Beiträge mit dem Tag: Datenschutz
IT-Compliance Checkliste für Ihr Unternehmen
April 16, 2019 8:42 |
Je mehr Internet- und IT-gestützte Prozesse Ihr Unternehmen benötigt, desto größer ist das Risiko, dass Sie aufgrund von Informationsdiebstahl und Datenverlusten in rechtliche und wirtschaftliche Schwierigkeiten geraten. Wir haben eine Reihe von Fragen, die sie sich stellen sollten, zu einer Compliance Checkliste zusammengefasst. Sollten Sie alle Punkte anhaken können, sind Sie bereits auf einem guten Weg.
Lesezeit: 2 MinutenPlatzierung und Konfiguration Ihrer Infrastruktur
- Sind Ihre Netzwerk-Router und Switches an sicheren Orten untergebracht? Haben nur befugte (Administratoren) Zugang zu diesen Geräten?
- Sind alle Netzwerkanschlüsse entweder belegt oder „gesperrt“? Wird verhindert, dass unbefugte Geräte in Ihr Netzwerk hängen?
- Sind die Räumlichkeiten, in denen sich Ihre Server- und Netzwerkinfrastruktur befindet, auch tatsächlich immer versperrt?
- Sind Büroräume versperrt, wenn niemand darin arbeitet
Derartige Fragen sollten Sie sich auf jeden Fall stellen. Sie stellen damit sicher, dass Angreifer keinen Zugriff auf Ihre wertvollen Daten haben. Wenn Ihre Router frei in einem öffentlichen Raum stehen, kann jede Person frei auf diese zugreifen. Angreifer können dadurch einerseits wichtige Daten lesen. Andererseits können diese schädliche oder falsche Daten in Ihr System pflanzen.
Mitarbeiter Hardware
- Sind alle Festplatten auf den Firmen-PCs verschlüsselt?
- Gibt es eine strikte Trennung von Firmen- und Privatgeräten? Dürfen Firmendaten auf Privatgeräten gespeichert werden beziehungsweise Privatgeräte für Firmenangelegenheiten genutzt werden?
- Falls keine Trennung: Gibt es klare und regelmäßig überprüfte Richtlinien, welche die Integrität von Firmen-Daten sicherstellen?
- Sind alle Geräte auf dem neuesten Stand und gegen Bedrohungen geschützt (Updates, Antivirus-Software)?
So praktisch privat genützte Firmen-Hardware oder betrieblich genützte Privat-Hardware ist, öffnen derartige Möglichkeiten auch zahlreiche neue Probleme. In unserer Compliance Checkliste stellen wir diese übersichtlich für Sie da. Denn diese Art von Problemen benötigen eine Lösung. Wenn ein Notebook privat infiziert wurde, besteht beispielsweise die Möglichkeit, dass es – sobald es im Firmennetzwerk platziert wird – auch dieses infiziert. Daher ist es aus betrieblicher Sicht unumgänglich, jedes Gerät, das im betrieblichen Umfeld Einsatz findet, auch nach den Firmenstandards zu schützen. Ebenso kann ein Notebook, das gestohlen wurde, jederzeit zerlegt und die Festplatte ausgelesen werden. Gegen solche Angriffe schützt bereits eine verschlüsselte Festplatte. Windows bietet mit dem Bitlocker-Verschlüsselungssystem hierbei eine kundenfreundliche und sichere Möglichkeit.
Netzwerksicherheit
- Sind unbenötigte Netzwerksteckdosen auch tatsächlich „blind“ oder auf sonstige Weise gegen Fremdzugriff abgesichert?
- Verwenden Dienste wie beispielsweise WLAN immer die aktuellsten Protokolle?
- Gibt es eine Unterscheidungen zwischen firmeninternen und öffentlichen Netzwerkzugängen (beispielsweise für Gäste)?
- Werden Zugangs-Passwörter regelmäßig geändert?
Natürlich ist es ein gutes Service (und in gewissen Bereichen unerlässlich), dass sie Ihren Gästen einen Internetzugang anbieten. Wenn aber Gäste leicht in ihr Netzwerk kommen, gilt dies auch meist für Angreifer. Daher bietet sich eine strikte Trennung ihres Netzwerkes in verschiedene Unternetze an, sodass wirklich nur berechtigte Personen Zugriff auf interne Daten haben.
Ebenso werden verschiedenste Netzwerkprotokolle nicht ohne Grund regelmäßig erneuert. Oft stellt sich heraus, dass ein Protokoll eine Sicherheitslücke enthält. Diese Lücken bieten sich geradezu dazu an von Angreifern genutzt zu werden. Daher ist es wichtig, in diesem Bereich Überprüfungs- und Updatezyklen einzuführen und sich auch strikt daran zu halten!
Verhalten gegenüber Fremdfirmen
- Gibt es mit allen Fremdfirmen in Ihren Räumlichkeiten bindende Verträge, die Vertraulichkeit regeln?
- Wird die Einhaltung dieser Verträge auch reglmäßig überprüft?
- Werden Mitarbeiter und Mitarbeiterinnen von Fremdfirmen vollständig geschult?
Auch wenn Sie absolutes Vertrauen in Ihre Mitarbeiter haben, kann dies im Normalfall nicht auch für alle Mitarbeiter von allen Fremdfirmen, die in Ihren Räumlichkeiten arbeiten, gelten. Haben Ihre Reinigungskräfte Zugang zu allen Räumlichkeiten? Was spricht für Angreifer dagegen, diesen Reinigungskräften einen USB-Stick mit Schadsoftware mitzugeben, den diese gegen gute Bezahlung einfach anstecken?
Informationsfluss
- Gibt es klare Richtlinien, welche Informationen über welche Kanäle weitergegeben werden dürfen?
- Wird die Einhaltung dieser Richtlinien auch reglmäßig überprüft?
- Werden „Schattenkanäle“ (beispielsweise „ausplaudern“, Weitergabe auf einem Blatt Papier) bestmöglich verhindert?
Eine E-Mail Adresse ist für Angreifer schnell gefälscht. So kann annähernd jede IT-affine Person Ihnen eine E-Mail von „gott@himmel.com“ zuschicken. Wenn nun der Name der Geschäftsführung und das E-mail-Schema des Unternehmens bekannt ist, können Angreifer jederzeit unter falschem Namen nach Daten fragen, und Sie haben wichtige Informationen preisgegeben.
Dokumentation und Logging
- Sind alle Richtlinien klar dokumentiert und gegenüber Mitarbeitern wie Partnern klar publiziert?
- Gibt es regelmäßige Schulungen/Erinnerungen, um die Richtlinien im Gedächtnis zu behalten?
- Werden alle Zugriffe auf kritische Informationen mitgeloggt, sodass im Ernstfall rekonstruiert werden kann, wer wann welchen Fehler begangen hat?
- Falls ja: Sind diese Logging Dateien gegenüber versehentlicher oder absichtlicher Veränderung/Löschung geschützt?
Die besten Richtlinien zum Umgang mit Bedrohungen helfen nichts, wenn Mitarbeiter diese nicht kennen und befolgen. Daher ist es dringend notwendig, dass alle Richtlinien für die Mitarbeiter zugänglich und verständlich sind. Außerdem müssen sie Ihre Mitarbeiter auch regelmäßig an die Einhaltung der Richtlinen erinnern.
Falls doch etwas schiefgeht, ist die schnelle Identifizierung des oder der Verantwortlichen wichtig. Daher macht es Sinn, alle Zugriffe und Berechtigungen aufzuzeichnen.
Aber an diesem Thema hängt noch mehr …
Alle diese Punkte sind nur grobe Anhaltspunkte, die für Ihr Unternehmen in dieser Form ausreichend, zu wenig ausgestaltet oder gar nicht nötig sind. Sollten Sie an der Erfüllung von Compliance-Richtlinien interessiert sein und einen Partner suchen, begleiten wir Sie gerne auf diesem Weg!
Kategorisiert in: Blog, IT-Compliance
Was Ihnen IT-Compliance bringt
Februar 5, 2019 12:38 |Mit zunehmendem Fortschritt der Technik, sowie einer immer größer werdenden Anzahl von Anbietern und Abnehmern illegal erworbener firmeninterner Daten wird der Schutz dieser Daten immer wichtiger. Dabei reicht es oft nicht aus, die wichtigen Informationen rein technisch zu schützen. Mindestens ebenso wichtig ist die Entwicklung und Überwachung von ‚Spielregeln‘, an die sich alle Mitarbeiter und Mitarbeiterinnen halten müssen. Im folgenden Beitrag erfahren Sie etwas mehr über die Grundlagen der Compliance.
Lesezeit: 2 MinutenWoher kommt der Begriff Compliance?
Ursprünglich stammt der Begriff Compliance aus dem medizinischen Bereich und bezeichnet das Befolgen von ärztlichen Ratschlägen. Als in den 1980er-Jahren eine Reihe von Skandalen die US Wirtschaft erschütterte, wurde dieser Ausdruck als Sammelbegriff für die Einhaltung von internen wie externen Regeln zur Korruptionsbekämpfung gewählt.
Mit der zunehmenden Digitalisierung sowie Globalisierung der Wirtschaft entstanden spätestens seit Beginn dieses Jahrtausends immer mehr Bedrohungen für Betriebe, welche mit den ursprünglichen Compliance-Regeln zur Korruptions- und Spionagebekämpfung nicht mehr abgedeckt werden konnten. Als Antwort auf diese Bedrohungen hat sich eine eigene Unterdisziplin der Compliance entwickelt: Die IT-Compliance. Worum es dabei genau geht erfahren Sie in den nächsten Kapiteln.
Warum IT-Compliance wichtig ist
Seit Jahren ist der erfolgversprechendste Angriffsvektor für Hacker und sonstige Datendiebe nicht mehr ein direkter Angriff auf IT-Systeme. Diese sind – wenn sie immer auf den aktuellsten Stand gehalten werden – mittlerweile so sicher, dass ein derartiger Angriff viel zu umständlich (und in einzelnen Fällen nahezu unmöglich) wäre. Viel gefährlicher für Unternehmen sind in diesem Zusammenhang Angriffe über „Social Engineering“. Dieser Begriff bezeichnet das Sammeln und Ausnützen öffentlich verfügbarer Informationen, sowie organisatorischer Mängel. Beispiele für derartige Angriffe sind:
- Das Platzieren eines vermeintlichen USB-Sticks mit der Aufschrift „Urlaubsfotos“ im oder in der Nähe des Betriebsgebäudes. Dieser „USB-Stick“ hat aber in Wirklichkeit eine automatische Startfunktion, die beim Anstecken eine Verbindung zu einem anderen Computer aufbaut und so dem Angreifer vollen Zugriff auf den angegriffenen PC gibt.
- Phishing-Attacken: Der Angreifer sucht auf Social Media und sonstigen öffentlichen Kanälen nach Hobbies und Interessen des Opfers, und sendet unter falschem Namen eine E-Mail mit einem infizierten Anhang oder dem Link zu einer betrügerischen Seite, welche ihm Zugriff auf den Computer des Opfers gibt.
- Einfache oder lang benutzte Passwörter: Mit einer ausgiebigen Recherche über die Interessen und Hobbies des Opfers kann ein Angreifer automatisiert eine Liste mit möglichen einfachen Passwörtern erstellen, und diese wieder und wieder durchprobieren, bis er einmal das richtige Passwort erwischt und dadurch Zugriff erlangt.
Wie sie sehen, benötigen all diese gefährlichen Angriffe im Gegensatz zur klassischen Wirtschafts-Compliance keine böse Absicht, sondern nur Unachtsamkeiten der Mitarbeiter. Gleichzeitig können derartige Angriffe aber kaum mit rein technischen Maßnahmen verhindert werden.
Was kann ich tun?
Grundsätzlich muss jedes Unternehmen selbst herausfinden, welche Maßnahmen sinnvoll und nützlich sind. Einige grundlegende Gedanken, die allerdings für jedes Unternehmen gelten sollten, sind folgende:
- Wie gehen Mitarbeiter mit unbekannten Medien um?
- Was passiert, wenn interne Medien verloren gehen?
- Wie kompliziert sind Passwörter?
- Wie oft werden Passwörter geändert?
- Haben Mitarbeiter Zugriff auf Daten, die sie nicht benötigen?
- Haben Fremdfirmen freien Zugang zu Räumlichkeiten mit internen Daten?
Aber Achtung!
Wenn Sie Regelungen und Richtlinien zu streng gestalten, kann es sein, dass Maßnahmen das Gegenteil des gewünschten Effekts erzielen. Wenn sie beispielsweise die Mitarbeiter dazu zwingen, wöchentlich ein neues, hochkomplexes Passwort zu wählen, werden diese früher oder später ihre Passwörter niederschreiben und so eine neue Sicherheitslücke aufmachen. Daher spielt das Fingerspitzengefühl – ebenso wie eine gute Aufklärung – eine große Rolle bei der Einführung solcher Maßnahmen.
Haben wir Ihr Interesse geweckt?
Sollten Sie weitere Informationen benötigen, haben wir hier eine kompakte Checkliste erstellt, die Ihnen bei den ersten Schritten hilft. Ebenso stehen wir Ihnen natürlich jederzeit gerne mit Rat und Tat zur Seite.
Kategorisiert in: Blog, IT-Compliance
Website mieten statt kaufen
Dezember 16, 2018 18:03 |
Wir bieten ein umfangreiches „Website mieten“-Service an! Von der Contentpflege bis hin zu den technischen Wartungen Ihrer Website. Sie erhalten eine moderne und professionelle Website inkl. wertvoller Service-Dienstleistungen für Ihren Auftritt im Internet. Egal ob Firma, Startup oder Verein, wir erstellen professionelle, suchmaschinenfreundliche, innovative und unverwechselbare digitale Lösungen. Denn wir bieten „mea“.
(mehr …)Kategorisiert in: Blog
Was bringt Ihnen Digitalisierung?
November 24, 2018 16:23 |In den Medien und der Politik ist aktuell Digitalisierung ein sehr beliebtes Schlagwort. Aber was ist Digitalisierung? Welche Schritte können Sie setzen? Und was bringt Ihrem Unternehmen? In diesem Artikel helfen wir Ihnen, die Konzepte der Digitalisierung besser zu verstehen.
Lesezeit: 4 Minuten
Kategorisiert in: Blog, Digitalisierung
externer Datenschutzbeauftragter
Oktober 13, 2018 9:51 |
Kategorisiert in: Blog
Was macht die DSGVO in Österreich?
Oktober 13, 2018 9:12 |Seit 25. Mai 2018 gilt europaweit die Datenschutz-Grundverordnung (kurz: DSGVO, offizieller Titel: Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG). Diese europaweite Regelung löst die bis 2018 gültigen Nationalen Gesetze, sowie die europäische Datenschutz-Richtline aus dem Jahr 1995 ab. Leider halten sich nach wie vor zahlreiche Mythen um diese neue Regelung. An dieser Stelle wollen wir Ihnen helfen zu verstehen, was die DSGVO ist, bzw. nicht ist, und was sie für Ihr Unternehmen bedeutet.
Lesezeit: 6 Minuten
Kategorisiert in: Blog, Datenschutz
Datenschutz Checkliste
September 8, 2018 17:18 |Was müssen Sie machen, um Datenschutz-konform zu sein?
Seit 25. Mai 2018 gilt in Österreich, wie auch im Rest der EU, die neue Datenschutz-Grundverordnung (DSGVO). Diese löst in Österreich das Datenschutz-Gesetz2000 (DSG2000) ab, welches auf der EU Datenschutz-Richtlinie aus dem Jahr 1995. basiert. Die DSGVO beinhaltet nicht nur empfindliche Strafen, sondern erwartet von den Unternehmen auch einige Anpassungen. Welche Schritte Sie setzten müssen, um keine Probleme mit der Datenschutzbehörde zu bekommen, erfahren Sie in dieser Checkliste.
Lesezeit: 4 MinutenKategorisiert in: Blog, Datenschutz
geprüfter Datenschutzexperte
März 5, 2018 19:24 |Die Datenschutzexperten Michael Ulm und Werner Moser stehen für Sie als geprüfte Datenschutzexperten für Beratungen zur DSGVO Datenschutzgrundverordnung und dem Datenschutzanpassungsgesetz 2018 zur Verfügung. Beide Personen bringen mit dem IT-Recht Studium an der FH JOANNEUM und die Prüfung zum Datenschutzexperte das nötige Grundgerüst für die Beratungen rund um die DSGVO mit.
Die langjährige Erfahrung in der IT und das Wissen sowie Verständnis aus verschiedenen Blickwinkeln in einem Unternehmen machen unsere Datenschutzexperten zu den passenden Beratern für Ihre Bedürfnisse.
Kategorisiert in: Blog, Datenschutz