Anzeige

Anzeige

VERANSTALTUNGEN

IT-SOURCING 2019 – Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

MCC CyberRisks - for Critical Infrastructures
12.09.19 - 13.09.19
In Hotel Maritim, Bonn

Rethink! IT 2019
16.09.19 - 17.09.19
In Berlin

DSAG-Jahreskongress
17.09.19 - 19.09.19
In Nürnberg, Messezentrum

Anzeige

Anzeige

EUWas bringt die Zukunft angesichts des neuen EU-Datenschutzes mit Bußgeldern bis zu 20 Millionen Euro und der zunehmenden Digitalisierung mit dem viel diskutierten Internet of Things? Sicherlich: Unsicherheit.

Die aktuellen Entwicklungen waren Top-Themen auf dem "13. Information-Security-Symposium" von CIS und Quality Austria in Wien. Im stilvollen Kursalon Wien fand sich mit mehr als 220 Fachteilehmern das Who-is-Who der heimischen Security-Szene ein. Tenor des Tages: Mit einem strukturierten ISO-Managementsystem sind Organisationen für die Zukunft besser gerüstet als ohne.

Neue Schlagworte wie Flexurity und Securitalisierung sprechen für sich. Hinsichtlich der Herausforderungen der nahenden Zukunft scheint derzeit vor allem eine allgemeine Unsicherheit sicher zu sein. Angesichts der aktuellen Entwicklungen stellten die Zertifizierungsorganisationen CIS und Quality Austria ihr "13. Information-Security-Symposium, WIEN 2017" im Mai unter das Motto: "EU-Datenschutz & Digitalisierung - neue Sicherheit mit ISO 27001". Das juristische Highlight der renommierten Veranstaltung präsentierte Wirtschaftsjurist und Datenschutzexperte Dr. Markus Frank. "Bei vielen Unternehmen sind bei der Umsetzung der EU-Datenschutzgrundverordnung erhebliche Unsicherheiten festzustellen, wie man bei den umfangreichen neuen Anforderungen Prioritäten setzen kann, um möglichst effizient vorzugehen und dennoch die erheblichen Haftungsrisiken zu mindern", betonte er in seinem Vortrag. Bußgelder bis zu vier Prozent des Jahresumsatzes oder 20 Millionen Euro machen die im Mai 2018 national in Kraft tretende EU-DSGVO zu einem dringlichen Thema.

Franks Empfehlung: "Viele Organisationen haben zahlreiche Verarbeitungstätigkeiten und müssen Prioritäten setzen bei den vorzunehmenden Risiko-Abschätzungen und den zu treffenden technischen und organisatorischen Schutz-Maßnahmen (TOMs). Je nach Art und Umfang der Verarbeitungstätigkeiten und Risiko-Situation ist entweder ein Managementsystem für Datensicherheit DSGVO-konform einzurichten oder es genügen einzelne TOMs." Dabei stelle die DSGVO unterschiedliche Anforderungen an Verantwortliche und Auftragsverarbeiter. Weiters führte Dr. Markus Frank aus: "Die leider recht abstrakt formulierten Vorgaben der DSGVO sind im Lichte der jahrzehntelangen Rechtsprechung des EuGH und des EGMR zu verstehen." Wichtige Fragen vor diesem Hintergrund seien etwa: Was bedeuten konkret die zu schützenden 'Risiken für Rechte und Freiheiten der Betroffenen'? Welche Gewichtung misst die Rechtsprechung den Implementierungskosten von Sicherheitsmaßnahmen zu? Wie soll etwa ein IT-Techniker geeignete technische Maßnahmen definieren, wenn ihm die Zielsetzung 'Schutz der Rechte Betroffener' nicht vom Juristen konkret verständlich gemacht wird?"

DSGVO: Fragen über Fragen

Nur mit ausreichendem Verständnis dieser abstrakten Anforderungen werde ein Umsetzungsteam in der Lage sein, die relevantesten Datenschutz-Risiken richtig zu erkennen und zu bewerten und effizient die geeigneten Schutz-Maßnahmen zu definieren und umzusetzen, brachte Rechtsanwalt Dr. Markus Frank die vorherrschenden Schwachpunkte in den Organisationen auf den Punkt.

Diesbezüglich zog Erich Scheiber, Geschäftsführer der Zertifizierungsorganisation CIS, einen Vergleich mit bestehenden Managementsystemen: "ISO 27001 deckt als Standard für Informationssicherheit alle in einem Unternehmen vorhandenen Informationen ab, gemäß Geltungsbereich. Im Vergleich dazu betrifft das Datenschutzgesetz nur personenbezogene Daten. ISO 27001 geht also inhaltlich einerseits über die Datenschutz-Anforderungen hinaus. Andererseits deckt der Standard die tiefergehenden Datenschutz-Spezifika wie etwa Einhaltung der Geheimhaltungsinteressen oder Wahrung der Betroffenenrechte nicht ab." Erich Scheibers Resümee dazu lautete: "Insgesamt unterstützt eine Zertifizierung nach ISO 27001 EU-DSGVO-konforme Datenschutzzertifizierungen in Hinblick auf Verfügbarkeit, Vertraulichkeit und Integrität von Daten erheblich. Eine zertifiziertes Informationssicherheits-Managementsystem unterstützt die Erfüllung der EU-DSGVO-Anforderungen wesentlich."

Notfall ohne Krise: ISO 22301

Ein Thema das anlässlich der zunehmenden Unsicherheitsfaktoren ebenfalls ins Schwarze traf, war der Vortrag des Bundesrechenzentrums: Friedrich Koller von der Stabsabteilung Sicherheit und Qualität sprach über den erfolgreichen Weg mit dem erst vor wenigen Jahren veröffentlichten Standard für Business Continuity Management (BCM) ISO 22301, der sich mehr und mehr in den Köpfen der Führungskräfte verankert. Unter dem Vortragstitel "Vom Notfall zum Normalbetrieb, rasch und ohne Krise" berichtete er über Implementierung, Zertifizierung und Betrieb des BCM-Systems im BRZ. Als E-Government-Partner der österreichischen Verwaltung entwickelt und betreibt die BRZ GmbH mehr als 400 IT-Lösungen und verfügt über eines der größten Rechenzentren Österreichs.

"In Ergänzung zu bestehenden Zertifizierungen nach ISO 9001, ISO 27001 und ISO 27018 für Cloud Privacy haben wir gemäß ISO 22301 Rollen und Aufgaben zugeteilt, Notfallpläne erstellt, Notfallübungen strukturiert geplant und durchgeführt, Notfallräume eingerichtet sowie Schulungen durchgeführt - um Krisen möglichst zu vermeiden oder im Falle ihres Auftretens Folgen möglichst gering zu halten", gab Friedrich Koller Einblick in die wichtigsten Implementierungsschritte. "Die Idee von BCM ist es, aus Notfallsituationen - wenn sie tatsächlich auftreten - rasch wieder herauszukommen", berichtete er in seinem praxisnahen Vortrag. Deutliche inhaltliche Überschneidungen mit ISO 9001 und ISO 27001 hätten die BCM-Einführung erleichtert. Als wichtige Erfahrung gab er dem interessierten Fachpublikum weiter: "Die Vertrauensbildung sollte man nicht vernachlässigen: Wir suchen Ursachen um sie zu beseitigen und nicht Schuldige, um sie zu bestrafen!" 

Weitere Informationen finden Sie hier.

www.cis-cert.com
 

GRID LIST
EU-Flagge und USA-Flagge

CLOUD Act - Schatten über der DSGVO

Nahezu zeitgleich mit der DSGVO ist der US-amerikanische CLOUD Act in Kraft getreten. In…
Verschlüsselungslösung

Tool „Panda Full Encryption“ ist da

Sie kommt als umfassende Verschlüsselungslösung für Laufwerke von PCs, Laptops und…
E-Mail

MTA-STS: Neuer Verschlüsselungsstandard zwischen Mailservern

MTA-STS steht für “Mail Transfer Agent – Strict Transport Security”. Der neue Standard…
Datenschutzbehörde Brief

Fünf Tipps gegen DSGVO-Bußgelder

Jede Woche ergehen rund 450 Millionen US-Dollar Strafe wegen Verstoß gegen die…
Datenschutzrecht

Aktuelle Entwicklungen im Datenschutzrecht

Die EU-Datenschutzgrundverordnung (DSGVO) und das neu gefasste Bundesdatenschutzgesetz…
Facebook-LikeButton

EuGH zu Facebook-Like Button - Wer trägt die Datenschutz-Verantwortung?

Viele Websites binden Facebooks «Like»-Button und andere ähnliche Plug-ins ein, die Daten…