IT-Security & der neue europäische Datenschutz EU DS-GVO

DSGVO Datenschutz Audit

 

 

Im Zuge der Rechtsverbindlichkeit der DS-GVO ab 25. Mai 2018 übernehmen wir als externe Datenschutzbeauftragte alle relevanten Prozesse in Ihrem Unternehmen auf die Erfüllung der Anforderungen anzupassen. Diese komplexe Aufgabe kann zwar von einem Angestellten übernommen werden, dieser muss allerdings dafür entsprechend aus- und fortgebildet sein und für die Wahrnehmung seiner Aufgaben als Datenschutzbeauftragter freigestellt werden. Wir empfehlen an der Stelle die Bestellung eines externen Datenschutzbeauftragten (eDSB) in Form eines juristisch und technisch versierten mit jahrelangen Erfahrung geformten Experten. Dieser steht der Geschäftsführung, als auch den Mitarbeitern für allgemeine Fragen des Datenschutzes zur Verfügung, sensibilisiert die Mitarbeiter, kontrolliert in regelmäßigen Zyklen die technischen und organisatorischen Maßnahmen nach Art. 24,25 DSGVO in ihrer Umsetzung durch den Verantwortlichen in Ihrem Unternehmen.

Ab 25. Mai 2018 gilt auch in Deutschland die neue Datenschutzgrundverordnung (DSGVO) der Europäischen Union (EU), welche bereits am 24. April 2016 verabschiede wurde. Durch das neue EU-Recht werden unmittelbar das bisherige Bundesdatenschutzgesetz (BDSG ab 25. Mai 2018 “BDSG-neu”) und die EU-Datenschutzrichtlinie (Richtlinie 95/46/EG), auf der das aktuelle BDSG basiert, abgelöst. Zeitgleich tritt ein dazu gehöriges deutsches Ergänzungsgesetz (Datenschutz Anpassungs und -Umsetzungsgesetz – DSAnpUG) in Kraft, das die DSGVO zum Teil modifiziert und in weiten Teilen detailiert konkretisiert. Die DSGVO wird außerdem ergänzt durch die noch in Abstimmung befindliche EU ePrivacy-Verordnung, die ebenfalls am 25. Mai 2018 in Kraft treten soll und Internet- und Telemedien-/Telekommunikationsdienste betrifft.

Im Details werden in der neuen Verordnung vor allem die Rechtsgrundlagen der Datenverarbeitung, die Rechte der Betroffenen und die Pflichten der Verantwortlichen geregelt. Die Rechte der Nutzer werden durch neue Transparenz- und Informationspflichten der datenverarbeitenden Unternehmen gestärkt. Betroffene sollen leichter Zugang zu ihren Daten und der Information über deren Nutzung haben. Außerdem wird das bislang nur gerichtlich konstruierte „Recht auf Vergessenwerden“, also der Anspruch auf Löschung personenbezogener Daten, nun in Gesetzesform gegossen.
Neben bereits bekannten Pflichten stellt die DSGVO auch weitergehende Anforderungen an den Datenschutz in Unternehmen. Neu ist beispielsweise die Pflicht, elektronische Geräte und Anwendungen datenschutzfreundlich voreinzustellen. Ebenfalls neu eingeführt wird die Pflicht zur Datenschutz-Folgenabschätzung bei besonderen Risiken für die erhobenen Daten, etwa durch neue Technologien. Außerdem gilt die DSGVO auch für Unternehmen, die ihren Sitz außerhalb der EU haben, wenn sich ihre Angebote sich aber an EU-Bürger wenden. Dies hat weitreichende Konsequenzen etwa für Unternehmen wie Facebook und Google mit Sitz in den USA. Aktuell hat z.B. Facebook seine Datenschutzbestimmungen seit 18. April 2018 in einer Dialogabfrage gemäß der DS-GVO angepasst. Der Bußgeldrahmen bei Verstößen wird erheblich erhöht und kann bis zu 4 Prozent des weltweiten Jahresumsatzes, bzw. 20Mio € eines Unternehmens betragen, je nachdem welcher Betrag höher ist.

Schutzbedarfsanalysen

 

Wie gut sind SIE und Ihre Firmengeheimnisse wirklich geschützt?

Ihre IT-Verfügbarkeit gesichert mit dem ersten Schritt der Schutzbedarfanalyse. Sie kennen sicher alle Anwendungen die erforderlich sind, um ihre Geschäftsprozesse am Laufen zu halten. Doch wissen Sie auch, welche Systeme dafür notwendig sind? Können Sie benennen wie lange es dauern würde, die Systeme im Notfall wiederherzustellen? Und deckt sich dies mit den Anforderungen bezüglich Ihrer Geschäftsprozesse? – Story vom Pferd. Jedes Unternehmen ist heute in irgendeiner Weise von IT abhängig. Schleichend haben Datenbanken und Mail-Systeme den Platz von Aktenordnern und Briefpost eingenommen. Die meisten Unternehmer können ohne zu zögern die Anwendungen nennen, welche zum Geschäftsbetrieb notwendig sind. Meist handelt es sich um CRM-, ERP-, Mail- oder spezielle Branchenlösungen. Bereits nicht mehr ganz so viele Unternehmer können sagen, wie lange diese Anwendungen ausfallen dürfen. Zudem ist die tolerierbare Ausfallzeit je System, Anwendung und Benutzer stark unterschiedlich. Benötigt beispielsweise der Geschäftsführer den Mail-Server dringend und kann auf andere Anwendungen verzichten, sieht der Produktionsleiter dies schon wieder ganz anders …

Die wenigsten Unternehmer sind IT-Spezialisten. Die Frage, wie lange denn der Mail Server im Falle eines Hardware-Defekts tatsächlich ausfallen würde und ob diese Zeit tolerierbar ist, wurde in vielen Unternehmen noch nie gestellt. Auch welche Systeme zur Mail-Kommunikation notwendig sind – beispielsweise die Firewall und der Internet-Anschluss – ist in der Regel unklar. Tritt ein Problem auf, ist der Unmut groß. Der Administrator gibt unter Druck sein Möglichstes; dennoch schimpfen Unternehmensleitung und Belegschaft, auf die Problemlösung wartend, auf die EDV. Wir haben auf Basis unserer langjährigen Erfahrung ein Konzept entwickelt, bei dem wir die Erwartungen aller Entscheider mit den tatsächlichen Gegebenheiten der IT-Infrastruktur gegenüberstellen. Als Spezialisten für IT-Sicherheit erarbeiten wir zudem gemeinsam mit Ihnen Lösungsmöglichkeiten, um bestehende Lücken zu schließen. Oft bedeutet dies keinen großen Aufwand, sondern nur geringe Umstellungen bei organisatorischen Prozessen.

 

 

Penetrationstest

 

Im Internet lauern viele Bedrohungen. Die Palette reicht von herkömmlichen Phishing Mails bis hin zum kommerziell motivierten Hacker-Angriff auf Ihre Infrastruktur. Mit dem Pixelpentagon Penetrationstest versetzen wir uns in die Lage eines Angreifers und prüfen Ihre Systeme auf Schwachstellen. Mit dem entscheidenden Unterschied, dass wir ‘die Guten’ sind. So bleiben Ihre Daten sicher und werden absolut gesichert, wenn wir aufgedeckte Sicherheitslücken proaktiv mit Ihnen besprechen und – auf Wunsch- beseitigen. Wir unterscheiden dabei zwischen extern und intern. Beim ‘externen Penetrationstest‘ prüfen wir Ihre ins Internet exponierten Systeme auf kritische Sicherheitslücken. Beim ‘internen Penetrationstest‘ prüfen wir vor Ort Ihre interne Infrastruktur. Nachfolgend finden Sie die wichtigsten der von uns angebotenen Leistungen. Den genauen Leistungsumfang definieren wir gemeinsam in der Vorbereitungsphase im Rahmen eines persönlichen Gespräches.

Analytische Vorgehensweise:

  • Analyse der grundlegenden Netzwerkstruktur
  • Prüfen aller ermittelten Serversysteme (Windows, Linux, Unix etc.)
  • Prüfen aller ermittelten Serverdienste (Web, Mail, Datenbank, Directory etc.)
  • Prüfen aller ermittelten Netzwerksysteme (Switche, Router, Firewalls, WAFs etc.)
  • Prüfen aller ermittelten Netzwerkdienste (SNMP, SSH, DNS, DHCP etc.)
  • Prüfen von drahtlosen Kommunikationswegen (WLAN, DECT, Bluetooth etc.)
  • Social-Engineering Attacken (Telefonisch oder per E-Mail)
  • Prüfen der physikalischen Sicherheit (Patchschränke, Zugangskontrollen etc.)
  • Schwachstellenanalyse und Bewertung
  • Ausnutzen von Schwachstellen
  • Erstellen eines zusammenfassenden Berichts
  • Besprechung des Berichts und der daraus resultierenden Maßnahmen
  • Gemeinsames definieren von Routineaufgaben in der IT-Sicherheit
  • Hilfestellung beim schliessen von Schwachstellen
  • Re-Tests, prüfen ob alle Schwachstellen ordnungsgemäß geschlossen wurden

 

TÜV Zertifizierung

Das i-Tüpfelchen und grönende Abschluss ist die abschließende Zertifizierung durch den TÜV. Der ‘TÜV-Stempel’ welcher seit Jahren für den KFZ-Bereich eine gewissenhaft sichere Institution ist, gilt nur mehr für die Sicherheit Ihrer Firmen-IT.

Zweifelsohne ist eine gut funktionierende Geschäftsbeziehung immer stärker mit der Sicherheit von Daten und das damit verbundene entgegen gebrachte Vertrauen in die IT-Systeme verbunden. Nicht erst seit den aktuellen Enthüllungen über das Ausmaß und die Tragweite von Datenmissbrauch  und Informationslücken ist die Sicherheit von IT-Systemen in der Geschäftswelt stark in den Vordergrund gerückt. Die Fragen, die sich Ihre Kunden und Ihre Geschäftspartner stellen, sind dabei immer dieselben: Sind meine sensiblen in Auftrag gegebene Daten denn wirklich sicher? Kann ich darauf vertrauen, dass meine Produkt- und Preisinformationen nicht unberechtigt an Dritte gelangen werden? Nimmt das Unternehmen die Sicherheit unserer mühsam erarbeiteten wertvollen Informationen wirklich ernst? Ein TÜV Audit gibt Ihnen Antworten auf diese Fragen. Und stellt – bei erfolgreicher Durchführung – durch das Prüfsiegel ein vertrautes Sicherheitssymbol gegenüber Ihren Geschäftspartnern dar.

freiwilligerTUEVDas TÜV IT-Zertifikat in langjähriger Zusammenarbeit unseres Partners Bitsteps ist Ihre Antwort auf diese Fragen. Das bundesweit einheitliche und professionelle IT-Zertifikat zeigt nachdrücklich, dass Ihre Computer-Systeme und Ihr Sicherheits-Management hohen Maßstäben genügen und Sie damit in Ihrer Branche Zeichen für den verantwortungsvollen Umgang mit den sensiblen Daten und Informationen von Kunden, Partnern und Mitarbeitern setzen.

 

 

 

KUNDENMEINUNGEN

Hätten wir früher die Server scannen lassen, wäre uns eine lange Downtime erspart geblieben.

Der höheren Stellenwert pro IT-Sicherheit kommt mit der Angst und dem ersten Datenverlust.

Gerade noch rechtzeitig kam die interne Revision unter der erfolgreichen Führung von Pixelpentagon.

Über die eigene IT-Sicherheit denken viele Mittelständler und Klein-Firmen immer erst dann besonders scharf nach, wenn sie Opfer einer Hacker-Attacke, Phishing oder gar physikalischem Datenträgerdiebstahl wurden oder ein oder gleich mehrere Viren essentiell wichtige Daten zerstört hat. Computerviren und DOS (Denial-of-Service)-Attacken, denen in den letzten Jahren renommierte Websites mit empfindlich sensiblen Kunden- und USP-Daten zum Opfer fielen und in Zukunft auch weiter fallen werden, sorgen auch zukünftig für reichlich Schlagzeilen. Kaum bekannt werden dagegen Fälle von zerstörerischen Hacker-Angriffen, Datenklau oder Industriespionage. Unternehmen, die Einbrüche und Störfälle im eigenen Haus entdecken, hängen dies selten an die große Glocke sondern betreiben Schadensbegrenzung. Meistens leider zu spät und am falschen Ende gespart.  Seien Sie mindestens einen Schritt schneller, sichern Sie Ihre wertvoll aufgebaute Existenz sowie die erschaffenen Arbeitsplätze und lassen Sie von uns Security Intensivcheck machen.