Ein Jahr nach Einführung der DSGVO, wie daraus ein Informationssicherungsprozess wurde und Orientierungshilfen für kleine - mittlere Unternehmen

Ein Jahr nach Einführung der Datenschutzgrundverordnung ist der Informationssicherungs-Prozess in Unternehmen im Gange und nimmt weiter an Priorität zu. Nach der letzten Informationsveranstaltung bei der IHK in Stuttgart zur Informationssicherung im Mittelstand #10 einige Fakten zum Thema.

Was hat sich 1 Jahr nach Einführung der Datenschutzgrundverordnung (DSGVO) getan?

  • Angriffe auf die Informationstechnologie von Unternehmen werden häufiger, professioneller, komplexer und sind im Alltagsbetrieb kaum mehr zu erkennen. Lt. IHK liegt der Anteil der Spams im E-Mailverkehr bei über 90%.
  • durch immer neue Funktionalitäten bei Cyberangriffe sind Unternehmen bei der Erkennung herausgefordert, aktuelle Beispiele:  
    • das Scannen von Hardware-Ports nach Offenen Zugängen in das System
    • Übernahme von betrieblichen Mailaccounts und Fremdnutzung über Abgriff von Kundendaten
      Beispiel: Versand von Mails mit validen Kundendaten, auch in Bezug auf vorhergehende Mail-Kommunikation mit einem Schadprogramm, dass sich über ein Excel-Makro lokal installiert
    • Trojaner, welche eine Verbindung nach außen schaffen und nach Ziel-Systemprüfung die passende Schadprogramme installieren
    • Check auf organisatorische Mängel, z.B. dem Abgreifen des Admin-Passwortes eine externen Wartungsfirma mit Zugriff auf die komplette betriebliche Infrastruktur
  • die Datenschutz-Aufsichtsbehörde in Stuttgart kündigt für 2019 für Unternehmen mit sensiblem Datengut (z.B. Arztpraxen) verstärkte Kontrollen an.

Was bedeutet das für die Unternehmen?

  • Um Störungen zu erkennen und Risiken zu bemessen ist die permanente Anpassung und Reflektion des Datenverarbeitungsverzeichnisses (Grundlagen der DSGVO seit Mai 2018) unerlässlich
  • Daraus ergeben sich die Erfordernisse der Technischen und Organisatorischen Maßnahmen (TOMS) und langfristig die IT-Sicherheitslinien für den Betrieb. Dabei hilft es die Dokumentation TOMs als einen Nachweis zu führen, der die betriebliche Haltung zum Datenschutz und zur IT-Sicherheit abbildet. Diese Prozessdokumentation gilt als Rechenschaftspflicht im Rahmen der DSGVO und ist auf Nachfrage vorzuzeigen. 
  • Wichtig ist in Unternehmen eine permanente Risikoabschätzung über die Folgen eines Datenmissbrauches. Das ist aufgrund mangelnder Transparenz nicht immer einfach.
  • als weitere Herausforderung hat sich das Recht auf Löschung in der Praxis herausgestellt. Dabei geht es nicht so sehr um die Echtzeit-Datenbestände, sondern um die Daten, welche über Backup, Kommunikation- und Synchronisationsroutinen vervielfältigt auf unterschiedlichen Speichermedien liegen.
  • die Praxis fordert von Unternehmen im Umgang mit digitaler Information nicht nur die Erfüllung der Datenschutzgrundverordnung, sondern einen permanenten Informations-Sicherungsprozess.

Orientierungshilfen für kleine - mittlere Unternehmen

  • Die Datenschutzbehörde in Thüringen gibt Unternehmen praxisbezogene Orientierungshilfen an die Hand mit den wesentlichen Datenschutzanforderungen zu z.B. Cloud-Computing, Apps oder im Krankenhausinformationsbereich. Auch ein Meldebogen für Datenschutzverletzungen macht den Umgang damit greifbarer.
  • Die Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet eine übersichtliche Einstiegshilfe zum IT-Grundschutz für die systematische Umsetzung von Sicherheitsmaßnahme. Dabei gibt es 3 Vorgehensweisen für den IT-Grundschutzes: Die Basis-Absicherung liefert einen Einstieg in ein Informationssicherheitssystem, mit der Standard-Absicherung kann ein kompletter Sicherheitsprozess implementiert werden (BSI-Standard 100-2 ist kompatibel zur ISO 27001-Zertifizierung). Die Kern-Absicherung ist eine Vorgehensweise zum Einstieg, bei der zunächst ein kleiner Teil eines größeren Informationsverbundes betrachtet wird. Die Anleitungen Basis- und Kernabsicherung sollen insbesondere Verantwortlichen in kleinen und mittelständischen Betrieben den Einstieg in die Thematik erleichtern.

 

15.05.19 E. Langenstein
Informationsdienste & Datenmanagement