Katalog

Neu: Der Kentix-Katalog 2018

Jetzt durchblättern!

Live Demo

Lassen Sie sich bei einer Live Demo bequem von Ihrem Schreibtisch aus von einem Kentix Mitarbeiter alle Features und Funktionen unserer Monitoringlösungen zeigen.

Jetzt Termin vereinbaren!

Kontakt

Rufen Sie uns an:
+49 6781 - 56 25 10 (VERTRIEB)
+49 6781 - 56 25 11 (SUPPORT)

Oder schreiben Sie uns:
Kontaktformular

Support

Sie benötigen technischen Support?
Hier gehts zum Supportformular.

Zur Unterstützung durch unseren technischen Support können Sie hier
Teamviewer herunterladen.

App Finder

Sie benötigen Hilfe bei der Plannung?

Nutzen Sie den Kentix Application Finder für die richtige Planung zur Absicherung Ihrer Räume:

Zum Application Finder

Folgen Sie uns auf Twitter:

LinkedIn

Folgen Sie uns auf LinkedIn:

EU-DSGVO: Physikalische IT-Sicherheit ist auch Datenschutz

////EU-DSGVO: Physikalische IT-Sicherheit ist auch Datenschutz

EU-DSGVO: Physikalische IT-Sicherheit ist auch Datenschutz

Die EU-Datenschutz-Grundverordnung, kurz EU-DSGVO, tritt im Mai 2018 in Kraft und wird das Bundesdatenschutzgesetz grundlegend verändern. Dies stellt Unternehmen vor eine große Herausforderung, denn bei Nicht-Einhaltung drohen Bußgelder in Millionenhöhe. Dabei gilt es nicht nur offensichtliche Aspekte wie etwa die eindeutige Einwilligung zum Erhalt von E-Mails zu beachten, sondern auch die physikalische IT-Sicherheit muss auf Vordermann gebracht werden. Was aber hat nun die physikalische IT-Sicherheit mit dem Datenschutz nach EU-DSGVO zu tun?

Die EU-DSGVO und ihre Auswirkungen auf Bestimmungen zur physikalischen IT-Sicherheit in Unternehmen

Die ab dem 25. Mai 2018 geltende EU-Datenschutz-Grundverordnung (EU-DSGVO) wird einen hohen Einfluss auf die Bestimmungen zur physikalischen IT-Sicherheit in Unternehmen haben, denn auch diese ist für den zuverlässigen Schutz von Daten mitverantwortlich. Diese Verordnung trifft nicht nur Großkonzerne wie Social-Media-Internet-Riesen, sondern auch kleine und mittelständische Unternehmen.

Die EU-DSGVO vereinheitlicht das europäische Datenschutzrecht und stärkt die Datenschutzbehörden. Sie fordert jetzt von allen Unternehmen, ihren Datenschutz und ihre physikalische IT-Sicherheit genau zu überprüfen, neu zu organisieren und oft deutlich umfassender anzugehen.

Die Vorgaben zur Sicherheit sind in Artikel 32 der EU-DSGVO beschrieben:

„Unter Berücksichtigung des „Stands der Technik“, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“

Aktueller Ist-Zustand:

Im deutschen Mittelstand, also bei den kleinen und mittelständischen Unternehmen, ist das bisher nur teilweise angekommen. Viele Unternehmen, die sich bereits mit der Thematik beschäftigt haben, stellen fest, dass sie in Sachen physikalische IT-Sicherheit nicht darauf vorbereitet sind.

Das bestätigt auch eine aktuelle Studie des Ponemon Institutes, bei der mehr als 4.000 IT- und IT-Sicherheitsexperten in 14 Ländern zum aktuellen Stand der Dinge befragt wurden:

  • 38 % der Befragten sehen sich gut vorbereitet auf die Situation

  • 74% der Befragten halten ihre Sicherheitsarchitektur für dringend erneuerungsbedürftig

  • 63 % der Befragten geben an, dass sie veraltete Sicherheitslösungen im Einsatz haben

Stand der Technik:

Die Unternehmen sind aber in der Pflicht, ihre technischen Maßnahmen für die physikalische IT-Sicherheit zu überprüfen, gemäß dem Stand der heutigen Technik. Der genaue „Stand der Technik“  ist dabei nicht spezifiziert.

Auszug aus Artikel 32 der EU-DSGVO:

„[…]die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicher zu stellen.“

Die Unternehmen müssen also sicherstellen, dass die von ihnen erhobenen Daten vor unberechtigtem Zugriff durch Dritte sicher sind. Des Weiteren muss auch darauf geachtet werden, dass die IT-Systeme stabil laufen, und sie gegen Angriffe und physikalische Gefahren geschützt sind.

Dieser Schutz beinhaltet:

1. den Schutz vor vorsätzlichem Handeln

2. den Schutz vor fahrlässigem Handeln und höherer Gewalt.

Es muss also eine einheitliche Betrachtung durchgeführt werden von Daten, Prozessen, IT-/-ITK-Systemen und menschlichem Verhalten.

An welche Richtlinien und Gesetze müssen Unternehmen sich halten bzw. welche müssen sie anwenden?

Viele Datenschutzbeauftragte empfehlen in diesem Zusammenhang Leit- und Richtlinien gemäß den Vorgaben, zum Schutz der Vertraulichkeit, Verfügbarkeit und Integrität der IT- und oder ITK-Systeme der EU-DSGVO, Art. 32. Um diese Vorgaben zu erfüllen bietet es sich an, die klassischen Zertifzierungstools zu nutzen.

Vorgaben bzw. Empfehlungen zur Auswahl von technischen und organisatorischen Maßnahmen sind sowohl in der ISO 27xxx als auch im IT-Grundschutz-Katalog des BSI zu finden.

Leit- und Richtlinien sind einzuführen für:

  • IT-Sicherheit

  • ITK-Nutzung (Benutzerberechtigungen)

  • Internet- und E-Mail-Nutzung (auch BYOD)

  • Outsourcing (falls zutreffend)

  • Sicherheitshinweise IT-Anwender

  • Sicherheitshinweise IT-Administratoren

  • Änderungskonzept

  • Viren-Schutzkonzept

  • Datensicherungskonzept

  • Notfallvorsorgekonzept (Notfallplan)

  • Archivierungskonzept

IT-Sicherheitsrichtlinien

Um bei der physikalischen IT-Sicherheit zu bleiben bedienen wir uns bei den IT-Grundschutz-Katalogen des BSI. Im IT-Grundschutz für Rechenzentrum (B2.9) werden potentielle physikalische Gefahren beschrieben als Ausfall von IT-Systemen, Blitz, Feuer, Wasser, Kabelbrand, Temperatur, Luftfeuchte, unbefugter Zutritt, Ausfall der Stromversorgung, Diebstahl, Vandalismus, etc.

Die ISO 27001 beinhaltet ebenfalls einen Unterpunkt zur physikalischen IT-Sicherheit:

A.11 Physische und Umgebungssicherheit – Kontrollen, die Sicherheitsbereiche, Zutrittskontrollen, Schutz gegen Bedrohungen, Gerätesicherheit, sichere Entsorgung, etc.

Die Brücke schlagen zwischen physikalischer IT-Sicherheit und Datenschutz

Die Gefahr von Datendiebstahl durch Cyber-Kriminelle ist ein aktuelles Thema – was nützt jedoch die beste Netzwerk-Sicherheit, wenn ein Unbefugter unbemerkt auf das Firmengelände gelangt oder Daten verloren gehen, weil ein Server in die Knie geht?

50% der IT Ausfälle haben physische Ursachen!

Im Gegensatz zu Ausfällen, die durch Softwarefehler verursacht werden, sind die Ausfallzeiten bei physischen Defekten meist länger und teurer.

Häufige Gefahren im Serverraum und IT-Rack sind:

  • Übertemperatur

  • Netzausfall oder USV Defekte

  • Schmorbrände und Feuer

  • Wasserleckagen

  • Einbruch und Diebstahl

  • Menschliches Fehlverhalten

Fazit

Kleine und mittelständische Unternehmen sollten die neue Verordnung nicht als bürokratische Hürde sehen, sondern als Chance – die Chance, die eigene physikalische IT-Sicherheit auf den neuesten Stand der Technik zu bringen sowie einen Wettbewerbsvorteil zu bekommen um neue Zielmärkte anzusprechen, die hohe Anforderungen in punkto Datenschutz haben.

Weiterführende Informationen

Wenn Sie genau erfahren möchten, wie Sie die Einhaltung der EU-DSGVO mit der Umsetzung von IT-Sicherheitsrichtlinien mit Kentix unter einen Hut bekommen, bieten wir kostenlose Webcasts zu eben diesem Thema an. Einfach nächsten Termin aussuchen, anmelden, teilnehmen und für mehr Sicherheit in Ihrem Unternehmen sorgen!

Zu den Webcasts
2018-02-19T11:16:41+00:00