Category

Allgemein

Vernichtung Datenträger – DIN 66399

By | Allgemein, Startseite

Das Vernichten von Datenträgern ist eine der meist noch nicht geschlossenen Lücken in der IT-Sicherheit.

Immer wieder tauchen Beispiele auf, in denen Informationen auf dem Markt zum Verkaf angeboten werden. Link.

Variante 1: Zufall – Auf einem gekauften Gebrauchtgerät sind vertrauliche Daten. Die Bedeutung kann sehr hoch sein, dass jemand hieraus versucht Kapital zu schlagen ist in der Wahrscheinlichkeit eher gering.

Variante 2: Gezielt – Jemand beobachtet Ihr Unternehmen (extern oder intern) und wartet auf eine Gelegenheit. Jetzt steigt die Wahrscheinlichkeit einer Erpressung enorm an.

Beide Varianten sollten so schwer wie möglich gemacht werden. Dass man eine Übersicht über die Geräte braucht ist wahrscheinlich klar.

Für die „sichere“ Entsorgung gibt es die Normen-Reihe DIN 66399. Diese behandelt zum einen die Inhalte und zum anderen den Prozess der Datenträgervernichtung.

Sicherheit ist Dauerthema, das immer Gefahr läuft einzuschlafen. Nutzen Sie unbedingt hier Audits zur Überwachung der Wirksamkeit. Planen Sie diese Audits und überprüfen Sie jährlich die Systematik, den Anwendungsbereich und den Inhalt.

Sollten Sie hierzu Fragen haben, kontaktieren Sie uns.

Fazit

Achtung, und vergessen Sie die Kopierer nicht

Neue Norm für Ausbildungsstätten – ISO 21001 ersetzt ISO 29990

By | Allgemein, Startseite

Die Norm für die Ausbildungsstätten wurde überarbeitet. Sie ist jetzt in der für die meisten geltenden Management-Normen Gliederung.

Für die Ausbildungsstätten bedeutet diese Änderung eine Veränderung ihrer Dokumentation und eine Umstellung der Zertifizierung. Ausbildungsträger, die noch andere Normen, wie z.B. die ISO 27001 haben, können jetzt die Managementsysteme einfacher zusammenführen.

Fazit

Auch bei den Ausbildungsstätten hat jetzt die Zeit der integrierten Systeme begonnen.

Schweiz-EU Vertrag geplatzt – Auswirkung DSGVO

By | Allgemein, Startseite

Der Rahmenvertrag, der die langfristige Zusaammenarbeit zwischen der EU und der Schweiz regeln sollte wird von der Schweiz nicht gezeichnet. Link

Direkte Auswirkungen auf die Einstufung der Schweiz als „Dritt-Land“ im Sinne der DSGVO sehe ich nicht.

Die Schweiz hat ihr Datenschutzrecht erst September 2020 weiter an die EU angeglichen. Link Damit wird die Stellung als „sicheres Drittland“ weiter gestärkt.

Langfristig ist aber schon eine Tendez erkennbar, die auf eine Isolierung der EU im Thema DSGVO hinausläuft. Die derzeitigen Entwicklungen zeigen die Spannungen zwischen dem „Schutz der Betroffenen-Daten“ und der internationalen Entwicklung zur Vernetzung und automatisierten Auswertung der Informationen.

Solange die EU als Markt interessant bleibt, die großen „Player“ sitzen meist ausserhalb, könnten wir mit dem bestehenden Modell fortfahren. Die internationale Vernetzung, gerade mit der Corona-Pandemie, geht aber in die andere Richtung. Link

Allerdings darf man nicht ausser acht lassen, dass eine Abschottung von vertraulichen Informationen innerhalb der EU sicher einfacher möglich ist, als ausserhalb. Z.B. ist die Nutzung von Video-Konferenz-Systemen durchaus DSGVO-konform möglich – die tatsächliche Abschottung von vertraulichen Informationen aber schwer vorstellbar.

Fazit

Langfristig kann es sinnvoll sein, die Datenhaltung innerhalb der EU zu konzentrieren.

Die Bedrohung kommt in der Realität an – VDA QMC Automotive Sys Conference 2021

By | Allgemein, Startseite

Das beherrschende Thema auf der diesjährigen VDA QMC Automotive Sys Conference ist die Cyber Security. Und hier die Absicherung sowohl des Fahrzeugs, als auch der gesamten Lieferkette und zwar über den gesamten Lebenszyklus.

Spannend ist das aus verschiedenen Gründen:

  1. Der Gesetzgeber wird aktiv
  • US-Kongress, EU, China, Japan bringen Gesetze auf den Weg
  • Ab Mitte 2022 sind in der EU für neue Fahrzeuge bereits Regelungen geplant, die ab Juli 2024 auf ältere Fahrzeuge ausgedehnt werden sollen.
  1. Eine Vielzahl von Normen sind entstanden
  • TISAX (bereits länger etabliert, basiert auf der ISO 27001)
  • ISO/SAE 21434 (Managementsysteme zum Schutz von Fahrzeugen)
  • A-SPICE (Programmierung)
  • UN R155 (Managementsystem zum Schutz von Fahrzeugen – CSMS)
  • UN R156 (Software-Update Managementsystem – SUMS)
  • ISO/DPAS 5112 (Richtlinie für die Auditierung von Cybersecurity Engineering)
  1. Die Sicherheit muss bei den Lieferanten und Dienstleistern durchgesetzt werden, sonst ist sie wirkungslos.
  2. Viele Zulieferer sind nicht nur im „Automobil“ unterwegs und die Standards sind schon zum Eigenschutz auch sinnvoll.
  3. Die Bedrohung für den Kern der Unternehmen wird mit jedem Tag größer (MS Exchange, Öl-Pipelines, …).
  4. Der Trend zum Homeoffice und zu Office 365 verstärkt die Abhängigkeit von den IT-Systemen immer weiter.

Aktueller Stand:

  1. Die Kluft zwischen den OEM bzw. der Groß-Industrie und den kleineren Unternehmen wird immer größer. Während die einen sich in der Tiefe mit den Themen auseinandersetzen und Standards definieren, haben die anderen nicht mal die absoluten Grundlagen (z.B. eine Liste der Anwender)
  2. Die ISO-Management-Systeme werden häufig nicht gelebt. Definition des Anwendungsbereichs, Risiko-Betrachtung und Verantwortlichkeiten sind nicht gepflegt.
  3. Die Anwender gewöhnen sich im privaten Umfeld an immer niedrigere Sicherheitsstandards (automatisches Klicken bei jeder Gelegenheit).

Fazit:

  1. ALLE müssen aufpassen; Cyber-Security muss auditiert werden und so aufgebaut sein, dass man revisionieren (z.B. muss man die Rechte der Benutzer einfach überblicken können)
  2. Nur umgesetzte Maßnahmen sind wirksam; Pläne schützen nicht, deshalb einfach anfangen. Die ISO 27001 ist ein super einfacher Einstieg (TISAX = super Checkliste).
  3. Wo möglich, Vorgaben machen. Die Umsetzung von Anforderungen in Vorgaben stellt viele Unternehmen vor Probleme.
  4. Den Menschen nicht vergessen; Ziel > Bewusstsein > Wissen; Privacy by Design ist besser.

Apotheken – Impfstoff-Versorgung

By | Allgemein, Startseite

Den Apotheken kommt bei der Impfstoffversorgung über die Hausärzte eine zentrale Bedeutung zu. Die Vorgaben bezüglich der Qualifikation der MitarbeiterInnen, Umgang mit den Impfstoffen und Dokumentation sind streng.

Generell gilt:

Die Hausärzte werden über die Apotheken mit Impfstoffen versorgt.

In der ersten Phase wird nur der Impfstoff von Biontech/Pfizer über die Hausärzte geimpft.

Nur PTA dürfen den Impfstoff handhaben.

Das führt in der Apotheke zu folgenden Aufgaben:

  • Prüfung der Umsetzung der impfstoffbezogenen Vorgaben.
  • Besprechung der Vorgehensweise mit den Betroffenen und Verantwortlichen.
  • Umsetzen der notwendigen Maßnahmen (Umgang und Dokumentation).
  • Schulung aller Mitarbeiter
  •     Überprüfung und Korrektur

Dokumentation

  • Ergänzen in Funktionsmatrix
  • Dokumentation der Schulung über Umgang mit Impfstoff
  • Anpassen der Vakzin-Abläufe
  • Führen der Aufzeichnungen (Temperatur, Annahmeprotokoll, …)

Das Ergänzungsmodul steht zur Verfügung. (für Verbundsmitglieder kostenlos)

Wir haben die Dokumentation so aufgebaut, dass der Ablauf bei „neu hinzukommenden“ Vakzinen nur ergänzt werden muss. Es sind keine neuen Dokumentationen notwendig.

Microsoft TEAMS – Verunsicherung

By | Allgemein, Startseite

Der Landesdatenschutzbeauftragte von Hessen hat am 31.03.2021 mitgeteilt, dass am 31.07.2021 die Duldung für Nutzung von Video-Konferenz-Systemen in Schulen abläuft. Link

Das hat auch bei Teilen von Unternehmen zu Verunsicherungen geführt. Im Folgenden hier eine Einordnung aus unserer Sicht.

Selbstverständlich kann diese Entscheidung auch Auswirkungen auf Unternehmen haben. Aber, es gibt keine bundeseinheitliche Sichtweise des Themas. Das wird schon aus der gegenteiligen Position in Rheinland-Pfalz sichtbar. Dort wurde die Duldung bis 2022 verlängert. Link

Interessant ist auch die Stellungnahme von Microsoft Link. In dem Beitrag hebt Microsoft stark auf dem Nutzen von MS TEAMS für die Organisation ab.

Insgesamt ist die Situation komplexer. Es geht eigentlich gar nicht um die Videokonferenzen, sondern um Microsoft 365.

Die Ausgangslage ist für die meisten Unternehmen, dass man an Microsoft 365 nicht mehr vorbeikommt.

  • Kleinstunternehmen nutzen häufig, schon aus Kosten- und Aufwandsgründen, die Cloud-Lösungen.
  • Kleinere Unternehmen haben oft Dienstleister, bei denen sie gehostet sind und von denen sie betreut werden. Auch dort ist meist MS im Einsatz.
  • Mittlere Unternehmen mit eigener IT-Abteilung haben noch ihre eigenen Server, doch die Grenzen verschwimmen. Die Zusammenarbeit mit Partnern (Kunden und Dienstleister) wird immer enger.

Generell ist eine effiziente Nutzung von Web-Shops und Homeoffice ohne Microsoft selten möglich.

Von Seiten des Datenschutzes und auch aus Sicht der Informationssicherheit muss man sich schon genau überlegen, wo man welche Daten wie speichert.

Zur Nutzung von Microsoft 365 gibt es als Einstieg gute Hilfestellungen, u.a. auch vom L-DSB in Hessen. Link

Sie als Verantwortlicher sind verpflichtet, dass Betroffenen-Daten in die USA abfließen. Die Deutschland-Cloud reicht nicht aus, da ein Zugriff durch staatlich Stellen in den USA immer noch möglich ist.

Fazit

Video-Konferenzen: Die Teilnehmer müssen sich der DSGVO-Problematik bewusst sein und freiwillig teilnehmen. Ein Ansatz kann die entsprechende Information in der Signatur der Einladung sein.

Microsoft 365: Das Thema bleibt schwierig. Wichtig ist die bewusste Entscheidung unter Berücksichtigung von Nutzen und Gefahr.

Datenlücke – Microsoft Exchange Server

By | Allgemein, Startseite

Anfang März wurde eine Lücke im E-Mail-Server von Microsoft bekannt. Hier wurde durch die Kombination von verschiedenen schon sehr lange bestehenden Lücken in die Server eingedrungen.

Viele tausend deutsche Server sind betroffen.

Fragen Sie bei Ihrem IT-Leiter bzw. bei Ihrem IT-Dienstleister nach.

Lassen Sie sich den Status bestätigen und dokumentieren Sie das Ergebnis.

Wichtig für Sie ist, wenn personenbezogene Daten betroffen sind, ist ein DATA-BREACH zu melden. Der DATA-BREACH ist innerhalb von 72 Stunden nach Bekanntwerden zu melden.

Link zum BSI

Sollten Sie von uns im Datenschutz betreut werden, beachten Sie unsere Informationen.

Es gibt bei den verschiedenen Landes-Datenschutzbeauftragten unterschiedliche Auffassungen zum Umgang mit dieser Art von Angriffen.

Gemeinsam ist: Wenn Betroffenendaten abgeflossen sind > Meldung

Variante: Verschiedene L-DSB fordern eine Meldung schon beim Eindringen in die Server.

Wir stoßen immer noch auf Unternehmen, die jetzt erst von den Dienstleistern über die Kontaminierung der Systeme informiert werden.

Fazit

Achtung, Thema prüfen.

Erste Verbundstreffen – digital

By | Allgemein, Startseite

Letzte Woche fanden die ersten Treffen der Verbünde aus dem Gesundheitswesen statt. Vielen Dank für die Teilnahme, alles hat gut geklappt.

Diesmal war das Hauptthema, dass wir den Austausch begonnen haben. Als Fazit kann ich sagen, wir sind sehr zufrieden.

Im Nachgang ist uns wichtig, dass wir Themen und Anregungen erhalten, die wir auf die Tagesordnung für das nächste Treffen setzen können. Hier wir es sicher fachspezifische Themen geben, aber auch z.B. Kurz-Inhalte zum Umgang mit der IT.

Hier noch ein interessanter Link für die Apotheken mit statistischen Zahlen 2020.

https://www.abda.de/aktuelles-und-presse/publikationen/detail/die-apotheke-zahlen-daten-fakten-2019/

BIM – Video-Kurzschulungen haben begonnen

By | Allgemein, Startseite

Prof. Gipperich von der Hochschule in Biberach stellt in einer Video-Reihe BIM und deren Einsatzmöglichkeiten vor.

Building Information Modeling, kurz BIM, als Synonym der Digitalisierung der Baubranche gewinnt im Geschäftsalltag zunehmende Bedeutung.

BIM entwickelt sich mehr und mehr weg von einem reinen Planungstool hin zu einem den gesamten Bauprozess umfassenden Werkzeug. Inzwischen erreicht die partnerschaftliche, digital gestützte und durchgängige Methode auch die bauausführenden kleinen und mittelständischen Unternehmen. In Ausschreibungen werden zunehmend BIM-Kenntnisse vorausgesetzt.

Mit dem neuartigen Konzept, dem Video-Podcast „BIMle“ haben Sie die Möglichkeit, umfangreiches Wissen zu BIM aufzubauen ganze ohne tagelange Schulungen und Reisen durch ganz Deutschland. Lernen Sie die Methode mit den 15-minütigen Videos von Grund auf kennen und sind Sie dabei zeitlich komplett flexibel.

Prof. Dr. Christof Gipperich und Florian Renz von der BIMzert GmbH erklären hier aus Ihren Erfahrungen die Grundsätze und Potentiale der Methode BIM.

In Beipiel-Videos bekommen Sie einen ersten Eindruck über die Vorteile der Wissensvermittlung über den mehr als 30 Videos umfassenden Video-Podcast.

Link zum Einführungsbeitrag

Link zum Beispiel-Vortrag

Gehen Sie auf die Homepage der BIMzert GmbH und informieren Sie sich weiter. https://www.bimzert.org/

 

Office 365 DSGVO-konform konfigurieren

By | Allgemein, Startseite

Diese Anleitung soll Ihnen die eine aktuelle Möglichkeit aufzeigen, wie mit Office 365 umgegangen werden kann. Ob diese Vorgehensweise bei uns Bestand haben wird, mal sehen.

Diese Maßnahmen dienen dem DSGVO konformen Einsatz von Office 365 und basieren auf einer in den Niederlanden durchgeführten DSFA (Datenschutzfolgeabschätzung). Werden diese Maßnahmen so umgesetzt, kann in den Niederlanden eine DSFA im eigenen Unternehmen zu diesem Thema vermieden werden.

Folgende Maßnahmen sollten ergriffen werden:

  1. Sicherstellen das Office 365 ab Version 1905 oder höher eingesetzt wird.
  2. Mittels „Optionale verbundene Erfahrungen” werden umfangreiche Daten an Microsoft übermittelt. Diese ermöglichen die Nutzung von Services wie z.B. Übersetzung, Designvorschläge usw.

Für eine DSGVO-konformen Einsatz müssen die „Optionale verbundene Erfahrungen“ ausgeschaltet werden, auch wenn damit die die Nutzung der zusätzlichen Services entfällt.


Menu: Datei/Optionen/Einstellungen für das Trust Center/ Datenschutzoptionen/Datenschutzeinstellungen

  1. Ebenfalls muss in den Einstellungen das Senden der Diagnosedaten abgestellt werden. Hierzu wird die Option „weder noch“ ausgewählt. Ein direkter Nachteil für den Nutzer entsteht hierdurch nicht. Sollte kein Zugriff auf diese Einstellung bestehen, wird diese durch den Administrator der Organisation verwaltet.
  2. Per Registry-Eintrag oder Gruppenrichtlinie muss das Telemetrie-Niveau von Microsoft 365 auf „weder noch“ gestellt werden. Ebenso sollte bei dieser Gelegenheit das Telemetrie-Niveau in Windows 10 Enterprise auf „Security“ gesetzt werden.

ACHTUNG: In Windows 10 Home und Professional ist es hingegen nicht möglich, die Übermittlung von Messdaten vollständig abzuschalten.

Der DSGVO konforme Einsatz von Windows 10 kann daher derzeit nur mit der Enterprise bzw. Education-Version erfolgen.

  1. Ebenfalls muss per Registry-Eintrag oder Gruppenrichtlinie der Versand von Daten im Rahmen des „Customer Experience Improvement Programms“ (CEIP) unterbunden werden.
  2. Bei Updates muss geprüft werden, ob die LinkedIn-Integration von Mitarbeiterkonten weiterhin deaktiviert ist. Heute ist bei der Standard-Einstellung in Deutschland die LinkedIn-Integration deaktiviert.
  3. Je nach Sensitivität der Daten sollte die Customer Lockbox* oder der Customer Key verwendet werden. Dies ist mit Zusatzkosten verbunden, da Microsoft für diese Services zusätzliche Gebühren erhebt. Die Alternative wäre, keine sensiblen Daten in Microsoft 365 zu verarbeiten.

* Die Customer Lockbox stellt sicher, dass Microsoft nicht auf Inhalte des Tenants zugreifen kann, um einen Dienstvorgang ohne ausdrückliche Genehmigung des Tenant-Admins/Kunden (bzw. des globalen Admins und Mitglieder der Rolle „Customer Lockbox Admin“) auszuführen. Dies wird durch einen Genehmigungsprozess auf Tenant/Kundenseite gesteuert. 

  1. Sollen die Tools „Activity Reports“, „Workplace Analytics“ oder „MyAnalytics“ eingesetzt werden, muss vor Aktivierung eine DSFA erstellt werden und der Betriebsrat entsprechend informiert werden. Darüber hinaus sollte von der Installation des „Insight“-Plugins abgesehen werden, da hiermit zusätzliche Informationen gesammelt werden.
  2. Durch Sensibilisierung der Mitarbeiter und durch interne Richtlinien sollte eine Verwendung von der mobilen Office-Apps sowie der Office-Online-Apps möglichst unterbunden werden. Grund: in der DSFA die durch die niederländische Aufsichtsbehörde beauftragt wurde, wurden mehrere Risiken in Bezug auf die Datenschutzrechte der Betroffenen identifiziert, die nur durch Microsoft abgestellt werden können.

Fazit

An der Nutzung von Office 365 werden die Wenigsten vorbeikommen. Die Vorteile einer Integration in die Micorsoft-Welt überwiegen meist.