antenope
Goto Top

EU-DSVO, aktuelle TOMs, IT-Grundsicherheit - Wie bildet ihr euch weiter?

Hallo zusammen,

ich habe heute versucht mich in den Themen aufzufrischen, mit mäßigem Erfolg. Ich verstehe zwar die Anforderungen und deren Notwendigkeit, finde aber keine konkreten (technischen) Maßnahmen zur angemessenen Umsetzung. Im besten Fall kann man organisatorische Maßnahmen ableiten, aber ebenfalls ohne Konkrete Vorgabe.

EU-DSGVO
  • ist eine Rechtsnorm, Rechte und Pflichten werden beschrieben
  • Konkrete Maßnahmen sucht man hier natürlich vergebens.

TOMs aus dem BDSG
  • Hier werden zumindest Oberbegriffe genannt wie z.B. Zugangskontrolle, Zugriffskontrolle, Trennbarkeit usw.
  • Konkrete (aktuelle) technische Maßnahmen gibt es hier ebenfalls keine

BSI und deren Standards
  • beim BSI finden sich viele Dokumente zum Thema IT-Sicherheit und Standards
  • Der Schwerpunkt liegt hierbei auf Organisation und Prozesse
  • Konkrete technische Vorgaben zur Umsetzung der Technik sucht man ebenfalls vergebens


Und nun meine eigentliche Frage, wie bildet Ihr euch zu diesen Themen weiter? Woher bezieht Ihr angemessene konkrete technische Maßnahmen? Leitet Ihr euch diese selber her oder ...?

Bin echt auf eure Antworten gespannt.

Content-Key: 356222

Url: https://administrator.de/contentid/356222

Printed on: April 18, 2024 at 01:04 o'clock

Member: brammer
brammer Nov 27, 2017 at 14:17:23 (UTC)
Goto Top
Hallo,

Im besten Fall kann man organisatorische Maßnahmen ableiten
nun mehr wirst du ohne eingehende technische Beratung auch kaum bekommen können... die Maßnahmen müssen ja auf eure Situation und euren Bedarf angepasst werden.

Je nachdem wie groß das Unternehmen ist muss ja sowieso ein Datenschutzbeauftragter gestellt werden. Dieser sollte sich dann aktiv weiterbilden/qualifizieren... wie er das wiederum macht ob er die Grundschutzkataloge des BSI auswendig lernt oder wie auch immer ist ja auch jedem selbst überlassen.....

brammer
Member: anteNope
anteNope Nov 27, 2017 updated at 14:31:41 (UTC)
Goto Top
.. die Maßnahmen müssen ja auf eure Situation und euren Bedarf angepasst werden.
Genau das ist auch meine Auffassung. Daher hatte ich eine Gliederung nach Größe und Art der Daten beim BSI erwartet ...

Je nachdem wie groß das Unternehmen ist muss ja sowieso ein Datenschutzbeauftragter gestellt werden.
Gehen wir mal von kleinen und kleinsten Unternehmen aus. 1-2 Personen an Rechnern, lediglich Kontakt- / Adressdaten von Kunden.
Ein Datenschutzbeauftragter (bei >9 Personen die mit den Daten arbeiten) ist meist nicht vorhanden oder erforderlich.

wie er das wiederum macht ob er die Grundschutzkataloge des BSI auswendig lernt oder wie auch immer ist ja auch jedem selbst überlassen.....
Ja und genau DAS ist mein Problem, den Datenschutzbeauftragten nach adäquaten technischen Maßnahmen zu fragen, funktioniert meiner Erfahrung nach nicht.

Deswegen möchte ich mich diesbezüglich fortbilden, so dass ich selbst definieren kann welche Maßnahmen zweckgerecht sind. Nur finde ich dazu irgendwie nichts. Prozess- und Ablaufdiagramme zeichnen die das EU-DSGVO abbilden ist ja jetzt kein Hexenwerk.
Member: Alchimedes
Alchimedes Nov 27, 2017 at 14:51:29 (UTC)
Goto Top
Hallo ,

Ein Datenschutzbeauftragter (bei >9 Personen die mit den Daten arbeiten) ist meist nicht vorhanden oder erforderlich.

Das aendert sich ja jetzt drastisch, dann muesst Ihr genau belegen koennen was mit den Kundendaten passiert, wie Sie verabeitet, gespeichert und weitergegeben werden und den ganzen Salmon.

Ich hatte den Auftrag unser Unternehmen an die ISO 27001 heran zufuehren nutzte dafuer das Tool Verinice, und das war ein Mordsberg Arbeit aber eine gute Schule fuer mich.
Am Schluss haben wir das an eine Firma weiter gegeben muessen, weil ich das haette garnicht tun duerfen.
Jetzt haben wir IT-Sicherheitsbeauftragten , einen Datenschutzbeauftragten im Haus sowie einen Externen bei jetzt noch knapp 60 people

Gruss
Member: anteNope
anteNope Nov 27, 2017 at 15:02:48 (UTC)
Goto Top
Woops, das habe ich etwas falsch formuliert. Erst ab >9 Personen muss ein Datenschutzbeauftragter vorhanden sein.
Member: Alchimedes
Alchimedes Nov 27, 2017 at 15:06:56 (UTC)
Goto Top
ah ok

Gruss
Member: maretz
maretz Nov 27, 2017 at 15:11:46 (UTC)
Goto Top
Das kommt ganz auf deine Umgebung an. Ich halte es ein wenig wie mit ITIL -> die ganzen Standards sind gut und schön, ich nehme das was bei mir passt... Ist ganz einfach: In meinem Bereich ist die Zugangskontrolle automatisch nur mit ner Karte möglich da die auch andere Zugänge regelt. Somit ist natürlich das Umsetzen da recht einfach. Andersrum wirst du bei mir in div. Serverräumen Dinge finden die ganz sicher lt. Standard da nicht reingehören (von Stoffen über Getränke, TVs bis zur Feueraxt und Sauerstoffflaschen). Es hilft mir natürlich viel wenn im Standard drin steht das sowas in diese Räume nicht gehört - leider hat der Standard vergessen mir nen Schweissgerät zu geben um da noch nen paar Räume anzuflanschen.

Daher würde ich immer nur gucken das man die grundlegenden Anforderungen kennt - und dann so umsetzt das es SINN macht. Weiteres Beispiel: Was bringt mir eine Racktür mit Schloss wenn man um ans Rack zu kommen eh schon ne 5 cm dicke Stahltür rausgetreten hat? Da hält einen das Blech eh nicht mehr...
Member: anteNope
anteNope Nov 27, 2017 updated at 15:19:44 (UTC)
Goto Top
Dennoch wäre es interessant zu wissen welche konkreten technischen Maßnahmen ergriffen werden sollten. Nur schweigen sich dazu immer alle aus ...

z.B:
  • Wann wird eine dedizierte Firewall gefordert
  • Wann wird die Verschlüsselung von Festplatten gefordert
  • Wann sollte der Virenscanner zentral verwaltet sein (nicht nur lokal)
  • Wann ...

Das kommt ganz auf deine Umgebung an.
Klar, aber wenn ich mir jetzt kleine Betriebe anschaue, die haben keinen Server-Raum, die haben kein Server-Schrank. Da steht der Server im Büro, Keller usw. Zielt das BSI und die EU DSVO nur auf große Betriebe ab oder wie?

Einfach eine Art Checkliste für die wichtigsten Komponenten, kategorisiert in Unternehmensgröße und der verarbeiteten Daten. Es wundert mich, dass das BSI diese Infos nicht differenziert zur Verfügung stellt. Das wäre echt praktisch ...

Aber mal BackToTopic: Wo zertifiziert Ihr euch? Tüv? Bitkom? ...
Member: brammer
brammer Nov 27, 2017 at 15:20:51 (UTC)
Goto Top
Hallo,

mache das mal nicht nur von der Größe des Betriebes abhängig....

ein Malerbetrieb mit 15 Leuten hat da andere Anforderungen als ein Steuerberater mit 15 Leuten

daher ist ja auch nur schwer definierbar wer was wann braucht...

brammer
Member: maretz
maretz Nov 27, 2017 at 16:35:11 (UTC)
Goto Top
Moin,

wie stellst du dir das vor? Das eine ist die Art der Arbeit - und das andere ist der Ort. Nehmen wir mal an du hast hier irgendwo in Deutschland dein Netzwerk stehen - 5-15 Benutzer. Nix wirklich wildes. Jetzt nehmen wir mal an dein Netzwerk steht nicht in Deutschland - sondern du hast nen Schiff, ne Bohrinsel oder bist für die ISS tätig. Immer noch hast du nur 10-15 Leute (je nachdem was für nen Schiff natürlich). Aber ganz plötzlich hast du andere Sorgen - nämlich das du begrenzten Platz hast, das die Stromversorgung eben nicht immer so ganz stabil ist und das ein "Vor-Ort-Einsatz" einfach nicht immer möglich ist. Also wirst du auch ganz andere Anforderungen haben.

Dann hängt das auch von dem Faktor ab was du genau brauchst. Auch hier: Wenn in nem Hotel die IT mal für ne Stunde ausfällt ist das nicht weiter wild - im dümmsten Fall muss halt jemand die Tür mitm Schlüssel aufmachen wenn die Gäste kommen und das Internet geht nicht. Blöd gelaufen, aber kann man problemlos handhaben. Fällt aber in Frankfurt/München am Flughafen die IT für ne Stunde aus hast du mal richtig Spass. Da würdest du dich dann freuen wenn du nur nen paar Leute am Tresen hast die das fehlende Internet bemängeln!

Von daher kannst du eben keine genauen Vorgaben machen. Klar kannst du dich mal Zertifizieren lassen - das Ding ist so lange gültig bis der Prüfer wieder draussen vor der Tür steht. Und auch da muss man eben abwägen was sich lohnt. Es läuft halt wie immer drauf raus das es darauf ankommt.