Prinzipiell sollten beim Arbeiten im Home-Office die identischen Sicherheitsregeln und -regelungen gelten wie im Unternehmen. Informationssicherheit wird immer durch das schwächste Glied in der Sicherheitskette gefährdet. Speziell in der aktuellen Corona-Krise wird versucht die Situation für Cybercrime-Angriffe auf allen Ebenen auszunutzen. Unternehmen, Home-Office Mitarbeiter und Administratoren müssen ihren Beitrag leisten, um das Sicherheitsniveau aufrecht zu erhalten. Informationssicherheitsbeauftragte und Datenschutzbeauftragte sind im Falle einer Krise besonders gefordert die Verfügbarkeit und Vertraulichkeit von IT-Systemen und Daten durch entsprechende Maßnahmen zu gewährleisten.
Informationssicherheit
Betrieb von Rechnern mit veralteten Betriebssystemen
Rechner für deren Betriebssysteme keine Updates und Sicherheits-Patches mehr vom Hersteller zur Verfügung gestellt bekommen müssen aus Sicherheitsgründen gesondert behandelt werden (Windows XP, Windows 7, Windows Server 2003, 2008 …). Bei Sicherheitsvorfällen, die auf veraltetet Betriebssysteme zurückzuführen sind, liegt ein Mitverschulden der verantwortlichen Stelle vor. Die Konsequenzen können hier sehr weitreichend sein.
Nieder mit dem Passwortwahn – oder ist „lk54_:,/8Wq-LISs763“ ein gutes Passwort?
Die Debatte ist alt – was macht ein gutes und somit sicheres Passwort aus? In der Regel wird auf die Notwendigkeit komplexer Passwortregeln verwiesen, angereichert mit dem regelmäßigen Wechsel des Passworts. Ist dieses Paradigma wirklich angebracht und sorgt für sichere Authentisierung? Wir vertreten seit längerer Zeit einen diametralen Standpunkt, dass zu komplexe Passwörter und häufige erzwungene Passwortwechsel die Sicherheit schwächen, da die Passwörter unweigerlich notiert bzw. ungeschützt abgespeichert werden.
DS-GVO: Zertifizierung (Art. 42)
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) veröffentlicht Beiträge zur Umsetzung der am 25.05.2018 wirksamen Datenschutz-Grundverordnung (DS-GVO). Hierzu werden relevante Themenkomplexe erörtert. Dies erfolgt im Sinne einer Interpretation bzw. Erörterung uns stellt keine verbindliche Auffassung der Aufsichtsbehörde dar.
2 Zertifizierung (Art. 42)
Die in der DS-GVO vorgesehene Zertifizierung ist eine Neuerung zum BDSG. Im Erwägungsgrund 100 zur DS-GVO wird dazu ausgeführt:
„Um die Transparenz zu erhöhen und die Einhaltung dieser Verordnung zu verbessern, sollte angeregt werden, dass Zertifizierungsverfahren sowie Datenschutzsiegel und -prüfzeichen eingeführt werden, die den betroffenen Personen einen raschen Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen ermöglichen.“ (ErwGr 100 DS-GVO)