BIM mIT Sicherheit – Das EIPOS Fachforum zur Baudigitalisierung geht am 21.09. 2018 in die Dritte Runde

Die Frage nach den aktuellen Herausforderungen rund um die digitale Transformation in der Bau- und Immobilienwirtschaft und den beruflichen Befähigungen, die es ermöglichen in diesen Prozessen qualifiziert und erfolgreich mitzuwirken, steht jedes Jahr im Zentrum der Planung für das EIPOS BIM Forum.

Das jährliche Symposium hat sich im Diskurs um die Fortentwicklung der Methode Building Information Modeling bundesweit als fester Termin etabliert. Zum Auftakt 2016 ging es um die Frage ob BIM- Manager ein neues Berufsbild wird, welches sich in der grundständigen Ausbildung oder als Weiterbildungsabschluss etabliert. Hier hat sich inzwischen die Meinung durchgesetzt dass diese Rolle von den etablierten Prozessbeteiligten ausgefüllt werden muss. In der BIM Richtlinienreihe VDI 2552 wurde nun jedoch der BIM Informationsmanager als Rolle verankert. Damit ist klar, was an der Methode BIM qualitativ neu ist: Stringenz in der Erhebung, Verarbeitung und Verwertung von Informationen. Informationen standen auch der im Fokus 2017, wo das Motto: „Leistungsphase 0“ erfolgreich gestalten war. Dabei bestand unter den Fachleuten Einigkeit, dass eine frühe, ganzheitliche Planungsvorbereitung für den BIM-Projekterfolg essenziell ist. Ausgangspunkt jeder Vorplanung und Modellentwicklung sollten die Anforderungen und gewünschten Leistungsparameter der künftigen Bauwerksnutzer sind. Auf dem 2. BIM Forum wurde die Formel 10+1=0 geboren die veranschaulicht, dass das Prozessdenken der Branche in beide Richtungen der aktuellen HOAI Leistungsphasen 0 bis 9 erweitert werden muss.

All diese Entwicklungen generieren immer größere Datenmengen, die sich zu spezifischen Informationen aggregieren und in kollaborativen Planungsumgebungen einer Vielzahl Projektbeteiligter zugänglich sind. In der Euphorie über Transparenz und Agilität bei der Umsetzung von digital unterstützten Bauprojekten drängt sich das diesjährige Thema förmlich auf: BIM mIT Sicherheit! welches die Sicherheitsaspekte der Methode in den Mittelpunkt rückt. In Deutschland haben wir hier noch keine allgemeinverbindlichen Richtlinien wie z.B. in Großbritannien, wo die BSI PAS 1192-5 (Specification for security-minded building information modelling, digital built environments and smart asset management) bereits seit 2015 vorliegt.

Das 3. BIM Forum greift das Thema interdisziplinär auf. Am Vormittag gibt Kriminalkommissar Silvio Berner vom Cybercrime Competence Center der Polizei Sachsen einen Überblick über aktuelle Bedrohungslagen gefolgt vom Vortrag von Dr. Michael Wolters (Baurechtskanzlei Kapellmann und Partner) der die rechtlichen Aspekte modellbasierten Arbeitens auf den Punkt bringen wird. Bei einer Paneldiskussion werden die bestehenden Sicherheitsanforderungen verschiedener Auftraggeber besprochen. Hier werden auch Eckpunkte der kommenden Auftraggeberinformationsanforderungen (AIA) für den Staatshochbau in Sachsen zur Sprache kommen.

Sicherheit „by design“ steht im Fokus des Nachmittagsprogramms. Den Auftakt macht Dr. Thomas Liebig (Geschäftsführer AEC3) der über integrale Qualitätssicherung im BIM-Prozess durch geeignete AIAs und Standardisierung sprechen wird. Kern eines jeden BIM Projekts wird zukünftig eine Kommunikations- und Austauschplattform (Common Data Environment – CDE) bilden.  Sven Eric Schapke, Direktor bei  think project! wird hier über Sicherheitsaspekte einer international etablierten CDE Lösung referieren. BIM Projektbeteiligte fragen sich derzeit immer öfter, ob ihr bestehender Versicherungsschutz auch Risiken aus BIM Projekten abdeckt. Hier gibt der Versicherungsberater Daniel Mauss praktische Empfehlungen zu Berufshaftpflicht- und Cyberversicherungen. Den letzten Vortrag des Tages gestaltet das Team des Fraunhofer Cybersecurity Lernlabors, Oliver Nitschke und Adam Bartusiak, die nicht nur Risiken und Verwundbarkeit von Projektplattformen aufzeigen, sondern auch Tipps für den Aufbau eines strukturierten Informationssicherheitsmanagementsystems (ISMS) geben.

Das 3. EIPOS BIM Forum wird erneut in ideeller Partnerschaft mit buildingSMART Deutschland e.V., dem Sächsischen Staatsministerium der Finanzen sowie den sächsischen Ingenieur- und Architektenkammern durchgeführt. Zur Begrüßung werden die Repräsentanten Grußworte ausbringen und die aktuellen Entwicklungen in den Institutionen berichten.   

Veranstaltungsdetails und Anmeldung auf www.eipos-sachverstaendigentage.de/bim/

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Ivanti Analyse des Patch Tuesday im August: Zwei Zero-Day-Schwachstellen und das leidige Thema „Meltdown & Spectre“

Trotz Ferienzeit bleibt IT-Sicherheitsspezialisten in diesem Jahr wenig Zeit für eine Erdbeer-Margarita am Pool. Die Bedrohungslage, das zeigt zumindest der Patch Tuesday im August, bleibt angespannt: Microsoft hat gerade 17 Updates veröffentlicht, die 60 verschiedene Schwachstellen beheben. Wie üblich ist auch Adobe mit Sicherheitsupdates für mehrere seiner Produkte dabei. Nachdem in den letzten zwei Monaten keine Zero-Day-Schwachstellen gemeldet wurden, sind es im August gleich zwei. Und wie gehabt, verfolgen uns Spectre und Meltdown auch weiterhin.

Bei den beiden Zero-Day-Schwachstellen handelt es sich um CVE-2018-8373 und CVE-2018-8414. Beide wurden öffentlich bekannt gegeben. Eine solche Bekanntmachung wird immer dann nötig, wenn klar ist, dass einem Angreifer ausreichend viele Informationen über eine Schwachstelle zur Verfügung stehen.

CVE-2018-8373 ist ein Schwachpunkt, der sich aus dem Umgang der Scripting-Engine des Internet Explorers mit Objekten im Speicher ergibt. Angreifer könnten sie zur Ausführung von Remotecode nutzen. In diesem Fall hätten sie die gleichen Rechte wie ein angemeldeter Benutzer, einschließlich aller Administratorrechte. Da diese Anfälligkeit im IE 9, 10 und 11 existiert, betrifft sie alle Windows-Betriebssysteme, angefangen vom Server 2008 bis hin zu Windows 10.

Der zweite Zero-Day-Exploit, CVE-2018-8414, ist eine Schwachstelle in der Ausführung von Code, sofern die Windows-Shell Dateipfade nicht ordnungsgemäß validiert. Auch hier kann ein Angreifer Code remote starten und damit Benutzerrechte erlangen. Es hat sich gezeigt, dass diese Schwachstelle nicht sehr weit verbreitet ist, da sie nur unter Windows 10 1703 und neuer sowie Server 1709 und Server 1803 offen ist.

  • Wir empfehlen jedem Administrator, diesen beiden Schwachstellen mit höchster Priorität über die Fixes von Microsoft zu schließen.

Und täglich grüßt das Murmeltier: Meltdown & Spectre
Auch im August waren die Themen Meltdown und Spectre wieder zentrale Elemente des Patch Tuesday. Zum Schutz vor neuen Varianten der beiden Sicherheitslücken hat Microsoft das Advisory 180018veröffentlicht.  Dieser Ratgeber („Microsoft Guidance to migate L1TF variant“) behebt drei Schwachstellen – CVE-2018-3615, CVE-2018-3620 und CVE-2018-3646. In seinem Advisory schreibt Microsoft: „Spekulativeausführungsseitige Channel-Schwachstellen –  wie beispielsweise L1 Terminal Fault (L1TF) – lassen sich einsetzen, um den Inhalt des Speichers über eine vertrauenswürdige Grenze hinweg zu lesen. In diesem Fall könnten Informationen offengelegt werden.“  Die Behebung dieser Schwachstellen erfordert sowohl ein Software- als auch Firmware-Update (Mikrocode). Als vorübergehende Abhilfe empfiehlt Microsoft die Deaktivierung von Hyper-Threading, was erhebliche Auswirkungen auf die Performance haben kann. Ähnlich der vorherigen Anleitung zu diesen Schwachstellen wird auch im Advisory 180018 deutlich, dass ihr Management und ihre Behebung zeitaufwändig und mühsam ist. Die aktuelle Variante ist übrigens auch unter dem Codenamen Foreshadow bekannt. Eine ausführliche Erklärung und weitere Informationen bietet diese Usenix-Seite.

  • Wir empfehlen, die Hinweise von Microsoft sorgfältig durchzulesen, bevor Sie Maßnahmen ergreifen.
  • Testen Sie Ihre nicht produktiven Systeme, bevor Sie auf breiter Basis fortfahren.

Zum Patch Tuesday im August hat Microsoft Updates für viele seiner Produkte veröffentlicht.  Besonders hervorzuheben sind neue Updates für .NET, die interessanterweise nur eine Schwachstelle beheben. Die Veröffentlichung des vorangegangenen Updates verursachte im Juli eine Reihe von Stabilitätsproblemen. Es kann davon ausgegangen werden, dass nun neben der zentralen Sicherheitslücke auch eine Reihe von Fixes mitgeliefert werden.

  • Testen Sie die Updates sorgfältig, bevor Sie sie auf Produktionsmaschinen anwenden.

Zu den genannten Angriffspunkten gesellt sich im August eine kritischen Schwachstelle in SQL 2016 und 2017. Exchange wurde zudem mit Updates für Exchange 2010, 2013 und 2016 für zwei2 CVEs gepatcht. Visual Studio 2015 und 2017 runden das Bild mit einem CVE ab.

Offene Flanke bei Oracle…
Am 17. Juli hatte Oracle sein vierteljährliches Critical Patch Update (CPU) veröffentlicht. Werfen Sie einen Blick in das Advisory, das Ihnen die neuesten Updates zur Verfügung stellt –  unter anderem auch für Java. Am 10. August hatte Oracle zudem ein seltenes Out-of-Band-Advisoryfür CVE-2018-3110 bereitgestellt. Mit einer CVSS v3-Basisbewertung von 9,9 ist diese Schwachstelle einfach auszunutzen und bietet direkten Shell-Zugriff auf Ihre Datenbank.

  • Wenn Sie die Oracle-Datenbankversionen 11.2.0.4 oder 12.2.0.1 unter Windows verwenden, empfehlen wir Ihnen dringend, diesen neuesten Patch zügig zu installieren.
  • Beachten Sie, dass Updates für jede Oracle-Version unter Linux und Windows 12.1.0.2 bereits im Juli-CPU bereitgestellt wurden. Dieser neue Hinweis bezieht sich auf frühere Versionen der Datenbank.

… und bei Adobe
Nachdem Adobe in seinem planmäßigen Update im letzten Monat 104 Schwachstellen behoben hat, war eigentlich nicht damit zu rechnen, dass ein weiteres Reader- und Acrobat-Update zwei neue kritische Schwachstellen beheben muss. Daneben hat das Unternehmen seinen Flash Player wie üblich aktualisiert, um fünf Schwachstellen abzustellen. Ebenfalls wurden Updates für Creative Cloud und andere Adobe-Produkte veröffentlicht.

  • Es ist ratsam auch in diesem Monat eine Adobe-Patch-Routine zu fahren.

Fazit
Der Patch-Zyklus geht mit Macht weiter. Schauen Sie sich alle kürzlich veröffentlichten Sicherheitsupdates von Microsoft und Drittanbietern genau an und planen Sie entsprechend. Vielleicht bleibt Ihnen dann ja noch Zeit für ein paar Sonnenstrahlen und die eine Erdbeer-Margarita am Pool.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

TeleTrusT – Bundesverband IT-Sicherheit: IT-Sicherheitsrechtstag 2018

Die Umsetzung gesetzeskonformer IT-Sicherheit in Unternehmen, öffentlichen Stellen und Behörden erfordert zahlreiche technische, organisatorische und rechtliche Maßnahmen. So stellt die Datenschutz-Grundverordnung seit dem 25.05.2018 deutlich erhöhte Anforderungen an den technischen Datenschutz. Das IT-Sicherheitsgesetz gilt sogar bereits seit 2015. Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) präsentiert im Rahmen einer interdisziplinären Informationsveranstaltung am 25.10.2018 in Berlin Erfahrungen, Lösungsansätze und Praxistipps.

Am 25.10.2018 veranstaltet TeleTrusT in Berlin zum dritten Mal den mit Fachexperten besetzten IT-Sicherheitsrechtstag. Im Fokus stehen die Möglichkeiten der erfolgreichen Umsetzung gesetzlicher IT-Sicherheits- und Datenschutzanforderungen in der Unternehmens- und Behördenpraxis.

Unter anderem mit dem IT-Sicherheitsgesetz und der EU-Datenschutz-Grundverordnung (DSGVO) haben die Gesetz- und Verordnungsgeber auf nationaler und europäischer Ebene wichtige regulatorische Vorgaben gesetzt. Unternehmen und Behörden sind aufgefordert, Ihre Strukturen sowie die technischen, organisatorischen und rechtlichen Maßnahmen zu überprüfen und unter Berücksichtigung des Standes der Technik anzupassen. Insbesondere sind die Maßnahmen und Verfahren umfänglich zu dokumentieren.

"Wir möchten mit den Teilnehmern unseres IT-Sicherheitsrechtstages vor allem die Erfahrungen, die wir seit dem Geltungsbeginn der DSGVO in Sachen IT-Sicherheit gesammelt haben, weitergeben und diskutieren“, erklärt RA Karsten U. Bartels LL.M., TeleTrusT-Vorstandsmitglied.

Referenten aus der technischen, juristischen, betrieblichen, aufsichtsbehördlichen und gutachterlichen Praxis werden die praxisrelevanten Herausforderungen der datenschutzrechtlichen und IT-sicherheitsgesetzlichen Pflichten erörtern und ihre Lösungs- und Umsetzungsmöglichkeiten beleuchten. Die Veranstaltung richtet sich an Unternehmen, öffentliche Stellen und Behörden jeder Größe.

Aus dem Programm:

RA Karsten U. Bartels, LL.M., HK2 Rechtsanwälte, TeleTrusT-Vorstand, Leiter TeleTrusT-AG "Recht"
Begrüßung

Tomasz Lawicki, Schwerhoff Consultants, Leiter TeleTrusT-AK "Stand der Technik"
Moderation

RA Paul Voigt, LL.M., Taylor Wessing
"Das IT-Sicherheitsgesetz in der Praxis"

RA Karsten U. Bartels, LL.M., HK2 Rechtsanwälte
"Die DSGVO in der Praxis"

Dr. Ilona M. Pawlowska, LL.M., Deutsche Akkreditierungsstelle (DAkkS)
"Akkreditierungen von Zertifizierungsstellen nach DSGVO"

Ernst-H. Paap, Hamburger Sparkasse
"Regulatorische Anforderungen und Auswirkungen auf das ‚Daily Business‘ "

Frank Helle, Hermes Forwarding
"Vorgehensweise für die Umsetzung der DSGVO im Unternehmen"

Barbara Thiel, Die Landesbeauftragte für den Datenschutz Niedersachsen
"Umsetzung der DSGVO aus aufsichtsbehördlicher Sicht"

Panel-Diskussion

Programm und Anmeldung: https://www.teletrust.de/veranstaltungen/it-sicherheitsgesetz-und-dsgvo/it-sicherheitsrechtstag-2018.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Energiemanagement: IT-Dienstleistungszentrum Berlin erfolgreich nach ISO 50001 zertifiziert

Im März war Katja Winkelmann, erfahrene Energiemanagement-Auditorin der GUTcert, am Standort des ITDZ Berlin im Stadtteil Wilmersdorf zu Gast und führte die externe Prüfung gemäß ISO 50001 durch.

Das ITDZ Berlin verfolgt ambitionierte Ziele – einerseits soll die Berliner Verwaltung in das digitale Zeitalter überführt und mit leistungsfähiger Technologie ausgestattet werden, andererseits wird im Rahmen der internen Klimapolitik sehr viel Wert auf die Aspekte Nachhaltigkeit und Energieeffizienz gelegt.

Verbrauch bereits um 27% reduziert

In den letzten Jahren konnte der Energieverbrauch für Wärme und Strom bereits um 27% reduziert werden, und das bei wachsender Geschäftsentwicklung. Mit dem Energiemanagementsystem nach ISO 50001 soll dieser Trend systematisch weiterverfolgt werden.

Wie wichtig solche Ziele sind, begründet die GUTcert-Auditorin Frau Winkelmann nicht zuletzt anhand eines Projektes  der Carl von Ossietzky Universität in Oldenburg (TEMPRO – Total Energy Managment for Professional Data Centers): „Die Rechenzentren allein in Deutschland verbrauchen pro Jahr ca. zehn Milliarden KWh (10 TWh). 2020 sollen es bereits 14 TWh/a sein. Das ist so viel wie die Staaten Luxemburg und Estland zusammen.“ (zur Veröffentlichung)

Berliner Energieagentur liefert Unterstützung

Zusammen mit den Mitarbeitern und den Beratern der Berliner Energieagentur ging man den Prozessen und den energetischen Verbesserungspotentialen auf den Grund. Erfolgreich, denn schon im Mai dieses Jahres konnte der Abschlussbericht des Audits und das Zertifikat über die gelungene Einrichtung eines Energiemanagementsystems nach ISO 50001 an das ITDZ Berlin übermittelt werden.

„Am Beispiel des ITDZ Berlin zeigt sich, wieviel man mit Engagement seitens der Mitarbeiter und der Geschäftsführung in diesem Bereich erreichen kann und wie sehr sich ein Energiemanagement auch für Dienstleister lohnt“, so die Auditorin Frau Winkelmann.

Das IT-Dienstleistungszentrum Berlin hat zum Thema selbst einen Presseartikel veröffentlicht.

Fragen oder Hinweise richten Sie bitte an Frau Sarah Stenzel, Tel.: +49 30 2332021-52.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

EU-DSGVO und Abmahnungen: Schreckgespenst oder Phantom?

Die seit 25. Mai verbindlich geltende EU-Datenschutzgrundverordnung sorgt bei vielen Unternehmen für Unruhe und Angst vor Abmahnwellen. Besonders ausgeprägt ist die Unsicherheit bei kleineren Organisationen wie Arztpraxen, Stiftungen, Vereinen und Freiberuflern, die nicht auf eine eigene Rechtsabteilung mit entsprechendem Fachwissen zurückgreifen können.

Inzwischen gibt es erste Abmahnungen wegen formaler Verstöße gegen die DSGVO. Aus Sicht vieler Experten stellen diese jedoch kaum ein lukratives Geschäft dar, weil die rechtliche Grundlage dafür doch recht fragwürdig ist.

Im Fokus der DSGVO stehen natürliche Personen

Die EU-DSGVO beinhaltet zwar auch Passagen, die im Sinne des Gesetzes gegen den unlauteren Wettbewerb anwendbar sind und Klagen von Mittwettbewerbern ermöglichen, im Wesentlichen enthält sie aber gemäß Art. 1 Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Um weder Wettbewerbern noch den Personen, deren Daten bei ihnen verarbeitet werden, Anlass für Klagen zu geben, ist eine überschaubare Anzahl von Anforderungen zu bearbeiten. Dazu gehört vor allem, betroffene Personen rechtzeitig und umfassend über den Umgang mit ihren Daten zu informieren.

Verfahrenskataster: nötig und hilfreich

Um in Betrieben eine Übersicht zu bekommen, wo überhaupt personenbezogene Daten verarbeitet werden, ist ein Verfahrenskataster anzulegen. Auf dieser Grundlage können weitere Anforderungen ermittelt und mit entsprechenden Maßnahmen zur Gewährleistung des Datenschutzes versehen werden. Zum Aufstellen eines solchen Katasters bedarf es keiner juristischen Spezialkenntnisse – verschiedene Hilfestellungen von Behörden und Verbänden (z.B. der Europäischen Kommission oder der Bundesdatenschutzbeauftragten) klären bereits viele Fragen, die beim Lesen der Verordnung auftauchen.

Tagesseminar und Zertifizierung

Um Zeit bei der Einarbeitung zu sparen und Zugriff auf geprüfte Vorlagen zu erhalten, können Verantwortliche den eintägigen Praxiskurs „EU-DSGVO kompakt: Rechtslage und Umsetzung für kleine Unternehmen“ der GUTcert Akademie besuchen. Zur Zielgruppe der Schulung gehören insbesondere Betriebe, die unterhalb der Schwelle zur Benennungspflicht eines Datenschutzbeauftragten liegen. Für größere Organisationen bieten wir eine viertägige Intensivausbildung zum Beauftragten an. Bei Fragen zum Kursangebot erreichen Sie uns unter akademie@gut-cert.de oder +49 30 2332021-21.

Sie möchten das Datenschutzsystem Ihres Unternehmens von den GUTcert Fachexperten prüfen lassen? Dann stellen Sie eine unverbindliche Angebotsanfrage an unsere Fachabteilung. Ihr Ansprechpartner ist Nico Behrendt (+49 30 2332021-81).

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Was macht einen guten Datenschutzbeauftragen aus? 5 Tipps für die Recherche plus gängige Mythen

Ist die IT-Infrastruktur technisch sicher und rechtssicher aufgebaut, haben Unternehmer bereits vieles im Sinne der DSGVO-Vorgaben erfüllt. Unter Umständen ist das Benennen eines Datenschutzbeauftragten nötig. Doch woran können Unternehmer festmachen, ob ihr Gegenüber ein qualifizierter und vertrauenswürdiger externer Datenschutzbeauftragter ist? Die m2solutions EDV-Service GmbH wird häufig von ihren Kunden diesbezüglich um Rat gebeten. Die interne Datenschutzkoordinatorin Kirstin Vedder hat deshalb mit einigen Mythen aufgeräumt und 5 Tipps für die erfolgreiche Suche zusammengestellt.

  • Ein Datenschutzbeauftragter erledigt für mich alles rund um die DSGVO!
    Das ist nicht korrekt so, denn ein Datenschutzbeauftragter unterrichtet und berät ein Unternehmen hinsichtlich zu ergreifender Maßnahmen für eine DSGVO-konforme Infrastruktur. Im zweiten Schritt überwacht er die Einhaltung des Gesetzes und prüft z. B. die Arbeitsabläufe, um den Datenschutz in einem Unternehmen zu gewährleisten. Umsetzen müssen die Unternehmen dies jedoch selbst.
  • Der Datenschutzbeauftragte schickt mir ein paar Listen und Formulare, und schon bin ich durch mit dem Thema Datenschutz.
    Ganz so einfach ist es nicht, wenn ein externer Datenschutzbeauftragter bestellt wurde. Alle Datenschutzbeauftragten haben die Einhaltung des Gesetzes durch das jeweilige Unternehmen zu überwachen. Das umfasst einen weitaus genaueren Blick ins Unternehmen als nur das Zurverfügungstellen von Aufgaben-Listen und auszufüllenden Formularen. Nimmt der beauftragte Externe sein Mandat ernst, dann wird er proaktiv regelmäßig Präsenztermine im Unternehmen anbieten, um persönlich Einblick in die technische und organisatorische Infrastruktur zu erhalten. Dieses Mitdenken des Datenschutzbeauftragten ist ein gutes Zeichen, selbstverständlich ist dies mit entsprechenden Kosten verbunden.
  • Um Datenschutzbeauftragter zu werden, ist eine „offizielle Prüfung“ notwendig. Wer sich so nennt, der kann was!
    Im Grunde kann sich jeder zum Datenschutzbeauftragten aus- und fortbilden lassen. Eine ordnungsgemäße Prüfung gibt es nicht, da es sich nicht um einen geschützten Beruf handelt. Das macht die Suche nach einem geeigneten Datenschutzbeauftragten nicht leichter.

5 hilfreiche Tipps zur Auswahl eines Datenschutzbeauftragten
Frau Vedder hat aus der Unternehmens-Erfahrung bei m2solutions eine Liste an hilfreichen Tipps zusammengestellt:

1.) Ausbildung:
Man darf sich durchaus erklären lassen, wie und wo die Ausbildung zum Datenschutzbeauftragen stattgefunden hat. Zum Beispiel TÜV, DEKRA oder die IHK sind einige der vertrauenswürdigen Aussteller von entsprechenden Ausbildungszertifikaten.
2.) Erfahrung:
Die Erfahrung ist ein maximal relevanter Faktor, um die Eignung des Datenschutzbeauftragten abschätzen zu können. Hat der potenzielle Externe bereits Mandate in einer bestimmten Branche? Wie lange ist er am Markt? Wie oft bildet er sich weiter? Die operative Erfahrung eines externen Datenschutzbeauftragten ist ein gutes Kriterium, um seine Fähigkeiten einschätzen zu können.
3.) Vorgehensweise:
Zur Aufgabe eines Datenschutzbeauftragten gehört es, die Einhaltung der DSGVO in einem Unternehmen zu Überwachen. Um eine Einhaltung bewerten zu können, sollte sich der Datenschutzbeauftragte einen umfassenden Einblick in die Geschäftsprozesse des Unternehmens verschaffen. Andersrum sollte der Unternehmer ihm diesen Einblick auch ermöglichen. Eine solche Ist-Analyse dauert mitunter zwischen einem halben und mehreren Tagen und ist nicht durch ein Gespräch mit der Geschäftsführung erledigt. Zudem ist es lohnenswert, im Vorwege das vom Datenschutzbeauftragten angebotene Vertragsmodell zu prüfen – denn es gibt verschiedenste Konzepte und Vertragsvarianten.
4.) Absicherung:
Auch einem Datenschutzbeauftragten kann ein Fehler unterlaufen. Für solche Fälle können sich externe Datenschutzbeauftragte per Versicherung vor Haftungsansprüchen absichern – als Kunde darf man sich einen Versicherungsschein mit der Höhe der Deckungssumme ruhig vorlegen lassen um zu sehen, ob der
potenzielle Datenschutzbeauftragte eine solche Versicherung abgeschlossen hat.
5.) Nasenfaktor:
Zu guter Letzt muss einem der Datenschutzbeauftragte sympathisch sein. Es ist ein wenig wie beim Arzt: Auch hier muss das Vertrauen herrschen, dass der Arzt die richtige Diagnose stellt, ohne dass der Patient zur Bewertung selbst zum Arzt wird. Schaut der Datenschutzbeauftragte also richtig hin? Hält er auch einmal den Finger in die Wunde? Vermittelt er einen hartnäckig-kompetenten Eindruck?

„Der Datenschutz muss leben“, sagt Kirstin Vedder, die selbst nach TÜV geprüfte Datenschutzbeauftragte ist. Aus dem Aufsetzen von Maßnahmen zur Datensicherheit muss ein fortwährender Prozess zum Datenschutz erwachsen, der von jedem Mitarbeiter im Unternehmen gelebt wird. Aus diesem Wissen heraus kooperiert der in Ahrensbök ansässige IT-Dienstleister für den IT-Sicherheitscheck „m2guard“ mit Unternehmen, die bei der permanenten Umsetzung von Datenschutz zur Seite stehen – so entsteht eine umfassende Dienstleistung im Sinne des Datenschutzes.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

GUTcert Tagung „IT-Sicherheit und Datenschutz im Gesundheitswesen“ am 10. September 2018 in Berlin

Am 10. September 2018 treffen sich Experten der Branche in Berlin, um über aktuelle Themen, Trends und Herausforderungen zu IT-Sicherheit, KRITIS, Datenschutz und EU-DSGVO speziell im Gesundheitswesen zu berichten – ab sofort ist unser Programm verfügbar.

Die Tagung richtet sich an praktische Anwender: Sie beleuchtet Wegweiser im Dschungel der Vorgaben und zeigt Schnittstellen auf – insbesondere zu den Medizinprodukten. Beauftragten, Führungskräften und anderen Interessierten bietet sich die Gelegenheit zum Austausch und zur Diskussion mit Vertretern der Branche. Mit dabei sind unter anderem die Bundesdruckerei und die Funk-Gruppe.

Weitere Vorträge beschäftigen sich mit den Schwerpunkten:

  • Gesetze und Vorgaben
  • Chancen und Risiken im Hinblick auf Medizinprodukte & IT-Sicherheit
  • Cyber-Risiken im Rahmen des klinischen Risikomanagements
  • Nutzen von Zertifizierungen – ISO 27001 & ISO 27799, ISO 80001, EU-DSGVO
  • Datenschutz und ISMS – Synergieeffekte und Schnittstellen

Wir freuen uns darauf, Sie im September zur Tagung zu begrüßen! Unter den folgenden Links finden Sie alle wichtigen Details:

Mehr zu den Referenten erfahren Sie in den kommenden Ausgaben des Newsletters oder auf unserer Website.

Sonderkonditionen für Hotelzimmer der Teilnehmer

Für Gäste der Tagung ist ein Hotelzimmerkontingent mit vergünstigten Konditionen reserviert – so vermeiden Sie unnötigen Stress für Ihren Aufenthalt. Details erhalten Sie mit der Anmeldebestätigung, die wir Ihnen nach Buchung per E-Mail zusenden.

Jetzt noch Early Bird-Rabatt nutzen

Wenn Sie sich bis zum 31. Juli anmelden, erhalten Sie – zusätzlich zum Bestandskundenrabatt – den Frühbuchernachlass in Höhe von 50 Euro.

Fragen zum Thema beantwortet Ihnen gerne Frau [email=juliane Zimmermann@gut-cert.de]Juliane Zimmermann[/email], Tel.: +49 30 2332021-26.

Für Fragen zum gesamten Weiterbildungsangebot rreichen Sie uns unter +49 30 2332021-21 oder akademie@gut-cert.de.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

AV-TEST: Volle Punktzahl für G DATA im Mai

Die mobile Sicherheitslösung überzeugte die Tester erneut in den Kategorien Schutzwirkung, Handhabung und nützliche Zusatzfunktionen. Folgerichtig erzielte G DATA Mobile Internet Security Bestwerte in allen Kategorien und erreichte mit 13 von 13 möglichen Punkten erneut eine Top-Platzierung.

Testdetails

Bestnoten für G DATA auch im Langzeittest

Das Forschungsinstitut AV-Test hat 16 Security-Apps für Android von November 2017 bis März 2018 im Dauertest gegen Google Play Protect antreten lassen. Das Ergebnis: G DATA Mobile Internet Security erzielte auch hier Bestnoten. Das Fazit der Tester ist eindeutig: Für den umfassenden Schutz vor aktuellen Bedrohungen ist eine Sicherheitslösung, wie G DATA Mobile Internet Security wichtig. Google Play Protect kann einen umfassenden Schutz nicht sicherstellen.

Zuverlässiger Schutz für Smartphones und Tablets

G DATA Internet Security bietet einen perfekten Schutz des mobilen Lebens für Smartphones und Tablets mit Android-Betriebssystem. Neben dem Abwehren von Trojanern, Viren, Schädlingen und Gefahren beim mobilen Surfen, sichert die smarte Security-App Nutzer auch gegen die fatalen Folgen eines Geräteverlustes oder Diebstahls ab. Smartphones können geortet oder auch alle darauf gespeicherten Daten aus der Ferne gelöscht werden, um sie vor dem Zugriff durch Dritte zu schützen.

Key-Features

  • Sicherheit vor Phishing und gefährlichen Webseiten durch cloud-basierte Erkennung
  • Schutz vor infizierten Apps: Die App-Kontrolle prüft die Berechtigungen von Anwendungen und warnt vor neugierigen Apps
  • Schutz vor Android-Schädlingen: Durch die Cloud-Anbindung entdeckt der ressourcenschonende Advanced-Scan alle Schadprogramme und ist dabei immer auf dem neuesten Stand
  • Individueller SMS- und Anruffilter gegen Werbeanrufe und Co.
  • Schutz vor Geräteverlust und Diebstahl: Sollte das Smartphone oder Tablet verloren gehen, können alle darauf gespeicherten Daten gelöscht, das Gerät gesperrt oder geortet werden.
  • Umfangreiche, konfigurierbare Kindersicherung, damit auch der Nachwuchs das Mobilgerät nutzen kann

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Cyberangriffe stellen eines der größten drei Unternehmensrisiken dar!

Die Zahl der Cyberattacken hat in den vergangenen Jahren stark zugenommen. Digitale Bedrohungen lauern prinzipiell bei jeder vernetzten, digitalen Technologie. Automatisierungslösungen haben fast unbegrenzte Kommunikationsmöglichkeiten eröffnet und werden in der Folge jedoch durch Angriffe aus dem Cyberspace bedroht. Das Aufspielen von schädlicher Software oder direktes interaktives Eingreifen in Automatisierungssysteme können zu Datenmanipulation, Datenverlust oder Produktionsausfällen führen. Der VDE engagiert sich deshalb auf vielfältige Weise für Cyber Security.

Die Seminare des VDE VERLAGs zum Thema IT-Sicherheit sind auf verschiedene Anwender und Teilnehmergruppen ausgerichtet. Wir bieten zu jedem Automatisierungsthema das passende IT-Sicherheitsseminar. Experten der Gebäudeautomation zeigen, wie der Cyberkriminalität in Smart Buildings wirksam begegnet werden kann. Für den Schutz automatisierter Industrieanlagen oder kritischer Infrastrukturen stehen weitere Seminare zur Verfügung. Neben dem wirksamen Schutz betrieblicher Infrastrukturen und der Gebäudeautomation muss sich auch der einzelne Mitarbeiter im Unternehmensalltag vor dem sogenannten Human Hacking schützen. Im VDE Seminar „Schwachstelle Mensch“ werden Mitarbeiter für einen bedachten Umgang mit Unternehmensdaten und Informationen sensibilisiert, um die Gefahren von Human Hacking zu minimieren.

Alle Seminare und weitere Informationen zum Thema IT-Sicherheit finden Sie hier: https://www.vde-verlag.de/seminare/it-sicherheit.html

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Was ist „Stand der Technik“ nach IT-Sicherheitsgesetz und DSGVO?

Mit dem "Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme" (IT-Sicherheitsgesetz) verfolgt der Gesetzgeber das Ziel, Defizite in der IT-Sicherheit abzubauen. Daneben gilt seit dem 25.05.2018 die EU-Datenschutz-Grundverordnung (DSGVO) mit ihren hohen Anforderungen an die technischen und organisatorischen Maßnahmen. Beide Rechtsquellen fordern die Orientierung der IT-Sicherheit am Stand der Technik, lassen aber unbeantwortet, was im Detail darunter zu verstehen ist. Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) hat seine Handreichung zum Stand der Technik überarbeitet und im Lichte neuer Erkenntnisse erweitert.

Täglich zeigen Meldungen zu Sicherheitsvorfällen in Unternehmen und Behörden, dass dringender Handlungsbedarf zur Verbesserung der IT-Sicherheit besteht. Artikel 32 DSGVO regelt zur "Sicherheit der Verarbeitung", dass "unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen sind. Damit soll ein dem Risiko angemessenes Schutzniveau gewährleistet werden, z.B. durch Maßnahmen wie Verschlüsselung.

Sowohl der nationale als auch der europäische Gesetzgeber enthalten sich jedoch konkreter, detaillierter technischer Anforderungen und Bewertungskriterien für die sicherheitsrelevanten technischen und organisatorischen Maßnahmen. Den Gesetzesadressaten werden auch keinerlei methodische Ansätze geliefert. Diese Ausgestaltung, zumal in einem dynamischen Marktumfeld, muss den Fachkreisen überlassen bleiben.

TeleTrusT flankiert und ergänzt die Rechtslage mit der fachlichen Kompetenz der organisierten IT-Sicherheitswirtschaft in Deutschland. Eine Expertengruppe hat die bestehende "TeleTrusT-Handreichung zum Stand der Technik" überarbeitet und ergänzt. Das Dokument gibt konkrete Hinweise und Handlungsempfehlungen.

https://www.teletrust.de/fileadmin/docs/fachgruppen/ag-stand-der-technik/TeleTrusT-Handreichung_Stand_der_Technik_-_Ausgabe_2018.pdf

RA Karsten U. Bartels LL.M. (HK2 Rechtsanwälte; TeleTrusT-Vorstand und Leiter der TeleTrusT-AG "Recht"): "Unsere Handreichung zum Stand der Technik soll Unternehmen, Anbietern und Dienstleistern Hilfestellung zur Bestimmung des ‚Standes der Technik‘ im Sinne des IT-Sicherheitsgesetzes und der Datenschutz-Grundverordnung geben. Das Dokument kann dabei als Referenz für vertragliche Vereinbarungen, Vergabeverfahren bzw. für die Einordnung implementierter Sicherheitsmaßnahmen dienen."

Tomasz Lawicki (AC Schwerhoff; Leiter des TeleTrusT-AK "Stand der Technik"): "Mit der Handreichung in der Auflage 2018 setzen wir einen weiteren Meilenstein in der Bestimmung des ‚Standes der Technik‘ von technischen und organisatorischen Sicherheitsmaßnahmen. Das soll auch in Zukunft so bleiben."

Die Handreichung versteht sich als Ausgangspunkt bei der Ermittlung von gesetzlichen IT-Sicherheitsmaßnahmen. Sie ersetzt nicht eine technische, organisatorische oder rechtliche Beratung bzw. Bewertung im Einzelfall.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox