Wir als IT-Managementberatung, haben uns auf Themen rund um Governance und Compliance mit dem Fokus auf Informationssicherheit und Datenschutz, IT-Revision und Informationsmanagement fokussiert. Daneben führen wir Beratungsprojekte bei Konzernen und mittelständischen Unternehmen zur Auswahl, Entwicklung und Einführung von IT-Lösungen und Prozessen durch.

Unsere Kunden schätzen unsere bedarfsgerechte Beratung, praxisorientierte Lösungsfindung sowie die Besetzung der Projekte mit erfahrenen Beraterinnen und Beratern. Wir haben seit 2008 bereits mehr als 100 Projekte bei mitteständischen, Großunternehmen und Konzernen, auch im internationalen Umfeld, durchgeführt.

Ihre Aufgaben

Ihre Hauptaufgabe ist die Prüfung der Ordnungsmäßigkeit von IT-Systemen und Verfahren im Rahmen von Audits sowie die IT-Management Beratung von mittleren und großen Unternehmen. Weiterhin beraten Sie unsere Kunden im Bereich Informationstechnologie und Geschäftsprozesse hinsichtlich der Ausrichtung nach den Geschäftszielen, betriebswirtschaftlicher Effizienz und Qualität, möglicher Risiken sowie der Einhaltung firmeninterner und externer Vorgaben.

Ihre Qualifikation

Sie verfügen über ein abgeschlossenes Hochschulstudium und mindestens drei bis fünf Jahre Erfahrung in der Durchführung von IT-Prüfungen und / oder der IT-Management Beratung. Sie kennen die üblichen Geschäfts-, Unterstützungs- und IT-Service-Prozesse in Unternehmen und deren betriebswirtschaftliche Zusammenhänge.

Sie verfügen über eine oder mehrere Kenntnisse und entsprechende Projekterfahrungen in den nachfolgenden Bereichen:

  • interne Revision und Ordnungsmäßigkeitsprüfungen von IT-gestützten Prozessen und IT-Systemen
  • Anwendung von prozess- und kontrollbasierten Frameworks wie COBiT und ITIL
  • Erfahrung in der Prüfung der Ordnungsmäßigkeit von SAP Systemen
  • Erfahrung in der Erstellung / Qualitätssicherung von Berechtigungskonzepten
  • Anforderungen an die IT-Sicherheit / Datenschutz (BDSG und DS-GVO)
  • Revisionssichere Archivierung von Daten und Dokumenten
  • Business Analyse / Anforderungsmanagement

Im Idealfall können Sie Ihre Fertigkeiten durch fachbezogene Zertifizierungen nachweisen:

  • vorzugsweise Certified Information Systems Auditor (CISA)
  • Certified Information Systems Security Professional (CISSP)
  • Certified Information Systems Manager (CISM) oder vergleichbare Zertifizierung
  • Project Management Professional (PMP), PRINCE 2 oder vergleichbare Zertifizierung
  • ISO27001 / BSI-Grundschutz Auditor
  • ITIL V2/3 Zertifizierung

Unser Angebot

Wir bieten Ihnen:

  • ein Arbeitsumfeld, welches Sie aktiv mitgestalten und entwickeln können,
  • ein abwechslungsreiches Arbeitsumfeld mit hohem Verantwortungsgrad, guten Entwicklungsperspektiven und angemessener, erfolgsorientierter Entlohnung,
  • eine strukturierte, unseren gemeinsamen Zielen entsprechende, nachhaltige Aus- und Weiterbildung,
  • eine ausgewogene fachliche Ausrichtung entsprechend Ihren Vorstellungen,
  • attraktive Zusatzleistungen wie z. B. Firmenwagen, Sonderurlaub für Fortbildungen und unterschiedliche Erfolgsprämien.

Eine Arbeit im Home-Office außerhalb der Kundenprojekte ist möglich, so dass ein Umzug nicht erforderlich ist.

Bitte senden Sie uns Ihr aussagekräftiges Profil mit Ihren Konditionsvorstellungen zu. Wir freuen uns, Sie in einem persönlichen Gespräch näher kennen zu lernen.

Bei Interesse freuen wir uns über Ihre Kontaktaufnahme:

iAP – Independent Audit Professionals GmbH
Josef-Orlopp-Str.54
10365 Berlin

Kontakt

Dr. Alpar Fendo

Tel: +49 (0) 30 4397 16861
Fax: +49 (0) 30 4397 16889
E-Mail: info@audit-professionals.de

Die Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) veröffentlichten am 29.06.2021, dass die Europäische Kommission die Angemessenheitsbeschlüsse für die Übermittlung personenbezogener Daten an das Vereinigte Königreich gemäß der Datenschutz-Grundverordnung (DSGVO) und der Strafverfolgungsrichtlinie (LED) am 28.06.2021 annehmen.

Mit der Anerkennung des angemessenen Datenschutzniveaus bedürfen Datenübermittlungen aus dem Europäischen Wirtschaftsraum (EWR) an das Vereinigte Königreich, im Rahmen des Anwendungsbereichs der Beschlüsse, keiner besonderen Genehmigung. Die Prüfung, ob die allgemeinen datenschutzrechtlichen Voraussetzungen für eine Datenübermittlung erfüllt sind, ist davon unabhängig erforderlich und vorzunehmen.

Cyber-Attacken werden häufiger. Die Schlagzahl der Angriffe steigt und die Schlagzeilen häufen sich. Das Risiko ist nicht beseitigt mit der Auslagerung in die Cloud. Auch Cloud-Dienstleister müssen umdenken und Antworten auf Fragen zu Sicherheitsmaßnahmen liefern. Für Unternehmen entsteht mit der Auslagerung eine neue Schnittstelle, welche betreut werden muss.

Cloud-Dienstleister können auf Basis verschiedener Standards beurteilt und in ihrer Servicequalität eingeschätzt werden. In Deutschland empfiehlt sich eine Beurteilung nach dem Cloudstandard des BSI C5 oder gemäß dem Fachausschuss IT des IDW (FAIT) Nummer 5. Entsprechende Bescheinigungen werden durch Wirtschaftsprüfer bereitgestellt. Hier sind Bescheinigungen nach ISAE 3000 bzw. ISAE 3402 zu nennen.

Neben der Beurteilung und der daraus folgenden Auswahl eines geeigneten Dienstleisters ist ebenfalls wichtig, die Widerstandfähigkeit des Unternehmens gegen Schäden (Resilienz) zu erhöhen.

Gerade die Pandemie hat gezeigt, wie wichtig digitale Kompetenzen und eine funktionierende digitale Infrastruktur für den Mittelstand ist. Noch nie wurden Technologien so schnell umgesetzt und in vielen Bereichen zur Strategie für funktionsfähige Geschäftsprozesse. Mit der rasanten Entwicklung werden Daten zentraler Bestandteil der Wertschöpfung. Aus diesem Grund ist es wichtig, das Unternehmen Strategien und Maßnahmen entwickeln, um den Betrieb nachhaltig gegen Cyber-Attacken zu schützen. Dies sind Unternehmer/innen nicht nur dem eignen Unternehmen schuldig, sondern auch den Kunden, denn auch Ihre Kunden erwarten, das Unternehmen vertrauensbildende Maßnahmen im digitalen Wandel entwickeln.

Wir helfen Ihnen mit einem maßgeschneiderten Frühwarnsystem, umfassenden Sicherungsmaßnahmen, sowie forensischen Analysemethoden gegen Bedrohungen aus dem Netz Ihr Unternehmen sicher aufzustellen. Wir wollen Ihre Cyber-Resilienz aufbauen, stärken und präventiv vorrausschauend eine Cyber-Strategie für Ihr Unternehmen entwickeln. Nach innen IT-sicher und nach außen vertrauen aufbauend in der digitalen Transformation.

Haben Sie Fragen hierzu oder benötigen Sie einen Partner für Ihre Cyber-Strategie, so kommen Sie gerne auf uns zu.

Endlich sind die Standardvertragsregelungen an die DS-GVO angepasst und berücksichtigen die EuGH-Rechtsprechung zum Privacy Shield.

Achtung, alle bereits abgeschlossenen Standardvertragsklauseln müssen innerhalb von 18 Monaten, bis zum 27. Dezember 2022 aktualisiert werden.  Bei allen neu geschlossenen Verträgen müssen ab dem 29. September 2021 die neuen Standardvertragsklauseln berücksichtigt werden.

Wie werden die Standardvertragsklauseln in der Praxis abgeschlossen?

In der Praxis werden die Standardvertragsklauseln in der Regel von den Dienstleistern in diesen Formen bereitgestellt:

  • Individueller Vertrag – Vor allem bei Vertragsschlüssen mit Unternehmen, welche nicht im großen Umfang für EU-Kunden tätig sind, werden die Standardvertragsklauseln in Form eines Vertrages vorgelegt (meistens als PDF-Datei), welcher dann individuell unterschrieben oder signiert wird.
  • Bestandteil von AGB – Große US-Anbieter bieten Standardvertragsklauseln als Teile oder Anhänge zu ihren AGBs an, so dass die Standardvertragsklauseln automatisch mit dem Vertragsschluss abgeschlossen werden (Beispiel der E-Mail-Plattform MailChimp).

Allerdings ist der Abschluss der Standardvertragsklauseln allein noch nicht ausreichend. Es muss das Datenschutzniveau im Einzelfall geprüft werden. So lehnt der EuGH und die Datenschutzaufsichtsbehörden den Datentransfer in Drittländer (z. B. USA) nicht ab, möchte jedoch die Sicherheit geprüft wissen.

  • Prüfung des Vertragstextes – Sie müssen prüfen, ob die für die jeweilige Vertragskonstellation richtige Standardvertragsklauseln gewählt und inhaltlich nicht verändert wurden. Ebenso muss geprüft werden, ob die Anhänge ordnungsgemäß ausgefüllt sind.
  • Prüfung des tatsächlichen Datenschutzniveaus – Sie müssen ebenfalls prüfen, ob die Zusagen das adäquate Datenschutzniveau, auch tatsächlich eingehalten werden. Das heißt, Sie müssen überprüfen, ob das vom EuGH beschriebene Risiko des Zugriffes auf die Daten durch US-Behörden verhindert wird. Zur Sicherung eines angemessenen Datenschutzniveaus tragen z. B. Verschlüsselungsverfahren, Pseudonymisierung, Serverstandort in der EU oder auch ein geringes Risiko für die Daten der Betroffenen bei.

Allerdings gibt es Interpretationsmissverständnisse in den Erwägungsgründen der neuen Standardvertragsklauseln, enthalten in der Ziffer 7:

Die Standardvertragsklauseln dürfen nur insoweit für derartige Datenübermittlungen verwendet werden, als die Verarbeitung durch den Datenimporteur nicht in den Anwendungsbereich der Verordnung (EU) 2016/679 fällt.

Dieser Erwägungsgrund würde bedeuten, dass die Standardvertragsklauseln immer dann nicht abzuschließen wären, wenn z. B. ein US-Cloud-Dienst der DSGVO darunterfällt. Das wäre z. B. der Fall, wenn Dropbox, Microsoft- oder die Google Cloud sich auch an EU-Bürger richten würden. Wenn dann ein EU-­Unternehmen z. B. Kundendaten in dieser Cloud speichert, dürften / müssten mit Dropbox, Microsoft oder Google keine Standardvertragsklauseln abgeschlossen werden. Dieses Ergebnis widerspricht jedoch dem Wortlaut des Art. 44 ff. DSGVO, welcher bei Verarbeitung im Drittland keine solche Ausnahme vorsieht. Es bleibt also zu hoffen, dass die EU-Kommission bald eine Interpretationshilfe für ihre erratischen Interpretationsvorgaben veröffentlicht.

D. h., dass Sie aktiv werden und folgende Maßnahmen ergreifen müssen:

  • Bestandsaufnahme beim eigenen Unternehmen – Prüfung, ob Daten von Kunden, Nutzern, Mitgliedern, etc. in Drittländern und insbesondere den USA verarbeitet werden (bzw. von Unternehmen, welche in diesen Ländern sitzen).
  • Bestandsaufnahme bei Subunternehmern – Ebenso muss geprüft werden, ob Subunternehmer und Dienstleister, z. B. der Webhoster oder Buchhaltungsdienst, Anbieter aus Drittländern / USA einsetzen (z. B. Server von Amazon Webservices mieten).
  • Anfrage nach neuen Standardvertragsklauseln – Die Anbieter aus Drittländern müssen um die Vorlage der neuen Standardvertragsklauseln gebeten werden (alternativ, auch wenn weniger üblich, können ihnen Standardvertragsklauseln zur Prüfung und Unterschrift gestellt werden). Ebenso müssen Subunternehmer gefragt werden, ob entsprechende Standardvertragsklauseln wiederum mit deren Subunternehmern in Drittländern geschlossen wurden (im Optimalfall sollte um Kopien gebeten werden).
  • Anfrage nach Sicherheitsmaßnahmen – Die Anbieter aus Drittländern müssen um Nennung von Sicherheitsmaßnahmen gebeten werden, mit welchen die besonderen Risiken des Drittlandtransfers aufgefangen werden (z. B. Verschlüsselung, Serverstandort EU, Pseudonymisierung). Ebenso müssen Subunternehmer gefragt werden, ob wiederum deren Subunternehmer aus Drittländern entsprechende Schutzmaßnahmen nachgewiesen haben (im Optimalfall sollte auch hier um deren Auflistung und Kopien der Bestätigungen gebeten werden).
  • Prüfung der Standardvertragsklauseln – Sie müssen überprüfen, ob die Module der Standardvertragsklauseln richtig ausgewählt sind, deren Text nicht modifiziert wurde und die Anhänge ordnungsgemäß ausgefüllt sind.
  • Prüfung des Datenschutzniveaus – Sie müssen anhand der mitgeteilten Sicherheitsmaßnahmen prüfen, ob bei der jeweiligen Verarbeitung der Daten durch Dienstleister und Subunternehmer ein hinreichendes Datenschutzniveau gesichert ist.
  • Protokollierung – Sie müssen die Prüfverfahren aus Nachweisgründen festhalten (z. B. in einer Tabelle mit Anbietern, Zeitpunkten der Anfragen, Ergebnissen und Begründung Ihres Prüfungsergebnisses).

Empfehlung

Auch wenn Ende 2022 noch weit in der Zukunft liegt, sollten Sie Ihre Vertragspartner darauf drängen, die Standardvertragsklauseln möglichst schnell auszutauschen. Vor allem, weil die neuen Standardvertragsklauseln die Forderungen der Datenschutzaufsicht nach Ergänzung der bisherigen Klauseln in Folge der Rechtsprechung des EuGHs zu US-Datentransfers umsetzen. Daher ist davon auszugehen, dass Aufsichtsbehörden den Einsatz von US-Anbietern auf Grundlage alter Standardvertragsklauseln, sehr bald für unzulässig erklären werden.

Achtung, das US-Gesetz Cloud ACT (Clarifying Lawful Overseas Use of Data Act) erlaubt US-Behörden den Zugriff auf alle ihre Daten – auch ohne richterlichen Beschluss. Alle gespeicherte Daten von US-Unternehmen auch im US-Ausland, werden so behandelt, als wären Sie auf Servern in der USA gespeichert. Dieses Gesetz gilt für Internet-Provider, IT-Dienstleister und Cloud-Anbieter mit Sitz in den USA und deren Kundenkreis. Ist ein Unternehmen in Europa Teil eines US-Unternehmens oder tauscht dieses Daten mit US-Unternehmen aus, unterliegt es dem Cloud-Act.

Der Cloud-Act betrifft sowohl personenbezogene als auch Unternehmensdaten von wirtschaftlichen Informationen, Geschäftsgeheimnisse und anderes geistiges Eigentum. Keine Sicherheiten vor dem Zugriff der US-Behörden bieten technische Verschlüsselung, Treuhänder Modelle oder bilaterale Abkommen. Damit besteht ein Rechtskonflikt mit der DS-GVO.

Cloud-Anbieter mit Sitz und Rechenzentrum in der EU bieten maximale Sicherheit und sind DSGVO-konform. Achten Sie auch auf Prüfzertifikate wie ISO27001, ISAE3402, C5, PS860 i. V. m. PH 9.860.1

Wir beraten und prüfen Cloudanbieter, auf die Einhaltung gesetzlicher sicherheitsrelevanter Vorgaben.

Das Leben ohne funktionierende Informations- und Kommunikationstechnik ist heute kaum noch vorstellbar. Die Gefährdungen durch Angriffe im Cyberraum nehmen allerdings seit Jahren zu und sie werden immer ausgefeilter. Daher reagierte Die Bundesregierung mit dem neuen Gesetz.

Der Deutsche Bundestag hat am Freitag, den 23.04.2021 das zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme beschlossen. Dieses löst das alte IT-Sicherheitsgesetz aus Juli 2015 ab. Zweck des Gesetzes ist die Gewährleistung der Cyber- und Informationssicherheit, welche mit der zunehmenden Digitalisierung immer mehr Bedeutung erlangt.

Das neue IT-Sicherheitsgesetz wird Änderungen in verschiedenen Gesetzen zur Folge haben. Betroffen sind das BSIG, das TKG und das TMG, das SGB X und das Gesetz über die Elektrizitäts- und Gasversorgung, sowie die Außenwirtschaftsverordnung.

Wichtige Neuerungen sind:

  • Es wurden neue Begriffsbestimmungen definiert. Die gibt es jetzt für die Kommunikation des Bundes, Protokollierungsdaten, IT-Produkte, Systeme zur Angriffserkennung und kritische Komponenten.
  • Einbeziehung von Unternehmen im besonderen öffentlichen Interesse, welche in drei Kategorien geclustert werden. Die Anforderungen sind teilweise unterschiedlich.
  • Betreiber kritischer Infrastruktur müssen innerhalb eines Jahres nach Inkrafttreten des Gesetzes Angriffserkennungssysteme implementieren.
  • Betreiber von Unternehmen im besonderen öffentlichen Interesse müssen alle zwei Jahre eine Selbsterklärung zur IT-Sicherheit vorlegen. Damit liegt eine Augenmerk auf Zertifizierungen, Sicherheitsaudits und ähnlichen Schutzmaßnahmen.
  • Der Einbau kritischer Komponenten bedarf einer Garantie-Erklärung des Herstellers. Liegt diese nicht vor, kann das BSI den Einsatz bei Betreibern der kritischen Infrastruktur verbieten.
  • Es werden Voraussetzungen für ein nationales IT-Sicherheitskennzeichen geschaffen, das ist allerdings freiwillig. Gemeint ist damit nicht die CSA-Zertifizierung der EU.
  • Die Gesetzesverabschiedung stärkt die Rolle des BSI, dieser nähert sich immer mehr der Rolle als oberste Bundesbehörde. Für Unternehmen im besonderen öffentlichen Interesse und teilweise auch für Betreiber kritischer Infrastruktur wird die Umsetzung mit erheblichen Anpassungen verbunden sein.

    Die IEC 62443-Serie wurde entwickelt, um industrielle Kommunikationsnetze und Industrielle Automatisierungs- und Steuerungssysteme (IACS) durch einen systematischen Ansatz zu sichern.

    Sie umfasst derzeit neun Normen, Technische Berichte (TR) und Technische Spezifikationen (TS), wobei vier Teile noch in der Entwicklung sind. IACS finden sich in immer mehr Bereichen und Branchen, viele davon, wie z. B. Energieversorgung und -verteilung, Transportwesen, Fertigung usw. sind von zentraler Bedeutung für kritische Infrastrukturen (PH 9.860.2: Die Prüfung der von Betreibern Kritischer Infrastrukturen gemäß § 8a Abs. 1 BSIG umzusetzenden Maßnahmen).

    Zu den IACS gehören auch Supervisory Control and Data Acquisition (SCADA)-Systeme, welche häufig von Organisationen eingesetzt werden, welche in Branchen mit kritischer Infrastruktur tätig sind, wie z. B. Stromerzeugung, -übertragung und -verteilung, Gas- und Wasserversorgungsnetze. Die Sicherstellung von Risikominderung und Ausfallsicherheit ist daher unerlässlich.

    Verhinderung von illegalem oder unangemessenem Zugriff

    In den Veröffentlichungen der IEC 62443 wird „der Begriff ‚Sicherheit‘ als Verhinderung des illegalen oder unerwünschten Eindringens, der absichtlichen oder unabsichtlichen Störung des ordnungsgemäßen und beabsichtigten Betriebs oder des unangemessenen Zugriffs auf vertrauliche Informationen in Integriertes Verwaltungs- und Kontrollsystem (InVeKoS) betrachtet.“

    Sicherheit „umfasst Computer, Netzwerke, Betriebssysteme, Anwendungen und andere programmierbare, konfigurierbare Komponenten des Systems“.

    Die IEC 62443-Normen decken alle Aspekte der Cybersicherheit in allen Phasen ab und sind ein Eckpfeiler eines „Secure-by-Design“-Ansatzes.

    Daher ist ein breiter Überblick über die IEC 62443-Publikationen notwendig, da sie für alle industriellen Kommunikationsnetze und IACS-Anwender relevant sind, einschließlich Anlagenbesitzer, Systemintegratoren, Gerätehersteller, Lieferanten, Anlagenbetreiber, Wartungsfachleute und alle privaten und staatlichen Organisationen, welche mit der Cybersicherheit von Steuerungssystemen zu tun haben oder davon betroffen sind (IEC / TS 62443-1-1 Industrielle Kommunikationsnetze, Netzwerk- und Systemsicherheit – Teil 1-1: Terminologie, Konzepte und Modelle).

    Die Normenreihe IEC 62443 ist in vier Teile gegliedert, welche Folgendes abdecken:

    • Allgemeines (IEC 62443-1.* – ein Teil von vier veröffentlicht)
      Die allgemeinen Dokumente geben einen Überblick über den industriellen Sicherheitsprozess und stellen wesentliche Konzepte vor.
    • Richtlinien und Verfahren (Policies & Procedures) (IEC 62443-2.* – drei Teile von vier veröffentlicht)
      Die Dokumente zu Policies & Procedures heben die Bedeutung von Richtlinien hervor – selbst die beste Sicherheit ist nutzlos, wenn die Mitarbeiter/innen nicht geschult und verpflichtet sind, sie zu unterstützen.
    • System (IEC 62443-3.* – alle drei Teile veröffentlicht)
      Da Sicherheit nur als integriertes System verstanden werden kann, bieten die Dokumente zum Thema „System“ wichtige Anleitungen zum Entwurf und zur Implementierung sicherer Systeme.
    • Komponenten (IEC 62443-4.* – beide Teile veröffentlicht)
      Da man ein solides Gebäude nicht aus schwachen Ziegeln bauen kann, beschreiben die Komponentendokumente die Anforderungen, welche für sichere Industriekomponenten erfüllt werden müssen.


    Informationstechnik (IT) und Betriebstechnik (OT)

    Internationale IEC-Normen wie ISO / IEC 27001 und IEC 62443 sind zusammen mit der Prüfung und Zertifizierung (Konformitätsbewertung) wichtige Werkzeuge für ein erfolgreiches und ganzheitliches Cybersicherheitsprogramm. Ein solcher Ansatz erhöht das Vertrauen der Stakeholder, indem er nicht nur den Einsatz von Sicherheitsmaßnahmen auf Basis von Best Practices nachweist, sondern auch, dass eine Organisation die Maßnahmen effizient und effektiv umgesetzt hat. Dies muss in eine übergreifende Strategie eingebunden werden, welche Menschen, Prozesse und Technologie umfasst. Dabei werden nicht nur die technischen Maßnahmen an sich betrachtet, sondern auch die Organisation rund um diese Maßnahmen, welche sicherstellt, dass Cyber-Angriffe rechtzeitig erkannt werden.

    Herausforderungen bei der Implementierung

    Obwohl die IEC 62443 viele Vorzüge und Vorteile hat, bringt die Implementierung der Norm auch einige Herausforderungen mit sich.

    Die Norm ist jedoch nicht vollständig. Einige der Spezifikationen in der Norm sind noch nicht veröffentlicht worden.

    Jedoch ist die Norm sehr umfangreich: Mit einem Gesamtumfang von bisher mehr als 800 Seiten und weiteren Spezifikationen, welche sukzessive veröffentlicht werden, ist ein erheblicher Zeit- und Arbeitsaufwand erforderlich, um den kompletten Standard zu lesen und zu verstehen.

    Mit unserem Prüfungsstandard nach IDW PS 860 (IT-Prüfung außerhalb der Abschlussprüfung) stellen wir die Erfüllung gesetzlicher oder regulatorischer Anforderungen. Die Prüfungshinweise sind vorgesehen für

    • Cloud / Cybersecurity
    • Prüfung der Grundsätze, Verfahren und Maßnahmen nach der EU-Datenschutz-Grundverordnung und dem Bundesdatenschutzgesetz (PH 9.860.1)
    • Prüfung bei Betreibern kritischer Infrastrukturen (PH 9.860.2)
    • Konformität GoB Vorgaben

    Einhaltung von Industriestandards und anerkannter IT-Frameworks

    • PCI-DSS
    • ISO Normen
    • COSO, COBIT oder ITIL

    Mit unserer Bescheinigung stellen wir sicher, dass die Mechanismen, die implementierten Maßnahmen und Kontrollen einer Angemessenheitsprüfung (Zeitpunktbetrachtung) unterzogen werden und die Kriterien geeignet sind. Wir prüfen die Implementierung der Kontrollen und Maßnahmen zur Gewährleistung von Cyber-Sicherheit und unterziehen diese einer Wirksamkeitsprüfung (Zeitraumbetrachtung) und stellen somit sicher, dass die Kontrollen und Maßnahmen im Zeitraum wirksam waren.

    Durch die Pandemie wurde für viele Ihrer Kollegen das Zuhause zum neuen Arbeitsort. Eine vertraute Umgebung, aber ist sie sicher?

    Die Arbeit wird größtenteils über Home Internet Service Provider (ISPs), also über ungesicherte Router verrichtet. Nachbarn können Ihre Telefonate mithören und dabei sensible Informationen erhaschen. Vielleicht nutzt der Lebenspartner / die Lebenspartnerin auch noch das gleiche Arbeitsgerät und nutzt es für anderweitig geschäftliches. Kurz gesagt: es gibt keinen anderen beliebten Ort, wie das zu Hause Ihrer Mitarbeiter/innen für Cyber-Attacken.

    Fast täglich werden durch Hacker altbekannte Methoden wie Phishing-Mails verwendet. Dabei gehen die Betrüger mit der Zeit mit und nutzen die Pandemie schamlos aus. Sie lotsen Ihre Mitarbeiter/innen auf Webseiten, um angeblich Mund-Nasen-Bedeckungen, medizinische Gesichtsmasken sowie partikelfiltrierende Halbmasken (FFP) zu verkaufen oder führen das „Opfer“ auf Webseiten, um die neuesten Nachrichten lesen zu lassen (z. B. wie man sich von dem Virus erholen kann). Hacker haben sogar eine App entwickelt, welche sich als „Weltgesundheitsorganisation WHO“ ausgab. Diese Applikation war dem Original zum Verwechseln ähnlich. Sie war (be-)trügerisch und zog dem Anwender Informationen direkt vom Mobiltelefon ab. Altbekannte Sicherheitsvorkehrungen – wie Firewalls – kommen damit an ihre Grenzen, um Cyberbedrohungen dieser Art zu stoppen.

    Was aber tun? Wir müssen die Themen rund um Cybersicherheit neu überdenken, damit Mitarbeiter/innen aus der Ferne sicher arbeiten können.
    Cyber-Attacken vollständig aus dem Weg zu gehen ist leider nicht möglich. Jedoch ist nicht jede Bedrohung per se eine große Gefahr. Wichtig ist, dass Ihre Mitarbeiter/innen sensibilisiert werden, damit sie etwaige Maßnahmen zeitnah ergreifen können, um die gefährlichsten Cyberangriffe zu verhindern. Das macht den Unterschied zwischen einer erfolgreichen Remote-Belegschaft und einer anfälligen Belegschaft aus. Dem Unternehmen ist geraten eine „Home-Office-Policy“ zu erstellen, denn Unternehmen sind in der Nachweispflicht. Unternehmen brauchen ein klares Prozedere bei Datenpannen und IT-Problemen.

    Um irreparable und möglicherweise teure Datenschutzverletzungen (nach DSGVO und / oder BDSG) zu verhindern, empfehlen wir folgende Handlungsmöglichkeiten:

    Arbeitsdaten bleiben Arbeitsdaten

    • Laptops / Arbeitsgeräte außerhalb der Arbeitszeit ausschalten
    • Bildschirm sperren, sobald man den Arbeitsplatz verlässt (auch wenn nur für den Gang zur Toilette und wieder zurück)
    • Nicht gesperrter Bildschirm vor unbefugten Dritten (Mitbewohner/innen, Familienmitglieder/innen, Freunde etc.) schützen

    Nicht nachlassen bei Passwörtern

    • Es wird empfohlen, mindestens zwölf Zeichen zu verwenden (einschließlich Sonderzeichen und Zahlen)
    • Es wird empfohlen, das Kennwort regelmäßig (alle 30 Tage) zu wechseln

    Neustart

    • Dies ist wichtig, damit die Antivirensoftware sich regelmäßig aktualisiert
    • Dieser Vorgang minimiert die Anfälligkeit der (mobilen) Endgeräte

    Obacht vor verdächtigen E-Mails

    • Kennen Sie den Absender?
    • Sieht die Nachricht nach Spam aus?
    • Mitarbeiter/innen sollten Phishing-Versuche sofort löschen und melden

    Die beste Offensive gegen Cyberangriffe ist eine gute Verteidigungsstrategie. Diese beginnt damit, dass eine IT-Analyse durchgeführt wird. So wappnet sich ihr Unternehmen vor Datenschutzverletzungen:

    1. Für alle Endgeräte wie Laptops, muss die erforderliche Antivirensoftware vom Arbeitgeber zur Verfügung gestellt werden
    2. Alle Mitarbeiter/innen welche remote arbeiten, müssen an den regelmäßigen (alle zwölf Monate) Schulungen zur Informations- und Cybersicherheit teilnehmen. Über aktuelle Bedrohungslagen müssen die Mitarbeiter/innen zeitnah informiert werden
    3. Wir empfehlen eine mehrstufige Authentifizierung, um sicherzustellen, dass Mitarbeiter/innen ihre Identität über ihre Telefone bestätigen, bevor Sie auf vertrauliche Dateien zugreifen.
    4. Richten Sie eine verschlüsselte VPN-Verbindung ein, um den Zugang zu sicheren Informationen zu gewährleisten
    5. Ernennen Sie einen Datenschutzbeauftragten / Informationssicherheitsbeauftragten (Information Security Officer), um potenzielle Cyberangriffe melden zu können

    Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDi) Professor Ulrich Kelber verhängte im Dezember 2019 ein Bußgeld, wegen eines Verstoßes gegen Artikel 32 DSGVO in Höhe von 9.550.000,00 € gegen 1&1.

    1&1 Telecom GmbH legte Widerspruch gegen das verhängte Bußgeld ein. Nach Auffassung von 1&1 Telecom GmbH war das Bußgeld unverhältnismäßig und seine Bemessung ein Verstoß gegen das Grundgesetz. Der Datenschutzverstoß entstand durch ein unzureichendes Authentifizierungsverfahren, welches die Daten seiner Kunden im Rahmen der Kommunikation über sogenannte Callcenter schützen soll.

    Das Landgericht Bonn hat nunmehr entschieden, dass das verhängte Bußgeld dem Grunde nach berechtigt, aber im konkreten Einzelfall zu hoch war. (Hinweis: Der hinterlegter Link beinhaltet noch kein Volltexturteil !!!)

    In der Sache liege ein geringer Datenschutzverstoß vor und das Bußgeld wurde auf 900.000,00 Euro herabgesetzt.

    Damit urteilte erstmals ein deutsches Gericht im Rahmen eines DSGVO-Millionenbußgeldverfahrens. Trotz Reduzierung des Bußgeldes zeigte sich der BfDi nicht unzufrieden mit der Entscheidung. Zitat: “ Ich bin überzeugt, dass diese Entscheidung in den Chef- Etagen von Unternehmen wahrgenommen wird.“