Beiträge

Passwörter müs­sen stets lang (min­de­stens 8 Zeichen) und kom­plex (Groß‐ und Kleinbuchstaben, Sonderzeichen und Zahlen) sein. Dazu bit­te ein Wechselintervall von 90 Tagen und für jede Anmeldung ein ande­res Passwort. Steht so in den mei­sten Richtlinien, Dienstanweisungen und Betriebsvereinbarungen die­ser Welt.

Das Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) beschreibt die­se Vorgaben bei­spiels­wei­se in den Maßnahmen M 2.11 (Regelungen des Passwortgebrauchs) oder auch M 4.48 (Passwortschutz unter Windows) des IT‐Grundschutzkatalogs. Und in vie­len Fällen gilt der BSI IT‐Grundschutzkatalog als das Maß aller Dinge bei Auditoren und Prüfern.

Passwort‐Mythen

Doch wer­fen wir mal einen Blick auf die Details die­ser Vorgaben und deren Sinnhaftigkeit.  Klar ist, tri­via­le Passwörter wie “123456”, “QWERTZ” oder “pass­wort” soll­ten sich eben­so aus­schlie­ßen wie die Namen der Familienangehörigen oder Haustiere. Diese sind dank Google und der akti­ven Unterstützung durch die stets miß­ver­ständ­li­chen Privatsphäre‐Einstellungen sozia­ler Netzwerke dann doch zu leicht her­aus­zu­fin­den.

Anders sieht es jedoch schon bei den Empfehlungen des BSI bei der zu wäh­len­den Passwort‐Länge aus. Das BSI emp­fiehlt 8 Stellen oder mehr, nur in begrenz­ten Ausnahmefällen 6 Stellen. In der Maßnahme 4.48 ist sogar von 14 Stellen und mehr für Verwaltungsaccounts die Rede.

Haben Sie sich schon mal gefragt, wie­so Banken für die Absicherung von EC‐ und Kreditkarten nur auf 4 Zahlen PIN set­zen? Machen die­se denn kein Risikomanagement? Na klar machen sie das, jeden Tag und das sogar sehr erfolg­reich. Dreimalige Falscheingabe und die Karte ist gesperrt, der Missbrauch aus­ge­schlos­sen. Schutzziel erreicht!

Also wie­so dann bei einem sol­chen Bedrohungsszenario stur auf ein Passwort unter den ein­gangs genann­ten Regelungen bestehen? Sinnfrei, oder? Drei oder eini­ge mehr Fehlversuche und dann ist Schluss. Übertragen auf den mit einer sol­chen Sperre aus­ge­stat­te­ten Benutzeraccount: Mehrmalige Falschanmeldung und der Benutzeraccount ist gesperrt und / oder wird erst nach eini­ger Verzögerung wie­der zur erneu­ten Anmeldung frei­ge­ge­ben. Der Benutzer merkt es (sofern er die Sperrung nicht selbst ver­ur­sacht hat) beim näch­sten Anmelden. Die IT erhält über das Systemprotokoll eben­falls einen Hinweis über die­sen “Versuch”, kann prü­fen und ange­mes­sen reagie­ren. Schutzziel erreicht! Dies funk­tio­niert zumin­dest bei Accounts, die mit einer sol­chen Sperre und / oder Verzögerung aus­ge­stat­tet wer­den kön­nen. In der Praxis wür­de sich auch eine Kombination anbie­ten (nach 3 Fehlversuchen Verzögerung, nach wei­te­ren x Fehlversuchen Sperrung), dies wäre im Einzelfall aus­zu­pro­bie­ren. Für Offline‐Angriffe (bei­spiels­wei­se Dokumenten‐Passwörter) müs­sen selbst­ver­ständ­lich gehär­te­te Passwörter mit ent­spre­chen­der Länge und Komplexität gewählt wer­den.

Und da haben wir auch schon das näch­ste Stichwort: Wie sieht es mit dem Thema Passwort‐Komplexität aus? Nach der Länge eines Passworts scheint die Komplexität den mei­sten Schutz zu bie­ten, glaubt man den Verfechtern die­ser Theorie. Generell steigt der Aufwand zum Erraten (oder Knacken) eines Passworts mit der Vergrößerung des Suchraums. Daher wer­den neben den 52 Zeichen des Alphabets (groß‐ und klein­ge­schrie­ben) die zehn Ziffern 0 bis 9 sowie die 22 übli­chen Sonderzeichen hin­zu­ge­nom­men. Schwenken wir kurz in die Mathematik und schau­en, wie­vie­le Varianten sich im Vergleich erge­ben:

  • 2,5 * 1015  mög­li­che Varianten für ein Passwort mit 8 Stellen mit Groß‐ und Kleinbuchstaben, Ziffern und Sonderzeichen
  • 2,8 * 1015  mög­li­che Varianten für ein Passwort mit 9 Stellen und nur mit Buchstaben

Auf einen Blick ist zu erken­nen, der Suchraum wird mit einer Stelle mehr viel höher als durch die Beibehaltung der Länge und dem Hinzufügen einer Komplexität. Noch Fragen?

Ok, aber der regel­mä­ßi­ge Passwort‐Wechsel, das ist sicher, das müs­sen wir so machen! Warum? [Anmerkung des Autors: “Eine mei­ner Lieblingsfragen!”] Wenn sich die Passwort‐Strategie in mei­ner Organisation an der Bedrohungslage und den mög­li­chen Angriffsszenarien aus­rich­tet, gibt es weni­ge Anlässe, zu denen ein Passwort zu wech­seln ist:

  • Passwort wur­de aus­ge­späht
  • Passwort wur­de unzu­läs­si­ger­wei­se an eine Kollegin oder einen Kollegen wei­ter­ge­ge­ben
  • Bei der Erstkonfiguration, also dem Ändern vor­ein­ge­stell­ter Passwörter

Salopp: Besteht der Verdacht, ein Passwort wur­de kom­pro­mit­tiert, dann wird es gewech­selt. Doch die Praxis sieht anders aus, Wechselintervalle von alle 90–120 Tage sind die Regel. Wie reagiert der Anwender? Genervt. Und das zu Recht. Lesen Sie ger­ne mehr zum Thema (exter­ner Link Ars Technica 2016).

Dann brau­chen wir aber unbe­dingt die Vermeidung von ein‐ und dem­sel­ben Passwort für meh­re­re Anmeldungen! Warum? :-) Müssten dann nicht Vorgehensweisen wie das Single‐Sign‐on (M 4.498 BSI) von vorn­her­ein aus Schutzgründen abge­lehnt wer­den? Auch hier gilt es erneut, dif­fe­ren­zier­ter vor­zu­ge­hen. Bei inter­nen Anmeldeverfahren mit ent­spre­chen­den Schutzmöglichkeiten (sie­he Passwort‐Komplexität) gibt es kei­nen nach­voll­zieh­ba­ren Grund für unter­schied­li­che Passwörter. Hier macht bei­spiels­wei­se Single‐Sign‐on auch Sinn. Für Anmeldeverfahren außer Haus wie bei­spiels­wei­se Cloud‐Services und Online‐Shops soll­te jedoch nicht das “inter­ne” Passwort zum Einsatz kom­men. Dafür emp­fiehlt sich in der Tat die Nutzung ande­rer Passwörter mit ent­spre­chen­den Vorschriften in Bezug auf Länge und Wechsel. Eine Faustregel für exter­ne Passwörter kann lau­ten “Jeder Betreiber / Anbieter erhält ein eige­nes Passwort”.

2FA — Zwei‐Faktor‐Authentifizierung oder auch Multi‐Faktor‐Authentifizierung

Immer öfter fin­det sich in der prak­ti­schen Anwendung die 2FA zur wei­te­ren Absicherung in Verbindung mit den Klassikern Nutzername und Passwort. Gängige Möglichkeiten (nicht voll­stän­dig): zeit­ba­sier­ter Code (Software‐ oder Hardware‐Tokens), Chipkarten, Transponder, zusätz­li­che Einmal‐Passwörter oder bio­me­tri­sche Zugangsdaten (Fingerabdruck, FaceID, Augenscanner etc.).

Passwort‐Richtlinien in der Praxis

Sie ner­ven unge­mein! Da die wenig­sten Richtlinien sich mit den Sachverhalten der Angriffsszenarien und Bedrohungen aus­ein­an­der­set­zen, wird hier meist mit “Schema F” gear­bei­tet. Haben wir ja auch schon immer so gemacht. Hat sich ja bewährt. Fragen Sie mal Ihre Anwender! Die haben über Jahre ihre Mittel und Wege gefun­den, um mit dem so beque­men Thema nach “Schema F” umzu­ge­hen. Nämlich ihr eige­nes “Schema F”. Passwörter wer­den auf­ge­schrie­ben, mun­ter getauscht, ent­hal­ten nume­ri­sche Sequenzen zum Hochzählen zur Umgehung der Generationenpasswörter, fügen bei jedem Wechsel das näch­ste Sonderzeichen auf der Tastatur am Anfang oder Ende des Passworts ein und … und … und … Und Sie glau­ben, das ist sicher?

Informationssicherheit wird immer wich­ti­ger

Neben allen recht­li­chen Auflagen zur Informationssicherheit, der IT‐Sicherheit und dem Datenschutz wird es immer wich­ti­ger, zur Absicherung der eige­nen Organisation bis­he­ri­ge Vorgehensweisen auf den Prüfstand zu stel­len, bei Bedarf anzu­pas­sen oder bei Nichtvorhandensein ent­spre­chend ein­zu­füh­ren. Das Thema wird immer kom­ple­xer, die Bedrohungen und Risiken immer mehr.

Ohne Ihre Anwender ste­hen Sie auf ver­lo­re­nem Posten. Sie brau­chen deren Unterstützung, damit neben zahl­rei­chen Richtlinien und Anweisungen das Thema Sicherheit in Ihrer Organisation wirk­lich gelebt wird und nicht nur auf dem Papier steht. Feilschen Sie dar­um! Wie jetzt? Ja, feil­schen Sie dar­um! Fordern Sie die Unterstützung Ihrer Mitarbeiter ein und bie­ten dafür im Gegenzug pra­xis­ge­rech­te Regelungen, die den Arbeitsalltag nicht noch schwe­rer machen als bis­her. Mehr Unterstützung (z.B. beim manu­el­len Logout aus Systemen bei Abwesenheit oder der rich­ti­gen Entsorgung von Daten) sei­tens der Mitarbeiter und dafür im Gegenzug eine prak­ti­ka­ble Passwort‐Richtlinie, die nicht die Gängelung der Mitarbeiter im Vordergrund hat, son­dern Lösungen anbie­tet. Klappt! Glauben Sie nicht? Probieren Sie es aus! Wir machen die Erfahrung immer wie­der auf’s Neue bei unse­ren Kunden.

Danke an Dirk Fox und Frank Schaefer, die die­ses Thema bereits 2009 beleuch­tet haben. Dies ist ein neu­er Anlauf, um etwas Schwung rein­zu­brin­gen.

Sie sehen das ganz anders? Wir freu­en uns auf eine rege Diskussion.

Update 28.11.2018: Ergänzung um MFA/2FA

Seit gerau­mer Zeit rumort es in Anwaltskreisen. Grund ist das beson­de­re elek­tro­ni­sche Postfach, kurz beA genannt. Dies soll­te eigent­lich zum 01.01.2018 ver­pflich­tend zum Einsatz kom­men. Doch dar­aus wur­de nichts. Was mit der Entdeckung eines falsch zur Verfügung gestell­ten Zertifikats Ende 2017 begann (der pri­va­te Schlüssel wur­de mit ver­teilt), fin­det nun sei­nen Höhepunkt. Die Bundesrechtsanwaltskammer (BRAK) emp­fiehlt in einer Pressemeldung die Client Security zu deak­ti­vie­ren, bes­ser den Client gleich kom­plett zu deinstal­lie­ren. Wie es dazu kom­men konn­te, das trotz angeb­li­cher Sicherheitsüberprüfungen ein unsi­che­res Produkt an die Rechtsanwaltszunft ver­teilt wur­de, klärt die Pressemeldung nicht auf.

BRAK‐Vizepräsident Abend erklärt, das “beA erst dann wie­der in Betrieb gehen wird, wenn alle rele­van­ten Sicherheitsfragen geklärt sind.”

Zwei Jahrzehnte IuK‐Sicherheit in der Verwaltung

Am 19. und 20. September 2017 (Dienstag und Mittwoch) fin­den die 2o. IuK Tage in Gunzenhausen statt. Die rasan­te tech­ni­sche Entwicklung bie­tet den Behörden enor­me Potentiale. Damit ein­her gehen ent­spre­chen­de Risiken, denen sich eine digi­ta­le Verwaltung stel­len muss.

Programm der 20. IuK Tage Gunzenhausen

Wie jedes Jahr haben sich die Organisatoren, die Bayerische Akademie für Verwaltungsmanagement in Zusammenarbeit mit den Bayerischen Kommunalen Spitzenverbänden zu den recht­li­chen und tech­ni­schen Anforderungen Gedanken gemacht. Als Ergebnis erwar­tet die Teilnehmer ein breit­ge­fä­cher­tes Programm zu aktu­el­len Themen:

  • E‐Government in Bayern: Rechtliche und tech­ni­sche Aspekte
  • EU‐Datenschutz‐Grundverordnung: Auswirkungen auf die IT
  • Der Betrieb eines Informationssicherheitskonzeptes — wie­so es mit der Bestandsaufnahme nicht getan ist
  • Status Quo und Quo Vadis der kom­mu­na­len IT
  • Arbeit 4.0: arbeits‐ und daten­schutz­recht­li­che Aspekte
  • Die neue Entgeltordnung: Zur Einordnung von IT‐Beschäftigten
  • Rechtssicheres Scannen in der Praxis
  • Technik von mor­gen — wie wir uns heu­te schon dar­auf vor­be­rei­ten kön­nen

a.s.k. Datenschutz Referent und Ansprechpartner für das Thema Informationssicherheit

Wir freu­en uns, auch in die­sem Jahr als Referent für das Thema Informationssicherheit und als Teilnehmer der zwei­tä­gi­gen Veranstaltung mit dabei sein zu dür­fen.

Die Stadt Gunzenhausen sorgt — wie jedes Jahr — für ein unter­halt­sa­mes Abendprogramm.

Haben wir Ihr Interesse geweckt? Hier erhal­ten Sie wei­te­re Informationen zu den 20. IuK Tagen Gunzenhausen

 

 

 

 

Nach aktu­el­ler Rechtslage sind baye­ri­sche Kommunen gemäß Artikel 8 BayEGovG ver­pflich­tet, bis zum 01.01.2018 ein Informationssicherheitskonzept ein­zu­füh­ren und zu betrei­ben. Nach Verabschiedung des BayEGovG im Dezember 2015 hat die­se kur­ze Umsetzungsfrist für eini­ge Aufregung unter baye­ri­schen kom­mu­na­len Einrichtungen gesorgt. Doch jetzt ist wahr­schein­lich Aufatmen ange­sagt.

Der Gesetzentwurf der Staatsregierung zur Errichtung des Landesamts für Sicherheit in der Informationstechnik LT‐Drs. 17/17726 vom 11.07.2017 sieht nun vor, dass die­se Verpflichtung erst am 01.01.2019 in Kraft tritt (vgl. Ziffer 11 b des Gesetzentwurfs).

Eine sol­che Verlängerung darf jedoch nicht zum Nachlassen der Bemühungen um eine ange­mes­se­ne IT‐Sicherheit führen. Vielmehr soll­te die Zeit genutzt wer­den, um eine sorgfältige Auswahl der rich­ti­gen Maßnahmen und des kom­pe­ten­ten Beraters vor­zu­neh­men und eine kosten­be­wuss­te Auftragsvergabe durchzuführen”, so der Bayerische Gemeindetag in sei­ner heu­ti­gen Stellungnahme zum Thema.

Das Team von a.s.k. Datenschutz unter­stützt baye­ri­sche Kommunen bei der Auswahl und Einführung eines geeig­ne­ten Informationssicherheitskonzepts wie BSI IT‐Grundschutz, ISIS12, Arbeitshilfe der Innovationsstiftung (Autor Herr Sascha Kuhrau von a.s.k. Datenschutz) oder auch VDS 3473. Zur Sicherstellung des zukünf­ti­gen Betriebs des Sicherheitskonzepts stellt a.s.k. Datenschutz auf Wunsch auch den exter­nen Informationssicherheitsbeauftragten (ISB) für baye­ri­sche Kommunen. Regelmäßige Vor‐Ort‐Tätigkeiten  (mind. 1 x Monat) und die Zusammenarbeit über Videokonferenzen, voll­ver­schlüs­sel­te Projektplattform, Email und Telefon stel­len den Betrieb des Konzepts und damit die Erhaltung der kom­mu­na­len Investitionen in die­ses Thema sicher.

Wer sich mit dem Thema Hacking zum ersten Mal befasst, stößt schnell auf Beiträge zu Tools wie nmap, Wireshark oder gleich das fer­tig kon­fi­gu­rier­ter Hacking‐Betriebssystem zum Download Kali‐Linux. Doch dabei muss man eigent­lich gar nicht so tief in die Materie ein­drin­gen, steht der Sniffer zum Datenschnüffeln doch bereits in vie­len Haushalten und Organisationen zum Einsatz bereit. Die Rede ist von der AVM Fritz!Box!

Glauben Sie nicht? Sie haben eine Fritz!Box in Ihrem Netzwerk? Dann rufen Sie doch ein­fach mal die fol­gen­de URL auf — http://fritz.box/html/capture.html und stau­nen Sie. Zuerst sieht alles aus wie die nor­ma­le Anmelde‐Oberfläche für das Konfigurationsinterface Ihrer Fritz!Box. Sobald Sie sich mit Administrator‐Rechten in dem Login ange­mel­det haben, erscheint eine nicht im Anwender‐Handbuch der Fritz!Box beschrie­be­ne Funktion samt Oberfläche. Willkommen beim inter­nen Schnüffeltool für Ihr Netzwerk!

Screenshot der Capture-Oberfläche der Fritz!Box

Screenshot Capture Oberfläche der Fritz!Box

Jetzt wäh­len Sie nur noch die Schnittstelle aus (die Auswahlmöglichkeiten enden nicht mit die­sem Screenshot, scrol­len Sie ein­fach mal wei­ter nach unten) und drücken den “Start”-Button. Wenn Sie der Meinung sind, genü­gend Informationen an die­ser Schnittstelle mit­ge­schnit­ten zu haben, klicken Sie auf “Stopp” und laden den Mitschnitt auf Ihr Endgerät her­un­ter. Nun reicht ein nor­ma­ler Textbetrachter — oder kom­for­ta­bler der Import in ein Tool wie Wireshark — und Sie haben die kom­plet­te Netzwerkkommunikation im Klartext vor sich — inklu­si­ve genutz­ter Zugangsdaten und Passwörter. Im Klartext, sofern kei­ne ver­schlüs­sel­ten Netzwerkverbindungen wie https oder ande­re für die Übertragung genutzt wur­den. Zahlreiche Programme und Apps, aber auch nicht sen­si­bi­li­sier­te Anwender über­tra­gen Daten unver­schlüs­selt über das Netzwerk. Nutzern soll­te man stets raten, aus­schließ­lich https‐gesicherte Verbindungen im Browser zu nut­zen.

Geht nur mit den gro­ßen Fritz!Boxen von AVM? EIn Trugschluss. Wir haben meh­re­re Modelle begin­nend von der 4020 (ohne DSL Modem) bis hin zur 7490 gete­stet, es geht!

Glauben Sie nicht? Machen Sie doch ein­fach selbst den Test. Aktivieren Sie das Mitschneiden wie oben beschrie­ben an der Schnittstelle, an der Sie mit Ihrem aktu­el­len Gerät ange­schlos­sen sind. Öffnen Sie wei­te­re Browserfenster, sur­fen Sie ein wenig, nut­zen Sie Anmelde‐ oder Registrierungsformulare. Dann zurück zur Fritz!Box-Oberfläche, Stopp, Download und Textbetrachter anwer­fen.

Normalerweise kann die Funktion nur von inner­halb eines Netzwerks auf­ge­ru­fen wer­den. Sollte jedoch der Web‐Zugang zu Ihrer Fritz!Box akti­viert und unsi­cher sein oder ein VPN‐Zugang in Ihr inter­nes Netz kom­pro­mit­tiert sein, dann steht die Anmelde‐Oberfläche auch ande­ren, eher uner­wünsch­ten Nutzern zur Verfügung. Eigentlich selbst­ver­ständ­lich, die Anmelde‐Oberfläche der Fritz!Box mit einem star­ken Passwort zu sichern.

Eigentlich ist die­se Funktion zur Fehleranalyse inte­griert. Wie so oft bei sol­chen Funktionen, kann die­se jedoch auch zu bös­ar­ti­gen Zwecken genutzt wer­den. Sobald Zugang zur Oberfläche der Fritz!Box besteht, ist ein Mitschneiden des Datenverkehrs ALLER ange­schlos­se­nen Geräte mög­lich.

Wer sich nun frisch ans Werk macht, egal ob in sei­ner Behörde, sei­nem Unternehmen oder daheim im Privatnetzwerk, dem sei der Blick auf die Paragraphen 202a, 202b, 202c (Vorbereiten des Ausspähens und Abfangens von Daten), 303a sowie 303b Strafgesetzbuch nahe­ge­legt. Es han­delt sich hier um kein Kavaliersdelikt, son­dern um eine Straftat. Und das gilt auch für den Einsatz im hei­mi­schen pri­va­ten Netzwerk ohne Kenntnis der ande­ren Familienmitglieder / Nutzer. Auch im dienst­li­chen / geschäft­li­chen Umfeld soll­te der Einsatz zuvor mit der Behörden‐/Unternehmensleitung, sowie dem Personal‐/Betriebsrat und dem Datenschutz‐ sowie dem Informationssicherheitsbeauftragten abge­klärt wer­den. Der Einsatz durch einen Mitarbeiter außer­halb der IT und ohne Abstimmung ver­bie­tet sich von selbst.

Update vom 18.02.2018:

AVM hat sich bei uns auf­grund die­ses Artikels gemel­det und betont, die­se Funktion sei für Support‐ und Diagnose‐Zwecke gedacht. Das wird auch nicht bestrit­ten. Leider hat die Medaille zwei Seiten und so kann die­se Funktion auch miß­bräuch­lich zum Einsatz kom­men.

Tipps:

  • Fritz!Box stets mit siche­rem Passwort schüt­zen.
  • Prüfen, ob alle Anwendungen im inter­nen Netz ver­schlüs­selt kom­mu­ni­zie­ren. Wenn nicht, ent­spre­chend kon­fi­gu­rie­ren. Denn nur unver­schlüs­sel­ter Netzverkehr kann im Klartext mit­ge­le­sen wer­den.
  • Anwender dafür sen­si­bi­li­sie­ren, aus­schließ­lich Programme und Apps zu nut­zen, die Verschlüsselung aktiv anbie­ten und nut­zen. Dabei auch das Thema SSL‐Verschlüsselung zum siche­ren Aufruf von Webseiten (https) nicht ver­ges­sen.

Es war nicht unse­re Absicht, dem Hersteller die Absicht zu unter­stel­len, hier ein Spionage‐Tool in Netzwerke ein­zu­schleu­sen. Die Funktion kann jedoch miß­bräuch­lich ver­wen­det wer­den.

Immer wie­der ein Thema bei Veranstaltungen oder auch Webinaren zur Informationssicherheit ist die Frage “Muss ich einen Informationssicherheitsbeauftragten bestel­len?” oder auch “Ist denn ein Informationssicherheitsbeauftragter in mei­ner Organisation not­wen­dig?”.

Wieso Sie an der Bestellung eines Informationssicherheitsbeauftragten (oder wie auch immer Sie die­se Funktion in Ihrer Organisation benen­nen) nicht vor­bei­kom­men und wie die­ser Ihre Investitionen (Zeit und Geld) in Informationssicherheit absi­chert, zei­gen wir Ihnen in unse­rem aktu­el­len Webvideo zum Thema

Der Informationssicherheitsbeauftragte

oder

Einer muss es ja am Laufen hal­ten

auf unse­rem Youtube‐Channel.

Dabei beleuch­ten wir die Notwendigkeiten einer sol­chen Funktion z.B. auf Basis des BayEGovG für baye­ri­sche Kommunen aber auch für Unternehmen abge­lei­tet aus der EU‐Datenschutzgrundverordnung (EU‐DSGVO).

 

Letzte Chance, heu­te am Donnerstag, den  23. März 2017, von 10:00 — 11:00 MEZ: Kostenfreies Webinar zur Einführung und zum Betrieb eines Informationssicherheitskonzepts für Kommunen nach Art. 8 BayEGovG. Auch für klei­ne­re Unternehmen geeig­net im Hinblick auf die Änderungen zur Informationssicherheit im Rahmen der EU‐DSGVO.

Hier geht es zur Anmeldung.

Einführung und Betrieb eines Informationssicherheitskonzepts nach Artikel 8 BayEGovG sind für baye­ri­sche Kommunen gesetz­li­che Pflicht (sie­he auch unser Webvideo hier­zu). Und mit der erst­ma­li­gen Einführung ist es noch lan­ge nicht getan. Im Anschluß muss eine ver­ant­wort­li­che Person das Thema Informationssicherheit auch in der Zukunft kom­pe­tent betreu­en. Die Anforderungen sind nicht ohne:

  • Vorgehensweisen zur Identifikation von (neu­en und bestehen­den) Risiken,
  • Vorgehensweisen zur Planung von neu­en Maßnahmen zur Beseitigung oder Minimierung die­ser Risiken,
  • Vorgehensweisen zur kon­ti­nu­ier­li­chen Beschäftigung mit dem Thema in der Organisation („Sicherheitskultur“),
  • Regeln, Richtlinien und Anweisungen für die Organisation und die Mitarbeiter zur Umsetzung und zum Betrieb des Konzepts,
  • Maßnahmen zur kon­ti­nu­ier­li­chen Schulung und Sensibilisierung für Informationssicherheit,
  • Verantwortliche Personen mit aus­rei­chend Ausbildung, Zeit und Mitteln zum Betrieb des Sicherheitskonzepts (Informationssicherheitsbeauftragter).

Bei den eh schon viel­fäl­ti­gen und zahl­rei­chen Aufgaben einer Kommune stellt sich schnell die Frage: “Wer soll das denn noch machen?” a.s.k. Datenschutz hat eine Lösung für Sie!

Wir mit unse­ren exter­nen Informationssicherheitsbeauftragten für baye­ri­sche Kommunen:

  • Zertifizierte Berater betreu­en Sie ab sofort und unter­stüt­zen Sie mit prag­ma­ti­schen Lösungen.
  • Vor‐Ort‐Tätigkeiten in Kombination mit moder­nen Techniken der Zusammenarbeit wie Videokonferenz, Projektplattform und Online‐Schulungen für kom­pe­ten­te und zuver­läs­si­ge Betreuung.
  • Eine Leistung für Einzelkommunen, meh­re­re Kommunen im Rahmen inter­kom­mu­na­ler Zusammenarbeit und Landkreise.
  • Transparente Monatspauschalen zu fai­ren Tarifen.

Auf Wunsch hel­fen wir aber auch bereits bei der Einführung eines Informationssicherheitskonzepts. So haben wir von a.s.k. Datenschutz die Ihnen viel­leicht bereits bekann­te “Arbeitshilfe zur Erstellung eines Informationssicherheitskonzepts nach Art. 8 BayEGovG”  für die Innovationsstiftung Bayerische Kommune und die baye­ri­schen kom­mu­na­len Spitzenverbände ent­wickelt. Weiterhin ist Herr Kuhrau ISIS12‐Berater mit Zusatz Kommunalverwaltung sowie Dozent an der Bayerischen Verwaltungsschule für den Kurs “Zertifizierter Informationssicherheitsbeauftragter (BVS)”. In der Vergangenheit haben wir eben­falls Projekte zur Einführung von Informationssicherheit nach BSI IT‐Grundschutz betreut.

Gerne ste­hen wir Ihnen mit unse­rem Team kom­pe­tent zur Seite.

Flyer und Angebot Externer Informationssicherheitsbeauftragter Kommunen
Flyer und Angebot Externer Informationssicherheitsbeauftragter Kommunen
1702ask_Flyer_ExtISB_DIN-A4_DD.pdf
Version: 1.0
252.6 KiB
532 Downloads
Details
ISIS12 Logo

Bayern unter­stützt Kommunen beim Schutz gegen Cyberangriffe und Datendiebstahl — Weitere 1,4 Millionen Euro für Management‐System zur Informationssicherheit “ISIS12” in 2018

Das Bayerische Staatsministerium des Innern, für Bau und Verkehr hat in sei­ner Pressemitteilung am 09.03.2017 infor­miert, dass nach dem ersten Fördermittelprogramm nun auch in 2018 erneut Informationssicherheit in baye­ri­schen Kommunen finan­zi­ell (mit bis zu 1,4 Millionen Euro) unter­stützt wird.

 „Bürger und Unternehmen müs­sen dar­auf ver­trau­en kön­nen, dass ihre Daten bei der Verwaltung gut und sicher auf­ge­ho­ben sind. Das Modell „ISIS12“, das von einem Netzwerk des so genann­ten Bayerischen IT‐Sicherheitsclusters e. V. in Regensburg ent­wickelt wur­de, bie­tet vor allem klei­ne­ren und mit­tel­gro­ßen Kommunalverwaltungen einen wirk­sa­men wie auch prak­ti­ka­blen Schutz vor Cyberangriffen und Datendiebstahl.“

Bayerische Kommunen, die im vor­he­ri­gen Fördermittelprogramm nicht zum Zuge gekom­men sind, haben nun erneut die Chance, eine Unterstützung von bis zu 15.000 Euro für die Einführung des Informationssicherheitsmanagementsystems (ISMS) ISIS12 zu erhal­ten. Anträge kön­nen auf die­ser Webseite des Sicherheitsclusters elek­tro­nisch gestellt wer­den. Weitere Informationen zur Umsetzung von ISIS12 in Kommunen und Fördermitteln fin­den Sie hier.

Sofern Sie  für die Umsetzung einen zer­ti­fi­zier­ten ISIS12‐Berater mit Zusatz Kommune suchen, Herr Sascha Kuhrau von a.s.k. Datenschutz erfüllt die­se Anforderungen.

Übrigens wur­de ISIS12 ursprüng­lich für klei­ne und mitt­le­re Unternehmen ent­wickelt. Im Hinblick auf die EU‐DSGVO und deren Anforderungen an Informationssicherheit lohnt sich ein Blick auf ISIS12 auch für Unternehmen. Informationssicherheit wird auch für die­se ab Mai 2018 ver­pflich­tend gefor­dert.

Müssen baye­ri­sche Kommunen ein Informationssicherheitskonzept ein­füh­ren?”, die­se Frage wird nach wie vor oft bei Seminaren, Veranstaltungen, tele­fo­nisch und per Mail an uns her­an­ge­tra­gen. Wir haben dies zum Anlass genom­men, hier­zu ein Webvideo zu erstel­len, in dem wir auf die Notwendigkeit und recht­li­chen Grundlagen für die Einführung und den Betrieb eines Informationssicherheitskonzepts ver­tie­fend ein­ge­hen. Denn die Antwort auf die Frage kann nur lau­ten “Ja!”. Wer es nicht glaubt, ist herz­lich dazu ein­ge­la­den, sich in unse­rem Video davon über­zeu­gen zu las­sen.

Sie fin­den das Webvideo ein­ge­bet­tet hier bei uns im Blog oder auf unse­rem neu­en Youtube‐Kanal.

Veranstaltungen

ZIELGRUPPE

IT‐Leiter/‐innen, Netz‐ und Systemadministratoren/‐innen, Security Manager und alle im Sicherheits‐ und Risikomanagement, Datenschutzbeauftragte, ange­hen­de oder bereits bestell­te Informationssicherheitsbeauftragte

VORAUSSETZUNG

Besuch des theo­re­ti­schen Moduls der Weiterbildung zum/zur Informationssicherheitsbeauftragten (BVS)

IHR NUTZEN

Zusammen mit dem theo­re­ti­schen Modul sind Sie opti­mal auf das Management der Informationssicherheit vor­be­rei­tet und erhal­ten das not­wen­di­ge Wissen und die unver­zicht­ba­ren Werkzeuge, um ange­mes­se­ne Informationssicherheit zu eta­blie­ren. Daneben sind Sie in der Lage not­wen­di­ge Sicherheitsmaßnahmen so mit­ein­an­der zu ver­zah­nen, dass mit einem mög­lichst gerin­gen Aufwand das not­wen­di­ge Schutzniveau defi­niert und auch erreicht wird.

INHALT

Besprechung und Diskussion der Hausaufgaben aus dem theo­re­ti­schen Modul // Technische und orga­ni­sa­to­ri­sche Maßnahmen im Detail als Schutzmaßnahmen der Informationssicherheit in der Praxis // Der Faktor Mensch — Mitarbeiter/‐in als ele­men­ta­rer Baustein der Informationssicherheit // Outsourcing (Auftragsdatenverarbeitung) // Fallstudie(n)

HINWEIS

Das prak­ti­sche Modul endet mit einer Zertifikatsprüfung. Ohne Teilnahme an der Prüfung erhal­ten Sie auf jeden Fall eine Teilnahmebestätigung.

Modul II kann nur in Verbindung mit Modul I (Grundlagen) gebucht und besucht wer­den.

Ihr Dozent: Herr Sascha Kuhrau, a.s.k. Datenschutz