie auf die Sicherheitsstrategie des Unternehmens und externe Best Practice-Frameworks, um die Priorisierung von Investitionen zu unterstützen
    • Zusammenarbeit mit Cybersecurity-Managern, um zu verstehen, wie ihre Ressourcenanforderungen mit der Strategie übereinstimmen (was wiederum mit dem Risikomanagement des Unternehmens übereinstimmen sollte); Unterscheidung zwischen Must-Haves und Nice-to-Haves
    • Entwicklung einer vollständigen Übersicht über die sicherheitsrelevanten Ausgaben, die oft auf mehrere Funktionsbereiche und Budgetpost verteilt sind
  • Zusammenarbeit mit anderen Unternehmensfunktionen für die Planung von Notfallausgaben
    • Im Falle eines Cybervorfalls sollten die Reaktionspläne für Vorfälle auch den Kauf der benötigten Geräte oder Dienstleistungen umfassen
    • Lieferanten und Auftragnehmer sollten bereits überprüft worden sein, wenn ein solcher Vorfall eintritt
    • Für den Verlust von Finanzsystemen sollten Notfallpläne erstellt werden, um bei minimaler Unterbrechung die Kontinuität zu gewährleisten
    • Erwägen Sie den Abschluss einer Cyber-Risikoversicherung, um die finanziellen Auswirkungen von Sicherheitsvorfällen auszugleichen
    • Sicherstellen, dass der Notfallplan Ausgleichsleistungen für die betroffenen Parteien umfasst, wie z.B. Kreditüberwachungsdienste
  • Zusammenarbeit mit den Bereichen Recht und Compliance sowie IT, um sicherzustellen, dass Verträge mit Dritten Klauseln für eine wirksame Überwachung der Cybersecurity der Lieferanten, die Benachrichtigung über Vorfälle und die Einhaltung relevanter branchenspezifischer und staatlicher Richtlinien und Vorschriften enthalten
  • Definition des angemessenen Ausgleichs der Ressourcenallokation zwischen Geschäftsbetrieb, Geschäftsverbesserung und Geschäftssicherung
    • Während erstere eine engere Ausrichtung an den Unternehmenszielen und -leistungen aufweisen können, führt eine übereilte Umsetzung oft zu neuen Risiken
    • Bei richtiger Anwendung können Verbesserungen im IT-Betrieb auch die Sicherheit und Compliance verbessern, da viele grundlegende Sicherheitskontrollen (z.B. wie Asset Profiling, Vulnerability Management, Konfigurations- und Patch-Management sowie Access Management) für eine gut funktionierende IT-Umgebung unerlässlich sind
  • Schützen Sie die finanzielle Tragfähigkeit und Reputation des Unternehmens, indem Sie die Einhaltung von Gesetzen, Vorschriften, Regeln, Standards und Richtlinien (sowohl extern als auch intern) sicherstellen
    • Verständnis der regulatorischen Anforderungen im Zusammenhang mit Finanzinformationen
    • Unterstützung der Bemühungen des Cybersecurity-Teams zur Sicherung der Systeme, die von diesen Anforderungen betroffen sind
  • Schützen Sie sensible strategische, finanzielle, rechtliche und risikobezogene Informationen
    • Nur notwendige Informationen weitergeben
    • Sicherstellen, dass die Informationen in Übereinstimmung mit den Datenhaltungsrichtlinien des Unternehmens oder externen Vorschriften vernichtet werden
    • Verwenden Sie Verschlüsselung, Passwörter und andere Methoden, um Dateien zu schützen, wenn Sie sie an andere übermitteln
  • Schützen Sie den Zugriff auf jede Online-Datenaustauschplattform oder Plattformen zur Entscheidungsunterstützung, indem Sie bewährte Verfahren anwenden, wie z.B.:
    • Starke Passwörter
    • Eindeutige Passwörter für jedes kritische Konto
    • Multi-Faktor-Authentifizierung

 

Was wir alle tun sollten:

  • Stellen Sie sicher, dass alle Betriebssysteme und Anwendungen auf dem neuesten und sichersten Stand sind, indem Sie automatische Updates vom Hersteller aktivieren.
  • Wenn Sie von zu Hause aus arbeiten, sichern Sie Ihr Heimnetzwerk durch die Anwendung von Best Practices, z.B.:
    • Ändern Sie Ihr Passwort für den Wireless Router, Ihre SSID und schränken Sie die Möglichkeiten anderer ein, es zu finden
    • Maximieren Sie die Verschlüsselungsstufen auf Ihrem Wireless Router
    • Erhöhen Sie die Datenschutzeinstellungen in Ihrem Browser
    • Verwenden Sie wann immer möglich Virtual Private Networks (VPN) um auf Ihre Unternehmensnetzwerke zuzugreifen.
    • Für zusätzliche Sicherheit schützen Sie die Privatsphäre beim Surfen durch verschlüsselte Browser
    • Für zusätzliche Sicherheit schützen Sie persönliche E-Mail-Konten durch verschlüsselte E-Mails
  • Sichern Sie auf Reisen Ihre Verbindungen zum Unternehmen
    • Geben Sie keine sensiblen Informationen auf öffentlichen Computern ein, z.B. in Hotel-Lobbys, Bibliotheken und Internetcafés
    • Nutzen Sie den VPN-Zugang zu Unternehmensnetzwerken, wann immer dies möglich ist
    • Verwenden Sie kein öffentliches Wi-Fi ohne VPN, um sensible Informationen zu übertragen
    • Verwenden Sie einen dedizierten drahtlosen Hotspot für den Internetzugang
    • Wenn ein Hotspot nicht verfügbar ist, sollten Sie die Anbindung an ein Firmen- oder Geschäftshandy in Betracht ziehen
    • Erwägen Sie die Verwendung von Einwegtelefonen, wenn Sie in Regionen mit fragwürdiger Datensicherheit oder übermässiger Überwachung reisen
    • Schützen Sie Ihren Computer physisch vor Diebstahl und unbefugtem Zugriff
  • Social Media sinnvoll nutzen
    • Wenden Sie starke Datenschutzeinstellungen an
    • Geben Sie keine personenbezogenen Daten auf Geschäftskonten weiter
    • Geben Sie keine Geschäftsinformationen auf Privatkonten weiter

 

NIST; Susie Cone, Maurice Uenuma; Übersetzung bow; 22.10.2018
Creative Commons Attribution https://creativecommons.org/licenses/by-nc-sa/4.0
Link: https://bit.ly/2UVbfdQ

 

cyber security

 

Cyber Security


Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

06/2019

 

Generalaufgaben für Personalwesen und HR

 

Cybersecurity-Generalaufgaben: Planung, Einstellung und Unterstützung der Entwicklung, Bindung und Vergütung der Mitarbeitenden des Unternehmens

 

Was die Personalabteilung leistet
Wenn Sie für das Management und die Optimierung der Personalressourcen des Unternehmens verantwortlich sind - vom Einsteiger bis zum Management - sowie für externe Stakeholder (Stellenbewerber bis hin zu Personalvermittlern, Beratern, Personalverbänden und Leistungserbringern), gilt dieser Teil Ihnen.

Sie steuern die Personalstrategie in Übereinstimmung mit der Strategie des Unternehmens. Zu Ihren Aufgaben gehören Personalweisungen und -management, Personalgewinnung und -entwicklung, Personal- und Nachfolgeplanung, Mitarbeiterbeziehungen und -engagement, Kultur und Vielfalt, Leistungsmanagement sowie Vergütung und Zusatzleistungen. Möglicherweise sind Sie auch an der Pflege von Datensätzen in Personaladministrationsportalen und Tools zur Personalgewinnung beteiligt.

 

Sie sind für das Unternehmen wichtig, denn ohne Ihr Fachwissen und Ihre Bemühungen, das wertvollste Gut des Unternehmens, seine Mitarbeitenden, zu gewinnen, zu entwickeln und zu erhalten, würde das Unternehmen nicht über das Wissen und die Fähigkeiten verfügen, die für den Erfolg notwendig sind. Dank Ihnen können Best Practices für das Personalmanagement konsequent angewendet werden.

 

Die Rolle der Personalabteilung in der Cybersecurity beinhaltet:

  1. Implementierung von Best Practices in den Bereichen Organisationsänderungs-Management, Mitarbeiterschulung und Performance Management, um eine Cybersecurity-Kultur zu ermöglichen
  2. Sicherstellung, dass kritische Cybersecurity-Rollen besetzt werden und dass die Mitarbeitenden über die notwendigen Kenntnisse, Fähigkeiten und Fertigkeiten auf dem Laufenden bleiben
  3. Schutz vertraulicher Mitarbeiterinformationen
  4. Führungsrolle bei den Bemühungen zur Risikominderung von Insider-Bedrohungen

 

Was Personalverantwortliche tun sollten:

  • Sicherstellen, dass Kenntnisse, Fähigkeiten und Fertigkeiten im Bereich der Cybersecurity in die Aus- und Weiterbildungsprogramme der Mitarbeitenden integriert werden
  • Reduzieren Sie die Risiken, die durch Neueinstellungen entstehen, indem Sie Hintergrundprüfungen durchführen
  • Forderung und Verfolgung der Teilnahme an Cybersecurity-Schulungen und Sensibilisierungsprogrammen für alle Mitarbeitenden im gesamten Unternehmen
  • Nutzung von Best Practices im Personalbereich zur Reduktion der Personalfluktuation in kritischen Cybersecurity-Rollen
  • Stellen Sie eine Auswahl von Dienstleistern sicher, die die Vertraulichkeit der persönlichen Daten der Mitarbeitenden, die häufig besonders schützenswerte Daten enthalten, effektiv wahren können
  • Schützen Sie den Zugriff auf Ihre Personalmanagement-Plattform, indem Sie bewährte Verfahren anwenden, wie z.B.:
    • Starke Passwörter
    • Eindeutige Passwörter für jedes kritische Konto
    • Multi-Faktor-Authentifizierung
  • Schützen Sie sensible Informationen bei der Rekrutierung, Leistung, Vergütung und den Sozialleistungen von Mitarbeitenden
    • Nur notwendige Informationen weitergeben
    • Sicherstellen, dass die Informationen in Übereinstimmung mit den Datenhaltungsrichtlinien des Unternehmens oder externen Vorschriften vernichtet werden
    • Verwenden Sie Verschlüsselung, Passwörter und andere Methoden, um Dateien zu schützen, wenn Sie sie intern oder extern mit Interessengruppen wie z.B. Personalvermittlern oder Stelleninteressenten teilen
  • Sicherstellen, dass die Konten der ausgetretenen Mitarbeitenden umgehend geschlossen werden
    • Sofortige Benachrichtigung der IT-Abteilung über anstehende oder tatsächliche Personalaustritte
    • Aktualisieren Sie Verzeichnisse mit dem neuem Status, um sicherzustellen, dass Berechtigungsänderungen plattform- und anwendungsübergreifend kaskadiert werden
    • HR-Sätze entsprechend aktualisieren

 

Was wir alle tun sollten:

  • Stellen Sie sicher, dass alle Betriebssysteme und Anwendungen auf dem neuesten und sichersten Stand sind, indem Sie automatische Updates vom Hersteller aktivieren.
  • Wenn Sie von zu Hause aus arbeiten, sichern Sie Ihr Heimnetzwerk durch die Anwendung von Best Practices, z.B.:
    • Ändern Sie Ihr Passwort für den Wireless Router, Ihre SSID und schränken Sie die Möglichkeiten anderer ein, es zu finden
    • Maximieren Sie die Verschlüsselungsstufen auf Ihrem Wireless Router
    • Erhöhen Sie die Datenschutzeinstellungen in Ihrem Browser
    • Verwenden Sie wann immer möglich Virtual Private Networks (VPN) um auf Ihre Unternehmensnetzwerke zuzugreifen.
    • Für zusätzliche Sicherheit schützen Sie die Privatsphäre beim Surfen durch verschlüsselte Browser
    • Für zusätzliche Sicherheit schützen Sie persönliche E-Mail-Konten durch verschlüsselte E-Mails
  • Sichern Sie auf Reisen Ihre Verbindungen zum Unternehmen
    • Geben Sie keine sensiblen Informationen auf öffentlichen Computern ein, z.B. in Hotel-Lobbys, Bibliotheken und Internetcafés
    • Nutzen Sie den VPN-Zugang zu Unternehmensnetzwerken, wann immer dies möglich ist
    • Verwenden Sie kein öffentliches Wi-Fi ohne VPN, um sensible Informationen zu übertragen
    • Verwenden Sie einen dedizierten drahtlosen Hotspot für den Internetzugang
    • Wenn ein Hotspot nicht verfügbar ist, sollten Sie die Anbindung an ein Firmen- oder Geschäftshandy in Betracht ziehen
    • Erwägen Sie die Verwendung von Einwegtelefonen, wenn Sie in Regionen mit fragwürdiger Datensicherheit oder übermässiger Überwachung reisen
    • Schützen Sie Ihren Computer physisch vor Diebstahl und unbefugtem Zugriff
  • Social Media sinnvoll nutzen
    • Wenden Sie starke Datenschutzeinstellungen an
    • Geben Sie keine personenbezogenen Daten auf Geschäftskonten weiter
    • Geben Sie keine Geschäftsinformationen auf Privatkonten weiter

 

NIST; Susie Cone, Maurice Uenuma; Übersetzung bow; 22.10.2018
Creative Commons Attribution https://creativecommons.org/licenses/by-nc-sa/4.0
Link: https://bit.ly/2UVbfdQ

 

cyber security

 

Cyber Security


Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

06/2019

 

Generalaufgaben für Recht und Compliance

 

Cybersecurity-Generalaufgaben: Sicherstellung der Einhaltung von Gesetzen, Vorschriften und Standards, Risikominderung und Befassung mit Rechtsangelegenheiten

 

Womit sich die Abteilung Recht und Compliance beschäftigt
Wenn Sie sich darauf konzentrieren, rechtliche Risiken zu mindern oder Compliance-Fragen zu beantworten bzw. darauf zu reagieren, gilt dieser Abschnitt für Sie.

 

Sie tun dies zu einem grossen Teil, indem Sie sicherstellen, dass das Unternehmen in Übereinstimmung mit den zahlreichen anzuwendenden Gesetzen, Vorschriften und Normen bleibt. Sie können auch auf externe Anfragen, Herausforderungen oder Beschwerden sowie auf interne Angelegenheiten sensibler Natur reagieren.

 

Sie sind enge Berater von Führungskräften und helfen, Richtlinien und Prioritäten so festzulegen, dass der Hauptzweck des Unternehmens mit den Risiken, denen es ausgesetzt sein könnte, in Einklang steht. Sie reagieren schnell auf juristische Bedrohungen und können zum Mittelpunkt der Interaktion mit Personen ausserhalb des Unternehmens werden, wenn Rechts- oder Compliance-Fragen behandelt werden müssen, wie beispielsweise bei Rechtsstreitigkeiten, Gerichtsverfahren, Audits und wenn Behörden involviert sind.

 

Sie sind dem Unternehmen wichtig, weil Sie sicherstellen, dass es Gesetze, Vorschriften und Normen befolgt, so dass es sich auf seine Kernkompetenzen konzentrieren kann. Ohne Sie könnte sich das Unternehmen leicht in Schwierigkeiten befinden und strafrechtlichen, zivilrechtlichen und Audit-Forderungen ausgesetzt sein.

 

Die Rolle von Recht und Compliance bei der Cybersecurity ist:

  1. Minimierung der Verbindlichkeiten im Zusammenhang mit der Cybersecurity des Unternehmens
  2. Sicherstellung der Einhaltung von Gesetzen, Vorschriften und Standards zur Cybersecurity
  3. Auseinandersetzung mit den rechtlichen Auswirkungen von Vorfällen, wenn sie auftreten.

 

Was Rechts- und Compliance-Experten tun sollten:

  • Verstehen Sie die rechtlichen Auswirkungen der Cybersecurity, um eine solide Risikominderung zu ermöglichen
    • Zusammenarbeit mit glaubwürdigen Dritten, um sich über Cybersecurity und Recht zu informieren - dazu gehören Berufsverbände, Branchengruppen, Berater und Ausbildner
    • Bleiben Sie auf dem Laufenden über neue Vorschriften und Normen
  • Implementierung eines effektiven Compliance-Programms für das Unternehmen
    • Bewertung der Exposition des Unternehmens gegenüber Gesetzen, Vorschriften und Industriestandards, um eine angemessene Abdeckung zu gewährleisten
    • Einrichtung und Durchsetzung von Informationsklassifizierungs- und Zugriffsprozessen
    • Nutzung bestehender Best Practices für die Durchsetzung von Compliance-Anforderungen
    • Sicherstellung der Einhaltung von Richtlinien zur Cybersecurity durch Dritte durch Vertragsbedingungen, wie z.B. Service Level Agreements (SLAs)
  • Aktive Teilnahme am Risikomanagementprozess des Unternehmens, in Zusammenarbeit mit Planung und Governance, Finanzen und Verwaltung sowie anderen Geschäftsfunktionen, um Risiken ganzheitlich zu minimieren
  • Umsetzung von Massnahmen zur Minderung von durch Partner und Lieferanten entstehenden Risiken
  • Aktive Unterstützung der Reaktionskräfte des Unternehmens bei einem vermuteten Verstoss, einschliesslich, soweit möglich, der Ergreifung geeigneter Massnahmen zur Wahrung des Rechtsprivilegs
  • Nach einem Vorfall und wo erforderlich Einbezug der Strafverfolgungsbehörden und Information der Lieferanten und der Öffentlichkeit
  • Schützen Sie den Zugriff auf jede Online-Datenaustausch- oder Entscheidungsunterstützungsplattform, indem Sie bewährte Verfahren anwenden, wie z.B.:
    • Starke Passwörter
    • Eindeutige Passwörter für jedes kritische Konto
    • Multi-Faktor-Authentifizierung
  • Schutz vertraulicher Rechts- und Compliance-Informationen
    • Nur notwendige Informationen weitergeben
    • Sicherstellen, dass die Informationen in Übereinstimmung mit den Datenhaltungsrichtlinien des Unternehmens oder externen Vorschriften vernichtet werden
    • Verwenden Sie starke Verschlüsselung, sichere Passwörter und andere Methoden, um Dateien zu schützen, wenn Sie sie an andere übertragen
  • Leitung der Bemühungen des Unternehmens zur Entwicklung und Umsetzung von Datenschutzrichtlinien in Übereinstimmung mit den geltenden Gesetzen, Branchenvorschriften und bewährten Verfahren

 

Was wir alle tun sollten:

  • Stellen Sie sicher, dass alle Betriebssysteme und Anwendungen auf dem neuesten und sichersten Stand sind, indem Sie automatische Updates vom Hersteller aktivieren.
  • Wenn Sie von zu Hause aus arbeiten, sichern Sie Ihr Heimnetzwerk durch die Anwendung von Best Practices, z.B.:
    • Ändern Sie Ihr Passwort für den Wireless Router, Ihre SSID und schränken Sie die Möglichkeiten anderer ein, es zu finden
    • Maximieren Sie die Verschlüsselungsstufen auf Ihrem Wireless Router
    • Erhöhen Sie die Datenschutzeinstellungen in Ihrem Browser
    • Verwenden Sie wann immer möglich Virtual Private Networks (VPN) um auf Ihre Unternehmensnetzwerke zuzugreifen.
    • Für zusätzliche Sicherheit schützen Sie die Privatsphäre beim Surfen durch verschlüsselte Browser
    • Für zusätzliche Sicherheit schützen Sie persönliche E-Mail-Konten durch verschlüsselte E-Mails
  • Sichern Sie auf Reisen Ihre Verbindungen zum Unternehmen
    • Geben Sie keine sensiblen Informationen auf öffentlichen Computern ein, z.B. in Hotel-Lobbys, Bibliotheken und Internetcafés
    • Nutzen Sie den VPN-Zugang zu Unternehmensnetzwerken, wann immer dies möglich ist
    • Verwenden Sie kein öffentliches Wi-Fi ohne VPN, um sensible Informationen zu übertragen
    • Verwenden Sie einen dedizierten drahtlosen Hotspot für den Internetzugang
    • Wenn ein Hotspot nicht verfügbar ist, sollten Sie die Anbindung an ein Firmen- oder Geschäftshandy in Betracht ziehen
    • Erwägen Sie die Verwendung von Einwegtelefonen, wenn Sie in Regionen mit fragwürdiger Datensicherheit oder übermässiger Überwachung reisen
    • Schützen Sie Ihren Computer physisch vor Diebstahl und unbefugtem Zugriff
  • Social Media sinnvoll nutzen
    • Wenden Sie starke Datenschutzeinstellungen an
    • Geben Sie keine personenbezogenen Daten auf Geschäftskonten weiter
    • Geben Sie keine Geschäftsinformationen auf Privatkonten weiter

 

NIST; Susie Cone, Maurice Uenuma; Übersetzung bow; 22.10.2018
Creative Commons Attribution https://creativecommons.org/licenses/by-nc-sa/4.0
Link: https://bit.ly/2UVbfdQ

 

cyber security

 

Cyber Security


Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

06/2019

 

Generalaufgaben für IT, Kommunikation und Netzwerk (ITC)

 

Cybersecurity-Generalaufgaben: Nutzung von Technologielösungen für Geschäftskonnektivität, Produktivität und wichtige Prozesse

 

Was die IT macht
Wenn Sie Technologielösungen für das Unternehmen definieren, entwickeln, testen, bereitstellen, unterstützen, warten und schützen, gilt das Folgende für Sie.

 

Sie sind verantwortlich für das "zentrale Nervensystem" des Unternehmens, verwalten die Computersysteme und Netzwerke, die Entscheidungsfindung und Kommunikation ermöglichen, und übersetzen diese Inhalte dann in Prozesse, die das Unternehmen führen. Sie sind wahrscheinlich in die Interaktion mit Endbenutzern involviert, um deren Anforderungen zu erfassen und zu erfüllen. Sie können eng mit den Funktionen Personalwesen sowie Recht und Compliance zusammenarbeiten, um ein unternehmensweites Bewusstsein für und die Einhaltung von Cybersecurity-Richtlinien zu gewährleisten. Möglicherweise sind Sie auch an der Interaktion mit externen Anbietern für Technologieakquisition und -unterstützung beteiligt. Im Falle eines Cybersecurity-Vorfalls interagieren Sie wahrscheinlich mit Dienstleitstern, Strafverfolgungsbehörden und externen Cybersecurity-Organisationen.

 

Sie sind für das Unternehmen wichtig, weil Sie es jedem ermöglichen, zu kommunizieren, Daten zu erfassen, Informationen zu verarbeiten und die Systeme zu verwalten, von denen die Arbeit abhängt. Kritische Vermögenswerte, einschliesslich vertraulicher Informationen, geistiges Eigentum, Wettbewerbsvorteile und Kundendaten, können aufgrund Ihrer Rolle ordnungsgemäss genutzt und geschützt werden.

 

Die Rolle der Informationstechnologie in der Cybersecurity beinhaltet:

  1. Zurverfügungstellung von technischer Expertise für die Sicherheit von Informationssystemen und zugehörigen Technologieplattformen
  2. Implementierung und Aufrechterhaltung eines robusten mehrschichtigen Ansatzes für die Informationssicherheit des Unternehmens, der mit den besten Praktiken der Branche und den geltenden Vorschriften und Standards übereinstimmt
  3. Reaktion auf und Minderung von sicherheitsrelevanten Vorfällen

 

Was Informationstechnologie-Profis tun sollten:

  • Bereitstellung von technischem Fachwissen zur Unterstützung des Cybersecurity-Programms der Organisation
    • Sicherstellung des aktuellen Wissens über Tools, Techniken und Verfahren der Cybersecurity, einschliesslich sicherer Anwendungen und Plattformdesign
    • Cross-Training anderer IT-Funktionen mit Security-Funktionen, um ein breiteres Bewusstsein und mehr Kapazität zu schaffen
    • Proaktive Zusammenarbeit mit anderen Unternehmensfunktionen im gesamten Unternehmen
  • Implementierung eines robusten Cybersecurity-Programms mit geeigneten technischen und Prozesskontrollen im Einklang mit der Risikominderungsstrategie des Unternehmens
    • Nutzung von anerkannten Best Practice-Frameworks für die Cybersecurity
    • Verweisen Sie auf sichere Konfigurationsstandards von massgeblichen Stellen
    • Zusammenarbeit mit externen Stellen wie Beratern, Wirtschaftsprüfern, Berufsverbänden sowie Produkt- und Dienstleistungsanbietern, um die besten Werkzeuge für den Job zu finden
  • Integration von Security in IT-Design, Architektur, Bereitstellung und Routinebetrieb
    • Betrachten Sie Security im Voraus, nicht als nachträglichen Gedanken
    • Integrieren Sie Security in den gesamten Prozess der Anwendungsentwicklung, des Testens, der Bereitstellung, einschliesslich DevOps
    • Nutzung von Best Practices im IT-Betrieb zur Verbesserung der Security
  • Erstellung von und Unterstützung bei der Durchsetzung effektiver Security-Richtlinien für Mitarbeitende, Auftragnehmer und Lieferanten, die in Richtlinien für die zulässige Nutzung und anderen einschlägigen Normen festgelegt wurden, denen gegenüber sie zur Rechenschaft gezogen werden können
    • Enge Zusammenarbeit mit dem Top-Management, um die Unterstützung der Richtlinien zu gewährleisten
    • Anwendung des Grundsatzes der Aufgabentrennung für kritische Security-Aufgaben und den Umgang mit sensiblen Informationen
  • Erstellung, Überprüfung und Durchsetzung robuster Cloud Security-Richtlinien für das Unternehmen
    • Stellen Sie sicher, dass Cloud Service Provider das Security-Niveau bieten, das das Unternehmen benötigt
    • Verstehen Sie die Modelle der gemeinsamen Verantwortung, die mit der Nutzung von Cloud Services verbunden sind
    • Erstellung und Durchsetzung interner Security-Richtlinien für die Nutzung von Cloud Services
  • Schützen Sie den Zugriff auf jede Online-Datenaustausch- oder Entscheidungsunterstützungsplattform, indem Sie bewährte Verfahren anwenden, wie z.B.:
    • Starke Passwörter
    • Eindeutige Passwörter für jedes kritische Konto
    • Multi-Faktor-Authentifizierung
    • Verwendung von Passwortmanagementsystemen oder -anwendungen
  • Schutz vertraulicher Unternehmensinformationen
    • Nur notwendige Informationen weitergeben
    • Sicherstellen, dass die Informationen in Übereinstimmung mit den Datenhaltungsrichtlinien des Unternehmens oder externen Vorschriften vernichtet werden
    • Verwenden Sie starke Verschlüsselung, sichere Passwörter und andere Methoden, um Dateien zu schützen, wenn Sie sie an andere übermitteln
    • Sicherstellung einer redundanten Speicherung kritischer Informationen
  • Aufrechterhaltung eines hohen Masses an technischer Kompetenz in den für die Cybersecurity unerlässlichen Bereichen
    • Aktive Mitgliedschaft von Fachverbänden und Teilnahme an Konferenzen und Veranstaltungen
    • Anerkannte Weiterbildungen in relevanten Bereichen
    • Erlangung technischer Zertifizierungen in Cybersecurity-Bereichen

 

Was wir alle tun sollten:

  • Stellen Sie sicher, dass alle Betriebssysteme und Anwendungen auf dem neuesten und sichersten Stand sind, indem Sie automatische Updates vom Hersteller aktivieren.
  • Wenn Sie von zu Hause aus arbeiten, sichern Sie Ihr Heimnetzwerk durch die Anwendung von Best Practices, z.B.:
    • Ändern Sie Ihr Passwort für den Wireless Router, Ihre SSID und schränken Sie die Möglichkeiten anderer ein, es zu finden
    • Maximieren Sie die Verschlüsselungsstufen auf Ihrem Wireless Router
    • Erhöhen Sie die Datenschutzeinstellungen in Ihrem Browser
    • Verwenden Sie wann immer möglich Virtual Private Networks (VPN) um auf Ihre Unternehmensnetzwerke zuzugreifen.
    • Für zusätzliche Sicherheit schützen Sie die Privatsphäre beim Surfen durch verschlüsselte Browser
    • Für zusätzliche Sicherheit schützen Sie persönliche E-Mail-Konten durch verschlüsselte E-Mails
  • Sichern Sie auf Reisen Ihre Verbindungen zum Unternehmen
    • Geben Sie keine sensiblen Informationen auf öffentlichen Computern ein, z.B. in Hotel-Lobbys, Bibliotheken und Internetcafés
    • Nutzen Sie den VPN-Zugang zu Unternehmensnetzwerken, wann immer dies möglich ist
    • Verwenden Sie kein öffentliches Wi-Fi ohne VPN, um sensible Informationen zu übertragen
    • Verwenden Sie einen dedizierten drahtlosen Hotspot für den Internetzugang
    • Wenn ein Hotspot nicht verfügbar ist, sollten Sie die Anbindung an ein Firmen- oder Geschäftshandy in Betracht ziehen
    • Erwägen Sie die Verwendung von Einwegtelefonen, wenn Sie in Regionen mit fragwürdiger Datensicherheit oder übermässiger Überwachung reisen
    • Schützen Sie Ihren Computer physisch vor Diebstahl und unbefugtem Zugriff
  • Social Media sinnvoll nutzen
    • Wenden Sie starke Datenschutzeinstellungen an
    • Geben Sie keine personenbezogenen Daten auf Geschäftskonten weiter
    • Geben Sie keine Geschäftsinformationen auf Privatkonten weiter

 

NIST; Susie Cone, Maurice Uenuma; Übersetzung bow; 22.10.2018
Creative Commons Attribution https://creativecommons.org/licenses/by-nc-sa/4.0
Link: https://bit.ly/2UVbfdQ

 

cyber security

 

Cyber Security


Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

06/2019

Mitarbeiter zielgerichtet für Informationssicherheit sensibilisieren

 

Kristin Weber, Andreas E. Schütz und Tobias Fertig zeigen in diesem essential, wie Mitarbeiter in acht Schritten für das Thema Informationssicherheit sensibilisiert werden können. Vorgestellt wird ein Vorgehen, welches Erkenntnisse aus der Verhaltenspsychologie berücksichtigt und somit eine passgenaue Auswahl von Sensibilisierungsmaßnahmen erlaubt.

 

Autoren: Kristin WeberAndreas E. SchützTobias Fertig

ISBN-10: 3658262575

06/2019

Datenschutzleitfaden mit 60 wertvollen Tipps für die Praxis von Unternehmern für Unternehmer

 

Die neuen, seit Ende Mai 2018 zur Anwendung kommenden Datenschutz-Vorschriften der EU stellen Unternehmer und Unternehmen vor viele Herausforderungen. Der weite Ermessensspielraum, den die Datenschutz-Grundverordnung bietet, stellt Verantwortliche vor zahlreiche Fragen. Auf viele dieser Fragen haben die Autoren, die Unternehmen verschiedenster Branchen und Firmengrößen beim Umsetzen der DSGVO beraten, bereits Antworten gefunden, die sich an der alltäglichen, unternehmerischen Praxis orientieren - also auch tatsächlich mit angemessenem Aufwand an Zeit und Kosten umgesetzt werden können.

 

Autoren: Andreas DolezalMatthias Aichinger

ISBN-10: 9783990708989

06/2019

Lösungen zur Erhöhung der Cyberresilienz für Unternehmen und Behörden

 

Das Thema Cybersecurity ist so aktuell wie nie, denn im Cyberspace lassen sich nur schwer Grenzen in Bezug auf den Zugang zu Informationen, Daten und Redefreiheit setzen. Kriminelle nutzen die Lücken oft zu ihrem Vorteil aus. Die Vielzahl der IT-Systeme, ihre unterschiedlichen Nutzungsarten und ihre Innovations- und Lebenszyklen haben zu hohen Sicherheitsrisiken für Unternehmen und staatliche Einrichtungen geführt.

 

Autoren: Michael BartschStefanie Frey

ISBN-10: 9783658216542

06/2019

Gerne informieren wir Sie im nachfolgenden Artikel darüber ob und wann ein Cookie-Banner (Cookie-Hinweis) auf Ihrer Webseite rechtskonform ist.

 

Die Cookie-Hinweise auf Webseiten haben in den letzten Monaten verschiedene Formen angenommen. Ein Grund für die Vielfalt ist die immer noch bestehende Rechtsunsicherheit zu diesem Thema.

 

Was sagt die Cookie-Richtlinie?

Die rechtliche Situation zu den Cookies wird in der EU durch die so genannte «Cookie-Richtlinie» (Richtlinie 2009/136/EG) geregelt. Sie kommt nur für Nutzer in jenen EU-Ländern zur Anwendung, in welchen die Cookie-Richtlinie umgesetzt wurde (z.B. Frankreich, nicht aber Deutschland).

 

Die Cookie-Richtlinie sieht bei entsprechender Umsetzung im EU-Mitgliedstaat vor, dass Cookies, welche nicht unbedingt erforderlich sind, nur noch verwendet werden dürfen, wenn der Nutzer der Webseite nach vorgängiger Aufklärung seine Einwilligung erteilt hat (sog. Opt-In-Prinzip). Dies erfolgt mittels Cookie-Banner, mit welchem auf die Verwendung von Cookies hingewiesen wird. Wurde die Cookie-Richtlinie nicht umgesetzt, gelten entsprechend nationale Regelungen.

 

Cookie-Banner und die EU-Datenschutz-Grundverordnung (DSGVO)

Die Verarbeitung von personenbezogenen Daten, worunter auch Cookies fallen, sofern sich ein Personenbezug nachweisen lässt, erfordert nach DSGVO eine Rechtsgrundlage. Als Rechtsgrundlage in Frage kommen die Einwilligung oder die berechtigten Interessen (vgl. Art. 6 DSGVO). Unabhängig von der Rechtsgrundlage sind die betroffenen Personen in jedem Fall über den Einsatz von Cookies angemessen zu informieren (Art. 12 ff DSGVO).

 

Nach DSGVO werden Cookie-Banner deshalb eingesetzt, um:

  • die Einwilligung der Webseitenbesucher (nachfolgend auch Nutzer genannt) zur Verwendung von Cookies einzuholen; oder auch nur,
  • um die Nutzer über die Verwendung von Cookies vorschriftsgemäss zu informieren.

 

Nach allgemeiner Auffassung kann ein normales bzw. niederschwelliges Besuchertracking, d.h. die Verwendung von Cookies zur Aufzeichnung und Verarbeitung pseudonymisierter Daten für rein statistische Zwecke (wie z.B. Google Analytics mit IP-Masking) auf der Rechtsgrundlage der berechtigten Interessen der Unternehmung, welche Cookies einsetzt, gestützt werden. Das berechtigte Interesse besteht darin, dass die Nutzung der Webseite zur Verbesserung des Inhalts und zur Verbesserung der Werbemassnahmen genutzt werden soll (Marketingzwecke). Eine explizite Zustimmung zum Einsatz von Cookies ist bei Verarbeitung zu diesen Zwecken nicht erforderlich. Die Datenschutzkonferenz in Deutschland vertritt dem gegenüber in ihrem Positionspapier die Meinung, dass beim Einsatz von personenbezogenen Cookies explizit die Einwilligung des Webseitenbesuchers einzuholen ist. Die Beschlüsse der Datenschutzkonferenz sind allerdings rechtlich nicht bindend.

 

Anders sieht es aus, wenn eine über das normale Besuchertracking hinausgehende Verarbeitung personenbezogener Daten erfolgt, wie dies oftmals bei Online Behavioural Advertising oder Retargeting der Fall ist. Nach DSGVO wird in diesen Fällen eine sog. informierte Einwilligung in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung des Nutzers gefordert, bevor Cookies platziert werden dürfen. Hier muss deshalb mindestens ein Bestätigungs-Button geklickt werden, bevor das Analyse-Cookie gesetzt werden darf (sog. Soft Opt-In Option). Die Lehre verlangt ausserdem, dass dem Webseitenbesucher genau aufgezeigt wird, welche Cookies verwendet werden sollen und ihm die Möglichkeit gegeben wird, der Verwendung der einzelnen Cookies separat zuzustimmen.

 

Hat die Cookie-Richtlinie bald ausgedient?

Die E-Privacy-Verordnung soll die bisher geltende «Cookie-Richtlinie» ablösen und wie auch die DSGVO unmittelbar auf die EU-Mitgliedstaaten anwendbar sein. Die Verordnung wird auch für Gesellschaften mit Sitz in der Schweiz relevant sein. Ähnlich wie die Regelung in der DSGVO ist auch der räumliche Anwendungsbereich der vorgeschlagenen E-Privacy-Verordnung weit gefasst.

 

Die Einholung der Einwilligung zur Verwendung von Cookies soll demnach erheblich vereinfacht werden: Künftig sollen Nutzer den Einsatz von Cookies generell über die Privatsphäre-Einstellungen ihres Webbrowsers regeln können. Die Cookie-Banner sollen deshalb nach der Vorstellung der EU-Kommission bald der Vergangenheit angehören.

 

Wie der genaue Text der E-Privacy-Verordnung aussehen wird, ist derzeit noch nicht klar. Für grössere Umstellungen bei der Handhabung von Cookies könnte es vorteilhaft sein, den finalen Text dieser Verordnung abzuwarten. Ein Inkrafttreten ist nicht vor 2022 geplant.

 

Die Cookie-Banner, die uns bis dato im Netz begegnen, genügen den Anforderungen an ein wirksames OptIn mit Einwilligung oftmals nicht. Dazu dürften Cookies, wie erwähnt, erst dann bei Nutzern gespeichert werden, nachdem sie über diese aufgeklärt wurden und sich der Nutzer mit ihnen einverstanden erklärt hat. Nach unserer Erfahrung haben Unternehmen oftmals Mühe, dies so in technischer Hinsicht umzusetzen, weshalb regelmässig die Einholung der rechtskonformen Einwilligung verzichtet wird.

 

Mit den gängigen Cookie-Bannern wird lediglich darauf hingewiesen, dass die Webseite Cookies verwendet. Bei diesen Bannern macht es keinen Unterschied, ob der Nutzer auf «Ich stimme zu/ok» klickt oder einfach weitersurft und sich bei jedem Seitenwechsel aufs Neue von dem Hinweis begrüssen lässt.

 

Cookies und das Schweizer Datenschutzgesetz (DSG)

In der Schweiz besteht seit 2007 eine eigene Cookie-Regelung für Webseitenbetreiber. Sie ist im Vergleich zur europäischen Cookie-Richtlinie aber auch der DSGVO wesentlich weniger restriktiv.

 

Die entsprechende schweizerische Cookie-Regelung findet sich in Art. 45c lit. b des Fernmeldegesetzes (FMG). Die Cookie-Regelung in der Schweiz enthält in der Regel keine Formvorschriften. Das «Bearbeiten von Daten auf fremden Geräten durch fernmeldetechnische Übertragung […] ist nur erlaubt, […] wenn die Benutzerinnen und Benutzer über die Bearbeitung und ihren Zweck informiert sowie darauf hingewiesen werden, dass sie die Bearbeitung ablehnen können.» Eine explizite Einwilligung ist demnach nicht erforderlich. Eine solche ist nur dann notwendig, wenn mit den Cookies besonders schützenswerte Personendaten oder Persönlichkeitsprofile bearbeitet werden (Art. 4 Ziff. 5 DSG).

 

Webseitenbetreiber in der Schweiz müssen den Besucher hingegen über verwendete Cookies informieren und dabei auch den Zweck nennen. Ausserdem muss dem Nutzer erklärt werden, wie Cookies abgelehnt, das heisst, im Browser deaktiviert werden können. Ein Verstoss gegen diese Cookie-Regelung gilt als Ordnungswidrigkeit und kann mit Busse bis zu 5000 Franken bestraft werden (Art. 53 FMG).

 

Im Minimum das Minimum: Unser Fazit

Nach wie vor ist unsicher, ob nach DSGVO explizit eine Einwilligung zum Einsatz von Cookies auf der Webseite erforderlich ist oder nicht. Was jetzt genau gilt, bleibt vorerst allerdings unklar. Letztendlich werden die EU-Aufsichtsbehörden und die EU-Gerichte diese Frage zu entscheiden haben.

 

Für den Einsatz von Cookie-Bannern sprechen die Transparenz und das Vertrauen. Fairness gebietet es, Besucher einer Webseite darüber zu informieren, welche Auswirkung der Webseitenbesuch hat und wie die personenbezogenen Daten verwendet werden. Die Verwendung von Cookie-Hinweisen ist so gesehen eine vertrauensbildende Massnahme, die Seriosität ausstrahlt und heute Best Practice ist.

 

Sofern Sie nicht über ein normales Besuchertracking hinausgehende Verarbeitung tätigen oder schützenswerte Daten verarbeiten, empfehlen wir deshalb einen sogenannten «Informationsbanner» zu implementieren, womit der Nutzer über die Verwendung von Cookies informiert wird.

 

Fragen Sie sich, ob der Cookie-Banner auf Ihrer Webseite den Anforderungen von DSGVO & Co. entspricht? Wir unterstützen Sie inhaltlich und technisch bei der Einhaltung von Schweizer Datenschutz und DSGVO. www.infosec.ch/dsgvo

 

Swiss Infosec AG; 27.05.2019
Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch
www.infosec.ch/datenschutz

Ausgewähltes Expertenwissen

Events und Business Meetings rund um das Thema Integrale Sicherheit

Treffen Sie unsere Spezialisten und Persönlichkeiten aus der Wirtschaft! Die Swiss Infosec AG ist seit mehr als 25 Jahren als produkte- und herstellerneutrales, unabhängiges Beratungs- und Ausbildungsunternehmen erfolgreich tätig. Das aus der Praxis gewonnene Wissen und unsere Erfahrung geben wir gerne weiter. Nicht nur in Kursen und Lehrgängen, sondern auch im Rahmen von Events und Business Meetings.

Nice to know: Fachspezifischer Wissenstransfer direkt vom Experten

An unseren Events und Business Meetings.erfahren Sie mehr über aktuelle Sicherheitsthemen und Lösungsansätze. Spannende Expertenreferate und Keynotes, die den Begriff „Sicherheit“ noch weiter fassen, garantieren Ihnen einen Mehrwert an Wissen auf hohem Niveau.


Nice to meet: Networking ist an unseren Events und Business Meetings inklusive

An unseren Events und Business Meetings steht nicht nur der Wissenstransfer im Mittelpunkt, sondern auch der persönliche Austausch zwischen den Teilnehmenden. Stichwort Networking. Hier können Sie wertvolle Kontakte knüpfen und vertiefen.

 

Events und Business Meetings by Swiss Infosec AG: Best Practice im besten Sinne.


Security Events und Business Meetings: Anlässe, die Sie weiterbringen

Sie wollen Ihre Sicherheitskompetenzen stärken. Ergänzen Sie unsere individuellen Aus- und Weiterbildungsangebote mit dem Besuch unserer Events und Business Meetings. Unser Wissen bringt Sie weiter.

Informieren Sie sich über aktuelle Events und Business Meetings und planen Sie schon heute Ihre Teilnahme!

Ein Blick auf unsere Events-Agenda hält Sie auf dem Laufenden. So können Sie Ihre Teilnahme allenfalls perfekt auf weitere Aus- und Weiterbildungsaktivitäten abstimmen. +41 41 984 12 12, infosec@infosec.ch

 

Events und Business Meetings by Swiss Infosec AG: Kostenlose Teilnahme, unbezahlbarer Wissensgewinn, unbezahlbare Begegnungen.

Wir freuen uns auf Sie!

 

Miro Schenker

Unterschrift MIR

Chief Strategy Officer

miro.schenker@infosec.ch
+41 79 634 77 49

MEET SWISS INFOSEC!

Die führende Fachveranstaltung der Schweiz für Integrale Sicherheit

MEET SWISS INFOSEC! ist die ideale Plattform für Ihr Unternehmen. Die MEET SWISS INFOSEC! findet zweimal jährlich im Hotel Radisson Blu in Zürich Flughafen statt und steht ganz im Zeichen der Integralen Sicherheit. Die Fachveranstaltung zieht Security-Interessierte aus dem In- und Ausland an und kombiniert Security und Networking in gelungener Weise. Sie ist deshalb bestens geeignet, um Ihr Unternehmen auf attraktive und innovative Art zu präsentieren.

MEET SWISS INFOSEC!: Die attraktive Verbindung von nice to know und nice to meet.

MEET SWISS INFOSEC!: aktuell, informativ, überraschend

Der Fokus der Referate an der MEET SWISS INFOSEC! liegt auf aktuellen Themen, Trends und Lösungsansätzen. In der abschliessenden Keynote wird das Thema „Sicherheit“ oftmals aus einer überraschenden Perspektive heraus betrachtet. Prominente Referenten sorgen dabei für den Wow-Effekt. Rückblick auf die aktuelle Ausgabe der MEET SWISS INFOSEC!

FACTS & FIGURES: 35x MEET SWISS INFOSEC! 6500+ Anmeldungen, 250+ Anmeldungen pro Event, 240+ Referate

 

 

MEET SWISS INFOSEC!: Best Practice in ihrer schönsten Form

MEET SWISS INFOSEC!: Ihr place to be

Stellen Sie Ihre Sicherheitslösungen einem Fachpublikum vor und profitieren Sie von persönlichen Begegnungen und Feedbacks. Ob spannende, praxisorientierte Erfahrungsberichte zu integralen Aspekten der Sicherheit, ob interessante Ausführungen zu Informationssicherheit, IT-Sicherheit und Datenschutz: Sie finden offene Ohren.

UNSERE KUNDEN: Ihre Zielgruppe

grafik diagramm branchen

MEET SWISS INFOSEC!: Massgeschneiderte Sponsoring-Engagements

Wählen Sie zwischen Sponsoring-Engagements mit der Bezeichnung S, M, L und XL und erreichen Sie mit unseren firmeneigenen Werbekanälen Ihre Zielgruppe.

 

MEET SWISS INFOSEC!: Nutzen Sie Ihre Möglichkeiten!

Wir beraten Sie gerne. Kontaktieren Sie uns jetzt unverbindlich und nutzen Sie die MEET SWISS INFOSEC! als Plattform für Ihr Unternehmen. +41 41 984 12 12, infosec@infosec.ch

 

Wir freuen uns über Ihren Kontakt.

 

Miro Schenker

Unterschrift MIR

Chief Strategy Officer

miro.schenker@infosec.ch
+41 79 634 77 49

 

 

 

 

 

Miro Schenker

E-Mail

ISMS-Beispiel

Wie ein skalierbares ISMS komplexeste Anforderungen in einer sehr grossen Organisation erfolgreich meistert.

Ausbildungsagenda 2019/20

Meeting Points: Hier werden Sie besser!
Mit unserem Kursangebot schnell und sicher ans Ziel kommen.

Security Awareness & Online-Kurse

Awareness- und eLearning-Module: Lernen zu jeder Zeit, flexibel im Tempo und nutzbringend im Inhalt.

Jubiläumsanlass 30 Jahre Swiss Infosec AG

23. September 2019, Zürich Flughafen
13.00 bis 17.15 h, anschliessend Apéro riche

Sicherheit im Fokus auf Informationssicherheit, IT-Sicherheit, Datenschutz, Cyber Security, Cloud Security und Krisenmanagement

Ihre Teilnahme ist kostenlos!

Sicherheit im Fokus

27. Januar 2020, Zürich Flughafen
13.00 bis 17.00 h, anschliessend Apéro

Sicherheit im Fokus auf Informationssicherheit, Datenschutz, IT-Sicherheit, Cyber Security, Krisenmanagement, Business Continuity Management und Physische Sicherheit

Ihre Teilnahme ist kostenlos!

Für Betriebliche Datenschutzverantwortliche und Informations- und IT-Sicherheitsbeauftragte

27. September 2019, Sursee
9 bis 12 h, anschliessend Lunch

Treffen Sie sich an diesem kostenlosen Refresher mit ausgewiesenen Sicherheits-Spezialisten für den Fachaustausch und erfahren Sie mehr über die aktuellen Tendenzen und Neuerungen im Bereich des Datenschutzes und der Informations- und IT-Sicherheit.

07/2019

 

Regelentwurf für "Critical Network Equipment Security Testing"

Details des chinesischen Cybersicherheitsrechts werden klarer

Das chinesische Cybersicherheitsgesetz, das am 1. Juni 2017 in Kraft getreten ist, bildet die Grundlage für mehrere Regelungen zur Sicherheitsüberprüfung und Zertifizierung der Informationstechnologie. In Artikel 23 heisst es:

 

Kritische Netzwerkgeräte und spezialisierte Cybersicherheitsprodukte müssen nationalen Normen und verbindlichen Anforderungen entsprechen und von einer qualifizierten Einrichtung sicherheitsbescheinigt sein oder den Anforderungen einer Sicherheitsinspektion entsprechen, bevor sie verkauft oder bereitgestellt werden. Die staatlichen Abteilungen für Cybersicherheit und Informatisierung werden zusammen mit den zuständigen Abteilungen des Staatsrates einen Katalog kritischer Netzwerkgeräte und spezialisierter Cybersicherheitsprodukte erstellen und freigeben und die gegenseitige Anerkennung von Sicherheitszertifikaten und Ergebnissen von Sicherheitsinspektionen fördern, um doppelte Zertifizierungen und Inspektionen zu vermeiden.

 

Nachfolgend finden Sie eine Übersetzung der Entwürfe von Durchführungsmassnahmen, die verdeutlichen sollen, wie die Anforderungen von Artikel 23 umgesetzt werden. Sie beziehen sich insbesondere auf zwei weitere Dokumente, den in Artikel 23 des Cybersicherheitsgesetzes und den Artikeln 1 und 2 genannten Katalog und eine oder mehrere separate "Normen, die die Grundlage für die Prüfung der Sicherheit kritischer Netzwerkgeräte bilden" in Artikel 7.

 

Zur Beachtung: Dies ist keine offizielle Übersetzung.

 


 

Der Entwurfstext

 

Öffentliche Einholung von Stellungnahmen zu den "Critical Network Equipment Security Testing Implementing Measures (Draft for Comment)".

 

Um das Cybersicherheitsgesetz der Volksrepublik China umzusetzen und die reibungslose Entwicklung kritischer Sicherheitstests für Netzwerkgeräte zu fördern, hat das Ministerium für Industrie und Informationstechnologie die "Critical Network Equipment Security Testing Implementing Measures (Draft for Comment)" entwickelt (siehe Text unten). Diese wurden als standardisiertes Dokument herausgegeben und steht der Gesellschaft nun zur Stellungnahme offen. Wenn Sie Kommentare oder Vorschläge haben, senden Sie uns bitte Ihr Feedback bis zum 4. Juli 2019. (Kontaktdetails ausgelassen)

 

Kritische Netzwerkgeräte: Umsetzungsmassnahmen für Sicherheitstests

 

Kapitel I

Allgemeine Grundsätze

 

Artikel 1: Zur Stärkung des Sicherheitsmanagements kritischer Netzwerkgeräte, zum Schutz der Cybersicherheit und zum Schutz der rechtmässigen Rechte und Interessen von Netzbetreibern und Nutzern sowie in Übereinstimmung mit dem Cybersicherheitsgesetz der Volksrepublik China und der Bekanntmachung über die Veröffentlichung des "Catalog of Critical Network Equipment and Specialized Cybersecurity Products (First Batch)" (Cyberspace Administration of China, Ministry of Industry and Information Technology, Ministry of Public Security, and the Certification and Accreditation Administration of China Announcement No. 1 von 2017, im Folgenden als Dokument Nr. 1 der vier Ministerien und Ausschüsse bezeichnet), werden diese Massnahmen formuliert.

 

Artikel 2: Der in diesen Massnahmen erwähnte Begriff "kritische Netzwerkgeräte" bezieht sich auf die kritischen Netzwerkgeräte, die im "Katalog der kritischen Netzwerkgeräte und spezialisierten Cybersicherheitsprodukte" aufgeführt sind, der von der Cyberspace Administration of China, dem Ministerium für Industrie und Informationstechnologie, dem Ministerium für öffentliche Sicherheit und der Zertifizierungs- und Akkreditierungsbehörde von China herausgegeben wird.

 

Artikel 3: Diese Massnahmen gelten für Unternehmen, die Sicherheitstestmethoden für ihre kritischen Netzwerkgeräte wählen.

 

Artikel 4: Die Sicherheitsprüfung kritischer Netzwerkgeräte folgt den Prinzipien der Unabhängigkeit, Fairness, Wissenschaft und Integrität.

 

Artikel 5: Das Ministerium für Industrie und Informationstechnologie ist verantwortlich für die Organisation und Durchführung von Tests zur Sicherheit von kritischen Netzwerkgeräten.

Dem Serviceportal des Ministeriums für Industrie und Informationstechnologie für kritische Netzwerkgeräte-Sicherheitstests (nachfolgend "Serviceportal" genannt) werden zentral die relevanten Materialien für kritische Netzwerkgeräte-Sicherheitstests zur Verfügung gestellt.

 

Kapitel II

Managementprozess

 

Artikel 6: Wenn sich ein Hersteller für Sicherheitstests von kritischen Netzwerkgeräten entscheidet, meldet er sich beim Serviceportal an und reicht die folgenden Materialien ein:

  1. Registrierungsformular für Sicherheitstests kritischer Netzwerkgeräte. Das Registrierungsformular sollte vom gesetzlichen Vertreter des Herstellers oder seiner autorisierten Person unterzeichnet werden. Ein ausländischer Hersteller sollte eine Niederlassung oder Agentur in China mit der Einreichung des Registrierungsformulars beauftragen und eine Vertretungsvollmacht ausstellen;
  2. Die grundlegenden Informationen des Herstellers, einschliesslich einer
    Einführung in das Hauptgeschäft des Unternehmens und der Geschäftslizenz des Unternehmens (Kopie). Inländische Hersteller müssen Geschäftslizenzen für juristische Personen bereitstellen. Eine Niederlassung oder Agentur, die von einem ausländischen Hersteller beauftragt wurde, stellen ihre eigene gültige Lizenz zur Verfügung;
  3. Grundlegende Informationen über die kritische Netzwerkausrüstung, einschliesslich Sicherheitsmerkmale (wie Identitätsauthentifizierung, Zugangskontrolle, Datenverschlüsselung, Sicherheitsaudits, Redundanzen und Backups usw.), wichtige Komponenteninformationen, Fotos der Geräte usw.;
  4. Eine Erklärung, dass die Leistungsparameter der Geräte mit den technischen Zielen für kritische Netzwerkgeräte übereinstimmen;
  5. Materialien im Zusammenhang mit den Fähigkeiten zur Sicherung der
    Unternehmenssicherheit, einschliesslich Zertifikaten (Kopien) des
    Qualitätssicherungssystems, und beschreibende Materialien über die Fähigkeiten des Herstellers zur Sicherung der Systeme und Organisationen, Design und Entwicklung, Prüfung, Produktion und Lieferung, Betrieb und Wartung usw.

Die Titelseiten müssen mit amtlichen Siegeln versehen sein. Mit Ausnahme von Zertifikaten und Lizenzmaterialien müssen andere Materialien auf Chinesisch sein.

 

Artikel 7: Der Hersteller sollte Muster auswählen und qualifizierte Unternehmen mit der Durchführung von Sicherheitstests beauftragen. (Normen, die die Grundlage für die Prüfung der Sicherheit kritischer Netzwerkgeräte bilden, sind separat zur Verfügung zu stellen.) Nachdem die Anforderungen der Sicherheitstests erfüllt sind, legt die Prüforganisation einen Bericht über die Sicherheitstests kritischer Netzwerkgeräte an das Serviceportal vor.

 

Für kritische Netzwerkgeräte, die zum Management des Lizenzsystems für die Installation von Telekommunikationsgeräten zugelassen sind (im Folgenden "Installationsmanagement" genannt), wenn das Installationsmanagement zeigt, dass es von qualifizierten Organisationen einen Implementierungstest gemäss den Standards der Sicherheitstests für kritische Netzwerkgeräte durchlaufen hat, und wenn die Installationslizenz nicht abgelaufen ist, wird sie nicht wiederholt getestet. Dem Serviceportal ist von der Prüfungsorganisation einen Bericht über die Sicherheitstests kritischer Netzwerkgeräte zur Verfügung stellen.

 

Eine qualifizierte Organisation bezieht sich auf eine Organisation, die gemeinsam von der Certification and Accreditation Administration of China, dem Ministry of Industry and Information Technology, dem Ministry of Public Security und der Cyberspace Administration of China gemäss dem Cybersecurity Law anerkannt ist, um die Aufgabe der Prüfung der Sicherheit kritischer Netzwerkgeräte zu übernehmen.

 

Artikel 8: Das Ministerium für Industrie und Informationstechnologie überprüft und verifiziert Sicherheitstestberichte und -materialien für kritische Netzwerkgeräte und erstellt eine Liste kritischer Netzwerkgeräte, die die Sicherheitstests bestanden haben (nachstehend "Ausrüstungsliste" genannt), in Übereinstimmung mit den einschlägigen staatlichen Vorschriften, gültig für 3 Jahre. Für kritische Netzwerkgeräte, die zum Management des Systems der Installationslizenz für Telekommunikationsgeräte zugelassen und verifiziert sind, läuft die Gültigkeit mit dem Ablauf der Installationslizenz für Geräte ab.

 

Wenn es notwendig ist, weiterhin kritische Netzwerkgeräte zu verkaufen oder bereitzustellen, die Sicherheitstests bestanden haben, werden sie im Serviceportal neu registriert und Sicherheitstests innerhalb von drei Monaten vor Ablauf der Gültigkeitsdauer durchgeführt.

 

Artikel 9: Wenn sich nicht-technische Informationen wie die Modellnummer des Geräts oder die grundlegenden Informationen des Herstellers (wie Firmenname, Adresse, Art des Unternehmens, gesetzlicher Vertreter, Produktionsort des Geräts, Kontaktperson usw.) für kritische Netzwerkgeräte ändern, sollte der Hersteller nach bestandener Sicherheitsprüfung innerhalb von 10 Werktagen eine Erklärung der Änderungen an das Serviceportal übermitteln.

 

Wenn die Informationsänderung Ausrüstungsliste-Informationen wie die Modellnummer oder den Firmennamen betrifft, wird nach Prüfung und Genehmigung durch das Ministerium für Industrie und Informationstechnologie ein Informationsänderungsbericht veröffentlicht.

 

Wenn ein Hersteller eine nicht-technische Änderung an kritischen Netzwerkgeräten vornimmt, die Sicherheitstests bestanden haben, bleibt das Ablaufdatum der Gültigkeitsdauer unverändert.

 

Kapitel III

Verantwortlichkeiten und Pflichten von Herstellern und Prüfinstituten

 

Artikel 10: Hersteller von kritischen Netzwerkgeräten sollten:

  1. Sicherstellen, dass die Wirksamkeit von Qualitätssicherungssystemen und After-Sales-Servicemassnahmen erhalten bleiben;
  2. Innerhalb des Gültigkeitszeitraums die Einheitlichkeit kritischer Netzwerkgeräte, die Sicherheitstests bestanden haben, sicherstellen. Sicherstellen, dass die Infrastruktur weiterhin den Anforderungen der einschlägigen Normen entspricht und dass ihre Qualität stabil, sicher und zuverlässig ist;
  3. Sicherstellen, dass die eingereichten Unterlagen echt und wirksam sind;
  4. Die Aufsicht und Verwaltung des Ministeriums für Industrie und Informationstechnologie akzeptieren und mit ihnen zusammenarbeiten.

 

Artikel 11: Prüforganisationen müssen Inspektionsaufgaben in Übereinstimmung mit den Anforderungen der Prüfnormen und den in diesen Massnahmen enthaltenen Bestimmungen durchführen. Prüforganisationen und ihre Mitarbeiter dürfen die Hersteller nicht betrügen oder deren Produkte plagiieren, Geschäftsgeheimnisse der, die geistigen Eigentumsrechte der Hersteller verletzen usw.

 

Kapitel IV

Aufsicht und Management

 

Artikel 12: Das Ministerium für Industrie und Informationstechnologie überwacht weiterhin kritische Netzwerkgeräte, die Sicherheitstests bestanden haben, indem sie Stichproben durchführen, Berichte empfangen und andere Mittel einsetzen.

 

Artikel 13: Verstösst ein Hersteller gegen die Bestimmungen dieser Massnahmen und sind die Umstände relativ geringfügig, so ordnet das Ministerium für Industrie und Informationstechnologie an, innerhalb einer bestimmten Frist Korrekturen vorzunehmen. Wenn der Hersteller die folgenden Verhaltensweisen aufweist, wird das Ministerium für Industrie und Informationstechnologie unter anderem die Sicherheitstests aussetzen oder die Genehmigung der Tests widerrufen:

  1. Unfähigkeit, die Anforderungen der einschlägigen Normen während der Gültigkeitsdauer kontinuierlich zu erfüllen; Unfähigkeit, die Einheitlichkeit kritischer Netzwerkgeräte, die Sicherheitstests bestanden haben, zu gewährleisten.
  2. Bestehen von Sicherheitstests durch unangemessene Mittel wie Täuschung oder Bestechung;
  3. Nichtakzeptieren oder Verweigerung der Zusammenarbeit mit der Aufsicht und Verwaltung durch das Ministerium für Industrie und Informationstechnologie;
  4. Andere Umstände, die durch Gesetze und Vorschriften festgelegt sind.

 

Artikel 14: Verstösst ein Prüforganisation gegen die Bestimmungen dieser Massnahmen und sind die Umstände relativ geringfügig, so ordnet das Ministerium für Industrie und Informationstechnologie an, innerhalb einer bestimmten Frist Korrekturen vorzunehmen. Wenn die Testorganisation folgende Verhaltensweisen aufweist, wird das Ministerium für Industrie und Informationstechnologie unter anderem die Annahme der Testergebnisse der Organisation vorübergehend einstellen:

  1. Nichterfüllung von Prüfaufgaben in Übereinstimmung mit den Anforderungen der Prüfnormen und den Bestimmungen des Ministeriums für Industrie und Informationstechnologie;
  2. Die Prüfstelle und ihre Mitarbeiter erstellen gefälschte Inspektionsdaten oder -ergebnisse oder nehmen andere betrügerische Handlungen vor.
  3. Die Prüfstelle und ihre Mitarbeiter plagiieren oder offenbaren Betriebsgeheimnisse von Herstellern oder verletzen die geistigen Eigentumsrechte von Herstellern.
  4. Andere Umstände, die durch Gesetze und Vorschriften festgelegt sind.

 

Artikel 15: Personen und Organisationen, die Verstösse gegen einschlägige Gesetze,
Vorschriften und die Bestimmungen dieser Massnahmen durch Hersteller kritischer Netzwerkgeräte, Prüforganisationen usw. festgestellt haben, haben das Recht, dem Ministerium für Industrie und Informationstechnologie einen Bericht vorzulegen.

 

Kapitel V

Ergänzende Bestimmungen

 

Artikel 16: Diese Massnahmen werden ab dem Tag[Anzahl] des Monats[Monat],[Jahr] durchgeführt.

 

Newamerica.org; Cindy L, Kevin Neville, Graham Webster; 12.06.2019
Übersetzung bow
www.newamerica.org
https://creativecommons.org/licenses/by/4.0/

 

cyber security

 

Cyber Security


Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

07/2019

 

Entwurf von "Data Security Management Measures" (Massnahmen zur Datensicherheit)

Der chinesische Cyberlaw-Dschungel lichtet sich

Am 28. Mai veröffentlichte die Cyberspace Administration of China den Vernehmlassungsentwurf eines neuen Regulierungsdokuments, die Data Security Management Measures. In der vorliegenden Fassung werden mit den Massnahmen mehrere Elemente des Cybersicherheitsgesetzes fast zwei Jahre nach seinem Inkrafttreten am 1. Juni 2017 konkretisiert. Das Dokument überschneidet sich mit mehreren Regulierungsdokumenten im neu entstehenden Data Governance-System Chinas, einschliesslich der unverbindlichen Spezifikation zur Sicherheit personenbezogener Daten. Konkret richten sich die Massnahmen an vergleichsweise etablierte Policy-Bereiche rund um den Schutz personenbezogener Daten, die Definition des Konzepts «wichtige Daten» aus dem Cybersicherheitsgesetz und Cybersicherheitspraktiken für Netzbetreiber sowie an neu entstehende Bereiche wie algorithmisch zielgerichtete Inhalte oder KI-generiertes Material auf Social Media- Plattformen. Der Kommentarzeitraum endet am 28. Juni. Das Inkrafttreten der Massnahmen ist noch nicht festgelegt.

 

Bitte beachten Sie, dass dies keine offizielle Übersetzung ist.

 


 

(Entwurf zur Stellungnahme)

Massnahmen zum Datensicherheitsmanagement

 

Kapitel I

Allgemeine Grundsätze

 

Artikel 1: Zum Schutz der nationalen Sicherheit und des öffentlichen Interesses der Gesellschaft, zum Schutz der rechtmässigen Rechte und Interessen von Bürgern, juristischen Personen und anderen Organisationen im Cyberspace, zum Schutz personenbezogener Daten und wichtiger Daten sowie in Übereinstimmung mit dem Cybersicherheitsgesetz der Volksrepublik China und anderen Gesetzen und Vorschriften werden diese Massnahmen festgelegt.

 

Artikel 2: Diese Massnahmen gelten für Tätigkeiten wie Datenerhebung, -speicherung, -übertragung, -verarbeitung und -nutzung (im Folgenden "Datenaktivitäten" genannt) sowie den Schutz, die Überwachung und die Verwaltung der Datensicherheit über Netzwerke innerhalb der Volksrepublik China, ausser im Rahmen rein privater und persönlicher Angelegenheiten.

 

Soweit Rechts- und Verwaltungsvorschriften andere Anforderungen vorsehen, gelten diese.

 

Artikel 3: Der Staat hält die gleiche Bedeutung des Schutzes der Datensicherheit und deren Weiterentwicklung aufrecht, fördert die Erforschung und Entwicklung von Datenschutztechniken, fördert aktiv die Entwicklung und Nutzung von Datenressourcen und gewährleistet den freien Datenfluss auf rechtmässige und ordnungsgemässe Weise.

 

Artikel 4: Der Staat erlässt Massnahmen zur Überwachung, Abwehr und Bewältigung von Datensicherheitsrisiken und -bedrohungen innerhalb und ausserhalb des Hoheitsgebiets der Volksrepublik China, schützt Daten vor Verlusten, Diebstahl, Veränderung, Zerstörung, illegaler Nutzung usw. und bestraft illegale und kriminelle Aktivitäten, die die Datensicherheit in Übereinstimmung mit dem Gesetz gefährden.

 

Artikel 5: Unter der Leitung der Zentralkommission für Cybersicherheit und Informatisierung werden die nationalen Abteilungen für Cybersicherheit und Informatisierung personenbezogene Daten und wichtige Arbeiten zum Schutz der Datensicherheit koordinieren, leiten und überwachen.

 

Die Cybersicherheits- und Informationsabteilungen der Präfektur (Stadt)-Ebene und darüber hinaus weisen die Datensicherheitsarbeit von personenbezogenen Daten und wichtigen Daten in jeder Gerichtsbarkeit und in Übereinstimmung mit ihren jeweiligen Aufgaben an und überwachen sie.

 

Artikel 6: Die Netzbetreiber müssen unter Beachtung der einschlägigen Rechts- und Verwaltungsvorschriften und unter Bezugnahme auf die nationalen Cybersicherheitsnormen: Verpflichtungen zum Schutz der Datensicherheit erfüllen; einen Mechanismus für die Verantwortung für, Bewertung und Bewertung des Datensicherheitsmanagements einrichten; Pläne für die Datensicherheit formulieren; technische Sicherheitsvorkehrungen durchführen, Risikobewertungen für die Datensicherheit entwickeln; Reaktionspläne für Cybersicherheitsvorfälle erstellen; Sicherheitsvorfälle unverzüglich angehen und Aus- und Weiterbildung im Bereich der Datensicherheit organisieren.

 

Kapitel II

Datenerhebung

 

Artikel 7: Netzbetreiber, die personenbezogene Daten über Produkte wie Websites und Anwendungen erfassen und verwenden, müssen gesondert Regeln für die Erhebung und
Verwendung von Daten formulieren und veröffentlichen. Diese Sammel- und Nutzungsregeln können in die Datenschutzerklärung von Websites, Anwendungen usw. aufgenommen oder den Benutzern in anderer Form zur Verfügung gestellt werden.

 

Artikel 8: Die Sammel- und Nutzungsregeln müssen klar, spezifisch, einfach und leicht verständlich und zugänglich sein. Sie heben den folgenden Inhalt hervor:

  1. Grundlegende Informationen über den Netzbetreiber;
  2. Name und Kontaktdaten des Hauptverantwortlichen des Netzbetreibers und des Verantwortlichen für die Datensicherheit;
  3. Zweck, Art, Menge, Häufigkeit, Methode und Umfang der Erhebung und Verwendung personenbezogener Daten;
  4. Wo die personenbezogenen Daten gespeichert sind, die Dauer, für die sie gespeichert sind, und die Handhabungsmethode nach Ablauf der Aufbewahrungsfrist;
  5. Die Regeln für die Weitergabe personenbezogener Daten an Dritte, falls diese Daten an Dritte weitergegeben werden;
  6. Relevante Informationen wie die Strategie für den Schutz der Sicherheit personenbezogener Daten;
  7. Kanäle und Methoden für das Subjekt der personenbezogenen Daten, die Einwilligung zu widerrufen sowie für den Zugang zu, die Korrektur und die Löschung personenbezogener Daten;
  8. Kanäle und Methoden für Beschwerden, Berichterstattung, etc.;
  9. Andere Inhalte, die durch Gesetze und Verwaltungsvorschriften festgelegt sind.

 

Artikel 9: Wenn Regeln für die Sammlung und Verwendung in die Datenschutzerklärung aufgenommen werden, sollten sie so zusammengestellt und klar sein, um das Lesen zu erleichtern. Netzbetreiber dürfen personenbezogene Daten erst dann erfassen, wenn der Nutzer über die Regeln für die Erhebung und Nutzung informiert ist und diesen ausdrücklich zustimmt.

 

Artikel 10: Die Netzbetreiber müssen sich strikt an die Regeln für die Erhebung und Nutzung halten, und die Funktion zum Sammeln und Verwenden personenbezogener Daten auf der Website oder Anwendung sollte die Datenschutzerklärung widerspiegeln und entsprechend aktualisiert werden.

 

Artikel 11: Netzbetreiber dürfen die betroffenen Personen nicht dazu zwingen oder irreführen, der Erhebung ihrer personenbezogenen Daten durch stillschweigende Zustimmung, Funktionsbündelung usw. zuzustimmen, um die Servicequalität zu verbessern, die Benutzerfreundlichkeit zu verbessern, die Empfehlung von Informationen gezielt zu fördern oder neue Produkte zu entwickeln.

 

Nachdem die betroffene Person der Erhebung ihrer personenbezogenen Daten zugestimmt hat, stellen die Netzbetreiber ihnen Kerngeschäftsfunktionen und -dienste zur Verfügung und dürfen Kerngeschäftsfunktionen oder -dienste nicht zurückhalten, wenn das Subjekt der personenbezogenen Daten die Einwilligung zur Erhebung zusätzlicher Informationen verweigert oder widerruft.

 

Artikel 12: Die Erfassung personenbezogener Daten eines Minderjährigen unter 14 Jahren erfordert die Zustimmung des Vormunds des Minderjährigen.

 

Artikel 13: Netzbetreiber dürfen die betroffenen Personen nicht abhängig davon diskriminieren, ob die betroffenen Personen der Erhebung personenbezogener Daten oder dem Umfang der Erfassung personenbezogener Daten zugestimmt haben, einschliesslich durch Verringerung der Servicequalität oder Erhebung eines anderen Preises usw.

 

Artikel 14: Netzbetreiber, die personenbezogene Daten aus anderen Quellen beziehen, haben die gleichen Verantwortlichkeiten und Pflichten wie der Betreiber, der die personenbezogenen Daten direkt erfasst hat.

 

Artikel 15: Wenn Netzbetreiber wichtige Daten oder sensible personenbezogene Daten für geschäftliche Zwecke sammeln, müssen sie die Angelegenheit bei der lokalen Abteilung für Cybersicherheit und Informatisierung einreichen. Die eingereichten Dokumente müssen Regeln für die Erhebung und Verwendung sowie den Zweck, die Menge, die Methode, den Umfang, die Art, die Aufbewahrungsfrist usw. der Datenerhebung und -nutzung enthalten, jedoch nicht den Inhalt der Daten selbst.

 

Artikel 16: Netzbetreiber, die automatisierte Verfahren zum Zugriff und zur Datenerfassung von Websites verwenden, dürfen den normalen Betrieb der Websites nicht behindern. Wenn ein solches Verhalten den Betrieb von Websites ernsthaft beeinträchtigt, z.B. wenn der Traffic aus dem automatisierten Zugriff und der Erfassung ein Drittel des gesamten Webverkehrs übersteigt, wenn Websites einen Stopp des automatisierten Zugriffs und der automatisierten Erfassung verlangen, sollte er gestoppt werden.

 

Artikel 17: Wenn ein Netzbetreiber wichtige Daten oder sensible personenbezogene Daten für geschäftliche Zwecke sammelt, benennt er eine für die Datensicherheit verantwortliche Person.

 

Die für die Datensicherheit verantwortlichen Personen müssen über einschlägige Managementerfahrung und Fachwissen im Bereich der Datensicherheit verfügen, an wichtigen Entscheidungen über Datenaktivitäten teilnehmen und direkt an den Verantwortlichen des Netzbetreibers berichten.

 

Artikel 18: Der Verantwortliche für die Datensicherheit erfüllt die folgenden Aufgaben:

1.    Organisation der Erstellung eines Datenschutzplans und Überwachung seiner Umsetzung;
2.    Organisation der Durchführung einer Risikobewertung der Datensicherheit und Überwachung der Beseitigung potenzieller Sicherheitsrisiken;
3.    Meldung von Entwicklungen zum Schutz der Datensicherheit und zum Umgang mit Vorfällen bei Bedarf an die zuständigen Abteilungen und die Abteilungen für Cybersicherheit und Informatisierung;
4.    Empfang und Bearbeitung von Benutzerbeschwerden und Berichten.

 

Die Netzbetreiber sollten den für die Datensicherheit Verantwortlichen die notwendigen Ressourcen zur Verfügung stellen, um sicherzustellen, dass sie ihre Aufgaben selbstständig erfüllen können.

 

Kapitel III

Datenverarbeitung und -nutzung

 

Artikel 19: Die Netzbetreiber sollten sich auf die einschlägigen nationalen Normen beziehen und Massnahmen wie Datenklassifizierung, Sicherung und Verschlüsselung ergreifen, um den Schutz personenbezogener Daten und wichtiger Daten zu verstärken.

 

Artikel 20: Die Speicherung personenbezogener Daten durch den Netzbetreiber sollte die Aufbewahrungsfrist in den Erfassungs- und Nutzungsregeln nicht überschreiten. Nachdem ein Nutzer sein Konto gekündigt hat, sollte der Netzbetreiber seine personenbezogenen Daten unverzüglich löschen, es sei denn, die Daten lassen sich nicht mit einer bestimmten Person in Verbindung bringen und können nach der Verarbeitung nicht wiederhergestellt werden (nachfolgend "Anonymisierungsverarbeitung" genannt).

 

Artikel 21: Erhält ein Netzbetreiber einen Antrag auf Zugang, Berichtigung, Löschung oder Löschung eines Kontos zu personenbezogenen Daten, so gewährt er Zugang, Berichtigung, Löschung oder Aufhebung des Kontos innerhalb einer angemessenen Frist und innerhalb einer angemessenen Preisspanne.

 

Artikel 22: Netzbetreiber dürfen personenbezogene Daten nicht unter Verstoss gegen die Regeln für die Erhebung und Nutzung verwenden. Wenn es aufgrund der Anforderungen des Geschäftsbetriebs erforderlich ist, den Umfang der Verwendung personenbezogener Daten zu erweitern, sollten sie die Zustimmung der betroffenen Person einholen.

 

Artikel 23: Netzbetreiber, die Benutzerdaten und -algorithmen verwenden, um Nachrichteninformationen, kommerzielle Werbung usw. zu empfehlen (nachstehend "gezielte Empfehlung" genannt), sollten die Wörter "gezielte Empfehlung" auf naheliegende Weise deutlich angeben und den Nutzern die Funktion geben, gezielte Empfehlungsinformationen zu unterbinden. Wenn der Benutzer sich dafür entscheidet, keine gezielten Empfehlungsinformationen mehr zu erhalten, sollten die Betreiber die gezielten Empfehlungen stoppen und Benutzerdaten und persönliche Informationen, wie beispielsweise Geräte-IDs, die sie bereits gesammelt haben, löschen.

 

Netzbetreiber, die gezielte Empfehlungsaktivitäten durchführen, sollten Gesetze und Verwaltungsvorschriften einhalten, Sozialethik, Geschäftsethik, öffentliche Ordnung und gute Sitten respektieren und ehrlich und vertrauenswürdig sein. Diskriminierung, Betrug und ähnliche Aktivitäten sind strengstens verboten.

 

Artikel 24: Netzbetreiber, die Big Data, künstliche Intelligenz oder ähnliche Technologien verwenden, um Nachrichtenartikel, Blogbeiträge, Forenbeiträge, Kommentare usw. automatisch zu erstellen, sollten die Worte «automatisch erstellt» deutlich angeben; sie sollten nicht automatisch Informationen erstellen, um Nutzen zu erzielen oder die Interessen anderer Menschen zu schädigen.

 

Artikel 25: Die Netzbetreiber sollten Massnahmen ergreifen, um die Nutzer zu drängen und daran zu erinnern, in ihrem Online-Verhalten Verantwortung zu übernehmen und die Selbstdisziplin zu stärken. Für Benutzer, die soziale Netzwerke nutzen, um Informationen, die von anderen Personen geschrieben wurden, weiterzuleiten, sollte das Konto des ursprünglichen Autors automatisch angezeigt werden, oder es sollte eine unveränderliche Benutzerkennung enthalten sein.

 

Artikel 26: Wenn ein Netzbetreiber einen Bericht oder eine Beschwerde erhält, die sich auf die Nachahmung, Fälschung oder unrechtmässige Übermittlung von Informationen unter dem Namen einer anderen Person bezieht, sollte er unverzüglich reagieren; sobald ein Bericht oder eine Beschwerde überprüft wurde, sollte er die Übertragung sofort stoppen und die Löschung durchführen.

 

Artikel 27: Bevor die Netzbetreiber personenbezogene Daten an Dritte weitergeben, sollten sie mögliche Sicherheitsrisiken bewerten und die Zustimmung der betroffenen Person einholen. Die folgenden Situationen sind davon ausgenommen:

  1. Erhebung über rechtmässige öffentliche Kanäle, die nicht eindeutig gegen die Wünsche der betroffenen Personen verstösst;
  2. Wenn die betroffene Person die personenbezogenen Daten aus eigenem Antrieb veröffentlicht hat;
  3. Nach einer Anonymisierungsverarbeitung;
  4. Wenn es für die Strafverfolgungsbehörden erforderlich ist, ihre Aufgaben in Übereinstimmung mit dem Gesetz zu erfüllen;
  5. Wenn dies zum Schutz der nationalen Sicherheit, des sozialen öffentlichen Interesses oder der Sicherheit des Lebens der betroffenen Person erforderlich ist.

 

Artikel 28: Vor der Veröffentlichung, der öffentlichen Weitergabe oder Durchführung einer Geschäftsbeziehung mit wichtigen Daten oder der Bereitstellung im Ausland sollten Netzbetreiber mögliche Sicherheitsrisiken bewerten und der Aufsichtsbehörde für die sektorale Kontrolle zur Genehmigung vorlegen; wenn die zuständige Aufsichtsbehörde für die sektorale Kontrolle nicht klar ist, sollten sie die Genehmigung der Abteilung für Cybersicherheit und Informatisierung auf Provinzebene einholen.

 

Sie sollten in Übereinstimmung mit den einschlägigen Vorschriften handeln, wenn sie personenbezogene Daten an Standorte ausserhalb Chinas weitergeben.

 

Artikel 29: Wenn ein privater Benutzer auf das inländische Internet zugreift, darf sein Verkehr nicht ins Ausland geleitet werden.

 

Artikel 30: Die Netzbetreiber sollten die Anforderungen an die Datensicherheit und die Verantwortlichkeiten für Anwendungen Dritter, die auf ihre Plattform zugreifen, klären und die Betreiber von Anwendungen Dritter auffordern und beaufsichtigen, ihr Datensicherheitsmanagement zu verbessern. Erleidet eine Drittanwendung eine Datenschutzverletzung, die dem Nutzer Schaden zufügt, so trägt der Netzbetreiber die volle oder teilweise Verantwortung, es sei denn, der Netzbetreiber kann nachweisen, dass ihn kein Verschulden trifft.

 

Artikel 31: Wenn ein Netzbetreiber erworben oder reorganisiert wird oder in Konkurs geht, übernimmt der Empfänger der Daten die Verantwortlichkeiten und Pflichten für die Datensicherheit. Wenn keine Partei die Informationen erhält, sollte der Netzbetreiber die Daten löschen. Soweit in den Rechts- und Verwaltungsvorschriften andere Bestimmungen enthalten sind, gelten diese.

 

Artikel 32: Netzbetreiber, die Analysen unter Verwendung der von ihnen erhaltenen Datenquellen durchführen und Daten wie Marktprognosen, statistische Informationen sowie persönliche und geschäftliche Kreditinformationen veröffentlichen, dürfen die nationale Sicherheit, das Funktionieren der Wirtschaft und die soziale Stabilität nicht beeinträchtigen und die rechtmässigen Rechte und Interessen anderer nicht beeinträchtigen.

 

Kapitel IV

Überwachung und Verwaltung der Datensicherheit

 

Artikel 33: Stellen die Abteilungen Cybersicherheit und Informatisierung bei der Erfüllung ihrer Aufgaben fest, dass die Verantwortung des Netzbetreibers für das Management der Datensicherheit nicht gegeben ist, sollten sie die Korrektur gemäss der vorgeschriebenen Behörde und Verfahren in Absprache mit der für den Netzbetreiber verantwortlichen Person überwachen.

 

Artikel 34: Der Staat ermutigt die Netzbetreiber, freiwillig Zertifizierungen des Datensicherheitsmanagements und der Anwendungsverfahren zu durchlaufen und ermutigt Suchmaschinen und App-Stores, die Anwendungen, die die Zertifizierungen bestanden haben, klar zu identifizieren und zu empfehlen.

 

Die staatlichen Cybersicherheits- und Informatisierungsabteilungen werden in Verbindung mit den Marktüberwachungs- und Verwaltungsabteilungen unter dem Staatsrat die nationalen Cybersicherheitsüberprüfungs- und Zertifizierungsstellen leiten und Zertifizierungen für das Datensicherheitsmanagement und die Sicherheit von Anwendungsverfahren aufbauen.

 

Artikel 35: Wenn Vorfälle der Datensicherheit wie Lecks, Beschädigungen oder Verlust personenbezogener Daten auftreten oder wenn das Risiko dieser Vorfälle der Datensicherheit erheblich zunimmt, sollte der Netzbetreiber unverzüglich Abhilfemassnahmen ergreifen und die betroffene Person unverzüglich per Telefon, SMS, E-Mail, Brief usw. benachrichtigen und bei Bedarf die zuständigen Aufsichtsbehörden und Abteilungen für Cybersicherheit und Information informieren.

 

Artikel 36: Wenn die zuständigen Dienststellen des Staatsrates zur Erfüllung ihrer Aufgaben im Bereich der nationalen Sicherheit, der Sozialverwaltung, der Wirtschaftsregulierung usw. und in Übereinstimmung mit den Bestimmungen der Rechts- und Verwaltungsvorschriften Netzbetreiber auffordern, ihnen die in ihrem Besitz befindlichen relevanten Daten zur Verfügung zu stellen, sollten die Netzbetreiber diese zur Verfügung stellen.
Die zuständigen Dienststellen des Staatsrates sind für den sicheren Schutz der vom Netzbetreiber bereitgestellten Daten verantwortlich. Die Daten dürfen nicht für Zwecke verwendet werden, die nicht mit der Erfüllung von Aufgaben zusammenhängen.

 

Artikel 37: Verstösst ein Netzbetreiber gegen die Bestimmungen dieser Massnahmen, so verhängen die jeweiligen Abteilungen in Übereinstimmung mit den einschlägigen Rechts- und Verwaltungsvorschriften Sanktionen wie öffentliche Bekanntmachung, Einziehung illegaler Einkünfte, Suspendierung des Geschäftsbetriebs, Umstrukturierung des Unternehmens, Schliessung von Websites und/oder Entzug relevanter Geschäftslizenzen und Genehmigungen entsprechend den Umständen. Wenn es sich um eine Straftat handelt, wird die strafrechtliche Verantwortlichkeit nach dem Gesetz untersucht.

 

Kapitel V

Ergänzende Artikel

 

Artikel 38: Die Bedeutung der folgenden Begriffe in diesen Massnahmen:

  1. "Netzbetreiber" bezeichnet die Eigentümer, Manager und Netzwerkdienstleister für das Netzwerk.
  2. "Netzwerkdaten" beziehen sich auf verschiedene elektronische Daten, die über das Netzwerk erfasst, gespeichert, übertragen, verarbeitet und generiert werden.
  3. "Personenbezogene Daten" beziehen sich auf verschiedene Informationen, die auf elektronischem oder anderem Wege erfasst werden und die die persönliche Identität einer natürlichen Person allein oder in Kombination mit anderen Informationen identifizieren können, einschliesslich, aber nicht beschränkt auf den Namen der natürlichen Person, das Geburtsdatum, die ID-Nummer, persönliche biometrische Daten, Adresse, Telefonnummer usw.
  4. "Personenbezogene Daten" bezieht sich auf die natürliche Person, die mit den personenbezogenen Daten identifiziert oder in Verbindung gebracht wird.
  5. "Wichtige Daten" beziehen sich auf Daten, die sich, wenn sie weitergegeben werden, direkt auf die nationale Sicherheit, die wirtschaftliche Sicherheit, die soziale Stabilität oder die öffentliche Gesundheit und Sicherheit auswirken können, wie beispielsweise nicht offenbarte Regierungsinformationen oder umfangreiche Daten über die Bevölkerung, die genetische Gesundheit, die Geographie, die Bodenschätze usw. Wichtige Daten umfassen im Allgemeinen nicht die Produktion, den Betrieb und die internen Managementinformationen der Unternehmen, personenbezogene Daten usw.

 

Artikel 39: Datenaktivitäten, die Verwendung von Staatsgeheimnissen und Verschlüsselung beinhalten, sind in Übereinstimmung mit den einschlägigen staatlichen Vorschriften durchzuführen.

 

Artikel 40: Diese Massnahmen treten am[Tag] des[Monats],[Jahres] in Kraft.
 

Newamerica.org; Katharin Tai, Lorand Laskai, Rogier Creemers, Mingli Shi, Kevin Neville, Paul Triolo; 31.05.2019
Übersetzung bow
www.newamerica.org
https://creativecommons.org/licenses/by/4.0/

 

cyber security

 

Cyber Security


Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

07/2019

 

Übersetzung der "Cybersecurity Review Measures (Draft for Comment)".

Cybersicherheitsüberprüfungen für "kritische" Systeme

 

Einführung

Die Cyberspace Administration of China (CAC) hat am 21. Mai 2019 einen neuen Verordnungsentwurf veröffentlicht, der ein Cybersicherheitsüberprüfungssystem für Produkte und Dienstleistungen der Informationstechnologie im Zusammenhang mit der "nationalen Sicherheit" einführt. Die aktualisierte Version bietet neue Informationen in einem Bereich, in dem seit langem auf Klarheit gewartet wird, und sie steht im Zusammenhang mit dramatischen US-Massnahmen gegen China, zum Teil durch ein ähnliches Regulierungsinstrument.

 

Nach Abschluss und Umsetzung sollen diese neuen "Cybersecurity Review Measures (Draft for Comment)" frühere "interim" oder "trial" "Network Products and Services Security Review Measures"  ersetzen, die im Mai 2017 veröffentlicht wurden, kurz vor Inkrafttreten des chinesischen Cybersicherheitsgesetzes.

 

Das durch die bestehenden Übergangsregeln eingerichtete und im neuen Entwurf umgestaltete Überprüfungssystem soll eine Anforderung in Artikel 35 des Cybersicherheitsgesetzes erfüllen, wonach "Betreiber kritischer Informationsinfrastrukturen" (CII-Betreiber) beim Kauf von Netzwerkprodukten und -diensten, die die nationale Sicherheit beeinträchtigen können, einer nationalen Sicherheitsüberprüfung unterzogen werden müssen.

 

In ihrer ursprünglichen Form und über zwei Jahre andauernden Entwicklung haben Branchenexperten dieses Cybersicherheitsüberprüfungssystem als "Black Box"-Überprüfung bezeichnet, da die Kriterien und Prozesse, die für die Überprüfung eines Produkts oder einer Dienstleistung erforderlich sind, nicht klar waren - d.h. Kunden und Verkäufer hatten grosse Unsicherheit in ihrem Handeln, und die Beamten schienen über eine breite, undurchsichtige Diskretion zu verfügen.

 

Obwohl seit langem mit Aktualisierungen des Cybersicherheitsüberprüfungsregimes gerechnet wurde, bedeutet der Zeitpunkt dieser Veröffentlichung zwangsläufig, dass ihr Inhalt im Kontext der wirtschaftlichen Streitigkeiten zwischen den USA und China, die sich auf die Technologie konzentrieren, interpretiert wird.

 

Erstens haben die Handelsgespräche zwischen den USA und China mehrere wichtige Aspekte des Cybersicherheitsgesetzes berührt, darunter dieses System zur Überprüfung der Cybersicherheit im Einzelnen sowie einen weiteren wichtigen Massnahmenentwurf im Zusammenhang mit grenzüberschreitenden Datenflüssen. Mehrere Ergänzungen zu dieser Version scheinen darauf ausgerichtet zu sein, die Bedenken der US-amerikanischen und europäischen Interessen zu berücksichtigen, und es ist durchaus möglich, dass CAC mit der Veröffentlichung dieses Entwurfs abgewartet hatte, sollten Anpassungen erforderlich sein.

 

Zweitens spiegeln Elemente des neuen Entwurfs die Aktivitäten der USA wider, die politische und rechtliche Fragen mit der Sicherheit der Lieferkette verknüpfen, einschliesslich einer umfassenden Anordnung der Exekutive, die die Sicherheit von Produkten oder Dienstleistungen im Zusammenhang mit einem "ausländischen Gegner" in der vergangenen Woche überprüft, sowie der laufenden Bemühungen der USA, europäische und andere Partner davon zu überzeugen, Huawei-Netzwerkausrüstung in ihren Netzwerken zu verbieten oder einzuschränken, einschliesslich der "Prague Proposals" zur 5G-Sicherheit.

 

Die Veränderungen spiegeln aber auch inländische Entwicklungen wider, die wenig mit den Vereinigten Staaten zu tun haben. Dazu gehören: die Harmonisierung des Systems zur Überprüfung der Cybersicherheit mit den entsprechenden Regeln für die Überprüfung bestimmter Datentransfers aus China; ein bürokratischer Kompetenzstreit zwischen CAC und dem Ministerium für öffentliche Sicherheit, bei dem sich diese Überprüfungen und das MPS-verbundene mehrstufige Schutzsystem (MLPS) in der Zuständigkeit überschneiden; und die Ausweitung der Datenschutzbestimmungen.

 

Insgesamt spiegelt die jüngste Version der Massnahmen eine Reihe wichtiger Änderungen wider, wobei die vage und breite Sprache, die dem Ruf als "Black Box" entspricht, beibehalten wird. Im Folgenden werden einige wichtige Entwicklungen aufgezeigt.

 

Schutz des geistigen Eigentums (IP)

Diese Version enthält einen neuen Satz, der besagt, dass die Überprüfung "am Schutz der Rechte an geistigem Eigentum" festhält (Artikel 3). Diese neue Sprache ist wahrscheinlich eine Antwort auf die Kritik der US-Regierung und der Industriegruppen, dass der invasive und undurchsichtige Charakter der Sicherheitsüberprüfungen das IP von US-Unternehmen gefährden könnte.

 

Zementierung der Durchsetzungsrechte der Zentralkommission

Diese Version enthält zwei Erklärungen, in denen festgehalten wird, dass die Zentralkommission für Cybersicherheit und Informatisierung die führende Rolle im Prozess der Überprüfung der Cybersicherheit, der Entscheidungsfindung und der Durchsetzung spielt (Artikel 4 und 19). Diese gehören zu den ersten ausdrücklichen Hinweisen auf die Vollzugsbehörden der Kommission, die die «Mutter» von CAC sind. Die Erhebung der Kommission vom Status einer "Führungsgruppe" im vergangenen Jahr zielte darauf ab, die Macht zu konsolidieren, die durch das Gerangel um Einfluss unter den untergeordneten Stellen auf die Regeln für kritische Informationsinfrastrukturen gegeben war.

 

Datenschutz als neuer Impulsgeber für den Review-Prozess

Die Massnahmen bieten einige neue Details über Auslöser, die eine Überprüfung der Cybersicherheit erfordern würden (Artikel 6). Damit soll die Kritik ausgeräumt werden, dass die Vorgängerversion keine Informationen über die Bedingungen hatte, die eine Überprüfung erfordern würden, obwohl die Bedingungen recht vage bleiben. So schränkt beispielsweise das umfassende "Sonstige Risiken und Gefahren, die die Sicherheit kritischer Ausrüstungen der Informationsinfrastruktur ernsthaft gefährden" den Umfang der zu überprüfenden Massnahmen kaum ein.

 

Dennoch ist einer der Auslöser für eine Überprüfung in der neuen Version, ob "ein grosses Volumen an personenbezogenen Daten und wichtigen Daten offengelegt, verloren gehen, beschädigt oder aus dem Land geschafft werden könnte" (Artikel 6.2). Die Version 2017 hatte keinen Bezug zum Datenschutz jeglicher Art. Die Änderung spiegelt die zunehmende Bedeutung des Datenschutzes wider, insbesondere der "personenbezogenen Daten", da Peking den Aufbau eines Datenschutzsystems seit der Veröffentlichung des Cybersecurity Law beschleunigt hat.

 

Umfassende Befugnisse zur Blockierung von Produkten und Dienstleistungen auf der Grundlage von wahrgenommenen Lieferkettenunterbrechungsrisiken durch "ausländische Regierungen".

 

Die Massnahmen identifizieren die "Möglichkeit einer Unterbrechung der [Lieferkette] aufgrund nicht-technischer Faktoren wie Politik, Diplomatie und Handel" (10.3) und "Situationen, in denen Produkt- oder Dienstleistungsanbieter von ausländischen Regierungen finanziert, kontrolliert usw. werden" (10.6), als zwei Faktoren, die bei der Überprüfung der Cybersicherheit berücksichtigt werden müssen.

 

Die Hinzufügung dieser Faktoren kann eine direkte Reaktion auf die Massnahmen der USA gegen Huawei sein. Selbst wenn nicht, könnte ein Faktor (10.1) der chinesischen Regierung ausdrückliche Gründe geben, US-Unternehmen von CII auszuschliessen, insbesondere wenn die US-Regierung weiterhin die "Entity List" des Handelsministeriums nutzt, um die Lieferketten chinesischer Unternehmen zu unterbrechen. In der Zwischenzeit haben Beamte in mehreren Verwaltungseinheiten einen grossen Spielraum, um Bewertungen für jedes Netzwerkprodukt oder jede Dienstleistung vorzuschlagen, wenn sie "glauben", dass es "die nationale Sicherheit beeinflussen kann" (Artikel 19).

 

Bitte beachten Sie, dass dies keine offizielle Übersetzung ist.

 


 

Cyberspace Administration of China Bekanntmachung über die Veröffentlichung zur Kommentierung von "Cybersecurity Review Measures (Draft for Comment)".

Um das Niveau der Sicherheit und Kontrollierbarkeit in kritischen Informationsinfrastrukturen zu erhöhen, die nationale Sicherheit zu wahren, in Übereinstimmung mit dem Gesetz über die nationale Sicherheit der Volksrepublik China, dem Cybersicherheitsgesetz der Volksrepublik China und anderen Gesetzen und Vorschriften;
Die Cyberspace Administration of China,
die National Reform and Development Commission,
das Ministry of Industry and Information Technology,
das Ministry of Public Security, das Ministry of State Security,
das Ministry of Commerce,
das Ministry of Finance,
die People's Bank of China,
die State Administration for Market Regulation,
die National Radio and Television Administration,
die National Administration of State Secrets Protection und
das Office of the State Commercial Cryptography Administration haben gemeinsam die "Cybersecurity Review Measures (Draft for Comment)" erarbeitet und veröffentlicht, um die Gesellschaft um Stellungnahme zu bitten. Die breite Öffentlichkeit kann die folgenden Kanäle nutzen, um Feedback und Meinungen abzugeben. …

 

Übersetzung

 

Cybersicherheitsüberprüfungsmassnahmen (Entwurf zur Stellungnahme)

 

Artikel 1: Um das Sicherheitsniveau und die Kontrollierbarkeit kritischer
Informationsinfrastrukturen zu verbessern und die nationale Sicherheit zu schützen, werden diese Massnahmen in Übereinstimmung mit dem nationalen Sicherheitsgesetz der Volksrepublik China, dem Cybersicherheitsgesetz der Volksrepublik China und anderen Gesetzen und Vorschriften formuliert.

 

Artikel 2: Betreiber kritischer Informationsinfrastrukturen (nachstehend Betreiber genannt), die Netzprodukte und -dienste beschaffen, die die nationale Sicherheit beeinflussen oder beeinflussen könnten, sollten gemäss diesen Massnahmen eine Überprüfung der Cybersicherheit durchführen. Soweit in den Rechts- und Verwaltungsvorschriften andere Bestimmungen enthalten sind, gelten diese Bestimmungen und sind zu beachten.

 

Artikel 3: Die Cybersicherheitsüberprüfungen bestehen zum Schutz vor Cybersicherheitsrisiken und zur Förderung des Einsatzes fortschrittlicher Technologien, zur Stärkung von Fairness und Transparenz sowie zum Schutz der Rechte an geistigem Eigentum, zur Vorprüfung und laufenden Überwachung, zur Integration von Unternehmensverpflichtung und sozialer Aufsicht; und, aus Sicht der Produkt- und Dienstleistungssicherheit, zu einer umfassenden Analyse und Bewertung potenzieller nationaler Sicherheitsrisiken und -gefahren.

 

Artikel 4: Die Zentralkommission für Cybersicherheit und Information leitet die Arbeiten zur Überprüfung der Cybersicherheit.

 

Artikel 5: Die Cyberspace Administration of China, mit der National Development and Reform Commission, dem Ministry of Industry and Information Technology, dem Ministry of Public Security, dem Ministry of Commerce, dem Ministry of Finance, der People's Bank of China, der State Administration for Market Regulation, der National Radio and Television Administration, der National Administration of State Secrets Protection und dem Office of the State Commercial Cryptography Administration, schafft einen Mechanismus zur Überprüfung der Internetsicherheit. Das Cybersecurity Review Office ist Teil der Cyberspace Administration of China und ist verantwortlich für die Organisation der Umsetzung der Cybersicherheitsüberprüfung und des damit verbundenen Systems von Vorschriften und Arbeitsprozessen, die Organisation der Cybersicherheitsüberprüfung und die Überwachung der Umsetzung von Entscheidungen über die aufsichtsrechtliche Überprüfung.

 

Artikel 6: Wenn Betreiber Netzwerkprodukte und -dienste kaufen, sollten die potenziellen Sicherheitsrisiken von Betriebsprodukten und -dienstleistungen nach dem Betrieb antizipiert und ein Sicherheitsrisikobericht erstellt werden. Wenn die folgenden Umstände eintreten können, sollte eine Cybersicherheitsüberprüfung dem Cybersicherheitsüberprüfungsbüro gemeldet werden:

  1. Die Ausrüstung der kritischen Informationsinfrastruktur ist ausgefallen oder die Hauptfunktion kann nicht normal funktionieren;
  2. Ein grosses Volumen an personenbezogenen Daten und wichtigen Daten wurde offengelegt, verloren, beschädigt oder ins Ausland übermittelt;
  3. Der Schutz der Betriebsabläufe von Anlagen der kritischen Informationsinfrastruktur, der technische Support sowie Upgrades und Ersatzmassnahmen sind mit Sicherheitsrisiken in der Lieferkette verbunden.
  4. Andere Risiken und Gefahren, die die Sicherheit kritischer Einrichtungen der Informationsinfrastruktur ernsthaft gefährden.

 

Artikel 7: In Bezug auf Einkaufsaktivitäten, die einer Cybersicherheitsprüfung unterzogen werden sollen, sollten Betreiber Kaufdokumente, Verträge oder andere verbindliche Mittel verwenden, um Produkt- und Dienstleistungsanbieter zur Zusammenarbeit mit der Cybersicherheitsprüfung zu verpflichten, und mit Produkt- und Dienstleistungsanbietern vereinbaren, dass die Vereinbarung mit der Verabschiedung der Cybersicherheitsprüfung wirksam wird.

 

Artikel 8: Wenn ein Betreiber sich einer Überprüfung der Cybersicherheit stellt, sind die folgenden Materialien vorzulegen:

  1. Eine schriftliche Erklärung;
  2. Ein Sicherheitsrisikobericht gemäss Artikel 6 dieser Massnahmen;
  3. Ein Beschaffungsvertrag, eine Vereinbarung, etc.;
  4. Andere Materialien, die vom Cybersecurity Review Office benötigt werden.

 

Artikel 9: Nachdem das Cybersecurity Review Office einen Überprüfungsantrag entgegengenommen hat, muss es innerhalb von 30 Arbeitstagen eine vorläufige Überprüfung abschliessen; in komplexen Fällen kann die Überprüfung um weitere 15 Arbeitstage verlängert werden.

 

Artikel 10: Die Cybersicherheitsüberprüfung konzentriert sich auf die Bewertung der potenziellen nationalen Sicherheitsrisiken, die durch Beschaffungsaktivitäten entstehen, wobei hauptsächlich die folgenden Faktoren berücksichtigt werden:

  1. Die Auswirkungen auf den kontinuierlichen, sicheren und stabilen Betrieb kritischer Informationsinfrastrukturen, einschliesslich der Möglichkeit, dass kritische Informationsinfrastrukturen überwacht werden können oder dass die Business Continuity beeinträchtigt werden könnte;
  2. Die Möglichkeit, dass grosse Mengen an personenbezogenen Daten und wichtigen Daten durchsickern, beschädigt, verloren gehen oder aus dem Land entfernt werden können, etc.;
  3. Die Möglichkeit, dass die Kontrollierbarkeit, Transparenz und Lieferkettensicherheit eines Produkts oder einer Dienstleistung gestört werden könnte, einschliesslich der Möglichkeit von Störungen aufgrund nichttechnischer Faktoren wie Politik, Diplomatie und Handel;
  4. Die Auswirkungen auf die Verteidigungsindustrie oder Branchen und Technologien im Zusammenhang mit kritischen Informationsinfrastrukturen;
  5. Die Einhaltung der Gesetze und Vorschriften des Landes durch Produkt- oder Dienstleistungsanbieter sowie die Verpflichtung, die damit verbundenen Verantwortlichkeiten und Pflichten zu übernehmen;
  6. Situationen, in denen Produkt- oder Dienstleistungsanbieter von ausländischen
    Regierungen finanziert, kontrolliert usw. werden;
  7. Andere Faktoren, die die Sicherheit kritischer Informationsinfrastrukturen oder die nationale Sicherheit gefährden könnten.

 

Artikel 11: Das Cybersecurity Review Office erstellt nach Abschluss der Vorprüfung einen Vorschlag für eine Schlussfolgerung und legt ihn den Arbeitsgruppen des Arbeitsmechanismus für die Überprüfung der Cybersicherheit vor, um Meinungen einzuholen. Die vorgeschlagene Schlussfolgerung der Überprüfung soll drei Arten umfassen: das Bestehen der Überprüfung, das bedingte Bestehen der Überprüfung und das Nichtbestehen der Überprüfung.

 

Die Arbeitseinheiten geben innerhalb von 15 Arbeitstagen schriftliche Stellungnahmen ab. Wenn die Stellungnahmen der Arbeitseinheiten übereinstimmen, wird das Cybersicherheitsüberprüfungsbüro dem Betreiber die Prüfungsergebnisse schriftlich zukommen lassen; wenn die Stellungnahmen nicht übereinstimmen, ist das besondere Überprüfungsverfahren einzuleiten und der Betreiber zu benachrichtigen.

 

Artikel 12: Wird das besondere Überprüfungsverfahren eingeleitet, so erstattet das Cybersicherheitsüberprüfungsbüro nach weiterer Anhörung von Stellungnahmen der zuständigen Dienststellen, Fachgremien und Experten Bericht, führt eine eingehende Analyse und Bewertung durch, erstellt einen Vorschlag für eine Überprüfungsschlussfolgerung und holt Stellungnahmen von Arbeitseinheiten der Arbeitsgruppen der Cybersicherheitsinspektion ein und erstattet der Zentralen Kommission für Cybersicherheit und Informatisierung Bericht über die Angelegenheit zur Genehmigung gemäss dem Verfahren.

 

Artikel 13: Besondere Überprüfungen sind grundsätzlich innerhalb von 45 Arbeitstagen abzuschliessen; bei komplexen Umständen kann dieser Zeitraum verlängert werden.

 

Artikel 14: Wenn das Cybersecurity Review Office die Bereitstellung von zusätzlichen Dokumenten usw. verlangt, müssen die Betreiber zusammenarbeiten. Die Überprüfungszeit ist ab dem Datum der Einreichung zusätzlicher Materialien zu berechnen.

 

Die Betreiber tragen die Verantwortung für die Richtigkeit der von ihnen vorgelegten Materialien. Weigern sie sich, Materialien vorschriftsmässig zur Verfügung zu stellen oder stellen sie während des Inspektionsprozesses vorsätzlich falsche Materialien zur Verfügung, so gelten sie als nicht sicherheitsüberprüft.

 

Artikel 15: Das an Cybersicherheitsüberprüfungen teilnehmende Personal ist zur Geheimhaltung über die Informationen, die es während der Überprüfungsarbeit erhält, verpflichtet und darf sie nicht für andere Zwecke als die Überprüfung verwenden.

 

Artikel 16: Die Betreiber müssen das Sicherheitsmanagement stärken und die Produkt- und Dienstleistungsanbieter auffordern, die in den Cybersicherheitsüberprüfungen eingegangenen Verpflichtungen ernsthaft zu erfüllen.

 

Das Cybersecurity Review Office soll die Aufsicht und das Management während und nach ihrer Arbeit durch Stichproben, die Annahme von Berichten und andere Mittel stärken.

 

Artikel 17: Wenn Betreiber gegen die Bestimmungen dieser Massnahmen verstossen, werden sie gemäss den Bestimmungen von Artikel 65 des Cybersicherheitsgesetzes der Volksrepublik China bestraft.

 

Artikel 18: In diesen Massnahmen bezieht sich der Begriff "Betreiber kritischer Informationsinfrastrukturen" auf Betreiber, die von den Arbeitsbereichen für den Schutz kritischer Informationsinfrastrukturen benannt werden.

 

"Sicher und kontrollierbar" bezieht sich auf die Tatsache, dass Produkt- und Dienstleistungsanbieter die günstigen Bedingungen der von ihnen bereitgestellten Produkte oder Dienstleistungen nicht nutzen dürfen, um illegal Benutzerdaten zu erhalten, Benutzergeräte illegal zu überwachen oder zu betreiben, und dass sie das Vertrauen der Benutzer in Produkte oder Dienstleistungen nicht nutzen dürfen, um unangemessenen Nutzen zu erzielen oder Benutzer zu zwingen, diese zu erneuern oder zu aktualisieren usw.

 

Artikel 19: Wenn die Arbeitseinheiten des Arbeitsmechanismus für die Cybersicherheitsinspektion glauben, dass die Beschaffungsaktivitäten von Netzwerkprodukten und -dienstleistungen oder die Aktivitäten von IT-Dienstleistungen die nationale Sicherheit beeinflussen oder beeinflussen können, berichtet das Cybersicherheitsüberprüfungsamt gemäss dem Verfahren an die Zentrale Kommission für Cybersicherheit und Informationstechnologie zur Genehmigung und führt Inspektionen gemäss diesen Massnahmen durch.

 

Artikel 20: Wenn es sich um Informationen über Staatsgeheimnisse handelt, gelten die einschlägigen nationalen Geheimhaltungsbestimmungen.

 

Artikel 21: Diese Massnahmen treten in Kraft am (Tag, Monat, Jahr), die "Network Product and Service Security Review Measures (Trial)" werden gleichzeitig abgeschafft.

 

Newamerica.org; Samm Sacks, Rogier Creemers, Lorand Laskai, Paul Triolo, Graham Webster; 24.05.2019
Übersetzung bow
www.newamerica.org
https://creativecommons.org/licenses/by/4.0/

 

cyber security

 

Cyber Security


Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

07/2019

 

Schutz und Sicherheit von Daten im Gesundheitswesen

EPDG, DSG und wer sonst noch für unsere Datengesundheit zuständig ist

So, wie ein Regenschutz nicht den Regen schützt, schützt auch der Datenschutz nicht die Daten, sondern die Personen, über die Daten bearbeitet werden. Diese Überlegung beschreibt nach Bruno Baeriswyl, Datenschutzbeauftragter des Kantons Zürich, die Ausgangslage des rechtlichen Datenschutzes. Das Datenschutzgesetz (DSG) bezweckt nach Artikel 1 den Schutz der Persönlichkeit und der Grundrechte der Personen, deren Daten bearbeitet werden. Damit knüpft das Gesetz an die Bundesverfassung an, in der die persönliche Freiheit (Art. 10 Abs. 2 BV) und die Selbstbestimmung über persönliche Daten und Informationen als Teil der persönlichen Freiheit in einer liberalen Gesellschaft festgeschrieben sind. Der Schutz der Privatsphäre (Art. 13 BV), d.h. der persönlichen Daten und Informationen, soll auch dann gewährleistet sein, wenn Daten von Dritten bearbeitet werden. Insgesamt soll ein umfassender Schutz der informationellen Integrität sichergestellt werden, so Baeriswyl. Dieses Schutzprinzip beruht auf dem Übereinkommen zum Schutze der Menschenrechte und Grundfreiheiten (EMRK, SEV 005), in dem das Recht auf Achtung des Privat- und Familienlebens (Art. 8) festgeschrieben ist.

 

Menschenrechtliche Grundlage und ihre Konsequenzen

Im Unterschied zu den USA kennen die Schweiz und die EU eine menschenrechtliche Grundlage des Datenschutzes. Entsprechend kann in die persönliche Freiheit nur auf der Basis eines Rechtfertigungsgrunds eingegriffen werden. Zu solchen Gründen zählen eine gesetzliche Grundlage, die Einwilligung der betroffenen Person, über die Daten bearbeitet werden, oder überwiegende Interessen des Datenbearbeiters. Schweizer Datenschutzgesetze regeln solche Eingriffe und sind sowohl an privatrechtliche Datenbearbeiter (Unternehmen) als auch an öffentlich-rechtliche Datenbearbeiter (z.B. Spitäler) adressiert. Für Letztere sind die kantonalen Informations- und Datenschutzgesetze als Rahmenbedingungen massgeblich. Die Gesetze sind nur anwendbar, wenn es sich um Personendaten handelt, also sie einer Person zugeordnet werden können. Anonymisierte Daten fallen nicht unter das Datenschutzgesetz, pseudonymisierte oder verschlüsselte Daten hingegen schon.

 

Internationale Rahmenbedingungen setzt neben der oben erwähnten EMRK aus dem Jahr 1950 (in der Schweiz in Kraft seit 28.11.1974) auch das Übereinkommen zum Schutz des Menschen bei der automatisierten Verarbeitung personenbezogener Daten (SEV 108) aus dem Jahr 1981 (in der Schweiz in Kraft seit 1.2.1998). Letzteres ist die erste und einzige internationale Konvention, die sich mit der automatischen Verarbeitung von Personendaten beschäftigt. Sie entstand als Reaktion auf eine technologische Entwicklung, die sich zwischen 1950 und 1981 vollzog, namentlich die Entwicklung von Grosscomputern seit den 1960er Jahren. In dieser Zeit wurde sichtbar, dass solche Technologie ein Risiko für die persönliche Freiheit und die Grundrechte von Personen mit sich bringen kann. In der Schweiz wurden diese Bedenken in der Motion Bussey (17.3.1971) zum Ausdruck gebracht: «Die Speicher des Computers ermöglichten die Schaffung von eigentlichen Datenbanken, die z.B. viele bisher verstreut vorhandene Auskünfte über Personen und Unternehmen zusammenfassen [...] Eine geeignete Gesetzgebung könnte a) den Bürger und seine Privatsphäre gegen missbräuchliche Verwendung der Computer schützen; b) eine normale Entwicklung der Verwendung von Computern ermöglichen.» Mehr als 20 Jahre später hatte die Schweiz ein Datenschutzgesetz. Wichtig ist laut Baeriswyl zu sehen, dass das Datenschutzrecht letztlich ein Technologiefolgenrecht ist. Vom Prinzip her ist das Datenschutzrecht keine Neuerfindung, sondern dient dem Schutz der persönlichen Freiheit

 

Prinzipien des Datenschutzes

Prinzipien des Datenschutzes sind laut Baeriswyl folgende: An erster Stelle steht die Verantwortung, die jemand hat, der Daten über eine Person bearbeitet. Er braucht einen Rechtfertigungsgrund oder eine Rechtsgrundlage, dass er Daten bearbeiten darf. Des Weiteren gilt der Satz der Verhältnismässigkeit. Dieser beinhaltet, dass Daten nur so weit bearbeitet werden dürfen, als es zur Erreichung eines bestimmten Zwecks erforderlich ist. Mit Blick auf die Verhältnismässigkeit wird damit auch die Datenmenge limitiert. Weitere Prinzipien der Datenbearbeitung sind die Zweckbindung und die Integrität, d.h. die Richtigkeit und Vollständigkeit der Daten. Gemäss dem Prinzip der Sicherheit ist der Schutz vor unbefugtem Bearbeiten von Daten zu gewährleisten. Die Datenschutzgesetzgebung sieht zudem verschiedene Kontrollmechanismen vor. Kontrolle übt zum einen das Individuum selbst aus, das jederzeit ein Auskunftsrecht beim Datenbearbeiter geltend machen kann. Zum anderen haben Datenschutzbehörden Kontrollaufgaben. Damit ist laut Baeriswyl das formelle Datenschutzrecht beschrieben, welches die Rahmenbedingungen der Datenbearbeitungen vorgibt. Die konkrete Ausgestaltung findet sektorenspezifisch im materiellen Datenschutzrecht statt. Für den Gesundheitsbereich sind hier das Berufsgeheimnis (Art. 321 StGB), das Humanforschungsgesetz, welches klare Bestimmungen über Informationspflichten und Einwilligungen beinhaltet, die kantonalen Gesundheitsgesetze, die u. a. den Umgang und die Weitergabe von Patientendaten festlegen, sowie als Beispiel aus jüngster Zeit das elektronische Patientendossier zu nennen, das im Bundesgesetz über das elektronische Patientendossier (EPDG) geregelt ist.

 

Herausforderungen im Zuge der Digitalisierung

Im Anschluss wendet sich Baeriswyl den Veränderungen zu, die sich mit der Digitalisierung ergeben. Nach seinem Verständnis fordert die Digitalisierung die Werte Privatheit und Selbstbestimmung heraus, auf die das datenschutzrechtliche Konzept aufgebaut ist. Bei der Datenbearbeitung stehen für Baeriswyl zwei Phänomene im Vordergrund. Erstens ist eine enorme Zunahme der Datenmenge zu beobachten (Big Data). Diese Datenmenge kommt einerseits durch Inhaltsdaten (Informationen), andererseits durch die beim Gebrauch elektronischer Geräte generierten Randdaten (Nutzung, Zeit, Dauer, Umgebung, Verhalten etc.) zustande. Diese Daten sind zu einer eigenständigen Ressource geworden. Strukturierte und unstrukturierte Daten werden gesammelt (ohne je gelöscht zu werden), ausgewertet und personalisiert. Zudem werden Korrelationen erkannt oder identifiziert, sodass laut Baeriswyl von einer generellen Personalisierung der Daten gesprochen werden kann. Mit personalisierten Daten können Firmen (monetäre) Werte generieren. Daraus ergeben sich aus Sicht des Datenschutzes wichtige Fragen: Wer trägt die Verantwortung für welche Datenbearbeitung, wie können die betroffenen Personen die informationelle Selbstbestimmung wahrnehmen? Genügen dafür die heutigen datenschutzrechtlichen Schutzmechanismen? Bezüglich Gesundheitsdaten hält Baeriswyl eine Aussage von IBM vom 15.4.2015 für bedenkenswert: «Die Zukunft der Gesundheitsvorsorge ist personalisiert. Mit digitalen Fitnessbegleitern, telemedizinischen Lösungen und Sensoren kann heute jederzeit der individuelle Gesundheitszustand gemessen und kontrolliert werden. Dabei entstehen grosse Datenmengen – ein Mensch generiert heute in seinem Leben durchschnittlich eine Million Gigabyte an gesundheitsrelevanten Daten. Das entspricht 300 Millionen Büchern. [...] Diese wachsenden Datenberge liefern wertvolle Informationen, um die allgemeine und persönliche Gesundheitsvorsorge sowie therapeutische Massnahmen weiter zu verbessern und zu optimieren.»

 

Spezialfall personalisierte Medizin?

Bei der personalisierten Medizin geht es zwar um individuelle Daten. Genetische Daten sowie Daten aus der Forschung, Daten von gesunden Personen sowie Umweltdaten sind aber letztlich als Daten Dritter zu klassifizieren. Entsprechend ist bei ihrer Bearbeitung nach dem Rechtfertigungsgrund der Verwendung dieser Daten von Dritten zu fragen. Bei Apps im Kontext des «Quantified Self» ist der Rechtfertigungsgrund die Einwilligung der betroffenen Person, welche diese in der Regel mit der Installation der App gibt. Die Methode, nach der die persönlichen Daten ausgewertet werden, ist jedoch oft intransparent, merkt Baeriswyl kritisch an. Anders ist dies beim elektronischen Patientendossier, dessen Datenverwendung relativ transparent ist. Es ist eigentlich kein Dossier, sondern ein Verzeichnis von Daten. Die Verantwortlichkeiten (Art. 10 EPDG), die schriftliche Einwilligung (Art. 3 EPDG) und auch die Zugriffsrechte (Art. 9 EPDG) sind gesetzlich geregelt. Zusammengefasst stellen sich für Baeriswyl mehrere Herausforderungen im Zusammenhang mit der Digitalisierung:

  • Wer trägt Verantwortung? Gibt es noch Einzelverantwortungen, und wer übernimmt Verantwortung fürs Ganze?
  • Wo sind die Rechtsgrundlagen, wo der Rechtfertigungsgrund?
  • Gibt es eine Verhältnismässigkeit, oder werden einfach überall Daten gesammelt?
  • Gibt es eine Zweckbindung und Beschränkungen bezüglich der Weiterverwendung?
  • Wie steht es um die Integrität der Daten, wenn Korrelationen identifiziert und Daten nicht überprüft werden?
  • Wie ist es mit der Sicherheit, wenn standardisierte Cloud-Anwendungen verwendet werden?
  • Wie kann das Individuum sein Kontroll- und Auskunftsrecht wahrnehmen?

 

Risiken in der Praxis

Aus den weitgehend unbeantworteten Fragen ergeben sich Risiken in der Praxis: Die Gesellschaft und jeder Einzelne erlebt, so Baeriswyl, einen Verlust der Kontrolle darüber, wie bestimmte Anbieter die persönlichen Daten verwenden. Es besteht keine Sicherheit in Bezug auf die «Cloud». Eine unkontrollierte Verwendung und ein Missbrauch von Daten werden so möglich. Auch die Datenqualität ist fraglich und kann falsche Interpretationen zur Folge haben. Zudem besteht die Gefahr einer Diskriminierung aufgrund des Gesundheitszustandes, wenn Daten an Versicherungen oder Arbeitgeber gelangen. Angesichts der Risiken der Digitalisierung – nämlich Transparenz, Selbstbestimmung, Privatheit und Kontrolle zu verlieren – braucht es nach Baeriswyl Reformen des Datenschutzrechts. In dieser Sache gibt es zahlreiche Bemühungen. Die wichtigsten Reformen für die Schweiz sind die im Europarat am 18. Mai 2018 verabschiedete Konvention SEV 108, die EU Richtlinie 2016/680, die seit dem 6. Mai 2018 in Kraft ist, die EU-Datenschutz-Grundverordnung 2016/679 (in Kraft seit 25. Mai 2018), die Botschaft zur Totalrevision des Datenschutzgesetzes vom Bund vom 15. September 2017 sowie die verschiedenen kantonalen Gesetze. Die Reformen haben zum Ziel, Transparenz zu erhöhen, indem sie Informationspflichten des Datenbearbeiters einführen und im Sinne der Selbstbestimmung die Anforderungen an Einwilligungserklärungen verstärken. Zudem sollen Risikofolgenabschätzungen in Bezug auf den Schutz der Privatheit und persönlichen Freiheit durchgeführt werden. Auch durch die Technikgestaltung sollen Risiken eingedämmt werden, z.B. durch «Privacy by Design» oder «Privacy by Default» (Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen). Schliesslich wird geprüft, die Kontrollrechte durch eine Aufsicht mit mehr Sanktionsmöglichkeiten zu erweitern oder durch zusätzliche Individualrechte wie das «Recht auf Vergessenwerden» zu stärken. Die europäische Konvention SEV 108 ist der Minimalstandard, der nach Baeriswyl auch in der Schweiz eingeführt werden sollte und folgende Punkte beinhaltet:

  • Einwilligung (Art. 5, Abs. 2): spezifisch, eindeutig
  • Informationspflicht (Art. 8): generell
  • Automatisierte Entscheidungen (Art. 9, Abs. 1 lit. a): Einbezug der betroffenen Person
  • Auskunftsrecht (Art. 9 Abs. 1 lit c): inklusive Grundlagen der Datenauswertung
  • Dokumentation der Compliance (Art. 10 Abs. 1): Nachweis
  • Datenschutz-Folgenabschätzung (Art. 10 Abs. 2): Vorgängige Risikoanalyse
  • Technikgestaltung (Art. 10 Abs. 3): Minimierung der Risiken

 

Da durch die Digitalisierung die Grundlagen von Privatheit und Selbstbestimmung herausgefordert werden, die dem datenschutzrechtlichen Konzept zugrunde liegen, zieht Baeriswyl folgendes Fazit: Erstens braucht Digitalisierung eine sozialverträgliche Technikgestaltung. Das heisst für ihn, dass die verfassungsmässigen Grundrechte und die Grundwerte einer liberalen Rechtsordnung die Leitlinie der Technikgestaltung bilden sollten. Zweitens braucht es Reformen des Datenschutzrechts, um für den Schutz der Selbstbestimmung und Privatheit wirkungsvolle Instrumente bereitzustellen. Und drittens müssen Chancen und Risiken der digitalen Gesellschaft für den liberalen Rechtsstaat und die damit zusammenhängenden Werte thematisiert und Schutzmechanismen weiterentwickelt werden.

 

http://creativecommons.org/licenses/by/4.0
Schweizerische Akademie der Medizinischen Wissenschaften (2018): Autonomie und Digitalisierung. Ein neues Kapitel für die Selbstbestimmung in der Medizin? Bericht zur Tagung vom 15. Juni 2018 des Veranstaltungszyklus «Autonomie in der Medizin».
Vortrag Bruno Baeriswyl

 

datenschutz fingerabdruck

 

Datenschutz

Datenschutz greift auch in unsere Lebensprozesse ein

 

Datenschutz ist allgegenwärtig und begleitet uns im Berufsalltag wie auch im Privatleben. Erfahren Sie bei uns alles über Beratung, Ausbildung und Services im Fachbereich Datenschutz und wie wir Sie als erfahrene Datenschutzspezialisten unterstützen können.

 

Kontaktieren Sie uns, denn wir wissen, welche Daten wie zu schützen sind! Wir beraten Sie gerne. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

07/2019

 

Einige Hinweise und Überlegungen zu BYOD im geschäftlichen Kontext

Arbeiten Sie mit Ihrem privaten Gerät (PC, Laptop, Tablet, Smartphone) für Ihr Unternehmen?

Das Datenschutzteam der Swiss Infosec AG nimmt «Bring your own device», kurz «BYOD» genauer unter die Lupe und informiert Sie über das Wichtigste.

 

1 Ausgangslage

Die heutige vernetzte Welt ermöglicht es immer mehr Arbeitnehmenden, ihre eigenen Laptops, Tablets, Mobiltelefone usw. als Arbeitsgeräte einzusetzen. Der Trend hin zu «Bring Your Own Device (BYOD)» bringt jedoch einige rechtliche Risiken mit sich. Was dabei seitens des Datenschutzrechts zu beachten ist, wird nachfolgend beleuchtet.

 

2 Risiken für den Arbeitgeber

2.1 Zugriff durch Dritte
Wenn der Arbeitnehmer ausserhalb der Firmeninfrastruktur sein für die Arbeitstätigkeit verwendetes Gerät nutzt, ist die Gefahr eines Verlusts oder Missbrauchs von Geschäftsdaten höher, als wenn das Gerät nur innerhalb der Unternehmensinfrastruktur genutzt werden kann.

 

Der Zugriff durch Dritte kann beispielsweise dadurch geschehen, dass das Gerät durch Familienmitglieder benutzt wird, oder wenn das Gerät verloren geht oder gestohlen wird. Das Risiko des Zugriffs durch Dritte sollte soweit möglich eingeschränkt werden, beispielsweise durch Möglichkeiten der Fernsperrung bei Verlust oder Diebstahl.

 

2.2 Mangelnde Sicherheitseinstellungen
Nebst physischem Diebstahl oder Verlust des Gerätes sind die Daten des Unternehmens auch durch Datenverlust oder Manipulation gefährdet: Der Arbeitnehmer könnte ein Jailbreaking (nicht-autorisiertes Entfernen von Nutzungsbeschränkungen) vornehmen, die gebotenen Sicherheitseinstellungen gar nie erst auf dem Gerät installiert haben oder keine Backups erstellt haben.

 

2.3 Zugriff auf private Daten
BYOD führt durch die umfassende Nutzung typischerweise zu einer Vermengung der privaten und der geschäftlichen Sphäre und somit auch der privaten und geschäftlichen Daten. Es kann unter Umständen erforderlich sein, dass der Arbeitgeber Zugriff auf das BYOD-Gerät erhält (z.B. Wartung oder Löschung von Daten bei Austritt). Ein Zugriff auf das private Gerät bedarf jedoch einer Einwilligung des Arbeitnehmers (vorzugsweise schriftlich, mit klarer Regelung der Zugriffsmöglichkeiten). Sofern der Arbeitgeber die Daten fernlöschen kann, muss sichergestellt sein, dass dadurch keine privaten Daten gelöscht werden. Andernfalls könnte die Persönlichkeit des Arbeitnehmenden verletzt werden. Um dies sicherzustellen, müssen die privaten und geschäftlichen Daten getrennt abgespeichert werden.

 

Dafür können so sogenannte Container-Lösungen verwendet werden, welche die strikte Trennung zwischen privaten und geschäftlichen Daten sowie installierten Applikationen ermöglichen. Mit dieser Container-Lösung wird dem Arbeitgeber eine externe Zugriffsmöglichkeit ausschliesslich auf den "geschäftlichen Container" gewährt.

 

Eine andere Lösung wäre, wenn mit dem Gerät grundsätzlich keine Speicherung von geschäftlichen Daten möglich wäre, sondern das Gerät bloss als „Durchlaufposten“ (als sogenannter Thin Client) fungiert.

 

3 BYOD-Nutzungsweisung

Bevor ein Arbeitgeber BYOD also zulässt, sind die erwähnten Problemfelder zu klären. Werden personenbezogene Daten des Unternehmens auf dem Gerät gespeichert oder verarbeitet, bleibt der Arbeitgeber als verantwortliche Stelle für den rechtskonformen Umgang verantwortlich. Entsprechend hat der Arbeitgeber nach Art. 7 Datenschutzgesetz (DSG) die Datensicherheit durch angemessene technische und organisatorische Massnahmen sicherzustellen. Um genug hohe Sicherheitsstandards zu gewährleisten, sollte der Arbeitgeber klare Nutzungsregelungen in eindeutigen geschäftlichen Richtlinien, wie eine Nutzerweisung, schriftlich regeln. Dadurch wissen die Mitarbeitenden, was erlaubt ist und was nicht, wenn sie ihre Geräte mit der IT-Infrastruktur ihres Arbeitgebers verbinden.

 

Bei BYOD gilt aus datenschutzrechtlicher Sicht grundsätzlich das Gleiche wie für die Nutzung der elektronischen Infrastruktur am Arbeitsplatz: Die Grundsätze der Datensicherheit, Datenverwendung und Datenaufbewahrung müssen eingehalten werden. Dies bedeutet, dass beispielsweise die Datensicherheit durch Verschlüsselungstechniken und Passwortrichtlinien gewährleistet sein muss. Zudem sollten die Sicherheitseinstellungen hinsichtlich des Betriebssystems und die Schutzeinstellungen wie Virenschutzprogramme vom Arbeitnehmer nicht verändert oder deaktiviert werden dürfen. Auch müssen die Daten vom BYOD-Gerät auf den Server des Arbeitgebers überspielt und gelöscht werden, wenn sie nicht mehr benötigt werden. Der Arbeitgeber sollte zudem den Arbeitnehmer verpflichten, alle geschäftlichen Daten bei Beendigung des Arbeitsverhältnisses zu löschen. Dies ist besonders wichtig, weil das Gerät dem Mitarbeitenden gehört und er dieses daher dem Arbeitgeber am Ende des Arbeitsvertrages nicht übergeben muss.

 

4 Arbeitsrechtliche Vorgaben

Nebst datenschutzrechtlichen Aspekten sind im Übrigen auch arbeitsrechtliche Vorgaben zu beachten. So führt BYOD führt zu einer fliessenden Grenze zwischen Freizeit und Arbeitsleben, was möglicherweise die Einhaltung der wöchentlichen Höchstarbeitszeit oder des Verbots von nicht bewilligter Nacht- und Sonntagsarbeit beeinträchtigen kann. Zudem ist die Überwachung des E-Mail-Verkehrs und der Internetnutzung des Arbeitnehmers heikel: Der Einsatz von Key-Loggern oder anderen Überwachungsprogrammen stellt eine unzulässige Verhaltensbeobachtung dar. Eine solche ist nur in erhärteten Verdachtsfällen oder bei bereits festgestelltem Missbrauch zulässig, und nur, wenn die erforderlichen Datenbearbeitungsprinzipien eingehalten werden.

 

Weitere arbeitsrechtliche Aspekte sind beispielsweise, dass der Arbeitgeber gemäss Art. 327 OR die benötigten Arbeitsgeräte zur Verfügung zu stellen hat. Bei Einsatz von BYOD sind also auch allfällige Entschädigungsansprüche des Arbeitnehmers zu regeln.

 

Unser Fazit

 

Prüfen Sie genau, welche Sicherheitsvorkehrungen Sie implementieren müssen, bevor Sie Ihren Mitarbeitenden die Verwendung eigener Geräte erlauben. Stellen Sie sicher, dass Ihre BYOD-Vorgaben umgesetzt werden, indem Sie eine verantwortliche Person, z.B. Ihren Sicherheitsbeauftragten, mit der Konzeption, Durchsetzung und Kontrolle beauftragen.

 

Gerne beantworten wir Ihre Fragen und unterstützen Sie bei der Einhaltung von Schweizer Datenschutz und DSGVO.

 

Swiss Infosec AG; 27.06.2019
Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch

 

 

datenschutz fingerabdruck

 

Datenschutz

Datenschutz greift auch in unsere Lebensprozesse ein

 

Datenschutz ist allgegenwärtig und begleitet uns im Berufsalltag wie auch im Privatleben. Erfahren Sie bei uns alles über Beratung, Ausbildung und Services im Fachbereich Datenschutz und wie wir Sie als erfahrene Datenschutzspezialisten unterstützen können.

 

Kontaktieren Sie uns, denn wir wissen, welche Daten wie zu schützen sind! Wir beraten Sie gerne. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

07/2019

Standardwerk: Konzepte Verfahren Protokolle

 

Die Autorin stellt in diesem Standardwerk die zur Umsetzung der Sicherheitsanforderungen benötigten Verfahren und Protokolle detailliert vor und erläutert sie anschaulich anhand von Fallbeispielen. Im Vordergrund steht dabei, die Ursachen für Probleme heutiger IT-Systeme zu verdeutlichen und die grundlegenden Sicherheitskonzepte mit ihren jeweiligen Vor- und Nachteilen zu präsentieren. Der Leser entwickelt nicht nur ein Bewusstsein für IT-Sicherheitsrisiken, sondern erwirbt auch ein breites und grundlegendes Wissen zu deren Behebung.

 

Autorin: Claudia Eckert

ISBN-10: 9783110551587

07/2019

Praxisleitfaden mit Abdruck der DSGVO im Taschenbuchformat

 

Im April 2016 hat das EU-Parlament die EU-Datenschutz-Grundverordnung (DSGVO) verabschiedet. Sie gilt ab dem 25. Mai 2018 in der gesamten EU und bringt nicht nur eine Vereinheitlichung, sondern auch eine deutliche Verschärfung des europäischen Datenschutzrechts mit sich. Dies stellt Unternehmen vor die Herausforderung, innerhalb kurzer Zeit interne Prozesse und Datenschutz-Funktionen an das neue Recht anzupassen. Angesichts erhöhter Anforderungen, Bußgelder und Haftungsrisiken ist dabei große Sorgfalt geboten.

 

Autor: Tim Wybitul

ISBN-10: 3700771673

07/2019

Normensammlung Cyber Security: 16 Grundlagennormen zum Thema Sicherheitsmanagement

 

Standards haben in der IT-Branche eine lange Tradition und bieten besonders in Zeiten von Ransomware, Fake-Mails und Angriffen von Hackern aus aller Welt unverzichtbare Hilfestellungen für frühzeitige Absicherung firmenkritischer Prozesse.

 

Autor: Austrian Standards Institute

ISBN-10: 3854023529

08/2019

 

Eine Einführung in die datenschutzrechtlichen Überlegungen

Betreiben eines Online-Shops: Welche datenschutzrechtlichen Vorgaben muss ich einhalten?

Wenn Sie eine Webseite betreiben, welche auch Produkte oder Dienstleistungen zum Kauf anbietet, sind nebst rechtlichen Vorgaben wie dem allgemeinen Obligationenrecht auch die Datenschutzvorschriften zu beachten. Richtet sich Ihr Webshop-Angebot auch an Personen, welche sich in der EU befinden, ist die DSGVO anwendbar.

 

Nachfolgend zeigen wir Ihnen auf, welche Punkte Sie besonders zu beachten haben, wenn Sie zur Umsetzung der DSGVO für Ihren Online-Shop verpflichtet sind:

 

Datenschutzerklärung für Betreiber von Online-Shops

Haben Sie auf Ihrer Webseite eine Datenschutzerklärung in präziser, transparenter, verständlicher und leicht zugänglicher Form? 

 

Kontakt- und weitere Formulare

Wenn Sie den Kunden und Webseitenbesuchern Formulare zur Verfügung stellen, um mit Ihnen in Kontakt zu treten: Informieren Sie diese Personen vor der Benutzung dieses Formulars über Art, Umfang und Zweck der Datenabfrage sowie die Verwendung und Verarbeitung der abgefragten personenbezogenen Daten? Halten Sie das Prinzip der Datenminimierung nach Art. 5 DSGVO ein, d.h. fragen Sie nur die wirklich benötigten Personenangaben ab?

 

Newsletter-Versand

Wissen Sie, ob Ihr Newsletter-Prozess in Übereinstimmung mit den DSGVO-Vorschriften ist? Benutzen Sie das Double-Opt-In-Verfahren?

 

Analyse-Tools

Lassen Sie Webseitenbesucher statistisch durch entsprechende Tools erfassen (beispielsweise mittels Google Analytics)? Wenn ja, ist darauf zu achten, dass die jeweiligen IP-Adressen der Besucher anonymisiert werden und der Webseitenbesucher die Möglichkeit hat, der Erfassung durch das Tool zu widersprechen.

 

Cookie-Banner für Webshops

Verwendet Ihr Webshop Cookies? Die überwiegende Lehrmeinung geht davon aus, dass bei Verwendung von Tracking Cookies die Einwilligung der betroffenen Person nötig ist, für alle anderen Cookies das berechtigte Interesse des Webseitenbetreibers als Rechtsgrundlage genüge. Fairness gebietet es aber grundsätzlich, Besucher einer Webseite mittels Cookie-Banner darüber zu informieren, welche Auswirkung der Webseitenbesuch hat und wie die personenbezogenen Daten verwendet werden. Die Verwendung von Cookie-Hinweisen ist eine vertrauensbildende Massnahme, die Seriosität ausstrahlt und heute best practice ist. Weitere Informationen dazu finden Sie in unserem Newsletter-Beitrag 06/19 (abrufbar unter https://www.infosec.ch/blog/1050).

 

Nachweis per Dokumentation

Nach Art. 5 Abs. 2 DSGVO müssen Webshop-Betreiber die Einhaltung der gesetzlichen Vorschriften nachweisen können. Weiter verpflichtet die DSGVO zur Führung eines Verzeichnisses nach Art. 30 DSGVO, in welchem die Verarbeitungsvorgänge transparent nachgewiesen werden.

 

Verschlüsselte Datenübertragung

Erfolgt die Datenübertragung auf Ihrer Webseite per SSL-Verschlüsselung?

 

Schutz für Minderjährige

Nach Art. 8 DSGVO dürfen personenbezogene Daten von unter 16-Jährigen nur verarbeitet werden, wenn die explizite Einwilligung durch einen Erziehungsberechtigten vorliegt. Ist Ihr Kaufprozess des Online-Shops mittels technischen Massnahmen entsprechend ausgestaltet?

 

Auftragsverarbeitung

Beziehen Sie externe Dienstleister mit ein, um Ihr Angebot wirtschaftlich gestalten zu können, beispielsweise für den Newsletter-Versand oder das Besucher-Tracking? Falls ja, müssen Sie mit den Dienstleistern einen Auftragsverarbeitungsvertrag abschliessen, da diese Zugriff auf die personenbezogenen Daten erhalten.

 

Unser Fazit

 

Prüfen Sie Ihre Online-Shop-Prozesse auf die Übereinstimmung mit den datenschutzrechtlichen Vorschriften. Durch die Umstellung auf eine DSGVO-konforme Arbeitsweise erhalten Sie als Online-Shop-Betreiber die Sicherheit, dass Sie zum einen Ihren gesetzlichen Verpflichtungen nachkommen und zum anderen Ihren Online-Shop-Besuchern einen angemessenen Datenschutz einräumen.

 

Gerne beantworten wir Ihre Fragen und unterstützen Sie bei der Einhaltung der Schweizer Datenschutzvorschriften und der DSGVO.  

 

Swiss Infosec AG; 23.07.2019
Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch

 

datenschutz fingerabdruck

 

Datenschutz

Datenschutz greift auch in unsere Lebensprozesse ein

 

Datenschutz ist allgegenwärtig und begleitet uns im Berufsalltag wie auch im Privatleben. Erfahren Sie bei uns alles über Beratung, Ausbildung und Services im Fachbereich Datenschutz und wie wir Sie als erfahrene Datenschutzspezialisten unterstützen können.

 

Kontaktieren Sie uns, denn wir wissen, welche Daten wie zu schützen sind! Wir beraten Sie gerne. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

08/2019

Das umfassende Handbuch für Schwachstellen verstehen, Angriffsvektoren identifizieren und Infrastrukturen absichern

 

It's not a bug, it's a backdoor! Nur wenn Sie verstehen, wie ein Angreifer denkt, können Sie Ihre Systeme auch wirklich sicher machen. Dieses Buch ist der Schlüssel dazu. Die Security-Spezialisten rund um Bestseller-Autor Michael Kofler vermitteln Ihnen das ganze Know-how, um Ihre Infrastrukturen vor Angriffen zu schützen – Praxisbeispiele und konkrete Szenarien inklusive. Von der Absicherung des Active Directory bis zum Einsatz von Kali Linux, von der Suche nach Exploits bis zur Härtung von Webservern – hier werden Sie zum Security-Experten!

 

Autoren: Michael Kofler, André Zingsheim, Klaus Gebeshuber, Markus Widl, Roland Aigner, Thomas Hackner, Stefan Kania, Peter Kloep, Frank Neugebauer

ISBN-10: 3836245485

08/2019

Konzepte für die Private Cloud, Mobile Computing, Big Data und das Social Web: Sicherheit in der Wolke 

 

Mit dem Band werden Leser behutsam in die Begrifflichkeiten der Virtualisierung, des Cloud Computings und die daraus hervorgehenden Dienstleistungen eingeführt. Themen wie Sicherheitsrisiken, Risikomanagement, Datenschutz und Compliance stellt der Autor im Zusammenhang dar. Aus seinen Erfahrungen schöpfend, liefert er neben dem nötigen Hintergrundwissen zum Thema außerdem nützliche Tipps und wichtige Benchmarks von Cloud Computing Service Providern.

 

Autoren: Alexander Tsolkas, Andreas Zilch

ISBN-10: 3834815632

08/2019

Praxishandbuch: Vertragsgestaltung, Gewährleistung, Datenschutz, Lizenzen und Exit Management

 

Der Trend Cloud Computing ist längst in der Praxis angekommen und der Markt wächst. Was sind die Vor- und Nachteile von Cloud Computing, welche rechtlichen Fragen ergeben sich daraus und worauf muss man bei der Wahl des Anbieters achten, um rechtlich auf der sicheren Seite zu sein? Dieses praxisorientierte Buch liefert die Antworten. Es zeigt die rechtlichen Rahmenbedingungen auf und gibt wertvolle Tipps um eventuelle Fallstricke zu vermeiden. Selbstverständlich widmet sich das Buch auch allen Fragestellungen, die sich in diesem Zusammenhang mit der DSGVO ergeben und gibt klare Antworten.

 

Autoren: Wolfgang Tichy, Günther Leissler, Michael Woller

ISBN-10: 3214089722

08/2019

 

Der Zertifizierungsgegenstand des AUDITOR-Verfahrens

 

Das AUDITOR-Verfahren ist ein Prüfstandard für die Datenschutz-Zertifizierung von Cloud-Diensten gemäß den Anforderungen der EU-Datenschutz-Grundverordnung (DSGVO).

 

1. Datenverarbeitungsvorgänge als Zertifizierungsgegenstand

Zertifizierungsgegenstand des AUDITOR-Verfahrens sind Verarbeitungsvorgänge von personenbezogenen Daten, die in Produkten oder Diensten oder mit Hilfe von (auch mehreren) Produkten oder Diensten erbracht werden. Im AUDITOR-Verfahren werden die Datenverarbeitungsvorgänge betrachtet, die der Cloud-Anbieter als Auftragsverarbeiter im Rahmen der Auftragsverarbeitung gemäß Art. 28 DSGVO durchführt. Weiterhin werden Datenverarbeitungsvorgänge betrachtet, die der Cloud-Anbieter als Verantwortlicher vornimmt, um den Vertrag mit dem Cloud-Nutzer über die Bereitstellung des Cloud-Dienstes schließen und durchführen sowie um rechtliche Pflichten erfüllen zu können (s.u.).

 

Bei der Bestimmung des Zertifizierungsgegenstands sind drei Komponenten wichtig, die Cloud-Anbieter als Adressaten des AUDITOR-Zertifizierungsverfahrens beachten müssen: 1. personenbezogene Daten, 2. technische Systeme (Infrastruktur, Hardware und Software, die genutzt werden, um personenbezogene Daten zu verarbeiten) und 3. Prozesse und Verfahren, die mit Verarbeitungsvorgängen in Verbindung stehen. Somit besteht ein Datenverarbeitungsvorgang in der Regel sowohl aus technischen und automatisierten als auch aus nicht-technischen organisatorischen Komponenten, die personenbezogene Daten zu einem bestimmten Zweck verarbeiten und deren Datenschutzmaßnahmen in Datenschutzkonzepten erfasst und zu Datenschutzmanagementsystemen zusammengefasst sind. Der gesamte Datenverarbeitungsvorgang muss den Anforderungen der Datenschutz-Grundverordnung entsprechen.

 

Datenverarbeitungsvorgänge müssen eine geschlossene Verfahrensstruktur für die Verarbeitung personenbezogener Daten aufweisen, innerhalb der die spezifischen Datenschutzrisiken des jeweiligen Cloud-Dienstes vollständig erfasst werden können. Dies bedeutet, dass auch Schnittstellen der zu zertifizierenden Datenverarbeitungsvorgänge zu anderen Datenverarbeitungsvorgängen des Dienstes betrachtet werden müssen, um Datenflüsse zu identifizieren, aus denen datenschutzrechtliche Risiken erwachsen können. Setzen die zu zertifizierenden Datenverarbeitungsvorgänge eines Cloud-Dienstes auf nicht-anbietereigene Plattformen oder Infrastrukturen auf oder setzt der Auftragsverarbeiter sonstige Subauftragsverarbeiter ein, so kann sich das Zertifikat nur auf diejenigen Datenverarbeitungsvorgänge beziehen, die im Verantwortungsbereich des jeweiligen Auftragsverarbeiters stehen. Der Auftragsverarbeiter muss sich jedoch davon überzeugen, dass auch diese fremden von ihm genutzten Plattformen, Infrastrukturen und Subauftragsverarbeiter die für sie relevanten datenschutzrechtlichen Vorschriften einhalten und darf nur solche einsetzen, um seinen Dienst zu erbringen (s.u.).

 

Datenverarbeitung bezeichnet jeden Vorgang, der in einem Zusammenhang mit personenbezogenen Daten steht. Oftmals durchlaufen personenbezogene Daten beim Cloud Computing die nachfolgenden Vorgänge, ohne dass die Auflistung jedoch vollständig ist oder jeder Vorgang in einem zu zertifizierenden Datenverarbeitungsvorgang enthalten sein muss:

  • Konzeptualisierung: Definition und Beschreibung von zu erhebenden und zu verarbeitenden personenbezogenen Daten.
  • Erhebung / Erzeugung: Vorgänge zur Erhebung oder Erzeugung von relevanten Daten.
  • Transfer und Weitergabe: Vorgänge, die dazu führen, dass die Daten ihren Speicher oder Verarbeitungsort erreichen, oder an Dritte weitergegeben werden.
  • Speicherung: Vorgänge zur sicheren Speicherung der Daten.
  • Zugriff / Verwendung: Lesender Zugriff auf Daten zur weiteren Verwendung und Verarbeitung.
  • Veränderung / Aktualisierung: Schreibender Zugriff auf Daten, um die gespeicherten Werte zu verändern.
  • Transformation: Zweckgerichtete Veränderung der Daten, insbesondere zu ihrem Schutz.
  • Administration: Manuelle und automatische Vorgänge zur Verwaltung von Daten.
  • Rückgabe: (Vollständige) Rückgabe der Daten an den Cloud-Nutzer.
  • Löschung / Vernichtung: Löschung der Daten und ggf. Vernichtung der Speichermedien.

2. Betrachtete Datenverarbeitungsvorgänge im AUDITOR-Kriterienkatalog

Der AUDITOR-Kriterienkatalog beschreibt die datenschutzrechtlichen Anforderungen an die Verarbeitung von personenbezogenen Daten auf der Seite des Auftragnehmers (Cloud-Anbieter) und richtet sich an die Anbieter von Cloud-Diensten des privaten Sektors, die die Vereinbarkeit ihrer Datenverarbeitungsvorgänge mit datenschutzrechtlichen Anforderungen nachweisen möchten. Die datenschutzrechtlichen Anforderungen an den Auftraggeber (Cloud-Nutzer) werden nicht adressiert.

 

2.1. Die Verantwortlichkeit des Cloud-Anbieters für Datenverarbeitungsvorgänge
Cloud-Anbieter im Sinne des AUDITOR-Kriterienkatalogs ist jedes privatwirtschaftliche Unternehmen, das einen Cloud-Dienst am Markt anbietet und sich nach dem Kriterienkatalog zertifizieren lassen möchte. Cloud-Anbieter sind die Antragsteller im AUDITOR-Zertifizierungsverfahren und werden durch den AUDITOR-Kriterienkatalog in zweierlei Hinsicht adressiert:

  1. Als Auftragsverarbeiter von Datenverarbeitungsvorgängen.
    Die Cloud-Anbieter können sowohl B2B- als auch B2C-Anbieter sein. Wichtig ist nur, dass sie hinsichtlich der Daten, die in der Cloud verarbeitet werden („Inhalts- oder Anwendungsdaten“), als Auftragsverarbeiter und nicht als Verantwortliche tätig sind und die Datenschutzkonformität ihrer Datenverarbeitungsvorgänge durch ein Zertifikat bestätigen lassen möchten. Gerade im B2B-Bereich werden die Inhalts- und Anwendungsdaten häufig personenbezogene Daten von Kunden, Mitarbeitern oder anderen betroffenen Personen sein, mit denen der Cloud-Nutzer in Vertragsbeziehungen steht. Jedoch können Inhalts- und Anwendungsdaten auch personenbezogene Daten des Cloud-Nutzers sein.

  2. Als Verantwortlicher von Datenverarbeitungsvorgängen.
    Der Cloud-Anbieter wird auch als Verantwortlicher von Datenverarbeitungsvorgängen adressiert, die erforderlich sind, um den Vertrag mit dem Cloud-Nutzer über die Bereitstellung des Cloud-Dienstes schließen und durchführen zu können. Bei diesen Datenverarbeitungsvorgängen geht es um den Schutz der personenbezogenen Daten des Cloud-Nutzers und um dessen Persönlichkeitsrecht. Der Umgang mit personenbezogenen Daten von Dritten wie etwa Kunden oder Mitarbeitern des Cloud-Nutzers findet im Rahmen der zwischen dem Cloud-Nutzer und dem Cloud-Anbieter vereinbarten Auftragsverarbeitung statt und verpflichtet den Cloud-Anbieter lediglich in seiner Rolle als Auftragsverarbeiter. Schließt der Cloud-Nutzer einen Vertrag mit dem Cloud-Anbieter über die Bereitstellung und Nutzung des Cloud-Dienstes ab, wird der Cloud-Anbieter vor allem durch handels- und steuerrechtliche Aufzeichnungs- und Aufbewahrungspflichten zur Verarbeitung personenbezogener Daten verpflichtet, sodass die Datenverarbeitung zur Erfüllung rechtlicher Pflichten ebenfalls in den Anwendungsbereich der AUDITOR-Zertifizierung fällt.

    Obwohl der Cloud-Anbieter grundsätzlich frei darin ist, den Zweck einer Verarbeitung und die hierfür passende Rechtsgrundlage aus Art. 6 Abs. 1 UAbs. 1 lit. a bis f DSGVO zu wählen und Art. 5 Abs. 1 lit. b i.V.m. Art. 6 Abs. 4 DSGVO auch keine strikte Zweckbindung, sondern nur eine Zweckvereinbarkeit kennt, werden im Rahmen der AUDITOR-Zertifizierung nur Datenverarbeitungen des Cloud-Anbieters in seiner Rolle als Verantwortlicher betrachtet, die in einem inneren Zusammenhang zum Vertrag zwischen dem Cloud-Anbieter und dem Cloud-Nutzer über die Bereitstellung und Nutzung des Cloud-Dienstes und die Durchführung der Auftragsverarbeitung stehen. Im Rahmen der AUDITOR-Zertifizierung werden daher nur Datenverarbeitungsvorgänge betrachtet, die der Cloud-Anbieter durchführt, um den Cloud-Dienst gegenüber dem Cloud-Nutzer zu erbringen, um diesem die Nutzung zu ermöglichen und um den Dienst abzurechnen.

    Um den Vertrag mit dem Cloud-Nutzer über die Nutzung des Cloud-Dienstes abzuschließen und durchzuführen, entscheidet der Cloud-Anbieter, welche personenbezogenen Daten er erhebt und verarbeitet. In der Regel werden hier Daten wie Namen, Adressen, Zahlungsdaten wie beispielsweise Bankverbindungen, Rufnummern, Benutzernamen und Passwörter fürs Ein-loggen in den Cloud-Dienst verarbeitet. Diese können unter dem Begriff „Bestandsdaten“ zusammengefasst werden.

    Um dem Cloud-Nutzer die Inanspruchnahme des Cloud-Dienstes zu ermöglichen und diese abzurechnen, muss der Cloud-Anbieter weitere personenbezogene Daten wie beispielsweise Ein- und Auslogdaten zu Nutzkonten, IP-Adressen, die genutzten Dienstmodule und den Umfang der Nutzung verarbeiten. Diese Daten können unter dem Begriff „Nutzungsdaten“ zusammengefasst werden.

 

2.2. Zertifizierungsreichweite
Beim Cloud Computing kommt es regelmäßig zu einem Nebeneinander der Verantwortlichkeiten. Einerseits zwischen dem Cloud-Anbieter und dem Cloud-Nutzer und andererseits zwischen dem Cloud-Anbieter und weiteren eingesetzten Auftragnehmern (Subauftragsverarbeiter), sodass sich die Frage nach der Zertifizierungsreichweite stellt.

 

Verantwortlichkeit zwischen Cloud-Anbieter und Cloud-Nutzer
Allgemeine Leitlinien zur Verantwortungsabgrenzung zwischen Cloud-Anbieter und Cloud-Nutzer sind nur schwer zu bilden, da die Verantwortungsverteilung maßgeblich von den Service-Modellen und den konkreten Ausgestaltungen sowie den individuellen Auftragsverarbeitungsvereinbarungen mit den Cloud-Nutzern abhängt. Daher liegt es an dem Cloud-Nutzer und dem Cloud-Anbieter, Regelungen zur Verantwortungsverteilung zu treffen. Beispielsweise ist in der Regel der Cloud-Nutzer verantwortlich für Datensicherungen oder -archivierungen. Daher wird in den meisten Auftragsverarbeitungsvereinbarungen zwischen IaaS-Anbietern und Cloud-Nutzern eine entsprechende Regelung der Verantwortlichkeiten enthalten sein.

 

Die Regelungen müssen die Intentionen und Zwecksetzungen der Parteien abbilden. Im Verhältnis zwischen Cloud-Nutzer und Cloud-Anbieter ist der Cloud-Anbieter immer dann Auftragnehmer, wenn er mit den zu verarbeitenden Daten keine eigenen Zwecke verfolgt, auch wenn er die Entscheidungen über die Mittel der Datenverarbeitung trifft. Er ist nur dann Verantwortlicher, wenn er mit den Daten eigene Zwecke verfolgt. Er bleibt jedoch Auftragsverarbeiter, wenn der Cloud-Nutzer den Zweck der Verarbeitung klar definiert, dem Cloud-Anbieter jedoch die Entscheidungsbefugnis über die Wahl der technischen und organisatorischen Mittel überlässt, solange diese Mittel angemessen sind, um den Verarbeitungszweck zu erreichen und er den Cloud-Nutzer über diese informiert.

 

Als Faustformel kann festgehalten werden, dass der Cloud-Nutzer regelmäßig für diejenigen personenbezogenen Daten als Verantwortlicher anzusehen ist, die er oder ihm zurechenbare Personen in die Cloud übertragen. Dies betrifft die Inhalts- und Anwendungsdaten des Cloud-Nutzers. Der Cloud-Anbieter wird für diejenigen Datenverarbeitungsvorgänge verantwortlich sein, die er vornimmt, um den Cloud-Dienst zu erbringen und um dessen Nutzung und Abrechnung zu ermöglichen. In der Regel betrifft dies Bestands- und Nutzungsdaten.

 

Verantwortlichkeit zwischen Cloud-Anbieter und Subauftragsverarbeitern
Häufig setzen Cloud-Anbieter Subauftragsverarbeiter ein, um ihren Cloud-Dienst zu erbringen. Setzen die zu zertifizierenden Datenverarbeitungsvorgänge eines Cloud-Dienstes auf nicht-anbietereigene Plattformen oder Infrastrukturen auf oder setzt der Auftragsverarbeiter sonstige Subauftragsverarbeiter ein, so kann sich das Zertifikat nur auf diejenigen Datenverarbeitungsvorgänge beziehen, die im Verantwortungsbereich des jeweiligen Auftragsverarbeiters liegen. Der Auftragsverarbeiter muss sich jedoch als Hauptauftragsverarbeiter davon überzeugen, dass auch diese fremden von ihm genutzten Plattformen, Infrastrukturen und Subauftragsverarbeiter die für sie relevanten datenschutzrechtlichen Vorschriften einhalten und darf nur solche für die Erbringung seines Dienstes einsetzen. Der Cloud-Anbieter muss dafür Sorge tragen, dass von allen Subauftragsverarbeitern die einschlägigen Vorschriften der Datenschutz-Grundverordnung eingehalten werden. Ein Cloud-Anbieter darf daher nur solche Subauftragsverarbeiter auswählen, die gemäß Art. 28 Abs. 1 DSGVO ebenfalls „geeignete Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Personen gewährleistet“. Subauftragsverarbeiter können die geforderten geeigneten Garantien ihrerseits beispielsweise durch ein datenschutzspezifisches Zertifikat oder durch die Befolgung von anerkannten Verhaltensregeln (‚Code of Conduct‘) gemäß Art. 40 DSGVO erbringen.

 

Ist ein Cloud-Anbieter selbst Teil eines Cloud-Dienstes, der aus mehreren Datenverarbeitungsvorgängen besteht, wird er im Allgemeinen auch nur seinen klar abgegrenzten Datenverarbeitungsvorgang, für den er verantwortlich ist, zertifizieren lassen. Wichtig dabei ist, dass eine solche „Domänenzertifizierung“ eine Anerkennung im Rahmen von übergeordneten Zertifizierungsverfahren ermöglicht.


3. Vorgehen zur Bestimmung des Zertifizierungsgegenstands

Zur Festlegung des Zertifizierungsgegenstands kann folgendermaßen vorgegangen werden: Zunächst sollte eine vollständige Datenflussanalyse der Anwendung mit allen an der Verarbeitung personenbezogener Daten beteiligten Akteuren wie beispielsweise auch der Subauftragsverarbeiter erstellt und sodann bestimmt werden, welche Datenverarbeitungsschritte dem erweiterten Verantwortungsbereich des Cloud-Anbieters zuzuordnen sind. Hierbei ist auch eindeutig darzulegen, wie die Zugriffsmöglichkeiten der Cloud-Nutzer und des Cloud-Anbieters selbst in den jeweiligen Datenvorgängen ausgestaltet sind. Diese internen Datenverarbeitungsschritte und -schnittstellen sind vollständig zu erfassen.

 

Auch Schnittstellen zu anderen Datenverarbeitungsvorgängen oder Diensten müssen bedacht und beschrieben werden. Selbst in dem Fall, in dem beispielsweise nur einzelne Verarbeitungsvorgänge eines Dienstes zertifiziert werden sollen, ein Dienst aber aus mehreren Verarbeitungsvorgängen besteht, können Verarbeitungsvorgänge nur dann aus dem Zertifizierungsgegenstand herausgenommen werden, wenn sie keine direkten Verbindungen mit den zu zertifizierenden Verarbeitungsvorgängen haben. Auch in diesem Fall sind jedoch die Verbindungen der jeweiligen Verarbeitungsvorgänge zu beschreiben, um sie klar zu unterscheiden und eventuelle Datenflüsse zwischen diesen zu identifizieren.


Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., & Teigeler, H. (2019)
AUDITOR-Zertifizierungsgegen-stand: Kurzfassung – Entwurfsfassung 0.4.; 24.07.2019
https://www.auditor-cert.de/publikationen/

 

cyber security

 

Cyber Security

Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

08/2019

 

Das AUDITOR-Schutzklassenkonzept (Kriterienkatalog)

 

1 Die Datenschutz-Zertifizierung

Ein zentrales Element des AUDITOR-Zertifizierungsverfahrens bildet der Kriterienkatalog. Dieser überführt die normativen Anforderungen der Datenschutz-Grundverordnung und des Bundesdatenschutzgesetzes in prüffähige Kriterien für Datenverarbeitungsvorgänge im Kontext von Cloud-Diensten. Schwerpunktmäßig adressiert der Kriterienkatalog Cloud-Anbieter in ihrer Funktion als Auftragsverarbeiter gemäß Art. 4 Nr. 8 DSGVO. Weiterhin adressiert der Kriterienkatalog Datenverarbeitungsvorgänge, die der Cloud-Anbieter als Verantwortlicher vornimmt, um den Vertrag mit dem Cloud-Nutzer über die Bereitstellung des Cloud-Dienstes schließen und durchführen zu können sowie um rechtliche Pflichten zu erfüllen.

 

Der Kriterienkatalog nimmt bei einigen Kriterien eine Unterscheidung nach Schutzklassen vor und legt für diese unterschiedliche Anforderungen fest, die erfüllt werden müssen. Schutzklassen stellen bei der Datenschutz-Zertifizierung ein wichtiges Instrument dar, da mit ihnen der individuelle Schutzbedarf von Datenverarbeitungsvorgängen und dessen Erfüllung durch zertifizierte Cloud-Dienste ausgedrückt werden kann. Die Grundlagen und Ausgestaltungen der Schutzklassen werden in diesem Schutzklassenkonzept beschrieben.

 

Den Zertifizierungsgegenstand der AUDITOR-Zertifizierung bilden Datenverarbeitungsvorgänge im Kontext von Cloud Computing, die in Produkten oder Diensten oder mit Hilfe von (auch mehreren) Produkten oder Diensten erbracht werden. Da Datenverarbeitungsvorgänge oder Bündel von Datenverarbeitungsvorgängen regelmäßig in Form von Diensten vorliegen, wird in diesem Dokument häufig der Ausdruck „Zertifizierung von Cloud-Diensten“ verwendet. Dies ändert jedoch nichts daran, dass mit diesem Ausdruck stets die Zertifizierung von Datenverarbeitungsvorgängen im Kontext von Cloud Computing gemeint ist, da Art. 42 Abs. 1 Satz 1 DSGVO Datenverarbeitungsvorgänge als Zertifizierungsgegenstand festlegt.

 

Gemäß Art. 28 Abs. 1 DSGVO darf der Cloud-Nutzer als Verantwortlicher der Datenverarbeitung nur solche Cloud-Anbieter als Auftragsverarbeiter einsetzen, „die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt […]“. Art. 28 Abs. 5 DSGVO bestimmt, dass Verantwortliche erfolgreich durchlaufene genehmigte Zertifizierungsverfahren von Auftragsverarbeitern als „Faktor“ dafür heranziehen können, dass der Auftragsverarbeiter die hinreichenden Garantien gemäß Art. 28 Abs. 1 DSGVO bietet.

 

Hat der Cloud-Anbieter ein genehmigtes Zertifizierungsverfahren durchlaufen und die für ihn maßgeblichen Kriterien erfüllt, erhält er von der die Zertifizierung durchführenden akkreditierten Zertifizierungsstelle ein Zertifikat. Der Cloud-Nutzer darf in diesen Fall darauf vertrauen, dass der zertifizierte Cloud-Dienst datenschutzkonform angeboten wird und muss nicht selbst die technischen und organisatorischen Maßnahmen des ausgewählten Cloud-Anbieters prüfen und sich von diesen überzeugen.


2 Berücksichtigung individueller Datenschutz- und Datensicherheitsanforderungen durch Schutzklassen

2.1 Zertifizierung und risikobasierter Ansatz für technische und organisatorische Maßnahmen bei Datenschutz und Datensicherheit
Ein AUDITOR-Zertifikat informiert Cloud-Nutzer darüber, ob ein Cloud-Anbieter bei seinem angebotenen Cloud-Dienst alle normativen Anforderungen erfüllt, die die Datenschutz-Grundverordnung und das Bundesdatenschutzgesetz an diesen stellen. Ein wesentliches Element der gesetzlichen Anforderungen sind die vom Cloud-Anbieter zu erbringenden technischen und organisatorischen Maßnahmen zur Einhaltung der zentralen datenschutzrechtlichen Grundsätze aus Art. 5 Abs. 1 DSGVO.

 

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder hat im Standard-Datenschutzmodell für Anforderungen an eine rechtskonforme Datenverarbeitung, die aus dem Datenschutzrecht resultieren und die durch technische und organisatorische Maßnahmen gewährleistet werden können und müssen, sogenannte Gewährleistungsziele formuliert. Diese sind: Datenminimierung, Verfügbarkeit, Integrität, Vertraulichkeit, Nichtverkettung, Transparenz und Intervenierbarkeit.

 

Die technischen und organisatorischen Maßnahmen, die im Anwendungsfall von AUDITOR von den Cloud-Anbietern zur Erfüllung der Gewährleistungsziele ergriffen werden müssen, werden durch die Datenschutz-Grundverordnung in keiner allgemeingültigen und absoluten Form vorgeschrieben. Vielmehr fordert der in den Art. 24, 25 und 32 DSGVO niedergelegte sogenannte risikobasierte Ansatz, dass die Maßnahmen immer entsprechend der konkreten Umstände der Verarbeitung und der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten der betroffenen Personen ausgewählt werden müssen. Konkret schreibt die Datenschutz-Grundverordnung beispielsweise bei der Sicherheit der Verarbeitung in Art. 32 Abs. 1 DSGVO vor, dass die Anforderungen an die technischen und organisatorischen Maßnahmen und damit auch der Grad der zu erreichenden Zuverlässigkeit dieser Maßnahmen unter „Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen“ zu bestimmen sind. Die Maßnahmen müssen demnach „ein dem Risiko angemessenes Schutzniveau“ gewährleisten.


2.2 Das Schutzklassenkonzept
Das Schutzniveau wird im Schutzklassenkonzept durch unterschiedliche „Schutzklassen“ ausgedrückt. Der Cloud-Nutzer eines Cloud-Dienstes kann den individuellen Schutzbedarf seiner Datenverarbeitungsvorgänge in die entsprechende Schutzklasse einordnen und einen Cloud-Dienst wählen, dessen Datenschutz- und Datensicherheitsniveau der von ihm benötigten Schutzklasse entspricht. Die Schutzklasse eines Cloud-Dienstes kann der Cloud-Nutzer dem Zertifikat des Cloud-Anbieters entnehmen.

 

Die Schutzklasse nimmt eine Doppelfunktion ein: Zum einen beschreibt sie den Schutzbedarf der Datenverarbeitungsvorgänge. Zum anderen legt sie die Anforderungen an die technischen und organisatorischen Maßnahmen fest, die der Cloud-Anbieter erfüllen muss.

 

Um diese Doppelfunktion deutlich zu machen, wird bei der Schutzklasse zwischen zwei Komponenten unterschieden: den Schutzbedarfsklassen und den Schutzanforderungsklassen. Die Schutzbedarfsklasse beschreibt den Schutzbedarf für Datenverarbeitungsvorgänge anhand genereller Merkmale. Die Schutzanforderungsklasse beschreibt in allgemeiner Form die technischen und organisatorischen Anforderungen, die für Cloud-Dienste der betreffenden Klasse maßgeblich vom Cloud-Anbieter zu erfüllen sind. Für jede Schutzbedarfsklasse wird eine korrespondierende Schutzanforderungsklasse definiert.

 

Es ist dabei nicht erforderlich, jede gesetzliche Anforderung (in Gestalt der Kriterien des AUDITOR-Kriterienkatalogs) einer bestimmten Schutzanforderungsklasse zuzuordnen, da die nicht technisch-organisatorischen datenschutzrechtlichen Anforderungen an die Auftragsverarbeitung vom Schutzbedarf unabhängig sind. So stellt etwa die Pflicht des Cloud-Anbieters zur Unterstützung des Cloud-Nutzers bei der Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten gemäß Art. 28 Abs. 3 lit. e DSGVO eine gesetzliche Anforderung an die Auftragsverarbeitung dar, die jedoch vom Schutzbedarf des jeweiligen Datenverarbeitungsvorgangs unabhängig ist.

 

Unterschiedliche normative Anforderungen müssen jedoch dort formuliert werden, wo ein unterschiedlicher Schutzbedarf zu unterschiedlichen Anforderungen an technische und organisatorische Maßnahmen führt. Im Kriterienkatalog sind von der Schutzklasse abhängige Kriterien vor allem in Kapitel II, Nr. 2 bei der Gewährleistung der Datensicherheit formuliert worden.

 

Obwohl mit der Bildung von Schutzbedarfsklassen eine Generalisierung einhergeht, muss beim Schutzklassenkonzept gewährleistet werden, dass der individuelle Schutzbedarf der Datenverarbeitung durch die technischen und organisatorischen Anforderungen der betreffenden Schutzanforderungsklasse abgedeckt ist. Dies wird im Schutzklassenkonzept dadurch erreicht, dass die Schutzanforderungen so definiert werden, dass sie den höchsten individuellen Schutzbedarf in der jeweils korrespondierenden Schutzbedarfsklasse abdecken.

 

Damit wird gewährleistet, dass für alle individuellen Schutzbedarfe in der jeweiligen Schutzbedarfs-klasse hinreichende Schutzanforderungen gelten. Zugleich hat dies zur Folge, dass vielfach in den Schutzanforderungsklassen höhere Schutzanforderungen gestellt werden als es nach dem individuellen Schutzbedarf einer Datenverarbeitung nötig wäre. Der Cloud-Anbieter eines zertifizierten Cloud-Dienstes wird daher oft ein höheres Maß an Schutzanforderungen erfüllen als dies nach dem individuellen gesetzlichen Bedarf des Datenverarbeitungsvorganges erforderlich wäre.

 

2.3 Abbildung individuellen Schutzbedarfs durch Schutzbedarfsklassen
2.3.1 Anforderungen an Schutzbedarfsklassen
Voraussetzung der Zertifizierung nach Schutzklassen ist, dass jeder individuelle Schutzbedarf einer Schutzbedarfsklasse zuordenbar ist. Schutzbedarfsklassen werden daher so definiert, dass sie lückenlos jeden individuellen Schutzbedarf abdecken. Hierfür werden sie mit Merkmalen beschrieben, die den Schutzbedarf des konkreten Datenverarbeitungsvorgangs widerspiegeln. Die Beschreibung ermöglicht es dem Verantwortlichen einer Datenverarbeitung, den Schutzbedarf seiner Datenverarbeitung den Merkmalen der Schutzklasse zuzuordnen.

 

Für den Bereich der Datensicherheit wird der Schutzbedarf gemäß Art. 32 Abs. 1 DSGVO anhand mehrerer Faktoren bestimmt: Maßgeblich sind insbesondere die allgemeine Sensitivität der Daten nach ihrer Datenart, der Umfang der Datenverarbeitung, die Umstände und Zwecke der Datenverarbeitung sowie die Eintrittswahrscheinlichkeit und Schwere des Schadens für die Rechte und Freiheiten der betroffenen Personen. Gemäß Art. 32 Abs. 2 DSGVO sind „bei der Beurteilung des angemessenen Schutzniveaus […] insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden“. Bei der Bestimmung der Schutzbedarfsklasse ist daher immer die konkrete Verarbeitung zu betrachten. Da alle relevanten Umstände miteinzubeziehen sind und somit mitunter eine Vielzahl an Umständen, kann die Bestimmung des konkreten Schutzbedarfs kompliziert werden. Dies steht jedoch der Bildung von Schutzklassen nicht entgegen.

 

Verarbeitet beispielsweise ein Cloud-Nutzer Daten wie die Persönliche Identifikationsnummer oder die Transaktionsnummer im Online-Banking, so muss er sich insbesondere mit Angriffen Unbefugter, dem Missbrauch dieser Daten und den Wahrscheinlichkeiten dieser Vorkommnisse auseinandersetzen, weil diese Daten Zugang zu wirtschaftlichen Vorteilen bieten und daher in besonderem Maße Begehrlichkeiten wecken.

 

2.3.2 Schritte zur Ermittlung des Schutzbedarfs von Datenverarbeitungsvorgängen
Da eine lediglich allgemeine Beschreibung des Schutzbedarfs die Gefahr birgt, dass die Zuordnung des individuellen Schutzbedarfs zu einer Schutzbedarfsklasse allein von den Einschätzungen des jeweiligen Verantwortlichen abhängig und damit sehr subjektiv ist, was zu Rechtsunsicherheit führen und den Nutzen der Zertifizierung beeinträchtigen kann, enthält das Schutzklassenkonzept eine Systematik der Ermittlung des Schutzbedarfs.

 

Die Ermittlung des Schutzbedarfs obliegt immer dem Verantwortlichen einer Datenverarbeitung gemäß Art. 4 Nr. 7 DSGVO. Bei Datenverarbeitungsvorgängen mit Inhalts- und Anwendungsdaten, die in die Cloud übertragen und dort verarbeitet werden, ist der Cloud-Nutzer Verantwortlicher und hat daher den Schutzbedarf zu ermitteln. Bei Datenverarbeitungsvorgängen, die vom Cloud-Anbieter vorgenommen werden, um den Cloud-Dienst zu erbringen und um seine Nutzung und Abrechnung zu ermöglichen (Verarbeitung von Bestands- und Nutzungsdaten) oder um rechtliche Pflichten zu erfüllen, obliegt die Ermittlung des Schutzbedarfs dem Cloud-Anbieter.

 

Den Ausgangspunkt und ersten Schritt bildet der abstrakte Schutzbedarf anhand der Datenart. Es ist anerkannt, dass die Art der verarbeiteten Daten einen wesentlichen Einfluss auf den Schutzbedarf der Datenverarbeitung hat, da bestimmte Datenarten wie beispielsweise gesundheitsbezogene Daten einen wesentlich höheren Einfluss auf die Persönlichkeitsrechte der betroffenen Person haben als andere Datenarten.

 

In einem zweiten Schritt ist zu prüfen, ob schutzbedarfserhöhende Umstände vorliegen und ob der Schutzbedarf aufgrund dieser Umstände so stark zunimmt, dass eine Höherstufung in eine höhere
Schutzklasse erforderlich ist.

 

Die Höherstufung wird in der Regel eine Schutzbedarfsklasse betreffen. In manchen Fällen kommt aber auch eine Höherstufung um zwei Schutzbedarfsklassen in Betracht. Als Zwischenergebnis dieser Prüfung ist eine Einstufung des Datenverarbeitungsvorgangs in eine Schutzbedarfsklasse zu treffen.

 

Im dritten Schritt ist zu prüfen, ob schutzbedarfsmindernde Umstände vorliegen. Diese können dazu führen, dass der Datenverarbeitungsvorgang im Ergebnis einer niedrigeren Schutzbedarfsklasse zugeordnet wird, als dies nach dem Zwischenergebnis des zweiten Schritts der Fall wäre. Die Möglichkeit der Herabstufung ergibt sich aus der vom Gesetz geforderten Maßgeblichkeit aller Umstände des Einzelfalls. Ein Beispiel für einen Umstand, der den Schutzbedarf senkt, ist etwa die vorherige Verschlüsselung von Inhalts- und Anwendungsdaten durch den Cloud-Nutzer, bevor diese an den Cloud-Anbieter übermittelt und etwa in einem Host-Dienst gespeichert werden. Entsprechend der Heraufstufung des Schutzbedarfs im zweiten Schritt kann hier eine Herabstufung um eine odermehrere Schutzbedarfsklassen notwendig sein. Mit Abschluss des dritten Schritts ist die für die jeweilige Datenverarbeitung maßgebliche Schutzbedarfsklasse bestimmt.

 

Wenn in einem Cloud-Dienst mehrere Datenverarbeitungsvorgänge erfolgen sollen, muss der Dienst dem Schutzbedarf aller Datenverarbeitungsvorgänge gerecht werden. Daher ist für die Auswahl des Dienstes letztlich der höchste Schutzbedarf der verschiedenen Datenverarbeitungsvorgänge maßgeblich.

 

In der Praxis kann die Ermittlung der für einen Datenverarbeitungsvorgang maßgeblichen Schutzbedarfsklasse unter Umständen Schwierigkeiten bereiten. In diesen Fällen kann sich der Verantwortliche dadurch absichern, dass er in Zweifelsfällen die höhere Schutzbedarfsklasse wählt, um Risiken zu vermeiden.

 

2.4 Schutzanforderungsklassen für technische und organisatorische Maßnahmen
Entsprechend dem Ziel des Schutzklassenkonzepts müssen für jede Schutzbedarfsklasse korrespondierende Schutzanforderungen definiert werden, die den Schutzbedarf erfüllen und in den Schutzanforderungsklassen festgelegt werden.

 

Die Schutzanforderungen werden anhand abstrakter Merkmale beschrieben, damit sie durch verschiedene technische und organisatorische Maßnahmen erfüllt werden können. Bei der Gestaltung seines Cloud-Dienstes kann der Cloud-Anbieter die von ihm zu treffenden Maßnahmen im Hinblick auf die verschiedenen Schutzanforderungsklassen wählen. Im Rahmen der Zertifizierung des Cloud-Dienstes wird geprüft, ob die Maßnahmen die Anforderungen einer bestimmten Schutzanforderungsklasse erfüllen. Ist dies der Fall, wird das Zertifikat für die entsprechende Schutzklasse erteilt.

 

Die Anforderungen an die technischen und organisatorischen Maßnahmen lassen sich nicht im Wege eines Katalogs zuordnen. So ist es beispielsweise nicht möglich, im Rahmen des Zugangsschutzes den Schutzbedarf durch Passwort pauschal einer bestimmten Schutzanforderungsklasse zuzuordnen, da die Nutzung von Passwörtern je nach Ausgestaltung und den Umständen des Einzelfalls sehr unterschiedlichen Sicherheitsanforderungen genügen muss. Insoweit besteht ein erheblicher Interpretationsbedarf, der die Würdigung aller Umstände der konkreten Ausgestaltung des Dienstes einschließt. Diese Wertung wird bei der Zertifizierung im Rahmen der Prüfung vorgenommen. Daher ist es erforderlich, dass die Prüfung und Zertifizierung von qualifizierten Prüfern und akkreditierten Zertifizierungsstellen vorgenommen wird.

 

Wie bei den Schutzbedarfsklassen gilt es auch bei den Schutzanforderungsklassen zu beachten, dass nicht für jede gesetzliche Anforderung an die Auftragsverarbeitung eine Differenzierung nach Schutzanforderungsklassen erforderlich ist, weil gesetzliche Anforderungen häufig vom Schutzbedarf unabhängig sind.

 

2.5 Anzahl der Schutzklassen
Das AUDITOR-Schutzklassenkonzept umfasst drei Schutzklassen. Für diese werden jeweils Schutzbedarfe (Schutzbedarfsklassen) und Schutzanforderungen (Schutzanforderungsklassen) beschrieben.

 

Es werden drei Schutzklassen gebildet, weil sich für diese Anzahl hinreichend unterschiedliche Anforderungen definieren lassen und eine stärkere Differenzierung zu große Schwierigkeiten bei der eindeutigen Zuordnung von Maßnahmen zu Schutzanforderungsklassenbereiten würde. Die Unterscheidung von drei Schutzklassen stellt wiederum das Mindestmaß an Differenzierung dar, weil bei nur zwei Schutzklassen die Gefahr besteht, dass in vielen Fällen Anforderungen erfüllt werden müssten, die erheblich über dem individuellen Schutzbedarf liegen und damit Kosten entstehen, die in Anbetracht des tatsächlich bestehenden Schutzbedarfs nicht geboten sind. Mit drei Schutzklassen wird die Zertifizierung für Cloud-Anbieter und Cloud-Nutzer handhabbar gemacht, weil die Zuordnung eines individuellen Schutzbedarfs oder einer Schutzmaßnahme zu einer Schutzklasse einfach und eindeutig ermöglicht wird.

 

Datenverarbeitungsvorgänge, die keine Aussagen über persönliche oder sachliche Verhältnisse natürlicher Personen enthalten, erzeugen, unterstützen oder solche ermöglichen, weisen keinen datenschutzrechtlichen Schutzbedarf auf. Da keine personenbezogenen Daten verarbeitet werden, liegen diese Datenverarbeitungsvorgänge unterhalb von Schutzklasse 1, weshalb sie aus dem Schutzklassenkonzept herausfallen.

 

Beispiel: Der Cloud-Nutzer möchte reine Wetterdaten, wirksam anonymisierte Daten oder synthetisch erzeugte Testdaten („Max Mustermann“) verarbeiten.

 

Auch Datenverarbeitungsvorgänge mit extrem hohem Schutzbedarf (oberhalb von Schutzbedarfsklasse fallen aus dem Schutzklassenkonzept und der AUDITOR-Zertifizierung heraus. Ein extrem hoher Schutzbedarf liegt vor, wenn die Datenverarbeitungsvorgänge aufgrund der verwendeten Daten oder der konkreten Verarbeitung dieser Daten eine erhebliche Aussagekraft über die Persönlichkeit oder Lebensumstände der betroffenen Person haben, unterstützen oder zu einer solchen führen können oder sonst für die Verhältnisse der betroffenen Person von erheblicher Bedeutung sind und die unbefugte Verarbeitung dieser Daten zu einer konkreten Gefahr für eine wesentliche Beeinträchtigung von Leben, Gesundheit oder Freiheit der betroffenen Person führen würde.

 

Beispiel: Der Cloud-Nutzer möchte die Daten von V-Leuten des Verfassungsschutzes oder Daten über Personen, die mögliche Opfer von strafbaren Handlungen sein können, speichern. Die unbefugte Offenlegung dieser Daten kann zur Gefahr für Leib und Leben der betroffenen Personen führen.

 

Auch Datenverarbeitungsvorgänge mit individuell stark divergierenden Umständen werden in dem Schutzklassenkonzept und der AUDITOR-Zertifizierung nicht betrachtet, weil sie der Generalisierung, die mit dem Schutzklassenkonzept einhergeht, nicht zugänglich sind.

 

Weisen Datenverarbeitungsvorgänge extrem hohen Schutzbedarf oder stark divergierende Umstände auf, muss der Cloud-Nutzer, der seine Datenverarbeitung an einen Cloud-Anbieter im Rahmen einer Auftragsverarbeitung auslagern möchte, in diesen Fällen selbst eine Risikoanalyse vornehmen und aufgrund dieser Analyse insbesondere die Anforderungen an die technischen und organisatorischen Maßnahmen des Cloud-Anbieters feststellen und sich von der Erfüllung der Anforderungen beim Cloud-Anbieter überzeugen, da das AUDITOR-Zertifikat nur für die Schutzklassen 1, 2 und 3 vergeben wird.

 

2.6 Die Anwendung des Schutzklassenkonzepts bei der Zertifizierung und Nutzung von Cloud-Diensten
Die Anwendung des Schutzklassenkonzepts bei der Zertifizierung und Nutzung eines zertifizierten Cloud-Dienstes führt zu einer differenzierten Aufgabenverteilung zwischen dem Cloud-Anbieter und dem Cloud-Nutzer sowie der akkreditierten Zertifizierungsstelle.

 

Der Cloud-Nutzer ordnet den Schutzbedarf seiner konkreten Datenverarbeitungsvorgänge einer bestimmten Schutzbedarfsklasse zu. Er ermittelt den Schutzbedarf hierbei anhand der dargestellten drei Schritte und kann auf dieser Grundlage einen Cloud-Dienst wählen, der für die betreffende Schutzklasse zertifiziert ist.

 

Der Cloud-Anbieter gewährleistet bei der Verarbeitung von Daten eine bestimmte Schutzbedarfsklasse und beantragt eine Zertifizierung für die korrespondierende Schutzanforderungsklasse. Bei Datenverarbeitungsvorgängen, die der Cloud-Anbieter vornimmt, um den Vertrag mit dem Cloud-Nutzer über die Bereitstellung des Cloud-Dienstes schließen und diesen durchführen zu können oder um rechtliche Pflichten zu erfüllen, ist der Cloud-Anbieter auch für die Bestimmung der Schutzbedarfsklasse zuständig.

 

Die akkreditierte Zertifizierungsstelle ordnet den Cloud-Dienst – auf der Grundlage der im Rahmen des Zertifizierungsverfahrens erfolgten Prüfung – anhand der konkreten technischen und organisatorischen Maßnahmen einer bestimmten Schutzklasse zu. Im Zertifikat wird die Eignung des Cloud-Dienstes für eine konkrete Schutzanforderungsklasse zum Ausdruck gebracht.


3 Schutzklassen

Im Folgenden werden die Schutzbedarfsklassen definiert und durch Beispiele erläutert (3.1) Anschließend wird die Zuordnung des Schutzbedarfs eines Datenverarbeitungsvorgangs zu einer Schutzbedarfsklasse anhand des dreischrittigen Verfahrens dargestellt (3.2). Dabei werden zunächst die abstrakten Schutzbedarfsklassen nach der jeweiligen Datenart definiert (3.2.1) und sodann Faktoren vorgestellt, die zu einer Heraufstufung (3.2.2) oder zu einer Absenkung des Schutzbedarfs (3.2.3) führen. Abschließend werden die Schutzanforderungsklassen beschrieben (3.3).

 

3.1 Schutzbedarfsklassen
3.1.1 Schutzbedarfsklasse 1
Jede Verarbeitung personenbezogener Daten stellt einen Eingriff in die Grundrechte der betroffenen Person dar. Aus diesem Grund wird davon ausgegangen, dass jede Verarbeitung personenbezogener
Daten mindestens einen normalen Schutzbedarf aufweist.

 

In Schutzbedarfsklasse 1 fallen alle Datenverarbeitungsvorgänge, die durch die einbezogenen Daten und die konkrete Verarbeitung dieser Daten Aussagen über die persönlichen oder sachlichen Verhältnisse der betroffenen Person enthalten, erzeugen, unterstützen oder solche ermöglichen. Die unbefugte Verwendung dieser Daten kann von der betroffenen Person leicht durch Aktivitäten verhindert oder abgestellt werden oder lässt keine besonderen Beeinträchtigungen erwarten.

 

Hinweis: Damit die betroffene Person gegen Datenverarbeitungen vorgehen kann, muss sie Auskunft über die Datenverarbeitung erhalten und ihre übrigen Betroffenenrechte aus den Art. 17-22 DSGVO ausüben können. Wie einfach Betroffenenrechte ausgeübt werden können, hängt in großem Maße von der konkreten Ausgestaltung des Cloud-Dienstes ab.

 

Beispiel: Der Cloud-Nutzer möchte die Adressdaten seiner Vertragspartner speichern und verwalten. Dieser Datenverarbeitungsvorgang enthält aufgrund der Art der Daten (Name, Geschlecht, Anschrift) und der Verarbeitung Aussagen über die persönlichen Verhältnisse der Vertragspartner.

 

3.1.2 Schutzbedarfsklasse 2
Datenverarbeitungsvorgänge, die aufgrund der verwendeten Daten oder der konkreten Verarbeitung dieser Daten eine Aussagekraft über die Persönlichkeit oder die Lebensumstände der betroffenen Person haben, unterstützen oder zu einer solchen führen können oder sonst für die Verhältnisse der betroffenen Person von Bedeutung sind. Die unbefugte Verarbeitung solcher Daten kann zu Beeinträchtigungen der betroffenen Person in ihrer gesellschaftlichen Stellung oder ihren wirtschaftlichen Verhältnissen führen („Ansehen“). Weiterhin ist bei Daten, die der Gesetzgeber als besonders schutzwürdig in Art. 9 Abs. 1 DSGVO ausgewiesen hat, von einem hohen Schutzbedarf auszugehen.

 

Beispiel: Der Cloud-Nutzer (Arbeitgeber) möchte den Grad der Behinderung von betroffenen Mitarbeitern im Betrieb verarbeiten. Dieser Datenverarbeitungsvorgang enthält aufgrund der Art der Daten und der Verarbeitung Aussagen über die Gesundheit der Mitarbeiter und weist daher einen hohen Schutzbedarf auf.

 

3.1.3 Schutzbedarfsklasse 3
Datenverarbeitungsvorgänge, die aufgrund der verwendeten Daten oder der konkreten Verarbeitung dieser Daten eine erhebliche Aussagekraft über die Persönlichkeit oder die Lebensumstände einer betroffenen Person haben, unterstützen oder zu einer solchen führen können oder sonst für die Verhältnisse der betroffenen Person von erheblicher Bedeutung sind. Die unbefugte Verarbeitung solcher Daten kann zu erheblichen Nachteilen für die betroffene Person hinsichtlich ihrer gesellschaftlichen Stellung und ihren wirtschaftlichen Verhältnissen führen („Existenz“).

 

Beispiel: Der Cloud-Nutzer ist Rechtsanwalt und möchte Mandantendaten, die dem Mandantengeheimnis überliegen, verarbeiten.

 

3.2 Ermittlung des Schutzbedarfs
Die Festlegung des Schutzbedarfs für Inhalts- und Anwendungsdaten obliegt dem Cloud-Nutzer. Bei Datenverarbeitungsvorgängen, für die der Cloud-Anbieter als Verantwortlicher agiert, übernimmt er auch die Ermittlung des Schutzbedarfs. Der Schutzbedarf wird immer in einem dreischrittigen Verfahren ermittelt:

  • Im 1. Schritt wird der abstrakte Schutzbedarf der zu verarbeitenden Daten nach der Datenart bestimmt.
  • Im 2. Schritt ist zu prüfen, ob sich der Schutzbedarf aufgrund der konkreten Verwendung der Daten erhöht.
  • Im 3. Schritt ist zu prüfen, ob der Schutzbedarf aufgrund konkreter Umstände sinkt.

 

Im Ergebnis wird der Schutzbedarf der konkreten Datenverarbeitung nach den Schutzbedarfsklassen kategorisiert.

 

3.2.1 Schutzbedarfsklassen nach Datenart (Schritt 1)
Im 1. Schritt wird zunächst der abstrakte Schutzbedarf der zu verarbeitenden Daten nach der Datenart bestimmt.

 

3.2.1.1 Datenarten mit normalem Schutzbedarf (Schutzbedarfsklasse 1)
Personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO, d.h. alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen und bei denen keine besonderen Beeinträchtigungen für die Persönlichkeitsrechte der betroffenen Personen zu erwarten sind.

 

Nicht abschließende Beispiele für Daten (ohne Verarbeitungskontext, soweit nicht Schutzbedarfsklasse 2 oder 3):

  • Name;
  • Geschlecht;
  • Anschrift;
  • Beruf;
  • Geburtsjahr;
  • Titel;
  • Adressbuchangaben;
  • Telefonverzeichnisse;
  • Staatsangehörigkeit;
  • Telefonnummer einer natürlichen Person.

 

3.2.1.2 Datenarten mit hohem Schutzbedarf (Schutzbedarfsklasse 2)
Daten, die eine spezifische Aussagekraft über die Persönlichkeit oder die Lebensumstände der betroffenen Person haben oder sonst für die Verhältnisse der betroffenen Person von Bedeutung sind. Die unbefugte Verarbeitung solcher Daten kann zu Beeinträchtigungen der betroffenen Person in ihrer gesellschaftlichen Stellung oder ihren wirtschaftlichen Verhältnissen führen („Ansehen“).

 

In die Schutzbedarfsklasse 2 fallen auch Datenarten, die der Gesetzgeber als besonders schutzwürdig in Art. 9 Abs. 1 DSGVO ausgewiesen hat.

 

Nicht abschließende Beispiele für Daten (ohne Verarbeitungskontext, soweit nicht Schutzbedarfsklasse 3):

  • Name, Anschrift eines Vertragspartners;
  • Geburtsdatum;
  • Familienstand;
  • verwandtschaftliche Beziehungen und Bekanntenkreis;
  • Daten über Geschäfts- und Vertragsbeziehungen;
  • Kontext zu einem Vertragspartner (z.B. Gegenstand einer vereinbarten Leistung);
  • Verarbeitungen nicht veränderbarer Personendaten, die lebenslang als Anker für Profilbildungen dienen können wie genetische Daten i.S.v. Art. 4 Nr. 13 DSGVO oder biometrische Daten i.S.v. Art. 4 Nr. 14 DSGVO;
  • Daten über die rassische und ethnische Herkunft;
  • Daten über politische Meinungen;
  • Religiöse oder weltanschauliche Überzeugungen;
  • Gewerkschaftsangehörigkeit;
  • Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person;
  • Verarbeitungen eindeutig identifizierender, hoch verknüpfbarer Daten wie Krankenversichertennummern oder Steuernummern;
  • Daten, die mögliche Auswirkungen auf das Ansehen/die Reputation der betroffenen Person haben;
  • Daten über den geschützten inneren Lebensbereich der betroffenen Person (z.B. Tagebücher);
  • Gesundheitsdaten i.S.v. Art. 4 Nr. 15 DSGVO;
  • Grad der Behinderung;
  • Verarbeitung von Daten mit inhärenter Intransparenz für die betroffene Person (Schätzwerte beim Scoring, Anwendung von Algorithmen);
  • Einkommen;
  • Sozialleistungen; Steuern;
  • Ordnungswidrigkeiten;
  • Daten über Mietverhältnisse;
  • Patientenverwaltungsdaten (mit Ausnahme von besonders sensiblen Diagnosedaten und dergleichen);
  • Arbeitszeitzeitdaten;
  • Mitgliederverzeichnisse;
  • Melderegister;
  • Zeugnisse und Prüfungsergebnisse;
  • Versicherungsdaten;
  • Personalverwaltungsdaten aus Beschäftigungsverhältnissen (mit Ausnahme von dienstlichen Beurteilungen und beruflicher Laufbahn);
  • Verkehrsordnungswidrigkeiten;
  • einfache Bewertungen von eher geringer Bedeutung (z.B. Ja/Nein-Entscheidung bei Einstufung im Mobilfunkvertrag etc.);
  • Zugangsdaten zu einem Dienst;
  • Kommunikationsinhalte einer Person (z.B. E-Mail-Inhaltsdaten, Brief, Telefonat);
  • (genauer) Aufenthaltsort einer Person;
  • Finanzdaten einer Person (z.B. Kontostand, Kreditkartennummer, einzelne Zahlung);
  • Kreditauskünfte;
  • Verkehrsdaten der Telekommunikation.

 

Hinweis: Kommunikationsinhalte, insbesondere Schrift- oder Sprachaufzeichnungen jeder Art, können sehr unterschiedlichen Schutzbedarf, von niedrig bis sehr hoch aufweisen. Die Festlegung des Schutzbedarfs erfordert eine objektive Bewertung, in der das Ausmaß des Risikos der Datenverarbeitung beurteilt wird. Sofern der Cloud-Nutzer keine Kenntnis vom subjektiven Schutzbedarf der Kommunizierenden hat (Beispiel: allgemeiner Kollaborations-Service mit Datenablage, Videokonferenz und Mailfunkstation) oder seine Dienste für besonders schutzbedürftige Kommunikation anbietet (Beispiel: Konferenzservice für Rechtsanwälte und Mandanten, hier: Schutzklasse 3) darf er von der Schutzbedarfsklasse 2 ausgehen.

 

3.2.1.3 Datenarten mit sehr hohem Schutzbedarf (Schutzbedarfsklasse 3)
Daten, die eine erhebliche Aussagekraft über die Persönlichkeit oder die Lebensumstände einer betroffenen Person haben oder sonst für die Verhältnisse der betroffenen Person von erheblicher Bedeutung sind, weil sie beispielsweise von der Entscheidung oder Leistung des Datenverarbeiters unmittelbar existentiell abhängig ist. Die unbefugte Verarbeitung solcher Daten kann zu erheblichen Nachteilen für die betroffene Person hinsichtlich ihrer gesellschaftlichen Stellung und ihren wirtschaftlichen Verhältnissen führen („Existenz“).

 

Hinweis: Als Datenarten in diesem Sinne werden auch Datenmehrheiten, insbesondere verkettete Daten (z.B. Persönlichkeitsprofile) angesehen, aus denen sich ein neuer Informationsgehalt ergibt.

 

Nicht abschließende Beispiele für Daten mit sehr hohem Schutzbedarf:

  • Daten, die einem Berufs-, Geschäfts-, Fernmelde- oder Mandantengeheimnis unterliegen (z.B. Patientendaten, Mandantendaten);
  • Daten, deren Kenntnis eine erhebliche konkrete Schädigung der betroffenen Person oder Dritter ermöglicht (z.B. Persönliche Identifikationsnummer, Transaktionsnummer im Online-Banking);
  • Schulden;
  • besonders sensitive Sozialdaten;
  • Pfändungen;
  • Personalverwaltungsdaten wie dienstliche Beurteilungen, berufliche Laufbahn und dergleichen, soweit nicht Schutzbedarfsklasse 2;
  • Daten über Vorstrafen und strafprozessuale Verhältnisse (z.B. Ermittlungsverfahren) einer Person und entsprechende Verdachtsmomente; Straffälligkeit;
  • Besonders sensitive Gesundheitsdaten i.S.v. Art. 4 Nr. 15 DSGVO wie z.B. zu Krankheiten, deren Bekanntwerden der betroffenen Person in besonderem Maße unangenehm sind oder zu einer gesellschaftlichen der betroffenen Person führen können;
  • Persönlichkeitsprofile, z.B. Bewegungsprofil, Beziehungsprofil, Interessenprofil, Kaufverhaltensprofil, mit erheblicher Aussagekraft über die Persönlichkeit der betroffenen Person.

 

3.2.2 Höherstufung (Schritt 2)
Der Schutzbedarf einer Datenverarbeitung kann sich aufgrund verschiedener Umstände erhöhen, wenn durch die Umstände eine stärkere Beeinträchtigung der Persönlichkeitsrechte der betroffenen Person zu erwarten ist. In diesem Fall ist die Einstufung in eine höhere Schutzbedarfsklasse vorzunehmen.

 

Weiterhin gilt zu beachten, dass in dem Fall, in dem sich aufgrund der unten aufgeführten Umstände der Schutzbedarf erhöht, sich auch regelmäßig das Missbrauchsrisiko erhöhen wird, da sich dieses nicht allein nach der Art der Daten, sondern auch nach den Umständen der Datenverarbeitung bestimmt.

 

Beispiel: Die Speicherung einer großen Menge an Kreditkartendaten an einer Stelle kann diese Daten zu einem lohnenden Angriffsziel für Kriminelle machen, sodass durch den Umstand, dass Daten in großer Menge verarbeitet werden, das Missbrauchsrisiko steigt. Schließlich ist der Zugriff auf eine große Menge an Kreditkartendaten für Kriminelle „lohnender“ ist als nur der Zugriff auf wenige Daten. Die Gefährdung für alle gespeicherten Kreditkartendaten steigt.

 

Umstände, die zur Höherstufung führen können, sind insbesondere:

  • Verwendungskontext von Daten;
  • Verkettung von Daten;
  • Menge der Daten;
  • Anzahl betroffener Personen;
  • Kumulierung vieler Rechte;
  • automatisierte Entscheidungsfindung;
  • Einsatz von hochkomplexer und stark miteinander vernetzter Technik;
  • keine Kontrollmöglichkeiten für betroffene Personen.

 

→ Verwendungskontext von Daten
Der Verwendungskontext von Daten kann zu höherem Schutzbedarf führen, soweit damit eine erheblich erhöhte Aussagekraft der Daten über die Persönlichkeit der betroffenen Person einhergeht oder die unberechtigte Verwendung konkrete Nachteile für die betroffene Person haben kann.

 

Beispiel: Die Verwendung des Namens in einem (allgemeinen) Telefonbuch begründet regelmäßig keine gesteigerte Aussagekraft. Die Verwendung in der Patientenliste eines Arztes durchaus, unter Umständen sogar erheblich.

 

Beispiele für schutzbedarfserhöhende Verwendungskontexte sind:
– Datenart: Name, Anschrift;
– Verwendungskontext: Führungszeugnis; Täterlichtbilddatei, Strafakte, Beschäftigtenscreening, Personalakte.

 

→ Verkettung von Daten
Die Verkettung von Daten bezeichnet die Verknüpfung von Daten mit anderen Daten, um dadurch neue Aussagen zu gewinnen. Die Verkettung kann zu höherem Schutzbedarf führen, soweit mit dieser eine erheblich erhöhte Aussagekraft der Daten über die Persönlichkeit der betroffenen Person einhergeht. Dies gilt auch dann, wenn ein Datum mit anderen Daten derselben oder einer niedrigeren Schutzbedarfsklasse verknüpft wird.

 

Beispiel: Die Verknüpfung von Daten über den Kauf von Produkten (Schutzbedarfsklasse 2) und ggf. weiterer Daten derselben oder anderer Art, etwa Aufenthaltsort (Schutzbedarfsklasse 2), kann je nach Anzahl der Daten zu einem genauen Persönlichkeitsprofil führen. Ein solches Persönlichkeitsprofil kann in Schutzbedarfsklasse 3 einzustufen sein.

 

Beispiele für schutzbedarfserhöhende Verkettbarkeit von Daten sind:
– Aufenthaltsortdaten, die konkret zu einem Bewegungsprofil zusammengeführt werden können (die Zusammenführung ist in der konkreten Situation möglich und naheliegend).

 

→ Menge von Daten
Schon aufgrund der schieren Menge an Daten kann ein gesteigertes Interesse an unbefugter Verarbeitung von Daten bestehen, sodass eine höhere Gefahr der unbefugten Verarbeitung auch in Bezug auf jedes einzelne Datum besteht. Der Schutzbedarf von Daten kann sich daher erhöhen, wenn sie in großer Menge verarbeitet werden.

 

Beispiel: Die Speicherung einer großen Menge an Kreditkartendaten an einer Stelle kann diese Daten zu einem lohnenden Angriffsziel für Kriminelle machen, so dass die Wahrscheinlichkeit eines Angriffs steigt. Damit steigt die Gefährdung für alle dort gespeicherten Kreditkartendaten.

 

Beispiele für schutzbedarfserhöhende Zusammenfassung von Daten sind:
– Sammlung großer Mengen Bank- und Kreditkartendaten.
– Sammlung von Daten aus Videoüberwachungsanlagen

 

→ Anzahl betroffener Personen
Häufig geht mit einer großen Menge an Daten auch eine große Anzahl an betroffenen Personen einher. Schutzerhöhend kann sich jedoch auch auswirken, wenn zwar keine großen Datenmengen verarbeitet werden, aber von der Verarbeitung eine große Anzahl Personen betroffen ist.

 

→ Kumulierung vieler Rechte
Weiterhin kann sich der Schutzbedarf von Daten erhöhen, wenn diese von Personen verarbeitet wer-den, die zu verschiedenen Zwecken unterschiedliche Rollen mit unterschiedlichen Rechten wahrneh-men und somit das Ausmaß der Verfügungsgewalt über die Daten bei diesen Personen steigt.

 

Beispiel: Der Administrator eines Online-Dienstes bekommt aufgrund der Vielzahl seiner Rechte ein umfassendes Bild von der betroffenen Person, deren Daten er administriert.

 

→ Automatisierte Entscheidungsfindung
Der Schutzbedarf von Daten kann sich zudem erhöhen, wenn die Verarbeitung von Daten zu einer automatisierten Entscheidungsfindung führen soll, die gegenüber der betroffenen Person eine rechtliche Wirkung entfaltet oder die die betroffene Person in ähnlicher Weise erheblich beeinträchtigt, ohne dass die betroffene Person Einfluss auf die Entscheidung ausüben kann.

 

Beispiel: Die Vorauswahl der Bewerber für die Besetzung einer ausgeschriebenen Stelle wird automatisiert durch Algorithmen vorgenommen, ohne dass ein Personalsachbearbeiter die Auswahl überprüft.

 

→ Einsatz von hochkomplexer und stark miteinander vernetzter Technik
Der Schutzbedarf von Daten kann sich zudem erhöhen, wenn bei der Verarbeitung eine hochkomplexe und stark miteinander vernetzte Technik eingesetzt werden soll, da durch die Vernetzung der einzelnen Komponenten zusätzliche Angriffsflächen für Cyber-Attacken geschaffen werden. Zudem umspannt vernetzte Technik nicht selten unterschiedliche Lebensbereiche ihrer Nutzer und liefert daher Informationen mit sehr hoher Aussagekraft über die persönlichen und sachlichen Verhältnisse dieser betroffenen Personen, deren unbefugte Kenntnisnahme ernsthafte Nachteile für diese mit sich bringen kann.

 

Beispiel: Smarthome-Anwendungen können aus vielen datenverarbeitenden Komponenten wie bspw. smarten Bewegungsmeldern, Überwachungskameras, Heizungs- und Klimaanlagen, Zugangs- und Aufzugssteuerungselementen bestehen. Der unbefugte Zugang zu Daten aus Bewegungsmeldern gibt Aufschluss über die Anwesenheit von Bewohnern und kann als Grundlage für die Planung von Einbrüchen dienen.

 

→ Keine Kontrollmöglichkeiten für betroffene Personen
Der Schutzbedarf von Daten kann sich weiterhin erhöhen, wenn der betroffenen Person keine Möglichkeit einer unmittelbaren Kontrolle über ihre Daten ermöglicht wird, sodass die Datenverarbeitungsvorgänge keine Interventions- oder Selbstschutzmöglichkeiten für die betroffenen Personen bieten.

 

3.2.3 Herabstufung (Schritt 3)
Der Schutzbedarf einer Datenverarbeitung kann sich aufgrund verschiedener Umstände verringern, soweit aufgrund der Umstände oder bestimmter Maßnahmen die Gefahr eines Eingriffs oder der Aussagewert der Daten vermindert wird. Der somit verringerte Schutzbedarf kann, je nach Umfang des erreichten Schutzbedarfs, zur Einstufung in eine niedrigere Schutzbedarfsklasse führen.

 

Beispiel: Bei (wirksamer) Pseudonymisierung der Daten wird der Aussagewert für jeden, der die Zuordnungsregel nicht kennt, wesentlich herabgesetzt. Umstände, die zur Herabstufung führen können, sind insbesondere:
– Informationsgehalt und Verwendungskontext;
– Verschlüsselung von Daten (Art. 32 Abs. 1 lit. a DSGVO);
– Pseudonymisierung von Daten (Art. 4 Nr. 5 und Art. 32 Abs. 1 lit. a DSGVO);

 

Hinweis: Verschlüsselung und Pseudonymisierung von Daten sind zugleich Maßnahmen, die zum Schutz personenbezogener Daten eingesetzt werden. Sowohl Verschlüsselung als auch Pseudonymi-sierung haben damit eine doppelte Bedeutung: Sie beeinflussen aus Sicht des Cloud-Anbieters den Schutzbedarf von Daten. So haben Daten einen geringeren Schutzbedarf, wenn sie dem Cloud-Anbieter pseudonymisiert oder verschlüsselt zur Verfügung gestellt werden. Unabhängig davon gehören Verschlüsselung und Pseudonymisierung zu den Maßnahmen, die vom Cloud-Anbieter zum Schutz der Daten gegen Zugriffe Unbefugter eingesetzt werden können.

 

→ Informationsgehalt und Verwendungskontext
Daten können aufgrund ihres Informationsgehaltes und ihres Verwendungskontextes eine geringere Aussagekraft über die persönlichen und sachlichen Verhältnisse der betroffenen Person haben, als sie der abstrakten Einstufung der Datenart nach entspricht.

 

Beispiel: Die Terminvereinbarung eines Patienten beim Hausarzt oder Zahnarzt ist in die Datenart Gesundheitsdatum einzustufen. Da die bloße Termininformation keine erhebliche Aussagekraft über die Persönlichkeit und/oder Lebensumstände der betroffenen Person hat, entspricht der Schutzbedarf anderen Aufenthaltsdaten. Dies ist jedoch nicht der Fall bei einer Terminvereinbarung bei einem Facharzt (z.B. Onkologe), weil diese erhebliche Rückschlüsse auf mögliche Krankheiten der betroffenen Person ermöglicht.

 

→ Verschlüsselung von Daten
Verschlüsselung von Daten ist das Verändern personenbezogener Daten derart, dass ohne Entschlüsselung die Kenntnisnahme des Inhalts der Daten nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist.

 

Hinweis: Die Verschlüsselung von Daten wirkt sich nur dann schutzbedarfsmindernd aus, wenn sie durch den Cloud-Nutzer vor der Übergabe der Daten an den Cloud-Anbieter vorgenommen wird. Diese Verschlüsselung ist daher von der Verschlüsselung gespeicherter Daten als Schutzanforderung nach Nr. 2.9 des AUDITOR-Kriterienkatalogs zu unterscheiden

 

→ Pseudonymisierung von Daten
Pseudonymisierung bezeichnet „die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden“ (Art. 4 Nr. 5 DSGVO).

 

Hinweis: Die Pseudonymisierung von Daten wirkt sich nur dann schutzbedarfsmindernd aus, wenn sie durch den Cloud-Nutzer vor der Übergabe der Daten an den Cloud-Anbieter vorgenommen wird. Diese Pseudonymisierung ist daher von der Pseudonymisierung als Schutzanforderung nach Nr. 2.7 des AUDITOR-Kriterienkatalogs zu unterscheiden

 

3.3 Schutzanforderungsklassen
Die Schutzanforderungsklassen dienen dazu, die technischen und organisatorischen Maßnahmen festzulegen, die dazu geeignet sind, die Gewährleistungsziele für die jeweilige Schutzklasse zu erreichen und damit die Rechte und Freiheiten der betroffenen Personen in Bezug auf die jeweiligen Risiken des Dienstes angemessen zu schützen. Je größer die Risiken, desto höher ist der Gewährleistungsbedarf.

 

Wichtig ist, dass bei der Festlegung der Maßnahmen neben der Art der Daten, die verarbeitet werden, auch die beteiligten technischen Systeme (Hardware, Software und Infrastruktur) sowie ihre Schnittstellen und die technischen und organisatorischen (inklusive der personellen) Prozesse der Verarbeitung von Daten mit den Systemen berücksichtigt werden, da die Systeme und Prozesse, die mit der konkreten Datenverarbeitung verknüpft sind, den Schutzbedarf der Daten erben.

 

Wichtig ist zudem, dass die festgelegten Maßnahmen selbst die Gewährleistungsziele einhalten müssen.

 

Beispiel: Bei der Speicherung von Protokollierungsdaten müssen die Protokolle verfügbar, integritätsgeschützt, vor unbefugtem Zugriff gesichert sein und einer gesonderten Zweckbindung unterliegen.

 

3.3.1 Schutzanforderungsklasse 1
Der Cloud-Anbieter hat risikoangemessene technische und organisatorische Maßnahmen zu ergreifen, um die Datenminimierung, Verfügbarkeit, Integrität, Vertraulichkeit, Nichtverkettung, Transparenz und Intervenierbarkeit von personenbezogenen Daten sicherzustellen. Für den Bereich der Informationssicherheit bedeutet dies, dass die Daten, insbesondere gegen Vernichtung, Verlust, Veränderung, unbefugten Zugang und unbefugte Offenlegung zu schützen sind sowie die Belastbarkeit des Cloud-Dienstes zu gewährleisten ist.

 

Die Maßnahmen müssen geeignet sein, um im Regelfall solche Vorgänge aufgrund technischer oder organisatorischer Fehler, einschließlich Bedienfehler, des Cloud-Anbieters oder seiner Mitarbeiter oder fahrlässiger Handlungen Dritter auszuschließen. Gegen vorsätzliche Eingriffe ist ein Mindestschutz vorzusehen, der diese erschwert. Jeder Eingriff muss nachträglich festgestellt werden können.

 

3.3.2 Schutzanforderungsklasse 2
Ein hoher Schutzbedarf führt dazu, dass zusätzliche oder wirksamere risikoangemessene technische und organisatorische Maßnahmen ergriffen werden müssen, um die Datenminimierung, Verfügbarkeit, Integrität, Vertraulichkeit, Nichtverkettung, Transparenz und Intervenierbarkeit von personenbezogenen Daten sicherzustellen. Für den Bereich der Informationssicherheit bedeutet dies, dass die Daten, insbesondere gegen Vernichtung, Verlust, Veränderung, unbefugten Zugang und unbefugte Offenlegung zu schützen sind sowie die Belastbarkeit des Cloud-Dienstes zu gewährleisten ist. Gleichzeitig müssen die für Schutzanforderungsklasse 1 geeigneten Maßnahmen erfüllt und ihre Ausführung an den Schutzbedarf angepasst werden.

 

Ein hoher Schutzbedarf erfordert nicht immer die Implementierung einer Vielzahl von zusätzlichen Maßnahmen. In vielen Fällen genügt es, die Wirkung einer Maßnahme zu erhöhen, soweit diese einen Ansatzpunkt für eine solche Skalierung bietet. Die Verwendung längerer kryptographischer Schlüssel oder der Einsatz einer Zwei-Faktor-Authentifizierung oder von Hardware-Token dienen hier als Beispiele. Weiterhin kann eine Anpassung dadurch erfolgen, dass mit größerer Zuverlässigkeit eine spezifikationsgerechte Ausführung der Maßnahme sichergestellt wird. Dazu müssen mögliche Störeinflüsse bestimmt und die Robustheit der Maßnahmen durch zusätzliche Vorkehrungen – oft organisatorischer Natur – erhöht werden.

 

Die ergriffenen Maßnahmen müssen geeignet sein, um im Regelfall solche Vorgänge aufgrund technischer oder organisatorischer Fehler, einschließlich Bedienfehler, des Cloud-Anbieters oder seiner Mitarbeiter oder fahrlässiger Handlungen Dritter auszuschließen. Die Maßnahmen müssen auch geeignet sein, Schädigungen durch fahrlässige Handlungen Befugter im Regelfall auszuschließen. Gegen vorsätzliche Eingriffe ist ein Schutz vorzusehen, der zu erwartende Eingriffe hinreichend sicher ausschließt. Dazu gehört insbesondere ein hinreichender Schutz gegen bekannte Angriffsszenarien sowie Maßnahmen, durch die Eingriffe im Regelfall (nachträglich) festgestellt werden können.

 

3.3.3 Schutzanforderungsklasse 3
Der Cloud-Anbieter muss über die technischen und organisatorischen Maßnahmen der Schutzanforderungsklassen 1 und 2 hinaus risikoangemessene technische und organisatorische Maßnahmen erreichen, um die Daten, insbesondere gegen Vernichtung, Verlust, Veränderung, unbefugten Zugang und unbefugte Offenlegung zu schützen.

 

Die Maßnahmen müssen geeignet sein, um solche Vorgänge aufgrund technischer oder organisatorischer Fehler, einschließlich Bedienfehler, oder fahrlässiger oder vorsätzlicher Handlungen hinreichend sicher auszuschließen. Dazu gehört insbesondere ein hinreichender Schutz gegen bekannte Angriffsszenarien sowie Verfahren zur Erkennung von Missbräuchen. Jeder Eingriff muss nachträglich festgestellt werden können.

 

Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., & Teigeler, H. (2019)
AUDITOR-Schutzklassenkonzept – Entwurfsfassung 0.2.; 24.07.2019
www.auditor-cert.de

 

cyber security

 

Cyber Security

Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

08/2019

 

Gegenstand und Ziele des AUDITOR-Kriterienkatalogs

 

Der AUDITOR-Kriterienkatalog ist ein Prüfstandard für die Datenschutz-Zertifizierung von Cloud-Diensten gemäß den Anforderungen der EU-Datenschutz-Grundverordnung (DSGVO).

 

1. Adressaten und Funktionen des AUDITOR-Kriterienkatalogs

Durch die AUDITOR-Datenschutz-Zertifizierung können Anbieter von Cloud-Diensten des privaten Sektors die Vereinbarkeit ihrer Datenverarbeitungsvorgänge mit datenschutzrechtlichen Anforderungen nachweisen. Der AUDITOR-Kriterienkatalog beschreibt die datenschutzrechtlichen Anforderungen an die Verarbeitung von personenbezogenen Daten auf der Seite des Auftragnehmers (Cloud-Anbieter). Dagegen werden die datenschutzrechtlichen Anforderungen an den Auftraggeber (Cloud-Nutzer) nicht adressiert.

 

Zertifizierungsgegenstand AUDITOR
Den Zertifizierungsgegenstand des AUDITOR-Verfahrens sind Verarbeitungsvorgänge von personenbezogenen Daten im Kontext von Cloud-Diensten. Eine Datenverarbeitung ist nach Art. 4 Nr. 2 DSGVO jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe. Dazu zählen das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von Daten.

 

Den Zertifizierungsgegenstand bilden Datenverarbeitungsvorgänge, die in Produkten oder Diensten oder mit Hilfe von (auch mehreren) Produkten und Diensten erbracht werden. Im AUDITOR-Verfahren werden die Datenverarbeitungsvorgänge betrachtet, die der Cloud-Anbieter als Auftragsverarbeiter im Rahmen der Auftragsverarbeitung gemäß Art. 28 DSGVO durchführt. Weiterhin werden Datenverarbeitungsvorgänge betrachtet, die der Cloud-Anbieter als Verantwortlicher vornimmt, um den Vertrag mit dem Cloud-Nutzer über die Bereitstellung des Cloud-Dienstes schließen und durchführen zu können sowie um rechtliche Pflichten zu erfüllen.

 

Bei der Bestimmung des Zertifizierungsgegenstands sind drei Komponenten wichtig, die Cloud-Anbieter als Adressaten des AUDITOR-Zertifizierungsverfahrens beachten müssen:

  1. personenbezogene Daten,
  2. technische Systeme (Infrastruktur, Hardware und Software, die genutzt werden, um personenbezogene Daten zu verarbeiten) und
  3. Prozesse und Verfahren, die mit Verarbeitungsvorgängen in Verbindung stehen.

Somit besteht ein Datenverarbeitungsvorgang in der Regel sowohl aus technischen und automatisierten als auch aus nicht-technischen organisatorischen Komponenten, die personenbezogene Daten zu einem bestimmten Zweck verarbeiten und deren Datenschutzmaßnahmen in Datenschutzkonzepten erfasst und zu Datenschutzmanagementsystemen zusammengefasst sind. Der gesamte Datenverarbeitungsvorgang muss den Anforderungen der Datenschutz-Grundverordnung entsprechen.

 

Datenverarbeitungsvorgänge müssen eine geschlossene Verfahrensstruktur für die Verarbeitung personenbezogener Daten aufweisen, innerhalb derer die spezifischen Datenschutzrisiken des jeweiligen Cloud-Dienstes vollständig erfasst werden können. Dies bedeutet, dass auch Schnittstellen des zu zertifizierenden Cloud-Dienstes zu anderen Diensten betrachtet werden müssen, um Datenflüsse zu identifizieren, aus denen datenschutzrechtliche Risiken erwachsen können. Weiterführende Informationen zum Zertifizierungsgegenstand von AUDITOR sind dem Begleitdokument „Zertifizierungsgegenstand“ zu entnehmen.

 

Cloud-Anbieter als Adressat
Cloud-Anbieter im Sinne dieses Katalogs ist jedes privatwirtschaftliche Unternehmen, das einen Cloud-Dienst am Markt anbietet und sich nach dem AUDITOR-Kriterienkatalog als Auftragsverarbeiter gemäß Art. 4 Nr. 8 DSGVO zertifizieren lassen möchte.

 

Cloud-Anbieter sind die Antragsteller im AUDITOR-Zertifizierungsverfahren und werden durch den AUDITOR-Kriterienkatalog in zweierlei Hinsicht adressiert:

  1. Als Auftragsverarbeiter von Datenverarbeitungsvorgängen. Die Cloud-Anbieter können sowohl B2B- als auch B2C-Anbieter sein. Wichtig ist nur, dass sie hinsichtlich der Daten, die in der Cloud verarbeitet werden („Inhalts- oder Anwendungsdaten“), als Auftragsverarbeiter und nicht als Verantwortliche tätig sind und die Datenschutzkonformität ihrer Datenverarbeitungsvorgänge durch ein Zertifikat bestätigen lassen möchten. Gerade im B2B-Bereich werden die Inhalts- und Anwendungsdaten häufig personenbezogene Daten von Kunden, Mitarbeitern oder anderen betroffenen Personen sein, mit denen der Cloud-Nutzer in Vertragsbeziehungen steht. Jedoch können Inhalts- und Anwendungsdaten auch personenbezogene Daten des Cloud-Nutzers sein.

  2. Als Verantwortlicher von Datenverarbeitungsvorgängen. Der Cloud-Anbieter wird auch als Verantwortlicher von Datenverarbeitungsvorgängen adressiert, die erforderlich sind, um den Vertrag mit dem Cloud-Nutzer über die Bereitstellung des Cloud-Dienstes schließen und diesen durchführen zu können. Bei diesen Datenverarbeitungsvorgängen geht es um den Schutz der personenbezogenen Daten des Cloud-Nutzers und um dessen Persönlichkeitsrecht. Der Umgang mit personenbezogenen Daten von Dritten wie etwa Kunden oder Mitarbeitern des Cloud-Nutzers findet im Rahmen der zwischen dem Cloud-Nutzer und dem Cloud-Anbieter vereinbarten Auftragsverarbeitung statt und verpflichtet den Cloud-Anbieter lediglich in seiner Rolle als Auftragsverarbeiter. Schließt der Cloud-Nutzer einen Vertrag mit dem Cloud-Anbieter über die Bereitstellung und Nutzung des Cloud-Dienstes ab, wird der Cloud-Anbieter vor allem durch handels- und steuerrechtliche Aufzeichnungs- und Aufbewahrungspflichten zur Verarbeitung personenbezogener Daten verpflichtet, sodass die Datenverarbeitung zur Erfüllung rechtlicher Pflichten ebenfalls in den Anwendungsbereich der AUDITOR-Zertifizierung fällt.

    Obwohl der Cloud-Anbieter grundsätzlich frei darin ist, den Zweck einer Verarbeitung und die hierfür passende Rechtsgrundlage aus Art. 6 Abs. 1 UAbs. 1 lit. a bis f DSGVO zu wählen und Art. 5 Abs. 1 lit. b i.V.m. Art. 6 Abs. 4 DSGVO auch keine strikte Zweckbindung, sondern nur eine Zweckvereinbarkeit kennt, werden im Rahmen der AUDITOR-Zertifizierung nur Datenverarbeitungen des Cloud-Anbieters in seiner Rolle als Verantwortlicher betrachtet, die in einem inneren Zusammenhang zum Vertrag zwischen dem Cloud-Anbieter und dem Cloud-Nutzer über die Bereitstellung und Nutzung des Cloud-Dienstes und die Durchführung der Auftragsverarbeitung stehen. Im Rahmen der AUDITOR-Zertifizierung werden daher nur Datenverarbeitungsvorgänge betrachtet, die der Cloud-Anbieter durchführt, um den Cloud-Dienst gegenüber dem Cloud-Nutzer zu erbringen, um diesem die Nutzung zu ermöglichen und um den Dienst abzurechnen.

    Um den Vertrag mit dem Cloud-Nutzer über die Nutzung des Cloud-Dienstes abzuschließen und durchzuführen, entscheidet der Cloud-Anbieter, welche personenbezogenen Daten er erhebt und verarbeitet. In der Regel werden hier Daten wie Namen, Adressen, Zahlungsdaten wie beispielsweise Bankverbindungen, Rufnummern, Benutzernamen und Passwörter fürs Einloggen in den Cloud-Dienst verarbeitet. Diese können unter dem Begriff „Bestandsdaten“ zusammengefasst werden.

    Um dem Cloud-Nutzer die Inanspruchnahme des Cloud-Dienstes zu ermöglichen und diese abzurechnen, muss der Cloud-Anbieter weitere personenbezogene Daten wie beispielsweise Ein- und Auslogdaten zu Nutzkonten, IP-Adressen, die genutzten Dienstmodule und den Umfang der Nutzung verarbeiten. Diese Daten können unter dem Begriff „Nutzungsdaten“ zusammengefasst werden.

    Da die Datenschutz-Grundverordnung die Unterscheidung in Bestands- und Nutzungsdaten nicht kennt, werden diese Daten im Rahmen dieses Kriterienkatalogs als personenbezogene Daten bezeichnet, die ihm Rahmen der Durchführung des Auftrags über die Erbringung des Cloud-Dienstes anfallen.

 

Cloud-Nutzer als Nutznießer
Cloud-Nutzer im Sinne dieses Katalogs ist jede natürliche oder juristische Person, die als Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO Verarbeitungen personenbezogener Daten durchführt und allein oder gemeinsam mit anderen über Zwecke und Mittel dieser Verarbeitungen entscheidet und sich entschließt, diese Verarbeitungen an einen Cloud-Anbieter auszulagern.

 

Aufgrund der Zertifizierung der Datenverarbeitungsvorgänge eines Cloud-Dienstes kann der Cloud-Nutzer darauf vertrauen, dass der von ihm verwendete Cloud-Dienst datenschutzkonform ist. Der Anwendungsbereich der Datenschutz-Zertifizierung nach AUDITOR ist die Verarbeitung personenbezogener Daten im Auftrag (Auftragsverarbeitung) nach Art. 28 DSGVO durch einen Cloud-Anbieter. Hier muss sich der Cloud-Nutzer des Dienstes als Auftraggeber gemäß Art. 28 Abs. 1 DSGVO davon überzeugen, dass auf Seiten des Cloud-Anbieters hinreichende Garantien bestehen, die bestätigen, dass geeignete technische und organisatorische Maßnahmen (TOM) so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der Datenschutz-Grundverordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. Der Nachweis hinreichender Garantien wird erleichtert, wenn der Cloud-Anbieter als Auftragnehmer ein Zertifikat vorweist, das die Erfüllung der gesetzlichen Anforderungen bestätigt. Ein Zertifikat kann gemäß Art. 28 Abs. 5 DSGVO als Faktor herangezogen werden, um hinreichende Garantien nachzuweisen. Für die Nutzung von Cloud-Diensten, die im Regelfall als standardisierte Dienste für eine Vielzahl von Nutzern erbracht werden, ist die Datenschutz-Zertifizierung besonders wichtig, da sie eine effiziente Möglichkeit zur Erfüllung der gesetzlichen Überprüfungspflicht darstellt.

 

Personenbezogene Daten als das zu schützende Gut
Als personenbezogenen Daten werden, der gesetzlichen Definition des Art. 4 Abs. 1 DSGVO entsprechend, alle Daten verstanden, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Im Cloud-Kontext können dies beispielsweise Anwendungsdaten des Cloud-Nutzers sein, soweit sie dem jeweiligen Datenverarbeiter die Identifizierung oder Identifizierbarkeit einer natürlichen Person ermöglichen. Die Cloud-Nutzer und Cloud-Anbieter müssen gemäß Art. 28 Abs. 3 Satz 1 DSGVO in einer rechtsverbindlichen Vereinbarung zur Auftragsverarbeitung festlegen, welche Arten personenbezogener Daten im Rahmen der Auftragsverarbeitung weisungsgebunden durch den Auftragsverarbeiter verarbeitet werden sollen.

 

Verantwortungsverteilung zwischen Cloud-Anbieter und Cloud-Nutzer
Da sich der Anwendungsbereich der Datenschutz-Zertifizierung nach AUDITOR auf die Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 DSGVO erstreckt, adressiert der AUDITOR-Kriterienkatalog schwerpunktmäßig die datenschutzrechtlichen Anforderungen an den Cloud-Anbieter in seiner Funktion als Auftragsverarbeiter. Datenverarbeitungsvorgänge, bei denen der Cloud-Anbieter nicht lediglich weisungsgebunden agiert, sondern als Verantwortlicher über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet, werden im Rahmen der AUDITOR-Zertifizierung nur betrachtet, soweit es um Datenverarbeitungsvorgänge geht, die erforderlich sind, um den Vertrag mit dem Cloud-Nutzer über die Bereitstellung des Cloud-Dienstes schließen und durchführen sowie um rechtliche Pflichten wie handels- und steuerrechtliche Aufzeichnungs- und Aufbewahrungspflichten erfüllen zu können.

 

Dass es beim Cloud Computing regelmäßig zu einem Nebeneinander der Verantwortlichkeiten zwischen dem Cloud-Anbieter und dem Cloud-Nutzer kommt, ist nicht ungewöhnlich. Allgemeine Leitlinien zur Verantwortungsabgrenzung sind nur schwer zu bilden, da die Verantwortungsverteilung maßgeblich von den Service-Modellen und den konkreten Ausgestaltungen sowie den individuellen Auftragsverarbeitungsvereinbarungen mit den jeweiligen Cloud-Nutzern abhängt. Daher liegt es an dem Cloud-Nutzer und dem Cloud-Anbieter Regelungen zur Verantwortungsverteilung zu treffen.

 

Die Regelungen müssen die Intentionen und Zwecksetzungen der Parteien abbilden. Im Verhältnis zwischen Cloud-Nutzer und Cloud-Anbieter ist der Cloud-Anbieter immer dann Auftragnehmer, wenn er mit den zu verarbeitenden Daten keine eigenen Zwecke verfolgt, auch wenn er die Entscheidungen über die Mittel der Datenverarbeitung trifft. Er ist nur dann Verantwortlicher, wenn er mit den Daten eigene Zwecke verfolgt. Er bleibt jedoch Auftragsverarbeiter, wenn der Cloud-Nutzer den Zweck der Verarbeitung klar definiert, dem Cloud-Anbieter jedoch die Entscheidungsbefugnis über die Wahl der technischen und organisatorischen Mittel überlässt, solange diese Mittel angemessen sind, um den Verarbeitungszweck zu erreichen und er den Cloud-Nutzer über diese informiert.

 

Als Faustformel kann festgehalten werden, dass der Cloud-Nutzer regelmäßig für diejenigen personenbezogenen Daten als Verantwortlicher anzusehen ist, die er oder ihm zurechenbare Personen in die Cloud übertragen. Dies betrifft die Inhalts- und Anwendungsdaten des Cloud-Nutzers. Der Cloud-Anbieter wird für diejenigen Datenverarbeitungsvorgänge verantwortlich sein, die er vornimmt, um den Cloud-Dienst zu erbringen und um dessen Nutzung und Abrechnung zu ermöglichen. In der Regel betrifft dies Bestands- und Nutzungsdaten der Cloud.

 

Verantwortungsverteilung zwischen Cloud-Anbieter und Subauftragsverarbeiter
Der Cloud-Anbieter hat die Möglichkeit, den Cloud-Dienst nicht vollständig selbst zu erbringen, sondern sich für die Leistungserbringung weiterer Subauftragsverarbeiter zu bedienen, soweit der Cloud-Nutzer damit einverstanden ist. In diesem Fall können einzelne Abschnitte oder Teile des Datenverarbeitungs-vorgangs an weitere Auftragsverarbeiter delegiert oder ausgelagert werden, sodass eine Leistungskette entsteht. Die Auslagerung der Datenverarbeitung an weitere Subauftragsverarbeiter darf jedoch nicht dazu führen, dass die Vorgaben der Datenschutz-Grundverordnung in der Leistungskette missachtet werden. Vielmehr muss der Cloud-Anbieter als Hauptauftragsverarbeiter dafür Sorge tragen, dass auf allen Stufen die einschlägigen Vorschriften der Datenschutz-Grundverordnung von allen Subauftragsverarbeitern eingehalten werden. Für die Auftragsdurchführung gegenüber dem Cloud-Nutzer bleibt der Cloud-Anbieter durchgängig verantwortlich. Setzen die zu zertifizierenden Verarbeitungsvorgänge eines Cloud-Dienstes auf nicht-anbietereigene Plattformen oder Infrastrukturen auf oder setzt der Auftragsverarbeiter sonstige Subauftragsverarbeiter ein, so kann sich das Zertifikat nur auf diejenigen Datenverarbeitungsvorgänge beziehen, die im Verantwortungsbereich des jeweiligen Auftragsverarbeiters stehen. Der Auftragsverarbeiter muss sich jedoch davon überzeugen, dass auch diese fremden, von ihm genutzten Plattformen, Infrastrukturen und sonstigen Subauftragsverarbeiter die für sie relevanten datenschutzrechtlichen Vorschriften einhalten und darf nur solche einsetzen, um seinen Dienst zu erbringen. Ein Cloud-Anbieter darf daher nur solche Subauftragsverarbeiter auswählen, die gemäß Art. 28 Abs. 1 DSGVO ebenfalls „geeignete Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Personen gewährleistet“. Subauftragsverarbeiter können die geforderten geeigneten Garantien ihrerseits beispielsweise durch ein datenschutzspezifisches Zertifikat oder durch die Befolgung von anerkannten Verhaltensregeln (‚Code of Conduct‘) gemäß Art. 40 DSGVO erbringen. Kapitel V dieses Kriterienkatalogs regelt insbesondere die Subauftragsverarbeitung.


2. Fortentwicklung von TCDP gemäß der Datenschutz-Grundverordnung

Die Zertifizierung nach dem alten Bundesdatenschutzgesetz wurde im Pilotprojekt „Datenschutz-Zertifizierung für Cloud-Dienste“ durch das im September 2016 finalisierte Trusted Cloud Datenschutz-Profil (TCDP) untersucht. Da bei der Entwicklung der Zertifizierungskriterien nach TCDP noch nicht alle einschlägigen internationalen Normen, neu entwickelten relevanten Kriterienwerke – z. B. Cloud Computing Compliance Controls Catalogue (C5) – und insbesondere die Anforderungen der Datenschutz-Grundverordnung berücksichtigt werden konnten, muss mit dem Geltungsbeginn der Datenschutz-Grundverordnung ab dem 25.05.2018 das TCDP-Kriterienwerk an die neuen Regelungen angepasst werden. Dies geschieht mit dem AUDITOR-Kriterienkatalog. Dieser zielt insbesondere auf einheitliche Kriterien für eine unionsweite Zertifizierung.

 

Der AUDITOR-Kriterienkatalog fokussiert alle relevanten Vorschriften für die Datenschutz-Zertifizierung von Cloud-Diensten in der Datenschutz-Grundverordnung und konkretisiert diese zu prüffähigen Kriterien.

 

Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., & Teigeler, H. (2019)
AUDITOR-Kriterienkatalog – Entwurfsfassung 0.9. Karlsruhe, Germany: KIT. DOI: 10.5445/IR/1000092273; 24.07.2019
www.auditor-cert.de

 

cyber security

 

Cyber Security


Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

08/2019

 

Aufbau und Nutzung des AUDITOR-Kriterienkatalogs

 

1. Elemente des Kriterienkatalogs

Der AUDITOR-Kriterienkatalog enthält „Kriterien“, „Erläuterungen“, „Umsetzungshinweise“ und „Nachweise“. Die „Kriterien“ bezeichnen die normativen Voraussetzungen, die zu erfüllen sind, um ein Zertifikat auf der Grundlage des AUDITOR-Kriterienkatalogs zu erhalten. Sie stellen somit die Anforderungen dar, die eine akkreditierte Zertifizierungsstelle im Rahmen des Zertifizierungsverfahrens überprüft. Die „Erläuterungen“ sollen das Verständnis der Kriterien und ihre Herleitung aus der Datenschutz-Grundverordnung erleichtern.

 

Für jedes Kriterium werden „Umsetzungshinweise“ als exemplarische Leitlinien und Hilfestellungen für das Verständnis und die Umsetzung der Kriterien gegeben, die jedoch keinen verpflichtenden Charakter haben. Zudem finden sich zu jedem Kriterium „Nachweise“. Die „Nachweise“ liefern die Antwort auf die Frage, wie das Vorliegen der Kriterien im konkreten Zertifizierungsverfahren erwiesen werden kann. Sie stellen analog zu den Umsetzungshinweisen exemplarische Leitlinien und informative Hilfestellungen dar, die Cloud-Anbieter, Zertifizierungsstellen, Prüfer und weitere Interessierte bei der Beurteilung der Einhaltung von Kriterien unterstützen sollen. Es besteht keine Verpflichtung, die Nachweise gemäß diesem Dokument zu erbringen. Das akkreditierte AUDITOR-Konformitätsbewertungsprogramm legt fest, wie jedes Kriterium im Rahmen der Zertifizierung zu überprüfen ist.

 

Der Kriterienkatalog unterscheidet zwischen Kriterien, Erläuterungen, Umsetzungshinweisen und Nachweisen für die Auftragsverarbeitung von Anwendungsdaten (Kapitel C) und für die Verarbeitung von Bestands- und Nutzungsdaten, für die ein Cloud-Anbieter verantwortlich ist (Kapitel D).


2. Schutzklassen

Anforderungen an TOM des Cloud-Dienstes werden nach Schutzklassen differenziert. Dabei orientiert sich der AUDITOR-Kriterienkatalog an dem TCDP-Schutzklassenkonzept, berücksichtigt aber auch die Schutzbedarfsabstufungen nach dem Standard-Datenschutzmodell (SDM) der deutschen Datenschutzaufsichtsbehörden.

 

2.1 Das Schutzklassenkonzept
Das Schutzklassenklassenkonzept orientiert sich am Risiko der Datenverarbeitung für die Grundrechte und Grundfreiheiten natürlicher Personen. Daneben hat nach Art. 24, 25 und 32 DSGVO die Auswahl von TOM den Stand der Technik und die Implementierungskosten zu berücksichtigen. In Anlehnung an die EG 75, 76, 85, 90, 91, 94, 95 und 96 DSGVO hat der Verantwortliche jeweils die Risiken einer Verarbeitung personenbezogener Daten für die Rechte und Freiheiten natürlicher Personen vorab zu identifizieren. In einem weiteren Schritt ist abzuschätzen, ob die Verarbeitung zu einem materiellen oder immateriellen Schaden führen könnte, insbesondere wenn sie zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, einer unbefugten Aufhebung der Pseudonymität oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren.

 

Der Verantwortliche hat gemäß EG 76 Satz 1 DSGVO die Eintrittswahrscheinlichkeit und Schwere des Schadens für die Rechte und Freiheiten der betroffenen Person in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung zu bestimmen. Dieses Risiko soll er gemäß dem jeweiligen Verwendungskontext der verarbeiteten personenbezogenen Daten anhand eines objektiven Maßstabs beurteilen. Dabei hat er nach EG 76 Satz 2 DSGVO festzustellen, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko birgt. Diese Risikoabstufungen werden mit dem AUDITOR-Schutzklassenkonzept umgesetzt.

 

Der Cloud-Anbieter muss umgekehrt durch seine Dienstbeschreibung zu erkennen geben, für welche Art und Kategorien von Daten und für welche Schutzklassen der angebotene Dienst geeignet ist. Dabei muss jeder geprüfte Datenverarbeitungsvorgang in diesem Cloud-Dienst diese Schutzklasse erfüllen. Schutzklassen werden daher nicht jedem einzelnen Datenverarbeitungsvorgang im jeweiligen Cloud-Dienst zugewiesen, sondern dem Cloud-Dienst als solchem.

 

Ziel des Schutzklassenkonzepts ist es, den individuellen Maßstab der Datenschutz-Grundverordnung – die Anforderungen an die TOM richten sich nach dem Schutzbedarf der jeweiligen Datenverarbeitung – durch Zuordnung in Schutzklassen zu vereinfachen. Die Schutzklassen haben dabei eine doppelte Funktion: Sie beschreiben zum einen den Schutzbedarf der Datenverarbeitungsvorgänge, zum anderen die Anforderungen an die TOM. Um die unterschiedlichen Funktionen deutlich zu machen, unterscheidet das Schutzklassenkonzept einerseits Schutzbedarfsklassen und andererseits Schutzanforderungsklassen.

 

Die Schutzbedarfsklassen definieren den Schutzbedarf für Datenverarbeitungsvorgänge anhand genereller Merkmale. Dieser ergibt sich aus der Art der Daten, dem Umfang, den Umständen und den Zwecken der konkreten Datenverarbeitung.

 

Die Schutzanforderungsklassen definieren in allgemeiner Form die technischen und organisatorischen Anforderungen, die für Datenverarbeitungsdienste der betreffenden Klasse maßgeblich sind. Dabei wird für jede Schutzbedarfsklasse eine korrespondierende Schutzanforderungsklasse definiert.

 

Die Unterscheidung von Schutzbedarfs- und Schutzanforderungsklasse korrespondiert mit den Rollen und Verantwortungen von Cloud-Nutzer und Cloud-Anbieter in der Auftragsverarbeitung. Der Cloud-Anbieter beansprucht im Rahmen des Zertifizierungsverfahrens für jeden Dienst auf Grundlage der Prüfung und anhand der konkreten TOM eine bestimmte Schutzanforderungsklasse. Dies wird durch die Zertifizierungsstelle überprüft. Im Zertifikat wird die Eignung des Cloud-Dienstes für eine konkrete Schutzanforderungsklasse zum Ausdruck gebracht. Der Cloud-Nutzer als Verantwortlicher und Auftraggeber hat hingegen die Aufgabe, den Schutzbedarf seiner Datenverarbeitung zu bestimmen, indem er eine Schutzbedarfsklasse auswählt. Lagert er seine Datenverarbeitungsvorgänge an einen Cloud-Dienst aus, muss er einen Cloud-Dienst auszuwählen, der mindestens die entsprechende Schutzanforderungsklasse erfüllt.

 

Hinsichtlich der Datenverarbeitung, für die der Cloud-Anbieter verantwortlich ist und die erforderlich ist, um den Auftrag mit dem Cloud-Nutzer über die Nutzung des Cloud-Dienstes durchzuführen, legt der Anbieter sowohl den Schutzbedarf als auch die Schutzanforderungen an die Datenverarbeitung fest, da beides in seiner Verantwortung liegt.

 

2.2 Die Schutzklassen des AUDITOR-Kriterienkatalogs
Der AUDITOR-Kriterienkatalog beruht auf der Unterscheidung von drei Schutzklassen (1, 2, 3), für die jeweils Schutzbedarf (Schutzbedarfsklassen) und Schutzanforderungen (Schutzanforderungsklassen) beschrieben werden.

 

Neben den drei Schutzklassen gibt es Datenverarbeitungsvorgänge, die keine Aussagen über persönliche oder sachliche Verhältnisse natürlicher Personen enthalten, erzeugen, unterstützen oder solche ermöglichen und daher keinen datenschutzrechtlichen Schutzbedarf aufweisen. Sie liegen unterhalb von Schutzklasse 1, weshalb sie in dem Schutzklassenkonzept nicht betrachtet werden.

 

Auch Datenverarbeitungsvorgänge mit extrem hohem Schutzbedarf (oberhalb von Schutzbedarfsklasse 3)  werden in dem Schutzklassenkonzept und der AUDITOR-Zertifizierung nicht berücksichtigt. Ein extrem hoher Schutzbedarf liegt vor, wenn die Datenverarbeitungsvorgänge aufgrund der verwendeten Daten oder der konkreten Verarbeitung dieser Daten eine erhebliche Aussagekraft über die Persönlichkeit oder Lebensumstände der betroffenen Person haben, unterstützen oder zu einer solchen führen können oder sonst für die Verhältnisse der betroffenen Person von erheblicher Bedeutung sind und die unbefugte Verarbeitung dieser Daten zu einer konkreten Gefahr für eine wesentliche Beeinträchtigung von Leben, Gesundheit oder Freiheit der betroffenen Person führen würde.

 

Nicht abschließende Beispiele für Daten mit extrem hohem Schutzbedarf:

  • Daten von V-Leuten des Verfassungsschutzes;
  • Daten über Personen, die mögliche Opfer von strafbaren Handlungen sein können;
  • Adressen von Zeugen in bestimmten Strafverfahren.

 

Auch Datenverarbeitungsvorgänge mit individuell stark divergierenden Umständen werden in dem Schutzklassenkonzept und der AUDITOR-Zertifizierung nicht betrachtet, weil sie der Generalisierung, die mit dem Schutzklassenkonzept einhergeht, nicht zugänglich sind.

 

a) Die Ermittlung der Schutzbedarfsklasse
Die Festlegung des Schutzbedarfs obliegt dem Cloud-Nutzer. Der Schutzbedarf wird in einem dreistufigen Verfahren ermittelt:

  • Im 1. Schritt wird der abstrakte Schutzbedarf der zu verarbeitenden Daten nach der Datenart bestimmt.
  • Im 2. Schritt ist zu prüfen, ob sich der Schutzbedarf aufgrund der konkreten Verwendung der Daten erhöht.
  • Im 3. Schritt ist zu prüfen, ob der Schutzbedarf aufgrund konkreter Umstände sinkt.

 

Im Ergebnis wird der Schutzbedarf der konkreten Datenverarbeitung nach den Schutzbedarfsklassen kategorisiert. Die Schritte zwei und drei werden im AUDITOR-Katalog nicht weiter erläutert, weil sie vornehmlich den Cloud-Nutzer und nicht die Zertifizierung des Cloud-Anbieters als solche betreffen.

 

Zu beachten gilt jedoch, dass für die Datenverarbeitung zur Durchführung des Auftrags mit dem Cloud-Nutzer, der Cloud-Anbieter Verantwortlicher ist und daher auch den Schutzbedarf dieser Datenverarbeitung bestimmen muss.

 

Schutzbedarfsklassen nach Datenart (Abstrakter Schutzbedarf – Schritt 1)
Zunächst wird der abstrakte Schutzbedarf der zu verarbeitenden Daten nach der Datenart bestimmt. Diese bildet nur den Ausgangspunkt und dient nur der ersten Einordnung der Daten. Schließlich lässt sich die Schutzbedürftigkeit von Daten nicht abstrakt bestimmen, sondern hängt von ihrem jeweiligen Verwendungszusammenhang ab.

 

Datenarten mit normalem Schutzbedarf (Schutzbedarfsklasse 1)
Jede Verarbeitung personenbezogener Daten stellt einen Eingriff in die Grundrechte der betroffenen Person dar. Aus diesem Grund wird davon ausgegangen, dass jede Verarbeitung personenbezogener Daten mindestens einen normalen Schutzbedarf aufweist.

 

In Schutzbedarfsklasse 1 fallen alle Datenverarbeitungsvorgänge, die durch die einbezogenen Daten und die konkrete Verarbeitung dieser Daten Aussagen über die persönlichen oder sachlichen Verhältnisse der betroffenen Person enthalten, erzeugen, unterstützen oder ermöglichen. Die unbefugte Verwendung dieser Daten kann von der betroffenen Person leicht durch Aktivitäten verhindert oder abgestellt werden oder lässt keine besonderen Beeinträchtigungen erwarten.

 

Nicht abschließende Beispiele für Daten (ohne Verarbeitungskontext, soweit nicht Schutzbedarfsklasse 2 oder 3):

  • Name;
  • Geschlecht;
  • Anschrift;
  • Beruf;
  • Geburtsjahr;
  • Titel;
  • Adressbuchangaben;
  • Telefonverzeichnisse;
  • Staatsangehörigkeit;
  • Telefonnummer einer natürlichen Person.

 

Datenarten mit hohem Schutzbedarf (Schutzbedarfsklasse 2)
Datenverarbeitungsvorgänge, die aufgrund der verwendeten Daten oder der konkreten Verarbeitung dieser Daten eine Aussagekraft über die Persönlichkeit oder die Lebensumstände der betroffenen Person haben, unterstützen oder zu einer solchen führen können oder sonst für die Verhältnisse der betroffenen Person von Bedeutung sind. Die unbefugte Verarbeitung solcher Daten kann zu Beeinträchtigungen der betroffenen Person in ihrer gesellschaftlichen Stellung oder ihren wirtschaftlichen Verhältnissen führen („Ansehen“). Weiterhin ist bei Daten, die der Gesetzgeber als besonders schutzwürdig in Art. 9 Abs. 1 DSGVO ausgewiesen hat, von einem hohen Schutzbedarf auszugehen.

 

Nicht abschließende Beispiele für Daten ohne Verarbeitungskontext, soweit nicht Schutzbedarfsklasse 3):

  • Name, Anschrift eines Vertragspartners;
  • Geburtsdatum;
  • Familienstand;
  • verwandtschaftliche Beziehungen und Bekanntenkreis;
  • Daten über Geschäfts- und Vertragsbeziehungen;
  • Kontext zu einem Vertragspartner (z.B. Gegenstand einer vereinbarten Leistung);
  • Verarbeitungen nicht veränderbarer Personendaten, die lebenslang als Anker für Profilbildungen dienen können wie genetische Daten i.S.v. Art. 4 Nr. 13 DSGVO oder biometrische Daten i.S.v. Art. 4 Nr. 14 DSGVO;
  • Daten über die rassische und ethnische Herkunft;
  • Daten über politische Meinungen;
  • religiöse oder weltanschauliche Überzeugungen;
  • Gewerkschaftsangehörigkeit;
  • Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person;
  • Verarbeitungen eindeutig identifizierender, hoch verknüpfbarer Daten wie Krankenversichertennummern oder Steuernummern;
  • Daten, die mögliche Auswirkungen auf das Ansehen/die Reputation der betroffenen Person haben;
  • Daten über den geschützten inneren Lebensbereich der betroffenen Person (z.B. Tagebücher);
  • Gesundheitsdaten i.S.v. Art. 4 Nr. 15 DSGVO;
  • Grad der Behinderung;
  • Verarbeitung von Daten mit inhärenter Intransparenz für die betroffene Person (Schätzwerte beim Scoring, Anwendung von Algorithmen);
  • Einkommen;
  • Sozialleistungen;
  • Steuern;
  • Ordnungswidrigkeiten;
  • Daten über Mietverhältnisse;
  • Patientenverwaltungsdaten (mit Ausnahme von besonders sensiblen Diagnosedaten und dergleichen);
  • Arbeitszeitzeitdaten;
  • Mitgliederverzeichnisse;
  • Melderegister;
  • Zeugnisse und Prüfungsergebnisse;
  • Versicherungsdaten;
  • Personalverwaltungsdaten aus Beschäftigungsverhältnissen (mit Ausnahme von dienstlichen Beurteilungen und beruflicher Laufbahn);
  • Verkehrsordnungswidrigkeiten;
  • einfache Bewertungen eher geringer Bedeutung (z.B. Ja/Nein-Entscheidung bei Einstufung im Mobilfunkvertrag etc.);
  • Zugangsdaten zu einem Dienst;
  • Kommunikationsinhalte einer Person (z.B. E-Mail-Inhaltsdaten, Brief, Telefonat);
  • (genauer) Aufenthaltsort einer Person;
  • Finanzdaten einer Person (z.B. Kontostand, Kreditkartennummer, einzelne Zahlung);
  • Kreditauskünfte;
  • Verkehrsdaten der Telekommunikation.

 

Hinweis: Kommunikationsinhalte, insbesondere Schrift- oder Sprachaufzeichnungen jeder Art, können sehr unterschiedlichen Schutzbedarf, von niedrig bis sehr hoch aufweisen. Die Festlegung des Schutzbedarfs erfordert eine objektive Bewertung, in der das Ausmaß des Risikos der Datenverarbeitung beurteilt wird. Sofern der Cloud-Nutzer keine Kenntnis vom subjektiven Schutzbedarf der Kommunizierenden hat (Beispiel: allgemeiner Kollaborations-Service mit Datenablage, Videokonferenz und Mailfunktion) oder seine Dienste für besonders schutzbedürftige Kommunikationen anbietet (Beispiel: Konferenzservice für Rechtsanwälte und Mandanten, hier: Schutzklasse 3) darf er von Schutzbedarfsklasse 2 ausgehen.

 

Datenarten mit sehr hohem Schutzbedarf (Schutzbedarfsklasse 3)
Datenverarbeitungsvorgänge, die aufgrund der verwendeten Daten oder der konkreten Verarbeitung dieser Daten eine erhebliche Aussagekraft über die Persönlichkeit oder die Lebensumstände einer betroffenen Person haben, unterstützen oder zu einer solchen führen können oder sonst für die Verhältnisse der betroffenen Person von erheblicher Bedeutung sind. Die unbefugte Verarbeitung solcher Daten kann zu erheblichen Nachteilen für die betroffene Person hinsichtlich ihrer gesellschaftlichen Stellung und ihren wirtschaftlichen Verhältnissen führen („Existenz“).

 

Hinweis: Als Datenarten in diesem Sinne werden auch Datenmehrheiten, insbesondere verkettete Daten (z.B. Persönlichkeitsprofile) angesehen, aus denen sich ein neuer Informationsgehalt ergibt.

 

Nicht abschließende Beispiele für Daten mit sehr hohem Schutzbedarf:

  • Daten, die einem Berufs-, Geschäfts-, Fernmelde-, oder Mandantengeheimnis unterliegen (z.B. Patientendaten, Mandantendaten);
  • Daten, deren Kenntnis eine erhebliche konkrete Schädigung der betroffenen Person oder Dritter ermöglicht (z.B. Persönliche Identifikationsnummer, Transaktionsnummer im Online-Banking);
  • Schulden;
  • besonders sensitive Sozialdaten;
  • Pfändungen;
  • Personalverwaltungsdaten wie dienstliche Beurteilungen, berufliche Laufbahn und dergleichen, soweit nicht Schutzbedarfsklasse 2;
  • Daten über Vorstrafen und strafprozessuale Verhältnisse (z.B. Ermittlungsverfahren) einer Person und entsprechende Verdachtsmomente;
  • Straffälligkeit;
  • besonders sensitive Gesundheitsdaten i.S.v. Art. 4 Nr. 15 DSGVO wie z.B. zu Krankheiten, deren Bekanntwerden der betroffenen Person in besonderem Maße unangenehm sind oder zu einer gesellschaftlichen Stigmatisierung der betroffenen Person führen können;
  • Persönlichkeitsprofile, z.B. Bewegungsprofil, Beziehungsprofil, Interessenprofil, Kaufverhaltensprofil, mit erheblicher Aussagekraft über die Persönlichkeit der betroffenen Person.

 

b) Schutzanforderungsklassen
Die Schutzanforderungsklassen dienen dazu, die TOM festzulegen, die dazu geeignet sind, die Rechte und Freiheiten der betroffenen Personen in Bezug auf die jeweiligen in der Schutzbedarfsklasse festgestellten Risiken des Dienstes angemessen zu schützen.

 

Schutzanforderungsklasse 1
Der Cloud-Anbieter hat risikoangemessene TOM zu ergreifen, um die Datenminimierung, Verfügbarkeit, Integrität, Vertraulichkeit, Nichtverkettung, Transparenz und Intervenierbarkeit von personenbezogenen Daten sicherzustellen. Für den Bereich der Informationssicherheit bedeutet dies, dass die Daten, insbesondere gegen Vernichtung, Verlust, Veränderung, unbefugten Zugang und unbefugte Offenlegung, zu schützen sind sowie die Belastbarkeit des Cloud-Dienstes zu gewährleisten ist.

 

Die TOM müssen geeignet sein, um im Regelfall solche Vorgänge aufgrund technischer oder organisatorischer Fehler, einschließlich Bedienfehler, des Cloud-Anbieters oder seiner Mitarbeiter oder fahrlässiger Handlungen Dritter auszuschließen. Gegen vorsätzliche Eingriffe ist ein Mindestschutz vorzusehen, der diese erschwert. Jeder Eingriff muss nachträglich festgestellt werden können.

 

Schutzanforderungsklasse 2
Ein hoher Schutzbedarf führt dazu, dass zusätzliche oder wirksamere risikoangemessene TOM ergriffen werden müssen, um die Datenminimierung, Verfügbarkeit, Integrität, Vertraulichkeit, Nichtverkettung, Transparenz und Intervenierbarkeit von personenbezogenen Daten sicherzustellen. Für die Informationssicherheit bedeutet dies, dass die Daten, insbesondere gegen Vernichtung, Verlust, Veränderung, unbefugten Zugang und unbefugte Offenlegung, zu schützen sind sowie die Belastbarkeit des Cloud-Dienstes zu gewährleisten ist. Gleichzeitig müssen die für Schutzanforderungsklasse 1 geeigneten Maßnahmen erfüllt und ihre Ausführung an den Schutzbedarf angepasst werden.

 

Dies kann erreicht werden, indem die Wirkung einer Maßnahme erhöht wird, soweit diese einen Ansatzpunkt für eine solche Skalierung bietet. Ein Beispiel hierfür ist die Erhöhung der Länge eingesetzter kryptografischer Schlüssel oder der Einsatz von Hardware-Token oder einer Zwei-Faktor-Authentifizierung. Weiterhin kann eine Anpassung dadurch erfolgen, dass mit größerer Zuverlässigkeit eine spezifikationsgerechte Ausführung der Maßnahme sichergestellt wird. Dazu müssen mögliche Störeinflüsse bestimmt und die Robustheit der Maßnahmen durch zusätzliche Vorkehrungen – oft organisatorischer Natur – erhöht werden.

 

Die ergriffenen Maßnahmen müssen geeignet sein, um im Regelfall solche Vorgänge aufgrund technischer oder organisatorischer Fehler, einschließlich Bedienfehler, des Cloud-Anbieters oder seiner Mit-arbeiter, oder fahrlässiger Handlungen Dritter auszuschließen. Die Maßnahmen müssen auch geeignet sein, Schädigungen durch fahrlässige Handlungen Befugter im Regelfall zu verhindern. Gegen vorsätzliche Eingriffe ist ein Schutz vorzusehen, der zu erwartende Eingriffe hinreichend sicher ausschließt. Dazu gehört insbesondere ein hinreichender Schutz gegen bekannte Angriffsszenarien sowie Maßnahmen, durch die Eingriffe im Regelfall (nachträglich) festgestellt werden können.

 

Schutzanforderungsklasse 3
Der Cloud-Anbieter muss über die TOM der Schutzanforderungsklassen 1 und 2 hinaus risikoangemessene TOM ergreifen, um die Daten, insbesondere gegen Vernichtung, Verlust, Veränderung, unbefugten Zugang und unbefugte Offenlegung, zu schützen.

 

Die Maßnahmen müssen geeignet sein, um solche Vorgänge aufgrund technischer oder organisatorischer Fehler, einschließlich Bedienfehler, oder fahrlässiger oder vorsätzlicher Handlungen hinreichend sicher auszuschließen. Dazu gehört insbesondere ein hinreichender Schutz gegen bekannte Angriffsszenarien sowie Verfahren zur Erkennung von Missbräuchen. Jeder Eingriff muss nachträglich festgestellt werden können.


3. Nichtanwendbarkeit von Kriterien

Im Rahmen des Zertifizierungsverfahrens stellt der Cloud-Anbieter der Zertifizierungsstelle ausreichend Informationen zur Beurteilung, Abgrenzung und abschließenden Festlegung des Zertifizierungsgegenstands zur Verfügung. Dies schließt insbesondere die Dokumentation von Verantwortlichkeiten und – insofern anwendbar – die Einbindung von Subauftragsverarbeitern in die zu zertifizierenden Datenverarbeitungsvorgänge ein. Bei der Festlegung des Zertifizierungsgegenstands oder im Rahmen des Prüfprozesses kann die Zertifizierungsstelle feststellen, dass einzelne Kriterien für den betrachteten Datenverarbeitungsvorgang nicht anwendbar sind. Das akkreditierte AUDITOR-Konformitätsbewertungsprogramm regelt die Voraussetzungen und das Verfahren zur Feststellung und Beurteilung der Nichtanwendbarkeit von Kriterien. So ist unter anderem gefordert, dass nichtanwendbare Kriterien im Zertifikat kenntlich gemacht werden.

 

Nichtanwendbar sind Kriterien insbesondere dann, wenn der Cloud-Anbieter diese nicht erfüllen kann, weil sie außerhalb seines Verantwortungsbereichs liegen. So wird der Cloud-Anbieter beispielsweise nach Kriterium Nr. 6.1 zur Unterstützung des Cloud-Nutzers bei der Auskunftserteilung verpflichtet. Das Kriterium ist jedoch auf die Datenverarbeitungsvorgänge des Cloud-Anbieters nicht anwendbar und der Cloud-Anbieter somit von der Auskunftserteilung entbunden, wenn der Verantwortungsbereich für die betreffenden Daten beim Cloud-Nutzer liegt und dieser über Anwendungen und Dateien bestimmt. Das gleiche gilt, wenn nicht der Cloud-Anbieter, sondern Subauftragsverarbeiter für den Zugang zu Datenverarbeitungssystemen nach Nr. 2.3 verantwortlich sind. In diesem Fall ist Kriterium Nr. 2.3 auf den Cloud-Anbieter nicht anwendbar. Der Cloud-Anbieter muss sich jedoch davon überzeugen, dass die Subauftragsverarbeiter die für sie relevanten datenschutzrechtlichen Vorschriften einhalten (siehe Nr. 10.4) und somit ihrerseits das Kriterium Nr. 2.3 erfüllen.

 

Weiterhin sind Kriterien beispielsweise nicht anwendbar, wenn der Cloud-Anbieter die in den Kriterien adressierten Handlungen nicht vornimmt. Setzt der Cloud-Anbieter beispielsweise keine Subauftragsverarbeiter ein oder findet keine Datenverarbeitung außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums statt, sind die Kriterien aus Kapitel V und VI nicht anwendbar.

 

Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., & Teigeler, H. (2019)
AUDITOR-Kriterienkatalog – Entwurfsfassung 0.9. Karlsruhe, Germany: KIT. DOI: 10.5445/IR/1000092273; 24.07.2019
www.auditor-cert.de

 

cyber security

 

Cyber Security

Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

08/2019

 

Nr. 1 – Wirksame und eindeutige Vereinbarung zwischen Cloud-Anbieter

Kapitel I: Kriterien und Umsetzungsempfehlungen für die Auftragsverarbeitung

 

Rechtsverbindliche Vereinbarung zur Auftragsverarbeitung

 

Erläuterung
Der Cloud-Anbieter muss sicherstellen, dass die Leistungen gegenüber dem Cloud-Nutzer aufgrund einer rechtsverbindlichen Vereinbarung erbracht werden, die die gesetzlichen Anforderungen der Datenschutz-Grundverordnung an die Auftragsverarbeitung erfüllt. Die gesetzlichen Anforderungen an diese Vereinbarung werden durch die nachfolgenden Kriterien der Nummern 1.1 bis 1.8 konkretisiert.

Nr. 1 – Wirksame und eindeutige Vereinbarung zwischen Cloud-Anbieter und Cloud-Nutzer (Art. 28 Abs. 3 DSGVO)

Nr. 1.1 – Dienstleistung aufgrund einer rechtsverbindlichen Vereinbarung und Form der Vereinbarung (Art. 28 Abs. 3 Satz 1 und Abs. 9 DSGVO)

 

Kriterium

  1. Der Cloud-Anbieter stellt durch geeignete technische oder organisatorische Vorkehrungen sicher, dass der Dienst erst nach dem Abschluss einer rechtsverbindlichen Vereinbarung zur Auftragsverarbeitung mit dem Cloud-Nutzer erbracht wird.
  2. Diese Vereinbarung muss die Kriterien dieses Kapitels (Nr. 1.1 bis 1.8) erfüllen.
  3. Die rechtsverbindliche Vereinbarung ist schriftlich oder in einem elektronischen Format abzufassen.

 

Erläuterung
Die rechtsverbindliche Vereinbarung zur Datenverarbeitung im Auftrag ist wesentlich, da mit dieser die Rolle des Cloud-Anbieters als Auftragsverarbeiter i.S.v. Art. 4 Nr. 8 DSGVO gegenüber der Rolle des Cloud-Nutzers als Verantwortlichem ausdrücklich klargestellt wird. Oft liegt dieser Vereinbarung eine weitere Vereinbarung über die Leistungserbringung zugrunde; beide Vereinbarungen sind zu unterscheiden.

 

Umsetzungshinweis
Der Cloud-Anbieter trifft technische oder organisatorische Vorkehrungen, die einen automatischen Vereinbarungsschluss vor der eigentlichen Dienstnutzung sicherstellen. Hierzu kann dem potentiellen Cloud-Nutzer während der Registrierung eine entsprechende Vereinbarung angezeigt werden, die dieser vor der Dienstnutzung bestätigen muss.

Bei standardisierten Massengeschäften werden in der Regel, auch unter Unternehmern, vorformulierte Vertragsklauseln (Allgemeine Geschäftsbedingungen - AGB) eingesetzt, die wirksam im Sinne des jeweiligen AGB-Rechts zu sein haben.

 

Nachweis
Der Cloud-Anbieter kann im Rahmen der Zertifizierung alle oder eine repräsentative Stichprobe von rechtsverbindlichen Vereinbarungen vorlegen, die er mit den Cloud-Nutzern schließt. Außerdem kann er anhand einer geeigneten Dokumentation nachweisen, dass technische oder organisatorische Vorkehrungen getroffen wurden, die eine Dienstnutzung erst nach Abschluss der Vereinbarung sicherstellen.


Nr. 1.2 – Gegenstand und Dauer der Verarbeitung (Art. 28 Abs. 3 Satz 1 DSGVO)

 

Kriterium

  1. Der Gegenstand und die Dauer des Auftrags sind in der rechtsverbindlichen Vereinbarung über die Auftragsverarbeitung so konkret wie möglich festzulegen.
  2. Die Vereinbarung muss die Dauer des Auftrages durch einen Start- und Endpunkt oder den Verweis auf eine unbestimmte Nutzungszeit festlegen.
  3. Die Voraussetzungen einer Kündigung sind in die Vereinbarung aufzunehmen.

 

Umsetzungshinweis
Für beide Parteien sollte anhand dieser Eingrenzung des Auftragsgegenstands klar hervorgehen, welche Verarbeitungsvorgänge oder Verarbeitungskategorien durch den Cloud-Anbieter für den Cloud-Nutzer durchgeführt werden. Insbesondere sollte in transparenter Form dargelegt werden, welche Einflussmöglichkeiten dem Cloud-Anbieter bei der Wahl der Verarbeitungsmittel zur Ausführung von Verarbeitungsvorgängen, in denen personenbezogene Daten verarbeitet werden, zukommen. Regelungen zum Gegenstand des Auftrags sollten auch die abgegrenzten Verantwortungsbereiche zwischen Cloud-Nutzer und Cloud-Anbieter abbilden.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er einen Entwurf einer rechtsverbindlichen Vereinbarung mit diesen Angaben vorhält und ein Verfahren implementiert hat, wonach die Vereinbarung mit diesen Festlegungen geschlossen wird.


Nr. 1.3 – Art, Umfang und Zwecke der Datenverarbeitung (Art. 28 Abs. 3 Satz 1 DSGVO)

 

Kriterium
In der rechtsverbindlichen Vereinbarung über die Auftragsverarbeitung werden der Umfang, die Art und der Zweck der vorgesehenen Verarbeitung von Daten im Auftrag, die Art der verarbeiteten Daten sowie die Kategorien betroffener Personen festgelegt.

 

Umsetzungshinweis
Diese Einzelangaben müssen zwar nicht jeden konkreten Einzelfall abdecken, sollten jedoch so präzise sein, dass die im Rahmen der Auftragsverarbeitung zulässigen Datenverarbeitungsvorgänge im Einzelnen aus Sicht des Cloud-Nutzers nachvollzogen werden können.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er einen Entwurf einer rechtsverbindlichen Vereinbarung mit diesen Angaben vorhält und ein Verfahren implementiert hat, wonach die Vereinbarung mit diesen Festlegungen geschlossen wird.


Nr. 1.4 – Festlegung von Weisungsbefugnissen (Art. 28 Abs. 3 Satz 2 lit. a DSGVO)

 

Kriterium

  1. Die rechtsverbindliche Vereinbarung über die Auftragsverarbeitung sieht vor, dass die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen – auch in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation – verarbeitet werden.
  2. Wird im Rahmen standardisierter Massengeschäfte keine individuelle rechtsverbindliche Vereinbarung geschlossen, hat der Cloud-Anbieter in seiner Dienstbeschreibung die durch ihn technisch ausführbaren Dienstleistungen auf eine aus der Cloud-Nutzer-Perspektive nachvollziehbare Weise so präzise wie möglich zu benennen, um diesem eine Auswahl nach Art. 28 Abs. 1 DSGVO zu ermöglichen.

 

Erläuterung
Die Weisungsgebundenheit wird in der Datenschutz-Grundverordnung an mehreren Stellen genannt (Art. 28 Abs. 3 Satz 2 lit. a, 28 Abs. 3 Satz 3; indirekt in Art. 28 Abs. 10 und 29 und 32 Abs. 4 DSGVO).

 

Überschreitet der Cloud-Anbieter die Maßgaben des Cloud-Nutzers nach dessen Weisungen, so liegt ein Verstoß gegen Art. 28 Abs. 10 und 29 DSGVO vor, und der Cloud-Anbieter hat mit haftungsrechtlichen Konsequenzen zu rechnen.

 

Umsetzungshinweis
Es sollte aus der rechtsverbindlichen Vereinbarung zur Auftragsverarbeitung hervorgehen, wer zur Erteilung von Weisungen befugt ist und wer auf Seiten des Cloud-Anbieters mit der Entgegennahme der Weisungen betraut ist. Die zu Weisungen befugten Abteilungs- und Funktionsebenen können in der rechtsverbindlichen Vereinbarung zur Auftragsverarbeitung benannt und ihre Authentifizierungsmittel festgelegt werden.

Im der rechtsverbindlichen Vereinbarung über die Auftragsverarbeitung oder in vorformulierten Klauseln des Cloud-Anbieters sind die technisch ausführbaren Dienstleistungen und Weisungsbefugnisse des Cloud-Nutzers aufzuführen. Die rechtsverbindliche Vereinbarung sollte die Möglichkeiten darstellen, die dem Cloud-Nutzer zur Ausübung seiner Weisungsbefugnis eingeräumt werden. Diese können insbesondere auch in automatisierten Verfahren bestehen. Anhand einer (im Massengeschäft einseitig vorgegebenen) Dienstbeschreibung des Cloud-Anbieters sollen die potentiellen Cloud-Nutzer eine Auskunft für ihre Auswahl nach Art. 28 Abs. 1 DSGVO erhalten. In diesem Fall weist der Cloud-Nutzer durch die Auswahl des Cloud-Dienstes den Cloud-Anbieter an, die beschriebene, standardisierte Dienstleistung auszuführen.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er entsprechende Regelungen zur Weisungserteilung in rechtsverbindlichen Vereinbarungen offenlegt und vorhandene Dokumentationen von Einzelanweisungen vorzeigt.


Nr. 1.5 – Ort der Datenverarbeitung (indirekt Art. 28 Abs. 3 Satz 2 lit. a DSGVO)

 

Kriterium

  1. In der rechtsverbindlichen Vereinbarung zur Auftragsverarbeitung wird festgelegt, ob sich der Ort der Datenverarbeitung innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums oder in einem Drittland befindet.
  2. Wird die Datenverarbeitung in einem Drittland durchgeführt, ist dieses konkret in der rechtsverbindlichen Vereinbarung zu benennen.
  3. In der rechtsverbindlichen Vereinbarung wird festgelegt, dass in den Fällen, in denen sich während ihres Geltungszeitraums der Ort der Verarbeitung aus Gründen ändert, die im Verantwortungsbereich des Cloud-Anbieters liegen oder für beide Parteien unvorhersehbar sind, der Cloud-Anbieter diese Änderung dem Cloud-Nutzer unverzüglich mitteilt.
  4. Bei jeder wesentlichen Abweichung von der Festlegung des Ortes der Datenverarbeitung wird dem Cloud-Nutzer in der rechtsverbindlichen Vereinbarung ein sofortiges Kündigungsrecht eingeräumt.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er einen Entwurf einer rechtsverbindlichen Vereinbarung vorhält, in dem er sich verpflichtet, den Cloud-Nutzer unverzüglich über Änderungen des Ortes der Datenverarbeitung zu informieren.


Nr. 1.6 – Verpflichtung zur Vertraulichkeit (Art. 28 Abs. 3 Satz 2 lit. b DSGVO)

 

Kriterium
Der Cloud-Anbieter verpflichtet sich in der rechtsverbindlichen Vereinbarung über die Auftragsverarbeitung, dass die zur Verarbeitung von personenbezogenen Daten befugten Personen vor Aufnahme der datenverarbeitenden Tätigkeit zur Vertraulichkeit verpflichtet werden, sofern sie nicht bereits einer angemessenen vergleichbaren gesetzlichen Verschwiegenheitspflicht unterliegen.

 

Erläuterung
Die Verpflichtung zur Vertraulichkeit und die Belehrung zur Verschwiegenheit fördern das Gewährleistungsziel der Vertraulichkeit.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er einen Entwurf einer rechtsverbindlichen Vereinbarung vorhält, in dem er sich verpflichtet, Mitarbeiter, die zur Verarbeitung von personenbezogenen Daten befugt sind, vor Aufnahme der datenverarbeitenden Tätigkeit zur Vertraulichkeit zu verpflichten, sofern sie nicht bereits einer angemessenen vergleichbaren gesetzlichen Verschwiegenheitspflicht unterliegen.


Nr. 1.7 – Technisch-organisatorische Maßnahmen, Unterbeauftragung und Unterstützung (Art. 28 Abs. 3 Satz 2 lit. c bis f i.V.m. Kap. III und Art. 32 – 36 DSGVO)

 

Kriterium

  1. Die Schutzklasse und die für sie zu treffenden TOM werden in einer rechtsverbindlichen Vereinbarung über die Auftragsverarbeitung festgelegt.
  2. Die rechtsverbindliche Vereinbarung über die Auftragsverarbeitung enthält die Angabe, ob der Cloud-Anbieter oder der Cloud-Nutzer eine Pseudonymisierung, Anonymisierung oder Verschlüsselung (Nr. 2.7, Nr. 2.8 und Nr. 2.9) der zu verarbeitenden personenbezogenen Daten vornimmt und ob diese auch gegenüber den Mitarbeitern des Cloud-Anbieters wirksam sind. Die maximale Anzahl an Personen aus den Mitarbeitern des Cloud Anbieters und seiner Subauftragsverarbeiter sind anzugeben, für die die Pseudonymisierung oder Verschlüsselung nicht wirksam sind.
  3. Der Cloud-Anbieter legt in der rechtsverbindlichen Vereinbarung über die Auftragsverarbeitung fest, auf welchem Niveau und wie rasch (innerhalb welchen Zeitraums) er nach einem physischen oder technischen Zwischenfall die Daten des Cloud-Nutzers und den Cloud-Dienst wiederherstellen und dem Cloud-Nutzer Zugang zum Cloud-Dienst und zu den Daten gewährleisten kann (Nr. 2.11).
  4. In der rechtsverbindlichen Vereinbarung über die Auftragsverarbeitung wird bestimmt, wie der Cloud-Anbieter die Bedingungen gemäß Art. 28 Abs. 2 und 4 DSGVO für die Inanspruchnahme der Dienste weiterer Auftragsverarbeiter einhält.
  5. Die Verfahren zur Unterstützung des Cloud-Nutzers bei der Erfüllung der Betroffenenrechte gemäß Nr. 6, bei der Durchführung einer Datenschutz-Folgenabschätzung gemäß Nr. 7 und zur Erfüllung der Meldepflicht bei Datenschutzverletzungen nach Nr. 8.2 werden in der rechtsgültigen Vereinbarung über die Auftragsverarbeitung festgelegt.

 

Umsetzungshinweis
Angaben zur Umsetzung der Kriterien unter Nr. 2 können an Gewährleistungszielen ausgerichtet werden, während die konkreten Maßnahmen der Zielerreichung dem Cloud-Anbieter überlassen werden können. Für den Cloud-Nutzer ist es wichtig zu wissen, welcher Schutzanforderungsklasse der Cloud-Dienst entspricht.

Die Vorgaben des Art. 28 Abs. 3 Satz 2 lit. d DSGVO sollten in der rechtsverbindlichen Vereinbarung über die Auftragsverarbeitung präzisiert werden, so dass ihre Einhaltung für den Cloud-Nutzer leicht überprüfbar ist.

Da dem Cloud-Nutzer bei Änderungen in der Unterbeauftragung ein Einspruchsrecht zusteht (Nr. 10.3), sollten in der rechtsverbindlichen Vereinbarung über die Auftragsverarbeitung die Voraussetzungen und Folgen eines Einspruchs geregelt werden, beispielsweise ob der Cloud-Nutzer bei Einspruch die Vereinbarung aufkündigen darf.

Die rechtsverbindliche Vereinbarung über die Auftragsverarbeitung soll die Unterstützungspflichten des Cloud-Anbieters unter Berücksichtigung der Ausgestaltung des konkreten Cloud-Dienstes und der dem Cloud-Anbieter zumutbaren und geeigneten TOM konkretisieren. Dies soll Unsicherheiten hinsichtlich der sich aus der Vereinbarung ergebenden Rechte und Pflichten vermeiden.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er einen Entwurf einer rechtsverbindlichen Vereinbarung mit diesen Angaben vorhält und ein Verfahren implementiert hat, wonach die Vereinbarung mit diesen Festlegungen geschlossen wird.


Nr. 1.8 – Rückgabe von Datenträgern und Löschung von Daten (Art. 28 Abs. 3 Satz 2 lit. g DSGVO)

 

Kriterium
Die Pflichten des Cloud-Anbieters zur Rückgabe von Datenträgern, Rückführung von Daten und Löschung von Daten nach Ende der Auftragsverarbeitung sind in einer rechtsverbindlichen Vereinbarung zur Auftragsverarbeitung festzulegen.

 

Erläuterung
Ist der Cloud-Anbieter auch nach Ende der Auftragsverarbeitung aufgrund gesetzlicher Pflichten zur Speicherung oder Aufbewahrung von Daten verpflichtet, sind diese nicht zu löschen. Dies ist entsprechend in der rechtsverbindlichen Vereinbarung zu vermerken.

 

Umsetzungshinweis
Der Nachweis der Rückgabe von Datenträgern und der Löschung von Daten kann auch durch Verweis auf entsprechende Grundsätze des Cloud-Anbieters erfolgen. Der Cloud-Nutzer kann zwischen den Abwicklungsmodalitäten wählen. Die Pflichten des Cloud-Anbieters entfallen, wenn er eine Pflicht zur Speicherung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten hat.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er einen Entwurf einer rechtsverbindlichen Vereinbarung mit diesen Festlegungen vorhält und ein Verfahren implementiert hat, wonach die Vereinbarung mit diesen Festlegungen geschlossen wird.

 

Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., & Teigeler, H. (2019)
AUDITOR-Kriterienkatalog – Entwurfsfassung 0.9. Karlsruhe, Germany: KIT. DOI: 10.5445/IR/1000092273; 24.07.2019
www.auditor-cert.de

 

cyber security

 

Cyber Security

Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

08/2019

 

Nr. 2 – Gewährleistung der Datensicherheit

Kapitel II: Kriterien und Umsetzungsempfehlungen für die Auftragsverarbeitung

 

Rechte und Pflichten des Cloud-Anbieters

 

Nr. 2 – Gewährleistung der Datensicherheit durch geeignete TOM nach dem Stand der Technik

Nr. 2.1 – Datensicherheitskonzept (Art. 24, 25, 28, 32, 35 i.V.m. Art. 5 Abs. 1 lit. f DSGVO)

Kriterium

  1. Der Cloud-Anbieter führt eine Risikoanalyse in Bezug auf die Datensicherheit durch und verfügt über ein Datensicherheitskonzept entsprechend seiner Schutzklasse, das den spezifischen Risiken seiner Datenverarbeitungsvorgänge angemessen ist.
  2. Im Datensicherheitskonzept stellt der Cloud-Anbieter dar, welche Datensicherheitsmaßnahmen er ergriffen hat, um die bestehenden Risiken abzustellen oder einzudämmen. Der Cloud-Anbieter schildert auch die Abwägungen, die er vorgenommen hat, um zu diesen Maßnahmen zu gelangen.
  3. Das Datensicherheitskonzept ist schriftlich zu dokumentieren.
  4. Das Datensicherheitskonzept ist in regelmäßigen Abständen auf Aktualität und Angemessenheit zu überprüfen und bei Bedarf zu aktualisieren.
  5. Das Datensicherheitskonzeptkonzept beschreibt, welche Datenverarbeitungsvorgänge in der Verantwortung des Cloud-Anbieters liegen und für welche Datenverarbeitungsvorgänge eingebundene Subauftragsverarbeiter verantwortlich sind.
  6. Das Datensicherheitskonzept beschreibt, welche Datenverarbeitungsvorgänge in der Verantwortung des Cloud-Anbieters liegen und welche der Verantwortung des Cloud-Nutzers unterliegen.
  7. Soweit das Datensicherheitskonzept Sicherheitsmaßnahmen des Cloud-Nutzers verlangt, sind diese dem Cloud-Nutzer in Schriftform oder in einem elektronischen Format mitzuteilen.

 

Erläuterung
Der Cloud-Anbieter hat risikoangemessene TOM festzulegen, um Risiken einer Verletzung der Rechte und Freiheiten von natürlichen Personen zu verhindern. Insbesondere hat er Risiken gegen unbeabsichtigte und unrechtmäßige Vernichtung, Verlust, Veränderung, unbefugte Offenlegung oder unbefugten Zugang zu personenbezogenen Daten auszuschließen oder zu minimieren. Bei der Festlegung der konkreten Maßnahmen berücksichtigt er nicht nur die Modalitäten der Verarbeitung und die Eintrittswahrscheinlichkeit und Schwere des Schadens, sondern auch den Stand der Technik sowie die Implementierungskosten der Maßnahmen. Die dabei getroffenen Abwägungen müssen aus dem Datensicherheitskonzept ersichtlich sein. Der Cloud-Anbieter legt für seinen angebotenen Dienst die Schutzanforderungsklasse fest. Der Cloud-Nutzer wählt einen Cloud-Dienst aus, der eine zu seiner Schutzbedarfsklasse passende Schutzanforderungsklasse bietet.

 

Umsetzungshinweis
Das Datensicherheitskonzept soll die sich aus den spezifischen Umständen des Cloud-Dienstes, seiner Datenverarbeitungsvorgänge und Räumlichkeiten ergebenden Risiken abdecken und zu jedem Risiko eine oder gegebenenfalls mehrere Schutzmaßnahmen beinhalten sowie Ressourcen, Verantwortlichkeiten und Priorisierungen für den Umgang mit Informationssicherheitsrisiken spezifizieren. Alle identifizierten Restrisiken des Cloud-Dienstes, die nicht vollständig behandelt werden können, sollten von der Geschäftsleitung des Cloud-Anbieters zur Kenntnis genommen werden. Der Risikobewertungsansatz und die Risikobewertungsmethodik des Cloud-Anbieters sollten dokumentiert werden.

 

Bei der Analyse von Risiken können folgende Merkmale analysiert und evaluiert werden:

  1. Evaluierung der Auswirkungen auf die Organisation, Technik oder Dienstbereitstellung aufgrund eines Sicherheitsausfalls und Berücksichtigung der Konsequenzen des Verlusts von Vertraulichkeit, Integrität oder Verfügbarkeit;
  2. Evaluierung der realistischen Wahrscheinlichkeit eines solchen Sicherheitsausfalls unter Berücksichtigung aller denkbaren Bedrohungen und Sicherheitslücken;
  3. Abschätzung des möglichen Schadensausmaßes für die Grundrechte und Freiheiten der betroffenen Personen;
  4. Prüfung, ob alle möglichen Optionen für die Behandlung der Risiken identifiziert und evaluiert sind;
  5. Bewertung, ob das verbleibende Risiko akzeptierbar oder eine Gegenmaßnahme erforderlich ist.

 

Das Datensicherheitskonzept sollte unter Berücksichtigung neu auftretender Sicherheitsherausforderungen kontinuierlich aktualisiert und verbessert werden. Dabei sollten Risikobewertungen, das mögliche Schadensausmaß und die identifizierten akzeptablen Risiken regelmäßig unter Berücksichtigung des Wandels der Organisation, Technologie, Geschäftsziele und -prozesse, erkannten Bedrohungen, der Auswirkung der implementierten Kontrollen und externen Ereignisse überprüft werden.

 

Nachweis
Das Datensicherheitskonzept und seine Angemessenheit kann der Cloud-Anbieter dadurch nachweisen, dass er dieses vorlegt.


Nr. 2.2 – Sicherheitsbereich und Zutrittskontrolle (Art. 32 Abs. 1 lit. b und Abs. 2 i.V.m. Art. 5 Abs. 1 lit. f DSGVO)

 

Kriterium

 

Schutzklasse 1

  1. Der Cloud-Anbieter stellt durch risikoangemessene TOM sicher, dass Räume und Anlagen gegen Schädigung durch Naturereignisse gesichert werden und Unbefugten der Zutritt zu Räumen und Datenverarbeitungsanlagen verwehrt wird, um unbefugte Kenntnisnahmen personenbezogener Daten und Einwirkungsmöglichkeiten auf die Datenverarbeitungsanlagen auszuschließen.
  2. Die Maßnahmen sind geeignet, um im Regelfall den Zutritt Unbefugter aufgrund technischer oder organisatorischer Fehler, einschließlich Bedienfehler, des Cloud-Anbieters oder fahrlässiger Handlungen Dritter auszuschließen. Gegen vorsätzliche Eingriffe ist ein Mindestschutz vorzusehen, der diese erschwert.

 

Schutzklasse 2

  1. Die Kriterien von Schutzklasse 1 sind erfüllt.
  2. Die Maßnahmen sind geeignet, Schädigungen durch fahrlässige Handlungen Befugter im Regelfall auszuschließen. Weiterhin ist sichergestellt, dass unbefugter Zutritt durch fahrlässige und vorsätzliche Handlungen hinreichend sicher ausgeschlossen ist. Dies schließt Schutz gegen Zutrittsversuche durch Täuschung oder Gewalt ein. Es besteht ein hinreichender Schutz gegen bekannte Angriffsszenarien.
  3. Jeder unbefugte Zutritt und Zutrittsversuch ist nachträglich feststellbar.

 

Schutzklasse 3

  1. Die Kriterien von Schutzklasse 1 und Schutzklasse 2 sind erfüllt.
  2. Jeder autorisierte Zutritt wird protokolliert.

 

Erläuterung
Dieses Kriterium konkretisiert in Teilen die in Art. 32 Abs. 1 lit. b und 5 Abs. 1 lit. f DSGVO enthaltene, in hohem Maße konkretisierungsbedürftige Pflicht, die Gewährleistungsziele Integrität, Vertraulichkeit und Verfügbarkeit von personenbezogenen Daten und Diensten auf Dauer zu gewährleisten. Soweit der Cloud-Anbieter für den Sicherheitsbereich und die Zutrittskontrolle zu Räumen und Datenverarbeitungsanlagen verantwortlich ist, benötigt er ein Berechtigungskonzept für den Zutritt zu Datenverarbeitungsanlagen. Die Zutrittskontrolle gewährleistet den Zutrittsschutz nicht nur im Normalbetrieb, sondern auch im Zusammenhang mit Naturereignissen.

 

Umsetzungshinweis
Die Umsetzungshinweise aus ISO/IEC 27001 Ziff. A11 und ISO/IEC 27018 Ziff. 11 sind anwendbar.

Um sicherzustellen, dass Unbefugte keinen Zutritt zu Räumen und Datenverarbeitungsanlagen erhalten, sollte der Zutritt ins Rechenzentrum über Videoüberwachungssysteme, Bewegungssensoren, Alarmsysteme und von geschultem Sicherheitspersonal permanent überwacht werden.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er im Datensicherheitskonzept die TOM zur Zutrittskontrolle darlegt.


Nr. 2.3 – Zugangskontrolle (Art. 32 Abs. 1 lit. b und Abs. 2 i.V.m. Art. 5 Abs. 1 lit. f DSGVO)

 

Kriterium

 

Schutzklasse 1

  1. Der Cloud-Anbieter stellt sicher, dass Unbefugte keinen Zugang zu Datenverarbeitungssystemen erhalten und auf diese einwirken können. Dies gilt auch für Sicherungskopien, soweit diese personenbezogene Daten enthalten.
  2. Der Cloud-Anbieter überprüft die Erforderlichkeit der Berechtigungen für den Zugang zu Datenverarbeitungssystemen in regelmäßigen Abständen auf Aktualität und Angemessenheit und aktualisiert sie bei Bedarf.
  3. Der Cloud-Anbieter überprüft den Zugang von Befugten über das Internet durch eine starke Authentifizierung, die mindestens zwei Elemente der Kategorie Wissen, Besitz oder Inhärenz verwendet. Die Elemente sind voneinander unabhängig, sodass die Überwindung eines Elements die Zuverlässigkeit des anderen nicht beeinflusst. Sie sind so konzipiert, dass die Vertraulichkeit der Authentifizierungsdaten gewährleistet ist. Der Zugang über das Internet erfolgt über einen verschlüsselten Kommunikationskanal.
  4. Die Maßnahmen zur Zugangskontrolle sind geeignet, um im Regelfall den Zugang zu Datenverarbeitungssystemen durch Unbefugte aufgrund technischer oder organisatorischer Fehler, einschließlich Bedienfehler, des Cloud-Anbieters oder fahrlässiger Handlungen des Cloud-Nutzers oder Dritter auszuschließen. Gegen vorsätzliche Eingriffe besteht ein Mindestschutz, der diese erschwert.

 

Schutzklasse 2

  1. Die Kriterien von Schutzklasse 1 sind erfüllt.
  2. Gegen zu erwartenden vorsätzlichen unbefugten Zugang besteht ein Schutz, der zu erwartende Zugangsversuche hinreichend sicher ausschließt. Dazu gehören insbesondere ein hinreichender Schutz gegen bekannte Angriffsszenarien sowie Maßnahmen, die einen unbefugten Zugang im Regelfall nachträglich feststellbar machen.

 

Schutzklasse 3

  1. Die Kriterien von Schutzklasse 1 und Schutzklasse 2 sind erfüllt.
  2. Der Cloud-Anbieter schließt den unbefugten Zugang zu Datenverarbeitungssystemen hinreichend sicher aus. Dies schließt regelmäßig Maßnahmen zur aktiven Erkennung von Angriffen ein. Jeder unbefugte Zugang und entsprechende Versuche sind nachträglich feststellbar.

 

Erläuterungen
Das Kriterium der Zugangskontrolle konkretisiert in Teilen die in Art. 32 Abs. 1 lit. b und Abs. 2 DSGVO enthaltene, in hohem Maße konkretisierungsbedürftige Pflicht, die Gewährleistungsziele der Integrität, Vertraulichkeit und Verfügbarkeit von personenbezogenen Daten und Diensten auf Dauer sicherzustellen. Soweit der Cloud-Anbieter für den Zugang zu Datenverarbeitungssystemen verantwortlich ist, benötigt er ein Berechtigungskonzept für den Zugang zu Datenverarbeitungssystemen.

 

Umsetzungshinweis
Die Umsetzungshinweise aus ISO/IEC 27001 Ziff. A12.1.4, A12.4.2 und ISO/IEC 27018 Ziff. 9 sind anwendbar.

Die Aufgaben und Rollen zur Wahrung der Informationssicherheit für Datenverarbeitungsvorgänge des Cloud-Anbieters sollten klar definiert und verständlich dokumentiert sein. Alle Anlagen des Cloud-Anbieters sollten korrekt gewartet werden, damit ihre fortgesetzte Verfügbarkeit und Integrität gewährleistet werden können.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er im Datensicherheitskonzept die TOM zur Zugangskontrolle darlegt.


Nr. 2.4 – Zugriffskontrolle (Art. 32 Abs. 1 lit. b und Abs. 2 i.V.m. Art. 5 Abs. 1 lit. f DSGVO)

 

Kriterium

 

Schutzklasse 1

  1. Der Cloud-Anbieter stellt durch TOM sicher, dass Berechtigte nur im Rahmen ihrer Berechtigungen Zugriff auf personenbezogene Daten nehmen können und unbefugte Einwirkungen auf personenbezogene Daten ausgeschlossen werden. Dies gilt auch für Datensicherungen, soweit sie personenbezogene Daten enthalten.
  2. Der Cloud-Anbieter kontrolliert alle Zugriffe auf personenbezogene Daten.
  3. Die Maßnahmen sind geeignet, um im Regelfall den Zugriff auf personenbezogene Daten durch Unbefugte aufgrund technischer oder organisatorischer Fehler, einschließlich Bedienfehler, des Cloud-Anbieters oder fahrlässiger Handlungen des Cloud-Nutzers oder Dritter auszuschließen. Gegen vorsätzliche Eingriffe besteht ein Mindestschutz, der diese erschwert.
  4. Für Zugriffe von Befugten auf personenbezogene Daten über das Internet ist eine starke Authentifizierung erforderlich, die mindestens zwei Elemente der Kategorie Wissen, Besitz oder Inhärenz verwendet, die insofern voneinander unabhängig sind, als die Überwindung eines Elements die Zuverlässigkeit des anderen nicht in Frage stellt, und die so konzipiert ist, dass die Vertraulichkeit der Authentifizierungsdaten gewährleistet ist.
  5. Der Cloud-Anbieter schützt administrative Zugriffe und Tätigkeiten auf kritischen Systemen durch einen starken Authentisierungsmechanismus und protokolliert diese. Die Fernadministration des Cloud-Dienstes durch Mitarbeiter des Cloud-Anbieters erfolgt über einen verschlüsselten Kommunikationskanal.
  6. Ist ein privilegierter Zugriff der Mitarbeiter des Cloud-Anbieters auf personenbezogene Daten auf Weisung im Cloud-Dienst vorgesehen, ist dieser eindeutig geregelt und dokumentiert. Die privilegierten Zugriffe weisen eine andere Nutzeridentität auf als die Zugriffe für die tägliche Arbeit.

 

Schutzklasse 2

  1. Die Kriterien von Schutzklasse 1 sind erfüllt.
  2. Zu erwartende vorsätzliche unbefugte Zugriffe sind hinreichend sicher ausgeschlossen. Dazu gehören insbesondere ein hinreichender Schutz gegen bekannte Angriffsszenarien sowie Maßnahmen, durch die ein unberechtigter Zugriff im Regelfall nachträglich festgestellt werden kann.
  3. Der Cloud-Anbieter stellt sicher, dass der Cloud-Nutzer verschiedene zweckbezogene Nutzerrollen für seine Mitarbeiter festlegt, um nicht zweckgemäße Zugriffe auf personenbezogene Daten logisch auszuschließen.
  4. Ist ein privilegierter Zugriff der Mitarbeiter des Cloud-Anbieters auf personenbezogene Daten auf Weisung vorgesehen, ist dieser eindeutig zu regeln und zu dokumentieren. Der privilegierte Zugriff darf nur in Rollen erfolgen, die von der Administration und vom Rechenzentrumsbetrieb unabhängig sind. Der Zugriff ist mit Zwei-Faktor-Authentifizierung abzusichern und die Anzahl der Mitarbeiter mit privilegiertem Zugriff ist so gering wie möglich zu halten.

 

Schutzklasse 3

  1. Die Kriterien von Schutzklasse 1 und Schutzklasse 2 sind erfüllt.
  2. Unbefugte Zugriffe auf Daten sind hinreichend sicher ausgeschlossen. Dies schließt regelmäßig Maßnahmen zur aktiven Erkennung von Angriffen ein. Jeder unbefugte Zugriff und entsprechende Versuche ist nachträglich feststellbar.

 

Erläuterungen
Das Kriterium der Zugriffskontrolle konkretisiert in Teilen die in Art. 32 Abs. 1 lit. b und Abs. 2 DSGVO enthaltene, in hohem Maße konkretisierungsbedürftige Pflicht, die Gewährleistungsziele Integrität, Vertraulichkeit und Verfügbarkeit von personenbezogenen Daten und Diensten auf Dauer sicherzustellen. Dies setzt ein Berechtigungskonzept für den Zugriff auf personenbezogenen Daten voraus.

 

Umsetzungshinweis
Die Umsetzungshinweise aus ISO/IEC 27002 Ziff. 13.2 und ISO/IEC 27018 Ziff. 9.2, 9.2.1, 9.4.2 sind anwendbar.

Berechtigungskonzepte müssen sowohl für die Nutzer des Dienstes als auch für die Mitarbeiter des Cloud-Anbieters bestehen.

Ein geeigneter Managementprozess für die Zugriffskontrolle sollte etabliert werden, der die Erforderlichkeit der Berechtigungen in regelmäßigen Abständen auf Angemessenheit überprüft, die Vergabe, Aktualisierung, Kontrolle und den Entzug von Berechtigungen regelt, Zugriffspolitiken überwacht und aktualisiert sowie Passwortrichtlinien überprüft und die Einhaltung sicherstellt.

Es sollten angemessene Sicherheitsmaßnamen gegen sowohl interne auch gegen externe Angriffe implementiert werden, um einen unbefugten Zugriff zu verhindern. Hierzu zählen beispielsweise sämtliche Standardmaßnahmen für den Schutz des Cloud-Hosts, d. h. Host Firewalls, Network-Intrusion-Prevention-Systeme, Applikationsschutz, Antivirus, regelmäßige Integritätsüberprüfungen wichtiger Systemdateien und Host-based Intrusion-Detection-Systeme. Der Cloud-Dienst sollte ununterbrochen auf Angriffe und Sicherheitsvorfälle überwacht werden, um verdächtige Aktivitäten (z.B. Extraktion großer Datenmengen mehrerer Mandanten), Angriffe und Sicherheitsvorfälle rechtzeitig erkennen und angemessene und zeitnahe Reaktionen einleiten zu können.

Um vorsätzliche Eingriffe auf Datenverarbeitungsvorgänge durch Mitarbeiter zu erschweren, ist der Kreis der Berechtigten klein zu halten und sind Zugriffsberechtigungen restriktiv zu vergeben. Mitarbeiter sollten nur Zugriff auf die Daten und Datenverarbeitungsvorgänge haben, die sie für ihre Aufgabenerledigung benötigen. Eine weitere Maßnahme, um vorsätzliche Eingriffe durch Mitarbeiter zu erschweren, kann die Implementierung eines Vier-Augen-Prinzips sein, das bestimmte Aktionen an Datenverarbeitungsvorgängen nur zulässt, wenn mindestens ein weiterer Mitarbeiter der Aktion zugestimmt hat. Um Zugriffe durch befugte Mitarbeiter nachträglich nachverfolgen zu können, sind die Zugriffe zu protokollieren.

Sämtliche relevanten Sicherheitsereignisse einschließlich aller Sicherheitslücken oder -vorfälle sollten erfasst, protokolliert, revisionssicher archiviert und ausgewertet werden. Ein handlungsfähiges Team für Security-Incident-Handling und Trouble-Shooting sollte ununterbrochen erreichbar sein, damit Sicherheitsvorfälle gemeldet und zeitnah bearbeitet werden können.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er im Datensicherheitskonzept die TOM zur Zugriffskontrolle darlegt.


Nr. 2.5 – Übertragung von Daten und Transportverschlüsselung (Art. 32 Abs. 1 lit. b und Abs. 2 i.V.m. Art. 5 Abs. 1 lit. f und Abs. 2 DSGVO)

 

Kriterium

 

Schutzklasse 1

  1. Der Cloud-Anbieter setzt bei Datenübertragungsvorgängen eine Transportverschlüsselung nach dem Stand der Technik oder gleichermaßen angemessene Maßnahmen ein oder fordert dies durch entsprechende Konfiguration von Schnittstellen. Die eingesetzte Transportverschlüsselung muss gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
  2. Die Maßnahmen sind geeignet, im Regelfall Angriffe Unbefugter aufgrund technischer oder organisatorischer Fehler, einschließlich Bedienfehler, des Cloud-Anbieters oder seiner Mitarbeiter oder fahrlässiger Handlungen des Cloud-Nutzers oder Dritter auszuschließen. Die Maßnahmen sind ferner geeignet, die fahrlässige Weitergabe von Daten an Unbefugte durch den Cloud-Anbieter und seine Mitarbeiter auszuschließen. Gegen vorsätzliche Eingriffe besteht ein Mindestschutz, der diese erschwert. Bei verschlüsselter Übertragung sind die Schlüssel sicher aufzubewahren.
  3. Der Cloud-Anbieter protokolliert automatisiert die Metadaten aller Datenübertragungsvorgänge, einschließlich der Empfänger, auch solche vom und an den Cloud-Nutzer oder an Subauftragsverarbeiter.
  4. Die Anforderungen dieses Kriteriums gelten auch für die Übertragung von Daten im eigenen Netzwerk des Cloud-Anbieters und seiner Subauftragsverarbeiter und zwischen diesen.
  5. Der Cloud-Anbieter schützt den Transport von Datenträgern mit TOM, sodass personenbezogene Daten beim Transport der Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Der Cloud-Anbieter dokumentiert die Transporte.

 

Schutzklasse 2

  1. Die Kriterien von Schutzklasse 1 sind erfüllt.
  2. Der Cloud-Anbieter schützt die Daten gegen vorsätzliches unbefugtes Lesen, Kopieren, Verändern oder Entfernen und schließt zu erwartende Versuche hinreichend sicher aus. Zu den Schutzmaßnahmen gehören insbesondere ein hinreichender Schutz gegen bekannte Angriffsszenarien sowie Maßnahmen, durch die ein unbefugtes Lesen, Kopieren, Verändern oder Entfernen im Regelfall (nachträglich) festgestellt werden kann.

 

Schutzklasse 3

  1. Die Kriterien von Schutzklasse 1 und Schutzklasse 2 sind erfüllt.
  2. Cloud-Anbieter schließt unbefugtes Lesen, Kopieren, Verändern oder Entfernen von Daten hinreichend sicher aus. Er ergreift regelmäßig Maßnahmen zur aktiven Erkennung und Abwehr von Angriffen und stellt jedes unbefugte Lesen, Kopieren, Verändern oder Entfernen von Daten und auch jeden entsprechenden Versuch nachträglich fest. Bei verschlüsselter Übertragung stellt er durch TOM sicher, dass weder er noch seine Mitarbeiter Zugriff auf die Schlüssel haben.

 

Erläuterungen
Das Kriterium der Übertragungs- und Transportkontrolle konkretisiert die in Art. 32 Abs. 1 lit. b und Abs. 2 DSGVO enthaltene, in hohem Maße konkretisierungsbedürftige Pflicht, die Gewährleistungsziele Integrität, Vertraulichkeit und Verfügbarkeit von personenbezogenen Daten und Diensten auf Dauer sicherzustellen und personenbezogene Daten gegen unbeabsichtigte oder unrechtmäßige Vernichtung, Verlust, Veränderung, unbefugten Zugang oder unbefugte Offenlegung während der elektronischen Übertragung, des Transports oder der Speicherung auf Datenträgern zu schützen.

 

Umsetzungshinweis
Die Umsetzungshinweise aus ISO/IEC 27018 Ziff. 10.1.1, A.10.6, A.10.9, ISO/IEC 27002 Ziff. 12.4, ISO/IEC 27040:2017-03 Ziff. 6.7.1 und ISO/IEC 27040:2017-03 Ziff. 7.7.1 sind anwendbar.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er im Datensicherheitskonzept die TOM zur Übertragungskontrolle darlegt.


Nr. 2.6 – Nachvollziehbarkeit der Datenverarbeitung (Art. 32 Abs. 1 lit. b und Abs. 2 i.V.m. Art. 5 Abs. 1 lit. c, e, f und Abs. 2 DSGVO)

 

Kriterium

 

Schutzklasse 1

  1. Der Cloud-Anbieter protokolliert Eingaben, Veränderungen und Löschungen personenbezogener Daten, die bei der bestimmungsgemäßen Nutzung des Cloud-Dienstes durch den Cloud-Nutzer oder bei administrativen Maßnahmen des Cloud-Anbieters erfolgen, um eine nachträgliche Prüfbarkeit und Nachvollziehbarkeit der Datenverarbeitung sicherzustellen. Er beachtet bei Protokollierungen die Grundsätze der Erforderlichkeit, Zweckbindung und Datenminimierung. Er bewahrt die Protokolldaten sicher auf.
  2. Der Cloud-Anbieter gestaltet die Protokollierung so, dass die Nachvollziehbarkeit von Eingaben, Veränderungen und Löschungen im Regelfall auch bei technischen oder organisatorischen Fehlern, einschließlich Bedienfehlern des Cloud-Anbieters oder seiner Mitarbeiter oder fahrlässige Handlungen des Cloud-Nutzers oder Dritter gewahrt bleibt. Er sieht einen Mindestschutz gegen vorsätzliche Manipulationen an den Maßnahmen zur Nachvollziehbarkeit vor, der solche Manipulationen erschwert.

 

Schutzklasse 2

  1. Die Kriterien von Schutzklasse 1 sind erfüllt.
  2. Der Cloud-Anbieter sieht gegen zu erwartende vorsätzliche Manipulationen der Protokollierungsinstanzen und gegen vorsätzliche Zugriffe auf oder Manipulationen von Protokollierungs-dateien (Logs) durch Unbefugte einen Schutz vor, der zu erwartende Manipulationsversuche hinreichend und sicher ausschließt. Zu diesen Schutzmaßnahmen gehören insbesondere ein hinreichender Schutz gegen bekannte Angriffsszenarien sowie Maßnahmen, durch die eine Manipulation im Regelfall (nachträglich) festgestellt werden kann.

 

Schutzklasse 3

  1. Die Kriterien von Schutzklasse 1 und Schutzklasse 2 sind erfüllt.
  2. Der Cloud-Anbieter schließt Manipulationen von Protokollierungsinstanzen und -dateien (Logs) hinreichend sicher aus. Er ergreift regelmäßig Maßnahmen zur aktiven Erkennung von Manipulationen und stellt jede Manipulation und möglichst auch jeden entsprechenden Versuch nachträglich fest.

 

Erläuterung
Das Kriterium der Nachvollziehbarkeit konkretisiert in Teilen die in Art. 32 Abs. 1 lit. b und Abs. 2 DSGVO enthaltene, in hohem Maße konkretisierungsbedürftige Pflicht, die Gewährleistungsziele Integrität, Vertraulichkeit und Verfügbarkeit von personenbezogenen Daten und Diensten auf Dauer sicherzustellen und personenbezogene Daten gegen unbeabsichtigte oder unrechtmäßige Vernichtung, Verlust, Veränderung, unbefugten Zugang oder unbefugte Offenlegung zu schützen. Hierzu muss nachträglich überprüft und festgestellt werden können, ob, wann und von wem und mit welchen inhaltlichen Auswirkungen personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, um gegebenenfalls Zugriffsrechte für die Zukunft anders zu gestalten. Zur sicheren Aufbewahrung der Protokolldaten gehört auch, dass die Auswertbarkeit der Protokolldaten sichergestellt ist.



Da im Rahmen von Protokollierungen regelmäßig personenbezogene Daten anfallen, unterliegt der Umgang mit Protokollierungsdaten ebenfalls datenschutzrechtlichen Anforderungen. Auf die Datenschutzgrundsätze aus Art. 5 DSGVO wird Bezug genommen. Auf das Gewährleistungsziel der Datenminimierung und der Zweckbindung aus Art. 5 Abs. 1 lit. c und b DSGVO ist besonderes Augenmerk zu legen.

 

Umsetzungshinweis
Die Umsetzungshinweise aus ISO/IEC 27018 Ziff. 12.4.1, 12.4.2 und ISO/IEC 27002 Ziff. 12.4 sind anwendbar.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er im Datensicherheitskonzept dokumentiert, wie er durch Festlegung von Gegenstand und Umfang der Protokollierung, Aufbewahrung und Verwendung der Protokolldaten, Integritätsschutz und Löschung von Protokollen, die Datenschutzziele sicherstellt.


Nr. 2.7 – Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO)

 

Kriterium

 

Schutzklasse 1

  1. Der Cloud-Anbieter ermöglicht es dem Cloud-Nutzer, Daten zu verarbeiten, die der Cloud-Nutzer pseudonymisiert überträgt.

 

Schutzklasse 2 und 3

  1. Der Cloud-Anbieter stellt sicher, dass die Daten pseudonymisiert verarbeitet werden. Entsprechend der rechtsverbindlichen Vereinbarung (Nr. 1.7) pseudonymisiert der Cloud-Nutzer die personenbezogenen Daten selbst oder der Cloud-Anbieter führt die Pseudonymisierung auf Weisung des Cloud-Nutzers durch.
  2. Wird die Pseudonymisierung vom Cloud-Anbieter durchgeführt, so stellt dieser sicher, dass die zusätzlichen Informationen zur Identifizierung der betroffenen Person gesondert aufbewahrt werden. Der Datensatz mit der Zuordnung des Kennzeichens zu einer Person muss so geschützt werden, dass zu erwartende Manipulationsversuche hinreichend und sicher ausgeschlossen werden.
  3. Erfordert die Art des Auftrags mit dem Cloud-Nutzer die De-Pseudonymisierung der Daten, stellt der Cloud-Anbieter sicher, dass die De-Pseudonymisierung nur auf dokumentierte Weisung des Cloud-Nutzers erfolgt.
  4. Der Cloud-Anbieter gewährleistet, dass er die technische Entwicklung im Bereich der Pseudonymisierungsverfahren laufend verfolgt und seine Verfahren den aktuellen technischen Empfehlungen (best practice) entsprechen.

 

Erläuterung
In Schutzklasse 1 muss der Cloud-Anbieter, sofern er personenbezogene Daten des Cloud-Nutzers verarbeitet, selbst keinen Pseudonymisierungsdienst anbieten, wohl aber pseudonyme Daten unter Wahrung der Pseudonymität verarbeiten.

 

Die Pseudonymisierung wird neben der Verschlüsselung in Art. 32 Abs. 1 lit. a DSGVO explizit als einzusetzende Sicherheitsmaßnahme benannt. Sie trägt dazu bei, das Gewährleistungsziel der Nichtverkettung zu fördern. Da durch Pseudonymisierung Dritte selbst bei einem unbefugten Zugriff auf den Cloud-Dienst keine Kenntnis von den personenbezogenen Daten erlangen können oder der Personenbezug zumindest erheblich erschwert wird, mindert die Pseudonymisierung die Risiken für die Grundrechte und Grundfreiheiten der betroffenen Personen.

 

Umsetzungshinweis
Der Cloud-Nutzer hat zu prüfen, ob es bereichsspezifische oder generische technische Standards für die Pseudonymisierung gibt, die als verpflichtend vorgeschrieben sind oder empfohlen werden. Der Cloud-Anbieter sollte öffentlich bekannt geben, welche dieser technischen Standards sein Pseudonymisierungsverfahren erfüllt. Beispielsweise kann zur Pseudonymisierung in der medizinischen Informatik DIN EN ISO 25237 herangezogen werden.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er im Datensicherheitskonzept dokumentiert, wie er selbst Pseudonymisierungen durchführt, Identifizierungsdaten sicher aufbewahrt und pseudonymisierte Daten verarbeitet.


Nr. 2.8 – Anonymisierung (Art. 5 Abs. 1 lit. c DSGVO)

 

Kriterium

 

Schutzklasse 1

  1. Der Cloud-Anbieter ermöglicht es dem Cloud-Nutzer, anonyme Daten zu verarbeiten.

 

Schutzklasse 2 und 3

  1. Soweit mit dem Cloud-Nutzer vereinbart (Nr. 1.7), stellt der Cloud-Anbieter sicher, dass die Daten anonymisiert verarbeitet werden. Entsprechend der rechtsverbindlichen Vereinbarung anonymisiert der Cloud-Nutzer die personenbezogenen Daten selbst oder der Cloud-Anbieter auf Weisung.
  2. Wird die Anonymisierung vom Cloud-Anbieter durchgeführt, so gewährleistet er, dass er die technische Entwicklung im Bereich der Anonymisierungsverfahren laufend verfolgt und seine Verfahren den aktuellen technischen Empfehlungen (best practice) entsprechen. Die Anonymisierung muss nach dem Stand der Technik eine Re-Identifizierung der betroffenen Person ausschließen.

 

Erläuterung
In Schutzklasse 1 muss der Cloud-Anbieter, sofern er personenbezogene Daten des Cloud-Nutzers verarbeitet, selbst keinen Anonymisierungsdienst anbieten, wohl aber anonyme Daten unter Wahrung der Anonymität verarbeiten.

 

Die Anonymisierung ist neben dem Verzicht der Datenerhebung die wirksamste Maßnahme zur Daten-vermeidung und Datenminimierung. Sie trägt dazu bei, das Gewährleistungsziel der Datenminimierung zu fördern.

 

Umsetzungshinweis
Der Cloud-Nutzer sollte prüfen, ob es bereichsspezifische technische Standards für die Anonymisierung gibt, die als verpflichtend vorgeschrieben sind oder empfohlen werden. Der Cloud-Anbieter sollte öffentlich bekannt geben, welche dieser technischen Standards sein Anonymisierungsverfahren erfüllt.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er im Datensicherheitskonzept dokumentiert, wie er selbst Anonymisierungen durchführt und anonymisierte Daten verarbeitet.


Nr. 2.9 – Verschlüsselung gespeicherter Daten (Art. 32 Abs. 1 lit. a DSGVO)

 

Kriterium

 

Schutzklasse 1

  1. Der Cloud-Anbieter ermöglicht dem Cloud-Nutzer die Speicherung von verschlüsselten Daten.

 

Schutzklasse 2

  1. Sofern der Cloud-Anbieter personenbezogene Daten des Cloud-Nutzers speichert, bietet er Verschlüsselungsverfahren an, um dem Cloud-Nutzer die Speicherung von verschlüsselten Daten zu ermöglichen oder auf dessen Weisung hin, die Daten selbst zu verschlüsseln.
  2. Der Cloud-Anbieter verfolgt laufend die technische Entwicklung im Bereich der Verschlüsselung. Die von ihm getroffenen Maßnahmen entsprechen den aktuellen technischen Empfehlungen (best practice).
  3. Der Cloud-Anbieter prüft fortdauernd die Eignung seiner Verschlüsselungsverfahren und aktualisiert diese bei Bedarf.
  4. Der Cloud-Anbieter überprüft die angemessene Implementierung seiner Verschlüsselungsverfahren durch geeignete Tests und dokumentiert diese.

 

Schutzklasse 3

  1. Auf Weisung des Cloud-Nutzers unterstützt der Cloud-Anbieter diesen bei der Verschlüsslung und Entschlüsselung der Daten. Die Unterstützung erfolgt in Form von Dokumentationen und Hilfsmaßnahmen zur Durchführung von Verschlüsselung, ohne dass der Cloud-Anbieter den Schlüssel kennen kann.
  2. Der Cloud-Anbieter verfolgt die technische Entwicklung im Bereich der Verschlüsselung und hält seine unterstützenden Maßnahmen in Form von Dokumentationen und Hilfsmaßnahmen zur Durchführung von Verschlüsselung auf dem Stand der aktuellen technischen Empfehlungen (best practice).

 

Erläuterung
In Schutzklasse 1 muss der Cloud-Anbieter, sofern er personenbezogene Daten des Cloud-Nutzers speichert, kein Verfahren zur Verschlüsselung anbieten, wohl aber verschlüsselte Daten unter Wahrung der Verschlüsselung speichern.

 

In Schutzklasse 3 verschlüsselt der Cloud-Nutzer die Daten selbst. Daher liegt es auch in seiner Verantwortung, die Schlüssel sicher aufzubewahren.

 

Die Verschlüsselung wird neben der Pseudonymisierung in Art. 32 Abs. 1 lit. a DSGVO explizit als eine einzusetzende Sicherheitsmaßnahme benannt. Zweck der Verschlüsselung ist es, die Gewährleistungsziele der Vertraulichkeit und Integrität sicherzustellen. Die Schwelle, ab der zu verschlüsseln ist, ist niedrig, sodass personenbezogene Daten bereits bei niedrigem Risiko verschlüsselt werden sollten, soweit dies möglich ist.

 

Umsetzungshinweis
Der Stand der Technik ergibt sich aus aktuellen technischen Normen für kryptographische Verfahren und deren Anwendung. Die Umsetzungshinweise aus ISO/IEC 27018 Ziff. 10 und ISO/IEC 27002, Z. 10 sind anwendbar.

Soweit der Cloud-Anbieter Daten verschlüsselt, sollte die Schlüsselerzeugung in einer sicheren Umgebung und unter Einsatz geeigneter Schlüsselgeneratoren erfolgen. Kryptografische Schlüssel sollten möglichst nur einem Einsatzzweck dienen und generell nie in klarer Form, sondern grundsätzlich verschlüsselt im System gespeichert werden. Die Speicherung muss stets redundant gesichert und wiederherstellbar sein, um einen Verlust eines Schlüssels auszuschließen. Schlüsselwechsel müssen regelmäßig durchgeführt werden. Der Zugang zum Schlüsselverwaltungssystem sollte eine separate Authentisierung erfordern. Cloud-Administratoren dürfen keinen Zugriff auf Nutzerschlüssel haben.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er im Datensicherheitskonzept dokumentiert, dass die angebotenen und angewandten Verschlüsselungsverfahren den aktuellen technischen Anforderungen entsprechen. Er legt Prozessdokumentationen vor, wie er die technische Entwicklung im Bereich der Verschlüsselung verfolgt und die Geeignetheit des Verfahrens fortdauernd prüft und es gegebenenfalls aktualisiert. Er weist in seinem Datensicherheitskonzept nach, dass er bei Diensten der Schutzklasse 2 die Verschlüsselungstechniken durch geeignete technische Tests geprüft hat.


Nr. 2.10 – Getrennte Verarbeitung (Art. 5 Abs. 1 lit. b i.V.m. Art. 24, 25, 32 Abs. 1 lit. b und Abs. 2 DSGVO)

 

Kriterium

 

Schutzklasse 1

  1. Der Cloud-Anbieter verarbeitet die Daten des Cloud-Nutzers logisch oder physisch getrennt von den Datenbeständen anderer Cloud-Nutzer und von anderen Datenbeständen des Cloud-Anbieters und ermöglicht dem Cloud-Nutzer, die Datenverarbeitung nach verschiedenen Verarbeitungszwecken zu trennen (sichere Mandantentrennung).
  2. Die Datentrennung muss im Regelfall auch bei technischen oder organisatorischen Fehlern, einschließlich Bedienfehlern, des Cloud-Anbieters oder seiner Mitarbeiter oder fahrlässiger Handlungen des Cloud-Nutzers oder Dritter gewahrt sein. Der Cloud-Anbieter realisiert einen Mindestschutz, der vorsätzliche Verstöße gegen das Trennungsgebot verhindert.

 

Schutzklasse 2

  1. Die Kriterien von Schutzklasse 1 sind erfüllt.
  2. Der Cloud-Anbieter bietet gegen zu erwartende vorsätzliche Verstöße einen Schutz, der diese hinreichend sicher ausschließt. Dazu gehören im Rahmen der Datenspeicherung die Verschlüsselung mit individuellen Schlüsseln und die Verwendung getrennter Betriebsumgebungen für verschiedene Verarbeitungen oder der Einsatz gleichwertiger Verfahren. Der Cloud-Anbieter kann vorsätzliche Verstöße gegen das Trennungsgebot im Regelfall (nachträglich) feststellen, z.B. durch Protokollierung der Zugriffe.

 

Schutzklasse 3

  1. Die Kriterien von Schutzklasse 1 und Schutzklasse 2 sind erfüllt.
  2. Der Cloud-Anbieter schließt eine Verletzung der Datentrennung hinreichend sicher aus. Dazu gehören im Rahmen der Datenspeicherung die Verschlüsselung mit getrennten Schlüsseln und die Verwendung getrennter Betriebsumgebungen für verschiedene Verarbeitungen oder der Einsatz gleichwertiger Verfahren. Er betreibt ein Verfahren zur Erkennung von vorsätzlichen Verstößen gegen die getrennte Verarbeitung.

 

Erläuterung
Das Kriterium fördert das Gewährleistungsziel der Verfügbarkeit, Integrität, Vertraulichkeit und Nichtverkettung und zielt damit auch auf die Sicherstellung des Zweckbindungsgrundsatzes aus Art. 5 Abs. 1 lit. b DSGVO. Eine sichere Mandantentrennung schützt die Daten vor unbefugtem Zugang, Veränderungen und Vernichtung und verhindert eine unerwünschte Verkettung der Daten.

 

Hinsichtlich der Trennung der Datenverarbeitung nach verschiedenen Verarbeitungszwecken ist zu beachten, dass der Cloud-Anbieter lediglich die technische Möglichkeit der getrennten Verarbeitung bieten muss, während die Umsetzung der getrennten Datenverarbeitung nach Verarbeitungszwecken dem Cloud-Nutzer obliegt.

 

Umsetzungshinweis
Die Umsetzungshinweise aus ISO/IEC 27002 Ziff. 12.1.4, 13.1.3 sind anwendbar.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er im Datensicherheitskonzept dokumentiert, welche TOM er ergriffen hat, um die Daten unterschiedlicher Nutzer voneinander zu trennen und die Daten eines Nutzers nach den Verarbeitungszwecken trennen zu können.


Nr. 2.11– Wiederherstellbarkeit nach physischem oder technischem Zwischenfall (Art. 32 Abs. 1 lit. c DSGVO)

 

Kriterium

  1. Der Cloud-Anbieter stellt durch risikoangemessene TOM sicher, dass nach einem physischen oder technischen Zwischenfall der Cloud-Dienst und die Daten so rasch wiederhergestellt werden und verfügbar sind, wie es in der rechtsverbindlichen Vereinbarung zur Auftragsverarbeitung vereinbart ist. Hierbei wird zwischen den Wiederherstellbarkeitsklassen 1, 2 und 3 unterschieden:

    Wiederherstellbarkeitsklasse 1
    Der Cloud-Anbieter sichert seinen Dienst gegen zu erwartende, naheliegende Ereignisse so zuverlässig ab, dass diese Risiken bei normalem Verlauf nicht zu einem Ausfall des Cloud-Dienstes oder einem endgültigen Datenverlust führen. Ereignisse sind zu erwartend und naheliegend, wenn sie nicht vorkommen sollen, nach der Lebenserfahrung aber trotz hinreichender Vorsicht nicht ausgeschlossen werden können, wie etwa Unfälle im Straßenverkehr oder der technische Defekt von Hardware.

    Wiederherstellbarkeitsklasse 2
    Der Cloud-Anbieter sichert seinen Dienst gegen seltene Ereignisse so zuverlässig ab, dass diese Risiken bei normalem Verlauf der Datenverarbeitung nicht zu einem Ausfall des Cloud-Dienstes oder einem endgültigen Datenverlust führen. Ereignisse sind selten, wenn sie nicht vorkommen sollen und nach der Lebenserfahrung bei hinreichender Vorsicht wenig wahrscheinlich, aber gleichwohl in einigen Fällen zu beobachten sind, wie etwa „Jahrhunderthochwasser“ oder gezielte, umfangreiche Angriffe auf den Cloud-Dienst oder ein plötzlich erhöhtes Zugriffsvolumen.

    Wiederherstellbarkeitsklasse 3
    Der Cloud-Anbieter gewährleistet für seinen Dienst einen hohen Schutz zu, der außergewöhnliche, aber nicht als theoretisch auszuschließende Ereignisse so zuverlässig absichert, dass diese Risiken bei normalem Verlauf der Datenverarbeitung nicht zu einem Ausfall des Cloud-Dienstes oder einem endgültigen Datenverlust führen. Ereignisse sind außergewöhnlich, aber nicht als theoretisch auszuschließen, wenn sie nicht vorkommen sollen und nach der Lebenserfahrung nicht auftreten, aber gleichwohl in extrem seltenen Einzelfällen zu beobachten sind, wie etwa „Black Swan“-Ereignisse oder ein unkontrollierbarer Blitzeinschlag ins Rechenzentrum.

  2. Der Cloud-Anbieter stellt dem Cloud-Nutzer sein Konzept der geeigneten TOM auf Anfrage zur Verfügung.

 

Erläuterung
Das Kriterium fördert das Gewährleistungsziel der Verfügbarkeit. Gemäß Art. 32 Abs. 1 lit. c DSGVO muss die Wiederherstellung „rasch“ erfolgen. Was als „rasch“ gilt, hängt auch von der Schwere des Zwischenfalls und der Bedeutung der Systeme und Daten ab. Der Cloud-Nutzer muss wählen können, welcher Wiederherstellungszeitraum ihm ausreicht. Z.B. sind an die Wiederherstellbarkeit des Dienstes und der Daten im Krankenhaus strengere Anforderungen zu stellen als an die im Datenarchiv.

 

Da die Verfügbarkeit von Diensten und personenbezogenen Daten nicht notwendigerweise mit ihrer Schutzbedürftigkeit nach dem Schutzklassenkonzept zusammenfallen muss, sondern auf der Seite des Cloud-Nutzers auch das Erfordernis bestehen kann, dass personenbezogene Daten der Schutzklasse 1 nach einem physischen oder technischen Zwischenfall sehr schnell wiederhergestellt sein müssen, wird bei diesem Kriterium nicht nach den Schutzklassen unterschieden. Stattdessen wird die Möglichkeit der Wiederherstellung in den Wiederherstellbarkeitsklassen 1, 2 und 3 ausgedrückt. Für eine Differenzierung spricht auch, dass es bei der Wiederherstellung nach einem physischen oder technischen Zwischenfall nicht wie bei den anderen Kriterien der Nummer 2 um den Normalbetrieb geht, sondern um physische oder technische Störfälle.

 

Als Ereignisse gelten Naturereignisse, Störungen der Infrastruktur sowie Betriebsstörungen, Bedienungsfehler oder vorsätzliche Eingriffe.

 

Umsetzungshinweis
Zur Wiederherstellung von Daten und Systemen sollte ein Cloud-Anbieter ein wirksames Datensicherungskonzept erstellen, in dem er Systeme zu Datensicherungen, ein Notfallmanagement, Pläne zur Wiederherstellung und zur Schadensbegrenzung sowie einen Plan zur regelmäßigen Überprüfung und Aktualisierung der vorgesehenen Maßnahmen vorsieht.

Es sollten regelmäßig Sicherheitskopien von Daten, Prozesszuständen, Konfigurationen, Datenstrukturen, Transaktionshistorien u. ä. gemäß einem Datensicherungskonzept angefertigt werden. Hierin sollten auch Aufbewahrungs- und Schutzanforderungen festgelegt werden. Für die Aufstellung eines Datensicherungskonzepts sind die Umsetzungshinweise aus ISO/IEC 27018 Ziff. 12.3.1, A.10.3 anwendbar.

Die Datensicherungsstrategien und -maßnahmen des Datensicherungskonzepts sollten für Cloud-Nutzer transparent definiert werden, sodass alle Informationen nachvollziehbar sind, einschließlich Umfang, Speicherintervallen, Speicherzeitpunkten und Speicherdauern.

Neben der Erstellung von Sicherheitskopien sollte der Cloud-Anbieter ein Notfallmanagement mit entsprechenden Notfallplänen etablieren. Dabei gilt es unter anderem, mögliche Unterbrechungen zu identifizieren und zu bewerten, sodass Pläne zur Wiederherstellung und Schadensbegrenzung entwickelt und im Notfall eingesetzt werden können. Die entwickelten Notfallpläne sind fortlaufend zu aktualisieren und auf ihre Wirksamkeit zu testen, um bei einem Eintritt einer Unterbrechung eine möglichst schnelle Reaktion sicherzustellen.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er im Datensicherheitskonzept dokumentiert, welche Wiederherstellbarkeitszeiten sein Dienst bietet, mit welchen Ereignissen er sich auseinandergesetzt hat, die zu einem physischen, organisatorischen oder technischen Zwischenfall führen können, und welche konkreten Maßnahmen zur Wiederherstellbarkeit der Daten nach einem Zwischenfall er ergriffen hat.

 

Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., & Teigeler, H. (2019)
AUDITOR-Kriterienkatalog – Entwurfsfassung 0.9. Karlsruhe, Germany: KIT. DOI: 10.5445/IR/1000092273; 24.07.2019
www.auditor-cert.de

 

cyber security

 

Cyber Security

Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

08/2019

 

Nr. 3 – Sicherstellung der Weisungsbefolgung

Kapitel II: Kriterien und Umsetzungsempfehlungen für die Auftragsverarbeitung

 

Rechte und Pflichten des Cloud-Anbieters

 

Nr. 3 – Sicherstellung der Weisungsbefolgung (Art. 28 Abs. 3 Satz 2 lit. a; 29 DSGVO)

 

Kriterium

 

Schutzklasse 1

  1. Der Cloud-Anbieter führt die Datenverarbeitung im Auftrag ausschließlich auf dokumentierte Weisung des Cloud-Nutzers aus.
  2. Der Cloud-Anbieter gewährleistet, dass die Verarbeitung der Daten des Cloud-Nutzers nur nach Maßgabe der Weisungen des Cloud-Nutzers erfolgt. Er schließt im Regelfall Abweichungen von den Weisungen aufgrund technischer oder organisatorischer Fehler, einschließlich Bedienfehler, des Cloud-Anbieters oder seiner Mitarbeiter oder fahrlässiger Handlungen des Cloud-Nutzers oder Dritter aus. Gegen vorsätzliche Manipulationen von Weisungen ist ein Mindestschutz vorzusehen, der diese erschwert.
  3. Im Rahmen von standardisierten Massengeschäften gewährleistet der Cloud-Anbieter die Einhaltung einer konkreten und nachvollziehbaren Dienstbeschreibung zu den von ihm technisch ausführbaren Dienstleistungen, sodass der Cloud-Nutzer den Cloud-Anbieter durch seine Auswahl für eine Auftragsverarbeitung anweisen kann. Zudem ermöglicht er dem Cloud-Nutzer, Weisungen mittels Softwarebefehlen zu erteilen, die automatisiert ausgeführt und dokumentiert werden.

Schutzklasse 2

  1. Die Kriterien von Schutzklasse 1 sind erfüllt.
  2. Der Cloud-Anbieter schließt ein Abweichen von den Weisungen durch zu erwartende vorsätzliche Eingriffe hinreichend sicher aus und stellt Eingriffe im Regelfall (nachträglich) fest.

 

Schutzklasse 3

  1. Die Kriterien von Schutzklasse 1 und Schutzklasse 2 sind erfüllt.
  2. Der Cloud-Anbieter schließt Abweichungen von den Weisungen des Cloud-Nutzers hinreichend sicher aus, und protokolliert fortlaufend und umfassend Administratorenzugriffe.

 

Umsetzungshinweis
Der Cloud-Anbieter unterweist alle Mitarbeiter, deren Tätigkeiten im Zusammenhang mit der Verarbeitung von personenbezogenen Daten stehen, in die vertraglich dokumentierten Weisungen (Art. 29 DSGVO) und stellt auch in einer etwaigen Datenverarbeitungskette die Weisungsbefolgung sicher. Der Cloud-Anbieter hat regelmäßig zu kontrollieren, ob die Weisungen des Cloud-Nutzers eingehalten werden.

In der Praxis werden Weisungen des Cloud-Nutzers insbesondere mittels Softwarebefehlen automatisiert ausgeführt (z.B. durch Interaktion mit einer graphischen Benutzeroberfläche oder über Kommandozeileneingabe), weshalb diese Nutzerinteraktionen auch automatisiert protokolliert oder dokumentiert werden sollten.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er im Datensicherheitskonzept dokumentiert, wie er Weisungen des Cloud-Nutzers empfängt, umsetzt und dokumentiert. Bei Massengeschäften erbringt der Cloud-Anbieter den Nachweis über seine konkrete Dienstbeschreibung zu seinen technisch ausführbaren Dienstleistungen und den Nachweis zur Ausführbarkeit von Weisungen durch Softwarebefehle in Form einer technischen Dokumentation oder durch Dienstnutzung.

 

Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., & Teigeler, H. (2019)
AUDITOR-Kriterienkatalog – Entwurfsfassung 0.9. Karlsruhe, Germany: KIT. DOI: 10.5445/IR/1000092273; 24.07.2019
www.auditor-cert.de

 

cyber security

 

Cyber Security


Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

08/2019

 

Nr. 4 – Hinweispflicht des Cloud-Anbieters

Kapitel II: Kriterien und Umsetzungsempfehlungen für die Auftragsverarbeitung

 

Rechte und Pflichten des Cloud-Anbieters

 

Nr. 4 – Hinweispflicht des Cloud-Anbieters

Nr. 4.1 – Weisungen entgegen datenschutzrechtlicher Vorschriften (Art. 28 Abs. 3 Satz 3 i.V.m Art. 29 DSGVO)

 

Kriterium
Der Cloud-Anbieter informiert den Cloud-Nutzer unverzüglich, wenn er der Ansicht ist, dass eine Weisung des Cloud-Nutzers gegen datenschutzrechtliche Vorschriften verstößt.

 

Erläuterung
Die Verantwortung für die Konformität einer Weisung mit dem geltenden Datenschutzrecht liegt beim Cloud-Nutzer. Dennoch darf der Cloud-Anbieter eine Weisung, deren Rechtmäßigkeit er bezweifelt, nicht unbesehen ausführen. Vielmehr muss er den Cloud-Nutzer warnen, wenn er Zweifel an der Vereinbarkeit einer Weisung mit dem geltenden Datenschutzrecht hat, und die Entscheidung des Cloud-Nutzers abwarten.

 

Umsetzungshinweis
Bei der Aufnahme von Weisungen in die rechtsverbindliche Vereinbarung zur Auftragsverarbeitung und bei jeder nach deren Abschluss ergangenen Weisung sollte der Cloud-Anbieter seinen Datenschutzbeauftragten konsultieren, wenn sich die Datenschutzwidrigkeit der Weisung einem datenschutzrechtlich geschulten Mitarbeiter des Cloud-Dienstes aufdrängt. Der Cloud-Anbieter hat keine Pflicht, eine Weisung ohne Anlass zu überprüfen.

Bei Massengeschäften, in denen der Cloud-Nutzer durch die Auswahl des Cloud-Dienstes aufgrund einer Dienstbeschreibung des Cloud-Anbieters die Weisung erteilt, hat der Cloud-Anbieter TOM zu treffen, durch die er den Cloud-Nutzer darauf hinweist, wenn dieser seinen Dienst datenschutzwidrig entgegen der Dienstbeschreibung nutzt (z.B. die vom Cloud-Anbieter zur Verfügung gestellten Datensicherungsmaßnahmen wie Verschlüsselung und Pseudonymisierung nicht nutzt).

Die Umsetzungshinweise aus ISO/IEC 27018 Ziff. 16.1.1 sind anwendbar.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, indem er dokumentiert, wie er Weisungen prüft, Zweifel an deren datenschutzrechtlicher Zulässigkeit erkennt und den Cloud-Nutzer vor Ausführung der Weisung darauf hinweist.


Nr. 4.2 – Änderungen des Datenverarbeitungsortes (indirekt Art. 28 Abs. 3 Satz 2 lit. a DSGVO)

 

Kriterium
Der Cloud-Anbieter informiert den Cloud-Nutzer unverzüglich in allen Fällen, in denen sich während des Geltungszeitraums der Vereinbarung der Ort der Datenerarbeitung gegenüber dem in der Vereinbarung festgelegten (Nr. 1.5) aus Gründen ändert, die im Verantwortungsbereich des Cloud-Anbieters liegen oder für beide Parteien unvorhersehbar sind.

 

Umsetzungshinweis
Bei Massengeschäften sollte ein Kommunikationsprozess, möglichst unterstützt durch ein automatisiertes Informationssystem innerhalb des Cloud-Dienstes, beispielsweise auf der Website des Cloud-An-bieters, eingerichtet werden, wodurch der Cloud-Nutzer bei Ortsänderungen die Möglichkeit der Kenntnisnahme vom Ort der Datenverarbeitung erhält.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er Maßnahmen und Zuständigkeiten dokumentiert, die er implementiert hat, um den Cloud-Nutzer bei Änderungen des Datenverarbeitungs-ortes zu informieren.

 

Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., & Teigeler, H. (2019)
AUDITOR-Kriterienkatalog – Entwurfsfassung 0.9. Karlsruhe, Germany: KIT. DOI: 10.5445/IR/1000092273; 24.07.2019
www.auditor-cert.de

 

cyber security

 

Cyber Security


Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

08/2019

 

Nr. 5 – Sicherstellung der Vertraulichkeit

Kapitel II: Kriterien und Umsetzungsempfehlungen für die Auftragsverarbeitung

 

Rechte und Pflichten des Cloud-Anbieters

 

Nr. 5 – Sicherstellung der Vertraulichkeit beim Personal (Art. 28 Abs. 3 Satz 2 lit. b DSGVO)

 

Kriterium

  1. Der Cloud-Anbieter richtet ein organisatorisches Verfahren ein, um sicherzustellen, dass die zur Verarbeitung von personenbezogenen Daten befugten Personen vor Aufnahme der datenverarbeitenden Tätigkeit zur Vertraulichkeit gemäß der Vereinbarung zur Auftragsverarbeitung (Nr. 1.6) verpflichtet werden, sofern sie nicht bereits einer angemessenen vergleichbaren gesetzlichen Verschwiegenheitspflicht unterliegen.
  2. Das organisatorische Verfahren umfasst auch die Dokumentation der Verpflichtungserklärungen sowie ihre Anpassungen, wenn sich Zugriffs- und Verarbeitungsbefugnisse ändern.

 

Erläuterung
Die Verpflichtung zur Vertraulichkeit und die Belehrung zur Verschwiegenheit fördern das Gewährleistungsziel der Vertraulichkeit (s. auch Nr. 1.6).

 

Umsetzungshinweis
Den Mitarbeitern des Cloud-Anbieters sollte der Cloud-Anbieter eine Ausfertigung des Verpflichtungs-textes mitsamt den Hinweisen auf mögliche Folgen von Verschwiegenheitspflichtverletzungen aushändigen. Er sollte die Belehrung in angemessenen Abständen wiederholen, etwa im Zusammenhang mit Schulungen oder insbesondere bei Änderung der Zugriffs- und Verarbeitungskompetenz des jeweiligen Mitarbeiters. Außerdem sollte der Cloud-Anbieter die betroffenen Personen zu Fragen des Datenschutzes und der Datensicherheit in Bezug auf ihre Tätigkeit regelmäßig sensibilisieren.

In der Dokumentation des Verfahrens sollte er Festlegungen treffen, wer für die Vornahme der Belehrung und Verpflichtung verantwortlich ist, wer sie wann und in welcher Weise durchführt, welche Personen zu welchem Zeitpunkt verpflichtet und belehrt werden müssen und welcher Nachweis über die Verpflichtung und Belehrung wo und wie lange aufbewahrt wird.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er Belehrungen und Verpflichtungen sowie die zugehörigen Verfahren und Zuständigkeiten dokumentiert.

 

Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., & Teigeler, H. (2019)
AUDITOR-Kriterienkatalog – Entwurfsfassung 0.9. Karlsruhe, Germany: KIT. DOI: 10.5445/IR/1000092273; 24.07.2019
www.auditor-cert.de

 

cyber security

 

Cyber Security


Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

08/2019

 

Nr. 6 – Unterstützung des Cloud-Nutzers

Kapitel II: Kriterien und Umsetzungsempfehlungen für die Auftragsverarbeitung

 

Rechte und Pflichten des Cloud-Anbieters

 

Nr. 6 – Unterstützung des Cloud-Nutzers bei der Wahrung der Betroffenenrechte

 

Erläuterung
Für die Erfüllung der Rechte der betroffenen Personen ist der Cloud-Nutzer als Verantwortlicher zuständig. Soweit ihm dies aber nicht selbst möglich ist, muss ihn der Cloud-Anbieter als Auftragsverarbeiter unterstützen. Für diesen Fall muss er eine Kontaktstelle für den Cloud-Nutzer vorhalten, die durch angemessene Erreichbarkeit und Befugnisse eine unverzügliche Umsetzung von Betroffenenrechten veranlassen kann.


Nr. 6.1 – Auskunftserteilung (Art. 28 Abs. 3 lit. e i.V.m. Art. 15 DSGVO)

 

Kriterium

  1. Der Cloud-Anbieter stellt sicher, dass der Cloud-Nutzer die Möglichkeit hat, betroffenen Personen Auskunft über die Datenverarbeitung zu erteilen und ihnen eine Kopie der personenbezogenen Daten zur Verfügung zu stellen oder dies durch den Cloud-Anbieter vornehmen zu lassen.
  2. Der Cloud-Anbieter dokumentiert Weisungen zur Umsetzung der Betroffenenrechte.
  3. Der Cloud-Anbieter ist von der Auskunftserteilung in jenen Fällen entbunden, in denen der Verantwortungsbereich beim Cloud-Nutzer liegt und dieser über Anwendungen und Dateien bestimmt.

 

Erläuterung
Der Cloud-Nutzer ist nach Art. 15 DSGVO verpflichtet, der betroffenen Person auf Antrag Auskunft über eine Datenverarbeitung und ihre Umstände zu erteilen. Der Cloud-Anbieter hat den Cloud-Nutzer durch geeignete TOM bei der Erfüllung der Rechte betroffener Personen zu unterstützen. Dieses Kriterium fördert die Gewährleistungsziele der Transparenz und der Intervenierbarkeit.

 

Umsetzungshinweis
Soweit dem Cloud-Nutzer eine Umsetzung der Betroffenenrechte nicht selbst möglich ist, sollte eine organisatorische Kontaktstelle für den Cloud-Nutzer vorgehalten werden, die durch angemessene Erreichbarkeit und Befugnisse eine unverzügliche Umsetzung von Betroffenenrechten veranlassen kann.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, indem er dokumentiert, welche Maßnahmen er ergriffen hat, um dem Cloud-Nutzer die Auskunftserteilung gegenüber einer betroffenen Person zu ermöglichen oder die Auskunft durch den Cloud-Anbieter erteilen zu lassen. Auch können anhand einer Prozessdokumentation die tatsächlich durchgeführten Auskunftserteilungen nachgewiesen werden.


Nr. 6.2 – Berichtigung und Vervollständigung (Art. 28 Abs. 3 lit. e i.V.m. Art. 16 DSGVO)

 

Kriterium

  1. Der Cloud-Anbieter stellt durch geeignete Maßnahmen sicher, dass der Cloud-Nutzer die Möglichkeit hat, die Berichtigung und Vervollständigung personenbezogener Daten selbst vorzunehmen oder durch den Cloud-Anbieter vornehmen zu lassen.
  2. Der Cloud-Anbieter dokumentiert Weisungen zur Umsetzung der Betroffenenrechte.
  3. Der Cloud-Anbieter ist von der Berichtigung und Vervollständigung in jenen Fällen entbunden, in denen der Verantwortungsbereich beim Cloud-Nutzer liegt und dieser über Anwendungen und Dateien bestimmt.

 

Erläuterung
Der Cloud-Nutzer ist nach Art. 16 DSGVO verpflichtet, auf Antrag unrichtige personenbezogene Daten zu berichtigen und unvollständige personenbezogene Daten zu vervollständigen. Der Cloud-Anbieter ist verpflichtet, den Cloud-Nutzer durch geeignete TOM bei der Erfüllung der Rechte betroffener Personen zu unterstützen. Die Berichtigung gemäß Art. 16 DSGVO fördert das Gewährleistungsziel der Intervenierbarkeit.

 

Umsetzungshinweis
Soweit dem Cloud-Nutzer eine Umsetzung der Betroffenenrechte nicht selbst möglich ist, sollte eine organisatorische Kontaktstelle für den Cloud-Nutzer vorgehalten werden, die durch angemessene Erreichbarkeit und Befugnisse eine unverzügliche Umsetzung von Betroffenenrechten veranlassen kann.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er dokumentiert, welche Maßnahmen er ergriffen hat, um dem Cloud-Nutzer die Berichtigung und Vervollständigung von Daten zu ermöglichen oder diese durch den Cloud-Anbieter vornehmen zu lassen. Auch können anhand einer Prozessdokumentation die tatsächlich durchgeführten Berichtigungen und Vervollständigungen nachgewiesen werden.


Nr. 6.3 – Löschung (Art. 28 Abs. 3 lit. e i.V.m. Art. 17 Abs. 1 DSGVO)

 

Kriterium

  1. Der Cloud-Anbieter stellt sicher, dass der Cloud-Nutzer die Möglichkeit hat, die Löschung personenbezogener Daten selbst vorzunehmen oder durch den Cloud-Anbieter vornehmen zu lassen.
  2. Der Cloud-Anbieter dokumentiert Weisungen zur Umsetzung der Betroffenenrechte.
  3. Der Cloud-Anbieter ist von der Löschung in jenen Fällen entbunden, in denen der Verantwortungsbereich beim Cloud-Nutzer liegt und dieser über Anwendungen und Dateien bestimmt.

 

Erläuterung
Der Cloud-Nutzer ist nach Art. 17 Abs. 1 DSGVO verpflichtet, personenbezogene Daten zu löschen. Der Cloud-Anbieter ist verpflichtet, den Cloud-Nutzer durch geeignete TOM bei der Erfüllung der Rechte betroffener Personen zu unterstützen. Das Kriterium fördert die Gewährleistungsziele der Intervenier-barkeit und Nichtverkettung.

 

Umsetzungshinweis
Die Umsetzungshinweise aus ISO/IEC 27040:2017-03 Ziff. 6.8.1 zur Datenlöschung sind anwendbar.

Die Erstellung eines Löschkonzepts, z.B. nach DIN 66398-2016, wird empfohlen. Dieses kann die Fest-legung von Löschverfahren beinhalten, mit denen es dem Cloud-Nutzer ermöglicht wird, seinen Löschungspflichten nachzukommen. Dies sollte auch Backup- und Ausfallsicherungssysteme, einschließlich aller Vorgängerversionen der Daten, temporäre Dateien, Metadaten und Dateifragmente umfassen. Die Maßnahmen aus DIN 66398 zur Erstellung eines Löschkonzepts sowie DIN 66993 zur Vernichtung von Datenträgern können hinzugezogen werden.

Alle Datenträger des Cloud-Anbieters sollten durch den Einsatz eines formalen Managementverfahrens sicher und geschützt entsorgt werden, wenn sie nicht mehr benötigt werden.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er dokumentiert, welche Maßnahmen er ergriffen hat, um dem Cloud-Nutzer die Löschung von Daten zu ermöglichen oder diese durch den Cloud-Anbieter vornehmen zu lassen. Auch können anhand einer Prozessdokumentation die tatsächlich durchgeführten Löschungen nachgewiesen werden.


Nr. 6.4 – Einschränkung der Verarbeitung (Art. 28 Abs. 3 lit. e i.V.m. Art. 18 Abs. 1 DSGVO)

 

Kriterium

  1. Der Cloud-Anbieter stellt sicher, dass der Cloud-Nutzer die Möglichkeit hat, die Verarbeitung personenbezogener Daten selbst einzuschränken oder die Einschränkung durch den Cloud-Anbieter vornehmen zu lassen.
  2. Der Cloud-Anbieter dokumentiert Weisungen zur Umsetzung der Betroffenenrechte.
  3. Der Cloud-Anbieter ist von der Einschränkung der Verarbeitung in jenen Fällen entbunden, in denen der Verantwortungsbereich beim Cloud-Nutzer liegt und dieser über Anwendungen und Dateien bestimmt.

 

Erläuterung
Der Cloud-Nutzer ist nach Art. 18 Abs. 1 DSGVO verpflichtet, die Verarbeitung personenbezogener Daten unter bestimmten Voraussetzungen einzuschränken. Der Cloud-Anbieter ist verpflichtet, den Cloud-Nutzer durch geeignete TOM bei der Erfüllung der Rechte betroffener Personen zu unterstützen. Das Kriterium fördert das Gewährleistungsziel der Intervenierbarkeit.

 

Umsetzungshinweis
Soweit dem Cloud-Nutzer eine Umsetzung der Betroffenenrechte nicht selbst möglich ist, sollte eine organisatorische Kontaktstelle für den Cloud-Nutzer vorgehalten werden, die durch angemessene Erreichbarkeit und Befugnisse eine unverzügliche Umsetzung von Betroffenenrechten veranlassen kann.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er dokumentiert, welche Maßnahmen er ergriffen hat, um dem Cloud-Nutzer die Einschränkung der Verarbeitung von Daten zu ermöglichen oder dies durch den Cloud-Anbieter vornehmen zu lassen.


Nr. 6.5 – Mitteilungspflicht bei Berichtung, Löschung oder Einschränkung der Verarbeitung (Art. 28 Abs. 3 lit. e i.V.m. Art. 19 DSGVO)

 

Kriterium

  1. Der Cloud-Anbieter stellt sicher, dass der Cloud-Nutzer die Möglichkeit hat, Empfängern, denen er personenbezogene Daten offengelegt hat, jede Berichtigung, Löschung oder Einschränkung der Verarbeitung mitzuteilen oder die Mitteilung durch den Cloud-Anbieter vornehmen zu lassen, sowie die betroffene Person auf Verlangen über die Empfänger zu unterrichten.
  2. Der Cloud-Anbieter dokumentiert Weisungen zur Umsetzung der Betroffenenrechte.
  3. Der Cloud-Anbieter ist von der Mitteilungspflicht in jenen Fällen entbunden, in denen der Verantwortungsbereich beim Cloud-Nutzer liegt und dieser über Anwendungen und Dateien bestimmt.

 

Erläuterung
Der Cloud-Nutzer ist nach Art. 19 DSGVO verpflichtet, Empfängern, denen er personenbezogene Daten offengelegt hat, jede Berichtigung, Löschung oder Einschränkung der Verarbeitung mitzuteilen und die betroffene Person auf Verlangen über die Empfänger zu unterrichten. Soweit der Cloud-Anbieter an der Offenlegung beteiligt war, ist er verpflichtet, den Cloud-Nutzer durch geeignete TOM bei der Erfüllung der Rechte betroffener Personen zu unterstützen. Das Kriterium fördert die Gewährleistungsziele der Transparenz und der Intervenierbarkeit.

 

Umsetzungshinweis
Soweit dem Cloud-Nutzer eine Umsetzung der Betroffenenrechte nicht selbst möglich ist, sollte eine organisatorische Kontaktstelle für den Cloud-Nutzer vorgehalten werden, die durch angemessene Erreichbarkeit und Befugnisse eine unverzügliche Umsetzung von Betroffenenrechten veranlassen kann.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er dokumentiert, welche Maßnahmen er ergriffen hat, um es dem Cloud-Nutzer zu ermöglichen, Empfängern, denen er personenbezogene Daten offengelegt hat, jede Berichtigung, Löschung oder Einschränkung der Verarbeitung mitzuteilen und die betroffene Person auf Verlangen über die Empfänger zu unterrichten oder dies durch den Cloud-Anbieter vornehmen zu lassen.


Nr. 6.6 – Datenübertragung (Art. 28 Abs. 3 lit. e i.V.m. Art. 20 Abs. 1 und 2 DSGVO)

 

Kriterium

  1. Der Cloud-Anbieter stellt sicher, dass der Cloud-Nutzer die Möglichkeit hat, die von einer betroffenen Person bereitgestellten personenbezogenen Daten dieser Person oder einem anderen Verantwortlichen in einem strukturierten, gängigen und maschinenlesbaren Format zu übermitteln oder durch den Cloud-Anbieter übermitteln zu lassen.
  2. Der Cloud-Anbieter dokumentiert Weisungen zur Umsetzung der Betroffenenrechte.
  3. Der Cloud-Anbieter ist von der Datenübertragung in jenen Fällen entbunden, in denen der Verantwortungsbereich beim Cloud-Nutzer liegt und dieser über Anwendungen und Dateien bestimmt.

 

Erläuterung
Der Cloud-Nutzer ist nach Art. 20 Abs. 1 und 2 DSGVO verpflichtet, auf Wunsch der betroffenen Person ihr oder einem anderen Verantwortlichen ihre bereitgestellten personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu übermitteln. Der Cloud-Anbieter sollte die ihm möglichen gängigen Formate in der rechtsverbindlichen Vereinbarung auflisten, um diesbezügliche Klarheit herzustellen.

 

Der Cloud-Anbieter ist verpflichtet, den Cloud-Nutzer durch geeignete TOM bei der Erfüllung der Rechte betroffener Personen zu unterstützen. Das Kriterium fördert das Gewährleistungsziel der Intervenierbarkeit.

 

Umsetzungshinweis
Der Cloud-Anbieter sollte geeignete technische Funktionen innerhalb seines angebotenen Dienstes bereitstellen, die es ermöglichen, Daten in ein strukturiertes, gängiges und maschinenlesbares Format zu übertragen. Hierzu gehören z.B. Exportfunktionen in XML- oder JSON-Formate.

Soweit dem Cloud-Nutzer eine Umsetzung der Betroffenenrechte nicht selbst möglich ist, sollte eine organisatorische Kontaktstelle für den Cloud-Nutzer vorgehalten werden, die durch angemessene Erreichbarkeit und Befugnisse eine unverzügliche Umsetzung von Betroffenenrechten veranlassen kann.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er dokumentiert, welche Maßnahmen er implementiert hat, um es dem Cloud-Nutzer zu ermöglichen, der betroffenen Person oder einem anderen Verantwortlichen die von dieser betroffenen Person bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu übermitteln oder durch den Cloud-Anbieter übermitteln zu lassen.


Nr. 6.7 – Widerspruch (Art. 28 Abs. 3 lit. e i.V.m. Art. 21 Abs. 1 und Art. 32 Abs. 1 lit. b DSGVO)

 

Kriterium

  1. Der Cloud-Anbieter stellt sicher, dass er dem Cloud-Nutzer alle Daten zur Verfügung stellt, die erforderlich sind, damit dieser beurteilen kann, ob das Widerspruchsrecht der betroffenen Person wirksam ausgeübt worden ist.
  2. Ist der Widerspruch gegen die Datenverarbeitung wirksam, stellt der Cloud-Anbieter im Rahmen seiner Möglichkeiten sicher, dass die Daten nicht mehr verarbeitet werden können.
  3. Der Cloud-Anbieter dokumentiert Weisungen zur Umsetzung der Betroffenenrechte.
  4. Ausgenommen sind die Fälle, in denen der Verantwortungsbereich beim Cloud-Nutzer liegt und dieser über Anwendungen und Dateien bestimmt.

 

Erläuterung
Der betroffenen Person steht entsprechend Art. 21 DSGVO das Recht zu, Widerspruch gegen eine Verarbeitung ihrer Daten einzulegen. Hat die betroffene Person das Widerspruchsrecht wirksam ausgeübt, ist der Cloud-Nutzer verpflichtet, die Verarbeitung der betroffenen personenbezogenen Daten für die Zukunft zu unterlassen. Der Cloud-Anbieter ist verpflichtet, den Cloud-Nutzer durch geeignete TOM bei der Erfüllung der Rechte betroffener Personen zu unterstützen. Das Kriterium fördert das Gewährleistungsziel der Intervenierbarkeit.

 

Umsetzungshinweis
Der Cloud-Anbieter sollte über ein Konzept verfügen, aus dem hervorgeht, durch welche Maßnahmen er sicherstellt, dass er dem Cloud-Nutzer alle erforderlichen Daten zur Verfügung stellen und die künftige Verarbeitung der Daten unterbinden kann.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er dokumentiert, welche Maßnahmen er implementiert hat, um dem Cloud-Nutzer die erforderlichen Daten zur Verfügung zu stellen.

 

Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., & Teigeler, H. (2019)
AUDITOR-Kriterienkatalog – Entwurfsfassung 0.9. Karlsruhe, Germany: KIT. DOI: 10.5445/IR/1000092273; 24.07.2019
www.auditor-cert.de

 

cyber security

 

Cyber Security

Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

08/2019

 

Nr. 7 – Unterstützung bei der Datenschutz-Folgenabschätzung

Kapitel II: Kriterien und Umsetzungsempfehlungen für die Auftragsverarbeitung

 

Rechte und Pflichten des Cloud-Anbieters

 

Nr. 7 – Unterstützung bei der Datenschutz-Folgenabschätzung (Art. 28 Abs. 3 lit. f i.V.m. Art. 35 und 36 DSGVO)

 

Kriterium

  1. Der Cloud-Anbieter unterstützt den Cloud-Nutzer bei der Durchführung seiner Datenschutz-Folgenabschätzung.
  2. Ist dem Cloud-Anbieter durch eine vorher beim Cloud-Nutzer durchgeführte Datenschutz-Folgenabschätzung das hohe Risiko der Verarbeitung bekannt, hat der Cloud-Anbieter risikoangemessene Vorkehrungen bereitzuhalten.
  3. Der Cloud-Anbieter stellt dem Cloud-Nutzer alle Informationen zur Verfügung, die in seinen Verantwortungsbereich fallen und die der Cloud-Nutzer für seine Datenschutz-Folgenabschätzung benötigt.
  4. Der Cloud-Anbieter unterstützt den Cloud-Nutzer bei der Bewältigung der Risiken der durch den Cloud-Nutzer geplanten Abhilfemaßnahmen, die z.B. Sicherheitsvorkehrungen und sonstige Verfahren enthalten und der Sicherstellung des Schutzes von personenbezogenen Daten dienen.

 

Erläuterung
Soweit der Cloud-Nutzer zu einer Datenschutz-Folgenabschätzung verpflichtet ist, hat ihn der Cloud-Anbieter durch Informationen, Analysen und Schutzmaßnahmen zu unterstützen.

 

Umsetzungshinweis
Die Unterstützungspflichten bei der Datenschutz-Folgenabschätzung sollten am Einflussbereich des Cloud-Anbieters ausgerichtet werden, etwa im Bereich der TOM zur Gewährleistung der Datensicherheit. Zur Einschätzung, ob ein oder welches Risiko bei den jeweiligen Datenverarbeitungsvorgängen des Cloud-Dienstes gegeben ist, können Datenflussmodelle und -analysen erstellt werden, wenn diese nicht bereits aus der Dienstbeschreibung des Cloud-Anbieters hervorgehen.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er dokumentiert, wie er den Cloud-Nutzer durch einschlägige Informationen unterstützen kann. Er sollte darlegen, dass diese Informationen vorliegen oder von ihm in kurzer Zeit generiert werden können.

 

Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., & Teigeler, H. (2019)
AUDITOR-Kriterienkatalog – Entwurfsfassung 0.9. Karlsruhe, Germany: KIT. DOI: 10.5445/IR/1000092273; 24.07.2019
www.auditor-cert.de

 

cyber security

 

Cyber Security


Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

08/2019

 

Nr. 8 – Datenschutz-Managementsystem des Cloud-Anbieters

Kapitel III: Datenschutz-Managementsystem des Cloud-Anbieters

 

Rechte und Pflichten des Cloud-Anbieters

 

Erläuterung
Der Cloud-Anbieter muss seine Datenschutzmaßnahmen in einem Datenschutz-Managementsystem organisieren. Die Einrichtung eines Datenschutz-Managementsystems indizieren die Art. 24 und 25, 32, 33, 34 sowie 37 bis 39 DSGVO. Die Sicherstellung eines Datenschutz-Managementsystems sollte der fortwährenden Sicherstellung des Datenschutzniveaus des zertifizierten Cloud-Dienstes dienen.


Nr. 8 – Datenschutz-Managementsystem

Nr. 8.1 – Benennung, Stellung und Aufgaben eines Datenschutzbeauftragten (Art. 37-39 DSGVO)

 

Kriterium

  1. Ist der Cloud-Anbieter zur Benennung eines Datenschutzbeauftragten (DSB) verpflichtet, benennt er diesen auf Grund seiner beruflichen Qualifikation und insbesondere seines Fachwissens, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf Grundlage seiner Fähigkeit zur Erfüllung der in Art. 39 DSGVO genannten Aufgaben.
  2. Der Cloud-Anbieter stellt sicher, dass der DSB unmittelbar der höchsten Managementebene berichtet.
  3. Der Cloud-Anbieter stellt sicher, dass der DSB bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält.
  4. Der Cloud-Anbieter stellt sicher, dass der DSB ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.
  5. Der Cloud-Anbieter stellt die Anerkennung der Person und Funktion des DSB im Organisationsgefüge sicher und unterstützt ihn bei seinen Aufgaben, insbesondere mit angemessenen Ressourcen.
  6. Der Cloud-Anbieter stellt sicher, dass der DSB seinen Aufgaben nach Art. 39 Abs. 1 DSGVO im angemessenen Umfang nachkommt.
  7. Ist ein Beauftragter für Informationssicherheit benannt, stellt dieser die Einhaltung der datenschutzrechtlich gebotenen TOM sicher. Der Cloud-Anbieter stellt sicher, dass der DSB und der Beauftragte für Informationssicherheit in angemessener Weise kooperieren (gegenseitige Information und Unterstützung).

 

Erläuterung
Sofern Cloud-Anbieter die Pflicht haben, einen DSB zu benennen, müssen sie ihn sorgfältig auswählen, ausstatten, schützen und ihm in der Betriebsorganisation einen gebührenden Platz zuweisen.

 

Die Benennung eines Beauftragten für Informationssicherheit wird durch die Datenschutz-Grundverordnung nicht verlangt. Der Cloud-Anbieter kann jedoch aufgrund anderweitiger Verpflichtungen zur Benennung verpflichtet sein oder die Benennung freiwillig vornehmen.

 

Erfolgt die Benennung eines DSB, so muss dieser seinen gesetzlichen Pflichten in Bezug auf alle durchgeführten Datenverarbeitungsvorgänge nachkommen, unabhängig davon, ob der Cloud-Anbieter als Auftragsverarbeiter oder Verantwortlicher der Datenverarbeitung agiert.

 

Umsetzungshinweis
Der Cloud-Anbieter sollte eine schriftliche Dokumentation der für den jeweiligen Cloud-Dienst eingesetzten Systeme, Verfahren und Prozesse (Software, Hardware, beteiligte Organisationseinheiten, Rollen und Dienstleister) und eine möglichst exakte Beschreibung der Gesamtheit der getroffenen TOM führen (z.B. in einem Datensicherheitskonzept) und dem DSB sowie (auf Anfrage) der Aufsichtsbehörde zugänglich machen.

Ist der DSB bei einem anderen Unternehmen beschäftigt (externer DSB des Cloud-Anbieters) oder gleichzeitig DSB anderer Unternehmen, gilt seine Weisungsfreiheit auch gegenüber seinem Arbeitgeber und seinen anderen Auftraggebern. Die Anforderung der Abwesenheit von Interessenskonflikten ist primär eine Benennungsvoraussetzung und in sekundärer Hinsicht eine Organisationspflicht des Cloud-Anbieters. Der Cloud-Anbieter weist dem DSB keine zusätzlichen Aufgaben zu, die ihn in einen Interessenskonflikt bringen könnten. Interessenskonflikte sind im Rahmen folgender Tätigkeiten anzunehmen: Tätigkeiten, im Rahmen derer der DSB sich selbst kontrollieren müsste, z.B. Stellung als Geschäftsführer, IT- oder Personalabteilungsleiter, Informationssicherheitsbeauftragter, wirtschaftliche Interessen des DSB am Unternehmenserfolg, zu große Nähe zur benennenden Stelle.

Die Verschwiegenheitspflicht des DSB umfasst insbesondere die Identität des Beschwerdeführers oder der betroffenen Person(en), alle datenschutzrechtlich relevanten Informationen sowie alles, was zur Identifizierung eines Hinweisgebers führen könnte. Auch gegenüber der ihn benennenden Stelle ist der DSB zur umfassenden Verschwiegenheit verpflichtet. Das Kriterium fördert das Gewährleistungsziel der Vertraulichkeit.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, indem er einen DSB benannt hat und durch Einträge auf seiner Webseite seine direkte Ansprechbarkeit der Öffentlichkeit vorstellt. Zur Beurteilung der fachlichen und persönlichen Eignung kann er einschlägige Zeugnisse und Beurteilungen vorlegen. Mit den regelmäßig durchzuführenden internen Audits des DSB kann der Nachweis über seine Tätigkeiten, seine Unabhängigkeit sowie seine Einbindung und Wirksamkeit im Organisationsgefüge des Cloud-Anbieters nachgewiesen werden.


Nr. 8.2 – Meldung von Datenschutzverletzungen (Art. 33 Abs. 2 und Art. 28 Abs. 3 lit. f DSGVO)

 

Kriterium

  1. Der Cloud-Anbieter stellt durch geeignete Maßnahmen sicher, dass er dem Cloud-Nutzer Datenschutzverletzungen und deren Ausmaß unverzüglich meldet.
  2. Der Cloud-Anbieter bestimmt, wer zuständig ist, über die Mitteilung an den Cloud-Nutzer zu entscheiden und diese vorzunehmen. Die zuständigen Stellen sind für Mitarbeiter und Subauftragsverarbeiter in einer Weise erreichbar, dass Mitteilungen über etwaige Verstöße zeitnah entgegengenommen und bearbeitet werden können.
  3. Die zuständigen Stellen verfügen über ausreichend Ressourcen, um eine rasche Bearbeitung von Meldungen sicher zu stellen. Die Mitarbeiter in den zuständigen Stellen sind ausreichend geschult, um Verstöße beurteilen und eine Folgeabschätzung durchführen zu können.

 

Erläuterung
Der Cloud-Anbieter ist nach Art. 33 Abs. 2 DSGVO zur unverzüglichen Meldung von Datenschutzverstößen an den Cloud-Nutzer verpflichtet, damit dieser seiner Meldepflicht gegenüber der Aufsichtsbehörde aus Art. 33 Abs. 1 DSGVO und seiner Unterrichtungspflicht gegenüber den betroffenen Personen aus Art. 34 Abs. 1 DSGVO nachkommen kann. Diese Pflicht bezieht sich auch auf Verstöße von Subauftragnehmern in der gesamten Subauftragsverarbeiterkette. Das Kriterium fördert das Gewährleistungsziel der Integrität und Transparenz.

 

Umsetzungshinweis
Die Meldung von Datenschutzverletzungen kann über geeignete Informationssysteme innerhalb des Dienstes wie über Nachrichtensysteme oder Newsmeldungen geschehen.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er in seinem Datensicherheitskonzept dokumentiert, wie er die Meldung von Datenschutzverletzungen gewährleistet.


Nr. 8.3 – Führen eines Verarbeitungsverzeichnisses (Art. 30 Abs. 2 DSGVO)

 

Kriterium

  1. Cloud-Anbieter, die mehr als 250 Mitarbeiter beschäftigen, führen ein Verarbeitungsverzeichnis. Der Cloud-Anbieter führt unabhängig von der Beschäftigtenzahl ein Verarbeitungsverzeichnis, wenn die Verarbeitung für die betroffenen Personen mit Risiken für ihre Rechte und Freiheiten verbunden ist.
  2. Im Verzeichnis führt der Cloud-Anbieter alle Kategorien von Verarbeitungsvorgänge auf, die er im Auftrag eines Verantwortlichen durchführt. Das Verzeichnis enthält außerdem die in Art. 30 Abs. 2 DSGVO aufgelisteten Inhalte.
  3. Für jeden einzelnen Cloud-Nutzer ist jeweils ein eigenes Verarbeitungsverzeichnis zu führen.
  4. Das Verarbeitungsverzeichnis ist schriftlich oder in einem elektronischen Format zu führen. Es ist der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

 

Erläuterung
Das Kriterium fördert das Gewährleistungsziel der Transparenz.

 

Risikobehaftet ist ein Verarbeitungsvorgang i.S.d. Art. 30 Abs. 5 DSGVO, wenn er Risiken für die Rechte und Freiheiten von betroffenen Personen birgt oder besondere Kategorien von personenbezogenen Daten gemäß Art. 9 DSGVO oder Art. 10 DSGVO zum Gegenstand hat. Auch Cloud-Anbieter mit weniger als 250 Mitarbeitern werden in der Regel ein Verarbeitungsverzeichnis führen müssen, da sich bereits aus der Menge der verarbeiteten Daten Risiken ergeben und die Datenverarbeitung nicht nur gelegentlich erfolgt, sodass die Ausnahme aus Art. 30 Abs. 5 DSGVO im Regelfall nicht anwendbar ist.

 

Umsetzungshinweis
Das für jeden Cloud-Nutzer jeweils zu führende Verarbeitungsverzeichnis sollte auch die für jeden Cloud-Nutzer jeweils eingesetzten TOM zur Gewährleistung der Datensicherheit bei der Datenverarbeitung dokumentieren. Bei standardisierten Massengeschäften sollte das Verarbeitungsverzeichnis automatisiert erstellt werden.

Das Verfahrensverzeichnis kann für alle Dokumentationspflichten als Nachweis oder Nachweisbekräftigung herangezogen werden. Dieses Verzeichnis ist jedoch nicht öffentlich und richtet sich nicht an betroffene Personen, sondern ist ausschließlich nach innen und auf das Verhältnis zur Aufsichtsbehörde gerichtet. Der Cloud-Nutzer sollte jedoch – etwa zur Auftragskontrolle nach Art. 28 Abs. 3 Satz 2 lit. h DSGVO – einen Einblick in das seinen Auftrag betreffende Verzeichnis erhalten.

Die Umsetzungshinweise aus ISO/IEC 27018 Ziff. A5.2 sind anwendbar.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, indem er die (eine repräsentative Stichprobe der) Verarbeitungsverzeichnisse vorlegt.


Nr. 8.4 – Rückgabe von Datenträgern und Löschung von Daten (Art. 28 Abs. 3 lit. h DSGVO)

 

Kriterium
Der Cloud-Anbieter stellt durch geeignete Maßnahmen sicher, dass die Rückgabe überlassener Datenträger, die Rückführung von Daten und die Löschung der beim Cloud-Anbieter gespeicherten Daten nach Abschluss der Auftragsverarbeitung oder nach Weisung des Cloud-Nutzers erfolgen.

 

Umsetzungshinweis
Auf ISO/ IEC 27018 Ziff. A 9.3. wird hingewiesen.

Die Umsetzungshinweise aus ISO/IEC 27040:2017-03 Ziff. 6.8.1 zur Datenlöschung sind anwendbar.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er dokumentiert, welches Verfahren er vorgesehen hat, nach dem er die Herausgabe der Datenträger, die Rückführung von Daten und die Löschung von Daten nach Beendigung des Auftrags durchführt. Auch kann er die Quittierung von Rückgaben oder die automatisierte Benachrichtigung über tatsächliche Löschungen der für die Auftragsverarbeitung nicht mehr benötigten personenbezogenen Daten vorlegen.


Nr. 8.5 – Einrichtung eines internen Kontrollsystems (Art. 24 DSGVO)

 

Kriterium

  1. Der Cloud-Anbieter überprüft die Umsetzung aller in diesem Katalog geprüften Kriterien regelmäßig in einem internen Revisionsverfahren. Hierfür legt der Cloud-Anbieter Kontrollverfahren und Zuständigkeiten fest.
  2. Der Cloud-Anbieter stellt durch geeignete TOM sicher, dass bei der (Weiter-)Entwicklung oder Änderung des Cloud-Dienstes die in diesem Katalog geprüften Kriterien weiterhin eingehalten werden.

 

Erläuterungen
Der Cloud-Anbieter hat sicherzustellen, dass die Maßnahmen zur Erfüllung der datenschutzrechtlichen Pflichten nach diesem Katalog nicht nur einmalig implementiert werden, sondern während der Gültigkeit eines Zertifikats aufrechterhalten werden.

 

Umsetzungshinweis
Der Cloud-Anbieter sollte vor allem die internen Audits des DSB zu Datenschutzfragen heranziehen. Des Weiteren wird auf die Umsetzungshinweise zur regelmäßigen Überprüfung durch die oberste Leitung beim Cloud-Anbieter nach ISO/IEC 27002:2017-06, Ziff. 18.2. hingewiesen.

Der Cloud-Anbieter sollte die Wirksamkeit der internen Kontrollaktivitäten regelmäßig überprüfen. Dazu gilt es zunächst zu definieren, wie die Wirksamkeit der internen Kontrollaktivitäten gemessen werden kann. Es ist empfohlen ein standardisiertes Vorgehensmodell (z. B. ITIL oder COBIT) für die IT-Prozesse des angebotenen Cloud-Dienstes zu definieren und einzuhalten. Wird ein interner Prüfer/Auditor eingesetzt, sollte er über eine geeignete Qualifikation verfügen, objektiv und unparteiisch und nicht an der Erstellung der Prüfobjekte beteiligt sein.

Bei der Bereitstellung eines Cloud-Dienstes sollten Prozesse für ein sicheres Änderungs- und Release-Management etabliert werden. Im Rahmen dieser Prozesse sollte ein Cloud-Anbieter u.a. eine dokumentierte Eignungsprüfung und einen Abnahmeprozess bei der (Weiter-)Entwicklung und Änderung (insb. Patches und System-Updates) an seinem Dienst durchführen, um nachteilige Auswirkungen aufgrund der Änderungen zu vermeiden und die Konformität zur Datenschutz-Grundverordnung fortlaufend sicherzustellen. Die Geltungsbereiche, Rollen und Verbindlichkeiten im Rahmen des Änderungs- und Release-Managements sollten zwischen Cloud-Anbieter und -Nutzer klar definiert und aufeinander ab-gestimmt sein.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er dokumentiert, welches interne Kontrollsystem er eingerichtet hat.


Nr. 8.6 – Auswahl und Einsatz geeigneter Personen (Art. 28 Abs. 3 Satz 2 lit. e und f DSGVO)

 

Kriterium

  1. Der Cloud-Anbieter betraut nur Mitarbeiter mit der Durchführung von Verarbeitungsvorgängen, die fachlich für die Erfüllung ihrer jeweiligen Aufgaben befähigt sind, die nötige Zuverlässigkeit aufweisen und sowohl im Datenschutz als auch in der Datensicherheit sensibilisiert und geschult sind.
  2. Der Cloud-Anbieter stellt sicher, dass bei den Mitarbeitern keine Interessenkonflikte hinsichtlich der Ausübung ihrer jeweiligen Aufgaben bestehen.

 

Erläuterungen
Der Einsatz geeigneter Mitarbeiter ist die Voraussetzungen dafür, dass der Cloud-Anbieter seinen zahlreichen Pflichten überhaupt nachkommen kann. Das Kriterium steht zudem in enger Verbindung mit dem Kriterium Nr. 8.1, da der DSB für die Sensibilisierung und Schulung von an Verarbeitungsvorgängen beteiligten Mitarbeitern zuständig ist und die diesbezüglichen Überprüfungen vornimmt.

 

Umsetzungshinweis
Um die fachliche Kompetenz der Mitarbeiter zu erhalten, sollte der Cloud-Anbieter regelmäßige Mitarbeiterschulungen (ca. 1 Mal pro Jahr) zu datenschutzrechtlichen und informationssicherheitstechnischen Themen durchführen – auch zur konkreten Technik des Cloud-Dienstes.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis der erforderlichen Fachkunde seiner Mitarbeiter durch einschlägige Qualifikationsnachweise erbringen. Sensibilisierungs- und Schulungsmaßnahmen von Mitarbeitern kann er durch die Dokumentation erfolgter Schulungen nachweisen.

 

Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., & Teigeler, H. (2019)
AUDITOR-Kriterienkatalog – Entwurfsfassung 0.9. Karlsruhe, Germany: KIT. DOI: 10.5445/IR/1000092273; 24.07.2019
www.auditor-cert.de

 

cyber security

 

Cyber Security

Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

08/2019

 

Nr. 9 – Datenschutz durch Technikgestaltung

Kapitel IV: Datenschutz durch Systemgestaltung

 

Rechte und Pflichten des Cloud-Anbieters

 

Nr. 9 – Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

Nr. 9.1 – Datenschutz durch Systemgestaltung (Art. 25 Abs. 1 DSGVO i.V.m. Art. 5 Abs. 1 lit. f DSGVO)

 

Kriterium

  1. Der Cloud-Anbieter setzt im Rahmen des angebotenen Dienstes die Grundsätze des Art. 5 DSGVO (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckfestlegung und Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Systemdatenschutz und Verantwortlichkeit) praktikabel und zielführend um.
  2. Der Cloud-Anbieter verfügt über Prozesse zur Transparenz und zur aktiven Verfolgung des Stands der Technik auf den Ebenen der konzeptionellen Zielsetzung, der Architektur, der Systemgestaltung und der Implementierung.
  3. Der Cloud-Anbieter stellt sicher, dass zu jedem Zeitpunkt durch seine Systemgestaltung in den angebotenen Anwendungen und durch die Konzeption der Dienstleistung die Nachvollziehbarkeit und Transparenz der Datenverarbeitungen, auch in den verlängerten Leistungsketten durch etwaige Subauftragsverhältnisse, gewährleistet ist.

 

Erläuterung
Der Cloud-Nutzer muss als Verantwortlicher die Gestaltungspflicht aus Art. 25 Abs. 1 DSGVO erfüllen. Sobald er einen Cloud-Dienst nutzt, muss er einen Cloud-Anbieter auswählen, der diese Pflicht erfüllt. Technik und Organisation des Cloud-Dienstes sind daher so zu gestalten, dass sie die Datenschutz-grundsätze des Art. 5 DSGVO bestmöglich unterstützen.

 

Nachweis
Der Cloud-Anbieter legt Dokumentationen vor, aus denen hervorgeht, welche Maßnahmen er ergriffen hat, um die Datenschutzgrundsätze bei der Gestaltung des Cloud-Dienstes umzusetzen. Die Dokumentationen schildern auch die Abwägungen, die unternommen wurden, um die Maßnahmen festzulegen.



Nr. 9.2 – Datenschutz durch Voreinstellungen (Art. 25 Abs. 2 DSGVO)

 

Kriterium

  1. Der Cloud-Anbieter stellt durch seine Voreinstellungen im jeweiligen Dienst sicher, dass der Zugang zu den personenbezogenen Daten auf das Maß beschränkt wird, das erforderlich ist, um den Verarbeitungszweck des Cloud-Nutzers zu erfüllen.
  2. Der Cloud-Anbieter stellt durch Voreinstellungen sicher, dass personenbezogene Daten nicht ohne Eingreifen der betroffenen Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden und hierbei keine Risiken für die betroffenen Personen durch eine zu umfassende Zugänglichmachung von personenbezogenen Daten entstehen.

 

Erläuterung
Der Verantwortliche muss die Pflichten aus Art. 25 Abs. 2 DSGVO erfüllen. Sobald er eine Datenverarbeitung im Auftrag ausführen lässt, muss der Cloud-Nutzer einen Cloud-Anbieter auswählen, der diese Pflichten erfüllt. Die Voreinstellungen des Cloud-Dienstes sind daher so zu wählen, dass sie die Pflicht des Art. 25 Abs. 2 Satz 1 DSGVO erfüllen.

 

Umsetzungshinweis
Die Voreinstellungen sollten so konzipiert sein, dass nach diesen nur personenbezogene Daten erhoben, gespeichert und zugänglich gemacht werden, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist. Soweit der Cloud-Anbieter eine Datenschutz-Folgenabschätzung durchgeführt hat, können sich Anforderungen an die Voreinstellungen aus der Pflicht ergeben, die festgestellten Risiken zu minimieren.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er dokumentiert, welche Voreinstellungen er aus welchen Erwägungen gewählt hat.

 

Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., & Teigeler, H. (2019)
AUDITOR-Kriterienkatalog – Entwurfsfassung 0.9. Karlsruhe, Germany: KIT. DOI: 10.5445/IR/1000092273; 24.07.2019
www.auditor-cert.de

 

cyber security

 

Cyber Security

Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

08/2019

 

Nr. 10 – Subauftragsverhältnisse (Subauftragsverarbeitung)

Kapitel V: Subauftragsverarbeitung durch Cloud-Anbieter

 

Rechte und Pflichten des Cloud-Anbieters

 

Erläuterung
Für die Auftragsverarbeitung gilt grundsätzlich das Prinzip der höchstpersönlichen Leistungserbringung. Unter bestimmten Voraussetzungen kann der Cloud-Anbieter weitere Subauftragsverarbeiter in Anspruch nehmen. Soweit auch Subauftragsverarbeiter ihrerseits auf Subauftragsverarbeiter zugreifen, ergeben sich mehrstufige Unterauftragsverhältnisse.

 

Der Cloud-Anbieter als Hauptauftragsverarbeiter hat allerdings dafür Sorge zu tragen, dass auch der Subauftragsverarbeiter alle Pflichten erfüllt, die der Cloud-Anbieter als Hauptauftragsverarbeiter erfüllen muss, soweit er hiervon nicht gesetzlich befreit ist. Schließlich bleibt der Cloud-Anbieter gegenüber dem Cloud-Nutzer durchgängig für die Auftragsausführung verantwortlich.


Nr. 10 – Subauftragsverhältnisse

Nr. 10.1 – Weitere Auftragsverarbeiter des Cloud-Anbieters (Subauftragsverarbeitung) (Art. 28 Abs. 2 DSGVO)

 

Kriterium

  1. Der Cloud-Anbieter stellt sicher, dass ein Cloud-Dienst unter Einbeziehung von Subauftragsverarbeitern nur dann erbracht wird, wenn und soweit der Cloud-Nutzer vorher in diese Subauftragsverarbeitung in Schrift- oder Textform eingewilligt hat. Zustimmungsbedürftig sind nur solche Subaufträge, bei denen der weitere Auftragsverarbeiter eine Möglichkeit hat, die zu verarbeitenden personenbezogenen Daten zur Kenntnis zu nehmen.
  2. Der Cloud-Anbieter stellt sicher, dass auch der Subauftragsverarbeiter alle TOM im Rahmen seiner Auftragsverarbeitung gewährleistet und alle Pflichten erfüllt, die auch der Cloud-Anbieter als Hauptauftragsverarbeiter erfüllen muss, soweit er hiervon nicht gesetzlich befreit ist. Der Subauftragsverarbeiter muss dieselben Garantien nachweisen können wie der Hauptauftragsverarbeiter.

 

Erläuterung
Die Qualitätssicherung und die Einhaltung des Datenschutzes in der Leistungskette sind durch den Cloud-Anbieter zu gewährleisten. Insbesondere darf der Subauftrag nicht dazu führen, dass die Wahrung der Betroffenenrechte erschwert wird.

 

Umsetzungshinweis
Bei standardisierten Massengeschäften können die Cloud-Nutzer bei Änderungen in den Subauftragsverarbeitungen automatisiert, z.B. über eine automatisch generierte E-Mail, informiert werden. In den AGB von Cloud-Anbietern im Massengeschäft kann z.B. auch vorab eine Generalzustimmung für etwaige Änderungen in der Subauftragsverarbeitung, die vorbehalten werden, eingeholt werden. Dabei ist infolge der o.g. automatisierten Information jedem Cloud-Nutzer ein jederzeitiges Kündigungsrecht zuzugestehen, da ein Einspruch (i.S.d. Art. 28 Abs. 2 Satz 2 Hs. 2 DSGVO) von einem einzelnen Cloud-Nutzer im Massengeschäft die Beauftragung eines weiteren oder anderen Auftragsverarbeiters durch den Cloud-Anbieter nicht verhindert.

Die Umsetzungshinweise aus ISO/IEC 27002 Ziff. 15 sind anwendbar.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis über die rechtskonforme weitere Datenverarbeitung dadurch erbringen, dass er die erteilte Zustimmung der Cloud-Nutzer und die Verträge zu den weiteren Auftragsverarbeitungen (Sub-Cloud-Verträge) mitsamt der für die Konformitätsprüfung erforderlichen An-gaben (Dauer, Art und Zweck, Ort der weiteren Verarbeitung, Angaben über den weiteren Auftragsverarbeiter und dessen Dienstbeschreibung) vorlegt.


Nr. 10.2 – Rechtsverbindliche Vereinbarung als Grundlage der Subauftragsverarbeitung (Art. 28 Abs. 4 DSGVO)

 

Kriterium

  1. Der Cloud-Anbieter stellt sicher, dass seine Subauftragsverarbeiter nur auf Grundlage einer rechtsverbindlichen Vereinbarung zur Subauftragsverarbeitung tätig werden, die mit der rechtsverbindlichen Vereinbarung zur Auftragsverarbeitung zwischen dem Cloud-Anbieter und Cloud-Nutzer in Einklang steht.
  2. Der Cloud-Anbieter verpflichtet seine Subauftragsverarbeiter sicherzustellen, dass ihre Subauftragsverarbeiter ebenfalls auf Grundlage einer rechtsverbindlichen Vereinbarung zur Subauftragsverarbeitung tätig werden und auf ihre Sub-Subauftragsverarbeiter dieselbe Verpflichtung übertragen.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis über die rechtskonforme weitere Datenverarbeitung dadurch erbringen, dass er die rechtsverbindliche Vereinbarung über die Auftragsverarbeitung und die rechtsverbindliche Vereinbarung über die Sub-Auftragsverarbeitung mitsamt der für die Konformitätsprüfung erforderlichen Angaben (Dauer, Art und Zweck, Ort der weiteren Verarbeitung, Angaben über den weiteren Auftragsverarbeiter und dessen Dienstbeschreibung) vorlegt.


Nr. 10.3 – Information des Cloud-Nutzers (Art. 28 Abs. 2 Satz 2 DSGVO)

 

Kriterium

  1. Der Cloud-Anbieter informiert den Cloud-Nutzer über die Identität aller von ihm eingeschalteten Subauftragsverarbeiter (einschließlich ladungsfähiger Anschrift).
  2. Der Cloud-Anbieter informiert den Cloud-Nutzer immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Subauftragsverarbeiter und gewährleistet, dass der Cloud-Nutzer auf jeder Stufe der Auftragsverarbeitung Gebrauch von seinem Einspruchsrecht machen kann.

 

Erläuterung
Dem Cloud-Nutzer muss es zu jedem Zeitpunkt der Auftragsverarbeitung möglich sein zu erfahren, welcher Subauftragsverarbeiter sich in welchem Verarbeitungsschritt befindet und welche Anwendungen und Dienste in Bezug auf personenbezogene Daten durch welchen Subauftragsverarbeiter auf welcher Stufe der Auftragsverarbeitung ausgeführt werden.

 

Umsetzungshinweis
Der Cloud-Anbieter als Hauptauftragsverarbeiter sollte für jede Verlängerung der Auftragsverarbeitungsleistungskette eine detaillierte Dokumentation über die involvierten Subauftragsverarbeiter unter Angabe von Identität inklusive ladungsfähiger Anschrift und der ausgeführten Tätigkeiten verfassen, sodass nachvollzogen werden kann, welcher (Sub-)Auftragsverarbeiter jeweils in den datenschutzkritischen Dienstteilen involviert ist und welche Verarbeitungsvorgänge jeweils von wem ausgeführt werden. Dies setzt voraus, dass der Subauftragsverarbeiter den Cloud-Anbieter über seine eingebundenen Subauftragsverarbeiter informiert und die notwendigen Informationen bereitstellt.

Zur Darstellung der involvierten Subauftragsverarbeiter eignen sich Informationsportale innerhalb oder außerhalb des angebotenen Cloud-Dienstes. Diese sollten fortlaufend gepflegt und aktualisiert werden.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er dokumentiert, wie er den Cloud-Nutzer bei beabsichtigter Änderung von Subauftragsverarbeitern informiert. Außerdem kann er seine detaillierte Dokumentation über die involvierten Subauftragsverarbeiter unter Angabe von Identität, ladungsfähiger Anschrift und der ausgeführten Tätigkeiten vorlegen, mit deren Hilfe nachvollzogen werden kann, welcher (Sub-)Auftragsverarbeiter jeweils in den datenschutzkritischen Dienstteilen involviert ist und welche Verarbeitungsvorgänge jeweils von wem ausgeführt werden.


Nr. 10.4 – Auswahl und Kontrolle der Subauftragsverarbeiter (Art. 28 Abs. 4 Satz 1 DSGVO)

 

Kriterium

  1. Der Cloud-Anbieter stellt sicher, dass nur solche Subauftragsverarbeiter in die Auftragsverarbeitung einbezogen werden, die die Gewähr für die Einhaltung der datenschutzrechtlichen Anforderungen an die von ihnen zu erbringende Leistung bieten.
  2. Der Cloud-Anbieter überzeugt sich davon, dass seine Subauftragsverarbeiter die datenschutzrechtlichen Anforderungen an die von ihnen zu erbringende Leistung erfüllen.

 

Umsetzungshinweis
Soweit der Cloud-Anbieter nicht auf Zertifikate seiner Subauftragsverarbeiter vertrauen kann, muss er sich selbst von der Einhaltung der datenschutzrechtlichen Anforderungen durch die Subauftragsverarbeiter überzeugen. Insoweit sind die Umsetzungshinweise von ISO/IEC 27017 Ziff. 15.1.2, 15.1.3 und ISO/IEC 27002 Ziff. 15 anwendbar.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er Zertifikate der Subauftragnehmer oder sonstige Unterlagen vorlegt, aus denen sich die Gewähr zur Einhaltung der Datenschutz-Grundverordnung ergibt. Hierbei kann eine transparente Dienstbeschreibung des jeweiligen Subauftragsverarbeiters hilfreich sein.


Nr. 10.5 – Gewährleistung der Unterstützungsfunktionen (Art. 28 Abs. 4 Satz 1 i.V.m. Art. 28 Abs. 3 Satz 2 DSGVO)

 

Kriterium

  1. Der Cloud-Anbieter stellt sicher, dass auch bei der Einschaltung von (mehreren) Subauftragsverarbeitern seine Unterstützungsfunktionen im vereinbarten Umfang sowie seine Pflichten als Hauptauftragsverarbeiter erfüllt werden.
  2. Der Cloud-Anbieter stellt durch geeignete Verfahren und Vorkehrungen sicher, dass die Verlängerung der Leistungskette in der Auftragsverarbeitung nicht zur Minderung der Achtung von datenschutzrechtlichen Standards und Verpflichtungen führt.

 

Umsetzungshinweis
Der Cloud-Anbieter sollte wegen des gesteigerten Risikos bei weiteren Auftragsverarbeitungen interne Dokumentationen führen und die Verarbeitungsprozesse protokollieren. Dies dient auch der Selbstkontrolle des Cloud-Anbieters bei der Pflichtenerfüllung auf den weiteren Auftragsstufen.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er eine Dokumentation vorlegt, aus der sich ergibt, in welche Pflichten er weitere Auftragsverarbeiter einbindet. Protokolle zur Pflichterfüllung infolge der Einschaltung von weiteren Auftragsverarbeitern sind hilfreich.

 

Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., & Teigeler, H. (2019)
AUDITOR-Kriterienkatalog – Entwurfsfassung 0.9. Karlsruhe, Germany: KIT. DOI: 10.5445/IR/1000092273; 24.07.2019
www.auditor-cert.de

 

cyber security

 

Cyber Security

Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

08/2019

 

Nr. 11 – Datenübermittlung (Garantien, Vertreterbenennung)

Kapitel VI: Datenverarbeitung außerhalb der EU und des EWR

 

Rechte und Pflichten des Cloud-Anbieters

 

Nr. 11 – Datenübermittlung

Nr. 11.1 – Geeignete Garantien für die Datenübermittlung (Art. 46 Abs. 2 lit. f i.V.m. Art. 42 Abs. 1 und 2 DSGVO)

 

Kriterium

  1. Der Cloud-Anbieter übermittelt personenbezogene Daten in Drittstaaten oder an internationale Organisationen nur, sofern für den Empfängerstaat oder die internationale Organisation ein Beschluss der Europäischen Kommission nach Art. 45 Abs. 3 DSGVO vorliegt, dass dort ein angemessenes Datenschutzniveau gilt.
  2. Alternativ kann die Übermittlung stattfinden, wenn der Empfänger geeignete Garantien im Sinne des Art. 46 Abs. 2 DSGVO vorweist und den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe in dem Drittstaat oder gegenüber der Internationalen Organisation zur Verfügung stehen. Geeignete Garantien sind auch bei einem Zertifikat nach Art. 42 Abs. 2 DSGVO gegeben, wenn außerdem rechtsverbindliche und durchsetzbare Verpflichtungen des Cloud-Anbieters in dem Drittstaat bestehen, geeignete Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen, anzuwenden.

Erläuterung
Verarbeitungen (sowohl Auftragsverarbeitungen als auch Datenverarbeitungen in eigener Verantwortlichkeit) von personenbezogenen Daten von betroffenen Personen in der EU oder im EWR sind außerhalb der EU und des EWR nur unter den in Art. 44 ff. DSGVO genannten Voraussetzungen zulässig. Das Gleiche gilt für die Übermittlung von personenbezogenen Daten in ein EU-Drittland oder an eine Internationale Organisation, für die kein angemessenes Datenschutzniveau anerkannt ist.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er Dokumente über ausreichende Garantien nach Art. 46 Abs. 2 DSGVO vorlegt. Eine Zertifizierung nach Art. 42 Abs. 2 DSGVO, die diesem oder einem vergleichbaren anerkannten Kriterienkatalog entspricht, kann ebenfalls als Nachweis dienen.


Nr. 11.2 – Vertreterbenennung (Art. 27 i.V.m. Art. 3 Abs. 2 DSGVO)

 

Kriterium

  1. Cloud-Anbieter ohne Niederlassung in der EU oder im EWR, für die dennoch gemäß Art. 3 Abs. 2 DSGVO die Datenschutz-Grundverordnung gilt, benennen schriftlich einen Vertreter in der EU oder im EWR. Der Vertreter muss in einem der Mitgliedstaaten niedergelassen sein, in denen sich die betroffenen Personen befinden, deren personenbezogene Daten im Zusammen-hang mit den ihnen angebotenen Waren oder Dienstleistungen verarbeitet werden oder deren Verhalten beobachtet wird.
  2. Der Cloud-Anbieter beauftragt den Vertreter als Ansprechpartner für sämtliche Fragen im Zusammenhang mit der Datenverarbeitung zur Gewährleistung der Einhaltung der Datenschutz-Grundverordnung und erteilt dem Vertreter die notwendigen Vollmachten, damit dieser im Namen des Cloud-Anbieters und an dessen Stelle tätig werden kann, um die Pflichten der Datenschutz-Grundverordnung zu erfüllen.

Erläuterung
Der Cloud-Anbieter kann bei der Beauftragung entscheiden, ob der Vertreter ergänzend zu ihm oder allein als Ansprechpartner auftreten soll; dies ist entsprechend im Außenverhältnis zu kommunizieren. Bietet der Cloud-Anbieter ohne Niederlassung in der EU oder im EWR seine Dienstleistung in mehreren Mitgliedstaaten an, muss er nicht in jedem Mitgliedstaat einen Vertreter benennen, vielmehr ist auch ein Vertreter in einem Mitgliedstaat mit Zuständigkeit für mehrere Mitgliedstaaten zulässig, solange sich in diesem betroffene Personen befinden.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er die schriftliche Benennung eines Vertreters vorlegt.

 

Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., & Teigeler, H. (2019)
AUDITOR-Kriterienkatalog – Entwurfsfassung 0.9. Karlsruhe, Germany: KIT. DOI: 10.5445/IR/1000092273; 24.07.2019
www.auditor-cert.de

 

cyber security

 

Cyber Security

Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

08/2019

 

Nr. 12 – Sicherstellung der Datenschutzgrundsätze

Kapitel VII: Der Cloud-Anbieter als Verantwortlicher

 

Kriterien und Umsetzungshinweise für Verarbeitung als Verantwortlicher

 

Nr. 12 – Sicherstellung der Datenschutzgrundsätze (Art. 5 Abs. 1 und 2 i.V.m. Art. 24 DSGVO)

 

Kriterium

  1. Der Cloud-Anbieter stellt bei der Verarbeitung von personenbezogenen Daten, die für die Durchführung des Auftrags über die Erbringung des Cloud-Dienstes oder zur Erfüllung rechtlicher Verpflichtungen erforderlich sind, dem Cloud-Nutzer alle Informationen zur Verfügung, die dieser benötigt, um die Rechtmäßigkeit der Verarbeitung überprüfen zu können (Grundsatz der Transparenz).
  2. Der Cloud-Anbieter legt für die Verarbeitung der Daten zur Durchführung des Auftrags über die Erbringung des Cloud-Dienstes und zur Erfüllung rechtlicher Verpflichtungen die Zwecke der jeweiligen Datenverarbeitungen eindeutig und präzise fest (Grundsätze der Zweckfestlegung und Zweckbindung).
  3. (Der Cloud-Anbieter verarbeitet nur personenbezogene Daten des Cloud-Nutzers, soweit diese zur Erreichung der festgelegten Verarbeitungszwecke erforderlich sind (Grundsatz der Datenminimierung).
  4. Der Cloud-Anbieter verfügt über TOM zur Prüfung, Korrektur und Löschung unzutreffender oder unvollständiger personenbezogener Daten, die er für die Durchführung des Auftrags über die Erbringung des Cloud-Dienstes und zur Erfüllung rechtlicher Verpflichtungen verarbeitet (Grundsatz der Datenrichtigkeit).
  5. Der Cloud-Anbieter stellt bei der Datenverarbeitung den Personenbezug nur solange her, wie dies für die Erreichung der festgelegten Zwecke zur Durchführung des Auftrags über die Erbringung des Cloud-Dienstes oder zur Erfüllung rechtlicher Verpflichtungen unverzichtbar ist und löscht nicht erforderliche Daten frühestmöglich (Grundsatz der Speicherbegrenzung).

Erläuterung
Der Zweck stellt die zu steuernde Größe für die Datenauswahl und die Prozessschritte der Verarbeitung dar. Da eine weite Zweckfestlegung kaum steuernde Wirkung entfaltet, reicht es nicht aus, wenn lediglich die Vertragserfüllung aus Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO oder die Erfüllung rechtlicher Verpflichtungen aus Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO als Zweck der Datenverarbeitung festgelegt wird. Vielmehr muss bei der Zweckfestlegung der präzise und konkrete Geschäfts- oder Verarbeitungszweck festgelegt werden. Erst nach dieser Zweckfestlegung können die anderen Datenschutzgrundsätze ihre Wirkung entfalten.

 

Umsetzungshinweis
Der Transparenzgrundsatz wird erfüllt, wenn der Cloud-Anbieter seinen Informations- und Auskunftspflichten über die Datenverarbeitung (Nr. 15.1 und Nr. 15.2) nachkommt. Außerdem kann Transparenz durch datenschutzgerechte Systemgestaltung und datenschutzfreundliche Voreinstellungen (Nr. 20.1 und Nr. 20.2) erreicht werden.

Zur Einhaltung der Speicherbegrenzung sollte der Cloud-Anbieter für alle Daten oder Datenkategorien Speicherfristen festlegen, die auf das erforderliche Mindestmaß beschränkt sind. Zudem sollten Fristen bestimmt werden, wann personenbezogene Daten gelöscht werden oder der Personenbezug beseitigt wird. Müssen Daten aufgrund gesetzlicher Vorschriften aufbewahrt werden, sollten sie pseudonym aufbewahrt werden und der Personenbezug erst bei Bedarf wiederhergestellt werden.

 

Nachweis
Der Cloud-Anbieter legt eine Dokumentation vor, aus der sich die TOM ergeben, die er ergriffen hat, um die Einhaltung der Datenschutzgrundsätze sicherzustellen.

 

Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., & Teigeler, H. (2019)
AUDITOR-Kriterienkatalog – Entwurfsfassung 0.9. Karlsruhe, Germany: KIT. DOI: 10.5445/IR/1000092273; 24.07.2019
www.auditor-cert.de

 

cyber security

 

Cyber Security


Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

08/2019

 

Nr. 13 – Rechtsgrundlage für die Datenverarbeitung

Kapitel VII: Der Cloud-Anbieter als Verantwortlicher

 

Kriterien und Umsetzungshinweise für Verarbeitung als Verantwortlicher

 

Nr. 13 – Rechtsgrundlage für die Datenverarbeitung (Art. 6 Abs. 1 UAbs. 1 lit. b. sowie lit. c i.V.m. Abs. 2 DSGVO)

 

Kriterium
Der Cloud-Anbieter verarbeitet personenbezogene Daten für die Erfüllung eines Vertrags zur Datenverarbeitung im Auftrag des Cloud-Nutzers oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage des Cloud-Nutzers erfolgen oder zur Erfüllung einer rechtlichen Verpflichtung, der er unterliegt.

 

Erläuterung
AUDITOR betrachtet die Datenverarbeitungsvorgänge des Cloud-Anbieters in seiner Rolle als Verantwortlicher nur, soweit diese erforderlich sind, um den Auftrag mit dem Cloud-Nutzer über die Erbringung des Cloud-Dienstes zu erfüllen. Die Rechtsgrundlage der Datenverarbeitung bildet daher Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO. Die Norm erlaubt die Datenverarbeitung, soweit diese für die Erfüllung eines Vertrags oder für vorvertragliche Maßnahme erforderlich ist. Der Datenumgang für das Zustandekommen eines Vertrags, für Vertragsänderungen und -beendigungen gehört zur Vertragserfüllung. Auch Daten, die für die Ermöglichung der Inanspruchnahme des Cloud-Dienstes oder die Abrechnung der Nutzung des Cloud-Dienstes erforderlich sind, sind Teil der Vertragserfüllung und fallen somit unter Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO.

 

Schließen Cloud-Anbieter und Cloud-Nutzer einen Vertrag über die Bereitstellung eines Cloud-Dienstes, wird der Cloud-Anbieter u.a. aufgrund handels- und steuerrechtlicher Aufbewahrungspflichten zur Verarbeitung personenbezogener Daten des Cloud-Nutzers verpflichtet. Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO erlaubt die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt. Die eigentlichen Rechtsgrundlagen für solche Verarbeitungen folgen aus nationalen oder europarechtlichen Vorschriften, da Art. 6 Abs. 2 DSGVO eine Öffnungsklausel zur Anwendung solcher Vorschriften enthält.

 

Über die Rechtsgrundlage einer Datenverarbeitung hat der Cloud-Anbieter den Cloud-Nutzer im Rahmen seiner Informationspflicht nach Art. 13 Abs. 1 lit. c DSGVO (Nr. 15.1) zu informieren.

 

Nachweis
Der Cloud-Anbieter kann im Rahmen der Zertifizierung alle oder eine repräsentative Stichprobe von rechtsverbindlichen Vereinbarungen vorlegen, die er mit den Cloud-Nutzern über die Bereitstellung eines Cloud-Dienstes geschlossen hat.

 

Der Cloud-Anbieter legt im Rahmen der Zertifizierung eine Übersicht vor, aus der hervorgeht, welchen rechtlichen Verpflichtungen er zur Datenverarbeitung unterliegt.

 

Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., & Teigeler, H. (2019)
AUDITOR-Kriterienkatalog – Entwurfsfassung 0.9. Karlsruhe, Germany: KIT. DOI: 10.5445/IR/1000092273; 24.07.2019
www.auditor-cert.de

 

cyber security

 

Cyber Security


Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

08/2019

 

Nr. 14 – Gewährleistung der Datensicherheit

Kapitel VII: Der Cloud-Anbieter als Verantwortlicher

 

Kriterien und Umsetzungshinweise für Verarbeitung als Verantwortlicher

 

Nr. 14 – Gewährleistung der Datensicherheit durch geeignete TOM nach dem Stand der Technik

 

Erläuterungen
Auch für die Datenverarbeitung zur Durchführung des Auftrags über die Erbringung des Cloud-Dienstes gegenüber dem Cloud-Nutzer und zur Erfüllung rechtlicher Verpflichtungen gilt, dass der Cloud-Anbieter durch TOM sicherstellen muss, dass Daten entsprechend ihrer Schutzbedürftigkeit vor allem vor sicherheitsrelevanter Vernichtung, vor Verlust und unbefugter Offenlegung geschützt werden.

Da der Cloud-Anbieter durch Durchführung des Auftrags mit dem Cloud-Nutzer und zur Erfüllung rechtlicher Verpflichtungen regelmäßig keine personenbezogenen Daten der Schutzklasse 3 verarbeiten wird, werden Kriterien nur für die Schutzklassen 1 und 2 angegeben.


Nr. 14.1 – Datensicherheitskonzept (Art. 24, 25, 32 i.V.m. Art. 5 Abs. 1 lit. f DSGVO)

 

Kriterium

  1. Der Cloud-Anbieter führt eine Risikoanalyse in Bezug auf die Datensicherheit durch und verfügt über ein Datensicherheitskonzept entsprechend seiner Schutzklasse, das den spezifischen Risiken seiner Datenverarbeitungsvorgänge zur Durchführung des Auftrags über die Erbringung des Cloud-Dienstes und zur Erfüllung rechtlicher Verpflichtungen angemessen ist.
  2. Im Datensicherheitskonzept stellt der Cloud-Anbieter dar, welche Datensicherheitsmaßnahmen er ergriffen hat, um die bestehenden Risiken abzustellen oder einzudämmen. Der Cloud-Anbieter schildert auch die Abwägungen, die er vorgenommen hat, um zu diesen Maßnahmen zu gelangen.
  3. Das Datensicherheitskonzept ist schriftlich zu dokumentieren.
  4. Das Datensicherheitskonzept ist in regelmäßigen Abständen auf Aktualität und Angemessenheit zu überprüfen und bei Bedarf zu aktualisieren.
  5. Sofern der Cloud-Anbieter Auftragsverarbeiter zur Durchführung des Auftrags mit dem Cloud-Nutzer einsetzt, beschreibt das Datensicherheitskonzept welche Datenverarbeitungsvorgänge ausgelagert sind und daher den TOM des Auftragsverarbeiters unterliegen.
  6. Soweit das Datensicherheitskonzept Sicherheitsmaßnahmen des Cloud-Nutzers verlangt, sind diese dem Cloud-Nutzer in Schriftform oder in einem elektronischen Format mitzuteilen.

Erläuterung
Auch hinsichtlich der Datenverarbeitung zur Durchführung des Auftrags über die Erbringung des Cloud-Dienstes und zur Erfüllung rechtlicher Verpflichtungen müssen Risiken insbesondere gegen unbeabsichtigte und unrechtmäßige Vernichtung, Verlust, Veränderung, unbefugte Offenlegung oder unbefugten Zugang zu personenbezogenen Daten ausgeschlossen oder zumindest minimiert werden. Bei der Festlegung der konkreten Maßnahmen berücksichtigt der Cloud-Anbieter nicht nur die Modalitäten der Verarbeitung und die Eintrittswahrscheinlichkeit und Schwere des Schadens, sondern auch den Stand der Technik sowie die Implementierungskosten der Maßnahmen. Die dabei getroffenen Abwägungen müssen aus dem Datensicherheitskonzept ersichtlich werden.

 

Umsetzungshinweis
Auch für die Datenverarbeitungsvorgänge zur Durchführung des Auftrags mit dem Cloud-Nutzer und zur Erfüllung rechtlicher Verpflichtungen sollte eine Risikoanalyse durchgeführt werden, bei der der Risikobewertungsansatz und die Risikobewertungsmethodik dokumentiert werden. Jedem Risiko sollte durch eine oder mehrere Schutzmaßnahmen begegnet werden.

 

Bei der Analyse von Risiken können folgende Merkmale analysiert und evaluiert werden:

  1. Evaluierung der Auswirkungen auf die Organisation, Technik oder Dienstbereitstellung aufgrund eines Sicherheitsausfalls und Berücksichtigung der Konsequenzen des Verlusts von Vertraulichkeit, Integrität oder Verfügbarkeit;
  2. Evaluierung der realistischen Wahrscheinlichkeit eines solchen Sicherheitsausfalls unter Berücksichtigung aller denkbaren Bedrohungen und Sicherheitslücken;
  3. Abschätzung des möglichen Schadensausmaßes für die Grundrechte und Freiheiten der betroffenen Personen;
  4. Prüfung, ob alle möglichen Optionen für die Behandlung der Risiken identifiziert und evaluiert sind;
  5. Bewertung, ob das verbleibende Risiko akzeptierbar oder eine Gegenmaßnahme erforderlich ist.

Das Datensicherheitskonzept sollte unter Berücksichtigung neu auftretender Sicherheitsherausforderungen kontinuierlich aktualisiert und verbessert werden. Dabei sollten Risikobewertungen, das mögliche Schadensausmaß und die identifizierten akzeptablen Risiken regelmäßig unter Berücksichtigung des Wandels der Organisation, der Technologien, von Geschäftszielen und -prozessen, von erkannten Bedrohungen, der Auswirkungen der implementierten Kontrollen und der externen Ereignisse überprüft werden.

 

Nachweis
Das Datensicherheitskonzept und seine Angemessenheit kann der Cloud-Anbieter dadurch nachweisen, dass er dieses vorlegt.


Nr. 14.2 – Sicherheitsbereich und Zutrittskontrolle (Art. 32 Abs. 1 lit. b und Abs. 2 i.V.m. Art. 5 Abs. 1 lit. f DSGVO)

 

Kriterium

 

Schutzklasse 1

  1. Der Cloud-Anbieter sichert Räume und Anlagen gegen Schädigung durch Naturereignisse und verwehrt Unbefugten den Zutritt zu Räumen und Datenverarbeitungsanlagen, um unbefugte Kenntnisnahmen personenbezogener Daten und Einwirkungsmöglichkeiten auf die Datenverarbeitungsanlagen auszuschließen. Die TOM müssen geeignet sein, um im Regelfall den Zutritt Unbefugter aufgrund technischer oder organisatorischer Fehler, einschließlich Bedienfehler, des Cloud-Anbieters oder fahrlässiger Handlungen Dritter auszuschließen. Gegen vorsätzliche Eingriffe ist ein Mindestschutz vorzusehen, der diese erschwert.

Schutzklasse 2

  1. Die Kriterien von Schutzklasse 1 sind erfüllt.
  2. Die TOM sind geeignet, um Schädigungen durch fahrlässige Handlungen Befugter im Regelfall auszuschließen. Sie schließen unbefugten Zutritt durch fahrlässige und vorsätzliche Handlungen hinreichend sicher aus. Dies gilt auch für Zutrittsversuche durch Täuschung oder Gewalt. Die TOM gewährleisten einen hinreichenden Schutz gegen bekannte Angriffsszenarien.
  3. Jeder unbefugte Zutritt und Zutrittsversuch wird nachträglich festgestellt.

Erläuterung
Dieses Kriterium konkretisiert in Teilen die in Art. 32 Abs. 1 lit. b und Art. 5 Abs. 1 lit. f DSGVO enthaltene, in hohem Maße konkretisierungsbedürftige Pflicht, die Gewährleistungsziele Integrität, Vertraulichkeit und Verfügbarkeit von personenbezogenen Daten und Diensten auf Dauer zu gewährleisten. Dies setzt ein Berechtigungskonzept für den Zutritt zu Datenverarbeitungsanlagen voraus. Die Zutrittskontrolle gewährleistet den Zutrittsschutz nicht nur im Normalbetrieb, sondern auch im Zusammenhang mit Naturereignissen.

 

Umsetzungshinweis
Die Umsetzungshinweise aus ISO/IEC 27001 Ziff. A11 und ISO/IEC 27018 Ziff. 11 sind anwendbar.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er im Datensicherheitskonzept die TOM zur Zutrittskontrolle darlegt.


Nr. 14.3 – Zugangskontrolle (Art. 32 Abs. 1 lit. b und Abs. 2 i.V.m. Art. 5 Abs. 1 lit. f DSGVO)

 

Kriterium

 

Schutzklasse 1

  1. Der Cloud-Anbieter stellt sicher, dass Unbefugte keinen Zugang zu Datenverarbeitungssystemen erhalten und auf diese einwirken können. Dies gilt auch für Sicherungskopien, soweit diese personenbezogene Daten enthalten.
  2. Der Cloud-Anbieter überprüft die Erforderlichkeit der Berechtigungen für den Zugang zu Datenverarbeitungssystemen in regelmäßigen Abständen auf Aktualität und Angemessenheit und aktualisiert sie bei Bedarf.
  3. Der Cloud-Anbieter schützt Zugänge von Befugten über das Internet mit einer starken Authentifizierung, die mindestens zwei Elemente der Kategorie Wissen, Besitz oder Inhärenz verwendet. Die Elemente müssen voneinander unabhängig sein, sodass die Überwindung eines Elements die Zuverlässigkeit des anderen nicht beeinflusst. Sie müssen so konzipiert sein, dass die Vertraulichkeit der Authentifizierungsdaten gewährleistet ist. Der Zugang über das Internet hat über einen verschlüsselten Kommunikationskanal zu erfolgen.
  4. Die Maßnahmen zur Zugangskontrolle sind geeignet, um im Regelfall den Zugang zu Datenverarbeitungssystemen durch Unbefugte aufgrund technischer oder organisatorischer Fehler, einschließlich Bedienfehler, des Cloud-Anbieters oder fahrlässiger Handlungen des Cloud-Nutzers oder Dritter auszuschließen. Gegen vorsätzliche Eingriffe ist ein Mindestschutz vorzusehen, der diese erschwert.

Schutzklasse 2

  1. Die Kriterien von Schutzklasse 1 sind erfüllt.
  2. Gegen zu erwartenden vorsätzlichen unbefugten Zugang ist ein Schutz vorzusehen, der zu erwartende Zugangsversuche hinreichend sicher ausschließt. Die TOM gewährleisten einen hinreichenden Schutz gegen bekannte Angriffsszenarien und stellen einen unbefugten Zugang im Regelfall nachträglich fest.

Erläuterungen
Das Kriterium der Zugangskontrolle konkretisiert in Teilen die in Art. 32 Abs. 1 lit. b und Abs. 2 DSGVO enthaltene, in hohem Maße konkretisierungsbedürftige Pflicht, die Gewährleistungsziele der Integrität, Vertraulichkeit und Verfügbarkeit von personenbezogenen Daten und Diensten auf Dauer sicherzustellen. Dies setzt ein Berechtigungskonzept für den Zugang zu Datenverarbeitungssystemen voraus.

 

Umsetzungshinweis
Die Umsetzungshinweise aus ISO/IEC 27001 Ziff. A12.1.4, A12.4.2 sind anwendbar.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, indem er im Datensicherheitskonzept die TOM zur Zugangskontrolle darlegt.


Nr. 14.4 – Zugriffskontrolle (Art. 32 Abs. 1 lit. b und Abs. 2 i.V.m. Art. 5 Abs. 1 lit. f DSGVO)

 

Kriterium

 

Schutzklasse 1

  1. Der Cloud-Anbieter stellt durch TOM sicher, dass Berechtigte nur im Rahmen ihrer Berechtigungen auf personenbezogene Daten zugreifen können und schließt unbefugte Einwirkungen auf Datenverarbeitungsvorgänge aus. Dies gilt auch für Sicherungskopien, soweit sie personenbezogene Daten enthalten.
  2. Zugriffe auf personenbezogene Daten sind zu kontrollieren.
  3. Die TOM sind geeignet, um im Regelfall den Zugriff auf Daten durch Unbefugte aufgrund technischer oder organisatorischer Fehler, einschließlich Bedienfehler, des Cloud-Anbieters oder fahrlässiger Handlungen des Cloud-Nutzers oder Dritter auszuschließen. Gegen vorsätzliche Eingriffe besteht ein Mindestschutz, der diese erschwert.
  4. Der Cloud-Anbieter schützt Zugriffe von Befugten über das Internet durch eine starke Authentifizierung, die mindestens zwei Elemente der Kategorie Wissen, Besitz oder Inhärenz verwendet, die insofern voneinander unabhängig sind, als die Überwindung eines Elements die Zuverlässigkeit des anderen nicht in Frage stellt, und die so konzipiert ist, dass die Vertraulichkeit der Authentifizierungsdaten gewährleistet ist.

Schutzklasse 2

  1. Die Kriterien von Schutzklasse 1 sind erfüllt.
  2. Gegen zu erwartenden vorsätzlichen unbefugten Zugriff ist ein Schutz vorzusehen, der zu erwartende Zugriffsversuche hinreichend sicher ausschließt. Die TOM gewährleisten einen hinreichenden Schutz gegen bekannte Angriffsszenarien und stellen einen unberechtigten Zugriff im Regelfall nachträglich fest.

Erläuterungen
Das Kriterium der Zugriffskontrolle konkretisiert in Teilen die in Art. 32 Abs. 1 lit. b und Abs. 2 DSGVO enthaltene, in hohem Maße konkretisierungsbedürftige Pflicht, die Gewährleistungsziele Integrität, Vertraulichkeit und Verfügbarkeit von personenbezogenen Daten und Diensten auf Dauer sicherzustellen. Dies setzt ein Berechtigungskonzept für den Zugriff auf personenbezogenen Daten voraus.

 

Umsetzungshinweis
Die Umsetzungshinweise aus ISO/IEC 27002 Ziff. 13.2 sind anwendbar.

Ein geeigneter Managementprozess für die Zugriffskontrolle sollte etabliert werden, der die Erforderlichkeit der Berechtigungen in regelmäßigen Abständen auf Angemessenheit überprüft, die Vergabe, Aktualisierung, Kontrolle und den Entzug von Berechtigungen regelt, Zugriffspolitiken überwacht und aktualisiert sowie Passwortrichtlinien überprüft und die Einhaltung sicherstellt.

Der Cloud-Anbieter sollte angemessene Sicherheitsmaßnamen gegen sowohl interne auch gegen externe Angriffe implementieren, um einen unbefugten Zugriff zu verhindern. Hierzu zählen beispielsweise sämtliche Standardmaßnahmen für den Schutz des Cloud-Hosts, d. h. Host Firewalls, Network-Intrusion-Prevention-Systeme, Applikationsschutz, Antivirus, regelmäßige Integritätsüberprüfungen wichtiger Systemdateien und Hostbased Intrusion-Detection-Systeme. Der Cloud-Anbieter sollte seinen Dienst ununterbrochen auf Angriffe und Sicherheitsvorfälle überwachen, um verdächtige Aktivitäten (bspw. Extraktion großer Datenmengen), Angriffe und Sicherheitsvorfälle rechtzeitig erkennen und angemessene und zeitnahe Reaktionen einleiten zu können.

Um vorsätzliche Eingriffe auf Datenverarbeitungsvorgänge durch Mitarbeiter zu erschweren, sollten der Cloud-Anbieter Zugriffsberechtigungen restriktiv vergeben, um den Kreis der Berechtigten klein zu halten. Mitarbeiter sollten nur Zugriff auf die Daten und Datenverarbeitungsvorgänge haben, die sie für ihre Aufgabenerledigung benötigen. Eine weitere Maßnahme, um vorsätzliche Eingriffe durch Mitarbeiter zu erschweren, kann die Implementierung eines Vier-Augen-Prinzips sein, das bestimmte Aktionen an Datenverarbeitungsvorgängen nur zulässt, wenn mindestens ein weiterer Mitarbeiter der Aktion zugestimmt hat. Der Cloud-Anbieter sollte die Zugriffe protokollieren, um Zugriffe durch befugte Mitarbeiter nachträglich nachverfolgen zu können.

Der Cloud-Anbieter sollte sämtliche relevanten Sicherheitsereignisse einschließlich aller Sicherheitslücken oder -vorfälle erfassen, protokollieren, revisionssicher archivieren und auswerten. Ein handlungsfähiges Team für Security-Incident-Handling und Trouble-Shooting sollte ununterbrochen erreichbar sein, damit Sicherheitsvorfälle gemeldet und zeitnah bearbeitet werden können.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, indem er im Datensicherheitskonzept die TOM zur Zugriffskontrolle darlegt.


Nr. 14.5 – Übertragung von Daten und Transportverschlüsselung  (Art. 32 Abs. 1 lit. b und Abs. 2 i.V.m. Art. 5 Abs. 1 lit. f und Abs. 2 DSGVO)

 

Kriterium

 

Schutzklasse 1

  1. Der Cloud-Anbieter setzt bei Datenübertragungsvorgängen eine Transportverschlüsselung nach dem Stand der Technik oder gleichermaßen angemessene Maßnahmen ein oder fordert dies durch entsprechende Konfiguration von Schnittstellen. Die eingesetzte Transportverschlüsselung gewährleistet, dass personenbezogene Daten bei der elektronischen Übertragung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Bei verschlüsselter Übertragung sind die Schlüssel sicher aufzubewahren.
  2. Der Cloud-Anbieter schließt im Regelfall solche Handlungen Unbefugter aufgrund technischer oder organisatorischer Fehler, einschließlich Bedienfehler, des Cloud-Anbieters oder seiner Mitarbeiter oder fahrlässiger Handlungen des Cloud-Nutzers oder Dritter aus. Die TOM verhindern im Regelfall die fahrlässige Weitergabe von Daten an Unbefugte durch den Cloud-Anbieter und seine Mitarbeiter. Gegen vorsätzliche Eingriffe besteht ein Mindestschutz, der diese erschwert.
  3. Der Cloud-Anbieter protokolliert automatisiert die Metadaten aller Datenübertragungsvorgänge, einschließlich der Empfänger, auch solche vom und an den Cloud-Nutzer oder an Subauftragsverarbeiter.
  4. Die Kriterien gelten auch für die Übertragung von Daten im eigenen Netzwerk des Cloud-Anbieters und seiner Auftragsverarbeiter und zwischen diesen.
  5. Der Cloud-Anbieter verhindert beim Transport von Datenträgern durch TOM, dass personenbezogene Daten unbefugt gelesen, kopiert, verändert oder entfernt werden können. Der Cloud-Anbieter dokumentiert die Transporte.

Schutzklasse 2

  1. Die Kriterien von Schutzklasse 1 sind erfüllt.
  2. Der Cloud-Anbieter schützt personenbezogene Daten gegen vorsätzliches unbefugtes Lesen, Kopieren, Verändern oder Entfernen und schließt zu erwartende Versuche hinreichend sicher aus. Er schützt gegen bekannte Angriffsszenarien und stellt ein unbefugtes Lesen, Kopieren, Verändern oder Entfernen im Regelfall (nachträglich) fest.

Erläuterungen
Das Kriterium der Übertragungs- und Transportkontrolle konkretisiert die in Art. 32 Abs. 1 lit. b und Abs. 2 DSGVO enthaltene, in hohem Maße konkretisierungsbedürftige Pflicht, die Gewährleistungsziele Integrität, Vertraulichkeit und Verfügbarkeit von personenbezogenen Daten und Diensten auf Dauer sicherzustellen und personenbezogene Daten gegen unbeabsichtigte oder unrechtmäßige Vernichtung, Verlust, Veränderung, unbefugten Zugang oder unbefugte Offenlegung während der elektronischen Übertragung, des Transports oder der Speicherung auf Datenträgern zu schützen.

 

Umsetzungshinweis
Die Umsetzungshinweise aus ISO/IEC 27018 Ziff. 10.1.1, ISO/IEC 27002 Ziff. 12.4, ISO/IEC 27040:2017-03 Ziff. 6.7.1 und ISO/IEC 27040:2017-03 Ziff. 7.7.1 sind anwendbar.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er im Datensicherheitskonzept die TOM zur Übertragungs- und Transportkontrolle darlegt.


Nr. 14.6 – Nachvollziehbarkeit der Datenverarbeitung (Art. 32 Abs. 1 lit. b und Abs. 2 i.V.m. Art. 5 Abs. 1 lit. c, e, f und Abs. 2 DSGVO)

 

Kriterium

 

Schutzklasse 1

  1. Der Cloud-Anbieter protokolliert Eingaben, Veränderungen und Löschungen an Daten, die zur Durchführung des Auftrags über die Erbringung des Cloud-Dienstes und zur Erfüllung rechtlicher Verpflichtungen erforderlich sind, um eine nachträgliche Prüfbarkeit und Nachvollziehbarkeit der Datenverarbeitung sicherzustellen. Bei Protokollierungen sind die Grundsätze der Erforderlichkeit, Zweckbindung und Datenminimierung zu beachten. Die Protokolldaten sind sicher aufzubewahren.
  2. Der Cloud-Anbieter kann Dateneingaben, -veränderungen oder -löschungen, die bei der bestimmungsgemäßen Nutzung des Cloud-Dienstes durch den Cloud-Nutzer wie bei administrativen Maßnahmen des Cloud-Anbieters erfolgen, jederzeit nachvollziehen.
  3. Der Cloud-Anbieter gestaltet die Protokollierung der administrativen Aktivitäten und der Nutzer-Aktivitäten so, dass die Nachvollziehbarkeit von Eingaben, Veränderungen und Löschungen im Regelfall auch bei technischen oder organisatorischen Fehlern, einschließlich Bedienfehlern des Cloud-Anbieters oder seiner Mitarbeiter oder fahrlässiger Handlungen des Cloud-Nutzers oder Dritter gewahrt bleibt. Er sieht gegen vorsätzliche Manipulationen an den Maßnahmen zur Nachvollziehbarkeit einen Mindestschutz vor, der diese Manipulationen erschwert.

Schutzklasse 2

  1. Die Kriterien von Schutzklasse 1 sind erfüllt.
  2. Der Cloud-Anbieter sieht gegen zu erwartende vorsätzliche Manipulationen der Protokollierungsinstanzen und gegen vorsätzlichen Zugriff auf oder Manipulationen von Protokollierungsdateien (Logs) durch Unbefugte einen Schutz vor, der zu erwartende Manipulationsversuche hinreichend und sicher ausschließt. Zu diesen Schutzmaßnahmen gehören insbesondere ein hinreichender Schutz gegen bekannte Angriffsszenarien sowie Maßnahmen, durch die eine Manipulation im Regelfall (nachträglich) festgestellt werden kann.

Erläuterung
Das Kriterium der Nachvollziehbarkeit konkretisiert in Teilen die in Art. 32 Abs. 1 lit. b und Abs. 2 DSGVO enthaltene, in hohem Maße konkretisierungsbedürftige Pflicht, die Gewährleistungsziele Integrität, Vertraulichkeit und Verfügbarkeit von personenbezogenen Daten und Diensten auf Dauer sicherzustellen und personenbezogene Daten gegen unbeabsichtigte oder unrechtmäßige Vernichtung, Verlust, Veränderung, unbefugten Zugang oder unbefugte Offenlegung zu schützen. Hierzu muss nachträglich überprüft und festgestellt werden können, ob, wann und von wem und mit welchen inhaltlichen Auswirkungen personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, um gegebenenfalls Zugriffsrechte für die Zukunft anders zu gestalten. Zur sicheren Aufbewahrung der Protokolldaten gehört auch, dass die Auswertbarkeit der Protokolldaten sichergestellt ist.

Da im Rahmen von Protokollierungen regelmäßig personenbezogene Daten anfallen, unterliegt der Umgang mit Protokollierungsdaten ebenfalls datenschutzrechtlichen Anforderungen. Auf die Datenschutzgrundsätze aus Art. 5 DSGVO wird Bezug genommen. Auf das Gewährleistungsziel der Datenminimierung und der Zweckbindung aus Art. 5 Abs. 1 lit. c und b DSGVO ist besonderes Augenmerk zu legen.

 

Umsetzungshinweis
Die Umsetzungshinweise aus ISO/IEC 27018 Ziff. 12.4.1, 12.4.2 und ISO/IEC 27002 Ziff. 12.4 sind anwendbar.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, indem er im Datensicherheitskonzept dokumentiert, wie er durch Festlegung von Gegenstand und Umfang der Protokollierung, Aufbewahrung und Verwendung der Protokolldaten, Integritätsschutz und Löschung von Protokollen, die Datenschutz-ziele sicherstellt.


Nr. 14.7 – Verschlüsselung gespeicherter Daten (Art. 32 Abs. 1 lit. a DSGVO)

 

Kriterium

 

Schutzklasse 1 und 2

  1. Der Cloud-Anbieter stellt sicher, dass Anmeldedaten zur Nutzung des Cloud-Dienstes in einer Weise verschlüsselt gespeichert werden, dass auch er intern keinen Zugriff darauf hat.
  2. Der Cloud-Anbieter verschlüsselt personenbezogene Daten, die zur Durchführung des Auftrags über die Erbringung des Cloud-Dienstes und zur Erfüllung rechtlicher Verpflichtungen gespeichert werden müssen, und speichert sie verschlüsselt.
  3. Der Cloud-Anbieter verfolgt laufend die technische Entwicklung im Bereich der Verschlüsselung und setzt Verschlüsselungsverfahren ein, die den aktuellen technischen Empfehlungen (best practice) entsprechen.
  4. Eingesetzte Verschlüsselungsverfahren sind durch andere Verschlüsselungsverfahren zu ersetzen, wenn sie nicht mehr den aktuellen technischen Empfehlungen (best practice) entsprechen.

Erläuterung
Die Verschlüsselung wird neben der Pseudonymisierung in Art. 32 Abs. 1 lit. a DSGVO explizit als eine einzusetzende Sicherheitsmaßnahme benannt. Zweck der Verschlüsselung ist es, die Gewährleistungsziele der Vertraulichkeit und Integrität sicherzustellen. Die Schwelle, ab der zu verschlüsseln ist, ist niedrig, sodass personenbezogene Daten bereits bei niedrigem Risiko verschlüsselt werden sollten, soweit dies möglich ist.

 

Umsetzungshinweis
Der Stand der Technik ergibt sich aus aktuellen technischen Normen für kryptographische Verfahren und deren Anwendung. Die Umsetzungshinweise aus ISO/IEC 27018 Ziff. 10 und ISO/IEC 27002, Z. 10 sind anwendbar.

Die Schlüsselerzeugung bei der Verschlüsselung sollte in einer sicheren Umgebung und unter Einsatz geeigneter Schlüsselgeneratoren erfolgen. Kryptografische Schlüssel sollten möglichst nur einem Einsatzzweck dienen und generell nie in klarer Form, sondern grundsätzlich verschlüsselt im System gespeichert werden. Die Speicherung muss stets redundant gesichert und wiederherstellbar sein, um einen Verlust eines Schlüssels auszuschließen. Schlüsselwechsel müssen regelmäßig durchgeführt werden. Der Zugang zum Schlüsselverwaltungssystem sollte eine separate Authentisierung erfordern.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er im Datensicherheitskonzept dokumentiert, dass die angewandten Verschlüsselungsverfahren den aktuellen technischen Anforderungen entsprechen. Er legt Prozessdokumentationen vor, wie er die technische Entwicklung im Bereich der Verschlüsselung verfolgt und die Geeignetheit des Verfahrens fortdauernd prüft und es gegebenenfalls aktualisiert. Er weist in seinem Datensicherheitskonzept nach, dass er die eingesetzten Verschlüsselungstechniken durch geeignete technische Tests geprüft hat.


Nr. 14.8 – Getrennte Verarbeitung (Art. 5 Abs. 1 lit. b i.V.m. Art. 24, 25, 32 Abs. 1 lit. b und Abs. 2 DSGVO)

 

Kriterium

 

Schutzklasse 1

  1. Der Cloud-Anbieter verarbeitet personenbezogene Daten, die zur Durchführung des Auftrags über die Erbringung des Cloud-Dienstes und zur Erfüllung rechtlicher Pflichten verarbeitet werden, getrennt nach den jeweiligen Verarbeitungszwecken.
  2. Die Datentrennung muss im Regelfall auch bei technischen oder organisatorischen Fehlern, einschließlich Bedienfehlern, des Cloud-Anbieters oder seiner Mitarbeiter gewahrt ein. Der
    Cloud-Anbieter realisiert einen Mindestschutz, der vorsätzliche Verstöße gegen das Trennungsgebot verhindert.

Schutzklasse 2

  1. Die Kriterien von Schutzklasse 1 sind erfüllt.
  2. Der Cloud-Anbieter schließt zu erwartende vorsätzliche Verstöße hinreichend sicher aus. Zu den dafür erforderlichen TOM gehört im Rahmen der Datenspeicherung die Verschlüsselung mit individuellen Schlüsseln. Er stellt vorsätzliche Verstöße gegen das Trennungsgebot im Regelfall (nachträglich) fest.

Erläuterung
Das Kriterium fördert das Gewährleistungsziel der Verfügbarkeit, Integrität, Vertraulichkeit und Nichtverkettung und zielt damit auch auf die Sicherstellung des Zweckbindungsgrundsatzes aus Art. 5 Abs. 1 lit. b DSGVO.

 

Umsetzungshinweis
Die Umsetzungshinweise aus ISO/IEC 27002 Ziff. 12.1.4, 13.1.3 sind anwendbar.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, indem er im Datensicherheitskonzept dokumentiert, welche TOM er ergriffen hat, um Datenbestände nach den Verarbeitungszwecken voneinander zu trennen.

 

Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., & Teigeler, H. (2019)
AUDITOR-Kriterienkatalog – Entwurfsfassung 0.9. Karlsruhe, Germany: KIT. DOI: 10.5445/IR/1000092273; 24.07.2019
www.auditor-cert.de

 

cyber security

 

Cyber Security

Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

08/2019

 

Nr. 15 – Wahrung von Betroffenenrechten

Kapitel VII: Der Cloud-Anbieter als Verantwortlicher

 

Kriterien und Umsetzungshinweise für Verarbeitung als Verantwortlicher

 

Nr. 15 – Wahrung von Betroffenenrechten

Nr. 15.1 – Informationspflicht (Art. 13 i.V.m. Art. 12 Abs. 1 und Art. 5 Abs. 1 lit. a DSGVO)

 

Kriterium
Der Cloud-Anbieter stellt durch TOM sicher, dass er den Cloud-Nutzer zum Zeitpunkt der Erhebung seiner personenbezogenen Daten zur Durchführung des Auftrags über die Erbringung des Cloud-Dienstes und zur Erfüllung rechtlicher Verpflichtungen über die Umstände der Verarbeitung und über seine Betroffenenrechte verständlich und in klarer und einfacher Sprache informiert. Er informiert den Cloud-Nutzer über alle in Art. 13 Abs. 1 und 2 DSGVO geforderten Angaben.

 

Erläuterung
Der Cloud-Anbieter ist nach Art. 13 DSGVO verpflichtet, die betroffene Person über die Umstände der Direkterhebung zu informieren. Dieses Kriterium fördert die Gewährleistungsziele der Transparenz und der Intervenierbarkeit.

 

Nachweis
Der Cloud-Anbieter legt das Muster seiner Datenschutzerklärung mit den Informationen nach Art. 13 Abs. 1 und 2 DSGVO vor, das der Cloud-Nutzer bei Vertragsschluss über die Erbringung des Cloud-Dienstes erhält. Findet der Vertragsschluss online statt, kann im Rahmen eines (Test-)Vertragsabschlusses getestet werden, ob der Cloud-Anbieter alle Informationen nach Art. 13 Abs. 1 und 2 DSGVO bereitstellt.


Nr. 15.2 – Auskunftserteilung (Art. 15 i.V.m. Art. 5 Abs. 1 lit. a 3. Alt. DSGVO)

 

Kriterium
Der Cloud-Anbieter stellt durch TOM sicher, dass er dem Cloud-Nutzer auf Antrag Auskunft über die Datenverarbeitung erteilt, die er als Verantwortlicher über ihn zur Durchführung des Auftrags über die Erbringung des Cloud-Dienstes und zur Erfüllung rechtlicher Verpflichtungen durchführt.
Er stellt dem Cloud-Nutzer eine Kopie dieser Daten zur Verfügung.

 

Erläuterung
Dieses Kriterium fördert die Gewährleistungsziele der Transparenz und der Intervenierbarkeit.

 

Umsetzungshinweise
Der Cloud-Anbieter hat der betroffenen Person nach Art. 12 Abs. 3 DSGVO die Auskunft unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zu erteilen. Die Antragstellung sollte möglichst einfach sein, weshalb Kontaktformulare oder Customer-Self-Services via Webportal bereitgestellt werden sollten. Nach Art. 15 Abs. 3 DSGVO hat die betroffene Person einen Anspruch auf eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis erbringen, indem er dokumentiert, welche Maßnahmen er ergriffen hat, um dem Cloud-Nutzer zeitgerecht Auskunft zu erteilen. Auch können anhand einer Prozessdokumentation die tatsächlich durchgeführten Auskunftserteilungen nachgewiesen werden.


Nr. 15.3 – Berichtigung und Vervollständigung (Art. 16 i.V.m. Art. 5 Abs. 1 lit. d DSGVO)

 

Kriterium
Der Cloud-Anbieter stellt durch TOM sicher, dass er dem Cloud-Nutzer die Möglichkeit einräumt, seine in Zusammenhang mit der Durchführung des Auftrags über die Erbringung des Cloud-Dienstes stehenden unvollständigen oder unrichtigen personenbezogenen Daten selbst zu korrigieren oder zu löschen. Alternativ führt der Cloud-Anbieter die (berechtigte) Korrektur oder Löschung durch.

 

Erläuterung
Der Cloud-Anbieter ist nach Art. 16 DSGVO verpflichtet, auf Antrag unrichtige personenbezogene Daten zu berichtigen und unvollständige personenbezogene Daten von betroffenen Personen zu vervollständigen. Die Berichtigung gemäß Art. 16 DSGVO fördert das Gewährleistungsziel der Intervenierbarkeit.

 

Umsetzungshinweise
Auch unabhängig vom Antrag betroffener Personen ist der Cloud-Anbieter aus Art. 5 Abs. 1 lit. d DSGVO zur Datenrichtigkeit verantwortlich, weshalb er Fristen für die regelmäßige Überprüfung und Löschung von Daten festlegen sollte.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, indem er dokumentiert, welche Maßnahmen er ergriffen hat, um Cloud-Nutzern die (direkte) Berichtigung und Vervollständigung von Daten zu ermöglichen oder um die Berichtigung und Vervollständigung selbst vorzunehmen.

 

Weiterhin können durch Prozessdokumentationen die tatsächlich durchgeführten Berichtigungen und Vervollständigungen nachgewiesen werden.


Nr. 15.4 – Löschung (Art. 17 Abs. 1 DSGVO)

 

Kriterium
Der Cloud-Anbieter stellt durch TOM sicher, dass er personenbezogene Daten des Cloud-Nutzers, die er zur Erfüllung des Auftrags über die Erbringung des Cloud-Dienstes verarbeitet, auf Antrag des Cloud-Nutzers und von sich aus unverzüglich löscht, wenn die Voraussetzungen von Art. 17 Abs. 1 lit. a, d oder e DSGVO vorliegen.

 

Erläuterung
Das Kriterium fördert die Gewährleistungsziele der Intervenierbarkeit und Nichtverkettung. Keine Pflicht zur Löschung besteht insbesondere, wenn der Cloud-Anbieter zur Verarbeitung verpflichtet ist, um eine rechtliche Verpflichtung zu erfüllen (Art. 17 Abs. 3 lit. DSGVO).

 

Umsetzungshinweis
Um seinen Löschungspflichten nachzukommen zu können, sollte der Cloud-Anbieter ein Löschkonzept anfertigen, mit dem er seine Löschverpflichtungen laufend ermitteln und prüfen kann. Das Löschkonzept sollte Kriterien enthalten, anhand derer bestimmt werden kann, ob ein Datensatz gelöscht werden muss oder aufgrund von Aufbewahrungsfristen gespeichert werden muss. Zu jedem Datensatz sollten daher „Metadaten“ wie Zweck der Verarbeitung, Festlegung von Indikatoren für den Wegfall eines Erlaubnistatbestands, Aufbewahrungsfristen und die Rechtsgrundlage der Speicherung niedergelegt werden.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis erbringen, indem er dokumentiert, welche Maßnahmen er ergriffen hat, um das Löschbegehren des Cloud-Nutzers zu prüfen und durchzuführen. Auch können anhand von Prozessdokumentationen die tatsächlich durchgeführten Löschungen nachgewiesen werden.


Nr. 15.5 – Einschränkung der Verarbeitung (Art. 18 Abs. 1 und 3 DSGVO)

 

Kriterium

  1. Der Cloud-Anbieter stellt durch TOM sicher, dass er die Verarbeitung von personenbezogenen Daten des Cloud-Nutzers, die er durchführt, um den Auftrag mit diesem über die Erbringung des Cloud-Dienstes zu erbringen oder eine rechtliche Verpflichtung zu erfüllen, auf Antrag einschränken kann.
  2. Der Cloud-Anbieter stellt durch TOM sicher, dass er den Cloud-Nutzer informiert, bevor er eine Einschränkung aufhebt.

Erläuterung
Der Cloud-Anbieter ist nach Art. 18 Abs. 1 DSGVO verpflichtet, die Verarbeitung personenbezogener Daten unter bestimmten Voraussetzungen einzuschränken, sodass Daten nicht weiterverarbeitet oder verändert werden können. Das Kriterium fördert das Gewährleistungsziel der Intervenierbarkeit.

 

Umsetzungshinweis
Eine Einschränkung der Verarbeitung kann beispielsweise durch eine vorübergehende Übertragung in ein anderes Verarbeitungssystem oder durch Sperrung erfolgen.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, indem er dokumentiert, welche Maßnahmen er ergriffen hat, um die Verarbeitung von Daten einzuschränken und den Cloud-Nutzer vor Aufhebung der Einschränkung zu informieren.


Nr. 15.6 – Mitteilungspflicht bei Berichtung, Löschung oder Einschränkung der Verarbeitung (Art. 19 i.V.m. Art. 5 Abs. 1 lit. a 3. Alt. DSGVO)

 

Kriterium
Soweit der Cloud-Anbieter Empfängern personenbezogene Daten des Cloud-Nutzers zur Durchführung des Auftrags mit diesem über die Erbringung des Cloud-Dienstes oder aufgrund einer rechtlichen Verpflichtung offengelegt hat, stellt er durch TOM sicher, dass er diesen Empfängern, jede Berichtigung, Löschung oder Einschränkung der Verarbeitung mitteilt und den Cloud-Nutzer auf Verlangen über die Empfänger unterrichtet.

 

Erläuterung
Der Cloud-Anbieter ist nach Art. 19 DSGVO verpflichtet, Empfängern, denen er personenbezogene Daten offengelegt hat, jede Berichtigung, Löschung oder Einschränkung der Verarbeitung mitzuteilen und die betroffene Person auf Verlangen über die Empfänger zu unterrichten. Das Kriterium fördert die Gewährleistungsziele der Transparenz und der Intervenierbarkeit.

 

Empfänger sind beispielsweise auch Auftragsverarbeiter, die eingesetzt werden, um den Auftrag über die Erbringung des Cloud-Dienstes durchzuführen.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis erbringen, indem er dokumentiert, welche Maßnahmen er ergriffen hat, um seiner Mitteilungspflicht nachzukommen und den Cloud-Nutzer auf Verlangen über die Empfänger der Offenlegung zu unterrichten.

 

Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., & Teigeler, H. (2019)
AUDITOR-Kriterienkatalog – Entwurfsfassung 0.9. Karlsruhe, Germany: KIT. DOI: 10.5445/IR/1000092273; 24.07.2019
www.auditor-cert.de

 

cyber security

 

Cyber Security

Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

08/2019

 

Nr. 16 – Verpflichtung zur Vertraulichkeit

Kapitel VII: Der Cloud-Anbieter als Verantwortlicher

 

Kriterien und Umsetzungshinweise für Verarbeitung als Verantwortlicher

 

Nr. 16 – Verpflichtung zur Vertraulichkeit (Art. 5 Abs. 1 lit. a, Abs. 2 i.V.m. Art. 24 Abs. 1 DSGVO)

 

Kriterium
Der Cloud-Anbieter betraut nur Mitarbeiter mit der Verarbeitung von personenbezogenen Daten des Cloud-Nutzers, die er vor Beginn der Verarbeitung über die Beachtung der datenschutzrechtlichen Anforderungen nach der DSGVO, inklusive des Datengeheimnisses, unterrichtet und hierauf verpflichtet hat.

 

Erläuterung
Die Unterrichtung über die datenschutzrechtlichen Anforderungen nach der DSGVO und die Verpflichtung der Mitarbeiter auf das Datengeheimnis fördern den Grundsatz von Treu und Glauben und das Gewährleistungsziel der Vertraulichkeit (SDM 6.2.3)

 

Nachweis
Der Cloud-Anbieter kann den Nachweis erbringen, indem er ein Muster für die Verpflichtungserklärungen seiner Mitarbeiter oder bereits unterzeichnete Verpflichtungserklärungen der Mitarbeiter vorlegt.

 

Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., & Teigeler, H. (2019)
AUDITOR-Kriterienkatalog – Entwurfsfassung 0.9. Karlsruhe, Germany: KIT. DOI: 10.5445/IR/1000092273; 24.07.2019
www.auditor-cert.de

 

cyber security

 

Cyber Security


Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

08/2019

 

Nr. 17 – Meldung von Datenschutzverletzungen

Kapitel VII: Der Cloud-Anbieter als Verantwortlicher

 

Kriterien und Umsetzungshinweise für Verarbeitung als Verantwortlicher

 

Nr. 17 – Meldung von Datenschutzverletzungen (Art. 33 Abs. 1, 3 und 5 DSGVO)

 

Kriterium

  1. Der Cloud-Anbieter meldet der Aufsichtsbehörde Datenschutzverletzungen aus der Verarbeitung von Daten, die zur Durchführung des Auftrags über die Erbringung des Cloud-Dienstes und zur Erfüllung rechtlicher Verpflichtungen vorgenommen werden, unverzüglich nach Bekanntwerden, sofern sie voraussichtlich zu einem Risiko für die Rechte und Freiheiten des Cloud-Nutzers führen.
  2. Der Cloud-Anbieter dokumentiert die Datenschutzverletzungen samt aller mit ihnen in Zusammenhang stehenden Fakten, Auswirkungen und ergriffenen Maßnahmen.
  3. Die Meldung an die zuständige Aufsichtsbehörde enthält mindestens die Vorgaben aus Art. 33 Abs. 3 lit. a bis d DSGVO.
  4. Der Cloud-Anbieter bestimmt, welche Faktoren erfüllt sein müssen, damit von einem voraussichtlichen Risiko für die Rechte und Freiheiten des Cloud-Nutzers ausgegangen werden muss und wer für die Meldung zuständig ist. Die zuständigen Mitarbeiter sind ausreichend geschult, um Verstöße beurteilen zu können.

Erläuterung
Der Cloud-Anbieter ist nach Art. 33 DSGVO zur unverzüglichen Meldung von Datenschutzverstößen an die Aufsichtsbehörde verpflichtet, sofern sie voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führen. Der Cloud-Anbieter muss Datenschutzverletzungen dokumentieren, damit die Aufsichtsbehörde überprüfen kann, ob der Cloud-Anbieter allen seinen diesbezüglichen Pflichten nachgekommen ist. Das Kriterium fördert das Gewährleistungsziel der Integrität und Transparenz.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, indem er in seinem Datensicherheitskonzept dokumentiert, wie er die Meldung von Datenschutzverletzungen durchführt.

 

Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., & Teigeler, H. (2019)
AUDITOR-Kriterienkatalog – Entwurfsfassung 0.9. Karlsruhe, Germany: KIT. DOI: 10.5445/IR/1000092273; 24.07.2019
www.auditor-cert.de

 

cyber security

 

Cyber Security


Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

08/2019

 

Nr. 18 – Benachrichtigung der betroffenen Person

Kapitel VII: Der Cloud-Anbieter als Verantwortlicher

 

Kriterien und Umsetzungshinweise für Verarbeitung als Verantwortlicher

 

Nr. 18 – Benachrichtigung der betroffenen Person bei Datenschutzverletzungen (Art. 34 Abs. 1 und 2 DSGVO)

 

Kriterium

  1. Der Cloud-Anbieter unterrichtet den Cloud-Nutzer über Datenschutzverletzungen aus der Verarbeitung von Daten zur Durchführung des Auftrags über die Erbringung des Cloud-Dienstes und zur Erfüllung rechtlicher Verpflichtungen unverzüglich, wenn die Datenschutzverletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten des Cloud-Nutzers hat.
  2. Die Benachrichtigung enthält mindestens die Informationen nach Art. 33 Abs. 3 lit. b, c und d DSGVO und erfolgt in klarer und einfacher Sprache.
  3. Der Cloud-Anbieter bestimmt, welche Faktoren erfüllt sein müssen, damit von einem voraussichtlich hohen Risiko für die Rechte und Freiheiten des Cloud-Nutzers ausgegangen werden muss und wer für die Benachrichtigung zuständig ist. Die zuständigen Mitarbeiter sind ausreichend geschult, um Verstöße beurteilen zu können.

Erläuterungen
Von einer hohen Bedrohungslage, die eine Benachrichtigung des Cloud-Nutzers nach Art. 34 DSGVO erforderlich macht, ist beispielsweise bei einem Verlust von Bank- und Kreditkarteninformationen auszugehen. Solche Daten werden häufig zur Vertragsdurchführung mit dem Cloud-Nutzer verarbeitet, sodass die Benachrichtigungspflicht bei Datenschutzverletzungen relevant werden kann.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis erbringen, indem er in seinem Datensicherheitskonzept dokumentiert, wie er den Cloud-Nutzer über Datenschutzverletzungen informiert.

 

Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., & Teigeler, H. (2019)
AUDITOR-Kriterienkatalog – Entwurfsfassung 0.9. Karlsruhe, Germany: KIT. DOI: 10.5445/IR/1000092273; 24.07.2019
www.auditor-cert.de

 

cyber security

 

Cyber Security


Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

08/2019

 

Nr. 19 – Führen eines Verarbeitungsverzeichnisses

Kapitel VII: Der Cloud-Anbieter als Verantwortlicher

 

Kriterien und Umsetzungshinweise für Verarbeitung als Verantwortlicher

 

Nr. 19 – Führen eines Verarbeitungsverzeichnisses (Art. 30 Abs. 1 DSGVO)

 

Kriterium

  1. Cloud-Anbieter, die mehr als 250 Mitarbeiter beschäftigen, führen ein Verarbeitungsverzeichnis. Der Cloud-Anbieter führt unabhängig von der Beschäftigtenzahl ein Verarbeitungsverzeichnis, wenn die Verarbeitung nicht nur gelegentlich erfolgt oder sie ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt.
  2. Das Verarbeitungsverzeichnis bezieht sich auf die Verarbeitungstätigkeiten, die der Cloud-An-bieter durchführt, um den Auftrag über die Erbringung des Cloud-Dienstes zu erfüllen und auf Verarbeitungstätigkeiten zur Erfüllung rechtlicher Verpflichtungen. Das Verzeichnis enthält die in Art. 30 Abs. 1 DSGVO aufgelisteten Inhalte.
  3. Das Verarbeitungsverzeichnis ist schriftlich oder in einem elektronischen Format zu führen. Es ist der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

Erläuterung

Das Kriterium fördert das Gewährleistungsziel der Transparenz.

 

Auch Cloud-Anbieter, die Daten zur Durchführung des Auftrags mit dem Cloud-Nutzer verarbeiten und weniger als 250 Mitarbeitern beschäftigten, werden im Regelfall ein Verarbeitungsverzeichnis führen müssen, da diese Verarbeitungen regelmäßig und nicht nur gelegentlich erfolgen, sodass die Ausnahme aus Art. 30 Abs. 5 DSGVO nicht anwendbar ist.

 

Risikobehaftet ist ein Verarbeitungsvorgang i.S.d. Art. 30 Abs. 2 DSGVO, wenn er Risiken für die Rechte und Freiheiten von betroffenen Personen birgt oder besondere Kategorien von personenbezogenen Daten gemäß Art. 9 DSGVO oder Art. 10 DSGVO zum Gegenstand hat.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, indem er die (eine repräsentative Stichprobe der) Verarbeitungsverzeichnisse vorlegt.

 

Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., & Teigeler, H. (2019)
AUDITOR-Kriterienkatalog – Entwurfsfassung 0.9. Karlsruhe, Germany: KIT. DOI: 10.5445/IR/1000092273; 24.07.2019
www.auditor-cert.de

 

cyber security

 

Cyber Security


Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

08/2019

 

Nr. 20 – Datenschutz durch Technikgestaltung

Kapitel VII: Der Cloud-Anbieter als Verantwortlicher

 

Kriterien und Umsetzungshinweise für Verarbeitung als Verantwortlicher

 

Nr. 20 – Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

Nr. 20.1 – Datenschutz durch Systemgestaltung (Art. 25 Abs. 1 i.V.m. Art. 5 Abs. 1 und 2 DSGVO)

 

Kriterium
Der Cloud-Anbieter stellt durch TOM im Rahmen der Dienstgestaltung sicher, dass im Cloud-Dienst nur personenbezogene Daten verarbeitet werden, die zur Erfüllung des Auftrags über die Erbringung des Cloud-Dienstes erforderlich sind und dass die übrigen Grundsätze des Art. 5 DSGVO im Cloud-Dienst umgesetzt werden.

 

Erläuterung
Während der Cloud-Anbieter in seiner Rolle als Auftragsverarbeiter nur indirekt von Art. 25 DSGVO adressiert wird, ist er als Verantwortlicher direkter Adressat. Technik und Organisation des Cloud-Dienstes sind so zu gestalten, dass sie die Datenschutzgrundsätze des Art. 5 DSGVO bestmöglich unterstützen. Der Cloud-Anbieter muss im Rahmen der Dienstgestaltung sicherstellen, dass er nur personenbezogene Daten verarbeitet, die für die Diensterbringung gegenüber dem Cloud-Kunden erforderlich sind. Ebenfalls sind Umfang der Verarbeitung und Speicherfrist auf das zur Zweckerreichung erforderliche Maß zu begrenzen.

 

Umsetzungshinweise
Die Maßnahmen, um dieses Kriterium umzusetzen, sind sehr vielfältig. Sie reichen von der Implementierung eines datensparsamen Logins für den Zugang zum Cloud-Dienst, über Rollen- und Berechtigungskonzepte für die Administration der Daten des Cloud-Nutzers bis hin zu Löschkonzepten für die Löschung dieser Daten. Auch Maßnahmen, die es dem Cloud-Nutzer ermöglichen, seine Betroffenenrechte möglichst einfach auszuüben, zählen hierzu, da sie Transparenz und Kontrollmöglichkeiten für diesen erhöhen. Beispielhafte Maßnahmen sind die Antragstellung auf Auskunft nach Art. 15 Abs. 1 DSGVO auf Knopfdruck innerhalb des Dienstes oder der Onlineabruf von Daten, die zur betroffenen Person gespeichert sind. Der Cloud-Anbieter sollte die Abwägungsvorgänge dokumentieren, die ihn bei der Auswahl der TOM zur Gewährleistung der Datenschutzgrundsätze geleitet haben, da er bei dieser Auswahl den Stand der Technik, die Implementierungskosten, die Eintrittswahrscheinlichkeit und Schwere des Schadens für die Rechte und Freiheiten der betroffenen Personen in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigen darf.

 

Nachweis
Der Cloud-Anbieter legt Dokumentationen vor, aus denen hervorgeht, welche Maßnahmen er ergriffen hat, um die Datenschutzgrundsätze bei der Gestaltung des Cloud-Dienstes umzusetzen. Die Dokumentationen schildern auch die Abwägungen, die unternommen wurden, um die Maßnahmen festzulegen.


Nr. 20.2 – Datenschutz durch datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 i.V.m. Art. 5 Abs. 1 und 2 DSGVO)

 

Kriterium

  1. Der Cloud-Anbieter stellt durch Voreinstellungen sicher, dass er bei der Inbetriebnahme und Nutzung des Cloud-Dienstes nur personenbezogene Daten des Cloud-Nutzers verarbeitet, die erforderlich sind, um den Cloud-Dienst erbringen zu können.
  2. Der Cloud-Anbieter stellt durch Voreinstellungen sicher, dass personenbezogene Daten des Cloud-Nutzers nicht ohne dessen Eingreifen einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.

Umsetzungshinweise
Die Maßnahmen, um dieses Kriterium umzusetzen, sind sehr vielfältig. Wie auch bei Nr. 20.1. spielt die datenschutzarme Protokollierung eine Rolle. Muss die Nutzung des Cloud-Dienstes protokolliert werden, um beispielsweise Missbrauch aufzudecken oder die Datensicherheit sicherzustellen, so sollte die Voreinstellung derart gewählt werden, dass die Daten anonymisiert erhoben und verarbeitet werden.

 

Nachweise
Der Cloud-Anbieter dokumentiert welche Voreinstellungen er implementiert hat, um dem Cloud-Nutzer eine datenschutzfreundliche Inbetriebnahme und Nutzung des Cloud-Dienstes zu ermöglichen.

 

Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., & Teigeler, H. (2019)
AUDITOR-Kriterienkatalog – Entwurfsfassung 0.9. Karlsruhe, Germany: KIT. DOI: 10.5445/IR/1000092273; 24.07.2019
www.auditor-cert.de

 

cyber security

 

Cyber Security

Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

08/2019

 

Nr. 21 – Auftragsverarbeitung des Cloud-Anbieters

Kapitel VII: Der Cloud-Anbieter als Verantwortlicher

 

Kriterien und Umsetzungshinweise für Verarbeitung als Verantwortlicher

 

Nr. 21 – Auftragsverarbeitung des Cloud-Anbieters

 

Erläuterung
Die Datenverarbeitung, die erforderlich ist, um den Auftrag mit dem Cloud-Nutzer über die Erbringung und Nutzung des Cloud-Dienstes zu erfüllen, muss vom Cloud-Anbieter nicht höchstpersönlich durchgeführt werden. Vielmehr kann der Cloud-Anbieter die Datenverarbeitung (wie Abrechnung der Dienstnutzung gegenüber dem Cloud-Nutzer) auch an Auftragsverarbeiter auslagern, sodass auch diese Auslagerung in die Zertifizierungsprüfung aufgenommen werden muss.


Nr. 21.1 – Dienstleistung aufgrund einer rechtsverbindlichen Vereinbarung (Art. 28 Abs. 3 UAbs. 1 Satz 2 DSGVO)

 

Kriterium

  1. Lagert der Cloud-Anbieter die Verarbeitung von Daten zur Erfüllung des Auftrags über die Erbringung des Cloud-Dienstes an einen Auftragsverarbeiter aus, schließt er mit diesem eine rechtsverbindliche Vereinbarung zur Auftragsverarbeitung ab.
  2. Der Cloud-Anbieter stellt durch geeignete technische oder organisatorische Maßnahmen sicher, dass der Auftrag erst nach dem Abschluss einer rechtsverbindlichen Vereinbarung zur Auftragsverarbeitung mit dem Auftragsverarbeiter erbracht wird.
  3. Die rechtsverbindliche Vereinbarung ist schriftlich oder in einem elektronischen Format abzufassen.
  4. Der Cloud-Anbieter stellt sicher, dass die rechtsverbindliche Vereinbarung zur Auftragsverarbeitung die Anforderungen der Kriterien Nr. 1.2 bis 1.6, 1.7 (1), (3)-(4) und 1.8 von Kapitel I erfüllt.
  5. Die rechtsverbindliche Vereinbarung über die Auftragsverarbeitung enthält die Angabe, ob von Seiten des Cloud-Anbieters oder des Auftragsverarbeiters Pseudonymisierungs-, Anonymisierungs- oder Verschlüsselungsverfahren zum Einsatz kommen.
  6. Die rechtsverbindliche Vereinbarung über die Auftragsverarbeitung enthält Angaben zur Unterstützung des Cloud-Anbieters bei der Erfüllung der Betroffenenrechte und der Meldepflicht bei Datenschutzverletzungen.

Erläuterung
Da der Cloud-Anbieter eine Zertifizierung seiner Datenverarbeitungsvorgänge anstrebt, hat er sicherzustellen, dass auch in Auftrag gegebene Auftragsverarbeitungen den Anforderungen der Datenschutz-Grundverordnung entsprechen. Dafür muss der Cloud-Anbieter zunächst eine rechtsverbindliche Vereinbarung mit dem Auftragsverarbeiter abschließen, die die Pflichtangaben aus Art. 28 Abs. 3 UAbs. 1 Satz 2 enthält.

 

Die Kriterien Nr. 1.2. bis 1.6, 1.7 (1), (3)-(4) und 1.8 aus Kapitel I sind so zu lesen, dass der Cloud-Anbieter in seiner Funktion als Verantwortlicher die Rolle des Cloud-Nutzers und der eingesetzte Auftragsverarbeiter die Rolle des Cloud-Anbieters einnimmt.

 

Nachweis
Der Cloud-Anbieter legt die rechtsverbindliche(n) Vereinbarung(en) zur Auftragsverarbeitung mit den entsprechenden Festlegungen vor, die er mit dem/den Auftragsverarbeiter(n) abgeschlossen hat.


Nr. 21.2 – Sicherstellung ordnungsgemäßer Auftragsverarbeitung

 

Kriterium

  1. Der Cloud-Anbieter stellt sicher, dass der Auftragsverarbeiter personenbezogene Daten nur auf dokumentierte Weisung des Cloud-Anbieters verarbeitet (Art. 28 Abs. 3 Satz 2 lit. a, 29 DSGVO).
  2. Der Cloud-Anbieter stellt sicher, dass der Auftragsverarbeiter ihn informiert, wenn er der Ansicht ist, dass seine Weisungen gegen datenschutzrechtliche Pflichten verstoßen (Art. 28 Abs. 3 Satz 2 lit. h DSGVO).
  3. Der Cloud-Anbieter stellt sicher, dass der Auftragsverarbeiter bei der ausgelagerten Verarbeitung Vertraulichkeit, Integrität und Verfügbarkeit der Daten und Systeme, die Belastbarkeit der Systeme sowie die Verfügbarkeit der Daten und den Zugang zu ihnen nach einem physischen oder technischen Zwischenfall gewährleistet. Die implementierten TOM müssen vom Auftragsverarbeiter regelmäßig überprüft und gegebenenfalls angepasst werden (Art. 24, 25, 28, 32, 35 i.V.m. Art. 5 Abs. 1 lit. f DSGVO).
  4. Der Cloud-Anbieter stellt sicher, dass der Auftragsverarbeiter seine Mitarbeiter vor Beginn der Datenverarbeitung zur Vertraulichkeit verpflichtet, sofern sie nicht einer gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 Satz 2 lit. b DSGVO).
  5. Der Cloud-Anbieter stellt sicher, dass der Auftragsverarbeiter nur Mitarbeiter mit der Durchführung von Verarbeitungsvorgängen betraut, die die dafür erforderliche Fachkunde und Zuverlässigkeit aufweisen und die im Datenschutz und der Datensicherheit geschult sind (Art. 28 Abs. 3 Satz 2 lit. e und f DSGVO).
  6. Der Cloud-Anbieter stellt sicher, dass der Auftragsverarbeiter den Cloud-Anbieter in jenen Fällen informiert, in denen sich der Datenverarbeitungsort unvorhergesehen ändert (Art. 28 Abs. 3 Satz 2 lit. a DSGVO).
  7. Der Cloud-Anbieter stellt sicher, dass der Auftragsverarbeiter nach Abschluss der Auftragsverarbeitung oder auf Weisung des Cloud-Anbieters überlassene Datenträger zurückgibt, Daten zurückführt und beim ihm gespeicherte Daten löscht (Art. 28 Abs. 3 lit. h DSGVO).
  8. Der Cloud-Anbieter stellt sicher, dass der Auftragsverarbeiter dem Cloud-Anbieter die Erfüllung der Betroffenenrechte ermöglicht und alle Weisungen zur Umsetzung der Betroffenenrechte dokumentiert (Art. 28 Abs. 3 lit. e i.V.m. Kapitel III DSGVO).
  9. Der Cloud-Anbieter stellt sicher, dass der Auftragsverarbeiter einen DSB benennt, sofern er hierzu gesetzlich verpflichtet ist (Art. 37-39 DSGVO, § 38 BDSG).
  10. Der Cloud-Anbieter stellt sicher, dass der Auftragsverarbeiter ein Verarbeitungsverzeichnis führt, wenn er mehr als 250 Mitarbeiter beschäftigt oder wenn die Verarbeitung nicht nur gelegentlich erfolgt oder die Verarbeitung für die betroffenen Personen mit Risiken für ihre Rechte und Freiheiten verbunden ist (Art. 30 Abs. 2 DSGVO).
  11. Der Cloud-Anbieter stellt sicher, dass ihm der Auftragsverarbeiter Datenschutzverletzungen und deren Ausmaß unverzüglich meldet (Art. 33 Abs. 2 und Art. 28 Abs. 3 lit. f).
  12. Der Cloud-Anbieter stellt sicher, dass der Auftragsverarbeiter allen Anforderungen aus der rechtsverbindlichen Vereinbarung über die Auftragsverarbeitung nach Nr. 21.1 nachkommt und alle Anforderungen nach diesem Kriterium erfüllt (Art. 24 Abs. 1 DSGVO).
  13. Der Cloud-Anbieter stellt sicher, dass der Auftragsverarbeiter, wenn er seinerseits Subauftragsverarbeiter einsetzt, gewährleistet, dass diese die Anforderungen nach den Kriterien Nr. 10.1-10.5 aus Kapitel V einhalten.

Erläuterung
Setzt der Cloud-Anbieter für die Datenverarbeitung zur Erfüllung des Auftrags über die Erbringung des Cloud-Dienstes Auftragsverarbeiter ein, muss er nicht nur eine rechtsverbindliche Vereinbarung hierzu abschließen, die die Anforderungen aus Art. 28 Abs. 3 UAbs. 1 Satz 2 DSGVO erfüllt, sondern sich auch vergewissern, dass der Auftragsverarbeiter die in der rechtsverbindlichen Vereinbarung zugesicherten Maßnahmen durchführt und seinen sonstigen Pflichten nach der Datenschutz-Grundverordnung nachkommt.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis erbringen, indem er Dokumentationen, Prüfungsergebnisse oder ähnliche Nachweise des Auftragsverarbeiters vorlegt, die ihn überzeugt haben anzunehmen, dass der Auftragsverarbeiter allen für ihn geltenden Pflichten nach der Datenschutz-Grundverordnung nachkommt und daher über die geeigneten Garantien nach Art. 28 Abs. 1 DSGVO verfügt.

 

Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., & Teigeler, H. (2019)
AUDITOR-Kriterienkatalog – Entwurfsfassung 0.9. Karlsruhe, Germany: KIT. DOI: 10.5445/IR/1000092273; 24.07.2019
www.auditor-cert.de

 

cyber security

 

Cyber Security

Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

09/2019

 

Anleitung zur sicheren Konfiguration, Bereitstellung und Nutzung von Cloud Services

 

Wozu diese Handlungsempfehlungen?

Diese Richtliniensammlung hilft Ihnen festzustellen, ob ein Cloud-Service für Ihre Datenverarbeitung sicher genug ist. Dieses Framework basiert auf den nachfolgenden 14 Cloud Security-Prinzipien.

 

  1. Schutz von Daten im Transit
    Benutzerdaten, die über ein Netzwerk übertragen werden, sollten angemessen vor Manipulationen und Lauschangriffen geschützt werden.
  2. Asset-Schutz und Widerstandsfähigkeit
    Benutzerdaten und die Assets, die sie speichern oder verarbeiten, sollten vor physischer Manipulation, Verlust, Beschädigung oder Inbesitznahme geschützt werden.
  3. Trennung zwischen den Benutzern
    Ein bösartiger oder kompromittierter Benutzer des Dienstes sollte nicht in der Lage sein, den Dienst oder die Daten eines anderen zu beeinträchtigen
  4. Governance Framework
    Der Dienstanbieter sollte über ein Security Governance Framework verfügen, das sein Service- und Informationsmanagement koordiniert und steuert. Grundsätzlich werden alle technischen Kontrollen, die ausserhalb dieses Rahmens eingesetzt werden, geschwächt.
  5. Betriebssicherheit
    Der Dienst muss sicher betrieben und verwaltet werden, um Angriffe zu behindern, zu erkennen oder zu verhindern. Eine gute Betriebssicherheit sollte keine komplexen, bürokratischen, zeitaufwändigen oder teuren Prozesse erfordern.
  6. Personalsicherheit
    Wo Mitarbeiter von Dienstleistern Zugang zu Ihren Daten und Systemen haben, benötigen Sie ein hohes Mass an Vertrauen in deren Vertrauenswürdigkeit. Eine gründliche Überprüfung, unterstützt durch eine angemessene Schulung, reduziert die Wahrscheinlichkeit von versehentlichen oder bösartigen Kompromittierungen durch das Personal des Dienstleisters.
  7. Sichere Entwicklung
    Dienste sollten so konzipiert und entwickelt werden, dass sie Bedrohungen für ihre Sicherheit erkennen und mindern, ansonsten könnten sie anfällig für Sicherheitsprobleme sein, die Ihre Daten gefährden, zum Verlust von Diensten führen oder andere bösartige Aktivitäten ermöglichen könnten.
  8. Lieferkettensicherheit
    Der Dienstleister sollte sicherstellen, dass seine Lieferkette alle Sicherheitsgrundsätze, die der Dienstleister angeblich anzuwenden gedenkt, zufriedenstellend unterstützt.
  9. Sichere Benutzerverwaltung
    Ihr Provider sollte Ihnen die Tools zur Verfügung stellen, mit denen Sie Ihre Nutzung des Dienstes sicher verwalten können. Managementschnittstellen und -verfahren sind ein wichtiger Bestandteil der Sicherheitsbarriere und verhindern den unbefugten Zugriff und die Veränderung Ihrer Ressourcen, Anwendungen und Daten.
  10. Identität und Authentifizierung
    Jeglicher Zugang zu Service-Schnittstellen sollte auf authentifizierte und autorisierte Personen beschränkt sein.
  11. Externer Schnittstellenschutz
    Alle externen oder weniger vertrauenswürdigen Schnittstellen des Dienstes sollten identifiziert und angemessen geschützt werden.
  12. Sichere Service-Verwaltung
    Systeme, die für die Verwaltung eines Cloud-Dienstes verwendet werden, haben einen hoch privilegierten Zugriff auf diesen Dienst. Ihre Kompromittierung hätte erhebliche Auswirkungen, einschliesslich der Mittel, um Sicherheitskontrollen zu umgehen und grosse Datenmengen zu stehlen oder zu manipulieren.
  13. Auditinformationen für Benutzer
    Sie sollten die Auditprotokolle erhalten, die für die Überwachung des Zugangs zu Ihrem Dienst und der darin gespeicherten Daten erforderlich sind. Die Art der Ihnen zur Verfügung stehenden Auditinformationen hat direkte Auswirkungen auf Ihre Fähigkeit, unangemessene oder bösartige Aktivitäten innerhalb angemessener Fristen zu erkennen und darauf zu reagieren.
  14. Sichere Nutzung des Dienstes
    Die Sicherheit von Cloud-Diensten und der darin enthaltenen Daten kann beeinträchtigt werden, wenn Sie den Dienst schlecht nutzen. Daher haben Sie bei der Nutzung des Dienstes bestimmte Verantwortlichkeiten, damit Ihre Daten angemessen geschützt sind.

 

1.1 Grundsätzliche Fragen

Der Umfang Ihrer Sicherheitsaufgaben als Käufer des Dienstes variiert je nach Art des Dienstes erheblich. Im Vorlauf sind aber zuerst einige wichtige Fragen zu klären:

 

1 Befassen Sie sich mit Ihren Geschäftsanforderungen
Verstehen Sie Ihren Verwendungszweck des Cloud-Service. Berücksichtigen Sie Probleme wie Verfügbarkeit und Konnektivität. Identifizieren Sie die Risiken, die für Ihr Unternehmen unannehmbar wären, wenn sie vorkommen würden, und diejenigen, die akzeptabel wären.

 

2 Verstehen Sie Ihre Daten
Identifizieren Sie die Informationen, die vom Cloud-Service verarbeitet, gespeichert oder transportiert werden. Verstehen Sie die rechtlichen und regulatorischen Auswirkungen. Sollen beispielsweise personenbezogene Daten gespeichert oder verarbeitet werden, ist die Datenschutzgesetzgebung zu beachten.

 

3 Festlegung relevanter Sicherheitsprinzipien
Sie kennen jetzt Ihre Geschäftsanforderungen, Sie haben die Risiken identifiziert, die Sie (nicht) eingehen wollen. Und Sie haben ein klares Bild der Daten, die dem Service ausgesetzt sind.

Anhand dieser Informationen sollten Sie feststellen können, welche der Cloud-Sicherheitsprinzipien für Ihre geplante Nutzung des Dienstes am relevantesten sind.

 

4 Verstehen Sie, wie die Prinzipien umgesetzt werden
Finden Sie heraus, wie der Cloud-Service behauptet, die von Ihnen als relevant identifizierten Sicherheitsprinzipien umzusetzen. Unterschiedliche Ansätze führen zu unterschiedlichen Risiken, die Sie berücksichtigen sollten.

 

5 Verstehen Sie den Grad der angebotenen Sicherheit
Kann der Dienstleister nachweisen, dass die von Ihnen in Schritt 3 genannten Grundsätze korrekt umgesetzt wurden?

Einige Lieferanten bieten wenig mehr als Versprechungen, andere bieten Verträge an, und einige beauftragen zertifizierte unabhängige Sachverständige, um ihre Aussagen zu bestätigen.

 

6 Identifizieren Sie zusätzliche Minderungsmassnahmen, die Sie anwenden können
Bedenken Sie alle zusätzlichen Massnahmen, die Ihr Unternehmen (als Kunde des Cloud-Service) ergreifen kann, um das Risiko für Ihre Anwendungen und Informationen zu verringern.

 

7 Restrisiken berücksichtigen
Nachdem Sie die oben genannten Schritte durchgearbeitet haben, entscheiden Sie, ob die verbleibenden Risiken akzeptabel sind.

 

8 Fortlaufende Überwachung und Steuerung der Risiken
Sobald der Service benutzt wird, überprüfen Sie regelmässig, ob der Service noch Ihren Geschäfts- und Sicherheitsanforderungen entspricht.

 

www.ncsc.gov.uk

http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/

17.11.2018

 

cyber security

 

Cyber Security

Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr
 
Hinweis zur Verwendung von Cookies
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung
OK