IT-Sicherheitskonzept

Kunden, Lieferanten, Existenzgründung...
(für Offtopic und Privates bitte den unteren Bereich "Spielwiese" benutzen!)
waterman
Beiträge: 123
Registriert: 13. Nov 2007 19:00

IT-Sicherheitskonzept

Beitrag von waterman » 11. Mai 2018 08:52

Hallo zusammen,

wie wohl viele andere bin ich gerade dabei die Maßnahmen bzgl. DSGVO umzusetzen. In den meisten Beispielen für ein VERZEICHNIS VON VERARBEITUNGSTÄTIGKEITEN wird auf ein IT-Sicherheitskonzept verwiesen. Könnt ihr mir sagen, wo ich Beispiele für ein solches Konzept finden kann bzw. wäre jemand bereit mir einen Blick auf sein IT-Sicherheitskonzept zu gewähren?

Danke für eure Hilfe,
Eric
Zuletzt geändert von fossi am 11. Mai 2018 12:30, insgesamt 1-mal geändert.
Grund: Mailadresse gelöscht, siehe Forenregeln



Benutzeravatar
Templer
Beiträge: 268
Registriert: 28. Sep 2017 07:22
Hat sich bedankt: 1 Mal

Re: IT-Sicherheitskonzept

Beitrag von Templer » 11. Mai 2018 09:07

Hallo,

damit sind in der Regel die "Technischen und organisatorischen Maßnahmen" gemeint, die man treffen muss, um die Datensicherheit bei Verarbeitungen zu garantieren.

Einige Beispiele findest du hier: https://www.datenschutz-wiki.de/Technis ... 3%9Fnahmen" onclick="window.open(this.href);return false;

Ansonsten findest du bzgl IT-Sicherheit und -Konzept auch etwas, wenn du nach BSI-Grundschutz suchst.

euromann
Beiträge: 383
Registriert: 22. Dez 2013 15:07
Hat sich bedankt: 1 Mal
Danksagung erhalten: 1 Mal

Re: IT-Sicherheitskonzept

Beitrag von euromann » 11. Mai 2018 09:12

Und hinterher ist vielleicht wieder alles anders

https://t3n.de/news/dsgvo-angela-merkel ... n-1078083/" onclick="window.open(this.href);return false;

Benutzeravatar
Templer
Beiträge: 268
Registriert: 28. Sep 2017 07:22
Hat sich bedankt: 1 Mal

Re: IT-Sicherheitskonzept

Beitrag von Templer » 11. Mai 2018 09:17

euromann hat geschrieben:Und hinterher ist vielleicht wieder alles anders

https://t3n.de/news/dsgvo-angela-merkel ... n-1078083/" onclick="window.open(this.href);return false;
Daran glaube ich nicht. Nationale Gesetze greifen nur bei den Öffnungsklauseln und auch da sind diese nur dazu gedacht, die Regelung zu verschärfen und nicht aufzuweichen. Viel spannender ist eher, wie die Rechtssprechung bzgl. der DSGVO aussieht, also der EuGH bei interpretationswürdigen Themen eine Definition festlegt (z.B. beim Thema Tracking).

Benutzeravatar
fonprofi
PLUS-Mitglied
PLUS-Mitglied
Beiträge: 2561
Registriert: 17. Nov 2010 16:43
Land: Deutschland
Firmenname: FONPROFI
Branche: Telekommunikation und Sicherheitstechnik
Danksagung erhalten: 4 Mal

Re: IT-Sicherheitskonzept

Beitrag von fonprofi » 11. Mai 2018 09:17

Mein Sicherheitskonzept ist fertig und wurde gestern gleich getestet wie an unserem Server am Feiertag das Netzteil den Geist aufgab und es im Keller roch.
Ersatznetzteil wurde vorbildlich von meinem Sohn unterm Bett von ihm gelagert und ich könnte mir aus mehreren das passende aussuchen. 30 Min später wieder online.

Wie verfasse ich das in den Toms? :gruebel:

Benutzeravatar
Nico-2012
PLUS-Mitglied
PLUS-Mitglied
Beiträge: 1651
Registriert: 11. Jun 2012 12:15
Hat sich bedankt: 4 Mal
Danksagung erhalten: 5 Mal

Re: IT-Sicherheitskonzept

Beitrag von Nico-2012 » 11. Mai 2018 09:24

fonprofi hat geschrieben:Mein Sicherheitskonzept ist fertig und wurde gestern gleich getestet wie an unserem Server am Feiertag das Netzteil den Geist aufgab und es im Keller roch.
Ersatznetzteil wurde vorbildlich von meinem Sohn unterm Bett von ihm gelagert und ich könnte mir aus mehreren das passende aussuchen. 30 Min später wieder online.

Wie verfasse ich das in den Toms? :gruebel:
applaus applaus applaus

Gut, dass ich gerade keinen Kaffee in der Hand hatte. :-}

qds1
Beiträge: 373
Registriert: 30. Jun 2016 18:51
Hat sich bedankt: 8 Mal
Danksagung erhalten: 11 Mal

Re: IT-Sicherheitskonzept

Beitrag von qds1 » 11. Mai 2018 10:41

Datensicherheit betrifft auch die Sicherheit des Gedruckten. (Ich weis, die Frage ist nach IT, möchte aber trotzdem darauf hinweisen)

Wir haben einen Save für Kreditkarten, TAN-Listen, usw. Rechnungen archivieren wir in abschließbaren Metallschränken.

Nun zur IT:
Dateien mit Kundendaten werden mit Cryptomator verschlüsselt. Interne wichtige Dokumente werden per Skript alle 10 Minuten gesichert, einmal auf externe Festplatte und wöchentlich auf ein NAS. Dabei werden die letzten 10 Versionen der Dateien behalten.

Eine USV ist für Fritzbox, Telefon und NAS st auch vorhanden, Laptops haben eh einen Akku. Somit kommen wir noch ca. 30 ohne Stromversorgung aus.

Die Shopdatenbank wird von unserem Hoster versioniert. Zusätzlich mache ich alle Paar Monate einen CSV Export der Datenbanken (sicher ist sicher :-y )

Damit ich von jedem Rechner aus komfortabel aus arbeiten kann und wir uns mit den Kollegen nicht in die Quere kommen, habe ich vor für mich eine Virtuelle Maschine zu erstellen. Die kann ich dann an jedem Rechner abspielen und habe alle meine Daten und Einstellungen wie gewohnt. Die VM ist auch verschlüsselt.

Benutzeravatar
Templer
Beiträge: 268
Registriert: 28. Sep 2017 07:22
Hat sich bedankt: 1 Mal

Re: IT-Sicherheitskonzept

Beitrag von Templer » 11. Mai 2018 10:44

Im übrigen können sich IT-Sicherheit und Datenschutz auch in die Quere kommen. Z.B. beim Thema Backups oder Protokollierung. ;)

qds1
Beiträge: 373
Registriert: 30. Jun 2016 18:51
Hat sich bedankt: 8 Mal
Danksagung erhalten: 11 Mal

Re: IT-Sicherheitskonzept

Beitrag von qds1 » 11. Mai 2018 11:04

Das stimmt.
Habe ich in meinem Konzept etwas übersehen oder meinst du das generell? Wäre dir für Tipps dankbar.

Benutzeravatar
Templer
Beiträge: 268
Registriert: 28. Sep 2017 07:22
Hat sich bedankt: 1 Mal

Re: IT-Sicherheitskonzept

Beitrag von Templer » 11. Mai 2018 11:08

qds1 hat geschrieben:Das stimmt.
Habe ich in meinem Konzept etwas übersehen oder meinst du das generell? Wäre dir für Tipps dankbar.
Sofern du für deine Backups auch ein Löschkonzept hast und die auch wieder löscht und nicht ewig speicherst, ist alles gut. ;)

Habe schon Kunden erlebt, wo die MySQL-Backups über Jahre aufbewahrt wurden. Als ob man eine fünf Jahre alte Datenbank wieder einspielen würde.

Im übrigen sollte man auch überprüfen, ob die Backups funktionstüchtig sind und auch wieder eingespielt werden können. Denn ansonsten ist das eine trügerische Sicherheit.

Benutzeravatar
daytrader
PLUS-Mitglied
PLUS-Mitglied
Beiträge: 5198
Registriert: 15. Feb 2009 17:02
Land: Deutschland
Danksagung erhalten: 8 Mal

Re: IT-Sicherheitskonzept

Beitrag von daytrader » 11. Mai 2018 11:16

Meine Fresse wie der normale Verkäufer ohne eigene IT Abteilung das alles umsetzen soll. Man braucht ja heute um zu verkaufen ein Jura Studium, eine IT Ausbildung und natürlich eine kaufmännische Ausbildung gleichzeitig.

Benutzeravatar
Templer
Beiträge: 268
Registriert: 28. Sep 2017 07:22
Hat sich bedankt: 1 Mal

Re: IT-Sicherheitskonzept

Beitrag von Templer » 11. Mai 2018 11:19

daytrader hat geschrieben:Meine Fresse wie der normale Verkäufer ohne eigene IT Abteilung das alles umsetzen soll. Man braucht ja heute um zu verkaufen ein Jura Studium, eine IT Ausbildung und natürlich eine kaufmännische Ausbildung gleichzeitig.
Das Stichwort lautet hier "Verhältnismäßigkeit". ;)

Benutzeravatar
knoge
PLUS-Mitglied
PLUS-Mitglied
Beiträge: 1578
Registriert: 8. Okt 2007 08:15
Land: Deutschland
Hat sich bedankt: 1 Mal
Danksagung erhalten: 4 Mal

Re: IT-Sicherheitskonzept

Beitrag von knoge » 11. Mai 2018 11:19

Das ist doch ganz einfach. Kleine Unternehmen sind nicht mehr erwünscht.
Lou mi sa.

Benutzeravatar
daytrader
PLUS-Mitglied
PLUS-Mitglied
Beiträge: 5198
Registriert: 15. Feb 2009 17:02
Land: Deutschland
Danksagung erhalten: 8 Mal

Re: IT-Sicherheitskonzept

Beitrag von daytrader » 11. Mai 2018 11:23

Templer hat geschrieben:
daytrader hat geschrieben:Meine Fresse wie der normale Verkäufer ohne eigene IT Abteilung das alles umsetzen soll. Man braucht ja heute um zu verkaufen ein Jura Studium, eine IT Ausbildung und natürlich eine kaufmännische Ausbildung gleichzeitig.
Das Stichwort lautet hier "Verhältnismäßigkeit". ;)
Verhältnismäßigkeit ist ein sehr schwammiger Begriff, den jeder Prüfer dehnen kann wie er will. Bei uns im Amtsblatt suchen sie mehrere Datenschützer Vollzeit und unbefristet ab sofort :traurigsmily:

Benutzeravatar
Templer
Beiträge: 268
Registriert: 28. Sep 2017 07:22
Hat sich bedankt: 1 Mal

Re: IT-Sicherheitskonzept

Beitrag von Templer » 11. Mai 2018 11:35

Das ist richtig. Das ist Auslegungssache und sicherlich auch etwas, was der Gerichtshof erst entscheiden muss, wie "Stand der Technik", "Implementierungskosten", "Risiken" etc. aus Artikel 25 auszulegen sind.

Bei einem kleinen Ein-Mann-Händler könnte man sicherlich sagen, dass ein tägliches Backup auf einer externen USB-Platte ausreichen mag. Bei mehreren hundert Bestellungen am Tag sieht das vielleicht schon wieder anders aus. Da kann der Verlust an Daten von einem Tag schon sehr schmerzlich sein, so dass stündliche Backups gefahren und redundante Systeme vorgehalten werden, damit man schnell wieder geschäftsfähig ist.

boden-piloten
PLUS-Mitglied
PLUS-Mitglied
Beiträge: 1506
Registriert: 24. Okt 2011 15:39
Hat sich bedankt: 1 Mal
Danksagung erhalten: 6 Mal

Re: IT-Sicherheitskonzept

Beitrag von boden-piloten » 11. Mai 2018 11:50

Und wer wird das überprüfen vor Ort? Vermutlich niemand.

Benutzeravatar
Templer
Beiträge: 268
Registriert: 28. Sep 2017 07:22
Hat sich bedankt: 1 Mal

Re: IT-Sicherheitskonzept

Beitrag von Templer » 11. Mai 2018 11:55

Wenn nichts passiert und man selbst nicht Auftragsverarbeiter/Dienstleister ist, dann wird wohl wirklich nur seltenst jemand das vor Ort überprüfen. Es sei denn ein Kunde scheißt einen bei der Aufsichtsbehörde an, weil man angeblich seine E-Mail Adresse weitergegeben hat etc.

Ein IT-Sicherheitskonzept bzw. "technische und organisatorische Maßnahmen" sollten in einem Mindestmaß aber schon im eigenen Interesse vorhanden und umgesetzt sein. ;)

qds1
Beiträge: 373
Registriert: 30. Jun 2016 18:51
Hat sich bedankt: 8 Mal
Danksagung erhalten: 11 Mal

Re: IT-Sicherheitskonzept

Beitrag von qds1 » 11. Mai 2018 12:15

Meine Fresse wie der normale Verkäufer ohne eigene IT Abteilung das alles umsetzen soll. Man braucht ja heute um zu verkaufen ein Jura Studium, eine IT Ausbildung und natürlich eine kaufmännische Ausbildung gleichzeitig.
Keine Panik, nichts wird so heiß gegessen, wie es gekocht wird :wink:

Für das Rechtliche haben wir ja sowas wie Händlerbund oder it-recht usw.
Für das Technische gibt es zwar auch Dienstleister, aber das Meiste bekommt man mit ein wenig Augenmaß, gesundem Menschenverstand und google ( :-} ) selbst hin.

Die Programme, die ich verwende, kosten gar nix und sind in der Handhabung auch noch einfach.
Cryptomator kann ich nur empfehlen. KeePass verwenden wir für das Speichern der Logins. Das erleichtert uns die Arbeit sogar, da die Logins automatisch in jedem Browser eingegeben werden können.
FreeFileSync ist für Backups sehr gut geeignet, für Versionierungen habe ich ein einfaches Powershell-Script geschrieben, das ich gerne mit euch teilen kann. Man kann aber u.U. einfache Windows-Bordmittel verwenden...
Ein IT-Sicherheitskonzept bzw. "technische und organisatorische Maßnahmen" sollten in einem Mindestmaß aber schon im eigenen Interesse vorhanden und umgesetzt sein. ;)
Vollkommen richtig! Raucht dir die Festplatte ab o.Ä. bist du dann froh ein Backup zu haben :D

Wenn ihr möchtet, erstelle ich gern ein "Tutorial", wie ich das umgesetzt habe. Für Rat bin ich nach wie vor dankbar.

Benutzeravatar
fonprofi
PLUS-Mitglied
PLUS-Mitglied
Beiträge: 2561
Registriert: 17. Nov 2010 16:43
Land: Deutschland
Firmenname: FONPROFI
Branche: Telekommunikation und Sicherheitstechnik
Danksagung erhalten: 4 Mal

Re: IT-Sicherheitskonzept

Beitrag von fonprofi » 11. Mai 2018 23:50

Hallöchen,

ich hatte ja heute morgen über das abegrauchte Netzteil geschrieben.
Heute hatte ich ein wenig Gedankenfreiheit und ganz Allgemein über mein Sicherheitskonzept nachgedacht.

Eigentlich ist bei mir ja alles doppelt und Dreifach gesichert mit Server im Keller und NAS und externen Festplatten.

Eigentlich - was passiert bei einem Brand, Überspannung, Diebstahl?

Diebstahl gibt’s nicht aetsch hab 2 Hunde wegrenn

Ich denke über eine Datensicherung per Cloud nach, allerdings in Deutschland.

Strato macht Werbung mit Rechenzentrum in D, AVV habe ich auch schon mit denen, 1TB kostet 6,30 netto im Monat.

Das Laufwerk wird per SMB/Netzlaufwerk auf das Cloud-Laufwerk gemappt und die Datensicherung könnte nachts parallel aufs NAS und verschlüsselt ins Cloud-Netzlaufwerk gehen. Upload habe ich genug mit 50Mbit - sollte reichen eine Tagessicherung der Firmenplatte zu senden.

Oder spricht was dagegen?

Gruß
Jörg

Benutzeravatar
Xantiva
PLUS-Mitglied
PLUS-Mitglied
Beiträge: 3234
Registriert: 22. Okt 2010 17:52
Land: Deutschland
Firmenname: Xantiva.de
Branche: Entwickler, Shop Betreuung und Optimierung aber auch selber Seller!
Hat sich bedankt: 5 Mal
Danksagung erhalten: 5 Mal
Kontaktdaten:

Re: IT-Sicherheitskonzept

Beitrag von Xantiva » 12. Mai 2018 00:07

Die Einbindung als normales Netzwerklaufwerk würde mich stören. Wenn ein Verschlüsselungstrojaner sich ausbreitet, dann kommt er auch an die Cloud-Dateien. Besser eine Variante mit automatisierter Sicherung per FTPS.
mein Bastelshop: basteln-selbermachen.de
Was soll die Plus - Mitgliedschaft hier im Forum?

Antworten

Zurück zu „Small Talk - Allgemeine eCommerce & Händlerthemen“