We're sorry but this page doesn't work properly without JavaScript enabled. Please enable it to continue.
Feedback

Die DSGVO als Chance nutzen

00:00

Formal Metadata

Title
Die DSGVO als Chance nutzen
Subtitle
Ein Fahrplan für ein mehr an Informationssicherheit in kleinen Schritten mit Open Source Software
Title of Series
Number of Parts
94
Author
License
CC Attribution 4.0 International:
You are free to use, adapt and copy, distribute and transmit the work or content in adapted or unchanged form for any legal purpose as long as the work is attributed to the author in the manner specified by the author or licensor.
Identifiers
Publisher
Release Date
Language

Content Metadata

Subject Area
Genre
Abstract
Data Breaches, Datenschutzverstösse und Ransomware Angriffe erscheinen täglich in den Medien. Trotzdem kümmert sich nur ein kleiner Teil der Unternehmen strukturiert und geplant um eine angemessene Informationssicherheit. Viele Verantwortliche vermeiden dieses Thema aufgrund einer angenommenen hohen Komplexität. Die Risiken sind substantiell. Ein verlorener USB Stick, ein gestohlener Notebook oder ein unsachgemäß entsorgter Drucker beschaffenen Ihnen ungewünschte Brieffreundschaften mit dem Landesdatenschutzbeauftragten, peinliche Briefe an Ihre Kunden und Partner und im schlimmsten Fall saftige Bußgelder. Dabei ist es eigentlich nicht kompliziert. Es gibt einen strukturierten Fahrplan der Ihnen zeigt welche Fragen in welcher Reihenfolge zu bearbeiten sind sowie robuste und erprobte Opensource Werkzeuge wie dieser Weg begleitet werden kann. Wir betrachten in diesem Vortrag wie so ein Fahrplan aussehen kann und zeigen wie eine IT Sicherheitskonzeption für eine Organisation in handhabbaren Arbeitspaketen bearbeitet werden kann
15
Thumbnail
1:16:56
20
Thumbnail
59:24
23
Thumbnail
10:02
48
Thumbnail
50:08
56
76
Thumbnail
12:05
Information securityTrans-European NetworksProgrammer (hardware)Information securityPlane (geometry)XMLUMLComputer animation
Haar measureServer (computing)Information securityComputer animation
InfinityUniformer RaumInformation securitySoftwareInformation securityComputer animation
Data conversionUSB-StickRollbewegungWeb pageWebsiteTape driveUSB <Schnittstelle>WEBComputer animationXML
Open sourceUniformer RaumUSB <Schnittstelle>Hausdorff spaceWebsiteBackupVERKAUF <Programm>SummierbarkeitGrand Unified TheoryHacker (term)Series (mathematics)IP addressInformation and communications technologyInformation securityUSB-StickNumberXML
Information securityIP addressParameter (computer programming)Information securityEmailData storage deviceIBMComputer hardwareDurchschnitt <Mengenlehre>Firewall (computing)Lecture/Conference
InformationOpen sourceGNU <Software>LINUXWINDOWS <Programm>DemosceneComputing platformMoment (mathematics)Smart cardComputer virusUSB-StickFirewall (computing)KippenTemplate (C++)CalculationSource codeTerminal equipmentKommunikationEckeLecture/Conference
Transport Layer SecurityWorld of WarcraftFirmwareConfiguration spaceClient (computing)ESERKooperatives InformationssystemBackupComputer fileWorld Wide WebRevision controlDemoscenePolar coordinate systemListe <Informatik>ExplosionLengthRoute of administrationProcess (computing)Server (computing)ZahlField extensionBackupSeries (mathematics)Source codeClient (computing)DemosceneInformation securityLebensdauerOpen sourceVersion <Informatik>Computer animationLecture/Conference
Information securityRSS <Informatik>Finite element methodBackupDatabaseARCHIVE <Programm>ZugriffInformation securityModule (mathematics)Product (category theory)Sound <Multimedia>Information privacyJohann Peter HebelLöschen <Datenverarbeitung>EckePhysical lawWebsiteLecture/Conference
User-generated contentInformation securityInformationStatement (computer science)DatabaseTape driveFocus (optics)Moment (mathematics)TypBackupProcess (computing)EnergieLecture/Conference
openSUSEXMLComputer animation
Transcript: German(auto-generated)
Ja, dann herzlich willkommen im Hörsaal 6. Jetzt gibt es den Vortrag von Hagenbauer über die DSGVO, die Datenschutz-Grundverordnung, als Chance nutzen. Viel Spaß! Dankeschön!
DSGVO und Chance sind wahrscheinlich die wenigsten von euch standardmäßig auf dem Lippen ab. Es ist natürlich hoffentlich für mich immer geeignet, sie heute zu lesen zu bringen, als Teaser in der Reihenfolge von vorstelligen Programmen. Aber ich bin wirklich fest davon überzeugt, dass gerade die Techniker diese DSGVO als Chance nutzen können.
Es geht um Informationssicherheit.
Informationssicherheit ist mehr als IT-Sicherheit. Es geht nicht nur um IT-Sicherheit. Die Techniker haben dazu dazu, Informationssicherheit nur aus Vorfallerhoffenspektiven zu betrachten. Informationssicherheit ist von der Ebene höher.
Ich habe einen Hintergrund im Bereich Enterprise-Software. Ich bin lange im Bereich Unternehmenssoftware. Ich habe große Interessenten für Collaboration-Software gemacht.
Normalerweise bin ich eher unterwegs, wo man an Anzüge trägt. Ich bin privat und habe einen kleinen Datenschutzflick. Ich habe mich schon sehr lange mit diesem Thema beschäftigt. Ich mache frei von wegen her. Ich betreibe einen Server und treibe auch für meine Frau einen Webshop.
Vielleicht mit einer oder anderen, wenn ich jetzt ahne, woher dieses Thema eigentlich kommt. Ich betreibe einen Webshop. Wir mussten uns mit diesem Thema Datenschutz-Grundverordnung beschäftigen. Wir haben das Ende 2017 schon gemacht, also relativ früh. Das war seit 2018.
Da bin ich in dieses Thema reingekommen. Ich finde das ein sehr spannendes Thema, weil es für mich auch ein Thema ist, bei dem man die Menschen und die Informationssicherheiten von vorhanden sind. Aus meinem Unternehmenshintergrund bin ich auch da oben. Das ist eine Zertifizierung zum Pre-Review, wo man nachweisen muss, welche Projekte man gestemmt hat.
Und wie viel Haare man mit irgendwelchen Kitzelsäuren hat. Ein Beispiel voranweg ist die Rechtsfrage. Ich bin ein Rechtsanwalt. Alles, was man sich jetzt hier hört, geht nur zu euch selbst, um richtig richtig zu gehen. Das ist keine Rechtsverratung hier.
Das ist nicht so schlimm, weil ihr merkt an die Geräte, die ich heute recht mache. Was ist meine Agenda? Der erste Punkt, über den ich reden möchte, ist Informationssicherheit ist finanziell bewährbar.
Das wäre vielleicht einer von euch in dem Tiefstab-Modus gehen, weil es darum geht, das ist für meinen Finanzchef wichtig. Finanzsicherheit liegt nicht so gut wie für die Tierprojekte. Nur wenn wir es nicht schaffen, die Informationssicherheit finanziell bewährbar zu machen, kriegen wir kein Geld und keine Kohle für Projekte.
Und wir kriegen kein Beiden. Mein Kameramann ist nervös. Ja, du hast gerade Kohle. Oh, ich wollte dich jetzt hinschalten. Ich glaube, jetzt ist es besser. Ich habe mich eingeschaltet gehabt. Du hattest es ausgeschaltet? Ja, zwischendurch. Nachdem wir getestet hatten.
Wenn wir es nicht schaffen, Informationssicherheit oder jedes Problem finanziell bewährbar zu machen, kriegen wir keine Kohle. Deswegen das als erster Punkt. Nachdem wir also gesagt haben, wir haben unseren Finanzmensch oder unseren Geschäftsführer aufgeweckt und er beschäftigt sich mit dem Thema, dann muss ich auch eine Lösung bringen können.
Dann hilft es ja nichts, dass ich sage, wir müssten was tun, aber ich weiß nicht, wie. Die gute Nachricht ist, der deutsche Staat hat schon richtig viel Kohle ausgegeben für dieses Thema. Das BSI hat einen exzellenten Guide gemacht. Der wird nur ständig hinter dem Thema Zertifizierung betrachtet und nicht unter dem Prinzip, hey, da kann ich auch was raus lernen.
Das BSI hat nämlich Dokumente und Tools und Werkzeuge und Fragen und Maßnahmen schon vorgeschlagen, mit die man eigentlich tun müsste. Die meisten denken beim BSI immer nur an BSI Zertifizierung. Und das ist einer der größten Fehler, die man machen kann. Da liegt richtig viel Wissen in den Dokumenten. Die gucken wir uns dann an und dann habe ich natürlich jetzt alle aufgeweckt,
habe gesagt, okay, es gibt eine Lösung, da gibt es 7.000 Dokumente, ja, aber die will ich ja nicht alle lesen und wie kann ich das ganz praktisch umsetzen. Das ist dann der letzte Schritt, den wir heute machen werden. Okay, also Datenschutzgrundverordnung, ganz kurz, wurde 2016 festgelegt. Sollte seit 2018, Mai 2018, müssen alle diese einhalten.
Wer hat das Gefühl, in seiner Firma wird der Datenschutzgrundverordnung vollumfänglich Rechnung getragen? Vielleicht für die Zuschauer, es melden sich ein paar. Die meisten glauben auch Datenschutzgrundverordnung heißt nur,
ich muss auf meiner Website eine neue Datenschutzerklärung reintun. Die meisten glauben das, ich weiß, dass das nicht so ist. Wir müssten eigentlich alle schon fertig sein. Jetzt gibt es gewisse Studien. TÜV habe ich jetzt die letzte rausgesucht.
30% der Umfrage, die die TÜV gemacht hat, sagen, wir sind bei teilweise oder gar nicht. Teilweise oder gar nicht. Ich wette, da sind auch mindestens 20, 30 andere Prozent irgendwo drum, die das alles gerade schön rechnen. Die sagen, ich habe eine neue Datenschutzerklärung gemacht.
Ich bin DSGWO-konform. Und wenn man hier so rumfragt, eine Frage mal, wer arbeitet in einer Firma? Das ist wichtig, nächste Frage. Also hier für die Zuschauer so 50% ungefähr, von denen, die sich gerade gemeldet haben. Wer hat von seinem Arbeitgeber ein Schreiben bekommen, wie er zum Beispiel mit USB-Sticks umzugehen hat?
Das sind nicht alle, die sich gerade gemeldet haben. Das sind aber überraschend viele, muss ich sagen. Ich bin jetzt gerade überrascht. Warum? Ich meine, wir sind techies. Wir wissen, so ein USB-Stick kann richtig gefährlich sein. Und ich habe auch mal extra die Mühe gemacht, so ein ESP-Board so zu programmieren.
Das sieht aus wie ein USB-Stick und das tut dann irgendwelche wilden Dinge. Das kostet kein Geld. Das meiste Geld muss ich ausgeben, um das Ding schön zu kriegen. Und was passiert, wenn man solche Dinge auf den Parkplätzen der Firma rumlaufen lässt? Ausstreut? Da gab es eine Studie, 30-40% werden eingesteckt.
Und nicht, weil die Leute doof sind, sondern weil sie hilfsbereit sind. Weil sie denken, mein Kollege hat ein USB-Stick verloren, ich möchte ihm gerne helfen. In welcher Firma wisst ihr, dass euer Management auf dem Flughafen den dort eingebrachten USB-Ladegerät benutzt?
Also nur einer meldet sich, der weiß, dass das Management das tut? Das glaube ich nicht. Wenn ich da rumlaufe, habe ich das Gefühl, kennt ihr so einen Teil? USB-Kondom kostet 2,50 Euro. Damit kann ich auch jeden USB-Ladegerät benutzen, weil das trennt mir meine Datenleitung vom Stromleitung ab.
Warum habt ihr das nicht alle, die in Unternehmen arbeiten? Weil eigentlich müsste das verteilt werden. Wie bitte? Ich will jetzt nicht andere Sprüche zum Thema Kondome bringen, aber die werden in der Regel benutzt.
Die sollten als Kitt mit der Sichtschutzfolie für die Bahn kommen. Genau, aber ich will auch nicht über das Telefonieren sprechen und so weiter in der Bahn. Also diese Datenschutzgrundverordnung hat im Wesentlichen ein paar neue Anforderungen.
Das ist jetzt mal ganz grobe Zusammenfassung für die, die sich damit nicht beschäftigt haben. Das Schlimmste war natürlich die Datenschutzerklärung. Deswegen haben Webseiten angeblich zugemacht. Und es gibt immer noch heute Firmen, die haben diese Datenschutzerklärung nicht in die Reihe gekriegt. Die tragen eine rote Laterne auf dem Kopf. Da steht, ich bin nicht DSG- oder VU-konform.
Dümmer kann man nicht sein. Dümmer geht es nicht. Also da kann ich genauso gut jedem auf den Hemdkragen draufstehen, ich bin doof, der Firma. Das ist immer noch nicht in den Griff bekommen. Das Fazit ist von Verarbeitungstätigkeiten. Das ist eine ganz wichtige Sache. Man muss mal gucken, was macht man überhaupt mit seinen Daten. Man braucht manchmal einen Datenschutzbeauftragten.
Ganz wichtig, die weiteren Rechte des Verbrauchers. Die müssen nicht nur in der Datenschutzgrundverordnung oder der Datenschutzerklärung stehen, sondern die muss man auch implementieren können. Wenn ihr heute von eurem Firma entlassen werdet und ihr sagt, ich möchte meinem Chef nun mal ein richtiges Ei auf die Schiene nageln, dann sagt ihm doch ganz gerne einfach mal, gemäß Datenschutzgrundverordnung
hätte ich gerne alle meine Personen bezogen in Daten der letzten sechs Jahre. Ja, ihr lacht, das muss der können. Dann ist der richtig am Rollen. Und wie viele Tage hat der Zeit, wer weiß das? Wie viel? 30 Tage. Das sind zwei Tage mehr als vier Wochen.
Die können entscheiden sein. Das heißt, der muss dann richtig rödeln. Oder ihr habt einen Kunden, der ist nicht zufrieden mit eurer Leistung. Der sagt dasselbe. Und nach 30 Tagen habt ihr eine Brieffreundschaft mit dem Datenschutzbeauftragten, die kein Mensch braucht. Das ist echt ätzend. Das bringt das geschäftlich voran.
Was war noch da? Blablabla. Meldest du dich vom Vorfällen? Hey, das kann ich nicht einfach ignorieren wie früher. Ich bin verpflichtet nach 72 Stunden glaube ich, das Ding beim Datenschutzbeauftragten zu melden, wenn mein Webserver gehackt worden ist.
Beim Landesdatenschutzbeauftragten. Nicht intern, sondern extra. Öffentlich. Richtig. Mit Brieffreundschaft. Und es gibt eine Forderung nach der Sicherheitskonzeption. Da kann man immer überlegen, wie stark die ausgelegt wird. Es gibt immer noch Leute, die behaupten, man braucht keine. Ich glaube die meisten sagen inzwischen, man braucht eine.
Da kann man klein machen, aber man kann es auch vernünftig machen. Gut. Wenn da Daten rausgegangen sind von Kunden. Webserver gehackt für ein Stream ist nicht alleine meldepflichtig, aber wenn dabei Daten von Kunden rausgegangen sind, dann schon.
Wenn das Risiko entsprechend hoch ist für die Kunden. Nein, immer. Die Meldepflicht ist nur bei Risiko. Nein. Risiko gegen Recht und Freiheit der Betroffenen. Richtig, wenn ich jetzt gerade einen Job betreibe, dann kann ich mir natürlich überlegen, ich würde es eher tun, als dass ich es nicht tue.
Und das ist auch richtig so. Hier so ein schöner Fall aus Kirchen. Da komme ich in der Nähe von her. Ein sehr gutmeinender Mitarbeiter hat eine Arbeit mit nach Hause genommen, hat seinen USB-Stick auf den Parkplatz verloren. Da waren Daten von JVA, also von Knastbeamten, drauf.
Mit Adresse und einem Pieper pro Umwerting gefunden. Ein Inhaber. Also ein Insasse. Ja, also nicht ein Inhaber. Ein Insasse. Das ist richtig uncool. Also ich meine, wenn man da als Knast wäre, dann hätte ich die Gegend, also als Dienstverzugsmitarbeiter,
ich will das jetzt nicht dispektierlich machen, wenn man da arbeitet und auf einmal weiß, jeder wo man wohnt, das kann doof werden bei den Kunden, die man da betreut. Ja, und das ist ja jetzt noch nicht mal so ein Hack. Das ist einfach nur falsche Ausbildung. Das ist einfach nur, ich habe den Mitarbeitern nicht gesagt, dass er das nicht tun darf.
In den meisten Fällen. Vielleicht haben sie es ihm gesagt und er durfte es nicht tun und er hat dagegen gehandelt. Das kann natürlich auch sein, das weiß ich jetzt nicht. Aber ich bin mir sicher, in den meisten Firmen wissen die Mitarbeiter nicht, dass sie das nicht dürfen. Oder dass man USB-Sticks verschlüsseln muss. Oder noch besser, wir machen bei uns so wenig Backup und ich wollte Backup machen, damit die Daten hier
von meiner Firma nicht verloren gehen. Ich habe eine Backup auf eine USB-Platte gemacht, habe sie mir nach Hause genommen. Dann habe ich sie halt dummerweise mit verloren. Ich wollte eigentlich etwas Gutes tun. Da lacht jemand, das passiert. Und was ganz wichtig ist, das Ganze darf man mal zählen und bekommen.
Da unten ist diese kleine Zahl, das sind die Strafen, die früher möglich gewesen sind. Und jetzt reden wir von 200 Millionen, oder 4% Jahresumsatz. Jahresumsatz. Egal von welchem Jahr, das wird wehtun.
Nicht gewinnen. Umsatz. Da sind alle Kosten mit dabei. Das sind große Summen. Am Anfang haben alle noch geglaubt, das ist ganz schlimm, war eine Datenschutzerklärung, ich muss meine Website offload nehmen, weil diese da greifen. Hat sich alles nicht so wild herausgestellt.
Aber es wird anzugreifen. Hier ein Beispiel aus Portugal, 400.000 Euro. Die haben halt mit ihrer Rolle Arzt ein bisschen weit gegriffen. Da gab es dann irgendwie deutlich mehr Benutzer, die den Zugriffsrecht eines Arztes hatten, als es Ärzte gab.
Jetzt kann man natürlich sagen, Dumm hat jetzt ein Krankenhaus erwischt, ist jetzt doof gelaufen, dass es gerade die gewesen sind. Wegen der betroffenen Daten. Bei Krankenhäusern sind ja jetzt in den meisten Fällen aber inzwischen auch schon nicht mehr wirtschaftlich orientiert. Ein Fall, oder? Den Fall werde ich jetzt zweimal benutzen.
Marriott, 99 Millionen Pfund. Und da unten wird auch noch erwähnt, Boeing, British Airways, 183 Millionen Pfund. Das ist richtig viel Geld. Das ist richtig, richtig viel Geld. Und das kann man natürlich sagen, hey, ich bin klein, mein Herz ist rein,
das wird schon nicht so teuer werden. Kann man machen, aber werden wir gleich dazu kommen. Dann gibt es natürlich die Geschäftsführer, jetzt können wir so ein bisschen die Management-Organisation. Also ihr merkt, wir machen jetzt das Ganze jetzt finanziell greifbar. Also wenn euer Manager oder Geschäftsführer sagt, brauche ich nicht, das ist nicht wichtig für mich, das bringt mich nicht weiter, muss man Zahlen auf den Tisch legen.
Zahlen, zum Beispiel, ich habe einen, mein Unternehmenschef ist 55 und will in sieben Jahren verkaufen. Und in die Rente gehen. Dann sagt sich, hey, den ganzen Scheiß tue ich mir nicht mehr an, da soll man Nachfolger machen. Weil wir das Unternehmen verkaufen. In diesen großen anzugtragenden Firmen ist eine Firma total cool, Gartner.
Gartner, nicht mal Unternehmensberater, kennt ihr vom Namen her, die sagen wichtige Dinge. Die sagen zum Beispiel, Cybersecurity ist kritisch für Merger und Acquisition, also kaufen und verkaufen von Unternehmensanteilen. Wenn der 55-jährige Chef in sieben Jahren sein Unternehmen verkaufen möchte und seine Informationssicherheit nicht auf die Reihe bekommt,
dann kann er sich vielleicht kein Haus in Florida leisten, sondern nur am Bodensee. Aber wenn er jetzt normalerweise in Florida geplant hat, oder keine Ahnung was, oder vielleicht auch die Haus größer unterschiedlich gewesen ist, das heißt, der muss davon ausgehen,
dass wenn er jetzt nicht anfängt, seine Unternehmenssicherheit auf die Reihe zu bekommen, wird er weniger Rente bekommen, oder Geld für seinen Verkauf. Oder, noch schlimmer, er kann es gar nicht verkaufen. Oder, ein anderer Fall, das ist jetzt nicht der, der seine Unternehmen verkaufen möchte,
sondern der möchte etwas für etwas kaufen. Der möchte vielleicht vom anderen eine Abteilung kaufen, damit er wächst. Gilt dasselbe Prinzip. Ich kaufe mir irgendwo eine Abteilung, und was passiert drei Wochen später?
Spielfreundschaften. Weil nämlich die gekaufte Abteilung mir ein Tierpark reingebracht hat. Habe ich schon mal Marriott gesagt? Das war nämlich ein Fall, die haben sich nämlich so eine kleine Hotelkette gekauft, und die kleine Hotelkette hat nämlich diesen Fall mitgebracht. Und wenn ich nicht in der Lage bin,
meine eigenen Tiere auf die Reihe zu bekommen, und wie bin ich in der Lage, bitte fremde IT zu beurteilen, die ich bei mir reinbringen möchte? Ihr merkt, das hat mit IT, mit Informationstechnologie nichts zu tun. Das ist alles nur Argumente, um die Kohle zu bekommen, die Projekte zu machen, die wir eigentlich für wichtig erachten. Und das ist alles geschäftsführungsrelevant. Unternehmenswert, ich möchte Unternehmen verkaufen,
ich möchte mein Unternehmen verkaufen, ich möchte Abteilungen verkaufen. Nächste Frage, die man bekommt, aber ich werde schon nicht gehackt. Wir lachen alle, wir wissen alle, es ist nicht die Frage wann, ob, sondern nur wann. Aber die Frage ist auch vollkommen banane. Weil es geht nicht darum, ob ich gehackt werde.
Das sind nicht die Fälle, das ist natürlich jetzt bei Marriott, und die großen Fälle sind das, ist das der Fall. Aber wie sind denn die aktuellen, was glaubt ihr ist die Topliste von den Dingen, die momentan gemeldet werden? Gemeldet werden. Das kann ich sogar nachweislich sagen. Gemeldet werden derzeit am häufigsten Kinderfotos.
Nein, Datenschutzfälle. Ja, Datenschutzfälle von Kinderfotos. Data breaches gemäß die Datenschutz-Grundverordnung sind die nicht. Also die Behörden sagen, die haben die meisten Meldungen für Kinderfotos. Das zweite sind Meldungen von Mitarbeiterdaten. Postfehlversand.
Oder E-Mail-Fehlversand. Das heißt, hier meine Kundennaten oben in die Adresse für den falschen Empfänger reingeschrieben. Geht dummerweise woanders hin. Ist meldepflichtig. Das heißt, ich bin danach verpflichtet, alle anzuschreiben.
Also nicht immer. Aber pauschal laufe ich Gefahr, dass ich alle anschreiben muss, deren Daten da irgendwo hingegangen sind. Das sind auch Briefe an Kunden, wo man schreibt. Tut mir furchtbar leid. Aber dummer Fehler unterlaufen.
Ihre Daten mit den Kaufdaten der letzten drei Jahre sind leider bei der BILD gelandet. Ist doof. Diebstahl eines Datenträgers. Verwendung einer E-Mail mit offenem Adressverteiler. Habt ihr schon mal erlebt, kennt ihr? Schon mal gehabt?
Das ist meldepflichtig. Also wir reden nicht davon, dass der Geschäftsführer glaubt, er wird nicht gehackt. Sondern dass der Geschäftsführer weiß, dass man schon mal eine E-Mail falsch geschickt hat. Davon ist auszugehen. Das sind wirklich Argumente, um dem Management und dem Geschäftsführer
deutlich zu machen, wir müssen da was tun. Es geht nicht nur um die Firewall oder den Virenschutz bei Informationssicherheit. Verlust Datenträger. Das sind Daten, die der Landesdatenschutzvorauftragte Baden-Württemberg im Juli 2019 rausgegeben hat. Ich bin klein,
wird schon nicht so teuer werden. Ja, vier Prozent. Zwei Millionen wären es nicht. Vier Prozent ist nicht so schlimm. Das sind ja nur die Strafen. Aber was habe ich denn für andere Kosten aus so einem doofen Hack? Jetzt nicht aus einem E-Mail Fehlversand, sondern aus einem... Mein Webserver ist gehackt worden. Also man hat auch noch Zivilkosten,
auch ein Zivilrecht. Ich kann ja irgendwie Schmerzensgeld und wer weiß was noch eigentlich. Genau, wenn ich Beate Huse bin und meine Bestellungen sind rausgegangen. Oder ich... Keine Ahnung, ich verkaufe Windeln und ich habe Windeln an Leute verkauft, die normalerweise keine Windeln tragen. Die finden das nicht lustig, dass bekannt geworden ist, dass man als 56-jähriger Mann noch Windeln trägt.
Ja, ihr lacht. Aber so muss man mit dem Management diskutieren. Was glaubt ihr, was denn so eine durchschnittliche Data-Bridge kostet bei einem Unternehmen von 500 Mitarbeitern? Nicht an Strafen, sondern einfach so auch wieder aufsetzten Server,
irgendwelche Rechtsanwälte, externe Forensiker, was man da alles so tun muss. Wie viel? 2,2 Millionen. Das ist jetzt in Amerika eine Studie gewesen der IBM. Durchschnittlich kann man darüber diskutieren.
Hey, komm, machen wir eine Null weg. Machen wir eine Null weg. Machen wir durchschnittlich 200.000. Das ist ein gutes Projektbudget für den IT-Informationssicherheitsdesign, oder? Wenn man eine Null wegmacht, durchschnittlich. Ja, das heißt, da waren noch größere und kleinere dabei. Also, wir machen eine Null weg, sind wir bei durchschnittlich 200.000,
und dann machen wir es ein bisschen kleiner, sind wir bei 100.000. Da kann man doch schon mal arbeiten mit, oder? Also, ich bin klein, mein Herz ist rein, reicht auch nicht. Das Ding wird auf jeden Fall teuer. Also, wir haben festgestellt, es ist wahrscheinlich, ich habe jetzt noch nicht die Angstkarte gezogen, mit wie vielen Heckeangriffen gibt es
und wie viele Fischling-Attakten auf Geschäftsführer. Die Karte habe ich noch gar nicht gezogen. Ja, ich bin nur bei Finanzkosten gewesen. Ja, die andere, die muss ich auch kennen, aber das haben wir drauf, das bin ich jetzt hier nicht erzählt. Gut, also, fehlendes Informationssicherheit heißt also, zum einen, wir haben ein starkes, stärkendes Risiko für empfindliche Strafe,
und das hat mich jetzt wieder ignoriert, das war nicht schlimm. Aber sinkende Unternehmenswerte, steigende Versicherungskosten, dafür müssen wir ausgehen, weil wenn ich die ganzen IT-Sicherungen, die es momentan gibt, die werden mit Sicherheit übermorgen fragen, hey, du hast einen Data Breach gehabt, zeig mir mal kurz nach, weiss mir mal kurz nach, dass du nicht doof gewesen bist.
Und dann möchte man ein IT-Sicherheitskonzept sehen, wo drinsteht, was hast du denn getan, damit du nicht ganz doof dastehst. Das ist eine Frage, die ich immer schön bekomme von Unternehmen. Gibt es dafür eine Versicherung gegen die Strafen? Gegen die Strafen? Oder gegen diese Vorfälle? Ja, es gibt, glaube ich, IT-Sicherheit, es gibt da Versicherungen, aber die werden auch irgendwann mal nicht einfach mal so bezahlen.
Die wollen immer mal sehen, dass man nicht sozusagen eine offene Firewall gehabt hat. Es gibt Versicherungen, aber viele Gerichte verbieten, dass die Versicherungen greifen dürfen. Also gegen die Strafen können die Gerichte einwenden,
dass die Strafen nicht durch die Versicherung gedeckt werden dürfen. Aber habt ihr mitbekommen, wie viele Städte und Krankenhäuser in Amerika momentan von Ransomware betroffen sind? Das greift er wirklich um sich. Also da gibt es Städte wie Baltimore oder andere große Städte,
die können schon seit vier Wochen nicht mehr arbeiten. Wir hatten das auf einem kurzen Fall in Bayreuth oder Baden-Württemberg, wo ein paar Krankenhäuser betroffen worden sind. Die Kosten sind ja nicht nur die Strafe, die ich vielleicht bezahlen muss, sondern die Kosten, die ich dafür aufgeben muss, die ganze Hardware aufzubauen und Pieperpo. Aber auch da werden die Versicherungen bald nicht mehr bezahlen, wenn ich nicht nachweise, dass ich mir nicht dumm verhalten habe.
Versicherungskosten und die Risiken beim Verkauf und Verkauf von Unternehmen, das sind einfach Dinge, die fallen. Mit diesen Argumenten kann man auch mit dem Management sprechen. Also das sind kostenorientierte Argumente, nicht mal als Angst mit technischen Argumenten. Jetzt gibt es natürlich die Frage, wo gibt es die Lösung? Es gibt eine IT-Sicherheitskonzeption.
Das ist im Prinzip etwas, was das BSI momentan normalerweise voraussetzt, wenn man sich zertifizieren lassen möchte. Das muss ich aber nicht tun. Ich kann dieses Dokument auch einfach so nehmen und nachgucken, was schlägt dem das BSI vor, was ich tun soll. Weil wenn er nämlich dem nächsten Fall eintritt und dazu zu nehmen wird gefragt,
warum hast du nicht das gemacht, was das BSI veröffentlicht hat, dann steht man doof da. Man muss nicht unbedingt zertifizieren. Man kann einfach sagen, wir nehmen einfach mal das, was da drin steht und fangen an zu arbeiten und uns zu verbessern. Dann habe ich nämlich auch bei der nächsten Brieffreundschaft bessere Karten. Weil ich wenigstens sagen kann, ich bin auf dem Weg, ich habe das und das getan,
das ist mein Plan. Ich habe mich halt dummerweise gerade erwischt, das könnte die Strafe reduzieren. Die Idee der Grundschutz ist relativ simpel. Es gibt es schon seit Jahren. Es wird seit Jahren erfolgreich ignoriert. Wiederverwendbarkeit, Anpassbarkeit, Best Press. Nicht jeder 500 Mitarbeiter im Unternehmen
hat das Geld, diesen ganzen Quatsch zu organisieren und zu untersuchen. Das liegt da rum. Das ist da. Da steht drin, was muss ich bei einer Firewall tun? Da steht drin, was muss ich bei einem Datensicherheitskonzept machen? Da sind Templates für Mitarbeiterdokumente.
Da sind Templates für IT-Sicherheitsrichtlinien. Das ist da. Das kann ich ignorieren, aber das ist doof. Ich muss natürlich ein bisschen Zeit investieren, mein Management damit beschäftigen und ich muss Sachen tun. Da steht drin, was sind denn die typischen Schwachstellen und Risiken? Ja, die gelten teilweise für Atomkraftwerke. Ja, die muss ich nicht alle beachten.
Aber ich kann eine Entscheidung treffen, dass ich die halt nicht beachte, sondern nur die rauszuge, die für mich relevant sind. Aber ich bin zumindest mal strukturiert vorgegangen. Empfehlung, Maßnahmen werden bereitgestellt. Wir können uns doch mal so einen angucken. Wie sieht das hier aus? Ich mache noch etwas größer hier, Ctrl plus.
Ich gehe jetzt nicht im Detail rein, aber damit ihr mal seht, was da ist. Gucken wir die Organisationen und das Personal an. Da steht zum Beispiel drin, Sensibilisierung und Schulung. Was muss ich tun? Welche Zielsetzung hat das? Was ist nicht zu tun?
Welche Bedrohungen gibt es? Ich wusste gar nicht, dass ich meine Daten nicht auf USB-Stick drauf tun kann. Das kann man ganz einfach lösen. Das Problem hat ein Dokument, wo steht, lieber Mitarbeiter, wenn du eingestellt wirst, keine Daten auf USB-Stick. Ist das Thema weg? Wenn das dann immer noch tut, dann bist du zumindest als Unternehmerfein raus und kannst sagen, ich kann doch nicht auf der Tasche kontrollieren.
Aber du hast zumindest dieses Thema, dieses Risiko adressiert. Wenig Aktivierung der Sensibilisierung, unzureichende Schulung, nicht erkanntes Sicherheitsfallfeld. Was machen denn eure Mitarbeiter, wenn sie diese Meldung bekommen, ist ein Virus da? Was machen die denn in Unternehmen?
Okay klicken? Gibt es eine Vorschrift in euren Unternehmen, wo drin steht, rufen sie die 331 an? Der Kollege, der die ganze Zeit nickt, sagt ja, bei uns ja. Aber da hat man sich die Gedanken gemacht. Aber ich glaube, ich komme immer wieder bei meinen Kunden
in Situationen, wo die Mitarbeiter nicht wissen, was sie tun sollen, wenn das Handy verloren geht. Wie kriegen sie ein Betriebshandy? An wen sollen sie sich wenden, wenn das Handy weg ist? Denen wurde nie gesagt, dass sie ihre Fenster zuschließen sollen. Wenn das Fenster auf Kipp steht, dann wird der PC geklaut. Das ist dumm gelaufen.
Das geht nicht immer um Firewall. Es geht um praktische Dinge, wie schließen sie ihre Sachen ab, Fenster zuschließen, Büro abschließen, wenn man rausgeht. Da gibt es Dokumente, wo drin steht, und da schreiben Sie hier rechts, dass Sie das wissen. Die kann man runterladen. Die muss ich nicht alle neu schreiben.
Ja, da muss ich anpassen, und da muss ich ein paar Dinge tun. Oder hier Schlüsselregelung. Gibt es hier jemanden, bei dem klar ist, dass man nicht genau weiß, welcher Schlüssel auf welche Tür passt? Oder wer welche Schlüssel hat? Vom Unternehmen?
Schon mal vorgekommen? Okay, viele sagen nein. Es gibt das. Die Lösung liegt hier. Ganz viele Dokumente, ganz viel Wissen. Ganz viele Sachen, die man re-usen kann. Und ja, ich muss Arbeit reinstecken, um mich einen Teil davon zu lesen. Das ist jetzt nur begrenzt hilfreich. Jetzt habe ich nur ein bisschen Hoffnung gemacht, dass es Hilfe gibt.
Standardvorgehen wird alles beschrieben. Staaten, Strukturanalyse, Schutzbedarfsverstellung, Modellierung, bla bla bla. Es gibt hervorragende Dokumente, mit denen man das machen kann. Es gibt auch Leute, die beraten einen da. Das Dumme ist, aus meiner Erfahrung, die Leute, die einem in den BSI Grundschutz beraten, kommen immer aus der Zertifizierungs-Ecke. Die denken immer sofort in ISO 27001
und keine Ahnung, was für Zertifizierungen. Das ist halt nicht immer kompatibel mit dem normalen Mitarbeiter. Aber auch da kann man helfen. Das kann man auch sehr pragmatisch machen. Das muss auch nicht alles bis zum letzten durchgemacht werden. Man kann einfach mal anfangen.
Jetzt haben wir da draußen ... Was ist denn da los hier? Das Ding ist total cool. Das ist ein Open-soft-Produkt. Ich finde das wirklich gut. Datenschutzfeindlich? Warum? Da gab es mal Anzeigen gegen Verynice. Es ist kostenlos,
aber man muss erst mal seine Seele verkaufen. Man hat auch da irgendwo Felder, wo man personenbezogene Dateneintrag muss. Ja, natürlich. Moment mal. Dass man da personenbezogene Dateneintrag muss, ist klar. Aber das ist nicht datenschutzfeindlich. Wenn ich als Mitarbeiter eine Rolle wahrnehme, muss ich davon ausgehen, dass irgendwo steht, dass ich die Rolle wahrnehme.
Das ist ein Open-soft-Produkt. Läuft auf verschiedenen Plattformen. Das gibt es als Demo- und Kaufversion. Und das gibt es auch als Open-soft-Produkt auf GitHub. Die Firma, die sich ganz so begeistert oder ganz so offen mit der Kommunikation der GitHub-Variante, kann ich verstehen, die wollen Geld verdienen.
Aber es ist open source. Und das kann ich runterladen und kompilieren. Das ist ein bisschen frickelig. Also das runterladen und kompilieren. Da muss man schon dicke Rechner haben. Aber es geht. Das heißt, ich kann diese Einzelplatzversion einfach loslegen. Und für mein 500 Mitarbeiterunternehmen reicht das in der Regel vollkommen aus. Und wenn ich da Bedenken habe, kann ich in den Quellcode gucken
oder ich nehme den Rechner halt offline. Es geht auch darum, die Löschpflichten, dass die eingehalten werden, dass wenn ihr Mitarbeiter geht, dass ich die Namen da rauskriege und so weiter. Also als Datenschutzbeauftragter, very nice, ist so ein bisschen kritisch. Okay, gut, aber selbst wenn ich jetzt, wir gucken uns das ja mal ganz kurz an. Wenn man da erst mal reinschaut, weil wir hier auf einem falschen Terminal gehen,
ich habe hier auf der linken Seite diese ganzen Dinge, die ich gerade gesehen habe, die auf der HTML-Seite stehen, die ich nicht lesen möchte. Die habe ich da alle schön hinterlegt. Dann kann ich hier in der Mitte, kann ich mein Unternehmen modellieren. Also ich kann sagen, ich habe 20 Betriebs-PCs,
ich habe drei Personal-PCs, ich habe vier Windows-Server und solche Dinge. Also da kann ich das aufnehmen, was ich habe. Da kann ich auch noch Tools dran benageln, die mir das von woanders rauslutschen, wenn es unbedingt sein muss. Und dann sage ich zum Beispiel, ich muss jetzt hier mich damit beschäftigen,
keine Ahnung. Hier steht dann zum Beispiel drin, regelmäßige Datennutzung. Wir sind hier gerade im Bereich Client. Bildschirmsperre ist sicher gelegt, dass alle Bildschirmschonahmen in der Bildschirmsperre reinhaben. Ihr lacht vielleicht, aber das haben nicht alle. Kann man abhaken,
kann man Reports rausziehen und ich kann dann einfach hingehen und kann so einen Freund hier, wenn er zutrifft, auf mein Ding draufziehen. Und dann kann ich zum Beispiel, das nennt man dann Modidierung, dann kann man sagen, ich habe einen Windows-2008-Server, was muss ich denn auf BSI tun, um einen Windows-2008-Server abzusichern?
Dann kann ich diesen Freund da rüberziehen und dann kriege ich eine Liste von Aufgaben, die ich tun muss. Davon kann ich die Hälfte ignorieren, weil es vielleicht nicht relevant ist oder weil ich es erst übermorgen machen möchte. Ich kann das priorisieren nach einem Schema, das mir angemessen erscheint. Aber ich kriege zumindest auf diese Art und Weise eine handhabbare Liste von Dingen, die ich abarbeiten muss.
Und wenn ich da Datenschutzprobleme habe, dann muss ich da auch nichts eintragen, aber ich kann zumindest zum Beispiel mal sehen, was muss ich denn tun, um meine Organisationen auf die Reihe zu kriegen? Welche Schulungen sollte ich machen? Welche Sensibilisierungsmaßnahmen sollte ich machen? Wenn ich Homearbeitsplätze habe,
wie werden da Datensicherungen gemacht? Ich bin kein Mensch darüber nach. Homearbeitsplätze, total toll, aber Datensicherungen wird häufig vergessen bei diesen Arbeitsplätzen. Also da kriegt man tausende Sachen erzählt, die man eigentlich machen könnte. Und da kann man alles von ignorieren, wenn man das nicht machen möchte, zu dem jetzigen Zeitpunkt. Aber man kann einfach mal diesen Fahrplan nehmen
und damit loslegen. Ihr stellt Fragen zwischendurch. Ich hoffe jetzt mal. Wir kommen nämlich hinten bei der Fragerunde am Schluss ein bisschen zu wenig bei raus. Keine Fragen? Also ich mache jetzt hier keine volle Demo von VeryNice.
Wie gesagt, das kann man runterladen. Man kann sich auch einen Quellcode angucken. Man kann es anpassen. Ich habe auch zum Beispiel schon Erweiterungen bekommen, die beim Berliner Flughafen benutzt worden sind. Also... Bitte? Da gibt es auch... Das Wort Community möchte ich nicht benutzen.
Aber... Der Berliner Flughafen besteht ja auch aus Tegel. Das dürfen wir nicht vergessen. Ich habe das nicht nur BER gesagt. Also das wird auch wirklich benutzt. Das wird deswegen so häufig benutzt. Das ist deswegen sozusagen noch der Marktführer,
weil es sozusagen eine Open Source Variante ist. Es gab an Anfang des BSI Lebenszyklus und ein Werkzeug, das GS Keine Ahnung Tool hieß. Das war kostenlos. Das ist dann irgendwann von BSI eingestampft worden. Das ist sozusagen der Open Source Nachfolger. Deswegen haben das viele benutzt. Deswegen wird das auch bei vielen Städten und Kommunen und solchen Sachen eingesetzt. Und die setzen das immer ein
aus der Perspektive, ich muss mich zertifizieren lassen. Weil sie es halt müssen. Aber das muss man nicht tun. Man kann es auch einfach so tun, was sinnvoll ist. Und man kann zumindest nachweisen, welche von diesen Dingen, die das BSI vorschlägt, die für die Infrastruktur relevant sind, welche man da schon gemacht hat.
Das macht die Brieffreundschaft viel schlanker. Also, so sieht das ungefähr aus. Ich mache da jetzt keine volle Demo zu, wenn einer was möchte, noch Fragen haben. Ich gebe ein paar offene Punkte.
Dieses Very Nice Werkzeug kommt aus der BSI Zertifizierung. Hat im Prinzip alle Informationen, die ich euch bräuchte, um diese Verzeichnis der Verarbeitungstätigkeiten auch abzubilden. Also, ich muss zum Beispiel angeben, ich habe Personalabteilung, ich habe meine Businessprozesse, den muss ich da eintippen.
Zu dem Businessprozess sage ich, welcher PC dazugehört. Danach weiß ich, wenn ich den Businessprozess einkaufklassifiziert habe, dass ich schutzwürdige Daten habe, weiß ich danach, welcher Schutz der PC haben muss, der dafür notwendig ist. Das heißt, ich habe im Prinzip einen relativ guten Überblick über die Nutzung der Daten in meinem Unternehmen
und welche PCs welche Daten dann auch halten oder welche Daten benutzen. Es gibt laut DSGVO diese Anforderung an so ein Verfahrensverzeichnis. Das hat ja einen Teil der Daten. Das muss man
ein bisschen basteln. Das ist noch nicht so richtig fertig. Diese Firma sehr nett, die das produziert. Die arbeiten da in einem Modul, um das irgendwie schlanker zu gestalten, aber das scheint irgendwie noch ein bisschen zu ruckeln. Aber das kann man machen. Man kann die Daten auch direkt dazu benutzen, um seine DSGVO
Verfahrensverzeichnisse auszudrucken und zu erstellen. Das geht dann auch. Die Installation und Einrichtung dieser Open Source Version ist ein bisschen hakelig. Das kann man schlanker machen, aber das muss man als Hersteller nicht unbedingt, weil man ja andere verkauft. Kann ich verstehen. Da muss man wirklich einen Java-Compiler maven
und solche Sachen starten. Das mache ich nicht dauernd. Ich würde jedem raten, das ist ein Werkzeug, mit dem ich die Open Source Variante beginnen kann, mit der ich feststellen kann, dass es gut läuft oder auch nicht. Dann werde ich irgendwann mal als Unternehmen sagen müssen, dafür gebe ich auch Geld aus, weil ich mir Support habe. Aber das ist jetzt für uns nichts Neues.
Dass man für Open Source Software vielleicht auch Geld bezahlt, ist ja für uns eigentlich aus der Szene, in der wir hier vermutlich sind, ein legitimes Anliegen. Aber ich kann es ein bisschen reingucken. Und ich muss nicht sofort tierisch viel Geld ausgeben, um damit zu starten. Gut, damit sind wir so weit durch. Vielleicht nochmal als kurze Zusammenfassung.
Erstens, Informationssicherheit ist finanziell bewertbar. Aus meiner Erfahrung, auch aus der Erfahrung, die ich bei meinen Kunden in meinem früheren Leben und jetzt habe, ist, wenn ich da keine Dollars dranhängen kann oder Euros dranhängen kann, kriege ich kein Geld für ein Projekt.
Und das muss ja nicht mal das Geld sein, im Sinne von Dollars, die ausgegeben werden oder Euros. Das heißt ja auch, Manpower für interne Prozesse. Weil so eine Strukturanalyse, welche Anwendung habe ich überhaupt, die bindet ja Ressourcen. Oder welche Daten habe ich überhaupt
in meinen Projekten oder in welchen Anwendungen und wie wichtig sind die oder wie sensibel können die sein. Da müssen sich ja Leute zusammensetzen, die normalerweise Dinge produzieren oder Rechnungen schreiben oder andere Dinge tun. Also auch das Bereitstellen nicht nur von Geld, sondern auch von Manpower und Ressourcen interner
ist ja eine Geschäftsentscheidung, die das Management treffen muss. Habe ich da keine Zahl dran, werde ich es nicht kriegen. Es wird einen Fahrplan bereitgestellt. Es ist im Prinzip sehr viel da. Es ist nicht alles da, aber ich denke, es ist mehr da, als die meisten momentan verarbeiten können. Und erst wenn ich das festgestellt habe,
was da fehlt, dann bin ich schon Lichtjahre weiter. Also wenn ich festgestellt habe, welche Module für welche Server da fehlen, da habe ich ja schon so viel gemacht, dann kann ich ja schon verstehen, wie er im Tiefschlafmodus geht. Es sei denn, ich will mich zertifizieren lassen, dann geht das natürlich nicht. Und es gibt auch Softwareunterstützung,
die einem hilft, diesen riesen Moloch an Dokumenten, der da verfügbar ist, zu operationalisieren, Reports zu erstellen, Listen zu erstellen, Aufgabenlisten zu erstellen. Also das Ganze wirklich auf eine Projektart zu bekommen. Mit Projektart meine ich jetzt eher
in unstrukturierte Formatierungen, in unstrukturierten Text zu operationellen Aufgaben zu bekommen. Gut. Das ist sozusagen das, was ich soweit vorstellen konnte. Ich hoffe, es ist deutlich geworden, für uns Techies ist die DSGVO wirklich eine Möglichkeit,
um Dinge anzustoßen, die wir seit Langem machen möchten, für die wir kein Budget bekommen haben. Es ist im Prinzip sehr viel da. Wenn ihr da an der einen oder anderen Stellung vielleicht noch eine Beratung braucht, ich bin wieder in diesem Umfeld auch freiberuflich tätig, ich kann auch einen Anzug anziehen, wenn das notwendig ist, und das auch dem Management erklären,
vielleicht weniger lustig, als ich das heute getan habe. Aber das ist wirklich weniger überzeugend. Fangt einfach an, diese Dinge anzustoßen. Das geht alles alleine. Es gibt auch Beratungen, die dafür bereitsteht. Damit bin ich soweit durch.
Vielen Dank, Hagen, für den spannenden Vortrag. Wir haben noch einige Zeit für Fragen. Gibt es Fragen? Keiner traut sich? Ah, da.
Ich würde gerne noch was ergänzen zu der Diskussion Zertifizierung und IT-Sicherheitskonzept. Erstmal haben beide nichts miteinander zu tun. Das ist ganz wichtig. Das ist ja auch gesagt worden. Aber es hat wirklich gar nichts miteinander zu tun, weil eine Zertifizierung eines IT-Grundschutz-Handels braucht man
beispielsweise nur dann, wenn man im IT-Sicherheitsumfeld tätig ist und Produkte für andere entwickelt, die dann auch Verlass darauf haben möchten. Das heißt, dann würde ein solches Zertifikat sehr sinnvoll sein. Sonst brauchen wir das nicht. Es ist auch so, dass
diese einzelnen Kataloge, die der IT-Grundschutz bereitstellt, auf verschiedene Tiefen hat. Das heißt also, wenn ich hingehen möchte und für mich selber eine Einschätzung einer Beurteilung brauche, dann ist es meistens so, dass viele von den Fragen ignoriert werden können. Das weiß ich ja selber.
Und es ist aber auch so, dass die Fragen mit Ja oder Nein oder nicht entsprechend kann entsprechend weggelassen werden, beantwortet werden können. Wenn ich in eine Zertifizierung rein will, dann muss ich sagen Ja, weil. Und dann muss ich genau begründen, warum das so und so ist.
Das ist also ein erheblicher Arbeitsaufwand und ist auch ein großer Unterschied. Das heißt also für jemanden, der jetzt erst mal eine Sicherheit haben möchte, dass das, was er jetzt in der Firma macht, vernünftig und sicher ist, reicht die normale Vorgehensweise, dass man die Sicherheitskataloge dann nimmt und die einzelnen Bewertungsbögen ausfüllt.
Wichtig ist vielleicht dann auch, es gibt ein Modul nur für Grundschutz. Und was mir fehlte war, es gibt auch ein Standard-Datenschutzmodell. Da sind die Datenschützer in Deutschland ja dran, einen Katalog zu entwerfen. Ich glaube aber ehrlich gesagt nicht, dass sie da hinkommen, weil das, was das BSI jetzt gemacht hat, das ist sehr viel ausführlicher.
Das ist seit Jahren bewährt und das ist eigentlich noch die Grundlage. War da jetzt der Ton gerade an? Habt ihr das gehört? Also ich habe natürlich jetzt einige Sachen weggelassen in kürzester Zeit. Dieser BSI-Grundschutz, der ist sozusagen für Atomkraftwerke genauso anwendbar wie für
den Gaswasser- Linkspumms-Kollegen um die Ecke. Und da gibt es da auch gute Guidelines mit unterschiedlichen Stufen. Eine soll nur bis A machen oder B machen oder C machen und so weiter. Also da gibt es schon, man muss nicht alles durchlesen. Man kann in dem Verena das auch filtern und kann sagen, okay, mich interessiert das nur sozusagen der Basis. Und dann die ganzen anderen
Fragen, die muss ich auch nicht alle sehen. Ich will noch einmal kurz ergänzen. Datenschutz und Informationssicherheit sind natürlich auch zwei völlig unterschiedliche Themen, die sich gerne auch mal beißen, vor allen Dingen mit dem beschäftigten Datenschutz. Und man muss da wirklich gucken. In der DSGVO steht wirklich beim Verfahrensverzeichnis nur drin eine allgemeine Beschreibung der technischen und organisatorischen
Maßnahmen. Die Behörden kriegen die Krise, wenn sie da das komplette ISM kriegen, also das Informationssicherheitsding. Die wollen eine allgemeine Beschreibung, möglichst in einer Vierseite und nicht mehr. Aber hier war noch eine Frage. Du nicht? Ich nutze momentan diesen Hebel DSGVO
um die Informationssicherheit zu verbessern. Das ist ein bisschen illegal. Also ein bisschen unsauber. Das ist so. Aber das Leben ist kein Ponyhof. Und wenn ich die Möglichkeit habe, über diese Strafen und diese anderen Dinge, die sich aus dem GDPR,
das ist eine internationale Variante, ergeben. Das ist ja nicht nur in Deutschland so. Wenn ich die Chance sehe, mit diesen Argumentationsketten meine Informationssicherheit voranzubringen, dann tue ich das ja. Und wenn ich dabei nebenbei auch noch meine digitzlichen Vorschriften erfülle oder auch leichter erfülle, dann ist das ja super. Ich bin mir sicher, von den Leuten, die da gefragt worden sind bei der Einstudie,
die haben nicht alle Datenverzeichnis, also Anwendungsverzeichnis. Die haben nur gesagt, ich habe meine Website auf die Reihe gekriegt. Weitere Fragen? Ach, hier vorne gibt es so eine.
Vielleicht mal ganz allgemein was zu DSGVO was Praktisches. Du hast ja auch angesprochen, dass man natürlich auch das Recht auf Löschung hat und so weiter. Da sind aber zwei Sachen natürlich auch wichtig. A, dass die DSGVO nicht das höchste Recht,
was es in Deutschland gibt, sondern es stehen ja noch andere Gesetze darüber, warum man Sachen gar nicht löschen darf. Aber was mich noch viel mehr interessiert, ich habe das noch nie als gute Lösung gehört, was mache ich eigentlich mit Backups? Also wenn jetzt jemand sagt, der möchte etwas gelöscht haben und ich habe jetzt Backups der letzten 3, 6, was auch immer Monate,
da kann ich ja im Grunde nicht hergehen und die einzeln rauslöschen. Das ist ja praktisch fast unmöglich und widerspricht ja auch einen guten Backup eigentlich. Und da gibt es noch eine schlimmere Frage. Was ist mit Mailarchiven? Ich bin ja verpflichtet, Mailarchive zu haben. Keine Rechtsberatung. Bei einer Backup bin ich verpflichtet, dass wenn ich eine Backup einspiele,
irgendwo sicherzustellen, dass ich dann die Daten wieder lösche, die ich hätte löschen müssen. Wie immer ich das hinkriege, das war your problem. Das heißt, wenn ich jetzt sozusagen, ich hatte Mayer Müller auf meiner Kundenliste gelöscht und ich muss also irgendwie eine Liste mitführen von Dingen, die ich gelöscht habe, damit ich im Fall der Fälle, wenn das Backup wieder reingespielt wird, sagen kann, okay, ich habe seit dem Backup folgende Person gelöscht,
aber da ich ja ein tägliches Backup habe, brauche ich das ja nicht, oder? Das ist eine theoretische Frage. Zum Löschen in Backups. Die Lösung, die zumindest sowohl bei unseren Zertifizierungen als auch von unserem Datenschutzbeauftragten und so weiter akzeptiert wurden,
war, Filterlisten zu führen. Das heißt, jeder Löschauftrag wird natürlich im Live-System gelöscht, aber die aus diversen gesetzlichen oder Dienstleistungsvertrag technisch bedingten Langzeitarchive, da löschen wir nichts raus,
weder aus dem E-Mail-Archiv, noch aus der eigentlichen Datenbank führen, aber eine Löschliste. Das heißt, wenn eine solche Datenbank wieder geöffnet wird, wird dann die Löschliste auf diese Datenbank-Kopie wieder ausgeführt, sodass außer dem technischen Mitarbeiter
keiner direkten Zugriff auf diese Daten hat. Ob das rechtlich in irgendeiner Art und Weise haltbar ist, weiß ich nicht. Wir hoffen einfach immer, dass wir damit einen guten Willen zeigen.
Es ist auch, ich glaube, hier ist ein sprachlicher Fehler, Backups. Es ist ein Unterschied, ob Archiv oder Backup. Es ist ganz wichtig, ob ich ein Langzeitarchiv habe, weil ich muss archivieren, weil ich es aus irgendwelchen rechtlichen Gründen aufbewahren muss. Da sagt theoretisch, dass das
Datenschutzgesetz noch, oder die DSGVO, das Bundesdatenschutzgesetz, auch das BSI, man soll das auch noch pseudonymisieren nach Möglichkeit, oder ob ich ein Backup habe, was ich nächste Woche wieder lösche, oder was ich immer wieder überschreibe, einfach nur um den Server wiederherzustellen. Das ist ein massiver Unterschied in der Rechtsprechung, weil wenn ich die Archive habe, da habe ich Regelungen, da habe ich gesetzliche Vorlagen, und während die Backups, die sind ja nur
zur Wiederherstellung, da habe ich auch aktuelle Daten. Die Daten sind ja nicht ein Jahr alt oder drei Monate alt, sondern da ist das immer noch in der Einspruchsfrist und so weiter und so fort. Meine Backups sind ja Daten drin vom letzten Jahr. Ich habe einen Backup vom letzten Jahr. Ja, aber dann sind es Archive und keine Backups. Nein, ich habe einen Backup von einem Jahr. Ich lösche sieben oder
vierzehn Tage täglich, zwölf monatlich und drei jährlich. Ja, ja, Ende des Geschäftsjahres. Man muss löschen zum Ende des Geschäftsjahres. Ja, löschen, aber mein Backup kann trotzdem älter sein. Ja, aber dann ist es Archiv. Okay, keine Rechtsfragen. Keine Rechtsfragen heute mehr. Das sprengt diesen Rahmen. Das ist eine beliebige Geschichte,
ab wann ein Backup ein Archiv wird. Und es ist also so, die Datenschutzbehörden haben das erkannt und die Datenschutzbehörden wissen eben auch, man kann in einer Backup nicht löschen. Ja, wenn wir sehen, wie die klassische Backup noch vor ein paar Jahren war, da war denn das Ben da. Soll ich das dann rausschneiden?
Das geht gar nicht. Das Entscheidende hat der Kollege hier drüben schon gesagt. Typischerweise beim Löschen sind ja auch Löschprotokolle zu führen. Die hat man heute auch entsprechend elektronisch oder so. Oder bei Datenbanken ist ja klar, welche Befehle da sind. Und das bedeutet, ich muss beim Wiederherstellungsprozess, wenn ich also aus einem
Backup was wiederherstelle, dann das genau so machen. Ich lasse dann also nochmal dieses Löschprotokoll drüberlaufen, letztendlich, oder die Befehle, die da drunter waren. Und dann habe ich ja den Zustand, wie er vorher war. Ich glaube, es hat dort einen anderen aktuellen Fall. Es gibt ja auch sowas wie das Bundesarchiv. Das heißt also, sofern es dann um Historie geht, will
man ja gar nicht löschen. Da will man ja archivieren. Und auf einen Punkt, den ich nur teilweise angesprochen habe, wir reden ja immer jetzt gerade von Daten. Vergesst die Papiere nicht. Ich habe sozusagen einen Fall, den ich bei meinem Kunden hatte,
der ist auch erst deutlich geworden im Rahmen dieses Prozesses. Es geht um Ferienfreizeiten. Welche Daten werden bei Ferienfreizeiten eröffnet? Welche Daten werden eröffnet? Antritt, Reise, Kosten, bla bla bla. Weil es Ferienfreizeiten mit Kindern gibt.
Was gebe ich danach? Wer ist Eltern und hat schon mal abgegeben im Kontext einer Ferienfreizeit? So. Da gebe ich ab. Hat ihr Kind Allergien? Oh. Wir haben also auf einmal
Daten, die sind in der Kategorie BSI. Das ist doch so schön. Atomdaten. Also nicht mit klein, sondern wir reden von lebensbedrohenden Zuständen, wenn die Daten nicht sicher sind. Wie stelle ich sicher,
dass ich die Daten, die ich bekommen habe, zur Nussallergie, wirklich von den Eltern bekommen habe und nicht von einem Kind, das zufällig vergessen hat, das Ding bei den Eltern unterschreiben zu lassen? Das ist nur ein Beispiel. Das muss man irgendwie in den Griff kriegen. Aber bei diesem Prozess,
der Schadens, einer von diesen drei Prozessen, da geht man dann wirklich durch und sammelt die Daten ein, die da betrachtet werden. Nicht nur die Daten, die eingeklimpert werden, sondern die auch in Papierformen da sind. Dann stellt man fest, da habe ich richtig schlimme Dinge.
Wie stelle ich die Vertraulichkeit und die Integrität dieses Allergie-Informationen sicher? Nicht vergessen, wir reden nicht nur von IT-Daten. Deswegen am Anfang, Informationssicherheit ist nicht nur IT-Sicherheit. Sondern, jetzt haben wir einige Leute gerade geschluckt mit dem Beispiel, Mist, da gibt es noch ganz andere Dinge.
Oder andere Dinge, die ausgedruckt werden und nur in Aktenordnern da sind. Aktenordner fallen auch darunter. Ist es schon mal vorgekommen, dass bei euch eingebrochen worden ist und Akten weggegangen? Das würde schon mal passiert sein.
Ich meine, die wären auch meldepflichtig. Es sind strukturierte Daten, meldepflichtig oder gemäß Datenschutzgrundverordnung sind nur die Daten nicht, die auf einem Stapel Papier auf deinem Schreibtisch liegen. Also, je unstrukturierter, desto egal. Ich wollte noch was zu dem Backup sagen. Das ist so eine Problematik,
der ganzen DSG und VVO Diskussion taucht jetzt im Moment so auf, dass mit einer großen Werffelle gefunden werden, die doch jetzt so gar nicht mehr gehen. Ich finde es okay, wenn man das nutzt, um zu sensibilisieren oder um in den Unternehmen den Fokus mal draufzulegen, aber umgekehrt
ist es doch wirklich sehr überzogen. Die Backups sind auch nach Datenschutzrecht notwendig und vorgeschrieben. Das ist sogar ein notwendiges Tool. Es ist auch völlig okay, dass in den Backups sich noch personenbezogene Daten befinden und ist mit Sicherheit völlig ausreichend, wenn ich tatsächlich einen uralt Backup von vor einem halben Jahr einspiele, dann tatsächlich gucke, wieviel
Löschanforderungen nach dem Bundesdatenschutzkrieg hatte ich denn und die muss ich jetzt wieder einspielen. Aber wir reden jetzt auch nur über die DSGVO muss ich dann einspielen. Also ich muss jetzt nicht sozusagen und da ist die Erfahrung eigentlich, das ist überschaubar. Es ist also nicht so, dass ich jetzt einen riesen technischen Apparat aufbauen muss, um in
Backups zu löschen oder beim Rückspielen alles. Ich glaube, da wird jetzt sozusagen ein Popanzer aufgebaut, der nicht wirklich da ist. Wir sind wirklich in einem ganz anderen Bereich. Auch was du gerade angesprochen hast, diese Sachen mit den Kindergruppen, das ist doch etwas überzogen. Das ist nicht die Problematik.
Die DSGVO hat durchaus Augenmaß und wesentlich mehr Augenmaß, als das früher das Bundesdatenschutzgesetz hatte. Das sind natürlich Gesundheitsdaten, das sind zum Beispiel, wenn du Allergien abfragst, das sind natürlich Daten von Kindern, von Minderjährigen und so weiter. Aber
es ist kein juristisches Problem. Nein, nein, nein. Ich muss jetzt wirklich hart widersprechen. Ich habe nicht gesagt, dass ich ein DSGVO-Problem mit meinen Allergieinformationen habe. Meine Aussage war, im Rahmen der Informationssicherheit und zur Informationssicherheit versteht man Verfügbarkeit, Integrität, also sind die Daten richtig und sind sie wie
es waren drei Sachen. Aber Integrität der Daten. Und wenn ich im Kontext der BSI-Vorgehensweise prüfe, wie stelle ich sicher, dass die Integrität meiner Allergieinformationen sicher ist, hat mit DSGVO gar nichts zu tun. Hat damit überhaupt nichts zu tun. Hat es nur etwas mit zu tun, dass ich
die Sicherheit und die Integrität der Daten sicherstellen muss, die ich habe? Da muss ich mir Gedanken darüber machen, doch? Bei BSI muss ich das tun. Doch? Nein, aber... Da muss ich nicht nach dem BSI sichern. Halt, Halt! Nein, nein, nein, das war ganz viel Spaß vom Seite.
Wenn das Kind eine Nussallergie hat und dann da oben in Fensburg im Zeltlager auch immer Snickers isst und der Typ das nicht wusste, da muss ich mir schon überlegen, auch im Kontext der Haftbarkeit, wie habe ich sichergestellt, dass ich wusste, ob er eine Nussallergie hat oder nicht. Wir reden doch jetzt nicht davon, dass er ein bisschen Pickel bekommt. Also, das sind doch zwei völlig
unterschiedliche Paar Schuhe. Das eine ist die Frage, kriege ich verlässliche Informationen dazu? Da muss ich eventuell Framular abfragen oder sonst was sagen, muss ich bei ihrem Kind darauf achten. Das andere ist, dass ich aber ein Kind nicht rund um die Uhr überwachen kann und sage, wehe, ich sehe dich irgendeine Nuss angucken. Das geht gar nicht. Und wenn das niemand sagt
und wenn das Kind sagt, ich habe eine Nussallergie und es hat gar keine, auch das könnte theoretisch noch ein Punkt sein, aber wir sind, bewegen uns in einem Bereich, das hat nichts mit Datenschutz, hat auch nichts mit Informationssicherheit zu tun. Da habe ich eine Meinung. Also ganz sicher, die Daten werden auch nicht automatisiert verarbeitet, wenn da ein Kind kommen soll. Ich habe eine Nussallergie.
Wir haben ja die unterschiedlichen Meinungen, das ist ja nicht schlimm. Ich persönlich bin der Meinung, Informationssicherheit hat was mit der Integrität der Daten zu tun, egal welchen Daten ich bearbeite. Wenn ich Daten strukturiert in Papierform bearbeite, fallen sie auch in diese Klassifikation rein und ich muss dann sagen,
dass das Datum Allergie für eine Fehlenfreizeit hat einen sehr hohen Schutzbedarf. Das muss ich sagen. Das muss ich sagen. Punkt. Das ist aber bei allem auch, da kann das Kind schwimmen. Ich habe dann als Datenschutzbeauftragte gesagt, fragt doch bitte auch noch ab, wie gut, weil das sehe ich als Leib und Leben. Ich muss wissen, wie gut das schwimmen kann, da argumentiere ich, aber auch Artikel 6,1d
Leib und Leben. Nur wir haben auch in der DSGVO stehen etwas von umfangreich. Und umfangreich sind so Ferienspiele nicht. Da habe ich 20 Kinderdaten. Ich rede ja momentan nur von Informationen. Komm, ist nicht schlimm, wir haben hier unterschiedliche Meinungen. Lass uns noch ein paar andere Themen finden, wo wir noch ein bisschen was haben, oder sonst machen wir Schluss. Wir sind sowieso meine Ursache.
Das ist Viertel nach. Wir haben wahrscheinlich noch 2-3 Minuten. Gibt es noch Fragen? Das Schöne ist, man kann ja unterschiedliche Meinungen manchmal sein, das ist ja nicht schlimm. Wenn es keine Fragen mehr gibt, dann danke ich und dann kann der Stream geschlossen werden.