Die DSGVO in der IT-Praxis - ICN€¦ · ICN GmbH + Co. KG - 2017 14 1. Alle haben auf dem Server immer schon auf alles Zugriff 2. Das Paßwort meines Kollegen ist „geheim“ 3

Die DSGVO in der IT-Praxis:Welche technischen und organisatorischen

Maßnahmen sind wichtig für KMU?

IHK zu Dortmund

15.02.2018

Peter Hansemann

ICN GmbH + Co. KG

ICN GmbH + Co. KG - 2017 2

Zwei Thesen

Alle Unternehmen und Organisationen verarbeiten personenbezogene Daten!

These 1: Personenbezogene Daten


Zwei Thesen

Die DSGVO „zwingt“ Unternehmen

und Organisationen zu

einem sicheren IT-Betrieb!

These 2: Sicherer IT-Betrieb


Grundsätzliches

Ihre Daten und Anwendungen sind genau für den, der darauf zugreifen darf, immer genau dann verfügbar, wenn er darauf zugreifen möchte.

Eigentlich ist es ganz einfach:

Sicherer IT-Betrieb: Was bedeutet das?


Grundsätzliches

• Sicherstellen der Vertraulichkeit und Integrität von Daten

• Gewährleistung der Verfügbarkeit von Daten, Systemen und Anwendungen

• Erfüllung gesetzlicher Vorgaben (Datenschutz, …)

Das bedeutet insbesondere:

Sicherer IT-Betrieb: Was bedeutet das?


Bedrohungen und Abwehr in der Praxis

Die Firma Musterbau GmbH

20 Anwender

5 Notebooks

3 Tablets

15 PCs

2 Server

25 Postfächer



Verbreitungswege von Schadprogrammen

• E-Mail

• Internetzugriff Anwender

• Infizierung von Rechnern aus dem Internetdurch Schwachstellen (offene Ports, …)

• Infizierte Datenträger oder Rechner


• Paket- und Inhaltsfilter, gutes Regelwerk

• Antivirenschutz

• Schutz gegen Eindringlinge (Intrusion Detection und Intrusion Prevention)

• Proxyfunktion für Anwendungen

• Kontrolle Internetzugriffe Anwender


Abwehr von externen Bedrohungen

Firewall

Einmalkosten: ca. 99,- € / Nutzer

Teil 1: Firewall


• Intelligenter Spamfilter ohne Quarantäne

• Abwehren statt Sortieren

• Gute Mails finden und zustellen

• Merken wer gut und böse ist

Teil 2: Spamschutz Mailserver

Spamfilter



Einmalkosten: ca. 65,- € / Postfach


• Spezieller Virenschutz für Mailserver

• Schutz wird auf dem Server installiert

• Nutzung mehrerer Virenengines

• Andere Engines als normaler Serverschutz

Teil 3: Virenschutz Mailserver

Mailserver



Einmalkosten: ca. 37,- € / Postfach


• Virenschutz und Endgeräteschutz

• Zentrale Verwaltung für alle Rechner

• Hohe Erkennungsrate

• Geringer Leistungsverlust für Rechner

Teil 4: Virenschutz PCs und Server

PC

Datenserver



Einmalkosten: ca. 39,- € / Rechner


• Verschlüsselung von Nutzerendgeräten

• Verschlüsselung von Serverdaten

• E-Mailverschlüsselung

• Verschlüsselung von mobilen Datenträgern

Teil 5: Verschlüsselung

PC

Datenserver





1. Implementierung einer leistungsfähigen Firewall

2. Intelligenter Spamschutz für Mailserver

3. Eigener Virenschutz für Mailserver

4. Zentral verwalteter Virenschutz für PCs und Server

5. Verschlüsselung von Daten und Geräten

Zusammengefaßt in fünf Stufen:




1. Alle haben auf dem Server immer schon auf alles Zugriff

2. Das Paßwort meines Kollegen ist „geheim“

3. Mein Kollege bringt auf seinem USB-Stick immer lustige Filme von zu Hause mit

4. Große Dateien lade ich mir immer im Büro auf meinen USB-Stick - wegen der besseren Internetleitung

5. Um unsere Datensicherung kümmert sich meine Kollegin, die gerade im Urlaub ist


Fünf Beispiele für interne Risiken


• Voraussetzung: Domain-Verwaltungsserver (z.B. ADS)

• Festlegen von sinnvollen Benutzergruppen

• Festlegung von Zugriffsrechten auf Anwendungen und Datenfür Benutzergruppen und einzelne Nutzer

• Formalisierung und Dokumentation von Veränderungen

Teil 1: Zugriffsrechte festlegen und einhalten


Abwehr von internen Risiken



• Regeln für Nutzung von IT-Einrichtungen festschreiben

• Paßwortrichtlinien festlegen (Komplexität, Wechsel, Geheimhaltung)

• Regeln für Datenzugriff und –bewegung festlegen

• Sorgfalt und Diskretion schriftlich einfordern

• Gesetzliche Datenschutzrichtlinien einbinden

Teil 2: Festlegung einer IT-Richtlinie für Mitarbeiter





• Betriebssysteme und Anwendungssoftware regelmäßig aktualisieren

• Insbesondere sicherheitsrelevante Updates überwachen und durchführen (Windows, Virenschutz, etc.)

• Zustand aller Systeme überwachen

Teil 3: Regelmäßige Wartung der eingesetzten Systeme

Monatskosten: ca. 13,- € / Rechner




Teil 4: Endgeräteschutzsoftware

PC

• Aktive Verwaltung des Anwenderzugriffs auf Endgeräte

• Protokollierung gerätespezifischer Benutzeraktivitäten

• Überwachung der Anschlüsse von Geräten (USB, etc.)

• Umfassender Schutz gegen Benutzermanipulationen





Teil 5: Mehrstufige Datensicherung mit Recovery-Option Datenserver

• Datensicherung auf Netzwerkspeicher als erste Stufe

• Festplattenbasiertes „Bandlaufwerk“ als zweite Stufe

• Backupsoftware mit Recovery-Option, um komplette Systeme wiederherstellen zu können

• Aufbewahrung aktuelle Sicherung „außer Haus“

• Verfügbarkeit von Ersatzsystemen





1. Festlegung von Zugriffsrechten auf Anwendungen und Daten

2. Erstellung von IT-Richtlinien für Mitarbeiter

3. Regelmäßige Wartung der eingesetzten Systeme

4. Implementierung von Endgeräteschutzsoftware

5. Vorsorge für den Desasterfall (Datensicherung, Ersatzsysteme, etc.)

Zusammengefaßt in fünf Stufen:




„Game changer“ DSGVO

Fünf sinnvolle Maßnahmen

Womit fange ich an?


• Nach § 38 Abs. 1 BDSG-neu (alt: §4f BDSG, Bundesdatenschutzgesetz) müssen Unternehmen bei denen mehr als 9 Mitarbeiter personenbezogene Daten verarbeiten einen Datenschutzbeauftragten bestellen

• Regelung bleibt unter DSGVO bestehen (Art. 35 ff. DSGVO)

-> Bestellen Sie einen (externen) Datenschutzbeauftragten

-> Anmerkung: 9 private Smartphones mit Firmendaten …


Maßnahme 1: Datenschutzbeauftragter



• Nutzungsrichtlinie für IT-Systeme

• Paßwortvorgaben -> später: Zwei-Faktor-Authentifizierung

• Verpflichtung auf Datenschutzgesetzgebung

• Sensibilisierungstrainings für Mitarbeiter


Maßnahme 2: Mitarbeiter und IT

Organisatorischer Rahmen für IT-Nutzung


Implementierung einer Firewall wie beschrieben

• Festlegung des Regelwerkes (Technik!)

• Zusätzlichen Virenschutz nutzen

• Überwachung der Internetzugriffe


Maßnahme 3: Firewall


Implementierung einer Verschlüsselungslösung

• Verschlüsselung mobiler Endgeräte

• Verschlüsselung mobiler Datenträger (USB-Sticks, etc.)

• Einfache Verschlüsselung von E-Mails (Client)


Maßnahme 4: Verschlüsselung


Implementierung einer Datensicherung wie beschrieben

• Datensicherung muß Daten und Systeme sichern

• Datensicherung muß Daten und Systeme wiederherstellen

• Datensicherung außer Haus lagern

• Regelmäßige (jährlich) Datenwiederherstellung testen

-> Notfallplanung erstellen!


Maßnahme 5: Datensicherung



Übersicht und Kosten

Schutzmaßnahme

Firewall 99,52 € Nutzer

Spamfilter 65,20 € Postfach

Virenschutz Mailserver 37,40 € Postfach

Virenschutz Server + Endgeräte 39,55 € Rechner

Verschlüsselung 81,21 € Rechner

Zugriffssteuerung 56,25 € Nutzer

IT-Richtlinie 25,00 € Nutzer

Endgeräteschutz 39,55 € Rechner

Datensicherung 127,08 € Nutzer

Extener Datenschutzbeauftragter 50,00 € Nutzer

Monitoring + Patchmanagment 13,48 € Rechner

Kosten/Einheit


• Auftragsverarbeitungsvereinbarung(en) mit Dienstleistern (Art. 28 DSGVO)

• Erstellung eines Verfahrensverzeichnisses

• Risikobewertung

• Folgeabschätzung

-> Hier unterstützt Ihr neuer Datenschutzbeauftragter!

„Game changer“ DSGVO

Mittelfristig: Formale Anforderungen

Schaffung eines formalen Rahmens für die DSGVO


Fazit (1)

Die DSGVO fordert einen sicheren IT-Betrieb!

Umkehrschluß:

Mit einem sicheren IT-Betrieb erfüllt ein KMU viele Anforderungen der DSGVO!


Fazit (2)

Ein sicherer IT-Betrieb erfordert ein durch-dachtes, ganzheitliches Konzept, das folgende Aspekte berücksichtigt:

• IT-Organisation: Zugriffsrechte, Verantwortlichkeiten, Regeln

• IT-Betrieb: Monitoring, Wartung und angemessener Support

• … und natürlich auch eine abgestimmte technische Lösung


Unterlagen + Infos

Unterlagen:

Taschen mit Infomaterial -> Leitfäden und Broschüren „Sicherheitstools“ -> Kryptonizer und RFID-Hüllen

-> Im Foyer am Stand

Vorträge + Linksammlung:

Download unter folgender Website:

https://www.icn.de/dsgvo

-> Bitte Visitenkarte für Zusendung per E-Mail abgeben

https://www.icn.de/dsgvo


Vielen Dank für Ihre Aufmerksamkeit!

Ihr Ansprechpartner:

Peter Hansemann

ICN GmbH + Co. KG

Dortmund

Tel. +49 231 97 51 99-12

[email protected]

www.icn.de

Documents

Die DSGVO in der IT-Praxis - ICN€¦ · ICN GmbH + Co. KG - 2017 14 1. Alle haben auf dem Server immer schon auf alles Zugriff 2. Das Paßwort meines Kollegen ist „geheim“ 3