Sicherheitsleistung

Wir schützen Daten

Aktiver und ganzheitlicher Ansatz in Verbindung mit der Erfüllung gesetzlicher Pflichten

Der Leitsatz ist proaktives Handeln, mehr als nur die Verteidigung mit bewährten Verteidigungsmechanismen von Infrastrukturen, sondern die offensive Angriffserkennung durch fortwährende Selbstangriffe. Der Angreifer ist nicht ausserhalb, sondern innerhalb der eigenen IT-Infrastruktur zu finden. 
Der Grundsatz
Art. 32 Abs. 1. d) DSGVO „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.“  
Art. 32 Abs. 2. DSGVO „Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind.“ 

Die Grundlage der Umsetzung der IT-Sicherheitsüberpfüfung ist eben Art. 32, vor allem aber auch Art. 5. Abs. 2. DSGVO. 

Die Pflichten aus Art.5 und Art 32. sind bußgeldbewehrt (Art. 82) und zivilrechtlich Schadenersatzpflichtig nach Art. 83. DSGVO – und der Nachweis der Umsetzung „IT-Sicherheit“ unterliegt der Rechenschaftspflicht aus Art. 5 Abs.2. Dazu existieren weitere branchenspezifische Standards, die IT-Sicherheit auf aktuellem Stand verlangen (NIS2, DORA, KAIT, BAIT, KRITIS usw.) 

Daraus folgt in der Praxis die Einbindung einer unabhängigen Prüfung und deren Dokumentation im Bereich IT-Sicherheit. 
 
Leistungsbeschreibung - auszugsweise - :

• Monatlicher Scan der Infrastruktur auf Sicherheitslücken zu Fehlkonfigurationen und fehlende Patches, sowie sich daraus ergebende 
  Risiken, einschließlich Report an die Infrastrukturverantwortlichen (GF, IT, DSB) und fachliche Beratung zu gefundenen Lücken. 
• Permanenter Betrieb von Frühwarnsystemen zur Gestaltung eines Erkennungsnetzes für verdächtige Aktivitäten, ausgelöst durch 
  einen innerhalb der Infrastruktur ausgelösten Angriff.
• Entwicklung individueller Konzepte für IT-Sicherheit u.a. in den Bereichen maritimer Wirtschaft, Medizin & Forschung, sowie Finanz. 

Share by: