Herzlich willkommen - WKO
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Sujetfolie Datenschutz (kein Titel) Sujetbild: Personenbezogene Daten/Datenschutz/Daten schützen ist wichtig
Datenschutzgesetz §14 DSG (auszugsweise) Schutz der Daten Ordnungsgemäße gegen Zerstörung Verwendung von oder Verlust Daten Belehrung der Kein Zugriff auf Mitarbeiter über Daten für Unbefugte Datenschutz- maßnahmen
Rechtsquellen DSG ECG Datenschutzgesetz E-Commerce Gesetz TKG UrhG Telekommunikations- Urheberrechts- gesetz gesetz GewO Gewerbeordnung u.v.m. Ab 25. Mai 2018 einige Änderungen durch DSGVO : Datenschutz-Grundverordnung
Zum Nachlesen www.wko.at/it-sicherheit ü Powerpoint Präsentation ü Linkliste ü Sicherheitshandbücher ü Checklisten ü Online Ratgeber
Der Wert der Daten
Der Wert eines Datensatzes 250 Euro Finanzdienstleister 160 Euro Öffentlicher Sektor Quellen: IBM Cost of Data Breach Study 2016 (Ponemon Institute) EMC Global Data Protection Index 2016
Folgen von Datenverlust für KMU 29% 43% innerhalb von innerhalb von 3 Jahren 5 Jahren in Insolvenz in Insolvenz Quellen: US Department of Labor and Datapro, 2012 Contingency Planning Research & Strategic Research Corporation, 2012
Technischer Schutz
Welcher Schutz ist erforderlich? § 14 DSG: Maßnahmen zur Gewährleistung der Datensicherheit Stand der technischen Wirtschaftliche Möglichkeiten Vertretbarkeit
Betriebssystem
Wirtschaftliche Vertretbarkeit
Ein-Personen-Unternehmen Passwortschutz am PC Handy bzw. Notebook passwortgeschützt Tägliche Sicherung auf Antivirenschutzpaket Festplatte Standard- Betriebssystem + Zutrittsberechtigungen zu Räumlichkeiten laufende Updates
KMU IT-Partner für Notfälle Antiviren Regelmäßiger und die laufende Mehrplatzlösung und Austausch kritischer Systemwartung separate Firewall Hardware 1x im Jahr externe Aufgabenverteilung Passwortrichtlinie Schulung der für Mitarbeiter Mitarbeiter Belehrung der Laufende Sicherung auf Brandschutz- Mitarbeiter über externen Festplatten maßnahmen Datenschutz oder in der Cloud
Mittelbetrieb 24/7 Servicevertrag für VPN-Lösung für externe Mehrstufige Backup- alle IT-Angelegenheiten Mitarbeiter Strategie Verschlüsselung von Technische Datenbackup und Zugangskontrollen zu Disaster Recovery Plan sensiblem Serverräumen Datenverkehr Jährliche „Feuerwehrübung“
Personenbezogene Daten
Personenbezogene Daten ü Name ü Umsatz ü Geburtsdatum ü Beschäftigtenzahl ü Adresse ü Gewinn ü Geschlecht ü Angaben zur Bonität ü Einkommen ü Bild ü Vermögen ü Stimme ü Lebensstil ü Fingerabdrücke ü Intelligenzquotient ü Genetische Daten
Sensible Daten ü Rassische und ethnische Herkunft ü Politische Meinung ü Gewerkschaftszugehörigkeit ü Religiöse oder philosophische Überzeugung ü Gesundheit ü Sexualleben Besonders streng geregelt!
Datenschutz Grundverordnung 2018
DSGVO Prinzipien Rechtmäßigkeit, Treu und Glauben, Zweckbindung Transparenz Datenminimierung Richtigkeit Integrität und Zeitliche Begrenzung Vertraulichkeit
DSGVO Pflichten Technischer und Informationspflichten Löschung oder organisatorischer gegenüber Betroffenen Änderung Schutz der Daten Ggf. Verzeichnis aller Datenverarbeitungs- Ggf. Datenschutz- Risikoanalyse tätigkeiten Folgenabschätzung Meldepflicht von Zusammenarbeit mit Datenschutz- Aufsichtsbehörde verletzungen
Strafausmaß Bisher (geltendes DSG) 25.000,- EUR Verwaltungsstrafe Neu (ab 2018) Bis zu 20 Mio EUR Oder 4% des weltweiten Konzernumsatzes
DSGVO - Checkliste Sujetbild: Checkliste Link einbinden: https://www.wko.at/service/wirtschaftsrecht- gewerberecht/EU-Datenschutz-Grundverordnung:- Checkliste.html
Datenschutzbeauftragter Ab Mai 2018 verpflichtend, wenn Aufgaben: ... die Kerntätigkeit aus umfangreicher Beratung der regelmäßiger und Betriebsleitung und der systematischer typischerweise: Mitarbeiter Beobachtung Überwachung der Berufsdetektive besteht Einhaltung aller ... die Kerntätigkeit aus Datenschutzvorschriften IT-Dienstleister Verarbeitung sensibler Anlaufstelle Daten oder Daten über für die strafrechtliche Aufsichtsbehörde Verurteilungen besteht
Datenschutz-Folgenabschätzung Besonderes Risiko: Zusätzliche Konsultation der Aufsichtsbehörde Erhöhtes Risiko: Zusätzliche Datenschutz- Folgenabschätzung verpflichtend Allgemeines Risiko: Allgemeine Einhaltung der Datenschutzbestimmungen
Praxisfälle
Einwilligung – zentrale Punkte Unmissverständliche Mündliche Schriftlich oder Willensbekundung des Einwilligung: elektronisch Betroffenen Nachweispflicht? Privacy by default Schweigen ist KEINE Freiwillig und (Empfänger muss Einwilligung informiert aktiv einwilligen) Einwilligung gilt jeweils nur für einen Verarbeitungszweck
Einwilligung – Mustertext Der Vertragspartner stimmt zu, dass seine persönlichen Daten, nämlich … (die Datenarten genau aufzählen, z.B. „Name“, „Adresse“, etc) zum Zweck der … (genaue Zweckangabe, z.B. „zur Zusendung von Werbematerial über die Produkte der Firma …“) bei der Firma NN gespeichert werden. Diese Einwilligung kann jederzeit bei … (Angabe der entsprechenden Kontaktdaten) widerrufen werden.“
Betroffenenrechte Recht auf Recht auf transparente Auskunftsrecht Berichtigung Information Recht auf Löschung Recht auf Recht auf (Recht auf Einschränkung der Datenübertragbarkeit „Vergessenwerden“) Verarbeitung (data portability) Widerspruchsrecht
Data Breach Folgen ü Unverzügliche Meldung an die Aufsichtsbehörde, wenn Risiko besteht ü Exakte Beschreibung des Vorfalls und der Folgen ü Nennung von DSB oder zuständigen Person ü Bei Nicht-Meldung: Strafe bis zu 2% des weltweiten Umsatzes des vorangegangenen Geschäftsjahres oder 10 Mio Euro ü Benachrichtigung der betroffenen Person, wenn hohes Risiko Ausnahmen: • hohes Risiko technisch/organisatorisch gebannt • Benachrichtigung wäre unverhältnismäßger Aufwand
Wer ist der Urheber?
15 Minuten Pause
Cyber Crime
Sicherheit im Unternehmen 100% Sicherheit gibt es nicht Kein Zustand, sondern ein Prozess Aufmerksamkeit und Training
Online Ratgeber it-safe.at
Angriff auf Vermögen
Mangelnde Aufmerksamkeit • Auf europäischen Flughäfen werden ca. 3.400 Notebooks und Tablets pro WOCHE verloren • In den USA werden 12.000 Endgeräte pro WOCHE auf Flughäfen verloren (und 70% nie wieder abgeholt) • Seit Mai 2015 sind in GBR über 1.000 Regierungslaptops und Flashdrives verschwunden • In Österreich waren es in einem Jahr 127 PCs und Notebooks aus Ministerien
Sujetbild: Handy Link einbinden https://my.avast.com Wir brauchen bitte folgende Software am Bühnenhandy (Android) und im Browser installiert: Avast! Anti-Theft: Mit der App „ Avast! Anti-Theft “ orten Sie Ihr Handy und können es über die Webseite oder per SMS fernsteuern. Außerdem lässt sich das Gerät sperren und auf den Werkszustand zurücksetzen. Öffnen Sie die App zum ersten Mal, und erstellen Sie nun ein Nutzerkonto. Dies funktioniert mit Ihren Facebook-oder Google-Plus-Daten – oder Sie registrieren ein neues Konto. Nach der erfolgreichen Anmeldung aktivieren Sie per Schieberegler den Diebstahlschutz. In den erweiterten Einstellungen der App definieren Sie die Aktionen, die sie je nach Situationen ausführen soll. So können Sie bestimmen, dass bei einem SIM-Karten-Wechsel eine SMS mit dem Standort des Smartphones und der neuen Nummer an Sie verschickt wird, dass eine Sirene losgeht oder dass das Telefon gesperrt wird. Sie können einen Sperrtext mit Ihren Kontaktdaten, einer Belohnungsausschreibung oder Ähnlichem auf dem Sperrbildschirm anzeigen und sich sogar Fotos der Frontkamera schicken lassen. Die Anwendung wird im Anti-Diebstahl-Modus nicht angezeigt, damit Diebe nicht auf sie aufmerksam werden. Alle Einstellungen lassen sich anschließend über die Webseite vornehmen
Phishing-Attacken Phishing-Attacken
Dubiose Firmenregister
Ransomware
Bitcoins Sujetbild: Bitcoins, Cryptowährung 2 Links einbauen: https://tradeblock.com/bitcoin/ https://blockchain.info/markets
Angriffe auf Daten
Gründe für Datenverlust 2 Kaputte Hardware 9 6 Menschliches Versagen 40 Korrupte Software 13 Hardware Diebstahl Schadsoftware Naturkatastrophen 30 Angaben in Prozent
Richtiges Backup Laufende Dauerhafte Laufende Sicherung Datenträger Überprüfung Räumliche Trennung Idealerweise Strikte Zugangs- vom Hauptsystem Verschlüsselung beschränkungen Vorkehrungen gegen Naturkatastrophen
Selftest: Wurde ich gehackt? https://sec.hpi.de/leak-checker/search
Ergebnis
Passwortregeln Passwörter Sichere regelmäßig Passwörter ändern verwenden Passwörter Unterschiedliche verschlüsselt Passwörter abspeichern verwenden (z.B. mit keepass)
Sicheres Passwort Sujetbild: Schlüssel, Schloss, Passwort Link einbinden: https://www.passwortcheck.ch/passwortcheck/pass wortcheck
Eib21UuZzH!
Handysignatur und E- Zustellung Sujetbild: Handy, Unterschrift, Brief Links einbinden: www.handy-signatur.at Handy Signatur: www.handy-signatur.at www.e-zustellung.at E-Zustellung: www.e-zustellung.at
Online Rechnungsbetrug „…unsere Bankdaten haben sich geändert…“
Bring your own device
Öffentliches WLAN Sujetbild: WLAN
Clear Desk Policy Datenträger, Ordner, Sensible sensible Information Informationen abgesperrt vernichten verwahren Flipcharts nach Fehlausdrucke Meetings im Drucker vernichten abholen
Angriffe auf Menschen
Angriffe auf Reputation
Shitstorms Sujetbild: Gegenwind, Shitstorm, Zorn entlädt sich
DDOS Attacken
Professioneller Auftritt Professionell Impressum korrekt? gemachte Website Barrierefreiheit? Cookiebanner? Regeln der Content Filter Netiquette beachten im Einsatz
Zum Nachschlagen wko.at/it-sicherheit www.it-safe.at
Gute Heimreise
Sie können auch lesen