Herzlich willkommen - WKO

Die Seite wird erstellt Noelle Schuler
 
WEITER LESEN
Herzlich willkommen - WKO
Herzlich willkommen
Herzlich willkommen - WKO
Fahrplan
Herzlich willkommen - WKO
Sujetfolie Datenschutz
      (kein Titel)
        Sujetbild: Personenbezogene
 Daten/Datenschutz/Daten schützen ist wichtig
Herzlich willkommen - WKO
Datenschutz in
  Österreich
Herzlich willkommen - WKO
Datenschutzgesetz §14 DSG (auszugsweise)

       Schutz der Daten     Ordnungsgemäße
       gegen Zerstörung     Verwendung von
         oder Verlust            Daten

                             Belehrung der
        Kein Zugriff auf    Mitarbeiter über
      Daten für Unbefugte    Datenschutz-
                              maßnahmen
Herzlich willkommen - WKO
Herzlich willkommen - WKO
Rechtsquellen
Herzlich willkommen - WKO
Rechtsquellen
                DSG                             ECG
          Datenschutzgesetz               E-Commerce Gesetz

                TKG                              UrhG
        Telekommunikations-                  Urheberrechts-
               gesetz                            gesetz

               GewO
           Gewerbeordnung                        u.v.m.
  Ab 25. Mai 2018 einige Änderungen durch DSGVO : Datenschutz-Grundverordnung
Herzlich willkommen - WKO
KMU Portal

             www.it-safe.at
Herzlich willkommen - WKO
Kontakte

  www.wko.at/itsecurity   www.incite.at
Zum Nachlesen
www.wko.at/it-sicherheit

             ü Powerpoint Präsentation
             ü Linkliste
             ü Sicherheitshandbücher
             ü Checklisten
             ü Online Ratgeber
Der Wert der Daten
Der Wert eines Datensatzes
                  250 Euro
                  Finanzdienstleister

                  160 Euro
                  Öffentlicher Sektor

                  Quellen:
                  IBM Cost of Data Breach Study 2016 (Ponemon Institute)
                  EMC Global Data Protection Index 2016
Folgen von Datenverlust für KMU

                  29%                                              43%
            innerhalb von                                    innerhalb von
               3 Jahren                                         5 Jahren
             in Insolvenz                                     in Insolvenz

  Quellen:
  US Department of Labor and Datapro, 2012
  Contingency Planning Research & Strategic Research Corporation, 2012
Technischer Schutz
Welcher Schutz ist erforderlich?
§ 14 DSG: Maßnahmen zur Gewährleistung der Datensicherheit

            Stand der
           technischen                     Wirtschaftliche
          Möglichkeiten                    Vertretbarkeit
Betriebssystem
Wirtschaftliche Vertretbarkeit
Ein-Personen-Unternehmen

     Passwortschutz am PC            Handy
        bzw. Notebook           passwortgeschützt

     Tägliche Sicherung auf
                              Antivirenschutzpaket
           Festplatte

           Standard-
        Betriebssystem +      Zutrittsberechtigungen
                                zu Räumlichkeiten
       laufende Updates
KMU
  IT-Partner für Notfälle       Antiviren             Regelmäßiger
     und die laufende       Mehrplatzlösung und    Austausch kritischer
      Systemwartung          separate Firewall          Hardware

                                                    1x im Jahr externe
                            Aufgabenverteilung
      Passwortrichtlinie                               Schulung der
                              für Mitarbeiter
                                                        Mitarbeiter

       Belehrung der                              Laufende Sicherung auf
                               Brandschutz-
      Mitarbeiter über                             externen Festplatten
                               maßnahmen
        Datenschutz                                  oder in der Cloud
Mittelbetrieb

   24/7 Servicevertrag für VPN-Lösung für externe   Mehrstufige Backup-
   alle IT-Angelegenheiten      Mitarbeiter              Strategie

                            Verschlüsselung von
        Technische
                             Datenbackup und
    Zugangskontrollen zu                            Disaster Recovery Plan
                                 sensiblem
       Serverräumen
                               Datenverkehr

                                Jährliche
                            „Feuerwehrübung“
Personenbezogene
      Daten
Personenbezogene Daten
   ü Name                  ü Umsatz
   ü Geburtsdatum          ü Beschäftigtenzahl
   ü Adresse               ü Gewinn
   ü Geschlecht            ü Angaben zur Bonität
   ü Einkommen             ü Bild
   ü Vermögen              ü Stimme
   ü Lebensstil            ü Fingerabdrücke
   ü Intelligenzquotient   ü Genetische Daten
Sensible Daten
   ü Rassische und ethnische Herkunft
   ü Politische Meinung
   ü Gewerkschaftszugehörigkeit
   ü Religiöse oder philosophische Überzeugung
   ü Gesundheit
   ü Sexualleben

   Besonders streng geregelt!
Datenschutz
Grundverordnung 2018
DSGVO Prinzipien
     Rechtmäßigkeit, Treu
        und Glauben,        Zweckbindung
         Transparenz

      Datenminimierung        Richtigkeit

                            Integrität und
     Zeitliche Begrenzung
                            Vertraulichkeit
DSGVO Pflichten
                                                    Technischer und
    Informationspflichten     Löschung oder
                                                    organisatorischer
   gegenüber Betroffenen        Änderung
                                                    Schutz der Daten

    Ggf. Verzeichnis aller
    Datenverarbeitungs-                              Ggf. Datenschutz-
                               Risikoanalyse
         tätigkeiten                                Folgenabschätzung

                                         Meldepflicht von
                 Zusammenarbeit mit
                                          Datenschutz-
                  Aufsichtsbehörde
                                          verletzungen
Strafausmaß

             Bisher (geltendes DSG)
         25.000,- EUR Verwaltungsstrafe

                 Neu (ab 2018)
               Bis zu 20 Mio EUR
    Oder 4% des weltweiten Konzernumsatzes
DSGVO - Checkliste
             Sujetbild: Checkliste
               Link einbinden:
  https://www.wko.at/service/wirtschaftsrecht-
gewerberecht/EU-Datenschutz-Grundverordnung:-
               Checkliste.html
Datenschutzbeauftragter
Ab Mai 2018 verpflichtend, wenn
                                                     Aufgaben:
    ... die Kerntätigkeit aus
          umfangreicher                                    Beratung der
        regelmäßiger und                              Betriebsleitung und der
         systematischer           typischerweise:           Mitarbeiter
           Beobachtung                                  Überwachung der
                                  Berufsdetektive
             besteht                                     Einhaltung aller
    ... die Kerntätigkeit aus                        Datenschutzvorschriften
                                  IT-Dienstleister
    Verarbeitung sensibler                                 Anlaufstelle
    Daten oder Daten über                                      für die
          strafrechtliche                                Aufsichtsbehörde
    Verurteilungen besteht
Datenschutz-Folgenabschätzung
                 Besonderes Risiko:
                     Zusätzliche Konsultation
                        der Aufsichtsbehörde

                           Erhöhtes Risiko:
                           Zusätzliche Datenschutz-
                           Folgenabschätzung verpflichtend

           Allgemeines Risiko:
           Allgemeine Einhaltung der
           Datenschutzbestimmungen
Praxisfälle
Einwilligung – zentrale Punkte
   Unmissverständliche                                   Mündliche
                              Schriftlich oder
   Willensbekundung des                                 Einwilligung:
                               elektronisch
        Betroffenen                                   Nachweispflicht?

                                                      Privacy by default
    Schweigen ist KEINE        Freiwillig und
                                                      (Empfänger muss
       Einwilligung              informiert
                                                      aktiv einwilligen)

                          Einwilligung gilt jeweils
                               nur für einen
                            Verarbeitungszweck
Einwilligung – Mustertext

    Der Vertragspartner stimmt zu, dass seine persönlichen Daten,
      nämlich … (die Datenarten genau aufzählen, z.B. „Name“,
   „Adresse“, etc) zum Zweck der … (genaue Zweckangabe, z.B. „zur
  Zusendung von Werbematerial über die Produkte der Firma …“) bei
                 der Firma NN gespeichert werden.

         Diese Einwilligung kann jederzeit bei … (Angabe der
         entsprechenden Kontaktdaten) widerrufen werden.“
Betroffenenrechte
         Recht auf
                                                   Recht auf
       transparente        Auskunftsrecht
                                                  Berichtigung
        Information

     Recht auf Löschung       Recht auf             Recht auf
         (Recht auf       Einschränkung der   Datenübertragbarkeit
    „Vergessenwerden“)       Verarbeitung       (data portability)

                          Widerspruchsrecht
Data Breach Folgen
ü Unverzügliche Meldung an die Aufsichtsbehörde, wenn Risiko besteht
ü Exakte Beschreibung des Vorfalls und der Folgen
ü Nennung von DSB oder zuständigen Person
ü Bei Nicht-Meldung: Strafe bis zu 2% des weltweiten Umsatzes des
  vorangegangenen Geschäftsjahres oder 10 Mio Euro
ü Benachrichtigung der betroffenen Person, wenn hohes Risiko
Ausnahmen:
         • hohes Risiko technisch/organisatorisch gebannt
         • Benachrichtigung wäre unverhältnismäßger Aufwand
Wer ist der Urheber?
15 Minuten Pause
Cyber Crime
Sicherheit im Unternehmen

                             100%
                          Sicherheit
                         gibt es nicht

         Kein Zustand,
          sondern ein
            Prozess

                                Aufmerksamkeit
                                 und Training
Online Ratgeber   it-safe.at
Angriff auf Vermögen
Mangelnde Aufmerksamkeit

     • Auf europäischen Flughäfen werden ca. 3.400
       Notebooks und Tablets pro WOCHE verloren
     • In den USA werden 12.000 Endgeräte pro WOCHE
       auf Flughäfen verloren (und 70% nie wieder
       abgeholt)
     • Seit Mai 2015 sind in GBR über 1.000
       Regierungslaptops und Flashdrives verschwunden
     • In Österreich waren es in einem Jahr 127 PCs und
       Notebooks aus Ministerien
Sujetbild: Handy

                                                             Link einbinden https://my.avast.com

                                 Wir brauchen bitte folgende Software am Bühnenhandy (Android) und im Browser installiert:

  Avast! Anti-Theft: Mit der App „ Avast! Anti-Theft “ orten Sie Ihr Handy und können es über die Webseite oder per SMS fernsteuern. Außerdem lässt sich das
  Gerät sperren und auf den Werkszustand zurücksetzen. Öffnen Sie die App zum ersten Mal, und erstellen Sie nun ein Nutzerkonto. Dies funktioniert mit Ihren
        Facebook-oder Google-Plus-Daten – oder Sie registrieren ein neues Konto. Nach der erfolgreichen Anmeldung aktivieren Sie per Schieberegler den
Diebstahlschutz. In den erweiterten Einstellungen der App definieren Sie die Aktionen, die sie je nach Situationen ausführen soll. So können Sie bestimmen, dass
 bei einem SIM-Karten-Wechsel eine SMS mit dem Standort des Smartphones und der neuen Nummer an Sie verschickt wird, dass eine Sirene losgeht oder dass
    das Telefon gesperrt wird. Sie können einen Sperrtext mit Ihren Kontaktdaten, einer Belohnungsausschreibung oder Ähnlichem auf dem Sperrbildschirm
    anzeigen und sich sogar Fotos der Frontkamera schicken lassen. Die Anwendung wird im Anti-Diebstahl-Modus nicht angezeigt, damit Diebe nicht auf sie
                                 aufmerksam werden. Alle Einstellungen lassen sich anschließend über die Webseite vornehmen
Phishing-Attacken

      Phishing-Attacken
Dubiose Firmenregister
Ransomware
Bitcoins
Sujetbild: Bitcoins, Cryptowährung
         2 Links einbauen:
 https://tradeblock.com/bitcoin/
 https://blockchain.info/markets
Angriffe auf Daten
Gründe für Datenverlust
                 2                             Kaputte Hardware

          9 6
                                               Menschliches Versagen

                     40                        Korrupte Software

     13                                        Hardware Diebstahl
                                               Schadsoftware
                                               Naturkatastrophen

            30

                          Angaben in Prozent
Richtiges Backup

        Laufende            Dauerhafte          Laufende
        Sicherung           Datenträger        Überprüfung

    Räumliche Trennung      Idealerweise      Strikte Zugangs-
     vom Hauptsystem       Verschlüsselung    beschränkungen

                         Vorkehrungen gegen
                          Naturkatastrophen
Selftest: Wurde ich gehackt?
       https://sec.hpi.de/leak-checker/search
Ergebnis
Passwortregeln

       Passwörter            Sichere
       regelmäßig          Passwörter
         ändern            verwenden

                            Passwörter
     Unterschiedliche
                           verschlüsselt
       Passwörter
                           abspeichern
       verwenden
                        (z.B. mit keepass)
Sicheres Passwort
        Sujetbild: Schlüssel, Schloss, Passwort
                    Link einbinden:
https://www.passwortcheck.ch/passwortcheck/pass
                       wortcheck
Eib21UuZzH!
Handysignatur und E-
           Zustellung
             Sujetbild: Handy, Unterschrift, Brief
                       Links einbinden:
                   www.handy-signatur.at
Handy Signatur: www.handy-signatur.at
                     www.e-zustellung.at
E-Zustellung: www.e-zustellung.at
Online Rechnungsbetrug

                         „…unsere Bankdaten
                         haben sich geändert…“
Bring your own device
Öffentliches WLAN
     Sujetbild: WLAN
Clear Desk Policy

     Datenträger, Ordner,
                               Sensible
     sensible Information
                            Informationen
          abgesperrt
                              vernichten
          verwahren

       Flipcharts nach      Fehlausdrucke
           Meetings           im Drucker
          vernichten           abholen
Angriffe auf Menschen
Angriffe auf Reputation
Shitstorms
Sujetbild: Gegenwind, Shitstorm, Zorn entlädt sich
DDOS Attacken
Professioneller Auftritt

         Professionell
                            Impressum korrekt?
       gemachte Website

       Barrierefreiheit?      Cookiebanner?

           Regeln der         Content Filter
      Netiquette beachten      im Einsatz
Zum Nachschlagen

  wko.at/it-sicherheit   www.it-safe.at
Gute Heimreise
Sie können auch lesen