Ganzheitliche Risikobetrachtung
IT-Governance und Risikomanagement als Managementaufgabe
Risiken und Maßnahmen festlegen
Sind kritische Anwendungen bekannt?
Sind Risiken wirklich identifiziert?
Wie tragbar ist das Restrisiko?
Ist das Unternehmen nach einer RZ-Katastrophe noch arbeitsfähig?
Welche Funktionen sind bei Netzausfall beeinträchtigt?
Wirksamkeit und Aktualität prüfen
Sind die Sicherheitsmaßnahmen noch aktuell?
Sind Mitarbeiter und Führungskräfte ausreichend sensibiliert und trainiert?
Risikokontrolle
gemäß Anforderungen des KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmen)
IT-Sicherheitsgesetz (7 Stichpunkte)
Sicherheitsmaßnahmen zusammengefasst:
Softwareaktualisierung:
Regekmäßige Updates und Sicherheits-Patches
Werbedienstleister:
Vertragliche Verpflichtung zu Schutzmaßnahmen
Verschlüsselung und Authentifzierung:
Anwendung von Verschlüsselungsverfahren und Authentifzierungsverfahren bei personalisierten Telemedien
Schutz vor unerlaubtem Zugriff:
Sicherstellen, das keine unerlaubten Zugriffe auf technische Einrichtungen der Webseiten möglich sind
Datenschutz und Störungssicherheit:
Schutz personenbezogener Daten und Sicherung gegen Störungen
Verhältnismäßigkeit:
Maßnahmen müssen technisch möglich und wirtschaftlich zumutbar sein
Unklarheit der Maßnahmen:
Gesetz lässt offen, welche konkreten technischen und organisatorischen Maßnahmen zu ergreifen sind
“Entpersonalisierung” von Daten bei Big-Data
Privacy Enhancing Technologies (PET)
zusammenhängendes System von ICT-Maßnahmen zum Schutz der Privatsphäre
Ziel: Reduzierung oder Eliminerung von personenbezogenen Daten ohne Verlust der Funktionalität des Systems
Beispiele:
Verschlüsselung
sichere oder anonyme Kommunikationsprotokolle
attributbasierte Berechtigungsnachweise
private Recherchemöglichkeiten
Reduzierung von IKT-Risiken:
Konzept von “Privacy by Design” bzw. “Data Protection by Design”
Entwicklungsansatz:
Für datenschutzfreundliche Systeme und Dienste
Berücksichtigung:
Technische Lösungen und organisatorische Umsetzungsmöglichkeiten/ Geschäftsmodelle
Herausforderung:
Unklarheit bei den konkreten Implementierungsanforderungen trotz Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO)
IT-Sicherheitsstandards
Methoden und Anforderungen an ein leistungsfähiges Managementsystem für IT-Sicherheit
Sicherheitsmaßnahmen und Checklisten für deren Implementierung
Nutzeffekte:
Kostensenkung durch Nutzung vorhandener und praxiserporbter Vorgehensmodelle
Einführung eines angemessenen Sicherheitsnievaus durch Standards
Wettbewerbsvorteile:
für die Vergabeverfahren werden zunehmend auf IT-Sicherheitsstandards basierende Zertifikate als Voraussetzung für die Teilnahme gefordert
Bestimmung von Informationswerten:
Vertraulichkeit
Öffentlich:
Info für internen Gebrauch
möglicher finanzieller Verlust von 0-5.000 EUR
Verstöße können zu Geldstrafen führen
Externer Gebrauch:
Info für internen Gebrauch und Kunden/ Partner
finanzielle Verluste variabel
Verstöße können Geldstrafen nach sich ziehen
Interner Gebrauch:
Nur für internen Gebrauch
höhere finanzielle Verluste möglich
Vertrauensbruch kann zu Persönenschäden führen
Vertraulich:
Hocher finanzieller Verlust
Verstöße können zu Strafverfolgung und schweren Verletzungen/Lebensverlust führen
Verfügbarkeit
Basis:
Geringer finanzieller Verlust
längere Ausfallzeiten akzeptabel
Normal:
Mittlerer finanzieller Verlust
Ausfall kann Imageschaden verursachen
Hoch:
Hoher finanzieller Verlust
Ausfall kann Imageschaden oder Kundenverlust bedeuten
Sehr hoch:
Sehr hoher finanzieller Verlust
Ausfall kann ernsthaften Imageschaden oder Kundenverlust bedeuten
Außergewöhnlich:
Spezielle Vereinbarungen mit einzelnen Kunden
Integrität
Keine:
Verstöße können zu Personenschäden führen
Verstöße können zu Haftstrafe führen und Personenschäden verursachen
Zuletzt geändertvor 6 Monaten
