IITR Datenschutz Blog
03
Mai

Datenschutz und Informationssicherheit: 1. Regensburger Cybersecurity-Kongress

IITR Information[IITR – 03.05.22] „Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).“ (Art. 5 Abs. 1 f DSGVO)

Datenschutz und Datensicherheit gehen Hand in Hand. So ist es auch konsequent, dass die EU-Datenschutzgrundverordnung in seinen Grundsätzen in Artikel 5 Schutzziele der Informationssicherheit aufgenommen hat. In Regensburg hat nun – u.a. organisiert vom IT-Sicherheitscluster – der 1. Regensburger Cybersecurity-Kongress stattgefunden, um insbesondere für mehr Sensibilität zu sorgen.

„Awareness schaffen!“

Wie der Datenschutz leidet die Informationssicherheit unter ähnlichen Problemen. Das Thema als solches ist für viele – Privatpersonen wie Unternehmer – nicht vollends greifbar und man beschäftigt sich oftmals erst dann damit, wenn es eigentlich schon zu spät ist.

Die Allianz führt in einer Top 10 der Geschäftsrisiken weltweit in 2022 Cyberangriffe mit 44 Prozent auf Platz 1. Die Gefahr ist weitaus realer, als es viele vermuten.

Das „Ich habe doch nichts zu verbergen!“ im Bereich des Datenschutzes ist das „Warum soll es denn genau mich treffen?“ in der Cybersecurity. – „Es wird früher oder später jeden treffen“ ist die einhellige Antwort darauf von Experten, auch in Regensburg. Einen 100-prozentigen Schutz könne es nicht geben. Die Frage sei nur, wie hart es einen treffen wird.

Wie schlimm es das eigene Unternehmen trifft, kann man glücklicherweise durch entsprechende Vorbereitung in gewissen Zügen beeinflussen:

  • Regelmäßige Patches: Patches ermöglichen nicht nur neue Funktionen, sondern füllen vor allem Lücken, die als Einfallstor für Cyberangriffe fungieren könnten.
  • Multi-Faktor-Authentifizierung: Der Einsatz eines zweiten Faktors bietet eine zusätzliche Sicherheitsmaßnahme zum Schutz von Benutzerkonten (weitere Informationen finden sich hier).
  • Netzwerksegmentierung: Durch eine Aufteilung der Netzwerkstruktur in verschiedene Netzwerke können Sie dafür sorgen, dass nur ein Netzwerk isoliert bei Schadenseintritt betroffen sein könnte.
  • Advanced Threat Protection: Durch zusätzliche Sicherheitsinfrastruktur wie beispielsweise „Sandboxes“ können Sie dafür sorgen, dass infizierte E-Mails rechtzeitig abgefangen werden.
  • Gesteigertes Sicherheitsbewusstsein: Keine IT-Sicherheitsstruktur ersetzt das Fehlerpotenzial, das vor dem Bildschirm sitzt. Ob bewusst oder unbewusst können durch Augenblickversagen bereits kleine Fehler einen großen Schaden anrichten. Zusätzliches Augenmerk auf dieses Thema (ob durch Schulung oder praktische Übungen) kann das Risiko eines schwerwiegenden Vorfalls erheblich mindern.
  • Backups: An Backups kommt heutzutage kein Unternehmen vorbei. Hierbei gilt es die sogenannte „3-2-1-Regel“ zu beachten: So sind von den zu schützenden Daten drei Kopien zu erstellen, die auf zwei verschiedenen Arten von Speichermedien gespeichert werden, wobei sich eine außerhalb der Unternehmensräumlichkeiten (bspw. in einem Schließfach) befindet.

(Schulungen zu verschiedenen Themen finden sich auch in unserem E-Learning.)

„Warum Notfallmanagement? – Haben Sie Ihre IT nicht im Griff?!“

Sollte es letztlich doch zu einem Vorfall kommen, so ist es durchaus hilfreich, diesen Notfall zumindest in Teilen bereits geübt und vorbereitet zu haben. Funktioniert mein Backup überhaupt? Wo soll ich überhaupt anfangen? Was sind eigentlich meine ersten Schritte? An wen kann ich mich wenden? Wer hilft mir weiter? Wie kommuniziere ich nach außen?

(Die weiteren Themen aus dem Datenschutz wie insbesondere die Meldepflicht bei Datenschutzverletzungen einmal außen vorgelassen.)

Primär gilt, in solchen Fällen Ruhe zu bewahren. Dafür sorgen kann und wird ein vorgeschriebener Prozess, an den man sich in einer solchen Situation halten kann.

Weitere Informationen und Hilfestellungen finden sich unter anderem beim Bundesamt für Sicherheit in der Informationstechnik (BSI) oder auch bei einem Landesamt (LSI). Und natürlich sollte auch der Datenschutzbeauftragte in solchen Fällen helfen.

„Amateure hacken Systeme, Profis hacken Menschen.“

(Bruce Schneier, Experte für Computersicherheit an der Harvard University)

Wenn man nun hört, dass über 90 Prozent der Cybervorfälle auf Phishing zurückzuführen sind, kann man nicht oft genug betonen, wie wichtig und zentral die Sensibilisierung der Beschäftigten und auch der Geschäftsführer und Unternehmer ist.

Einen bedeutenden Teil dazu können Veranstaltungen wie die in Regensburg beitragen. Nun gilt es, diese Erkenntnisse weiterzutragen in die Unternehmenswelt.

Autor: Michael Wehowsky

Michael Wehowsky

Über den Autor - Datenschutzbeauftragter Michael Wehowsky

Herr Michael Wehowsky ist zertifizierter Datenschutzbeauftragter (udis) und Certified Information Privacy Professional Europe (CIPP/E, iapp). In seiner Funktion als externer Datenschutzbeauftragter und Berater unterstützt er Unternehmen verschiedenster Ausrichtung und Größe im Datenschutz in deutscher, englischer und italienischer Sprache.

Beitrag teilen:

0 Kommentar zu diesem Beitrag:

Kommentar schreiben:

Ihre E-Mail-Adresse wird nicht veröffentlicht.

https://www.iitr.de/blog/wp-content/uploads/2020/10/chatbot-load.png https://www.iitr.de/blog/wp-content/uploads/2020/10/loading.gif