Nürnberger Steuergespräche 2. Juli 2015 Datenschutz und Datensicherheit Dr. Robert Mayr DATEV eG Vorstand interne Datenverarbeitung, Produktion, Finanzen undSeite Einkauf © DATEV eG, alle Rechte vorbehalten DATEV eG steht für… Digitalisierung Datenschutz und IT-Sicherheit Nachhaltigkeit & Genossenschaft Partner des Mittelstands Dr. Robert Mayr 02.07.2015 Seite 2 © DATEV eG, alle Rechte vorbehalten Vernetzung und Digitalisierung Zunehmender Einfluss auf Wirtschaft und Gesellschaft. Wettbewerbsfähigkeit Leben ohne das Internet in der heutigen Gesellschaft nicht mehr vorstellbar Risiken: Datenschutz & Datensicherheit Seite 3 © DATEV eG, alle Rechte vorbehalten Was ist Datenschutz und Datensicherheit? Dr. Robert Mayr 02.07.2015 Seite 4 © DATEV eG, alle Rechte vorbehalten Datenschutz Unter Datenschutz ist die gesellschaftspolitische Aufgabe zu sehen, den Menschen vor Missbrauch seiner Individualdaten zu schützen. Darunter fallen Maßnahmen, die dazu geeignet sind, zu verhindern, dass personenbezogene Daten von Unbefugten eingesehen werden, entwendet oder manipuliert werden können. Datensicherheit Die Datensicherheit umfasst alle Maßnahmen, die notwendig sind, um die Datenverarbeitung selbst vor Missbrauch, Fehlern und Störungen jeder Art zu schützen. Die Datensicherheit zielt somit primär auf Verlust oder ungewollte Veränderung der Datenbestände durch technische und/oder Umwelteinflüsse (z. B. Rechnerausfall, unlesbare Speichermedien, Brandschäden, fehlerhafte Berechnungen durch beschädigte Seite Programme, Datenmanipulation, Datenabzug). © DATEV eG, alle Rechte vorbehalten Warum Datenschutz & Datensicherheit? Eigeninteresse Gesetze und Vorschriften Grundgesetz Bundesdatenschutzgesetz Vertrauensbildung Europäische Grundrechtecharta Bereichsspezifische Datenschutzgesetze (z. B. Telekommunikationsgesetz, Telemediengesetz) Wettbewerbsvorteil Berufsrechtliche Verschwiegenheitspflichten (z. B. Steuerberatungsgesetz) Aktuelle Rechtsprechung Qualitätsanspruch Interne Regelungen (z. B. Betriebsvereinbarungen, Richtlinien) Vertragliche Verpflichtung Dr. Robert Mayr 02.07.2015 Seite 6 © DATEV eG, alle Rechte vorbehalten Cyber-Kriminalität Beispiel: Artikel DW „Cyber-Attacken treffen jede zweite Firma“ http://www.dw.de/cyber-attacken-treffen-jede-zweitefirma/a-18387849 Etwa die Hälfte aller Unternehmen in Deutschland ist in den vergangenen zwei Jahren Opfer von digitaler Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden. Finanzieller Schaden ca. 51 Milliarden Euro pro Jahr Dr. Robert Mayr 02.07.2015 Seite 7 © DATEV eG, alle Rechte vorbehalten Häufigste Delikte Diebstahl von IT- und Kommunikationsgeräten Social Engineering Diebstahl sensibler elektronischer Dokumente bzw. Daten Sabotage von IT-Systemen oder Betriebsabläufen Ausspähung der elektronischen Kommunikation Beispiel: Artikel Wirtschaftswoche Nr. 24 Seite 78 „Raubzüge im ICE“ Dr. Robert Mayr 02.07.2015 Seite 8 © DATEV eG, alle Rechte vorbehalten Auch der Bundestag wurde zum Opfer… Beispiel: Artikel Heise „Cyber-Angriff auf Bundestag bleibt außer Kontrolle“ http://www.heise.de/newsticker/meldung/Cyber-Angriffauf-Bundestag-bleibt-ausser-Kontrolle-2662336.html Hacker-Attacke über mehrere Wochen Angreifer hatten sich Administrator-Rechte verschafft Cyberattacke so massiv, dass ein völlig neues IT-Netzwerk notwendig Hardwaretausch verursacht Kosten in Millionenhöhe Dr. Robert Mayr 02.07.2015 Seite 9 © DATEV eG, alle Rechte vorbehalten Selbst Sicherheitsexperten bleiben nicht verschont… Beispiel: Artikel Heise „Spionage-Trojaner wütet im Netzwerk von Kaspersky“ http://www.heise.de/security/meldung/Spionage-Trojanerwuetete-im-Netzwerk-von-Kaspersky-2687375.html Sicherheitsforscher selbst zum Opfer eines Hacker-Angriffs geworden Mitarbeiter auf Trojaner-Mail reingefallen Trojaner trieb über mehrere Monate unentdeckt sein Unwesen Dr. Robert Mayr 02.07.2015 Seite 10 © DATEV eG, alle Rechte vorbehalten Wer sind die Täter? (1) Aktuelle oder ehemalige Mitarbeiter (2) Unternehmerisches Umfeld: Wettbewerber, Lieferanten, … (3) Hobby-Hacker (4) Organisierte Bandenkriminalität (5) Ausländische Geheimdienste (6) unbekannt Dr. Robert Mayr 02.07.2015 Seite 11 © DATEV eG, alle Rechte vorbehalten Reaktion von Betroffenen Nur jedes fünfte Unternehmen informierte staatlichen Stellen. Warum? Angst vor negativen Konsequenzen, z. B. Sicherung von Beweismittel Hoher Aufwand Sorge vor Imageschaden, wenn Vorfall öffentlich wird Täter werden ohnehin nicht geschnappt Dr. Robert Mayr 02.07.2015 Seite 12 © DATEV eG, alle Rechte vorbehalten Informationspflicht bei Datenpannen § 42a BDSG Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten Meldepflicht, wenn personenbezogene Daten, die einem Berufsgeheimnis unterliegen oder in denen Bankkontoinformationen enthalten sind (…) unberechtigten Dritten zur Kenntnis gelangen und schwerwiegende Beeinträchtigungen der Rechte oder schutzwürdigen Interessen der Betroffenen drohen. § §§ § §§§ Dr. Robert Mayr 02.07.2015 Seite 13 © DATEV eG, alle Rechte vorbehalten Informationspflicht bei Datenpannen Was ist zu tun nach einer Datenpanne gemäß § 42a BDSG? „unverzügliche“ Mitteilung an zuständige Aufsichtsbehörde und Betroffene (wenn Maßnahmen zur Sicherung der Daten ergriffen) Benachrichtigung der Betroffenen Was ist passiert? Maßnahmenempfehlungen zur Minderung nachteiliger Folgen Benachrichtigung der zuständigen Aufsichtsbehörde zusätzlich: Information über mögliche nachteilige Folgen und ergriffene Maßnahmen Dr. Robert Mayr 02.07.2015 Seite 14 © DATEV eG, alle Rechte vorbehalten Die Bundesregierung verschärft das IT-Sicherheitsgesetz Beispiel: Worum geht es beim IT-Sicherheitsgesetz? - Artikel Haufe Wer muss sich an die neuen Regeln halten?-_ „Antworten auf die 4 wichtigsten Fragen“ Wer befürwortet das Gesetz? Welche Kritik gibt es an dem Gesetz? - http://www.haufe.de/compliance/recht-politik/it-sicherheitsgesetzantworten-auf-die-4-wichtigsten-fragen_230132_308242.html Dr. Robert Mayr 02.07.2015 Seite 15 © DATEV eG, alle Rechte vorbehalten Maßnahmen zur Einhaltung von Datenschutz & Datensicherheit Grundschutz Virenscanner, Firewalls und regelmäßige Updates sämtlicher Programme Spezielle Angriffserkennungssysteme Verschlüsselung sensibler Daten Organisatorische Sicherheit Regelungen, wer im internen Netzwerk auf welche Daten zugreifen darf und wer Zutritt zu sensiblen Bereichen eines Unternehmens bekommt Notfallmanagement zur Reaktion im Krisenfall Datenschutzbeauftragter (ab 10 Beschäftigten) 1x1 der Sicherheit Personelle Sicherheit Schulungen der Mitarbeiter Sicherheitsüberprüfungen von Bewerbern Richtige Verwendung von Zugangsdaten Korrekter Umgang mit externen Datenträgern Verhaltensregeln auf Reisen Sicherheitszertifizierungen Seite © DATEV eG, alle Rechte vorbehalten Outsourcing Chancen! Entlastung von Kapazitäten Arbeiten mit aktuellen Programmversionen Sicherheit für Ihr DV-System Systemstabilität und Betriebssicherheit Umfassende Betreuung durch ITSpezialisten Automatische und verlässliche Sicherung von Datenbeständen Dr. Robert Mayr 02.07.2015 Seite 17 © DATEV eG, alle Rechte vorbehalten § §§ §§ Wie ist die Zusammenarbeit geregelt? Mandant Auftragsdatenverarbeitung Steuerberater als Auftraggeber Dienstleister Verantwortung für Rechtmäßigkeit „Weisung“ Handelt nach Anweisung „verlängerter Arm“ z. B. DATEV Dr. Robert Mayr 02.07.2015 Seite 18 © DATEV eG, alle Rechte vorbehalten Outsourcing Risiken! unklare Haftungsbedingungen Welche Haftungsbedingungen bietet mir der Dienstleister? offene Fragen beim Urheberrecht z. B. Lizenzen zur Nutzung Sorgen bei Thema Datenschutz „Daten nicht mehr in meiner Hand“ Risiko eines Datenverlustes oder einer unbefugten Offenbarung von Daten an Dritte „Daten nicht mehr in meiner Hand“ Dr. Robert Mayr Standort des Anbieters Wo werden meine Daten bearbeitet? 02.07.2015 Seite 19 © DATEV eG, alle Rechte vorbehalten Standort des Outsourcing-Dienstleisters Beim Outsourcing ist die Auftragsdatenverarbeitung vertraglich nach § 11 BDSG geregelt. Innerhalb der Europäischen Union besteht datenschutzrechtlich ein einheitliches Datenschutzniveau. Werden beim Cloud Computing die vertragsgegenständlichen Leistungen über mehrere verteilt stehende Systeme erbracht, sind auch die Standorte der Verarbeitung vertraglich zu vereinbaren. z. B. Zugriff von US-Behörden auf Daten Dr. Robert Mayr 02.07.2015 Seite 20 © DATEV eG, alle Rechte vorbehalten Datenschutz- und Datensicherheitsstrategie am Beispiel DATEV Dr. Robert Mayr 02.07.2015 Seite 21 © DATEV eG, alle Rechte vorbehalten Angemessener Schutz mit Vertraulichkeitsklassen VK 1 VK 2 VK 3 Auftragsdaten Kundendaten mit Berufsgeheimnis Vertragliche Sondervereinbarungen Geheime Informationen Einfache Vertraulichkeit Gehobene Vertraulichkeit Höchste Vertraulichkeit Dr. Robert Mayr 02.07.2015 Seite 22 © DATEV eG, alle Rechte vorbehalten Säulen eines modernen Sicherheitskonzepts Reaktion Detektion Protektion IT-Security Dr. Robert Mayr 02.07.2015 Seite 23 © DATEV eG, alle Rechte vorbehalten Protektion Schutz durch Technik Verteilte Rechenzentren Backups RZ-Trassenverschlüsselung Firewalls Smartcard Service-TAN Patchmanagement Mehrfach-Virenscan … Schutz durch Organisation Mitarbeiter-Schulungen Verpflichtendes Selbstlernangebote Organisatorische Verpflichtungen Administratorenverpflichtung Auskunftsrichtlinie Organisationshandbuch Datenschutz und Sicherheit Lieferanten-Audits Dr. Robert Mayr 02.07.2015 Seite 24 © DATEV eG, alle Rechte vorbehalten Detektion Schutz durch Technik Nachgelagerte Virenscans Internet-Monitoring (DropZones, Social Media, Presse) E-Mail-Radar Schutz durch Organisation Verdachtsbezogene Auswertungen von Logdaten Sensible Mitarbeiter Dr. Robert Mayr 02.07.2015 Seite 25 © DATEV eG, alle Rechte vorbehalten Reaktion Schutz durch Technik Incident Response Prozess Wiederanlauf-Prozeduren Sperrprozesse für Accounts & Systeme Schutz durch Organisation Krisenportal/Krisenstab Untersuchung zu Aufbau eines zentralen Security Operation Center in 2015 Dr. Robert Mayr 02.07.2015 Seite 26 © DATEV eG, alle Rechte vorbehalten Auswahl eines Cloud-Dienste-Anbieters Worauf Sie achten sollten… o Abschluss eines BDSG-konformen Auftragsdatenverarbeitungsvertrags o Nachweis der Einhaltung der vereinbarten technischen und organisatorischen Maßnahmen o Kontrolle nach der Auftragsvergabe, z. B. über Zertifikate Dr. Robert Mayr 02.07.2015 Seite 27 © DATEV eG, alle Rechte vorbehalten Seite © DATEV eG, alle Rechte vorbehalten
© Copyright 2025 ExpyDoc
