VERANSTALTUNGEN

Digital Workspace World
22.10.18 - 22.10.18
In Wiesbaden, RheinMain CongressCenter

PM Forum 2018
23.10.18 - 24.10.18
In Nürnberg

PM Forum 2018
23.10.18 - 24.10.18
In Nürnberg

MCC Fachkonferenz CyberSecurity für die Energiewirtschaft
24.10.18 - 25.10.18
In Köln

Panda Security: IT Security Breakfast
26.10.18 - 26.10.18
In Spanischen Botschaft in Berlin

Doppelpack

Die starken Parallelen zu einem Informationssicherheits-Managementsystem (ISMS) machen die Einbindung der EU-DSGVO-Anforderungen in ein ISMS sinnvoll. Die gemeinsame Datenbasis, einschließlich der engen Zusammenarbeit von Mitarbeitern für Datenschutz und Informationssicherheit, schafft weiterhin Synergieeffekte.

Mit der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) werden den Betroffenen mehr bzw. umfangreichere Rechte als bisher eingeräumt. Organisationen sind damit zu einer rechtmäßigen Datenverarbeitung und den Nachweis darüber verpflichtet. Kunden können jederzeit ein Auskunftsersuchen stellen, welche personenbezogenen Daten über sie gesammelt und zu welchem Zweck diese genutzt werden. Für Organisationen entstehen damit nicht unerhebliche Aufwände für die Erstellung einer umfangreichen Dokumentation sowie die rechtzeitige Erfüllung des Auskunftsersuchens. Eine entsprechende Software erleichtert die Dokumentation und unterstützt u.a. dabei, das Auskunftsersuchen rechtzeitig zu erfüllen.

Das Thema EU-DSGVO müsste mittlerweile bei allen Organisationen angekommen sein. Denn ab 25. Mai wird es ernst. Die Realität ist jedoch eine andere: Viele Organisationen wissen selbst wenige Tage vor dem Stichtag nicht, was zu tun ist oder wollen zunächst abwarten. Aufgrund der zukünftig strengeren Vorschriften und Kontrollen sollten sich die Verantwortlichen jedoch mit den anstehenden Herausforderungen auseinandersetzen. Die starken Parallelen zu einem Informationssicherheits-Managementsystem (ISMS) machen die Einbindung der EU-DSGVO-Anforderungen in ein ISMS sinnvoll.

Das große Ganze im Blick

Datenschutz, Datensicherheit, Informationssicherheit und IT-Sicherheit: Diese Begriffe werden häufig im Zusammenhang, aber teilweise auch als Synonyme füreinander verwendet. Wenn die Organisationen die Einführung eines Managementsystems anstreben, sollten sie jedoch das große Ganze im Blick behalten. Sinnvoll ist es, nicht nur die personenbezogenen Daten, sondern alle Informationen in der Organisation abzusichern. Dabei ist es irrelevant, ob die Daten auf Papier oder digital vorliegen, personenbezogen oder nicht sind. Wird nämlich nur die IT-Sicherheit betrachtet, sind Informationen, die nicht digital verarbeitet werden, nicht abgesichert. Werden auf der anderen Seite nur personenbezogene Daten geschützt, sind Unternehmenswerte wie z.B. das Know-how davon ausgeschlossen. Was passiert also, wenn eine Person die Organisation verlässt und wichtige Informationen nicht vorher preisgibt?

Ein Datenbestand für Datenschutz und Informationssicherheit

Warum bietet es sich also an, die Anforderungen aus der EU-DSGVO in ein ISMS einzubinden? Verschiedene Artikel aus der EU-DSGVO nehmen direkt Bezug auf die Einführung eines ISMS in der Organisation. So sind Begriffe wie Verfügbarkeit, Integrität und Vertraulichkeit von Daten bzw. Informationen in beiden Disziplinen gleichermaßen vertreten. Weiterhin verlangt die EU-DSGVO, dass für Daten ein dem Risiko angemessenes Schutzniveau gewährleistet wird. Hierfür wird ein einheitliches und unternehmensweites Risikomanagement benötigt. Beim Datenschutz steht die Bewertung des Risikos aus der Perspektive der Betroffenen im Fokus. Die Informationssicherheit erweitert diese Perspektive zu einer ganzheitlichen Betrachtung. Dabei werden die Daten und Informationen aus der Perspektive des Unternehmens bewertet. Viele Organisationen erkennen jedoch noch nicht ausreichend die Zusammenhänge. Sowohl für den Datenschutz als für die Informationssicherheit gibt es einen eigenen Verantwortlichen, die oft aneinander vorbei arbeiten, anstatt gemeinsam zu agieren und ihr Handeln aufeinander abzustimmen. Das führt sowohl zu Mehrarbeit als auch zu einem inkonsistenten und damit fehlerhaften Datenbestand. Betrachtet man allerdings beide Disziplinen als sich ergänzende Bereiche, entstehen positive Effekte für die gesamte Organisation: Risikominimierung und damit die Absicherung der Unternehmenswerte, eine nachweisbare Dokumentation aller Prozesse sowie die Erfüllung der Compliance-Anforderungen gegenüber Stakeholdern, Kunden, Banken und Versicherungen.

Komplexität reduzieren mit Software-Einsatz

Die Einhaltung und Erfüllung der zahlreichen Anforderungen aus den Bereichen Datenschutz und Informationssicherheit lassen sich effizient mit einer Software umsetzen. Durch die Dokumentation und Pflege der Daten an nur einem Ort wird der Pflegeaufwand um ein Vielfaches reduziert. Einzelne Dokumente, die typischerweise im gesamten Unternehmensnetzwerk verteilt sind, müssen nicht mit viel Aufwand gesucht und gepflegt werden. Zusätzlich bleibt die Aktualität der Daten erhalten, da Abhängigkeiten und Auswirkungen von Änderungen über Bereichsgrenzen sichtbar sind. Darüber hinaus werden Anforderungen transparent dargestellt. Dadurch können Investitionen exakt auf die Anforderungen abgestimmt und getätigt werden. Die gemeinsame Datenbasis, einschließlich der engen Zusammenarbeit von Mitarbeitern für Datenschutz und Informationssicherheit, schafft Synergieeffekte. Die gesetzlichen Anforderungen und Normen werden erfüllt. Ein entscheidender Mehrwert für die Organisationen ist jedoch, dass Datenschutz und Informationssicherheit in der Organisation gelebt werden.

Fazit

Für Organisationen ist es ratsam, für die Umsetzung von Datenschutz und Informationssicherheit auf eine Softwarelösung zu setzen. Ein integriertes Managementsystem wie das von CONTECHNET kann an die unterschiedlichen Anforderungen der Organisation angepasst werden. Die verzahnten Module für IT-Notfallplanung, ISMS und Datenschutz können sowohl einzeln als auch in Kombination verwendet werden. Die gemeinsame Datenbasis macht einmal angelegte Daten für alle Bereiche nutzbar. Zahlreiche Automatismen erleichtern den riesigen Dokumentationsaufwand. Auf diese Weise entstehen erhebliche Synergien.

Jens Heidland
Jens Heidland, Leiter Consulting bei CONTECHNET

 

 

Fensterputzer
Mai 28, 2018

Gelebtes Risikomanagement

Mit dem richtigen Werkzeug ist die Einführung eines IT-Risikomanagements in der…
Jens Heidland
Mai 28, 2018

Keine Angst vor einem ISMS

Viele Anforderungen werden bereits heute von den meisten Organisationen erfüllt. Der…
Die Spitze eines Eisbergs
Nov 09, 2017

Ein Drei-Stufenplan für das Risikomanagement

Dieser Teil der Serie stellt einen dreistufigen Ansatz zur Identifizierung, Beurteilung…
GRID LIST
Tb W190 H80 Crop Int 473f1a871a5501d106c3efe11521f17a

Schwachstellenmanagement ohne Priorisierung ist ein Ding der Unmöglichkeit

Schwachstellenmanagement beziehungsweise Vulnerability Management ist ein unverzichtbarer…
Tb W190 H80 Crop Int 28ce87d7cd96844fa4f1f9d045c20067

Network Box schützt „Kronjuwelen“

Die IT-Branche in Deutschland wächst. Mittlerweile arbeiten rund eine Million Menschen in…
Tb W190 H80 Crop Int 69bd67d0766bcf55730eef75a3612605

IT-Sicherheit nach Maß

65 Experten kümmern sich beim Energieversorger Innogy um die Cybersicherheit,…
Firewall Concept

DSGVO-konform – Die neue TUX-Firewall TG-0500

Zum Schutz personenbezogener Daten verlangt die EU-DSGVO „angemessene technische und…
Hacking Detected

Managed Security Service Provider als Antwort auf den Fachkräftemangel

Aufgrund des anhaltenden Fachkräftemangels im IT-Sicherheitsumfeld steigt die Nachfrage…
Tb W190 H80 Crop Int 004c3381798b4f8b8137447720d1dc24

Zu Risiken und Ausfällen fragen Sie Ihren Geschäftsführer oder Sicherheitsbeauftragten

Ein erfolgreich etabliertes und gelebtes Risikomanagement bildet eines der Kernelemente…
Smarte News aus der IT-Welt