Prüfung und Beratung zur IT-Sicherheit
Laut Allianz Risk Barometer 2020 sind Cyber-Vorfälle für Unternehmen mittlerweile weltweit das größte Geschäftsrisiko. Und zwar nicht etwa nur für Großkonzerne, sondern auch für kleine und mittlere Unternehmen (KMU). Bereits zum eigenen Schutz sollte sich deshalb heutzutage selbst jedes KMU mit IT-Sicherheit befassen. Zudem verpflichtet auch das Datenschutzrecht jedes Unternehmen, geeignete Maßnahmen zum Schutz der von ihm verarbeiteten personenbezogenen Daten einzusetzen.
Auf Grundlage des Standards „Securepoint Unified Security Cert+“ prüfen wir für unsere Kunden die Sicherheit von deren IT-Systemen. Im Falle von Handlungsbedarf beraten und begleiten wir bei der Planung und Umsetzung der erforderlichen Maßnahmen. Auf Wunsch kann der erreichte Schutzstandard auch zertifiziert werden.
Welche Pflichten bestehen zur Datensicherheit?
Die Datenschutz-Grundverordnung schreibt vor, dass bei der Datenverarbeitung geeignete technische und organisatorische Maßnahmen einzusetzen sind. Diese müssen wirksamen Schutz für die verarbeiteten personenbezogenen Daten bieten, vgl. Art. 24 , Art. 25 und Art. 32 DSGVO. Andere Gesetze sehen ähnliche Pflichten vor. So müssen etwa auch digitale Steuerunterlagen gegen Verlust und Zerstörung geschützt werden.
Was bedeutet "wirksamer Schutz" konkret?
Das ist vom konkreten Einzelfall abhängig. In der DSGVO gilt eine risikobasierte Betrachtung: Je höher das von der Datenverarbeitung ausgehende Risiko, desto "stärker" müssen die Schutzmaßnahmen sein. Um die konkret erforderlichen Maßnahmen für einen wirksamen Schutz festlegen zu können, muss also vorab immer erst ermittelt werden, wie hoch das mit der eingesetzten Datenverarbeitung verbundene Risiko ist.
Wonach beurteilt sich das Risiko ?
Wie riskant die jeweils durchgeführte Datenverarbeitung für die davon betroffenen Personen und deren Daten ist, orientiert sich einerseits am Umfang der Verarbeitung: Je mehr Daten und je sensibler diese sind, desto höher das von der Datenverarbeitung generell ausgehende Risiko. Daneben sind auch die Art der Verarbeitung, die dabei eingesetzten Techniken, sowie das Interesse Dritter an den Daten von Bedeutung für die Risikobewertung.
Gibt es feste Mindestvorgaben?
Nein. Welche Maßnahmen der Datensicherheit wirksamen Schutz bieten, hängt vom aktuellen Stand der Technik ab. Dieser entwickelt sich stetig weiter. Deshalb lassen sich Schutzmaßnahmen nicht statisch durch Gesetz definieren. Allerdings existieren technische Standards, die auf Grundlage des aktuellen Stands der Technik regelmäßig fortgeschieben werden. Sie können Orientierung dafür bieten, was für einen wirksamen Schutz erforderlich ist.
...Datenschutz
einfach machen
Was ist Unified Security Cert+ ?
Unified Security Cert+ ist ein neuer Schutz-Standard für IT-Sicherheit. Entwickelt von der Securepoint GmbH ist er explizit für die Sicherheitsbedürfnisse von kleinen und mittleren Unternehmen zugeschnitten. Der Standard definiert verschiedene IT-Bereiche und für diese jeweils konkrete Sicherheits-Vorgaben. Jeder Bereich wird anhand des Vorgabenkatalogs geprüft und bewertet. Mit dem so erhaltenen Schutz-Status wird ein Maßnahmenkatalog festgelegt, nach dessen Umsetzung eine erfolgreiche Zertifizierung bestätigt wird.
Was bringt Unified Security Cert+?
Einzelne Schutzmaßnahmen bieten Unternehmen keine umfassende IT-Sicherheit. Bisher vorhandene Standards wie der „BSI Grundschutz“ hingegen sind für KMU zu teuer und zu komplex. Unified Security Cert+ hilft KMU aus diesem Dilemma: Mit überschaubarem Aufwand können KMU ihr IT-System umfassend vor Cyber-Risiken schützen. Durch den modularen Aufbau ist eine nur teilweise oder auch schrittweise Umsetzung im Unternehmen möglich. Die abschließende Zertifizierung liefert einen einfachen, transparenten Nachweis des erreichten Sicherheits-Levels.