Beiträge getaggt ‘Datensicherheit’

Cloud Computing: Die Wolke rechtssicher nutzen

Geschrieben von K. Kopp am . Gepostet in Digital.

Längere Zeit hatte man den Eindruck, dass all das Gerede um die Cloud und ihre Bedeutung der Wirklichkeit vorausgegriffen hat. Immer noch spielt sich zwar ein Großteil der Anwendungen, geschäftlich wie privat, lokal auf dem Rechner, mobilen Endgerät oder dem Firmenserver ab. Cloud Computing gehört immer noch zu den Trendthemen in der IT, hat aber in der Praxis deutlich spürbar an Fahrt gewonnen, es ist da, auch wenn vielerorts teilweise laut Bedenken bei der Datensicherheit dagegen vorgebracht werden.

Wer Apps entwickelt, flexibel Speicherplatz oder große Rechenleistung etwa zu wissenschaftlichen Zwecken benötigt oder auch nur seine Infrastruktur neu organisieren möchte, kommt angesichts ihrer Flexibilität und Leistungskraft um Cloud-Dienste kaum mehr herum. Im vergangenen Jahr betrug der Markt für Cloud-Dienstleistungen im B2B-Segment knapp drei Milliarden Euro. 2016 soll sich das Geschäft mit Cloud-Diensten (SaaS, IaaS, PaaS), Integrations- und Beratungsprojekten sowie mit Cloud-Technologien auf 10,6 Milliarden Euro verdreifachen.

Ein Wolkenkuckucksheim ist Cloud Computing natürlich nicht, kann es auch gar nicht sein, wenn sein Geschäftsinhalt darin besteht, den gesamten Datenprozess als Dienstleistung auf einen Dritten zu übertragen und sich damit der Hoheit über sensible Daten, Informationen und Geschäftsgeheimnisse weitgehend zu entledigen: Wenn Unternehmen und Freiberufler jedoch ein paar Grundregeln beachten und über Zugriffsrechte, Compliance und Datenschutz nachdenken, kann sich der Cloudnebel ziemlich rasch lichten. Was ist zu beachten?

  • Facebook
  • Twitter
  • Google Plus
  • Tumblr
  • LinkedIn
  • Add to favorites
  • RSS

IT-Forensik: Wenn Mitarbeiter Daten stehlen

Geschrieben von K. Kopp am . Gepostet in Digital.

Daten sind ein sensibles Gut, das hat sich mittlerweile herumgesprochen, aber man kann das dennoch nicht oft genug bemerken. Weil sie volatil sind, irgendwo abgelegt werden und nicht zu sehen sind, fällt es selten genug auf, wenn sich jemand ihrer missbräuchlich bemächtigt, obwohl das Tag für Tag und vielfach geschieht.

Firmen sind nämlich weit häufiger als angenommen und über alle Branchen hinweg von Datendiebstahl betroffen, er ist realer Bestandteil des Unternehmensalltags. Die Gefahr lauert in Person der eigenen Mitarbeiter: Der Datenklau bei Arbeitgeberwechsel ist nach einer Studie nicht mehr Ausnahme sondern Regel. Jeder dritte Angestellte hat schon einmal vertrauliche Informationen entweder weitergeleitet oder aus seinem Unternehmen entfernt.
 Sensible Daten sind vor allem dann besonders gefährdet, wenn Angestellte den Arbeitgeber wechseln: 51 Prozent der Studienteilnehmer gaben zu, beim Jobwechsel schon einmal vertrauliche Informationen mitgenommen zu haben.

Ein Problem, das sich 
durch die besten Corporate Information Responsibility Programme nicht beherrschen lässt, denn sobald sensible Unternehmensdaten nach außen gelangen, drohen rechtliche wie wirtschaftliche Nachteile. Daher gilt es, so gut wie sich das nur bewerkstelligen lässt, Ermittlung und Aufklärung zu leisten, sobald der sicherheitsrelevante Vorfall sich im Unternehmen bemerkbar macht, nicht zuletzt, um für die Zukunft präventiv daraus die richtigen Lehren ziehen zu können.

So wie sich Juristen bei der Lösung zivilrechtlicher Fälle stets fragen „Wer will was von wen wem woraus?“, ist die richtige Frage, die sich ein Unternehmen im Falle unbefugten Datenzugriffs zu stellen hat „Wer hat was wann, wo und wie getan?“. Damit kommt man immer weiter. Doch wie geht man dabei am besten vor? Welche rechtlichen Implikationen können sich ergeben? Was ist zu beachten? Was zu unterlassen?

  • Facebook
  • Twitter
  • Google Plus
  • Tumblr
  • LinkedIn
  • Add to favorites
  • RSS

Datenschutzerklärung: Das Maximalmuster – Teil 1

Geschrieben von K. Kopp am . Gepostet in Digital.

Dass kaum eine Website ohne Datenschutzerklärung auskommen kann, wenn sie sich im Rahmen des Gesetzes bewegen will, ist immer noch nicht in das Bewusstsein aller Websitebetreiber vorgedrungen. Aber auch wer eine solche Erklärung auf seiner Seite veröffentlicht, scheint nicht wirklich zu wissen, was genau sie zu enthalten hat. Das ist jedenfalls der Eindruck von den meisten Datenschutzerklärungen, die einem täglich im Netz begegnen.

Um mehr Licht ins Dunkel zu bringen, wird hier in den nächsten Wochen in zwei Teilen das Maximalmuster einer Datenschutzerklärung angeboten, das den typischen Anforderungen einer Website entspricht und die gängigsten unter den Analysetools und Social-Media-Plugins ebenso berücksichtigt wie verschiedene Formen der Datenpreisgabe anlässlich von Websitebesuchen. Das Maximalmuster kann unter Hinweis auf die Urheberschaft von digitalrecht.net als Vorlage kostenlos verwendet werden. Stilistisch räumt es der Verständlichkeit für den durchschnittlichen Nutzer Vorzug ein vor einer manirierten Juristensprache.

Trotz aller Sorgfalt kann das Muster weder Anspruch auf Richtigkeit und Vollständigkeit erheben noch können aus seiner Verwendung Ansprüche hergeleitet werden. Ein Mandatsverhältnis kommt mit dem Abruf des Erklärungsmusters nicht zustande. Beachten Sie bitte, dass Sie sich aus dem Maximalmuster sozusagen die Rosinen herauspicken müssen, also das, was angesichts der konkreten Verwendung personenbezogener Daten auf Ihrer Website passt.

Benötigen Sie eine individuelle Datenschutzerklärung zum Beispiel für Ihren Onlineshop, stehen wir gerne zu Ihrer Verfügung, ebenso, wenn Sie Hilfe dabei brauchen, eine Datenschutzerklärung für Ihre Bedürfnisse zu implementieren. Rufen Sie uns an oder schreiben Sie einfach eine E-Mail.

Und jetzt zum Maximalmuster einer Datenschutzerklärung. Los geht es im ersten Teil mit dem schlichten Besuch einer Website, der Registrierung, dem Abonnieren eines Newsletters, dem Hinterlassen von Kommentaren und der Verwendung und Weitergabe personenbezogener Daten in Fällen von Marketing, Werbung und Donation. Auf „Weiterlesen“ klicken.

  • Facebook
  • Twitter
  • Google Plus
  • Tumblr
  • LinkedIn
  • Add to favorites
  • RSS

Phishing-Mails im Namen des Bundeszentralamts für Steuern

Geschrieben von K. Kopp am . Gepostet in Digital.

Derzeit versenden Betrüger E-Mails im Namen des Bundeszentralamtes für Steuern und kündigen Steuerrückerstattungsansprüche an, warnt die IHK Stuttgart. Die E-Mails verfolgen den Zweck, an Konto- und Kreditkarteninformationen von Steuerzahlerinnen und Steuerzahlern zu gelangen, so die IHK.

In den E-Mails wird behauptet, der Empfänger hätte zuviel Einkommensteuer gezahlt. Um diese zurückzuerhalten, müsse ein der E-Mail angehängtes Antragsformular ausgefüllt werden, bei dem unter anderem Angaben zu Kontoverbindung und Kreditkarte sowie Sicherheitscode gemacht werden sollen.

Der betrügerische Charakter der Mail ergibt sich aber sehr eindeutig und schnell, denn das Bundesfinanzministerium ist für Steuererstattungen gar nicht zuständig und versendet Benachrichtigungen nicht per E-Mail. Darüber hinaus werden von den Finanzbehörden Kontodaten nie in dieser Form abgefragt.

  • Facebook
  • Twitter
  • Google Plus
  • Tumblr
  • LinkedIn
  • Add to favorites
  • RSS

ISF veröffentlicht neuen Praxis-Leitfaden „Standard of Good Practice”

Geschrieben von K. Kopp am . Gepostet in Digital.

Das Information Security Forum hat eine überarbeitete Version seines „Standard of Good Practice“ veröffentlicht, der sich an internationalen Standards wie ISO 27001, COBIT und PCI/DSS orientiert. Der Leitfaden umfasst konsequenterweise die Hauptkategorien Security Governance, Sicherheitsanforderungen, Kontrollmechanismen sowie Monitoring und Optimierung und enthält in insgesamt 118 Themenfeldern praxisorientierte Tipps.

Der „Standard of Good Practice“ umfasst auch aktuelle Themen wie Cloud-Computing, soziale Netzwerke, Datenspeicherung, digitales Rechtemanagement und Virtualisierung. Er will darüber hinaus durch Expertenwissen und Leitlinien zu bereits behandelten Bereichen wie Schutz vor Datenverlust, Lieferanten-Management, Mechanismen für Zugriffskontrolle, Business-Continuity-Strategien und Management von Sicherheitsaudits praxisgerechter Ratgeber sein.

Den Standard of Good Practice 2011 (nur in englischer Sprache) gibt es nach einer kurzen Registrierung zum kostenlosen Download hier. Lesenswert.

  • Facebook
  • Twitter
  • Google Plus
  • Tumblr
  • LinkedIn
  • Add to favorites
  • RSS