Post on 29-Jul-2020
IT Sicherheit und DatenschutzÜberblick und Best Practices
DIMartinLeonhartsberger,Mag.PhilippSummereder,MartinSchiller
• Vertraulichkeit Schutz vor unbefugter Preisgabe
• Verfügbarkeit Die Daten stehen bei Bedarf zur Verfügung
• Integrität Die Daten sind vollständig und unverändert
• Datenschutz Schutz personenbezogener Daten
• Datensicherheit Schutz hinsichtlich Verfügbarkeit, Vertraulichkeit und Integrität
DIMartinLeonhartsberger 2
Ziele der Informationssicherheit
“Welche Formen von Missbrauch wären möglich, wenn vertrauliche
Informationen Ihres Unternehmens in die Hände Dritter gelangen?“
(z.B: Ihre offenen Angebote und Kalkulationen stehenfrei im Internet für Konkurrenten lesbar)
3
„Unser Netz ist sicher“
DIMartinLeonhartsberger
“Was würde in Ihrem Betrieb geschehen, wenn wichtige Computer oderDaten plötzlich ausfielen und für einen längeren Zeitraum (Tage,
Wochen, …) nicht mehr nutzbar wären?“
Könnte die Arbeit fortgesetzt werden, wie hoch wäre der Schaden?
z.B: Cryptotrojaner verschlüsselt alle Ihre Daten und Backups
4
„Unser Netz ist sicher“
DIMartinLeonhartsberger
Welche Fragen zu IT Sicherheit und Datenschutz
beschäftigen Sie?
5
Ihre Herausforderungen
DIMartinLeonhartsberger
Kennen Sie diese Passwörter?
123456
PASSWORD
Michaela90
6
Praxisbeispiel Passwörter
DIMartinLeonhartsberger
Igd1essP:).
7
Ein sicheres Passwort
DIMartinLeonhartsberger
Ich glaube das 1st ein sehr sicheres :) Passwort.
Igd1ess:)P.
Verwenden Sie Sätze inkl. Satzzeichen als Merkhilfe.
8
Praxisbeispiel Passwörter
DIMartinLeonhartsberger
Wir wohnen in der Wohnung #5 im 3. Stock.
WwidW#5i3.S.
9
Praxisbeispiel Passwörter
DIMartinLeonhartsberger
Datensicherung
Keine lokalen Administrator Berechtigungen
Firewall
Sichere Passwörter
10
Was sind die wichtigsten Punkte für KMU?
DIMartinLeonhartsberger
• Digital• Firewall• Datensicherung und
Notfallvorsorge• Antivirenprogramm• Zugriffskontrolle• Passwortrichtlinien• LAN & WLAN Schutz• Netzwerksegmentierung• Updatemanagement• Spamfilter• Content-Filter• Redundante Systeme• …
• Analog
• Unterbrechungsfreie Stromversorgung
• Videoüberwachung
• Zutrittskontrolle
• Alarmanlage
• Umgang mit Dritten (Besuchern, Kunden,
• Verwendung von Datenträgern
• Rechtlich
• Verschwiegenheitserklärung
• Nutzungsbedingungen für Mailadressen & Geräte,…
• Datenschutzerklärung
Weitere Absicherungsmöglichkeiten
MartinSchiller
RISIKOMANAGEMENT
SICHERHEITSKONZEPT
ERMITTLUNG - RESTRISIKO
Vorgehensmodell
MartinSchiller
1. Erfassung des Risikoinventars
2. Bewertung der Risiken
3. Festlegung von Maßnahmen zur Risikominimierung
Vorgehensmodell
MartinSchiller
…stellen Regeln auf darüber, was erlaubt/nicht erlaubt ist und was für die sichere Aufrechterhaltung der Geschäftsprozesse notwendig ist.
…definiert den Umgang mit Daten, Passwörtern, Backup usw. konkret und nachvollziehbar.
Erst bei der Realisierung spielt die richtige Technologie eine Rolle und wird dann von den verantwortlichen Fachkräften eingesetzt.
Sicherheitsrichtlinie
MartinSchiller
Schriftliche Festlegung• der Sicherheitsrichtlinien• des Krisenmanagements• des Recovery-Plans• Benennung der Verantwortlichen
Die Sicherheitsrichtlinien sollen ein lebendiges Dokument sein!
Jedes Unternehmen kann und sollte Sicherheits-Richtlinien haben.
Sicherheitsrichtlinie
MartinSchiller
Ermittlung Restrisiko
Sicherheitsrichtlinie
MartinSchiller
• Passwortrichtlinien • Clean Desk Policy• Sperren des Bildschirms beim Verlassen des Arbeitsplatzes• Sicherung – „Wann wird was wohin und wie lange gesichert?“, Controlling• Regelmäßige Sensibilisierung & Schulung der Mitarbeiter• Wartungs- & Updatezyklen definieren• Regelmäßige Gespräche mit den zuständigen Fachkräften
Grundlegende Maßnahmen
MartinSchiller
www.it-safe.at
MartinSchiller
DSGVO – Herausforderungen und Chancen
Haftung des Verantwortlichen für die Sicherheit der Datenverarbeitung
Mag.PhilippSummereder
Datenschutzgrundverordnung (EU-DSGVO)
• Anzuwenden ab 28.05.2018• Unmittelbare Geltung in den Mitgliedsstaaten• Teilweise gravierende Änderungen zum aktuellen DSG 2000• Umsetzung in Österreich im Sommer 2017
Mag.PhilippSummereder
Herausforderungen der EU-DSGVO
• Übertragung der Selbstkontrolle auf Verantwortliche und Auftragsverarbeiter• Erweiterte Betroffenenrechte• Erweiterte Hinweis- und Informationspflichten• Neue Anforderungen an Einwilligung und Auftragsverarbeitung• Technische und organisatorische Maßnahmen (TOM‘s)• Erweiterte Sanktionen und Haftungsrisiken
Mag.PhilippSummereder
Fazit
• Notwendigkeit der rechtzeitigen Auseinandersetzung mit der neuen Rechtslage• DSGVO-konforme Datenverarbeitung ist im Betrieb schon mit konsequenter Vorgehensweise
und ohne große finanzielle Belastung möglich• Sensibilisierung der Geschäftsführung und Mitarbeiter • Schrittweise Umsetzung im Betrieb
• Datenschutzpolicy• Verzeichnis der Verarbeitungstätigkeiten• Der Umgang mit Betroffenenrechten und Informationspflichten• TOM‘S
Mag.PhilippSummereder
Ihre Fragen an uns –Vielen Dank für Ihre Aufmerksamkeit
DIMartinLeonhartsberger,Mag.PhilippSummereder,MartinSchiller