Anzeige

Anzeige

VERANSTALTUNGEN

LIVE2019
28.05.19 - 28.05.19
In Nürnberg

Online B2B Conference
04.06.19 - 05.06.19
In Holiday Inn Westpark, München

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

WeAreDevelopers
06.06.19 - 07.06.19
In Berlin, Messe CityCube

Anzeige

Anzeige

EUWas bringt die Zukunft angesichts des neuen EU-Datenschutzes mit Bußgeldern bis zu 20 Millionen Euro und der zunehmenden Digitalisierung mit dem viel diskutierten Internet of Things? Sicherlich: Unsicherheit.

Die aktuellen Entwicklungen waren Top-Themen auf dem "13. Information-Security-Symposium" von CIS und Quality Austria in Wien. Im stilvollen Kursalon Wien fand sich mit mehr als 220 Fachteilehmern das Who-is-Who der heimischen Security-Szene ein. Tenor des Tages: Mit einem strukturierten ISO-Managementsystem sind Organisationen für die Zukunft besser gerüstet als ohne.

Neue Schlagworte wie Flexurity und Securitalisierung sprechen für sich. Hinsichtlich der Herausforderungen der nahenden Zukunft scheint derzeit vor allem eine allgemeine Unsicherheit sicher zu sein. Angesichts der aktuellen Entwicklungen stellten die Zertifizierungsorganisationen CIS und Quality Austria ihr "13. Information-Security-Symposium, WIEN 2017" im Mai unter das Motto: "EU-Datenschutz & Digitalisierung - neue Sicherheit mit ISO 27001". Das juristische Highlight der renommierten Veranstaltung präsentierte Wirtschaftsjurist und Datenschutzexperte Dr. Markus Frank. "Bei vielen Unternehmen sind bei der Umsetzung der EU-Datenschutzgrundverordnung erhebliche Unsicherheiten festzustellen, wie man bei den umfangreichen neuen Anforderungen Prioritäten setzen kann, um möglichst effizient vorzugehen und dennoch die erheblichen Haftungsrisiken zu mindern", betonte er in seinem Vortrag. Bußgelder bis zu vier Prozent des Jahresumsatzes oder 20 Millionen Euro machen die im Mai 2018 national in Kraft tretende EU-DSGVO zu einem dringlichen Thema.

Franks Empfehlung: "Viele Organisationen haben zahlreiche Verarbeitungstätigkeiten und müssen Prioritäten setzen bei den vorzunehmenden Risiko-Abschätzungen und den zu treffenden technischen und organisatorischen Schutz-Maßnahmen (TOMs). Je nach Art und Umfang der Verarbeitungstätigkeiten und Risiko-Situation ist entweder ein Managementsystem für Datensicherheit DSGVO-konform einzurichten oder es genügen einzelne TOMs." Dabei stelle die DSGVO unterschiedliche Anforderungen an Verantwortliche und Auftragsverarbeiter. Weiters führte Dr. Markus Frank aus: "Die leider recht abstrakt formulierten Vorgaben der DSGVO sind im Lichte der jahrzehntelangen Rechtsprechung des EuGH und des EGMR zu verstehen." Wichtige Fragen vor diesem Hintergrund seien etwa: Was bedeuten konkret die zu schützenden 'Risiken für Rechte und Freiheiten der Betroffenen'? Welche Gewichtung misst die Rechtsprechung den Implementierungskosten von Sicherheitsmaßnahmen zu? Wie soll etwa ein IT-Techniker geeignete technische Maßnahmen definieren, wenn ihm die Zielsetzung 'Schutz der Rechte Betroffener' nicht vom Juristen konkret verständlich gemacht wird?"

DSGVO: Fragen über Fragen

Nur mit ausreichendem Verständnis dieser abstrakten Anforderungen werde ein Umsetzungsteam in der Lage sein, die relevantesten Datenschutz-Risiken richtig zu erkennen und zu bewerten und effizient die geeigneten Schutz-Maßnahmen zu definieren und umzusetzen, brachte Rechtsanwalt Dr. Markus Frank die vorherrschenden Schwachpunkte in den Organisationen auf den Punkt.

Diesbezüglich zog Erich Scheiber, Geschäftsführer der Zertifizierungsorganisation CIS, einen Vergleich mit bestehenden Managementsystemen: "ISO 27001 deckt als Standard für Informationssicherheit alle in einem Unternehmen vorhandenen Informationen ab, gemäß Geltungsbereich. Im Vergleich dazu betrifft das Datenschutzgesetz nur personenbezogene Daten. ISO 27001 geht also inhaltlich einerseits über die Datenschutz-Anforderungen hinaus. Andererseits deckt der Standard die tiefergehenden Datenschutz-Spezifika wie etwa Einhaltung der Geheimhaltungsinteressen oder Wahrung der Betroffenenrechte nicht ab." Erich Scheibers Resümee dazu lautete: "Insgesamt unterstützt eine Zertifizierung nach ISO 27001 EU-DSGVO-konforme Datenschutzzertifizierungen in Hinblick auf Verfügbarkeit, Vertraulichkeit und Integrität von Daten erheblich. Eine zertifiziertes Informationssicherheits-Managementsystem unterstützt die Erfüllung der EU-DSGVO-Anforderungen wesentlich."

Notfall ohne Krise: ISO 22301

Ein Thema das anlässlich der zunehmenden Unsicherheitsfaktoren ebenfalls ins Schwarze traf, war der Vortrag des Bundesrechenzentrums: Friedrich Koller von der Stabsabteilung Sicherheit und Qualität sprach über den erfolgreichen Weg mit dem erst vor wenigen Jahren veröffentlichten Standard für Business Continuity Management (BCM) ISO 22301, der sich mehr und mehr in den Köpfen der Führungskräfte verankert. Unter dem Vortragstitel "Vom Notfall zum Normalbetrieb, rasch und ohne Krise" berichtete er über Implementierung, Zertifizierung und Betrieb des BCM-Systems im BRZ. Als E-Government-Partner der österreichischen Verwaltung entwickelt und betreibt die BRZ GmbH mehr als 400 IT-Lösungen und verfügt über eines der größten Rechenzentren Österreichs.

"In Ergänzung zu bestehenden Zertifizierungen nach ISO 9001, ISO 27001 und ISO 27018 für Cloud Privacy haben wir gemäß ISO 22301 Rollen und Aufgaben zugeteilt, Notfallpläne erstellt, Notfallübungen strukturiert geplant und durchgeführt, Notfallräume eingerichtet sowie Schulungen durchgeführt - um Krisen möglichst zu vermeiden oder im Falle ihres Auftretens Folgen möglichst gering zu halten", gab Friedrich Koller Einblick in die wichtigsten Implementierungsschritte. "Die Idee von BCM ist es, aus Notfallsituationen - wenn sie tatsächlich auftreten - rasch wieder herauszukommen", berichtete er in seinem praxisnahen Vortrag. Deutliche inhaltliche Überschneidungen mit ISO 9001 und ISO 27001 hätten die BCM-Einführung erleichtert. Als wichtige Erfahrung gab er dem interessierten Fachpublikum weiter: "Die Vertrauensbildung sollte man nicht vernachlässigen: Wir suchen Ursachen um sie zu beseitigen und nicht Schuldige, um sie zu bestrafen!" 

Weitere Informationen finden Sie hier.

www.cis-cert.com
 

GRID LIST
DSGVO

Nach einem Jahr DSGVO sind noch viele Unternehmen unsicher

Am 25. Mai gilt die DSGVO seit einem Jahr in allen EU-Mitgliedstaaten. In dieser Zeit…
Tb W190 H80 Crop Int D14174f9f546d61501920965da89725c

Ein Jahr DSGVO: Viel Arbeit - und viele offene Fragen

Die größte Aufregung rund um die Datenschutzgrundverordnung hat sich nach einem Jahr…
Tb W190 H80 Crop Int F1f72fabd46e97adb1d88019d7eccd85

Fünf Passwort-Alternativen der Zukunft

Der Welt-Passwort-Tag findet jedes Jahr am ersten Donnerstag im Mai statt. Er ruft dazu…
Tb W190 H80 Crop Int 3beed8ea8d39bc9de7fa829bffb574e8

Facebook bereitet sich auf Milliardenstrafe vor

Facebook rechnet damit, dass die jüngsten Datenschutz-Skandale das Online-Netzwerk bis zu…
Tb W190 H80 Crop Int D73172c157619fcd091d7b77a237b45c

Warum fast jede Datenschutzverletzung ein „Insider Job“ ist

Neben vielen anderen Formen von Cyberkriminalität sind auch eher schlicht gestrickte…
GDPR Concept

E-Mail-Kommunikation gemäß DSGVO – aber bitte verschlüsselt

Die E-Mail ist das beliebteste Kommunikationsmittel in Unternehmen. Jeden Tag gehen hier…