VERANSTALTUNGEN

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

IT kessel.18
11.07.18 - 11.07.18
In Reithaus Ludwigsburg

2. Jahrestagung Cyber Security Berlin
11.09.18 - 12.09.18
In Berlin

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

EUWas bringt die Zukunft angesichts des neuen EU-Datenschutzes mit Bußgeldern bis zu 20 Millionen Euro und der zunehmenden Digitalisierung mit dem viel diskutierten Internet of Things? Sicherlich: Unsicherheit.

Die aktuellen Entwicklungen waren Top-Themen auf dem "13. Information-Security-Symposium" von CIS und Quality Austria in Wien. Im stilvollen Kursalon Wien fand sich mit mehr als 220 Fachteilehmern das Who-is-Who der heimischen Security-Szene ein. Tenor des Tages: Mit einem strukturierten ISO-Managementsystem sind Organisationen für die Zukunft besser gerüstet als ohne.

Neue Schlagworte wie Flexurity und Securitalisierung sprechen für sich. Hinsichtlich der Herausforderungen der nahenden Zukunft scheint derzeit vor allem eine allgemeine Unsicherheit sicher zu sein. Angesichts der aktuellen Entwicklungen stellten die Zertifizierungsorganisationen CIS und Quality Austria ihr "13. Information-Security-Symposium, WIEN 2017" im Mai unter das Motto: "EU-Datenschutz & Digitalisierung - neue Sicherheit mit ISO 27001". Das juristische Highlight der renommierten Veranstaltung präsentierte Wirtschaftsjurist und Datenschutzexperte Dr. Markus Frank. "Bei vielen Unternehmen sind bei der Umsetzung der EU-Datenschutzgrundverordnung erhebliche Unsicherheiten festzustellen, wie man bei den umfangreichen neuen Anforderungen Prioritäten setzen kann, um möglichst effizient vorzugehen und dennoch die erheblichen Haftungsrisiken zu mindern", betonte er in seinem Vortrag. Bußgelder bis zu vier Prozent des Jahresumsatzes oder 20 Millionen Euro machen die im Mai 2018 national in Kraft tretende EU-DSGVO zu einem dringlichen Thema.

Franks Empfehlung: "Viele Organisationen haben zahlreiche Verarbeitungstätigkeiten und müssen Prioritäten setzen bei den vorzunehmenden Risiko-Abschätzungen und den zu treffenden technischen und organisatorischen Schutz-Maßnahmen (TOMs). Je nach Art und Umfang der Verarbeitungstätigkeiten und Risiko-Situation ist entweder ein Managementsystem für Datensicherheit DSGVO-konform einzurichten oder es genügen einzelne TOMs." Dabei stelle die DSGVO unterschiedliche Anforderungen an Verantwortliche und Auftragsverarbeiter. Weiters führte Dr. Markus Frank aus: "Die leider recht abstrakt formulierten Vorgaben der DSGVO sind im Lichte der jahrzehntelangen Rechtsprechung des EuGH und des EGMR zu verstehen." Wichtige Fragen vor diesem Hintergrund seien etwa: Was bedeuten konkret die zu schützenden 'Risiken für Rechte und Freiheiten der Betroffenen'? Welche Gewichtung misst die Rechtsprechung den Implementierungskosten von Sicherheitsmaßnahmen zu? Wie soll etwa ein IT-Techniker geeignete technische Maßnahmen definieren, wenn ihm die Zielsetzung 'Schutz der Rechte Betroffener' nicht vom Juristen konkret verständlich gemacht wird?"

DSGVO: Fragen über Fragen

Nur mit ausreichendem Verständnis dieser abstrakten Anforderungen werde ein Umsetzungsteam in der Lage sein, die relevantesten Datenschutz-Risiken richtig zu erkennen und zu bewerten und effizient die geeigneten Schutz-Maßnahmen zu definieren und umzusetzen, brachte Rechtsanwalt Dr. Markus Frank die vorherrschenden Schwachpunkte in den Organisationen auf den Punkt.

Diesbezüglich zog Erich Scheiber, Geschäftsführer der Zertifizierungsorganisation CIS, einen Vergleich mit bestehenden Managementsystemen: "ISO 27001 deckt als Standard für Informationssicherheit alle in einem Unternehmen vorhandenen Informationen ab, gemäß Geltungsbereich. Im Vergleich dazu betrifft das Datenschutzgesetz nur personenbezogene Daten. ISO 27001 geht also inhaltlich einerseits über die Datenschutz-Anforderungen hinaus. Andererseits deckt der Standard die tiefergehenden Datenschutz-Spezifika wie etwa Einhaltung der Geheimhaltungsinteressen oder Wahrung der Betroffenenrechte nicht ab." Erich Scheibers Resümee dazu lautete: "Insgesamt unterstützt eine Zertifizierung nach ISO 27001 EU-DSGVO-konforme Datenschutzzertifizierungen in Hinblick auf Verfügbarkeit, Vertraulichkeit und Integrität von Daten erheblich. Eine zertifiziertes Informationssicherheits-Managementsystem unterstützt die Erfüllung der EU-DSGVO-Anforderungen wesentlich."

Notfall ohne Krise: ISO 22301

Ein Thema das anlässlich der zunehmenden Unsicherheitsfaktoren ebenfalls ins Schwarze traf, war der Vortrag des Bundesrechenzentrums: Friedrich Koller von der Stabsabteilung Sicherheit und Qualität sprach über den erfolgreichen Weg mit dem erst vor wenigen Jahren veröffentlichten Standard für Business Continuity Management (BCM) ISO 22301, der sich mehr und mehr in den Köpfen der Führungskräfte verankert. Unter dem Vortragstitel "Vom Notfall zum Normalbetrieb, rasch und ohne Krise" berichtete er über Implementierung, Zertifizierung und Betrieb des BCM-Systems im BRZ. Als E-Government-Partner der österreichischen Verwaltung entwickelt und betreibt die BRZ GmbH mehr als 400 IT-Lösungen und verfügt über eines der größten Rechenzentren Österreichs.

"In Ergänzung zu bestehenden Zertifizierungen nach ISO 9001, ISO 27001 und ISO 27018 für Cloud Privacy haben wir gemäß ISO 22301 Rollen und Aufgaben zugeteilt, Notfallpläne erstellt, Notfallübungen strukturiert geplant und durchgeführt, Notfallräume eingerichtet sowie Schulungen durchgeführt - um Krisen möglichst zu vermeiden oder im Falle ihres Auftretens Folgen möglichst gering zu halten", gab Friedrich Koller Einblick in die wichtigsten Implementierungsschritte. "Die Idee von BCM ist es, aus Notfallsituationen - wenn sie tatsächlich auftreten - rasch wieder herauszukommen", berichtete er in seinem praxisnahen Vortrag. Deutliche inhaltliche Überschneidungen mit ISO 9001 und ISO 27001 hätten die BCM-Einführung erleichtert. Als wichtige Erfahrung gab er dem interessierten Fachpublikum weiter: "Die Vertrauensbildung sollte man nicht vernachlässigen: Wir suchen Ursachen um sie zu beseitigen und nicht Schuldige, um sie zu bestrafen!" 

Weitere Informationen finden Sie hier.

www.cis-cert.com
 

GRID LIST
Tb W190 H80 Crop Int Ac00bc491e29650606797a7a168b27ab

Datenaustausch und -archivierung in Zeiten der DSGVO

Nun ist es doch tatsächlich so weit: Die allseits gefürchtete…
Gérard Bauer

Bietet die DSGVO Cyberkriminellen eine Möglichkeit, sich besser zu verstecken?

Mit dem Ziel den Schutz und die Sicherheit von Daten deutlich zu verbessern, ist die…
Karl-Heinz Land

Die DSGVO bedeutet eine kalte Enteignung des Mittelstands

Was als Schutzschild gegen „Datenkraken“ wie Facebook, Twitter oder Google gedacht war,…
Tb W190 H80 Crop Int Ece7bb343adc210e89b8ba448a8c7677

DSGVO – Schutz sensibler Daten

Bereits im Mai 2016 wurde die neue Datenschutzgrundverordnung (DSGVO) verabschiedet. Nun…
Tb W190 H80 Crop Int Ffc54940f3b5a5b27ea7e7e75ad38fbe

DSGVO Tipps zum Umgang mit Google Produkten

Das wahrscheinlich am meisten diskutierte Thema für diesen Monat, die…
Schloss vor Weltkugel

Verschlüsselung: Technik mit Herausforderungen

Bereits die alten Ägypter haben Texte so umgeschrieben, dass sie nur von Empfängern…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security