Kategorie: Infomationssicherheit
Integrierte Managementsysteme: Was macht Sinn?
Der Ausfall eines Lieferanten oder der Angriff auf die IT-Infrastruktur sind Risiken, denen jede Organisation ausgesetzt ist. Ein angemessenes Risikomanagement als Teil eines Managementsystems in den Bereichen Qualität, Informationssicherheit, Umwelt oder anderen hilft dabei, Resilienz gegenüber derartigen Ereignissen aufzubauen.
Die Herausforderung ist, die einzelnen Managementsysteme sinnvoll miteinander zu verbinden. Genau hier setzt ein Integriertes Managementsystem (IMS) an. Es stellt gemeinsame Management-Prozesse für mehrere Einzelsysteme bereit.
Risikomanagement in der Informationssicherheit
Grundsätzlich befasst sich das Risikomanagement mit allen Arten von Risiken, die bei einem Unternehmen Planabweichungen auslösen können, also z.B. mit strategischen Risiken, Marktrisiken, Ausfallrisiken sowie Compliance-Risiken und Risiken der Leistungserstellung. Die Anforderungen an das Risikomanagement werden in Deutschland geprägt durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) aus dem Jahr 1998 und dem darauf aufbauenden IDW Standard zur Prüfung des Risikofrüherkennungssystems nach § 317 Abs. 4 HGB (IDW PS 340). Demnach ist jedes Unternehmen in Deutschland verpflichtet, ein unternehmerisches Risikomanagement zu betreiben.
Wie bereite ich mich auf eine Cybersecurity-Krise vor – Dr. Ralf Stodt im Datenschutz Talk
Im zweiten Teil unserer Mini-Serie mit Dr. Ralf Stodt sprechen wir über die Vorbereitung auf den Ernstfall. Ausgehend von der Annahme, dass es keine Frage des „ob“, sondern nur des „wann“ man selbst betroffen ist, klären wir, wie man sich auf den Ernstfall vernünftig vorbereitet. Mit guter Vorbereitung vermeidet man Fehler, die den Schaden vergrößern und/oder eine Aufklärung verhindern könnten.
Dabei besprechen wir auch die Sinnhaftigkeit von Cybersecurity-Versicherungen, welchen Vorteil virtualisierte Systeme mit sich bringen und warum auch für Mitarbeitende eine Notfallkarte sehr wertvoll ist. Last but not least klären wir auch, wie die Wichtigkeit von Recovery-Tests (Wiederherstellungstests von erstellten Backups) einzustufen ist und worauf man sich dabei konzentrieren sollte.
01:51 Vorbereitung durch Notfallpläne
04:59 Wer ist meine 112
09:20 Cybersecurity Versicherungen
11:00 Ersteinschätzung
14:36 Erstreaktion bei virtuellen Servern
16:19 Forensik
17:50 Wichtig für Mitarbeitende
19:16 Vorbereitung der Wiederherstellung
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/wie-bereite-ich-mich-auf-eine-cybersecurity-krise-vor-dr-ralf-stodt-im-datenschutz-talk/
Verbesserung der Cybersicherheit in KMU – Dr. Ralf Stodt im Datenschutz Talk
Die Verbesserung der Cybersicherheit ist auch in kleinen und mittelständischen Unternehmen zunehmend wichtiger. Viele Unternehmer mussten das in den letzten Jahren schmerzlich lernen, die meisten können aber noch vorsorgen. Heiko Gossen geht in dieser Episode gemeinsam mit seinem Gast Dr. Ralf Stodt – Head of Security Operations bei magellan Netzwerke GmbH – der Frage nach, wie können KMU ihre Cybersicherheit auch bei kleinem Budget sinnvoll verbessern.
Unternehmen aller Größenordnungen haben Schwachstellen. Gegenüber großen Unternehmen stehen IT-Verantwortliche in kleinen und mittelständischen Unternehmen oft vor der Herausforderung, vom ohnehin engen Budget auch einen angemessenen Security Betrieb sicherstellen zu können. Daher gehen Heiko Gossen und Dr. Ralf Stodt das Thema mal speziell für Betriebe mit limitiertem Security-Budget an. Neben der Frage, wie und wo man sich über die Bedrohungslage informieren kann, geht es auch um Aufgaben die man teilweise intern lösen kann und wie man Angriffe früh erkennen kann. Die Aufnahme erfolgte bereits im Dezember 2021.
Kapitel:
- 00:00 Begrüßung und Vorstellung Dr. Ralf Stodt
- 02:44 Herangehensweise zur Bewertung der Bedrohungslage
- 07:20 Informationsquellen
- 11:43 Laufende Überwachung – auch von smarten Komponenten
- 16:11 Zwischensumme
- 17:22 Operational Security
- 19:31 Zwei Komponenten des Sicherheitskonzepts
- 22:19 Alarme einstellen
- 28:17 Erste Schritte zur Umsetzung
- 37:53 Angriffsziele
- 45:01 Externer Support
- 47:55 Kostenlose Tools
Anfang Februar folgt der zweite Teil dieser Reihe, in der die beiden sich auf eine Cybersecurity Krise vorbereiten.
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/verbesserung-der-cybersicherheit-in-kmu-dr-ralf-stodt-im-datenschutz-talk/(öffnet in neuem Tab)
Informationssicherheits-Anforderungen an Systemadministratoren
Donnerstagnacht, kurz vor 23 Uhr. Das ganze Unternehmen schläft. Das ganze Unternehmen? Nein, ein unerschrockener Held trotzt seiner Müdigkeit und installiert Server-Updates, damit seine Kollegen sicher sind, ohne ihre Arbeit unterbrechen zu müssen.
Ungefähr so könnte die Dramaturgie am Beginn der Geschichte desjenigen Protagonisten aufgebaut werden, um den es heute geht: den Systemadministrator.
Seit dem Jahr 2000 wird am letzten Freitag im Juli diese geschäftskritische Rolle mit ihrem eigenen, inoffiziellen Feiertag gewürdigt, dem Tag des Systemadministrators. Die englische Originalbezeichnung ist sehr viel treffender: System Administrator Appreciation Day. Und Wertschätzung haben Systemadministratoren allemal verdient.
BayLDA sieht Einsatz von Mailchimp als unzulässig an – Prüfpflichten beim Einsatz der Standarddatenschutzklauseln
Der EuGH erklärte im Juli 2020 nicht nur das Privacy Shiel Abkommen zwischen der EU und den USA für unwirksam – er hat den Verantwortlichen auch besondere Prüfungspflichten bei Verwendung der sogenannten Standarddatenschutzklauseln auferlegt. So müssen alle Unternehmen die bisher abgeschlossenen Verträge mit den Dienstleistern beziehungsweise Subdienstleistern außerhalb der EU und EWR neu bewerten, um festzustellen, ob bei der jeweiligen Datenübermittlung ein angemessenes Datenschutzniveau sichergestellt werden kann.
Starke Authentisierung statt Passwortwechsel
Heute, am 01. Februar, ist der „Ändere dein Passwort“-Tag. Wir erläutern, warum dieser Tag kaum noch Existenzberechtigung hat. Außerdem erläutern wir verschiedene für Endanwender praktikable Authentisierungsmethoden samt ihren Vor- und Nachteilen und geben Tipps für eine einfache und trotzdem sichere Authentisierung.
Computer Security Day – IT-Sicherheit für Zuhause
Heute, am 30. November, ist Computer Security Day, also Tag der Computersicherheit.
Wie es der Zufall will, ist heute auch ein anderer unkonventioneller Feiertag, der auf seine ganz eigene Art gleichermaßen gut in unsere Zeit passt: der „Stay Home Because You’re Well Day“.
Wir nehmen das Zusammenfallen dieser beiden Feiertage zum Anlass, einen Blick auf technische Schutzmaßnahmen für die Informationssicherheit im Homeoffice zu werfen.
IT-Sicherheitskatalog für Energieanlagen
Der Countdown läuft. Für Betreiber von Energieanlagen, die als kritische Infrastrukturen gelten, hat das letzte Jahr für die Umsetzung aller Anforderungen des IT-Sicherheitskataloges begonnen. Konkret bedeutet dies, dass die durch die Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung) als kritische Infrastruktur festgelegten und einem Energieversorgungsnetz angeschlossenen Betreiber die Anforderungen des IT-Sicherheitskataloges gemäß §11 (1b) EnWG umzusetzen haben.
Wir dürfen uns jetzt keinen zweiten Virus einfangen – Informationssicherheit im Homeoffice
Die aktuelle Lage aufgrund der „Corona-Krise“ hat große Auswirkungen auf die Unternehmen in unserem Land. Um den persönlichen Kontakt untereinander auf ein notwendiges Minimum zu beschränken, bieten viele Unternehmen ihren Mitarbeitern an, aus dem Homeoffice zu arbeiten. Die IT-Abteilungen arbeiten mit Hochdruck daran, die erforderliche Infrastruktur bereitzustellen, um das Arbeiten von zu Hause zu ermöglichen. Damit Ihre Daten sicher bleiben, müssen Mitarbeiter beim Umgang mit sensiblen Unternehmensdaten oder der IT-Infrastruktur im Homeoffice aktiv unterstützt werden. Wir haben für Sie eine Checkliste erstellt, die die wichtigsten Aufgaben für die kommenden Tage beinhaltet.
