VERANSTALTUNGEN

ERP Tage Aachen
19.06.18 - 21.06.18
In Aachen

Developer Week 2018
25.06.18 - 28.06.18
In Nürnberg

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

IT kessel.18
11.07.18 - 11.07.18
In Reithaus Ludwigsburg

2. Jahrestagung Cyber Security Berlin
11.09.18 - 12.09.18
In Berlin

Doppelpack

Die starken Parallelen zu einem Informationssicherheits-Managementsystem (ISMS) machen die Einbindung der EU-DSGVO-Anforderungen in ein ISMS sinnvoll. Die gemeinsame Datenbasis, einschließlich der engen Zusammenarbeit von Mitarbeitern für Datenschutz und Informationssicherheit, schafft weiterhin Synergieeffekte.

Mit der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) werden den Betroffenen mehr bzw. umfangreichere Rechte als bisher eingeräumt. Organisationen sind damit zu einer rechtmäßigen Datenverarbeitung und den Nachweis darüber verpflichtet. Kunden können jederzeit ein Auskunftsersuchen stellen, welche personenbezogenen Daten über sie gesammelt und zu welchem Zweck diese genutzt werden. Für Organisationen entstehen damit nicht unerhebliche Aufwände für die Erstellung einer umfangreichen Dokumentation sowie die rechtzeitige Erfüllung des Auskunftsersuchens. Eine entsprechende Software erleichtert die Dokumentation und unterstützt u.a. dabei, das Auskunftsersuchen rechtzeitig zu erfüllen.

Das Thema EU-DSGVO müsste mittlerweile bei allen Organisationen angekommen sein. Denn ab 25. Mai wird es ernst. Die Realität ist jedoch eine andere: Viele Organisationen wissen selbst wenige Tage vor dem Stichtag nicht, was zu tun ist oder wollen zunächst abwarten. Aufgrund der zukünftig strengeren Vorschriften und Kontrollen sollten sich die Verantwortlichen jedoch mit den anstehenden Herausforderungen auseinandersetzen. Die starken Parallelen zu einem Informationssicherheits-Managementsystem (ISMS) machen die Einbindung der EU-DSGVO-Anforderungen in ein ISMS sinnvoll.

Das große Ganze im Blick

Datenschutz, Datensicherheit, Informationssicherheit und IT-Sicherheit: Diese Begriffe werden häufig im Zusammenhang, aber teilweise auch als Synonyme füreinander verwendet. Wenn die Organisationen die Einführung eines Managementsystems anstreben, sollten sie jedoch das große Ganze im Blick behalten. Sinnvoll ist es, nicht nur die personenbezogenen Daten, sondern alle Informationen in der Organisation abzusichern. Dabei ist es irrelevant, ob die Daten auf Papier oder digital vorliegen, personenbezogen oder nicht sind. Wird nämlich nur die IT-Sicherheit betrachtet, sind Informationen, die nicht digital verarbeitet werden, nicht abgesichert. Werden auf der anderen Seite nur personenbezogene Daten geschützt, sind Unternehmenswerte wie z.B. das Know-how davon ausgeschlossen. Was passiert also, wenn eine Person die Organisation verlässt und wichtige Informationen nicht vorher preisgibt?

Ein Datenbestand für Datenschutz und Informationssicherheit

Warum bietet es sich also an, die Anforderungen aus der EU-DSGVO in ein ISMS einzubinden? Verschiedene Artikel aus der EU-DSGVO nehmen direkt Bezug auf die Einführung eines ISMS in der Organisation. So sind Begriffe wie Verfügbarkeit, Integrität und Vertraulichkeit von Daten bzw. Informationen in beiden Disziplinen gleichermaßen vertreten. Weiterhin verlangt die EU-DSGVO, dass für Daten ein dem Risiko angemessenes Schutzniveau gewährleistet wird. Hierfür wird ein einheitliches und unternehmensweites Risikomanagement benötigt. Beim Datenschutz steht die Bewertung des Risikos aus der Perspektive der Betroffenen im Fokus. Die Informationssicherheit erweitert diese Perspektive zu einer ganzheitlichen Betrachtung. Dabei werden die Daten und Informationen aus der Perspektive des Unternehmens bewertet. Viele Organisationen erkennen jedoch noch nicht ausreichend die Zusammenhänge. Sowohl für den Datenschutz als für die Informationssicherheit gibt es einen eigenen Verantwortlichen, die oft aneinander vorbei arbeiten, anstatt gemeinsam zu agieren und ihr Handeln aufeinander abzustimmen. Das führt sowohl zu Mehrarbeit als auch zu einem inkonsistenten und damit fehlerhaften Datenbestand. Betrachtet man allerdings beide Disziplinen als sich ergänzende Bereiche, entstehen positive Effekte für die gesamte Organisation: Risikominimierung und damit die Absicherung der Unternehmenswerte, eine nachweisbare Dokumentation aller Prozesse sowie die Erfüllung der Compliance-Anforderungen gegenüber Stakeholdern, Kunden, Banken und Versicherungen.

Komplexität reduzieren mit Software-Einsatz

Die Einhaltung und Erfüllung der zahlreichen Anforderungen aus den Bereichen Datenschutz und Informationssicherheit lassen sich effizient mit einer Software umsetzen. Durch die Dokumentation und Pflege der Daten an nur einem Ort wird der Pflegeaufwand um ein Vielfaches reduziert. Einzelne Dokumente, die typischerweise im gesamten Unternehmensnetzwerk verteilt sind, müssen nicht mit viel Aufwand gesucht und gepflegt werden. Zusätzlich bleibt die Aktualität der Daten erhalten, da Abhängigkeiten und Auswirkungen von Änderungen über Bereichsgrenzen sichtbar sind. Darüber hinaus werden Anforderungen transparent dargestellt. Dadurch können Investitionen exakt auf die Anforderungen abgestimmt und getätigt werden. Die gemeinsame Datenbasis, einschließlich der engen Zusammenarbeit von Mitarbeitern für Datenschutz und Informationssicherheit, schafft Synergieeffekte. Die gesetzlichen Anforderungen und Normen werden erfüllt. Ein entscheidender Mehrwert für die Organisationen ist jedoch, dass Datenschutz und Informationssicherheit in der Organisation gelebt werden.

Fazit

Für Organisationen ist es ratsam, für die Umsetzung von Datenschutz und Informationssicherheit auf eine Softwarelösung zu setzen. Ein integriertes Managementsystem wie das von CONTECHNET kann an die unterschiedlichen Anforderungen der Organisation angepasst werden. Die verzahnten Module für IT-Notfallplanung, ISMS und Datenschutz können sowohl einzeln als auch in Kombination verwendet werden. Die gemeinsame Datenbasis macht einmal angelegte Daten für alle Bereiche nutzbar. Zahlreiche Automatismen erleichtern den riesigen Dokumentationsaufwand. Auf diese Weise entstehen erhebliche Synergien.

Jens Heidland
Jens Heidland, Leiter Consulting bei CONTECHNET

 

 

Fensterputzer
Mai 28, 2018

Gelebtes Risikomanagement

Mit dem richtigen Werkzeug ist die Einführung eines IT-Risikomanagements in der…
Jens Heidland
Mai 28, 2018

Keine Angst vor einem ISMS

Viele Anforderungen werden bereits heute von den meisten Organisationen erfüllt. Der…
Die Spitze eines Eisbergs
Nov 09, 2017

Ein Drei-Stufenplan für das Risikomanagement

Dieser Teil der Serie stellt einen dreistufigen Ansatz zur Identifizierung, Beurteilung…
GRID LIST
Tb W190 H80 Crop Int D2e97c879f93358a07f6423857d2138e

Backup und Datensicherheit wachsen zusammen

Backup ist nicht mehr nur Datensicherung und Wiederherstellung. Alleine die Kriterien an…
Marina Kidron

Damit aus Double Kill kein Overkill wird - Schutz vor neuer Angriffsmethode

Bei der kürzlich aufgedeckten Double-Kill-Schwachstelle wurde eine einzigartige…
Phishing

So machen KMU das Einfallstor Phishing dicht

Cyber-Kriminelle haben es immer häufiger auf das exklusive Know-how deutscher…
Tb W190 H80 Crop Int 90aba36b95264e827b27d67702c64390

Kleinunternehmungen benötigen auch IT Sicherheit

Die Meldungen von Schaden verursachenden Angriffen auf Firmen nehmen dramatisch zu.Keine…
Tb W190 H80 Crop Int Cfddc19ae10bb9811a94df9018bb81cc

Detect-to-Protect-Ansatz scheitert bei Mining-Malware

Immer neue Spielarten treten in der Cyber-Kriminalität zutage. Neuestes Beispiel liefert…
Tb W190 H80 Crop Int B4e05b341632adb937d391e0c9f32e7f

Physische Sicherheit: Für kleine Unternehmen oft ein Problem

Beim Thema IT-Sicherheit denken die meisten als erstes an Trojaner, Hackerangriffe oder…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security