Seiten

Posts mit dem Label Datenschutz werden angezeigt. Alle Posts anzeigen
Posts mit dem Label Datenschutz werden angezeigt. Alle Posts anzeigen

Dienstag, 29. Oktober 2013

IT ist Chefsache

Die IT spielt in vielen Unternehmen eine maßgeblich wichtige Rolle und ist oft entscheidend für den wirtschaftlichen Erfolg. Manager und Geschäftsführer überlassen allerdings allzu gerne diesen Unternehmens­bereich ihren internen Spezialisten und kümmern sich im groben nur um Ergebnisse und die Richtungsvorgaben.


Wirtschaftlichen Risiken & konkrete Gefahren


Vielen ist dabei nicht bewusst, dass sie damit neben den wirtschaftlichen Risiken auch konkrete Gefahren für ihre eigene Person und Ihre persönlichen Finanzen eingehen. Denn nach gesetzlichen Vorgaben können sie unter Umständen persönlich haftbar gemacht werden.
Deshalb sollten Sie als Chef sich dieser Verantwortung stellen und Ihre IT zu Ihrer persönlichen Chefsache machen. Schon weil Sie gesetzlich dazu verpflichtet sind. Handeln Sie nach diesem Grundsatz, können Sie ruhigen Gewissens der Zukunft entgegen sehen und IT Probleme meistern, bevor sie zu Ihrem persönlichen Problem werden.

Machen Sie Ihre IT zur Chefsache - jetzt!

Gesetzliche Pflicht & Haftung mit dem Privatvermögen


Nach aktuellen Umfragen ist nur circa einem Fünftel der befragten Geschäftsführer bewusst, dass sie gesetzlich für Schäden, Datenverlust oder Viren zur Verantwortung gezogen werden können. Teilweise muss sogar mit dem eigenen Privatvermögen gehaftet werden. Bei den zu befürchtenden Konsequenzen ist es dabei unerheblich, ob die IT durch externe Hacker oder durch Mitarbeiter absichtlich bzw. unabsichtlich kompromittiert wurde.
Dem gegenüber ist die grundsätzliche Gefährdung der Firmen IT durch unter­schiedliche Bedrohungsszenarien über 90 Prozent der Befragten durchaus bekannt. Diese Diskrepanz ist frappierend und deutet darauf hin, dass das Problembewusstsein für diese Risiken nur zum Teil bis in die Chefetagen vorgedrungen ist.

Wichtige Anforderungen


Wichtige Anforderungen, die es einzuhalten und durch das Management umzusetzen gilt, ergeben sich zum Beispiel aus

  • dem Datenschutz
  • dem Schutz des Betriebs- und Geschäftsgeheimnisses
  • der zivilrechtlichen Verpflichtung zur Transparenz im Unternehmen und einem effizienten Risiko-Management
  • den allgemeinen Sorgfaltspflichten der Geschäftsführung
  • sowie den verschiedenen Gesetzen und Regelungen für Aktien­unter­nehmen

In all diesen Bereichen können Verstöße oder Unterlassungen zu erheblichen Konsequenzen führen. Dabei reicht das Spektrum vom Imageverlust für das Unternehmen, über wirtschaftliche Einbußen, bis hin zu existenziellen Bedrohungen von Unternehmen und Personen der Chefetage.

Bedrohungen frühzeitig erkennen & ganzheitliches Sicherheitskonzept


Damit diese Bedrohungen frühzeitig erkannt werden können und sich nicht zur Katastrophe entwickeln, sind elementare Punkte in einem ganzheitlichen Sicherheitskonzept zu beachten und umzusetzen.

Angefangen von der physikalischen Sicherheit von Serverräumen und den entsprechenden Zutrittsrechten, über einen wirksamen Passwortschutz, bis hin zu einem sicheren Firmennetz und einer geschützten Anbindung an das Internet, sollten alle Komponenten der Firmen IT den aktuellen Sicherheits­an­for­derungen entsprechen. Dabei sind durchaus auch externe Dienstleister mit besonderem Knowhow in diesem Bereich frühzeitig zur Erstellung des Sicherheits­konzeptes zu konsultieren. Nicht fehlen darf auch der Notfallplan, der im Fall der Fälle klar regelt, was zu tun ist und wer wann informiert werden muss.

Aufgrund der vielfältigen Angriffsszenarien und der Risiken für die Firmen IT lauern viele Gefahren für das Unternehmen und das Management. Handeln Sie also frühzeitig und machen Sie die IT zur Chefsache.

Greifen Sie bei der Erstellung eines ganzheitlichen Sicherheitskonzeptes gegebenenfalls auf die Expertise von professionellen Partnern wie yourIT zurück. Denn aus einer geschützten und sicheren IT heraus ergeben sich viele Chancen und Möglichkeiten für Ihr Unternehmen. So können Sie sich sicher sein, auch schwierige Situationen meistern zu können. Neben der Minimierung von Risiken steigern Sie mit einer optimierten und robusten IT den wirtschaft­lichen Erfolg und die Effizienz Ihres Unter­nehmens.

yourIT - Wir bringen Sicherheit in allen IT-Fragen!

Worauf warten Sie noch? Sprechen Sie mich an.

Ihr Thomas Ströbele

Thomas Ströbele

Dienstag, 26. Februar 2013

yourIT auf der CeBIT 2013 Halle 5 Stand A49


Die CeBIT ist eine der wichtigsten Messen für IT-Entscheider in ganz Deutschland. Daher ist yourIT in diesem Jahr als Aussteller dabei, um Ihnen die Neuerungen in unserer Lösungswelt zu präsentieren.

Sie finden uns am Stand unseres Partners INTEC in Halle 5 Stand A49. Unsere Messethemen habe ich Ihnen in einer Wortwolke zusammengefasst:


Zeigen werden wir vor Allem die Neuerungen in folgenden Bereichen:
  • Datenschutz & IT-Sicherheit
  • Monitoring your SecurITy & Compliance
  • simplify yourIT - Geschäftsprozesse mit BPM
  • E-Billing - elektronische Rechnungen
  • Intercompany Abstimmung im Konzern

Auf dem Stand ist auch ein Forum für Vorträge eingerichtet. Mein Vortragsthema lautet „simplify yourIT - Geschäftsprozesse modellieren und optimieren“.

Ist etwas interessantes für Sie dabei? Dann melden Sie sich gleich an. Die offizielle Einladung mit Themen und Rückmeldeformular finden Sie unter http://www.yourit.de/externDATA/events/Einladung_CeBIT2013.pdf


Als Aussteller kann ich Ihnen gerne kostenlose Tickets besorgen (statt 35 EUR). Bitte einfach in die Rückmeldung die gewünschte Anzahl Tickets eintragen.

Ich freue mich darauf, Sie an unserem Stand begrüßen zu dürfen.

Ihr Thomas Ströbele
Geschäftsführer yourIT

Samstag, 2. Februar 2013

yourIT stellt auf der CeBIT 2013 aus

Die CeBIT findet dieses Jahr statt vom 05. bis 09.03.2013 - wie immer in Hannover.


Heute abend hat die Geschäftsführung der yourIT GmbH entschieden, dass wir dieses Jahr gemeinsam mit unserem Hechinger Systemhaus-Partner INTEC International am Stand A49 in Halle 5 ausstellen.



Unseren Stand erkennen Sie ganz einfach an dem Truck, der da draufstehen wird. Die Standthemen lauten Safety, Security und Monitoring. Das passt zu INTEC und natürlich auch zu yourIT.

  • Safety: Dazu gehört unser Bereich Datenschutz.
  • Security: yourIT bringt Ihnen Sicherheit in allen IT-Bereichen.
  • Monitoring: Wir überwachen Ihre Server und Clients.
Ich freue mich auf viele gute Gespräche am Stand. Ihre Terminanfragen schicken Sie mir einfach zu. Ich melde mich kurzfristig bei Ihnen.

Donnerstag, 27. September 2012

Unser Firmenportrait in der econo 09/2012

Unser Sponsor econo vom Mittelstandsprogramm 2012 hat uns als Hauptpreis ein Firmenportrait in der aktuellen Ausgabe des Wirtschaftsmagazins ermöglicht. So konnten wir erstmals in allen Regionalteilen Nordbaden, Südbaden und Schwarzwald-Alb-Bodensee unser gesamtes Angebot an IT-Dienstleistungen präsentieren.

Firmenportrait yourIT
Der Kresse & Discher Verlag hatte noch Anfang Juli 2012 gemeldet, dass das Magazin vom Markt genommen wird. Daher titelte das letzte Heft auch "Danke! Die letzte Ausgabe nach 13 Jahren".

Es freut uns, dass es nun doch weiter gehen wird. Ich finde, es wäre auch wirklich schade gewesen um das Format. Der Chefredakteur Dirk Werner, der unser Firmenportrait betreut hat, gehört nun zur Geschäftsführung. Die nächste Ausgabe erscheint am 16. November 2012. Mein Tipp: Kaufen!

Dienstag, 6. März 2012

Schwachstellenmanagement & Datenschutz

Wie kontrolliert eigentlich ein Auftraggeber seinen Outsourcing-Dienstleister nach den Vorgaben des §11 Abs. 2 BDSG Auftragsdatenverarbeitung?

Seit der Änderung des Bundesdatenschutzgesetzes im Juli 2009 stellen sich für Auftraggeber (AG) von EDV-Outsourcing-Verträgen (z.B. externes Rechenzentrum) im Bezug auf die Kontrolle der Auftragsdatenverarbeitung (ADV) folgende Fragen:
1. Wie ist die Kontrolle zu gewährleisten?
2. Womit kann die Kontrolle technisch durchgeführt werden?

Zu 1. Wie ist die Kontrolle zu gewährleisten?
Die Neuregelung des Bundesdatenschutzgesetzes (BDSG) stellt eine Reaktion auf in der Praxis festgestellte Mängel bei der Auftragserteilung dar. In der neuen Fassung des §11 Abs. 2 BDSG werden die schriftlich festzulegenden Bedingungen der Auftragsdatenverarbeitung aufgezählt. Der Auftraggeber hat sich erstmals vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Aus Gründen der Nachweisbarkeit ist dies zu dokumentieren ist. Bei Verstößen drohen Bußgelder bis zu 50.000 oder sogar bis zu 300.000 Euro.

Die Dokumentation sollte zwingend folgendes beinhalten:
· Angaben zu den Beteiligten (Verfahrensverantwortlicher, konkreter Prüfer, Datenschutzbeauftragter (DSB), CIO)
· Angaben zur betroffenen ADV (Auftragnehmer (AN), Beginn/Ende, Art der ADV, Kritikalität, Angaben wo der ADV Vertrag vorgehalten wird)
· Angaben zur Kontrolle (Wann? Wo? Prüfer? Erstkontrolle/laufende Kontrolle? Zeitpunkt der letzten Kontrolle?)
· Art und Umfang der Kontrolle (vor Ort, teiweise/vollständig)
· Feststellungen (vertragliche, gesetzliche, techn. organisatorische Anforderungen eingehalten/nicht eingehalten; sonstige Verstöße)
· Weitere Maßnahmen (Zeitpunkt der nächsten Kontrolle/Nachkontrolle)
· Unterschrift des Prüfers

Jedoch ist nach der Gesetzesbegründung eine persönliche oder Vorort-Kontrolle nicht zwingend erforderlich. Eine schriftliche Auskunft des AN über die getroffenen Maßnahmen bzw. die Vorlage eines Testats/Zertifikats eines Sachverständigen wäre ebenfalls denkbar.

Zu 2. Womit kann die Kontrolle technisch durchgeführt werden?
In solchen Outsourcing-Verträgen werden typischerweise Regelungen zum Schwachstellen-Management getroffen, deren Einhaltung sich direkt auf die Datensicherheit und den Datenschutz auswirken. Für den AG sollte es also durchaus interessant sein, zu erfahren, ob sich der AN an die Vertragsvereinbarungen hält.

Doch wie soll der AG dies mit machbarem Aufwand kontrollieren?

Als technisch ausgereifte Lösung setzen wir von yourIT hierzu seit 2007 auf eine Schwachstellenanalyse (vulnerability management), die das gesamte EDV-Netzwerk auf Knopfdruck analysiert. Neben vielen anderen Informationen wird so die Einhaltung der Security-Policies kontrolliert und protokolliert.

Dabei halten sich die Kosten im Rahmen: Ein einmaliger Scan über 100 IP-Adressen kostet etwa 2.500 EUR incl. Beratung. Auch eine dauerhafte Kontrolle durch den AG ist möglich.


Im Übrigen kann natürlich auch der Auftragnehmer (= der Auftragsdatenverarbeiter) die Schwachstellenanalyse bei Experten wie yourIT beauftragen. Der sich ergebende Schwachstellen-Report gilt dann gegenüber dem Auftraggeber als Nachweis.

Mittwoch, 9. Februar 2011

Datenschutz und intercompanyWEB

Frequently asked Questions (FAQ)

In der Folge werde ich hier einige typische Fragen unserer Kunden beantworten. Die Reihenfolge ergab sich aus der Projekt-Anfrage unseres heutigen Referenzkunden Schweizerische Bundesbahnen SBB im Jahr 2008.

Beginnen wir also mit der Frage, wie wir in intercompanyWEB mit dem Thema Datenschutz umgehen. Es handelt sich hierbei um ein Musskriterium.

Hierbei geht es den meisten Kunden darum, wie wir den Zugriffsschutz gegenüber Unberechtigten gewährleisten. Da ich persönlich viele Unternehmen als externer Datenschutzbeauftragter bzw. Berater für Datenschutz betreue, liegt mir dieses Thema natürlich besonders am Herzen. Konkret geht es um die Zugriffskontrolle nach Anlage zu §9 Satz 1 Punkt 3 BDSG.

1. Zugriffsschutz gegenüber Dritten

Entweder wird intercompanyWEB in das Intranet des Kunden integriert, wodurch eine exakte Einhaltung der Security-Policies gewährleistet wird. Alternativ hostet yourIT die Lösung im Rechenzentrum mit vorgeschalteter Firewall. Der Zugang zum Webserver erfolgt per https. Jeder Kunde hat seine eigene Datenbank mit eigenen Usern und Passwörtern. Noch höhere Sicherheit bieten wir mit vorgeschaltetem Security-Modul.

2. Zugriffsschutz gegenüber Internen

intercompanyWEB bietet ein differenziertes Berechtigungssystem (siehe Bild). Es gibt 2 Rollen (Konzernzentrale und Gesellschaften). Die Gesellschafts-User sehen ausschließlich eigene Konzernbeziehungen und Positionen / Buchungen von Partnergesellschaften gegenüber der eigenen Gesellschaft.


Die Ausführungen gelten genauso für unsere Lösung zum Group Reporting groupreportWEB.