Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
Die DSGVO in der IT-Praxis:Welche technischen und organisatorischen
Maßnahmen sind wichtig für KMU?
IHK zu Dortmund
15.02.2018
Peter Hansemann
ICN GmbH + Co. KG
ICN GmbH + Co. KG - 2017 2
Zwei Thesen
Alle Unternehmen und Organisationen verarbeiten personenbezogene Daten!
These 1: Personenbezogene Daten
ICN GmbH + Co. KG - 2017 3
Zwei Thesen
Die DSGVO „zwingt“ Unternehmen
und Organisationen zu
einem sicheren IT-Betrieb!
These 2: Sicherer IT-Betrieb
ICN GmbH + Co. KG - 2017 4
Grundsätzliches
Ihre Daten und Anwendungen sind genau für den, der darauf zugreifen darf, immer genau dann verfügbar, wenn er darauf zugreifen möchte.
Eigentlich ist es ganz einfach:
Sicherer IT-Betrieb: Was bedeutet das?
ICN GmbH + Co. KG - 2017 5
Grundsätzliches
• Sicherstellen der Vertraulichkeit und Integrität von Daten
• Gewährleistung der Verfügbarkeit von Daten, Systemen und Anwendungen
• Erfüllung gesetzlicher Vorgaben (Datenschutz, …)
Das bedeutet insbesondere:
Sicherer IT-Betrieb: Was bedeutet das?
ICN GmbH + Co. KG - 2017 6
Bedrohungen und Abwehr in der Praxis
Die Firma Musterbau GmbH
20 Anwender
5 Notebooks
3 Tablets
15 PCs
2 Server
25 Postfächer
ICN GmbH + Co. KG - 2017 7
Bedrohungen und Abwehr in der Praxis
Verbreitungswege von Schadprogrammen
• Internetzugriff Anwender
• Infizierung von Rechnern aus dem Internetdurch Schwachstellen (offene Ports, …)
• Infizierte Datenträger oder Rechner
ICN GmbH + Co. KG - 2017 8
• Paket- und Inhaltsfilter, gutes Regelwerk
• Antivirenschutz
• Schutz gegen Eindringlinge (Intrusion Detection und Intrusion Prevention)
• Proxyfunktion für Anwendungen
• Kontrolle Internetzugriffe Anwender
Bedrohungen und Abwehr in der Praxis
Abwehr von externen Bedrohungen
Firewall
Einmalkosten: ca. 99,- € / Nutzer
Teil 1: Firewall
ICN GmbH + Co. KG - 2017 9
• Intelligenter Spamfilter ohne Quarantäne
• Abwehren statt Sortieren
• Gute Mails finden und zustellen
• Merken wer gut und böse ist
Teil 2: Spamschutz Mailserver
Spamfilter
Bedrohungen und Abwehr in der Praxis
Abwehr von externen Bedrohungen
Einmalkosten: ca. 65,- € / Postfach
ICN GmbH + Co. KG - 2017 10
• Spezieller Virenschutz für Mailserver
• Schutz wird auf dem Server installiert
• Nutzung mehrerer Virenengines
• Andere Engines als normaler Serverschutz
Teil 3: Virenschutz Mailserver
Mailserver
Bedrohungen und Abwehr in der Praxis
Abwehr von externen Bedrohungen
Einmalkosten: ca. 37,- € / Postfach
ICN GmbH + Co. KG - 2017 11
• Virenschutz und Endgeräteschutz
• Zentrale Verwaltung für alle Rechner
• Hohe Erkennungsrate
• Geringer Leistungsverlust für Rechner
Teil 4: Virenschutz PCs und Server
PC
Datenserver
Bedrohungen und Abwehr in der Praxis
Abwehr von externen Bedrohungen
Einmalkosten: ca. 39,- € / Rechner
ICN GmbH + Co. KG - 2017 12
• Verschlüsselung von Nutzerendgeräten
• Verschlüsselung von Serverdaten
• E-Mailverschlüsselung
• Verschlüsselung von mobilen Datenträgern
Teil 5: Verschlüsselung
PC
Datenserver
Einmalkosten: ca. 81,- € / Rechner
Bedrohungen und Abwehr in der Praxis
Abwehr von externen Bedrohungen
ICN GmbH + Co. KG - 2017 13
1. Implementierung einer leistungsfähigen Firewall
2. Intelligenter Spamschutz für Mailserver
3. Eigener Virenschutz für Mailserver
4. Zentral verwalteter Virenschutz für PCs und Server
5. Verschlüsselung von Daten und Geräten
Zusammengefaßt in fünf Stufen:
Bedrohungen und Abwehr in der Praxis
Abwehr von externen Bedrohungen
ICN GmbH + Co. KG - 2017 14
1. Alle haben auf dem Server immer schon auf alles Zugriff
2. Das Paßwort meines Kollegen ist „geheim“
3. Mein Kollege bringt auf seinem USB-Stick immer lustige Filme von zu Hause mit
4. Große Dateien lade ich mir immer im Büro auf meinen USB-Stick - wegen der besseren Internetleitung
5. Um unsere Datensicherung kümmert sich meine Kollegin, die gerade im Urlaub ist
Bedrohungen und Abwehr in der Praxis
Fünf Beispiele für interne Risiken
ICN GmbH + Co. KG - 2017 15
• Voraussetzung: Domain-Verwaltungsserver (z.B. ADS)
• Festlegen von sinnvollen Benutzergruppen
• Festlegung von Zugriffsrechten auf Anwendungen und Datenfür Benutzergruppen und einzelne Nutzer
• Formalisierung und Dokumentation von Veränderungen
Teil 1: Zugriffsrechte festlegen und einhalten
Bedrohungen und Abwehr in der Praxis
Abwehr von internen Risiken
Einmalkosten: ca. 56,- € / Nutzer
ICN GmbH + Co. KG - 2017 16
• Regeln für Nutzung von IT-Einrichtungen festschreiben
• Paßwortrichtlinien festlegen (Komplexität, Wechsel, Geheimhaltung)
• Regeln für Datenzugriff und –bewegung festlegen
• Sorgfalt und Diskretion schriftlich einfordern
• Gesetzliche Datenschutzrichtlinien einbinden
Teil 2: Festlegung einer IT-Richtlinie für Mitarbeiter
Bedrohungen und Abwehr in der Praxis
Abwehr von internen Risiken
Einmalkosten: ca. 25,- € / Nutzer
ICN GmbH + Co. KG - 2017 17
• Betriebssysteme und Anwendungssoftware regelmäßig aktualisieren
• Insbesondere sicherheitsrelevante Updates überwachen und durchführen (Windows, Virenschutz, etc.)
• Zustand aller Systeme überwachen
Teil 3: Regelmäßige Wartung der eingesetzten Systeme
Monatskosten: ca. 13,- € / Rechner
Bedrohungen und Abwehr in der Praxis
Abwehr von internen Risiken
ICN GmbH + Co. KG - 2017 18
Teil 4: Endgeräteschutzsoftware
PC
• Aktive Verwaltung des Anwenderzugriffs auf Endgeräte
• Protokollierung gerätespezifischer Benutzeraktivitäten
• Überwachung der Anschlüsse von Geräten (USB, etc.)
• Umfassender Schutz gegen Benutzermanipulationen
Einmalkosten: ca. 39,- € / Rechner
Bedrohungen und Abwehr in der Praxis
Abwehr von internen Risiken
ICN GmbH + Co. KG - 2017 19
Teil 5: Mehrstufige Datensicherung mit Recovery-Option Datenserver
• Datensicherung auf Netzwerkspeicher als erste Stufe
• Festplattenbasiertes „Bandlaufwerk“ als zweite Stufe
• Backupsoftware mit Recovery-Option, um komplette Systeme wiederherstellen zu können
• Aufbewahrung aktuelle Sicherung „außer Haus“
• Verfügbarkeit von Ersatzsystemen
Bedrohungen und Abwehr in der Praxis
Abwehr von internen Risiken
Einmalkosten: ca. 127,- € / Nutzer
ICN GmbH + Co. KG - 2017 20
1. Festlegung von Zugriffsrechten auf Anwendungen und Daten
2. Erstellung von IT-Richtlinien für Mitarbeiter
3. Regelmäßige Wartung der eingesetzten Systeme
4. Implementierung von Endgeräteschutzsoftware
5. Vorsorge für den Desasterfall (Datensicherung, Ersatzsysteme, etc.)
Zusammengefaßt in fünf Stufen:
Bedrohungen und Abwehr in der Praxis
Abwehr von internen Risiken
ICN GmbH + Co. KG - 2017 21
„Game changer“ DSGVO
Fünf sinnvolle Maßnahmen
Womit fange ich an?
ICN GmbH + Co. KG - 2017 22
• Nach § 38 Abs. 1 BDSG-neu (alt: §4f BDSG, Bundesdatenschutzgesetz) müssen Unternehmen bei denen mehr als 9 Mitarbeiter personenbezogene Daten verarbeiten einen Datenschutzbeauftragten bestellen
• Regelung bleibt unter DSGVO bestehen (Art. 35 ff. DSGVO)
-> Bestellen Sie einen (externen) Datenschutzbeauftragten
-> Anmerkung: 9 private Smartphones mit Firmendaten …
Fünf sinnvolle Maßnahmen
Maßnahme 1: Datenschutzbeauftragter
Einmalkosten: ca. 50,- € / Nutzer
ICN GmbH + Co. KG - 2017 23
• Nutzungsrichtlinie für IT-Systeme
• Paßwortvorgaben -> später: Zwei-Faktor-Authentifizierung
• Verpflichtung auf Datenschutzgesetzgebung
• Sensibilisierungstrainings für Mitarbeiter
Fünf sinnvolle Maßnahmen
Maßnahme 2: Mitarbeiter und IT
Organisatorischer Rahmen für IT-Nutzung
ICN GmbH + Co. KG - 2017 24
Implementierung einer Firewall wie beschrieben
• Festlegung des Regelwerkes (Technik!)
• Zusätzlichen Virenschutz nutzen
• Überwachung der Internetzugriffe
Fünf sinnvolle Maßnahmen
Maßnahme 3: Firewall
ICN GmbH + Co. KG - 2017 25
Implementierung einer Verschlüsselungslösung
• Verschlüsselung mobiler Endgeräte
• Verschlüsselung mobiler Datenträger (USB-Sticks, etc.)
• Einfache Verschlüsselung von E-Mails (Client)
Fünf sinnvolle Maßnahmen
Maßnahme 4: Verschlüsselung
ICN GmbH + Co. KG - 2017 26
Implementierung einer Datensicherung wie beschrieben
• Datensicherung muß Daten und Systeme sichern
• Datensicherung muß Daten und Systeme wiederherstellen
• Datensicherung außer Haus lagern
• Regelmäßige (jährlich) Datenwiederherstellung testen
-> Notfallplanung erstellen!
Fünf sinnvolle Maßnahmen
Maßnahme 5: Datensicherung
ICN GmbH + Co. KG - 2017 27
Fünf sinnvolle Maßnahmen
Übersicht und Kosten
Schutzmaßnahme
Firewall 99,52 € Nutzer
Spamfilter 65,20 € Postfach
Virenschutz Mailserver 37,40 € Postfach
Virenschutz Server + Endgeräte 39,55 € Rechner
Verschlüsselung 81,21 € Rechner
Zugriffssteuerung 56,25 € Nutzer
IT-Richtlinie 25,00 € Nutzer
Endgeräteschutz 39,55 € Rechner
Datensicherung 127,08 € Nutzer
Extener Datenschutzbeauftragter 50,00 € Nutzer
Monitoring + Patchmanagment 13,48 € Rechner
Kosten/Einheit
ICN GmbH + Co. KG - 2017 28
• Auftragsverarbeitungsvereinbarung(en) mit Dienstleistern (Art. 28 DSGVO)
• Erstellung eines Verfahrensverzeichnisses
• Risikobewertung
• Folgeabschätzung
-> Hier unterstützt Ihr neuer Datenschutzbeauftragter!
„Game changer“ DSGVO
Mittelfristig: Formale Anforderungen
Schaffung eines formalen Rahmens für die DSGVO
ICN GmbH + Co. KG - 2017 29
Fazit (1)
Die DSGVO fordert einen sicheren IT-Betrieb!
Umkehrschluß:
Mit einem sicheren IT-Betrieb erfüllt ein KMU viele Anforderungen der DSGVO!
ICN GmbH + Co. KG - 2017 30
Fazit (2)
Ein sicherer IT-Betrieb erfordert ein durch-dachtes, ganzheitliches Konzept, das folgende Aspekte berücksichtigt:
• IT-Organisation: Zugriffsrechte, Verantwortlichkeiten, Regeln
• IT-Betrieb: Monitoring, Wartung und angemessener Support
• … und natürlich auch eine abgestimmte technische Lösung
ICN GmbH + Co. KG - 2017 31
Unterlagen + Infos
Unterlagen:
Taschen mit Infomaterial -> Leitfäden und Broschüren „Sicherheitstools“ -> Kryptonizer und RFID-Hüllen
-> Im Foyer am Stand
Vorträge + Linksammlung:
Download unter folgender Website:
https://www.icn.de/dsgvo
-> Bitte Visitenkarte für Zusendung per E-Mail abgeben
ICN GmbH + Co. KG - 2017 32
Vielen Dank für Ihre Aufmerksamkeit!
Ihr Ansprechpartner:
Peter Hansemann
ICN GmbH + Co. KG
Dortmund
Tel. +49 231 97 51 99-12
www.icn.de