"Validierte IT Sicherheit" - Kunststofftechnik Bernt GmbH
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
PRÜFTESTA T I T - S I C H ER H E I T geprüftes Unternehmen: Kunststofftechnik Bernt GmbH Dr.-Herbert-Kittel-Str. 10 87600 Kaufbeuren „Validierte IT Sicherheit“ Endpoint Security Datenschutz Network Security Backup System Notfallmanagement Weiterbildung Validierungszeitraum 14.11.2019 – 14.11.2020 Nachweis: www.tuev-hessen.de/ 29.11.2019 Datum Prüfer
Angaben zum geprüften Unternehmen Geprüftes Unternehmen Kunststofftechnik Bernt GmbH Dr.-Herbert-Kittel-Str. 10, Anschrift 87600 Kaufbeuren Dr.-Herbert-Kittel-Str. 10, Geprüfter Standort 87600 Kaufbeuren Anzahl Mitarbeiter: 150 (Stand 2019) Branche Kunstoffindustrie Informationen zum Dokument Q-Siegel_Kunstofftechnik_Bernt Dokumentenname Erstellungsdatum 21.11.2019 _GmbH_14.11.2019_bis_14.11.2020 letzte Abteilung/Prozess Consulting 02.12.2019 Aktualisierung Versionsnummer 1.0 Klassifizierung vertraulich Die Informationen im folgenden Dokument sind vertraulich und ausschließlich für das betreffende Unternehmen bestimmt. 2
Inhaltsverzeichnis ANGABEN ZUM GEPRÜFTEN UNTERNEHMEN ............................................ 2 INFORMATIONEN ZUM DOKUMENT ......................................................... 2 EINLEITUNG UND ABLAUF ..................................................................... 4 MANAGEMENT SUMMARY ...................................................................... 5 PRÜFPUNKTE ....................................................................................... 6 1. ENDPOINT SECURITY ............................................................... 6 2. NETWORK SECURITY ............................................................... 9 3. NOTFALLMANAGEMENT .......................................................... 11 4. DATENSCHUTZ UND INFORMATIONSSICHERHEIT ...................... 13 5. BACKUP-SYSTEM ................................................................... 15 6. WEITERBILDUNG/COMPLIANCE ............................................... 17 ERREICHTE PUNKTZAHL GESAMT ......................................................... 18 ERLANGUNG TÜV HESSEN Q-SIEGEL .................................................... 18 EMPFEHLUNGEN................................................................................. 19 3
Einleitung und Ablauf Die Überprüfung der Anforderungen des Qualitätssiegels wurden am 14.11.2019 vorgenommen. Ziel dieser Überprüfung war, den Status der IT-Sicherheit zu erfassen und mögliche Sicherheitsrisiken aufzudecken. Die Nachweisführung wurde innerhalb eines Vor-Ort Termins am Kundenstandort durch Realitätschecks erbracht. In dem nachfolgenden Bericht sind eine zusammengefasste Auswertung der Ergebnisse, als auch eine Empfehlung darüber, wie Sie Ihre IT-Sicherheitsinfrastruktur ggf. besser absichern können, enthalten. Sofern die u. g. Anforderungen an das Qualitätssiegel erfüllt sind, wird dieses von der Begutachtungsstelle für Cybersicherheit des TÜV Hessen verliehen. Zur Erlangung des TÜV Hessen Q-Siegel wurden folgende Bereiche geprüft: 1. Endpoint Security (max. 30 Punkte) 2. Network Security (max. 20 Punkte) 3. Notfallmanagement (max. 15 Punkte) 4. Datenschutz/Informationssicherheit (max. 15 Punkte) 5. Backup Systeme (max. 10 Punkte) 6. Weiterbildung/Compliance (max. 10 Punkte) Um das Q-Siegel „Validierte IT-Sicherheit“ zu erhalten, sind mindestens 50 Punkte von möglichen 100 Punkten erforderlich, wobei keiner der Bereiche mit 0 Punkten bewertet sein darf. Um einen kontinuierlichen Verbesserungsprozess sicherzustellen und das Q-Siegel nach 12 Monaten erneut zu erhalten, ist im Folgejahr eine höhere Punktzahl erforderlich. 4
Management Summary Wie in den meisten Bereichen der modernen Gesellschaft, werden auch in Unternehmen Prozesse und Strukturen immer stärker und auf vielfältige Weise durch Informationstechnik geprägt. Dies gilt sowohl für die administrativen Abläufe der Einrichtungen als auch für die Kernaufgaben des Unternehmens. Informationstechnik ist zu einer der wichtigsten Ressourcen für die Prozesse in heutigen Unternehmen geworden. In Anlehnung an immer anspruchsvollere und komplexere Angriffe auf IT-Infrastrukturen und den damit verbundenen massiven Störungen des gesamten Betriebs, sind auch immer anspruchsvollere Verteidigungsstrategien erforderlich. Bei der Umsetzung der IT-Sicherheit empfiehlt es sich, bei den Schutzzielen Verfügbarkeit, Integrität und Vertraulichkeit von Informationen die dazu notwendigen Maßnahmen abzuleiten. Die IT-Infrastruktur ist vor allem im Hinblick auf die eingesetzte Hardware und dem allgemeinen technologischen Stand sehr gut entwickelt. Darauf aufbauend ist es möglich, mit wenigen technischen und organisatorischen Maßnahmen ein sehr gutes Sicherheitsniveau zu erreichen. Insbesondere ist der Eindruck entstanden, dass im Hinblick auf das Team gute Entscheidungen für die Auswahl an Technologien und Maßnahmen zur Infrastrukturentwicklung getroffen wurden. Ebenso positiv auffällig war der Fokus, den das Team auf IT-Sicherheit legt. Ein Großteil der unten aufgeführten Empfehlungen sind den technischen Ansprechpartnern bereits bekannt. Eine Umsetzung wird grundsätzlich sorgfältig abgewogen. All-Over 30 30 25 20 20 20 16 15 15 15 11 10 10 10 7 6 4 5 0 Soll Ist 5
Prüfpunkte 1. Endpoint Security 20/30 1.1 Wird eine zentral verwaltete Antivirus-Lösung eingesetzt? 0/3 Nein, es kommt Microsoft Windows Defender Antivirus zum Einsatz. Jedoch ohne den System Center Configuration Manager. Ist auf den verwendeten IT-Systemen ein Schutz gegen Ransomware 1.2 0/2 installiert? Nein. Verfügt die Antivirus-Lösung über die aktuelle vom Hersteller 1.3 3/3 freigegebene Softwareversion? Ja, umgesetzt durch die Autoupdate-Funktion. Ist die eingesetzte Antivirus-Lösung gemäß der Herstellerempfehlungen 1.4 2/2 konfiguriert? Ja. Wird bei dem Einsatz einer signaturbasierten Antivirus-Lösung bzw. eines 1.5 Moduls sichergestellt, dass die Signaturen immer aktuell gehalten 1/1 werden? Ja, umgesetzt durch die Autoupdate-Funktion. 1.6 Sind alle Softwareschutzmodule der Antivirus-Lösung aktiviert? 0/1 Nein. 6
Ist eine Patch-Management-Lösung und ein zugehöriger Prozess für 1.7 3/3 dessen Verwendung vorhanden? Ja. 1.8 Ist der Erhalt kritischer Betriebssystem-Updates sichergestellt? 1/1 Ja. Ist ein Change-Management-Prozess implementiert, sodass bei neuen 1.9 Softwareversionen zuerst in einer Testumgebung / dedizierten 1/1 Benutzergruppe getestet wird? Ja, für Änderungen oder Updates existiert eine dedizierte virtuelle Umgebung. Ist eine Schnittstellenkontrolle vorhanden und wird diese flächendeckend 1.10 1/1 eingesetzt? Ja, mit Hilfe von Endpoint Protector. Ist eine Richtlinie für mobile Datenträger vorhanden (Gerätekontrolle) 1.11 1/1 und wird diese flächendeckend umgesetzt? Ja. Ist eine Richtlinie bzw. ein Mobile Device Management System für mobile 1.12 0/2 Geräte vorhanden und wird dies flächendeckend umgesetzt? Nein, dies ist jedoch in Planung mit Mobileiron. Wird in sensiblen Bereichen eine File- & Folder-Verschlüsselung 1.13 0/1 eingesetzt? Nein. 7
Wird auf extern genutzten Geräten eine Festplattenverschlüsselung 1.14 3/3 eingesetzt? Ja, für MS Windows Geräte wird Bitlocker eingesetzt, für MacOS Geräte FileVault. Sind die Managementsysteme der Endpoint Security-Lösungen durch eine 1.15 0/1 Zwei-Faktor-Authentifizierung geschützt? Nein, dieses Feature ist in der bestehenden Lösung nicht vorhanden. Wird der Schutz von unerwünschten Informationsabflüssen (DLP) 1.16 1/1 durch entsprechende Systeme gewährleistet? Ja, mit Hilfe von Endpoint Protector. Dieser überwacht und kontrolliert Datenübertragungen und Bewegungsdaten. Ist der administrative Zugang zur Endpoint-Administration rollenbasiert 1.17 umgesetzt und hat jeder Administrator einen eigenen, personalisierten 1/1 Account? Ja. Werden auftretende Sicherheitsereignisse der Antivirenschutz-Lösung 1.18 1/1 auch bei Nutzung in Telearbeit in die zentrale Verwaltung eingespeist? Ja. Werden die laufenden Anforderungen an sichere Systeme auf 1.19 wenigstens wöchentlicher Basis umgesetzt? (Patchen, Reportauswertung, 1/1 Quarantänebetrachtung, etc.) Ja, die Überwachung erfolgt auf täglicher Basis. 8
2. Network Security 16/20 Wird die Firewall mit der aktuellen, vom Hersteller bereitgestellten 2.1 3/3 Firmware betrieben? Ja. Wird unternehmensweit HTTPs-Datenverkehr untersucht (Decrypt & 2.2 0/3 Scan)? Nein, das eingesetzte Firewall-Produkt unterstützt zwar das Feature, jedoch führte dies zu Problemen. Bietet die Firewall einen Antivirenschutz-Dienst zur Überprüfung von E- 2.3 1/1 Mail-Anhängen und/oder Dateidownloads aus dem Internet? Ja, durch Hornetsecurity als vorgelagerten Dienstleister. Bietet die Firewall eine Intrusion Detection oder ähnliche Detektierungs- 2.4 1/1 Mechaniken? Ja. Wird die Perimeter-Sicherheit mit den aktuellen Signaturen vom 2.5 1/1 Hersteller versorgt? Ja, Updates werden automatisiert bezogen. Sind Firewall-Regeln so einschränkend wie möglich umgesetzt (keine 2.6 3/3 Any-Dienste bzw. Any-Protokoll-Definitionen)? Ja, es befinden sich keine Any-Dienste oder Any-Protokoll-Definitionen in den Firewall-Einstellungen. Verfügt das eingesetzte Firewall-Produkt über ein lokales oder 2.7 1/1 cloudbasiertes Sandboxing-System? Ja. 9
Ist der administrative Zugang zur Firewall rollenbasiert umgesetzt 2.8 1/1 und hat jeder Administrator einen eigenen, personalisierten Account? Ja. Findet eine Prüfung auf Spam durch einen vorgelagerten Anti-SPAM 2.9 1/1 Dienstleister statt? Ja, durch Hornetsecurity als vorgelagerten Dienstleister. Findet eine Prüfung auf Bedrohungen durch maliziöse Anhänge in E-Mails 2.10 1/1 durch einen vorgelagerten Sicherheits-Dienstleister statt? Ja, durch Hornetsecurity als vorgelagerten Dienstleister. 2.11 Existiert ein netzwerkweites Berechtigungskonzept? 1/1 Ja. Werden E-Mails mit externen Auftragsdienstleistern, welche kritische 2.12 2/2 Informationen enthalten, verschlüsselt? Ja. 2.13 Erfolgt eine nach Kritikalität priorisierte Netzwerk-Segmentierung? 0/1 Nein. 10
3. Notfallmanagement 11/15 Ist ein Notfallplan zur Wiederherstellung von unternehmenskritischen 3.1 2/2 Systemen vorhanden? Ja. Wurde der Notfallplan auf Vollständigkeit überprüft? Welche 3.2 Ausfallzeiten sind zu verkraften? Was ist bei Problemen zu tun, um die 2/2 Funktion wiederherzustellen? Wer ist zu informieren? Ja, der Notfallplan beinhaltet alle relevanten Informationen. Sind Informationen zu Auswirkungen des Ausfalls von 3.3 2/2 unternehmenskritischen IT-Systemen vorhanden? Ja. 3.4 Existieren Checklisten mit Handlungsempfehlungen? 1/1 Ja. 3.5 Existieren Checklisten zur Fehlereingrenzung? 0/1 Nein. 3.6 Existiert ein in Grundzügen dokumentiertes BCM? 0/1 Nein. 3.7 Ist ein Verzeichnis über relevante Dokumentation vorhanden? 1/1 Ja, dies ist im viflow DMS enthalten. 3.8 Wurde ein Probelauf des Notfallplans durchgeführt? 0/1 Nein. 11
Existiert ein in Grundzügen dokumentiertes Risiko-Management aller 3.9 0/1 IT-Risiken? Nein. 3.10 Findet eine regelmäßige Aktualisierung des Notfallplans statt? 1/1 Ja, der Notfallplan wird auf jährlicher Basis aktualisiert. 3.11 Existiert ein Incident Response-Verfahren? 1/1 Ja. 3.12 Existiert eine Notfallumgebung (Hard- und Software)? 1/1 Ja, alle kritischen Systeme sind redundant vorhanden. 12
4. Datenschutz und Informationssicherheit 4/15 Sind die technischen und organisatorischen Maßnahmen 4.1 0/1 dokumentiert? Nein. 4.2 Existiert ein dokumentiertes Datenschutzmanagementsystem? 0/2 Nein, dies wird z.Zt. jedoch umgesetzt. Werden Mitarbeiter (intern & extern) über Gefahren beim Umgang 4.3 mit Informationen und deren Verarbeitung regelmäßig geschult 1/1 und/oder sensibilisiert? Ja, bei der Einstellung neuer Mitarbeiter und auf jährlich Basis. 4.4 Existiert eine Datenschutz- oder Informationssicherheitsleitlinie? 0/1 Nein. 4.5 Ist ein Datenschutzbeauftragter benannt (intern oder extern)? 1/1 Interner Datenschutzbeauftragter: Herr Wilhelm Reh w.reh@ktbernt.de 08341 966128389 Sind mit IT-Dienstleistern/Auftragsverarbeitern Vereinbarungen zur 4.6 0/1 Auftragsverarbeitung geschlossen worden? Nein. 4.7 Ist ein Verzeichnis von Verarbeitungstätigkeiten vorhanden? 0/1 Nein. 13
Sind die datenschutzrechtlichen Informationspflichten gegenüber 4.8 0/1 Kunden und Mitarbeitern erfüllt? Nein. 4.9 Beinhaltet die Homepage eine formal korrekte Datenschutzerklärung? 0/1 Nein, siehe Empfehlungen. http://ktb.vonwald.de/datenschutz Sind Meldeverfahren an die Aufsichtsbehörde sowie ein 4.10 0/2 Beschwerdemanagement Betroffener dokumentiert? Nein. Ist die private Nutzung dienstlicher Geräte datenschutzkonform 4.11 1/1 geregelt? Ja. 4.12 Existiert eine Regelung zur Nutzung mobiler Geräte? 1/1 Ja. Ist eine Dokumentation vorhanden, aus der hervorgeht, wie eine 4.13 0/1 Datenschutzfolgenabschätzung durchzuführen ist? Nein. 14
5. Backup-System 7/10 5.1 Werden alle geschäftskritischen Daten gesichert? 3/3 Ja. Wurde festgelegt, welche Daten aus welchen Datenquellen in das 5.2 1/1 Backup einbezogen werden müssen? Ja, es fließen alle Daten ins Backup ein. 5.3 Existiert ein Backup-Prozess? 0/1 Nein. Existiert ein Eintrag über die Regelung zur Datensicherung im 5.4 0/1 Notfallhandbuch? Nein. Wird mindestens ein tägliches Backup über einen Zeitraum von 14 5.5 1/1 Tagen vorgehalten? Ja, Backups werden ein Jahr vorgehalten. Vierteljährlich werden die Backups außerhalb der Infrastruktur gelagert. Werden halbjährliche Restore-Tests der existierenden Backups 5.6 1/1 durchgeführt? Ja, Restore-Tests werden vierteljährlich durchgeführt. Ist eine räumliche Trennung des Produktivsystems zu dem Backup- 5.7 0/1 System in einem anderen Brandabschnitt vorhanden? Nein. 15
Ist der administrative Zugang zum Backup-System rollenbasiert 5.8 umgesetzt und hat jeder Administrator einen eigenen, personalisierten 1/1 Account? Ja. 16
6. Weiterbildung/Compliance 6/10 Werden Sensibilisierungs- und Schulungsmaßnahmen zur 6.1 Cybersicherheit für Mitarbeiter angeboten und durchgeführt? Und 0/2 werden diese in regelmäßigen Abständen wiederholt? Nein. Es existiert zwar ein Schulungssystem, welches aber keine Inhalte zur Cybersicherheit enthält. Werden Sensibilisierungs- und Schulungsmaßnahmen zur Cybersicherheit für Geschäftsführung und Abteilungsleiter 6.2 0/2 angeboten und durchgeführt? Und werden diese in regelmäßigen Abständen wiederholt? Nein. Finden kontinuierliche Produkt- und Hersteller-Schulungen in der 6.3 2/2 Cybersicherheit für die Mitarbeiter der IT-Abteilung statt? Ja, die Mitarbeiter der IT-Abteilung nehmen regelmäßig an Webinaren und Weiterbildungen teil. Sind die Mitarbeiter der IT-Abteilung über die aktuelle Cyber- 6.4 1/1 Sicherheitslage informiert? Ja, die Mitarbeiter der IT-Abteilung verfügen über unterschiedliche Zertifikate im Bereich IT-Sicherheit. Existiert eine Schulungsmaßnahme für neue und bestehende 6.5 Mitarbeiter, welche sich mit dem sicheren Umgang im Medium E-Mail 2/2 befasst? Ja, dies ist in der Betriebsvereinbarung enthalten. Ist innerhalb der letzten 18 Monate eine Überprüfung hinsichtlich der 6.6 1/1 Informationssicherheit durchgeführt worden? Ja, z.B. Steuerprüfung und jährliche IATF Audits. 17
Erreichte Punktzahl gesamt 64 von 100 möglichen Punkten. Erlangung TÜV Hessen Q-Siegel Die Anforderungen an das TÜV Hessen Q-Siegel wurden erreicht. Das Q-Siegel wird somit vergeben. Infraforce GmbH | TÜV Hessen Unternehmensgruppe Gisselberger Str. 17 35037 Marburg an der Lahn Tel.: +49 6421 166969 -0 Fax: +49 6421 166969 -9 info@infraforce.de www.infraforce.de 18
Empfehlungen 1. Zu 1.1: Wird eine zentral verwaltete Antivirus-Lösung eingesetzt? Eine zentrale Antivirus-Lösung bietet durch deren Verwaltungsoberfläche eine Übersicht über den Sicherheitsstatus aller verwalteten Endpunkte. Bei Fehlen einer zentralen Verwaltung kann keine Aussage über den aktuellen Sicherheitszustand der Umgebung getroffen werden und ein Vorfallmanagement bezüglich aufgetretener Systeminfektionen und der damit verbundenen Nachvollziehbarkeit in Form eines Auditlogs ist nicht gegeben. Zu 1.2: Ist auf den verwendeten IT-Systemen ein Schutz gegen Ransomware 2. ausgebracht? Ein Ransomware-Befall kann zu erheblichen Schäden innerhalb der Infrastruktur führen. Schutzmodule erkennen diese Art von Schadprogrammen an universellen Codeabfolgen, welche typisch für Kompression, Verschlüsselung, Tarnmechanismen und dergleichen sind. Auch wenn nicht kompromittierte Backups innerhalb kürzester Zeit wiederhergestellt werden können, empfehlen wir geeignete Schutzmaßnahmen gegen Ransomware. 3. Zu 2.2: Wird unternehmensweit HTTPs-Datenverkehr untersucht (Decrypt & Scan)? Es ist zu empfehlen den HTTPS-Datenverkehr zu untersuchen, da über 90% des Internetverkehrs verschlüsselt übermittelt werden. Durch Verwendung eines gültigen HTTPS-Zertifikates durch einen Angreifer ist es einfach, Schadcode in die Infrastruktur zu schleusen. 4. Zu 2.13: Erfolgt eine nach Kritikalität priorisierte Netzwerk-Segmentierung? Eine Netzwerk-Segmentierung dient dem Schutz von Servern und Clients. Bedrohungen können leichter eingedämmt und die Ausbreitung auf andere Netzbereiche so erschwert werden. 5. Zu 3.8: Wurde ein Probelauf des Notfallplans durchgeführt Notfallpläne sind entscheidend für die Wiederaufnahme des Geschäftsbetriebs. Damit sich der Notfallplan nicht als ungeeignet erweist, sollten regelmäßige Probeläufe durchgeführt werden. 19
6. Zu 4.1: Sind die technischen und organisatorischen Maßnahmen dokumentiert? Die Pflicht zur Umsetzung der technischen und organisatorischen Maßnahmen (TOMs) begründet sich in Art. 32 Abs. 1 EU-DSGVO und ist dringend anzuraten. Hierzu empfiehlt es sich bei der Erstellung der TOMs, die Mitarbeiter der IT-Abteilung hinzuzuziehen. 7. Zu 4.2: Existiert ein dokumentiertes Datenschutzmanagementsystem? Das Datenschutzmanagement fällt unter die allgemeinen Dokumentationspflichten der EU-DSGVO. Hierzu gehört die Dokumentation von Vorgaben und Regeln, Prozessen und Kontrollen, sowie das Erstellen von entsprechenden Nachweisen. Dies wird z.Zt. umgesetzt. 8. Zu 4.7: Ist ein Verzeichnis von Verarbeitungstätigkeiten vorhanden?) Nach Art. 30 EU-DSGVO besteht die Pflicht eine schriftliche Dokumentation und Übersicht über die Verfahren zu führen, bei denen personenbezogene Daten verarbeitet werden. In einem solchen Verzeichnis von Verarbeitungstätigkeiten müssen wesentliche Angaben zur Datenverarbeitung aufgeführt werden, wie z.B. Datenkategorien, Kreis der betroffenen Personen, sowie der Zweck der Verarbeitung. Auf Anfrage ist dies der Aufsichtsbehörde vollständig zur Verfügung zu stellen. Wir empfehlen das Verzeichnis zeitnah zu erstellen. 20
9. Zu 4.9: Beinhaltet die Homepage eine formal korrekte Datenschutzerklärung? Es existieren zwei unterschiedliche Unternehmens-Webseiten. Wir empfehlen diese zeitnah datenschutzkonform anzupassen. http://www.ktbernt.de 1. Die Webseite ist unverschlüsselt und es werden entsprechend unverschlüsselt Daten über das Kontaktformular übermittelt. 2. Die Rechte der Betroffenen sind nicht ausreichend dargestellt 3. Verarbeitung personenbezogener Daten durch Dritte (Beispiel: Webseitenbetreiber) und die damit verbundene Auftragsverarbeitung nach Art. 28 DSGVO 4. Cookies 5. Onlinebewerbungen 6. Regelfristen für die Löschung von Daten 7. Sonstige Datenverwendung und Datenlöschung 8. Missbrauchserkennung und -verfolgung 9. Rechte betreffend Verarbeitung personenbezogener Daten 10. Widerspruchsrecht 11. Recht zur Beschwerde bei einer Aufsichtsbehörde 12. Datenschutzbeauftragter 13. Kontaktdaten des Verantwortlichen http://ktb.vonwald.de/datenschutz 1. fehlendes SSL-Zertifikat 2. kein Hinweis auf Bewerbermanagement 3. fehlender Cookie-Banner 4. Recht zur Beschwerde bei einer Aufsichtsbehörde 5. Kommunikation/ Kontaktdaten Datenschutzbeauftragter 6. Widerrufsrecht (Wie kann dieses ausgeübt werden?) 7. Die Rechtsgrundlagen und Betroffenenrechte sollten übersichtlicher gestaltet 10. Zu 4.13: Ist eine Dokumentation vorhanden, aus der hervorgeht, wie eine Datenschutzfolgenabschätzung durchzuführen ist? Die Datenschutzfolgeabschätzung ist ein Instrument der EU-DSGVO zur Beschreibung, Bewertung und Eindämmung von Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten (zentrale Vorschrift Art. 35 EUDSGVO). Eine Datenschutzfolgeabschätzung ist erforderlich, wenn eine Form der Verarbeitung nach der Art, dem Umfang, den Umständen und dem Zweck der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Es wird empfohlen, vor dem Beginn der Verarbeitung personenbezogener Daten eine Datenschutzfolgeabschätzung auf Basis der Dokumentation zu erstellen. 21
11. Zu 5.7: Ist eine räumliche Trennung des Produktivsystems zu dem Backup-System in einem anderen Brandabschnitt vorhanden? Die Problematik ist bekannt und wir durch einen eigenständigen Backup-Server in einem eigenen Brandabschnitt in Kürze umgesetzt werden. 12. Zu 6.1: Werden Sensibilisierungs- und Schulungsmaßnahmen zur Cybersicherheit für Mitarbeiter angeboten und durchgeführt? Und werden diese in regelmäßigen Abständen wiederholt? Heutige Angriffe richten sich nicht mehr ausschließlich gegen Technologie, sondern auch gegen Menschen. Der Faktor Mensch wird durch natürliche Neugier, Hilfsbereitschaft, Zeitdruck oder Respekt vor Autoritäten ausgenutzt. Der Schutz vor solchen Angriffen erfordert einen neuen Sicherheitsansatz, welcher den Menschen in den Mittelpunkt stellt. Dies gilt ebenso für ganz bestimmte Personengruppen, wie Geschäftsführung und Abteilungs-, Team- oder Projektleiter Wir empfehlen regelmäßige Schulungen, im Bereich Cybersicherheit, für alle Mitarbeiter. 22
Sie können auch lesen