"Validierte IT Sicherheit" - Kunststofftechnik Bernt GmbH

Die Seite wird erstellt Sandra Reiter
 
WEITER LESEN
"Validierte IT Sicherheit" - Kunststofftechnik Bernt GmbH
PRÜFTESTA T
                     I T - S I C H ER H E I T

                    geprüftes Unternehmen:

         Kunststofftechnik Bernt GmbH
                    Dr.-Herbert-Kittel-Str. 10
                       87600 Kaufbeuren

        „Validierte IT Sicherheit“
        Endpoint Security                  Datenschutz

        Network Security                   Backup System

        Notfallmanagement                  Weiterbildung

         Validierungszeitraum 14.11.2019 – 14.11.2020
                  Nachweis: www.tuev-hessen.de/

29.11.2019
Datum                                             Prüfer
"Validierte IT Sicherheit" - Kunststofftechnik Bernt GmbH
Angaben zum geprüften Unternehmen

Geprüftes Unternehmen                             Kunststofftechnik Bernt GmbH

                                                  Dr.-Herbert-Kittel-Str. 10,
Anschrift
                                                  87600 Kaufbeuren

                                                  Dr.-Herbert-Kittel-Str. 10,
Geprüfter Standort
                                                  87600 Kaufbeuren

Anzahl Mitarbeiter:                               150 (Stand 2019)

Branche                                           Kunstoffindustrie

                            Informationen zum Dokument

                      Q-Siegel_Kunstofftechnik_Bernt
Dokumentenname                                          Erstellungsdatum        21.11.2019
                      _GmbH_14.11.2019_bis_14.11.2020

                                                        letzte
Abteilung/Prozess     Consulting                                                02.12.2019
                                                        Aktualisierung

Versionsnummer        1.0                               Klassifizierung         vertraulich

                                        Die Informationen im folgenden Dokument
                                        sind vertraulich und ausschließlich für das
                                        betreffende Unternehmen bestimmt.

                                                                                              2
Inhaltsverzeichnis

ANGABEN ZUM GEPRÜFTEN UNTERNEHMEN ............................................ 2

INFORMATIONEN ZUM DOKUMENT ......................................................... 2

EINLEITUNG UND ABLAUF ..................................................................... 4

MANAGEMENT SUMMARY ...................................................................... 5

PRÜFPUNKTE ....................................................................................... 6

    1.     ENDPOINT SECURITY ............................................................... 6

    2.     NETWORK SECURITY ............................................................... 9

    3.     NOTFALLMANAGEMENT .......................................................... 11

    4.     DATENSCHUTZ UND INFORMATIONSSICHERHEIT ...................... 13

    5.     BACKUP-SYSTEM ................................................................... 15

    6.     WEITERBILDUNG/COMPLIANCE ............................................... 17

ERREICHTE PUNKTZAHL GESAMT ......................................................... 18

ERLANGUNG TÜV HESSEN Q-SIEGEL .................................................... 18

EMPFEHLUNGEN................................................................................. 19

                                                                                                       3
Einleitung und Ablauf

Die Überprüfung der Anforderungen des Qualitätssiegels wurden am 14.11.2019 vorgenommen.

Ziel dieser Überprüfung war, den Status der IT-Sicherheit zu erfassen und mögliche
Sicherheitsrisiken aufzudecken.

Die Nachweisführung wurde innerhalb eines Vor-Ort Termins am Kundenstandort durch
Realitätschecks erbracht.

In dem nachfolgenden Bericht sind eine zusammengefasste Auswertung der Ergebnisse, als auch
eine Empfehlung darüber, wie Sie Ihre IT-Sicherheitsinfrastruktur ggf. besser absichern können,
enthalten. Sofern die u. g. Anforderungen an das Qualitätssiegel erfüllt sind, wird dieses von der
Begutachtungsstelle für Cybersicherheit des TÜV Hessen verliehen.

Zur Erlangung des TÜV Hessen Q-Siegel wurden folgende Bereiche geprüft:

   1.   Endpoint Security                        (max.   30   Punkte)
   2.   Network Security                         (max.   20   Punkte)
   3.   Notfallmanagement                        (max.   15   Punkte)
   4.   Datenschutz/Informationssicherheit       (max.   15   Punkte)
   5.   Backup Systeme                           (max.   10   Punkte)
   6.   Weiterbildung/Compliance                 (max.   10   Punkte)

Um das Q-Siegel „Validierte IT-Sicherheit“ zu erhalten, sind mindestens 50 Punkte von möglichen
100 Punkten erforderlich, wobei keiner der Bereiche mit 0 Punkten bewertet sein darf.

Um einen kontinuierlichen Verbesserungsprozess sicherzustellen und das Q-Siegel nach 12 Monaten
erneut zu erhalten, ist im Folgejahr eine höhere Punktzahl erforderlich.

                                                                                                     4
Management Summary

Wie in den meisten Bereichen der modernen Gesellschaft, werden auch in Unternehmen Prozesse
und Strukturen immer stärker und auf vielfältige Weise durch Informationstechnik geprägt. Dies gilt
sowohl für die administrativen Abläufe der Einrichtungen als auch für die Kernaufgaben des
Unternehmens. Informationstechnik ist zu einer der wichtigsten Ressourcen für die Prozesse in
heutigen Unternehmen geworden.
In Anlehnung an immer anspruchsvollere und komplexere Angriffe auf IT-Infrastrukturen und den
damit verbundenen massiven Störungen des gesamten Betriebs, sind auch immer anspruchsvollere
Verteidigungsstrategien erforderlich.

Bei der Umsetzung der IT-Sicherheit empfiehlt es sich, bei den Schutzzielen Verfügbarkeit, Integrität
und Vertraulichkeit von Informationen die dazu notwendigen Maßnahmen abzuleiten.

Die IT-Infrastruktur ist vor allem im Hinblick auf die eingesetzte Hardware und dem allgemeinen
technologischen Stand sehr gut entwickelt. Darauf aufbauend ist es möglich, mit wenigen
technischen und organisatorischen Maßnahmen ein sehr gutes Sicherheitsniveau zu erreichen.

Insbesondere ist der Eindruck entstanden, dass im Hinblick auf das Team gute Entscheidungen für
die Auswahl an Technologien und Maßnahmen zur Infrastrukturentwicklung getroffen wurden.
Ebenso positiv auffällig war der Fokus, den das Team auf IT-Sicherheit legt.

Ein Großteil der unten aufgeführten Empfehlungen sind den technischen Ansprechpartnern bereits
bekannt. Eine Umsetzung wird grundsätzlich sorgfältig abgewogen.

                                            All-Over
                  30
           30

           25
                       20     20
           20                      16     15                 15
           15                                  11                     10       10
           10                                                              7        6
                                                                  4
            5

            0

                                                    Soll   Ist

                                                                                                   5
Prüfpunkte

                            1. Endpoint Security                                 20/30

1.1   Wird eine zentral verwaltete Antivirus-Lösung eingesetzt?                   0/3

      Nein, es kommt Microsoft Windows Defender Antivirus zum Einsatz. Jedoch
      ohne den System Center Configuration Manager.

      Ist auf den verwendeten IT-Systemen ein Schutz gegen Ransomware
1.2                                                                               0/2
      installiert?

      Nein.

      Verfügt die Antivirus-Lösung über die aktuelle vom Hersteller
1.3                                                                               3/3
      freigegebene Softwareversion?

      Ja, umgesetzt durch die Autoupdate-Funktion.

      Ist die eingesetzte Antivirus-Lösung gemäß der Herstellerempfehlungen
1.4                                                                               2/2
      konfiguriert?

      Ja.

      Wird bei dem Einsatz einer signaturbasierten Antivirus-Lösung bzw. eines
1.5   Moduls sichergestellt, dass die Signaturen immer aktuell gehalten           1/1
      werden?

      Ja, umgesetzt durch die Autoupdate-Funktion.

1.6   Sind alle Softwareschutzmodule der Antivirus-Lösung aktiviert?              0/1

      Nein.

                                                                                         6
Ist eine Patch-Management-Lösung und ein zugehöriger Prozess für
1.7                                                                               3/3
       dessen Verwendung vorhanden?

       Ja.

1.8    Ist der Erhalt kritischer Betriebssystem-Updates sichergestellt?           1/1

       Ja.

       Ist ein Change-Management-Prozess implementiert, sodass bei neuen
1.9    Softwareversionen zuerst in einer Testumgebung / dedizierten               1/1
       Benutzergruppe getestet wird?

       Ja, für Änderungen oder Updates existiert eine dedizierte virtuelle
       Umgebung.

       Ist eine Schnittstellenkontrolle vorhanden und wird diese flächendeckend
1.10                                                                              1/1
       eingesetzt?

       Ja, mit Hilfe von Endpoint Protector.

       Ist eine Richtlinie für mobile Datenträger vorhanden (Gerätekontrolle)
1.11                                                                              1/1
       und wird diese flächendeckend umgesetzt?

       Ja.

       Ist eine Richtlinie bzw. ein Mobile Device Management System für mobile
1.12                                                                              0/2
       Geräte vorhanden und wird dies flächendeckend umgesetzt?

       Nein, dies ist jedoch in Planung mit Mobileiron.

       Wird in sensiblen Bereichen eine File- & Folder-Verschlüsselung
1.13                                                                              0/1
       eingesetzt?

       Nein.

                                                                                        7
Wird auf extern genutzten Geräten eine Festplattenverschlüsselung
1.14                                                                             3/3
       eingesetzt?

       Ja, für MS Windows Geräte wird Bitlocker eingesetzt, für MacOS Geräte
       FileVault.

       Sind die Managementsysteme der Endpoint Security-Lösungen durch eine
1.15                                                                             0/1
       Zwei-Faktor-Authentifizierung geschützt?

       Nein, dieses Feature ist in der bestehenden Lösung nicht vorhanden.

       Wird der Schutz von unerwünschten Informationsabflüssen (DLP)
1.16                                                                             1/1
       durch entsprechende Systeme gewährleistet?

       Ja, mit Hilfe von Endpoint Protector. Dieser überwacht und kontrolliert
       Datenübertragungen und Bewegungsdaten.

       Ist der administrative Zugang zur Endpoint-Administration rollenbasiert
1.17   umgesetzt und hat jeder Administrator einen eigenen, personalisierten     1/1
       Account?

       Ja.

       Werden auftretende Sicherheitsereignisse der Antivirenschutz-Lösung
1.18                                                                             1/1
       auch bei Nutzung in Telearbeit in die zentrale Verwaltung eingespeist?

       Ja.

       Werden die laufenden Anforderungen an sichere Systeme auf
1.19   wenigstens wöchentlicher Basis umgesetzt? (Patchen, Reportauswertung,     1/1
       Quarantänebetrachtung, etc.)

       Ja, die Überwachung erfolgt auf täglicher Basis.

                                                                                       8
2. Network Security                                   16/20

      Wird die Firewall mit der aktuellen, vom Hersteller bereitgestellten
2.1                                                                                3/3
      Firmware betrieben?

      Ja.

      Wird unternehmensweit HTTPs-Datenverkehr untersucht (Decrypt &
2.2                                                                                0/3
      Scan)?

      Nein, das eingesetzte Firewall-Produkt unterstützt zwar das Feature,
      jedoch führte dies zu Problemen.

      Bietet die Firewall einen Antivirenschutz-Dienst zur Überprüfung von E-
2.3                                                                                1/1
      Mail-Anhängen und/oder Dateidownloads aus dem Internet?

      Ja, durch Hornetsecurity als vorgelagerten Dienstleister.

      Bietet die Firewall eine Intrusion Detection oder ähnliche Detektierungs-
2.4                                                                                1/1
      Mechaniken?

      Ja.

      Wird die Perimeter-Sicherheit mit den aktuellen Signaturen vom
2.5                                                                                1/1
      Hersteller versorgt?

      Ja, Updates werden automatisiert bezogen.

      Sind Firewall-Regeln so einschränkend wie möglich umgesetzt (keine
2.6                                                                                3/3
      Any-Dienste bzw. Any-Protokoll-Definitionen)?

      Ja, es befinden sich keine Any-Dienste oder Any-Protokoll-Definitionen in
      den Firewall-Einstellungen.

      Verfügt das eingesetzte Firewall-Produkt über ein lokales oder
2.7                                                                                1/1
      cloudbasiertes Sandboxing-System?

      Ja.

                                                                                          9
Ist der administrative Zugang zur Firewall rollenbasiert umgesetzt
2.8                                                                             1/1
       und hat jeder Administrator einen eigenen, personalisierten Account?

       Ja.

       Findet eine Prüfung auf Spam durch einen vorgelagerten Anti-SPAM
2.9                                                                             1/1
       Dienstleister statt?

       Ja, durch Hornetsecurity als vorgelagerten Dienstleister.

       Findet eine Prüfung auf Bedrohungen durch maliziöse Anhänge in E-Mails
2.10                                                                            1/1
       durch einen vorgelagerten Sicherheits-Dienstleister statt?

       Ja, durch Hornetsecurity als vorgelagerten Dienstleister.

2.11   Existiert ein netzwerkweites Berechtigungskonzept?                       1/1

       Ja.

       Werden E-Mails mit externen Auftragsdienstleistern, welche kritische
2.12                                                                            2/2
       Informationen enthalten, verschlüsselt?

       Ja.

2.13   Erfolgt eine nach Kritikalität priorisierte Netzwerk-Segmentierung?      0/1

       Nein.

                                                                                      10
3. Notfallmanagement                                11/15

      Ist ein Notfallplan zur Wiederherstellung von unternehmenskritischen
3.1                                                                             2/2
      Systemen vorhanden?

      Ja.

      Wurde der Notfallplan auf Vollständigkeit überprüft? Welche
3.2   Ausfallzeiten sind zu verkraften? Was ist bei Problemen zu tun, um die    2/2
      Funktion wiederherzustellen? Wer ist zu informieren?

      Ja, der Notfallplan beinhaltet alle relevanten Informationen.

      Sind Informationen zu Auswirkungen des Ausfalls von
3.3                                                                             2/2
      unternehmenskritischen IT-Systemen vorhanden?

      Ja.

3.4   Existieren Checklisten mit Handlungsempfehlungen?                         1/1

      Ja.

3.5   Existieren Checklisten zur Fehlereingrenzung?                             0/1

      Nein.

3.6   Existiert ein in Grundzügen dokumentiertes BCM?                           0/1

      Nein.

3.7   Ist ein Verzeichnis über relevante Dokumentation vorhanden?               1/1

      Ja, dies ist im viflow DMS enthalten.

3.8   Wurde ein Probelauf des Notfallplans durchgeführt?                        0/1

      Nein.

                                                                                       11
Existiert ein in Grundzügen dokumentiertes Risiko-Management aller
3.9                                                                         0/1
       IT-Risiken?

       Nein.

3.10   Findet eine regelmäßige Aktualisierung des Notfallplans statt?       1/1

       Ja, der Notfallplan wird auf jährlicher Basis aktualisiert.

3.11   Existiert ein Incident Response-Verfahren?                           1/1

       Ja.

3.12   Existiert eine Notfallumgebung (Hard- und Software)?                 1/1

       Ja, alle kritischen Systeme sind redundant vorhanden.

                                                                                  12
4. Datenschutz und Informationssicherheit                    4/15

      Sind die technischen und organisatorischen Maßnahmen
4.1                                                                        0/1
      dokumentiert?

      Nein.

4.2   Existiert ein dokumentiertes Datenschutzmanagementsystem?            0/2

      Nein, dies wird z.Zt. jedoch umgesetzt.

      Werden Mitarbeiter (intern & extern) über Gefahren beim Umgang
4.3   mit Informationen und deren Verarbeitung regelmäßig geschult         1/1
      und/oder sensibilisiert?

      Ja, bei der Einstellung neuer Mitarbeiter und auf jährlich Basis.

4.4   Existiert eine Datenschutz- oder Informationssicherheitsleitlinie?   0/1

      Nein.

4.5   Ist ein Datenschutzbeauftragter benannt (intern oder extern)?        1/1

      Interner Datenschutzbeauftragter:
      Herr Wilhelm Reh
      w.reh@ktbernt.de
      08341 966128389

      Sind mit IT-Dienstleistern/Auftragsverarbeitern Vereinbarungen zur
4.6                                                                        0/1
      Auftragsverarbeitung geschlossen worden?

      Nein.

4.7   Ist ein Verzeichnis von Verarbeitungstätigkeiten vorhanden?          0/1

      Nein.

                                                                                  13
Sind die datenschutzrechtlichen Informationspflichten gegenüber
4.8                                                                         0/1
       Kunden und Mitarbeitern erfüllt?

       Nein.

4.9    Beinhaltet die Homepage eine formal korrekte Datenschutzerklärung?   0/1

       Nein, siehe Empfehlungen.
       http://ktb.vonwald.de/datenschutz

       Sind Meldeverfahren an die Aufsichtsbehörde sowie ein
4.10                                                                        0/2
       Beschwerdemanagement Betroffener dokumentiert?

       Nein.

       Ist die private Nutzung dienstlicher Geräte datenschutzkonform
4.11                                                                        1/1
       geregelt?

       Ja.

4.12   Existiert eine Regelung zur Nutzung mobiler Geräte?                  1/1

       Ja.

       Ist eine Dokumentation vorhanden, aus der hervorgeht, wie eine
4.13                                                                        0/1
       Datenschutzfolgenabschätzung durchzuführen ist?

       Nein.

                                                                                  14
5. Backup-System                              7/10

5.1   Werden alle geschäftskritischen Daten gesichert?                      3/3

      Ja.

      Wurde festgelegt, welche Daten aus welchen Datenquellen in das
5.2                                                                         1/1
      Backup einbezogen werden müssen?

      Ja, es fließen alle Daten ins Backup ein.

5.3   Existiert ein Backup-Prozess?                                         0/1

      Nein.

      Existiert ein Eintrag über die Regelung zur Datensicherung im
5.4                                                                         0/1
      Notfallhandbuch?

      Nein.

      Wird mindestens ein tägliches Backup über einen Zeitraum von 14
5.5                                                                         1/1
      Tagen vorgehalten?

      Ja, Backups werden ein Jahr vorgehalten. Vierteljährlich werden die
      Backups außerhalb der Infrastruktur gelagert.

      Werden halbjährliche Restore-Tests der existierenden Backups
5.6                                                                         1/1
      durchgeführt?

      Ja, Restore-Tests werden vierteljährlich durchgeführt.

      Ist eine räumliche Trennung des Produktivsystems zu dem Backup-
5.7                                                                         0/1
      System in einem anderen Brandabschnitt vorhanden?

      Nein.

                                                                                   15
Ist der administrative Zugang zum Backup-System rollenbasiert
5.8   umgesetzt und hat jeder Administrator einen eigenen, personalisierten   1/1
      Account?

      Ja.

                                                                                    16
6. Weiterbildung/Compliance                               6/10

      Werden Sensibilisierungs- und Schulungsmaßnahmen zur
6.1   Cybersicherheit für Mitarbeiter angeboten und durchgeführt? Und           0/2
      werden diese in regelmäßigen Abständen wiederholt?

      Nein. Es existiert zwar ein Schulungssystem, welches aber keine Inhalte
      zur Cybersicherheit enthält.

      Werden Sensibilisierungs- und Schulungsmaßnahmen zur
      Cybersicherheit für Geschäftsführung und Abteilungsleiter
6.2                                                                             0/2
      angeboten und durchgeführt? Und werden diese in regelmäßigen
      Abständen wiederholt?

      Nein.

      Finden kontinuierliche Produkt- und Hersteller-Schulungen in der
6.3                                                                             2/2
      Cybersicherheit für die Mitarbeiter der IT-Abteilung statt?

      Ja, die Mitarbeiter der IT-Abteilung nehmen regelmäßig an Webinaren und
      Weiterbildungen teil.

      Sind die Mitarbeiter der IT-Abteilung über die aktuelle Cyber-
6.4                                                                             1/1
      Sicherheitslage informiert?

      Ja, die Mitarbeiter der IT-Abteilung verfügen über unterschiedliche
      Zertifikate im Bereich IT-Sicherheit.

      Existiert eine Schulungsmaßnahme für neue und bestehende
6.5   Mitarbeiter, welche sich mit dem sicheren Umgang im Medium E-Mail         2/2
      befasst?

      Ja, dies ist in der Betriebsvereinbarung enthalten.

      Ist innerhalb der letzten 18 Monate eine Überprüfung hinsichtlich der
6.6                                                                             1/1
      Informationssicherheit durchgeführt worden?

      Ja, z.B. Steuerprüfung und jährliche IATF Audits.

                                                                                       17
Erreichte Punktzahl gesamt

     64 von 100 möglichen Punkten.

                    Erlangung TÜV Hessen Q-Siegel

     Die Anforderungen an das TÜV Hessen Q-Siegel wurden erreicht.
     Das Q-Siegel wird somit vergeben.

Infraforce GmbH | TÜV Hessen Unternehmensgruppe
Gisselberger Str. 17
35037 Marburg an der Lahn

Tel.: +49 6421 166969 -0
Fax: +49 6421 166969 -9
info@infraforce.de
www.infraforce.de
                                                                     18
Empfehlungen

1.   Zu 1.1: Wird eine zentral verwaltete Antivirus-Lösung eingesetzt?

     Eine zentrale Antivirus-Lösung bietet durch deren Verwaltungsoberfläche eine Übersicht
     über den Sicherheitsstatus aller verwalteten Endpunkte. Bei Fehlen einer zentralen
     Verwaltung kann keine Aussage über den aktuellen Sicherheitszustand der Umgebung
     getroffen werden und ein Vorfallmanagement bezüglich aufgetretener Systeminfektionen
     und der damit verbundenen Nachvollziehbarkeit in Form eines Auditlogs ist nicht
     gegeben.

     Zu 1.2: Ist auf den verwendeten IT-Systemen ein Schutz gegen Ransomware
2.
     ausgebracht?

     Ein Ransomware-Befall kann zu erheblichen Schäden innerhalb der Infrastruktur führen.
     Schutzmodule erkennen diese Art von Schadprogrammen an universellen Codeabfolgen,
     welche typisch für Kompression, Verschlüsselung, Tarnmechanismen und dergleichen
     sind. Auch wenn nicht kompromittierte Backups innerhalb kürzester Zeit
     wiederhergestellt werden können, empfehlen wir geeignete Schutzmaßnahmen gegen
     Ransomware.

3.   Zu 2.2: Wird unternehmensweit HTTPs-Datenverkehr untersucht (Decrypt & Scan)?

     Es ist zu empfehlen den HTTPS-Datenverkehr zu untersuchen, da über 90% des
     Internetverkehrs verschlüsselt übermittelt werden. Durch Verwendung eines gültigen
     HTTPS-Zertifikates durch einen Angreifer ist es einfach, Schadcode in die Infrastruktur
     zu schleusen.

4.   Zu 2.13: Erfolgt eine nach Kritikalität priorisierte Netzwerk-Segmentierung?

     Eine Netzwerk-Segmentierung dient dem Schutz von Servern und Clients. Bedrohungen
     können leichter eingedämmt und die Ausbreitung auf andere Netzbereiche so erschwert
     werden.

5.   Zu 3.8: Wurde ein Probelauf des Notfallplans durchgeführt

     Notfallpläne sind entscheidend für die Wiederaufnahme des Geschäftsbetriebs. Damit
     sich der Notfallplan nicht als ungeeignet erweist, sollten regelmäßige Probeläufe
     durchgeführt werden.

                                                                                               19
6.   Zu 4.1: Sind die technischen und organisatorischen Maßnahmen dokumentiert?

     Die Pflicht zur Umsetzung der technischen und organisatorischen Maßnahmen (TOMs)
     begründet sich in Art. 32 Abs. 1 EU-DSGVO und ist dringend anzuraten. Hierzu empfiehlt
     es sich bei der Erstellung der TOMs, die Mitarbeiter der IT-Abteilung hinzuzuziehen.

7.   Zu 4.2: Existiert ein dokumentiertes Datenschutzmanagementsystem?

     Das Datenschutzmanagement fällt unter die allgemeinen Dokumentationspflichten der
     EU-DSGVO.
     Hierzu gehört die Dokumentation von Vorgaben und Regeln, Prozessen und Kontrollen,
     sowie das Erstellen von entsprechenden Nachweisen. Dies wird z.Zt. umgesetzt.

8.   Zu 4.7: Ist ein Verzeichnis von Verarbeitungstätigkeiten vorhanden?)

     Nach Art. 30 EU-DSGVO besteht die Pflicht eine schriftliche Dokumentation und
     Übersicht über die Verfahren zu führen, bei denen personenbezogene Daten verarbeitet
     werden. In einem solchen Verzeichnis von Verarbeitungstätigkeiten müssen wesentliche
     Angaben zur Datenverarbeitung aufgeführt werden, wie z.B. Datenkategorien, Kreis der
     betroffenen Personen, sowie der Zweck der Verarbeitung. Auf Anfrage ist dies der
     Aufsichtsbehörde vollständig zur Verfügung zu stellen. Wir empfehlen das Verzeichnis
     zeitnah zu erstellen.

                                                                                              20
9.    Zu 4.9: Beinhaltet die Homepage eine formal korrekte Datenschutzerklärung?

      Es existieren zwei unterschiedliche Unternehmens-Webseiten. Wir empfehlen diese
      zeitnah datenschutzkonform anzupassen.

      http://www.ktbernt.de
          1. Die Webseite ist unverschlüsselt und es werden entsprechend unverschlüsselt
              Daten über das Kontaktformular übermittelt.
          2. Die Rechte der Betroffenen sind nicht ausreichend dargestellt
          3. Verarbeitung personenbezogener Daten durch Dritte (Beispiel:
              Webseitenbetreiber) und die damit verbundene Auftragsverarbeitung nach Art.
              28 DSGVO
          4. Cookies
          5. Onlinebewerbungen
          6. Regelfristen für die Löschung von Daten
          7. Sonstige Datenverwendung und Datenlöschung
          8. Missbrauchserkennung und -verfolgung
          9. Rechte betreffend Verarbeitung personenbezogener Daten
          10. Widerspruchsrecht
          11. Recht zur Beschwerde bei einer Aufsichtsbehörde
          12. Datenschutzbeauftragter
          13. Kontaktdaten des Verantwortlichen

      http://ktb.vonwald.de/datenschutz
          1. fehlendes SSL-Zertifikat
          2. kein Hinweis auf Bewerbermanagement
          3. fehlender Cookie-Banner
          4. Recht zur Beschwerde bei einer Aufsichtsbehörde
          5. Kommunikation/ Kontaktdaten Datenschutzbeauftragter
          6. Widerrufsrecht (Wie kann dieses ausgeübt werden?)
          7. Die Rechtsgrundlagen und Betroffenenrechte sollten übersichtlicher gestaltet

10.   Zu 4.13: Ist eine Dokumentation vorhanden, aus der hervorgeht, wie eine
      Datenschutzfolgenabschätzung durchzuführen ist?

      Die Datenschutzfolgeabschätzung ist ein Instrument der EU-DSGVO zur Beschreibung,
      Bewertung und Eindämmung von Risiken für die Rechte und Freiheiten natürlicher
      Personen bei der Verarbeitung personenbezogener Daten (zentrale Vorschrift Art. 35
      EUDSGVO).
      Eine Datenschutzfolgeabschätzung ist erforderlich, wenn eine Form der Verarbeitung
      nach der Art, dem Umfang, den Umständen und dem Zweck der Verarbeitung
      voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur
      Folge hat. Es wird empfohlen, vor dem Beginn der Verarbeitung personenbezogener
      Daten eine Datenschutzfolgeabschätzung auf Basis der Dokumentation zu erstellen.

                                                                                                21
11.   Zu 5.7: Ist eine räumliche Trennung des Produktivsystems zu dem Backup-System in
      einem anderen Brandabschnitt vorhanden?

      Die Problematik ist bekannt und wir durch einen eigenständigen Backup-Server in einem
      eigenen Brandabschnitt in Kürze umgesetzt werden.

12.   Zu 6.1: Werden Sensibilisierungs- und Schulungsmaßnahmen zur Cybersicherheit für
      Mitarbeiter angeboten und durchgeführt? Und werden diese in regelmäßigen Abständen
      wiederholt?

      Heutige Angriffe richten sich nicht mehr ausschließlich gegen Technologie, sondern auch
      gegen Menschen. Der Faktor Mensch wird durch natürliche Neugier, Hilfsbereitschaft,
      Zeitdruck oder Respekt vor Autoritäten ausgenutzt. Der Schutz vor solchen Angriffen
      erfordert einen neuen Sicherheitsansatz, welcher den Menschen in den Mittelpunkt stellt.
      Dies gilt ebenso für ganz bestimmte Personengruppen, wie Geschäftsführung und
      Abteilungs-, Team- oder Projektleiter Wir empfehlen regelmäßige Schulungen, im
      Bereich Cybersicherheit, für alle Mitarbeiter.

                                                                                                 22
Sie können auch lesen