TeleTrusT – Bundesverband IT-Sicherheit e.V. auf IT-Sicherheitsmesse und Konferenz „it-sa“ in Nürnberg, 09. – 11.10.2018

Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) beteiligt sich aktiv an der nationalen Leitmesse und Konferenz für IT-Sicherheit it-sa vom 09. – 11.10.2018 in Nürnberg. Die it-sa bietet Gelegenheit zum Meinungsaustausch und informiert über einschlägige Produkte und Dienstleistungen. TeleTrusT ist Premium Partner und unterstützt die it-sa seit ihrer Etablierung in Deutschland sowie inzwischen auch die Ableger it-sa Brasil und it-sa India. Die NürnbergMesse als Trägergesellschaft ist TeleTrusT-Mitglied.

Das TeleTrusT-Programm auf der it-sa 2018 (https://www.teletrust.de/…):

1) TeleTrusT-Gemeinschaftsstand (Halle 10 / Stand 10.0-312)

Auf der it-sa 2018 präsentiert sich TeleTrusT im Rahmen eines erweiterten Messestandes in Halle 10 mit diesen Verbandsmitgliedern:

– achelos GmbH
– Achtwerk GmbH & Co. KG
– Befine Solutions AG
– C-IAM GmbH
– comcrypto GmbH
– digitronic computersysteme gmbh
– DomainTools
– Gronau IT Cloud Computing GmbH
– ISL Internet Sicherheitslösungen GmbH
– MB connect line GmbH Fernwartungssysteme

2) TeleTrusT+ISSS+FH Hagenberg

09.10.2018, 08:30 – 10:00 Uhr
3-Länder-Frühstück DE/AT/CH

3) TeleTrusT-Auditorium IT-Sicherheit (it-sa insights)

09.10.2018, 12:00 – 13:00 Uhr
M10 – Management Forum in Halle 10.1-27

Moderation: Prof. Dr. Norbert Pohlmann, Institut für Internet-Sicherheit if(is), TeleTrusT-Vorsitzender

RA Karsten U. Bartels LL.M., HK2 Rechtsanwälte, TeleTrusT-Vorstand

"Stand der Technik als Compliance-Aufgabe – rechtliche Anforderungen der DSGVO und des IT-Sicherheitsgesetzes"

Markus Bartsch, TÜViT

"Das hochsichere Deutsche Smart Meter System des BSI"

Dr. André Kudra, Vorstand (CIO), esatus AG, Leiter der TeleTrusT-AG "Blockchain"

"Blockchain – Mit Standardisierung gegen Adoptionsbarrieren?"

4) TeleTrusT-Vorträge

09.10.2018, 14:00 – 14:45 Uhr
Saal München 2, NCC Mitte (bayme vbm)

RA Karsten U. Bartels LL.M., HK2 Rechtsanwälte, TeleTrusT-Vorstand

"Stand der Technik nach IT-Sicherheitsgesetz und Datenschutz-Grundverordnung"

10.10.2018, 12:20 – 12:40 Uhr
M10 – Management Forum in Halle 10.1-27 (it-sa insights: davit e.V. Panel)

RA Karsten U. Bartels LL.M., HK2 Rechtsanwälte, TeleTrusT-Vorstand

"Designing responsibility and liability under data protection law"

5) TeleTrusT-Partnerveranstaltung

Eingeleitet wird die "it-sa-Woche" mit dem "Security Summit", ausgerichtet von TeleTrusT-Mitglied qSkills, eine von TeleTrusT mitgetragene Veranstaltung (08.10.2018, Nürnberg; https://www.qskills-security-summit.com/…).

TeleTrusT – Bundesverband IT-Sicherheit e.V.

Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) ist ein Kompetenznetzwerk, das in- und ausländische Mitglieder aus Industrie, Verwaltung, Beratung und Wissenschaft sowie thematisch verwandte Partnerorganisationen umfasst. Durch die breit gefächerte Mitgliederschaft und die Partnerorganisationen verkörpert TeleTrusT den größten Kompetenzverbund für IT-Sicherheit in Deutschland und Europa. TeleTrusT bietet Foren für Experten, organisiert Veranstaltungen bzw. Veranstaltungsbeteiligungen und äußert sich zu aktuellen Fragen der IT-Sicherheit. TeleTrusT ist Träger der "TeleTrusT European Bridge CA" (EBCA; PKI-Vertrauensverbund), der Expertenzertifikate "TeleTrusT Information Security Professional" (T.I.S.P.) und "TeleTrusT Professional for Secure Software Engineering" (T.P.S.S.E.) sowie des Vertrauenszeichens "IT Security made in Germany". TeleTrusT ist Mitglied des European Telecommunications Standards Institute (ETSI). Hauptsitz des Verbandes ist Berlin.

TeleTrusT – Bundesverband IT-Sicherheit e.V., Dr. Holger Mühlbauer, Geschäftsführer, Chausseestraße 17, 10115 Berlin, Tel.: +49 30 40054310, holger.muehlbauer@teletrust.de

www.teletrust.de

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

TeleTrusT: Prüfschema für Produkte nach IEC 62443-4-2 „Industrielle Kommunikationsnetze – IT-Sicherheit für industrielle Automatisierungssysteme“

Automatisierung, Digitalisierung, Vernetzung bzw. "Industrie 4.0" sind in aller Munde. Eine dabei immer wiederkehrende Frage ist, ob die Kommunikation sicher genug ist und wie sichergestellt wird, dass alle beteiligten Kommunikationspartner ein hohes und akzeptables IT-Sicherheitsniveau bieten. Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) mit seiner Arbeitsgruppe "Smart Grids/Industrial Security" hat ein Prüfschema für Produkte nach IEC 62443-4-2 "Industrielle Kommunikationsnetze – IT-Sicherheit für industrielle Automatisierungssysteme" erarbeitet, mit anderen Verbänden erörtert und jetzt veröffentlicht.

Aktuell erfolgt die Interpretation der IEC 62443-4-2 "Industrielle Kommunikationsnetze – IT-Sicherheit für industrielle Automatisierungssysteme" innerhalb der technischen Fachverbände und bei den Anwendern. Das TeleTrusT-Prüfschema soll diese Diskussion beschleunigen und zielgerichtet unterstützen. TeleTrusT ist für weiterführenden Meinungsaustausch offen und wird das Prüfschema fortschreiben.

Ziel des von TeleTrusT veröffentlichten IEC 62443-4-2-Prüfschemas ist, unter einschlägigen Produkten ein hohes und gleichartiges IT-Sicherheitsniveau sicherzustellen und dieses von unabhängigen Prüfstellen nach einheitlichen Kriterien prüfen zu lassen. Auf diese Weise werden die ausgestellten Zertifikate und damit die Produkte vergleichbar. Produkthersteller erhalten die Möglichkeit, auf Basis des TeleTrusT-Prüfschemas ihre Produkte einheitlich bewerten zu lassen und Nutzer können anhand des so erlangten Zertifikates erkennen, dass die Produkte den Anforderungen der vereinheitlichten Konformitätsbewertung entsprechen.

Steffen Heyde, Leiter der TeleTrusT-AG "Smart Grids/Industrial Security": "Damit wird die IT-Sicherheit von Produkten im Umfeld der Automatisierungstechnik, auch wenn sie bei unterschiedlichen Prüfstellen zertifiziert wurden, vergleichbar".

Sebastian Fritsch, federführender Autor des TeleTrusT-Prüfschemas: "Die Diskussionen mit Verbänden und Herstellern zeigen den hohen Bedarf an einheitlichen Vorgaben. Mit einem abgestimmten Prüfschema können sich Hersteller optimal auf die Prüfungen ihrer Produkteigenschaften vorbereiten."

Das TeleTrusT-Prüfschema ist unter https://www.teletrust.de/publikationen/iec-62443-4-2-pruefschema/ veröffentlicht.

Die beteiligten TeleTrusT-Experten werden auf der it-sa 2018 vertreten sein. Zudem erfolgt eine Präsentation auf einer bevorstehenden Fachveranstaltung:

TeleTrusT und Cluster Mechatronik + Automation

Kooperationsworkshop "Industrial Security in der Automatisierungspraxis"

04.10.2018
Hosokawa Alpine AG
Peter-Dörfler-Straße 13-25
86199 Augsburg

https://www.teletrust.de/veranstaltungen/tutorials-workshops/industrial-security-2018/

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

IT Security live erleben – Nuvias präsentiert sich auf der it-sa 2018

Vom 9. bis 11. Oktober dreht sich auf dem Nürnberger Messegelände alles um das Thema IT-Security. Die it-sa, Europas wichtigste Fachmesse für Cybersicherheit, öffnet an drei Tagen ihre Türen.

Insgesamt werden 13.000 Fachbesucher und 700 Aussteller und Unternehmen erwartet. Den Gästen bietet sich ein buntes und abwechslungsreiches Programm, bestehend aus Messeständen von führenden Distributoren, Herstellern sowie Resellern, und informativen Fachvorträgen von internationalen Branchengrößen.

Auch die Nuvias Group präsentiert sich auf der it-sa. Aktuelle Top-Themen wie Verschlüsselung, Cloud und Mobile Security, aber auch Basics, wie Firewall und Antivirus, werden am Nuvias Stand in Halle 9, Stand 216 vorgestellt. Der große Vorteil: Unternehmerische Herausforderungen können im direkten Gespräch mit den Herstellern und Experten von Nuvias diskutiert werden. Durch die persönliche und praxisnahe Beratung gelangen Sie schneller zu einer für Ihr Unternehmen passenden Lösung.

Messehighlights am Nuvias Stand

Nuvias erhält in diesem Jahr tatkräftige Unterstützung von führenden IT-Security Herstellern, wie FireEye, Fortinet, HID Global, Kaspersky Lab, Malwarebytes, Symantec, WatchGuard und OneSpan (ehemals Vasco). Ob persönliches Gespräch am Messestand oder informativer Fachvortrag in den it-sa Foren – die Hersteller stehen mit Rat und Tat und erprobten Lösungsansätzen zur Seite.

Erstmals am Nuvias Stand: der interaktive Cyber War Room, der in Kooperation mit FireEye entstanden ist. In diesem Raum setzen sich Besucher live einem simulierten Angriff aus und können testen, wie sie im Ernstfall auf eine Cyberattacke reagieren würden. Im Anschluss geben die Sicherheitsexperten von FireEye konkrete Anhaltspunkte, wie Schwachstellen durch Hacker ausgenutzt werden.

Das Nuvias Messeprogramm

Dienstag, 09.10.2018

12:15 Uhr, 12:45 Uhr und 15:45 Uhr

Fachvorträge der Nuvias-Hersteller im Forum Blau – Technik, Halle 9

Mittwoch, 10.10.2018

11:00 Uhr

Fachvorträge der Nuvias-Hersteller im Forum Rot – Management, Halle 9

15:00 Uhr und 16:00 Uhr

Fachvorträge der Nuvias-Hersteller im Forum Blau – Technik, Halle 9

Donnerstag, 11.10.2018

14:00 Uhr

Fachvorträge der Nuvias-Hersteller im Forum Rot – Management, Halle 9

Sie benötigen noch ein Ticket für die it-sa?

Bei uns erhalten Sie Ihr Ticket kostenlos: http://bit.ly/it-sa2018

Über die Nuvias Group

Die Nuvias Group ist ein EMEA-weit agierender High Value Added Distributor, der das internationale IT-Distributionsgeschäft neu definiert. Das Unternehmen hat eine Plattform geschaffen, die ein einheitliches und service-orientiertes Angebot mit einem umfangreichen Lösungsportfolio im gesamten EMEA-Raum ermöglicht. So können Partner und Hersteller ihren Kunden hervorragende geschäftliche Unterstützung bieten und neue Maßstäbe für den Erfolg des Channels ermöglichen.

Das Portfolio der Gruppe deckt eine umfassende Auswahl an IT-Lösungen ab, deren Fokus derzeit auf drei Bereichen liegt: Cyber-Security (basierend auf dem Portfolio der früheren Wick Hill); Advanced Networking (basierend auf dem Portfolio der früheren Zycko) und Unified Communications (basierend auf dem Portfolio der früheren SIPHON). Im Juli 2017 nahm Nuvias den Value Added Distributor und Sicherheitsspezialisten DCB in die Gruppe auf. Alle vier Unternehmen sind preisgekrönt und hatten zuvor bewiesen, innovative Technologielösungen von erstklassigen Herstellern liefern und Marktwachstum für Herstellerpartner und Kunden schaffen zu können. Die Nuvias Group verfügt über 21 regionale Standorte in der EMEA-Region und bedient über diese, Niederlassungen in weiteren Ländern. Der Umsatz liegt bei 500 Millionen US-Dollar.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

BIM mIT Sicherheit – Das EIPOS Fachforum zur Baudigitalisierung geht am 21.09. 2018 in die Dritte Runde

Die Frage nach den aktuellen Herausforderungen rund um die digitale Transformation in der Bau- und Immobilienwirtschaft und den beruflichen Befähigungen, die es ermöglichen in diesen Prozessen qualifiziert und erfolgreich mitzuwirken, steht jedes Jahr im Zentrum der Planung für das EIPOS BIM Forum.

Das jährliche Symposium hat sich im Diskurs um die Fortentwicklung der Methode Building Information Modeling bundesweit als fester Termin etabliert. Zum Auftakt 2016 ging es um die Frage ob BIM- Manager ein neues Berufsbild wird, welches sich in der grundständigen Ausbildung oder als Weiterbildungsabschluss etabliert. Hier hat sich inzwischen die Meinung durchgesetzt dass diese Rolle von den etablierten Prozessbeteiligten ausgefüllt werden muss. In der BIM Richtlinienreihe VDI 2552 wurde nun jedoch der BIM Informationsmanager als Rolle verankert. Damit ist klar, was an der Methode BIM qualitativ neu ist: Stringenz in der Erhebung, Verarbeitung und Verwertung von Informationen. Informationen standen auch der im Fokus 2017, wo das Motto: „Leistungsphase 0“ erfolgreich gestalten war. Dabei bestand unter den Fachleuten Einigkeit, dass eine frühe, ganzheitliche Planungsvorbereitung für den BIM-Projekterfolg essenziell ist. Ausgangspunkt jeder Vorplanung und Modellentwicklung sollten die Anforderungen und gewünschten Leistungsparameter der künftigen Bauwerksnutzer sind. Auf dem 2. BIM Forum wurde die Formel 10+1=0 geboren die veranschaulicht, dass das Prozessdenken der Branche in beide Richtungen der aktuellen HOAI Leistungsphasen 0 bis 9 erweitert werden muss.

All diese Entwicklungen generieren immer größere Datenmengen, die sich zu spezifischen Informationen aggregieren und in kollaborativen Planungsumgebungen einer Vielzahl Projektbeteiligter zugänglich sind. In der Euphorie über Transparenz und Agilität bei der Umsetzung von digital unterstützten Bauprojekten drängt sich das diesjährige Thema förmlich auf: BIM mIT Sicherheit! welches die Sicherheitsaspekte der Methode in den Mittelpunkt rückt. In Deutschland haben wir hier noch keine allgemeinverbindlichen Richtlinien wie z.B. in Großbritannien, wo die BSI PAS 1192-5 (Specification for security-minded building information modelling, digital built environments and smart asset management) bereits seit 2015 vorliegt.

Das 3. BIM Forum greift das Thema interdisziplinär auf. Am Vormittag gibt Kriminalkommissar Silvio Berner vom Cybercrime Competence Center der Polizei Sachsen einen Überblick über aktuelle Bedrohungslagen gefolgt vom Vortrag von Dr. Michael Wolters (Baurechtskanzlei Kapellmann und Partner) der die rechtlichen Aspekte modellbasierten Arbeitens auf den Punkt bringen wird. Bei einer Paneldiskussion werden die bestehenden Sicherheitsanforderungen verschiedener Auftraggeber besprochen. Hier werden auch Eckpunkte der kommenden Auftraggeberinformationsanforderungen (AIA) für den Staatshochbau in Sachsen zur Sprache kommen.

Sicherheit „by design“ steht im Fokus des Nachmittagsprogramms. Den Auftakt macht Dr. Thomas Liebig (Geschäftsführer AEC3) der über integrale Qualitätssicherung im BIM-Prozess durch geeignete AIAs und Standardisierung sprechen wird. Kern eines jeden BIM Projekts wird zukünftig eine Kommunikations- und Austauschplattform (Common Data Environment – CDE) bilden.  Sven Eric Schapke, Direktor bei  think project! wird hier über Sicherheitsaspekte einer international etablierten CDE Lösung referieren. BIM Projektbeteiligte fragen sich derzeit immer öfter, ob ihr bestehender Versicherungsschutz auch Risiken aus BIM Projekten abdeckt. Hier gibt der Versicherungsberater Daniel Mauss praktische Empfehlungen zu Berufshaftpflicht- und Cyberversicherungen. Den letzten Vortrag des Tages gestaltet das Team des Fraunhofer Cybersecurity Lernlabors, Oliver Nitschke und Adam Bartusiak, die nicht nur Risiken und Verwundbarkeit von Projektplattformen aufzeigen, sondern auch Tipps für den Aufbau eines strukturierten Informationssicherheitsmanagementsystems (ISMS) geben.

Das 3. EIPOS BIM Forum wird erneut in ideeller Partnerschaft mit buildingSMART Deutschland e.V., dem Sächsischen Staatsministerium der Finanzen sowie den sächsischen Ingenieur- und Architektenkammern durchgeführt. Zur Begrüßung werden die Repräsentanten Grußworte ausbringen und die aktuellen Entwicklungen in den Institutionen berichten.   

Veranstaltungsdetails und Anmeldung auf www.eipos-sachverstaendigentage.de/bim/

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Ivanti Analyse des Patch Tuesday im August: Zwei Zero-Day-Schwachstellen und das leidige Thema „Meltdown & Spectre“

Trotz Ferienzeit bleibt IT-Sicherheitsspezialisten in diesem Jahr wenig Zeit für eine Erdbeer-Margarita am Pool. Die Bedrohungslage, das zeigt zumindest der Patch Tuesday im August, bleibt angespannt: Microsoft hat gerade 17 Updates veröffentlicht, die 60 verschiedene Schwachstellen beheben. Wie üblich ist auch Adobe mit Sicherheitsupdates für mehrere seiner Produkte dabei. Nachdem in den letzten zwei Monaten keine Zero-Day-Schwachstellen gemeldet wurden, sind es im August gleich zwei. Und wie gehabt, verfolgen uns Spectre und Meltdown auch weiterhin.

Bei den beiden Zero-Day-Schwachstellen handelt es sich um CVE-2018-8373 und CVE-2018-8414. Beide wurden öffentlich bekannt gegeben. Eine solche Bekanntmachung wird immer dann nötig, wenn klar ist, dass einem Angreifer ausreichend viele Informationen über eine Schwachstelle zur Verfügung stehen.

CVE-2018-8373 ist ein Schwachpunkt, der sich aus dem Umgang der Scripting-Engine des Internet Explorers mit Objekten im Speicher ergibt. Angreifer könnten sie zur Ausführung von Remotecode nutzen. In diesem Fall hätten sie die gleichen Rechte wie ein angemeldeter Benutzer, einschließlich aller Administratorrechte. Da diese Anfälligkeit im IE 9, 10 und 11 existiert, betrifft sie alle Windows-Betriebssysteme, angefangen vom Server 2008 bis hin zu Windows 10.

Der zweite Zero-Day-Exploit, CVE-2018-8414, ist eine Schwachstelle in der Ausführung von Code, sofern die Windows-Shell Dateipfade nicht ordnungsgemäß validiert. Auch hier kann ein Angreifer Code remote starten und damit Benutzerrechte erlangen. Es hat sich gezeigt, dass diese Schwachstelle nicht sehr weit verbreitet ist, da sie nur unter Windows 10 1703 und neuer sowie Server 1709 und Server 1803 offen ist.

  • Wir empfehlen jedem Administrator, diesen beiden Schwachstellen mit höchster Priorität über die Fixes von Microsoft zu schließen.

Und täglich grüßt das Murmeltier: Meltdown & Spectre
Auch im August waren die Themen Meltdown und Spectre wieder zentrale Elemente des Patch Tuesday. Zum Schutz vor neuen Varianten der beiden Sicherheitslücken hat Microsoft das Advisory 180018veröffentlicht.  Dieser Ratgeber („Microsoft Guidance to migate L1TF variant“) behebt drei Schwachstellen – CVE-2018-3615, CVE-2018-3620 und CVE-2018-3646. In seinem Advisory schreibt Microsoft: „Spekulativeausführungsseitige Channel-Schwachstellen –  wie beispielsweise L1 Terminal Fault (L1TF) – lassen sich einsetzen, um den Inhalt des Speichers über eine vertrauenswürdige Grenze hinweg zu lesen. In diesem Fall könnten Informationen offengelegt werden.“  Die Behebung dieser Schwachstellen erfordert sowohl ein Software- als auch Firmware-Update (Mikrocode). Als vorübergehende Abhilfe empfiehlt Microsoft die Deaktivierung von Hyper-Threading, was erhebliche Auswirkungen auf die Performance haben kann. Ähnlich der vorherigen Anleitung zu diesen Schwachstellen wird auch im Advisory 180018 deutlich, dass ihr Management und ihre Behebung zeitaufwändig und mühsam ist. Die aktuelle Variante ist übrigens auch unter dem Codenamen Foreshadow bekannt. Eine ausführliche Erklärung und weitere Informationen bietet diese Usenix-Seite.

  • Wir empfehlen, die Hinweise von Microsoft sorgfältig durchzulesen, bevor Sie Maßnahmen ergreifen.
  • Testen Sie Ihre nicht produktiven Systeme, bevor Sie auf breiter Basis fortfahren.

Zum Patch Tuesday im August hat Microsoft Updates für viele seiner Produkte veröffentlicht.  Besonders hervorzuheben sind neue Updates für .NET, die interessanterweise nur eine Schwachstelle beheben. Die Veröffentlichung des vorangegangenen Updates verursachte im Juli eine Reihe von Stabilitätsproblemen. Es kann davon ausgegangen werden, dass nun neben der zentralen Sicherheitslücke auch eine Reihe von Fixes mitgeliefert werden.

  • Testen Sie die Updates sorgfältig, bevor Sie sie auf Produktionsmaschinen anwenden.

Zu den genannten Angriffspunkten gesellt sich im August eine kritischen Schwachstelle in SQL 2016 und 2017. Exchange wurde zudem mit Updates für Exchange 2010, 2013 und 2016 für zwei2 CVEs gepatcht. Visual Studio 2015 und 2017 runden das Bild mit einem CVE ab.

Offene Flanke bei Oracle…
Am 17. Juli hatte Oracle sein vierteljährliches Critical Patch Update (CPU) veröffentlicht. Werfen Sie einen Blick in das Advisory, das Ihnen die neuesten Updates zur Verfügung stellt –  unter anderem auch für Java. Am 10. August hatte Oracle zudem ein seltenes Out-of-Band-Advisoryfür CVE-2018-3110 bereitgestellt. Mit einer CVSS v3-Basisbewertung von 9,9 ist diese Schwachstelle einfach auszunutzen und bietet direkten Shell-Zugriff auf Ihre Datenbank.

  • Wenn Sie die Oracle-Datenbankversionen 11.2.0.4 oder 12.2.0.1 unter Windows verwenden, empfehlen wir Ihnen dringend, diesen neuesten Patch zügig zu installieren.
  • Beachten Sie, dass Updates für jede Oracle-Version unter Linux und Windows 12.1.0.2 bereits im Juli-CPU bereitgestellt wurden. Dieser neue Hinweis bezieht sich auf frühere Versionen der Datenbank.

… und bei Adobe
Nachdem Adobe in seinem planmäßigen Update im letzten Monat 104 Schwachstellen behoben hat, war eigentlich nicht damit zu rechnen, dass ein weiteres Reader- und Acrobat-Update zwei neue kritische Schwachstellen beheben muss. Daneben hat das Unternehmen seinen Flash Player wie üblich aktualisiert, um fünf Schwachstellen abzustellen. Ebenfalls wurden Updates für Creative Cloud und andere Adobe-Produkte veröffentlicht.

  • Es ist ratsam auch in diesem Monat eine Adobe-Patch-Routine zu fahren.

Fazit
Der Patch-Zyklus geht mit Macht weiter. Schauen Sie sich alle kürzlich veröffentlichten Sicherheitsupdates von Microsoft und Drittanbietern genau an und planen Sie entsprechend. Vielleicht bleibt Ihnen dann ja noch Zeit für ein paar Sonnenstrahlen und die eine Erdbeer-Margarita am Pool.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

TeleTrusT – Bundesverband IT-Sicherheit: IT-Sicherheitsrechtstag 2018

Die Umsetzung gesetzeskonformer IT-Sicherheit in Unternehmen, öffentlichen Stellen und Behörden erfordert zahlreiche technische, organisatorische und rechtliche Maßnahmen. So stellt die Datenschutz-Grundverordnung seit dem 25.05.2018 deutlich erhöhte Anforderungen an den technischen Datenschutz. Das IT-Sicherheitsgesetz gilt sogar bereits seit 2015. Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) präsentiert im Rahmen einer interdisziplinären Informationsveranstaltung am 25.10.2018 in Berlin Erfahrungen, Lösungsansätze und Praxistipps.

Am 25.10.2018 veranstaltet TeleTrusT in Berlin zum dritten Mal den mit Fachexperten besetzten IT-Sicherheitsrechtstag. Im Fokus stehen die Möglichkeiten der erfolgreichen Umsetzung gesetzlicher IT-Sicherheits- und Datenschutzanforderungen in der Unternehmens- und Behördenpraxis.

Unter anderem mit dem IT-Sicherheitsgesetz und der EU-Datenschutz-Grundverordnung (DSGVO) haben die Gesetz- und Verordnungsgeber auf nationaler und europäischer Ebene wichtige regulatorische Vorgaben gesetzt. Unternehmen und Behörden sind aufgefordert, Ihre Strukturen sowie die technischen, organisatorischen und rechtlichen Maßnahmen zu überprüfen und unter Berücksichtigung des Standes der Technik anzupassen. Insbesondere sind die Maßnahmen und Verfahren umfänglich zu dokumentieren.

"Wir möchten mit den Teilnehmern unseres IT-Sicherheitsrechtstages vor allem die Erfahrungen, die wir seit dem Geltungsbeginn der DSGVO in Sachen IT-Sicherheit gesammelt haben, weitergeben und diskutieren“, erklärt RA Karsten U. Bartels LL.M., TeleTrusT-Vorstandsmitglied.

Referenten aus der technischen, juristischen, betrieblichen, aufsichtsbehördlichen und gutachterlichen Praxis werden die praxisrelevanten Herausforderungen der datenschutzrechtlichen und IT-sicherheitsgesetzlichen Pflichten erörtern und ihre Lösungs- und Umsetzungsmöglichkeiten beleuchten. Die Veranstaltung richtet sich an Unternehmen, öffentliche Stellen und Behörden jeder Größe.

Aus dem Programm:

RA Karsten U. Bartels, LL.M., HK2 Rechtsanwälte, TeleTrusT-Vorstand, Leiter TeleTrusT-AG "Recht"
Begrüßung

Tomasz Lawicki, Schwerhoff Consultants, Leiter TeleTrusT-AK "Stand der Technik"
Moderation

RA Paul Voigt, LL.M., Taylor Wessing
"Das IT-Sicherheitsgesetz in der Praxis"

RA Karsten U. Bartels, LL.M., HK2 Rechtsanwälte
"Die DSGVO in der Praxis"

Dr. Ilona M. Pawlowska, LL.M., Deutsche Akkreditierungsstelle (DAkkS)
"Akkreditierungen von Zertifizierungsstellen nach DSGVO"

Ernst-H. Paap, Hamburger Sparkasse
"Regulatorische Anforderungen und Auswirkungen auf das ‚Daily Business‘ "

Frank Helle, Hermes Forwarding
"Vorgehensweise für die Umsetzung der DSGVO im Unternehmen"

Barbara Thiel, Die Landesbeauftragte für den Datenschutz Niedersachsen
"Umsetzung der DSGVO aus aufsichtsbehördlicher Sicht"

Panel-Diskussion

Programm und Anmeldung: https://www.teletrust.de/veranstaltungen/it-sicherheitsgesetz-und-dsgvo/it-sicherheitsrechtstag-2018.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Energiemanagement: IT-Dienstleistungszentrum Berlin erfolgreich nach ISO 50001 zertifiziert

Im März war Katja Winkelmann, erfahrene Energiemanagement-Auditorin der GUTcert, am Standort des ITDZ Berlin im Stadtteil Wilmersdorf zu Gast und führte die externe Prüfung gemäß ISO 50001 durch.

Das ITDZ Berlin verfolgt ambitionierte Ziele – einerseits soll die Berliner Verwaltung in das digitale Zeitalter überführt und mit leistungsfähiger Technologie ausgestattet werden, andererseits wird im Rahmen der internen Klimapolitik sehr viel Wert auf die Aspekte Nachhaltigkeit und Energieeffizienz gelegt.

Verbrauch bereits um 27% reduziert

In den letzten Jahren konnte der Energieverbrauch für Wärme und Strom bereits um 27% reduziert werden, und das bei wachsender Geschäftsentwicklung. Mit dem Energiemanagementsystem nach ISO 50001 soll dieser Trend systematisch weiterverfolgt werden.

Wie wichtig solche Ziele sind, begründet die GUTcert-Auditorin Frau Winkelmann nicht zuletzt anhand eines Projektes  der Carl von Ossietzky Universität in Oldenburg (TEMPRO – Total Energy Managment for Professional Data Centers): „Die Rechenzentren allein in Deutschland verbrauchen pro Jahr ca. zehn Milliarden KWh (10 TWh). 2020 sollen es bereits 14 TWh/a sein. Das ist so viel wie die Staaten Luxemburg und Estland zusammen.“ (zur Veröffentlichung)

Berliner Energieagentur liefert Unterstützung

Zusammen mit den Mitarbeitern und den Beratern der Berliner Energieagentur ging man den Prozessen und den energetischen Verbesserungspotentialen auf den Grund. Erfolgreich, denn schon im Mai dieses Jahres konnte der Abschlussbericht des Audits und das Zertifikat über die gelungene Einrichtung eines Energiemanagementsystems nach ISO 50001 an das ITDZ Berlin übermittelt werden.

„Am Beispiel des ITDZ Berlin zeigt sich, wieviel man mit Engagement seitens der Mitarbeiter und der Geschäftsführung in diesem Bereich erreichen kann und wie sehr sich ein Energiemanagement auch für Dienstleister lohnt“, so die Auditorin Frau Winkelmann.

Das IT-Dienstleistungszentrum Berlin hat zum Thema selbst einen Presseartikel veröffentlicht.

Fragen oder Hinweise richten Sie bitte an Frau Sarah Stenzel, Tel.: +49 30 2332021-52.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

EU-DSGVO und Abmahnungen: Schreckgespenst oder Phantom?

Die seit 25. Mai verbindlich geltende EU-Datenschutzgrundverordnung sorgt bei vielen Unternehmen für Unruhe und Angst vor Abmahnwellen. Besonders ausgeprägt ist die Unsicherheit bei kleineren Organisationen wie Arztpraxen, Stiftungen, Vereinen und Freiberuflern, die nicht auf eine eigene Rechtsabteilung mit entsprechendem Fachwissen zurückgreifen können.

Inzwischen gibt es erste Abmahnungen wegen formaler Verstöße gegen die DSGVO. Aus Sicht vieler Experten stellen diese jedoch kaum ein lukratives Geschäft dar, weil die rechtliche Grundlage dafür doch recht fragwürdig ist.

Im Fokus der DSGVO stehen natürliche Personen

Die EU-DSGVO beinhaltet zwar auch Passagen, die im Sinne des Gesetzes gegen den unlauteren Wettbewerb anwendbar sind und Klagen von Mittwettbewerbern ermöglichen, im Wesentlichen enthält sie aber gemäß Art. 1 Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Um weder Wettbewerbern noch den Personen, deren Daten bei ihnen verarbeitet werden, Anlass für Klagen zu geben, ist eine überschaubare Anzahl von Anforderungen zu bearbeiten. Dazu gehört vor allem, betroffene Personen rechtzeitig und umfassend über den Umgang mit ihren Daten zu informieren.

Verfahrenskataster: nötig und hilfreich

Um in Betrieben eine Übersicht zu bekommen, wo überhaupt personenbezogene Daten verarbeitet werden, ist ein Verfahrenskataster anzulegen. Auf dieser Grundlage können weitere Anforderungen ermittelt und mit entsprechenden Maßnahmen zur Gewährleistung des Datenschutzes versehen werden. Zum Aufstellen eines solchen Katasters bedarf es keiner juristischen Spezialkenntnisse – verschiedene Hilfestellungen von Behörden und Verbänden (z.B. der Europäischen Kommission oder der Bundesdatenschutzbeauftragten) klären bereits viele Fragen, die beim Lesen der Verordnung auftauchen.

Tagesseminar und Zertifizierung

Um Zeit bei der Einarbeitung zu sparen und Zugriff auf geprüfte Vorlagen zu erhalten, können Verantwortliche den eintägigen Praxiskurs „EU-DSGVO kompakt: Rechtslage und Umsetzung für kleine Unternehmen“ der GUTcert Akademie besuchen. Zur Zielgruppe der Schulung gehören insbesondere Betriebe, die unterhalb der Schwelle zur Benennungspflicht eines Datenschutzbeauftragten liegen. Für größere Organisationen bieten wir eine viertägige Intensivausbildung zum Beauftragten an. Bei Fragen zum Kursangebot erreichen Sie uns unter akademie@gut-cert.de oder +49 30 2332021-21.

Sie möchten das Datenschutzsystem Ihres Unternehmens von den GUTcert Fachexperten prüfen lassen? Dann stellen Sie eine unverbindliche Angebotsanfrage an unsere Fachabteilung. Ihr Ansprechpartner ist Nico Behrendt (+49 30 2332021-81).

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Was macht einen guten Datenschutzbeauftragen aus? 5 Tipps für die Recherche plus gängige Mythen

Ist die IT-Infrastruktur technisch sicher und rechtssicher aufgebaut, haben Unternehmer bereits vieles im Sinne der DSGVO-Vorgaben erfüllt. Unter Umständen ist das Benennen eines Datenschutzbeauftragten nötig. Doch woran können Unternehmer festmachen, ob ihr Gegenüber ein qualifizierter und vertrauenswürdiger externer Datenschutzbeauftragter ist? Die m2solutions EDV-Service GmbH wird häufig von ihren Kunden diesbezüglich um Rat gebeten. Die interne Datenschutzkoordinatorin Kirstin Vedder hat deshalb mit einigen Mythen aufgeräumt und 5 Tipps für die erfolgreiche Suche zusammengestellt.

  • Ein Datenschutzbeauftragter erledigt für mich alles rund um die DSGVO!
    Das ist nicht korrekt so, denn ein Datenschutzbeauftragter unterrichtet und berät ein Unternehmen hinsichtlich zu ergreifender Maßnahmen für eine DSGVO-konforme Infrastruktur. Im zweiten Schritt überwacht er die Einhaltung des Gesetzes und prüft z. B. die Arbeitsabläufe, um den Datenschutz in einem Unternehmen zu gewährleisten. Umsetzen müssen die Unternehmen dies jedoch selbst.
  • Der Datenschutzbeauftragte schickt mir ein paar Listen und Formulare, und schon bin ich durch mit dem Thema Datenschutz.
    Ganz so einfach ist es nicht, wenn ein externer Datenschutzbeauftragter bestellt wurde. Alle Datenschutzbeauftragten haben die Einhaltung des Gesetzes durch das jeweilige Unternehmen zu überwachen. Das umfasst einen weitaus genaueren Blick ins Unternehmen als nur das Zurverfügungstellen von Aufgaben-Listen und auszufüllenden Formularen. Nimmt der beauftragte Externe sein Mandat ernst, dann wird er proaktiv regelmäßig Präsenztermine im Unternehmen anbieten, um persönlich Einblick in die technische und organisatorische Infrastruktur zu erhalten. Dieses Mitdenken des Datenschutzbeauftragten ist ein gutes Zeichen, selbstverständlich ist dies mit entsprechenden Kosten verbunden.
  • Um Datenschutzbeauftragter zu werden, ist eine „offizielle Prüfung“ notwendig. Wer sich so nennt, der kann was!
    Im Grunde kann sich jeder zum Datenschutzbeauftragten aus- und fortbilden lassen. Eine ordnungsgemäße Prüfung gibt es nicht, da es sich nicht um einen geschützten Beruf handelt. Das macht die Suche nach einem geeigneten Datenschutzbeauftragten nicht leichter.

5 hilfreiche Tipps zur Auswahl eines Datenschutzbeauftragten
Frau Vedder hat aus der Unternehmens-Erfahrung bei m2solutions eine Liste an hilfreichen Tipps zusammengestellt:

1.) Ausbildung:
Man darf sich durchaus erklären lassen, wie und wo die Ausbildung zum Datenschutzbeauftragen stattgefunden hat. Zum Beispiel TÜV, DEKRA oder die IHK sind einige der vertrauenswürdigen Aussteller von entsprechenden Ausbildungszertifikaten.
2.) Erfahrung:
Die Erfahrung ist ein maximal relevanter Faktor, um die Eignung des Datenschutzbeauftragten abschätzen zu können. Hat der potenzielle Externe bereits Mandate in einer bestimmten Branche? Wie lange ist er am Markt? Wie oft bildet er sich weiter? Die operative Erfahrung eines externen Datenschutzbeauftragten ist ein gutes Kriterium, um seine Fähigkeiten einschätzen zu können.
3.) Vorgehensweise:
Zur Aufgabe eines Datenschutzbeauftragten gehört es, die Einhaltung der DSGVO in einem Unternehmen zu Überwachen. Um eine Einhaltung bewerten zu können, sollte sich der Datenschutzbeauftragte einen umfassenden Einblick in die Geschäftsprozesse des Unternehmens verschaffen. Andersrum sollte der Unternehmer ihm diesen Einblick auch ermöglichen. Eine solche Ist-Analyse dauert mitunter zwischen einem halben und mehreren Tagen und ist nicht durch ein Gespräch mit der Geschäftsführung erledigt. Zudem ist es lohnenswert, im Vorwege das vom Datenschutzbeauftragten angebotene Vertragsmodell zu prüfen – denn es gibt verschiedenste Konzepte und Vertragsvarianten.
4.) Absicherung:
Auch einem Datenschutzbeauftragten kann ein Fehler unterlaufen. Für solche Fälle können sich externe Datenschutzbeauftragte per Versicherung vor Haftungsansprüchen absichern – als Kunde darf man sich einen Versicherungsschein mit der Höhe der Deckungssumme ruhig vorlegen lassen um zu sehen, ob der
potenzielle Datenschutzbeauftragte eine solche Versicherung abgeschlossen hat.
5.) Nasenfaktor:
Zu guter Letzt muss einem der Datenschutzbeauftragte sympathisch sein. Es ist ein wenig wie beim Arzt: Auch hier muss das Vertrauen herrschen, dass der Arzt die richtige Diagnose stellt, ohne dass der Patient zur Bewertung selbst zum Arzt wird. Schaut der Datenschutzbeauftragte also richtig hin? Hält er auch einmal den Finger in die Wunde? Vermittelt er einen hartnäckig-kompetenten Eindruck?

„Der Datenschutz muss leben“, sagt Kirstin Vedder, die selbst nach TÜV geprüfte Datenschutzbeauftragte ist. Aus dem Aufsetzen von Maßnahmen zur Datensicherheit muss ein fortwährender Prozess zum Datenschutz erwachsen, der von jedem Mitarbeiter im Unternehmen gelebt wird. Aus diesem Wissen heraus kooperiert der in Ahrensbök ansässige IT-Dienstleister für den IT-Sicherheitscheck „m2guard“ mit Unternehmen, die bei der permanenten Umsetzung von Datenschutz zur Seite stehen – so entsteht eine umfassende Dienstleistung im Sinne des Datenschutzes.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

GUTcert Tagung „IT-Sicherheit und Datenschutz im Gesundheitswesen“ am 10. September 2018 in Berlin

Am 10. September 2018 treffen sich Experten der Branche in Berlin, um über aktuelle Themen, Trends und Herausforderungen zu IT-Sicherheit, KRITIS, Datenschutz und EU-DSGVO speziell im Gesundheitswesen zu berichten – ab sofort ist unser Programm verfügbar.

Die Tagung richtet sich an praktische Anwender: Sie beleuchtet Wegweiser im Dschungel der Vorgaben und zeigt Schnittstellen auf – insbesondere zu den Medizinprodukten. Beauftragten, Führungskräften und anderen Interessierten bietet sich die Gelegenheit zum Austausch und zur Diskussion mit Vertretern der Branche. Mit dabei sind unter anderem die Bundesdruckerei und die Funk-Gruppe.

Weitere Vorträge beschäftigen sich mit den Schwerpunkten:

  • Gesetze und Vorgaben
  • Chancen und Risiken im Hinblick auf Medizinprodukte & IT-Sicherheit
  • Cyber-Risiken im Rahmen des klinischen Risikomanagements
  • Nutzen von Zertifizierungen – ISO 27001 & ISO 27799, ISO 80001, EU-DSGVO
  • Datenschutz und ISMS – Synergieeffekte und Schnittstellen

Wir freuen uns darauf, Sie im September zur Tagung zu begrüßen! Unter den folgenden Links finden Sie alle wichtigen Details:

Mehr zu den Referenten erfahren Sie in den kommenden Ausgaben des Newsletters oder auf unserer Website.

Sonderkonditionen für Hotelzimmer der Teilnehmer

Für Gäste der Tagung ist ein Hotelzimmerkontingent mit vergünstigten Konditionen reserviert – so vermeiden Sie unnötigen Stress für Ihren Aufenthalt. Details erhalten Sie mit der Anmeldebestätigung, die wir Ihnen nach Buchung per E-Mail zusenden.

Jetzt noch Early Bird-Rabatt nutzen

Wenn Sie sich bis zum 31. Juli anmelden, erhalten Sie – zusätzlich zum Bestandskundenrabatt – den Frühbuchernachlass in Höhe von 50 Euro.

Fragen zum Thema beantwortet Ihnen gerne Frau [email=juliane Zimmermann@gut-cert.de]Juliane Zimmermann[/email], Tel.: +49 30 2332021-26.

Für Fragen zum gesamten Weiterbildungsangebot rreichen Sie uns unter +49 30 2332021-21 oder akademie@gut-cert.de.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox