IT-Sicherheitskonzept

E-Commerce & Versandhandel - Erfahrungen mit Kunden, Lieferanten, Agenturen, Dienstleistern...
- Diskussionsforum -
sellerforum.de ist das kostenlose E-Commerce Portal für Händler, Existenzgründer, Experten im Onlinehandel.

Im Small Talk geht es um Themen wie das Geld verdienen im Internet mit einem Onlineshop oder auf einem Marktplatz,
aktuelle News und Aktionen im Einzelhandel, Hilfe und Erfahrungen mit Kunden, Lieferanten, Agenturen, Dienstleistern aus dem Bereich des E-Commerce.

Probleme, Meinungen, Erfahrungsberichte aus dem Versandhandel - soweit kein spezielles Unterforum dafür existiert, gehört es in unseren Small Talk.
waterman
Beiträge: 127
Registriert: 13. Nov 2007 19:00

IT-Sicherheitskonzept

Hallo zusammen,

wie wohl viele andere bin ich gerade dabei die Maßnahmen bzgl. DSGVO umzusetzen. In den meisten Beispielen für ein VERZEICHNIS VON VERARBEITUNGSTÄTIGKEITEN wird auf ein IT-Sicherheitskonzept verwiesen. Könnt ihr mir sagen, wo ich Beispiele für ein solches Konzept finden kann bzw. wäre jemand bereit mir einen Blick auf sein IT-Sicherheitskonzept zu gewähren?

Danke für eure Hilfe,
Eric
Zuletzt geändert von fossi am 11. Mai 2018 12:30, insgesamt 1-mal geändert.
Grund: Mailadresse gelöscht, siehe Forenregeln


3 Monate gratis Händlerbund
Benutzeravatar
Templer
Beiträge: 448
Registriert: 28. Sep 2017 07:22

Re: IT-Sicherheitskonzept

Hallo,

damit sind in der Regel die "Technischen und organisatorischen Maßnahmen" gemeint, die man treffen muss, um die Datensicherheit bei Verarbeitungen zu garantieren.

Einige Beispiele findest du hier: https://www.datenschutz-wiki.de/Technis ... 3%9Fnahmen

Ansonsten findest du bzgl IT-Sicherheit und -Konzept auch etwas, wenn du nach BSI-Grundschutz suchst.
euromann
Beiträge: 702
Registriert: 22. Dez 2013 15:07

Re: IT-Sicherheitskonzept

Und hinterher ist vielleicht wieder alles anders

https://t3n.de/news/dsgvo-angela-merkel ... n-1078083/
Benutzeravatar
Templer
Beiträge: 448
Registriert: 28. Sep 2017 07:22

Re: IT-Sicherheitskonzept

euromann hat geschrieben:Und hinterher ist vielleicht wieder alles anders

https://t3n.de/news/dsgvo-angela-merkel ... n-1078083/
Daran glaube ich nicht. Nationale Gesetze greifen nur bei den Öffnungsklauseln und auch da sind diese nur dazu gedacht, die Regelung zu verschärfen und nicht aufzuweichen. Viel spannender ist eher, wie die Rechtssprechung bzgl. der DSGVO aussieht, also der EuGH bei interpretationswürdigen Themen eine Definition festlegt (z.B. beim Thema Tracking).
Benutzeravatar
fonprofi
PLUS-Mitglied
PLUS-Mitglied
Beiträge: 7729
Registriert: 17. Nov 2010 16:43
Land: Deutschland

Re: IT-Sicherheitskonzept

Mein Sicherheitskonzept ist fertig und wurde gestern gleich getestet wie an unserem Server am Feiertag das Netzteil den Geist aufgab und es im Keller roch.
Ersatznetzteil wurde vorbildlich von meinem Sohn unterm Bett von ihm gelagert und ich könnte mir aus mehreren das passende aussuchen. 30 Min später wieder online.

Wie verfasse ich das in den Toms? :gruebel:
Benutzeravatar
Nico-2012
Beiträge: 1989
Registriert: 11. Jun 2012 12:15

Re: IT-Sicherheitskonzept

fonprofi hat geschrieben:Mein Sicherheitskonzept ist fertig und wurde gestern gleich getestet wie an unserem Server am Feiertag das Netzteil den Geist aufgab und es im Keller roch.
Ersatznetzteil wurde vorbildlich von meinem Sohn unterm Bett von ihm gelagert und ich könnte mir aus mehreren das passende aussuchen. 30 Min später wieder online.

Wie verfasse ich das in den Toms? :gruebel:
applaus applaus applaus

Gut, dass ich gerade keinen Kaffee in der Hand hatte. :-}
qds1
Beiträge: 553
Registriert: 30. Jun 2016 18:51

Re: IT-Sicherheitskonzept

Datensicherheit betrifft auch die Sicherheit des Gedruckten. (Ich weis, die Frage ist nach IT, möchte aber trotzdem darauf hinweisen)

Wir haben einen Save für Kreditkarten, TAN-Listen, usw. Rechnungen archivieren wir in abschließbaren Metallschränken.

Nun zur IT:
Dateien mit Kundendaten werden mit Cryptomator verschlüsselt. Interne wichtige Dokumente werden per Skript alle 10 Minuten gesichert, einmal auf externe Festplatte und wöchentlich auf ein NAS. Dabei werden die letzten 10 Versionen der Dateien behalten.

Eine USV ist für Fritzbox, Telefon und NAS st auch vorhanden, Laptops haben eh einen Akku. Somit kommen wir noch ca. 30 ohne Stromversorgung aus.

Die Shopdatenbank wird von unserem Hoster versioniert. Zusätzlich mache ich alle Paar Monate einen CSV Export der Datenbanken (sicher ist sicher :-y )

Damit ich von jedem Rechner aus komfortabel aus arbeiten kann und wir uns mit den Kollegen nicht in die Quere kommen, habe ich vor für mich eine Virtuelle Maschine zu erstellen. Die kann ich dann an jedem Rechner abspielen und habe alle meine Daten und Einstellungen wie gewohnt. Die VM ist auch verschlüsselt.
Benutzeravatar
Templer
Beiträge: 448
Registriert: 28. Sep 2017 07:22

Re: IT-Sicherheitskonzept

Im übrigen können sich IT-Sicherheit und Datenschutz auch in die Quere kommen. Z.B. beim Thema Backups oder Protokollierung. ;)
qds1
Beiträge: 553
Registriert: 30. Jun 2016 18:51

Re: IT-Sicherheitskonzept

Das stimmt.
Habe ich in meinem Konzept etwas übersehen oder meinst du das generell? Wäre dir für Tipps dankbar.
Benutzeravatar
Templer
Beiträge: 448
Registriert: 28. Sep 2017 07:22

Re: IT-Sicherheitskonzept

qds1 hat geschrieben:Das stimmt.
Habe ich in meinem Konzept etwas übersehen oder meinst du das generell? Wäre dir für Tipps dankbar.
Sofern du für deine Backups auch ein Löschkonzept hast und die auch wieder löscht und nicht ewig speicherst, ist alles gut. ;)

Habe schon Kunden erlebt, wo die MySQL-Backups über Jahre aufbewahrt wurden. Als ob man eine fünf Jahre alte Datenbank wieder einspielen würde.

Im übrigen sollte man auch überprüfen, ob die Backups funktionstüchtig sind und auch wieder eingespielt werden können. Denn ansonsten ist das eine trügerische Sicherheit.
Benutzeravatar
daytrader
Beiträge: 10605
Registriert: 15. Feb 2009 17:02
Land: Deutschland

Re: IT-Sicherheitskonzept

Meine Fresse wie der normale Verkäufer ohne eigene IT Abteilung das alles umsetzen soll. Man braucht ja heute um zu verkaufen ein Jura Studium, eine IT Ausbildung und natürlich eine kaufmännische Ausbildung gleichzeitig.
Benutzeravatar
Templer
Beiträge: 448
Registriert: 28. Sep 2017 07:22

Re: IT-Sicherheitskonzept

daytrader hat geschrieben:Meine Fresse wie der normale Verkäufer ohne eigene IT Abteilung das alles umsetzen soll. Man braucht ja heute um zu verkaufen ein Jura Studium, eine IT Ausbildung und natürlich eine kaufmännische Ausbildung gleichzeitig.
Das Stichwort lautet hier "Verhältnismäßigkeit". ;)
Benutzeravatar
knoge
Beiträge: 2430
Registriert: 8. Okt 2007 08:15
Land: Deutschland
Wohnort: Oberpfalz

Re: IT-Sicherheitskonzept

Das ist doch ganz einfach. Kleine Unternehmen sind nicht mehr erwünscht.
Lou mi sa.
Benutzeravatar
daytrader
Beiträge: 10605
Registriert: 15. Feb 2009 17:02
Land: Deutschland

Re: IT-Sicherheitskonzept

Templer hat geschrieben:
daytrader hat geschrieben:Meine Fresse wie der normale Verkäufer ohne eigene IT Abteilung das alles umsetzen soll. Man braucht ja heute um zu verkaufen ein Jura Studium, eine IT Ausbildung und natürlich eine kaufmännische Ausbildung gleichzeitig.
Das Stichwort lautet hier "Verhältnismäßigkeit". ;)
Verhältnismäßigkeit ist ein sehr schwammiger Begriff, den jeder Prüfer dehnen kann wie er will. Bei uns im Amtsblatt suchen sie mehrere Datenschützer Vollzeit und unbefristet ab sofort :traurigsmily:
Benutzeravatar
Templer
Beiträge: 448
Registriert: 28. Sep 2017 07:22

Re: IT-Sicherheitskonzept

Das ist richtig. Das ist Auslegungssache und sicherlich auch etwas, was der Gerichtshof erst entscheiden muss, wie "Stand der Technik", "Implementierungskosten", "Risiken" etc. aus Artikel 25 auszulegen sind.

Bei einem kleinen Ein-Mann-Händler könnte man sicherlich sagen, dass ein tägliches Backup auf einer externen USB-Platte ausreichen mag. Bei mehreren hundert Bestellungen am Tag sieht das vielleicht schon wieder anders aus. Da kann der Verlust an Daten von einem Tag schon sehr schmerzlich sein, so dass stündliche Backups gefahren und redundante Systeme vorgehalten werden, damit man schnell wieder geschäftsfähig ist.
boden-piloten
Beiträge: 1836
Registriert: 24. Okt 2011 15:39

Re: IT-Sicherheitskonzept

Und wer wird das überprüfen vor Ort? Vermutlich niemand.
Benutzeravatar
Templer
Beiträge: 448
Registriert: 28. Sep 2017 07:22

Re: IT-Sicherheitskonzept

Wenn nichts passiert und man selbst nicht Auftragsverarbeiter/Dienstleister ist, dann wird wohl wirklich nur seltenst jemand das vor Ort überprüfen. Es sei denn ein Kunde scheißt einen bei der Aufsichtsbehörde an, weil man angeblich seine E-Mail Adresse weitergegeben hat etc.

Ein IT-Sicherheitskonzept bzw. "technische und organisatorische Maßnahmen" sollten in einem Mindestmaß aber schon im eigenen Interesse vorhanden und umgesetzt sein. ;)
qds1
Beiträge: 553
Registriert: 30. Jun 2016 18:51

Re: IT-Sicherheitskonzept

Meine Fresse wie der normale Verkäufer ohne eigene IT Abteilung das alles umsetzen soll. Man braucht ja heute um zu verkaufen ein Jura Studium, eine IT Ausbildung und natürlich eine kaufmännische Ausbildung gleichzeitig.
Keine Panik, nichts wird so heiß gegessen, wie es gekocht wird :wink:

Für das Rechtliche haben wir ja sowas wie Händlerbund oder it-recht usw.
Für das Technische gibt es zwar auch Dienstleister, aber das Meiste bekommt man mit ein wenig Augenmaß, gesundem Menschenverstand und google ( :-} ) selbst hin.

Die Programme, die ich verwende, kosten gar nix und sind in der Handhabung auch noch einfach.
Cryptomator kann ich nur empfehlen. KeePass verwenden wir für das Speichern der Logins. Das erleichtert uns die Arbeit sogar, da die Logins automatisch in jedem Browser eingegeben werden können.
FreeFileSync ist für Backups sehr gut geeignet, für Versionierungen habe ich ein einfaches Powershell-Script geschrieben, das ich gerne mit euch teilen kann. Man kann aber u.U. einfache Windows-Bordmittel verwenden...
Ein IT-Sicherheitskonzept bzw. "technische und organisatorische Maßnahmen" sollten in einem Mindestmaß aber schon im eigenen Interesse vorhanden und umgesetzt sein. ;)
Vollkommen richtig! Raucht dir die Festplatte ab o.Ä. bist du dann froh ein Backup zu haben :D

Wenn ihr möchtet, erstelle ich gern ein "Tutorial", wie ich das umgesetzt habe. Für Rat bin ich nach wie vor dankbar.
Benutzeravatar
fonprofi
PLUS-Mitglied
PLUS-Mitglied
Beiträge: 7729
Registriert: 17. Nov 2010 16:43
Land: Deutschland

Re: IT-Sicherheitskonzept

Hallöchen,

ich hatte ja heute morgen über das abegrauchte Netzteil geschrieben.
Heute hatte ich ein wenig Gedankenfreiheit und ganz Allgemein über mein Sicherheitskonzept nachgedacht.

Eigentlich ist bei mir ja alles doppelt und Dreifach gesichert mit Server im Keller und NAS und externen Festplatten.

Eigentlich - was passiert bei einem Brand, Überspannung, Diebstahl?

Diebstahl gibt’s nicht aetsch hab 2 Hunde wegrenn

Ich denke über eine Datensicherung per Cloud nach, allerdings in Deutschland.

Strato macht Werbung mit Rechenzentrum in D, AVV habe ich auch schon mit denen, 1TB kostet 6,30 netto im Monat.

Das Laufwerk wird per SMB/Netzlaufwerk auf das Cloud-Laufwerk gemappt und die Datensicherung könnte nachts parallel aufs NAS und verschlüsselt ins Cloud-Netzlaufwerk gehen. Upload habe ich genug mit 50Mbit - sollte reichen eine Tagessicherung der Firmenplatte zu senden.

Oder spricht was dagegen?

Gruß
Jörg
Benutzeravatar
Xantiva
PLUS-Mitglied
PLUS-Mitglied
Beiträge: 4047
Registriert: 22. Okt 2010 17:52
Land: Deutschland
Firmenname: Xantiva.de
Branche: Entwickler, aber auch selber Seller!
Kontaktdaten:

Re: IT-Sicherheitskonzept

Die Einbindung als normales Netzwerklaufwerk würde mich stören. Wenn ein Verschlüsselungstrojaner sich ausbreitet, dann kommt er auch an die Cloud-Dateien. Besser eine Variante mit automatisierter Sicherung per FTPS.
Antworten

Zurück zu „Small Talk - Allgemeine eCommerce & Händlerthemen“

  • Information