WKO_Sicherheitshandbuch

Weitere Magazine

Empfehlungen

Info

IT <strong>Sicherheitshandbuch</strong> für KMU Unternehmen, die den Umstieg auf Cloud Computing planen, müssen sich des Risikos bewusst sein, dass in der Cloud die Daten und IT-Ressourcen geographisch verteilt sind. Cloud-Nutzerinnen und -Nutzer haben daher oft keine Ahnung, wo sich ihre Daten befinden und ihre Dienstleistungen erbracht werden. Das Ausmaß der Gefährdungspotenziale ist dabei von dem in Anspruch genommenen Servicemodell abhängig. V.a. jetzt, nach der Entscheidung des Europäischen Gerichtshofs (EuGH) in der Sache Max Schrems gegen Facebook Irland, in welcher der EuGH das Safe Harbor-Abkommen zwischen der Europäischen Union und den USA für ungültig erklärt hat und eine Datenübermittlung oder –überlassung ins Ausland noch schwieriger geworden ist, bieten verschiedene Cloud-Anbieter an, Daten ausschließlich in bestimmten Cloud-Rechenzentren innerhalb der EU zu verarbeiten. Auch in diesem Fall besteht keine völlige Sicherheit vor unbefugten Zugriffen, da US-Unternehmen gesetzlich dazu verpflichtet sind, auf richterliche Anordnung die Daten ihrer Kunden an amerikanische Sicherheitsbehörden zu übermitteln. Gerade aber im Fall USA ist nach Ansicht des EuGH durch die NSA Überwachungsmöglichkeiten und durch das Überwachungsprogramm PRISM ein entsprechend adäquater Datenschutz für personenbezogene Daten nicht mehr gegeben. Einerseits werde über den Zweckbindungsgrundsatz der Übermittlung und weitergehenden Verarbeitung hinausgegangen; die amerikanischen Behörden hätten unmittelbaren Zugriff und könnten die personenbezogenen Daten derart verarbeiten, dass dies nicht mehr mit der Zielsetzung der Übermittlung vereinbar und daher unverhältnismäßig sei. Andererseits seien für Betroffene keine administrativen oder gerichtlichen Rechtsmittel verfügbar, dh sie haben weder Zugang zu den sie betreffenden Daten, noch die Möglichkeit deren Richtigstellung oder Löschung zu verlangen. Die EU-Kommission verhandelte mit den USA bereits seit Jahren an einer überarbeiteten Version des Safe Harbor-Abkommens, diese Verhandlungen haben nun natürlich auch das EuGH Urteil zu berücksichtigen und einzubinden. Betroffenen Unternehmen ist nun dringend anzuraten zu prüfen, auf welcher Rechtsgrundlage der Austausch personenbezogener Daten mit den USA derzeit abgewickelt wird um feststellen zu können, ob etwaig ein Fall einer genehmigungsfreie Ausnahme vorliegt (z.B. zur Erfüllung von eindeutig im Interesse des Betroffenen abgeschlossenen Verträgen notwendig, Standardvertragsklausel wurden verwendet – siehe auch www.wko.at – „Datentransfer in die USA: Safe Harbor ungültig“). Weiters erscheint es sinnvoll zu prüfen, ob bereits eine zweifelsfreie Zustimmung zur konkreten Datenübermittlung/-überlassung eingeholt wurde. 20
3. IT-strategische Überlegungen Besonders heikel ist die Verarbeitung der sogenannten sensiblen Daten in einer Cloud-Umgebung: Nach § 4 Z 2 DSG 2000 sind Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben besonders schutzwürdig. Diese Daten unterliegen einem allgemeinen Verwendungsverbot, welches nur durch die in § 9 DSG 2000 taxativ aufgezählten Ausnahmen aufgehoben wird. Abgesehen von diesen Ausnahmen ist die Verarbeitung sensibler Daten nur mit einer ausdrücklichen Zustimmung der Betroffenen möglich. Es stellt sich daher grundsätzlich die Frage, ob sensible Daten überhaupt im Rahmen von Cloud Computing verwendet werden sollen. Aber auch bei nicht personenbezogenen Daten, die einen hohen Grad an Vertraulichkeit und Integrität erfordern – wie z.B. Rezepturen und andere Geschäftsgeheimnisse, Forschungsdaten u.Ä. – , sollten sich Cloud-Nutzerinnen und -Nutzer überlegen, ob diese Daten wirklich in einer Cloud-Umgebung verwendet werden sollen. Die Verarbeitung von personenbezogenen Daten sowie von Daten, die einen hohen Grad an Vertraulichkeit und Integrität erfordern, ist in einer Cloud nur zu verantworten, wenn der Anbieter genau darlegt, wie seine „Internet-Wolke“ im Detail aufgebaut ist. Vor der Nutzung von Cloud-Technologien sollten Unternehmen daher eine Risikoanalyse durchführen. Bei dieser Risikoanalyse sollte – abhängig vom untersuchten Cloud-Dienst – eine Auseinandersetzung mit folgenden Fragen erfolgen: ■ Welche Datenschutz- und Datensicherheitsstandards hat der Cloud-Anbieter umgesetzt? ■ Wie ist die Cloud aufgebaut? Wo, d.h. auf welchen Systemen, in welchen Rechenzentren, in welchen Ländern werden die Daten gespeichert? ■ Sichert der Cloud-Anbieter zu, dass die Daten nicht in Staaten außerhalb der EU (Drittstaaten) gespeichert und verarbeitet werden? ■ Wie gewährleistet der Cloud-Anbieter die Verschlüsselung von Daten (Netzwerk und Speicherung)? 21
Seite 1 und 2: IT Sicherheitshandbuch für kleine
Seite 3 und 4: IT Sicherheitshandbuch für kleine
Seite 5 und 6: Inhalt Inhalt 1. Risikomanagement 8
Seite 7 und 8: Vorwort VORWORT Die Digitalisierung
Seite 9 und 10: Einleitung EINLEITUNG Die Bundesspa
Seite 11 und 12: 1. Risikomanagement Erhebung der Be
Seite 13 und 14: 2. Einhaltung rechtlicher Vorgaben
Seite 21: 3. IT-strategische Überlegungen 3.
Seite 25 und 26: 3. IT-strategische Überlegungen Br
Seite 27 und 28: 3. IT-strategische Überlegungen Wi
Seite 29 und 30: 3. IT-strategische Überlegungen Ko
Seite 31 und 32: 4. Personelle Maßnahmen VERFAHREN
Seite 33 und 34: 4. Personelle Maßnahmen Abwehr von
Seite 35 und 36: 4. Personelle Maßnahmen ■ Papier
Seite 37 und 38: 5. Computersicherheit und Virenschu
Seite 55 und 56: 6. Netzwerksicherheit Häufig biete
Seite 57 und 58: 6. Netzwerksicherheit Alarmsignal z
Seite 59 und 60: 6. Netzwerksicherheit GÄSTE-WLAN V
Seite 61 und 62: 6. Netzwerksicherheit verursachen k
Seite 63 und 64: 6. Netzwerksicherheit ■ Internet-
Seite 65 und 66: 6. Netzwerksicherheit Die Entscheid
Seite 67 und 68: 7. Datensicherung und Notfallvorsor
Seite 73 und 74:
7. Datensicherung und Notfallvorsor
Seite 75 und 76:
7. Datensicherung und Notfallvorsor
Seite 77 und 78:
8. Bauliche und infrastrukturelle M
Seite 79 und 80:
Seite 81 und 82:
Seite 83 und 84:
Seite 85 und 86:
9. Glossar 9. Glossar 83
Seite 87 und 88:
9. Glossar RAID: Ein RAID-System di
Seite 89:
9. Glossar Trojanische Pferde: Selb
Alle anzeigen

WKO_Sicherheitshandbuch

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?