SAP SECURITY 2017
22.11.17 - 22.11.17
In Walldorf, Leonardo Hotel

Cloud Expo Europe
28.11.17 - 29.11.17
In Frankfurt

Data Centre World
28.11.17 - 29.11.17
In Frankfurt

IT-Tage 2017
11.12.17 - 14.12.17
In Frankfurt, Messe Kap Europa

Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

EUWas bringt die Zukunft angesichts des neuen EU-Datenschutzes mit Bußgeldern bis zu 20 Millionen Euro und der zunehmenden Digitalisierung mit dem viel diskutierten Internet of Things? Sicherlich: Unsicherheit.

Die aktuellen Entwicklungen waren Top-Themen auf dem "13. Information-Security-Symposium" von CIS und Quality Austria in Wien. Im stilvollen Kursalon Wien fand sich mit mehr als 220 Fachteilehmern das Who-is-Who der heimischen Security-Szene ein. Tenor des Tages: Mit einem strukturierten ISO-Managementsystem sind Organisationen für die Zukunft besser gerüstet als ohne.

Neue Schlagworte wie Flexurity und Securitalisierung sprechen für sich. Hinsichtlich der Herausforderungen der nahenden Zukunft scheint derzeit vor allem eine allgemeine Unsicherheit sicher zu sein. Angesichts der aktuellen Entwicklungen stellten die Zertifizierungsorganisationen CIS und Quality Austria ihr "13. Information-Security-Symposium, WIEN 2017" im Mai unter das Motto: "EU-Datenschutz & Digitalisierung - neue Sicherheit mit ISO 27001". Das juristische Highlight der renommierten Veranstaltung präsentierte Wirtschaftsjurist und Datenschutzexperte Dr. Markus Frank. "Bei vielen Unternehmen sind bei der Umsetzung der EU-Datenschutzgrundverordnung erhebliche Unsicherheiten festzustellen, wie man bei den umfangreichen neuen Anforderungen Prioritäten setzen kann, um möglichst effizient vorzugehen und dennoch die erheblichen Haftungsrisiken zu mindern", betonte er in seinem Vortrag. Bußgelder bis zu vier Prozent des Jahresumsatzes oder 20 Millionen Euro machen die im Mai 2018 national in Kraft tretende EU-DSGVO zu einem dringlichen Thema.

Franks Empfehlung: "Viele Organisationen haben zahlreiche Verarbeitungstätigkeiten und müssen Prioritäten setzen bei den vorzunehmenden Risiko-Abschätzungen und den zu treffenden technischen und organisatorischen Schutz-Maßnahmen (TOMs). Je nach Art und Umfang der Verarbeitungstätigkeiten und Risiko-Situation ist entweder ein Managementsystem für Datensicherheit DSGVO-konform einzurichten oder es genügen einzelne TOMs." Dabei stelle die DSGVO unterschiedliche Anforderungen an Verantwortliche und Auftragsverarbeiter. Weiters führte Dr. Markus Frank aus: "Die leider recht abstrakt formulierten Vorgaben der DSGVO sind im Lichte der jahrzehntelangen Rechtsprechung des EuGH und des EGMR zu verstehen." Wichtige Fragen vor diesem Hintergrund seien etwa: Was bedeuten konkret die zu schützenden 'Risiken für Rechte und Freiheiten der Betroffenen'? Welche Gewichtung misst die Rechtsprechung den Implementierungskosten von Sicherheitsmaßnahmen zu? Wie soll etwa ein IT-Techniker geeignete technische Maßnahmen definieren, wenn ihm die Zielsetzung 'Schutz der Rechte Betroffener' nicht vom Juristen konkret verständlich gemacht wird?"

DSGVO: Fragen über Fragen

Nur mit ausreichendem Verständnis dieser abstrakten Anforderungen werde ein Umsetzungsteam in der Lage sein, die relevantesten Datenschutz-Risiken richtig zu erkennen und zu bewerten und effizient die geeigneten Schutz-Maßnahmen zu definieren und umzusetzen, brachte Rechtsanwalt Dr. Markus Frank die vorherrschenden Schwachpunkte in den Organisationen auf den Punkt.

Diesbezüglich zog Erich Scheiber, Geschäftsführer der Zertifizierungsorganisation CIS, einen Vergleich mit bestehenden Managementsystemen: "ISO 27001 deckt als Standard für Informationssicherheit alle in einem Unternehmen vorhandenen Informationen ab, gemäß Geltungsbereich. Im Vergleich dazu betrifft das Datenschutzgesetz nur personenbezogene Daten. ISO 27001 geht also inhaltlich einerseits über die Datenschutz-Anforderungen hinaus. Andererseits deckt der Standard die tiefergehenden Datenschutz-Spezifika wie etwa Einhaltung der Geheimhaltungsinteressen oder Wahrung der Betroffenenrechte nicht ab." Erich Scheibers Resümee dazu lautete: "Insgesamt unterstützt eine Zertifizierung nach ISO 27001 EU-DSGVO-konforme Datenschutzzertifizierungen in Hinblick auf Verfügbarkeit, Vertraulichkeit und Integrität von Daten erheblich. Eine zertifiziertes Informationssicherheits-Managementsystem unterstützt die Erfüllung der EU-DSGVO-Anforderungen wesentlich."

Notfall ohne Krise: ISO 22301

Ein Thema das anlässlich der zunehmenden Unsicherheitsfaktoren ebenfalls ins Schwarze traf, war der Vortrag des Bundesrechenzentrums: Friedrich Koller von der Stabsabteilung Sicherheit und Qualität sprach über den erfolgreichen Weg mit dem erst vor wenigen Jahren veröffentlichten Standard für Business Continuity Management (BCM) ISO 22301, der sich mehr und mehr in den Köpfen der Führungskräfte verankert. Unter dem Vortragstitel "Vom Notfall zum Normalbetrieb, rasch und ohne Krise" berichtete er über Implementierung, Zertifizierung und Betrieb des BCM-Systems im BRZ. Als E-Government-Partner der österreichischen Verwaltung entwickelt und betreibt die BRZ GmbH mehr als 400 IT-Lösungen und verfügt über eines der größten Rechenzentren Österreichs.

"In Ergänzung zu bestehenden Zertifizierungen nach ISO 9001, ISO 27001 und ISO 27018 für Cloud Privacy haben wir gemäß ISO 22301 Rollen und Aufgaben zugeteilt, Notfallpläne erstellt, Notfallübungen strukturiert geplant und durchgeführt, Notfallräume eingerichtet sowie Schulungen durchgeführt - um Krisen möglichst zu vermeiden oder im Falle ihres Auftretens Folgen möglichst gering zu halten", gab Friedrich Koller Einblick in die wichtigsten Implementierungsschritte. "Die Idee von BCM ist es, aus Notfallsituationen - wenn sie tatsächlich auftreten - rasch wieder herauszukommen", berichtete er in seinem praxisnahen Vortrag. Deutliche inhaltliche Überschneidungen mit ISO 9001 und ISO 27001 hätten die BCM-Einführung erleichtert. Als wichtige Erfahrung gab er dem interessierten Fachpublikum weiter: "Die Vertrauensbildung sollte man nicht vernachlässigen: Wir suchen Ursachen um sie zu beseitigen und nicht Schuldige, um sie zu bestrafen!" 

Weitere Informationen finden Sie hier.

www.cis-cert.com
 

GRID LIST
Tb W190 H80 Crop Int 706ed058ba0004d4fe9159b0807ac61f

WhatsApp und Co. können für Unternehmen teuer werden

Mit Inkrafttreten der EU-Datenschutzverordnung werden Kommunikationstools wie WhatsApp…
Frau hält EU-Flagge

DSGVO und Versicherer – Eins nach dem Anderen

Die EU-Datenschutz-Grundverordnung stärkt den Datenschutz und die Rechte der Versicherten…
Tb W190 H80 Crop Int 41266e15a4e5a9846fa11a56dc162bde

Compliance-Check testet Datenschutzpraxis von Unternehmen

Der europäische Security-Hersteller ESET stellt Organisationen und Unternehmen einen…
Datenschutz

Ab 2018 haften Geschäftsführer in Millionenhöhe

Wenn Geschäftsführer und Vorstände die neue EU-Datenschutz-Grundverordnung (DSGVO) nicht…
Security Specialist

Der moderne Datenschutzbeauftragte

Mittlerweile ist Datenschutz in aller Munde, unter anderem durch neue Regularien, die in…
Marcel Mock

Zweiter Anlauf für den Verschlüsselungsstandort Nummer 1 | Statement

Wir dürfen gespannt sein, wie die neue Bundesregierung die vom letzten Kabinett…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet