Skip navigation

Datenschutz in UnternehmenDatenschutz in Unternehmen

1580 members | 468 posts | Public Group
Hosted by:Rüya Atac

News zum "Datenschutz in Unternehmen", Informationen zur richtigen "Digitalen Organisation" und aktuelles zur "Digitalen Compliance".

Als Diskussionsgrundlage zur Entwicklung von Sicherheitsanforderungen für Smartphones hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Anforderungskatalog veröffentlicht. Damit Anwender sich möglichst sicher in der digitalen Welt bewegen können, listet der Anforderungskatalog Sicherheitskriterien auf, die Smartphones im Auslieferungszustand und darüber hinaus erfüllen sollten. Der Katalog ist Ausgangspunkt für einen öffentlichen Diskurs mit Herstellern und Erstausrüstern (Original Equipment Manufacturer, OEM), Netzbetreibern und Zivilgesellschaft. Das BSI strebt eine Beteiligung aller gesellschaftlichen Gruppen bei der Fortentwicklung dieser Anforderungen an, die zukünftig in Richtlinien für die Erteilung des von der Bundesregierung geplanten IT-Sicherheitskennzeichens für Smartphones einfließen sollen.

"Smartphones haben sich in den letzten Jahren zur Schaltzentrale entwickelt, über die wir immer mehr Alltagsvorgänge steuern und abwickeln. Unsichere Smartphones können somit sehr schnell sehr reale negative Auswirkungen haben. Verbraucherinnen und Verbraucher sollten sich darauf verlassen können, dass ein Smartphone bereits beim Kauf eine Grundausstattung an IT-Sicherheit enthält, so dass sie die Möglichkeiten der Digitalisierung möglichst reibungslos nutzen können. Hersteller und OEM sind daher aufgerufen, die Geräte so sicher zu machen wie möglich, und zwar von Anfang an und über eine gewisse Nutzungsdauer hinweg. Unser Anforderungskatalog ist ein Wegweiser zu mehr Security-by-Design und Security-by-Default", betont BSI-Präsident Arne Schönbohm.

Der Anforderungskatalog des BSI enthält Kriterien zur Absicherung der Geräte durch bestimmte Hardwareeigenschaften sowie zur Härtung und zum Schutz der im Auslieferungszustand enthaltenen Software. Zudem konkretisiert und vereinheitlicht der Katalog Anforderungen zur Bereitstellung von Updates während der Laufzeit der Geräte. Darüber hinaus beinhaltet der Katalog Kriterien zum Schutz von Nutzerdaten, etwa im Bereich der Telemetriefunktionen, sowie für mehr Transparenz für die Verbraucherinnen und Verbraucher.

https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/Sicherheitsanforderungen-Smartphones_250220.html

--->>>> 2.4Datenschutz

2.4.1Vorinstallierte Apps in der Systempartition

In der Systempartition dürfen nur Apps installiert sein, die spezielle (System-) Berechtigungen benötigen (Beispiel: Signature-Permission bei Android). Demgegenüber dürfen Standard-User-Apps, wie beispielsweise der Herstellereigene Browser oder Drittanbieter-Apps, dort nicht installiert sein.

2.4.2Berechtigungen für (vorinstallierte) Apps

Apps dürfen nur diejenigen Berechtigungen beantragen, die sie für die Erfüllung ihrer Aufgabe unbedingt benötigen. Vor der ersten Nutzung einer kritischen2 App-Berechtigung in einer Applikation muss der Nutzer dem zustimmen. Einmal gewährte Berechtigungen können widerrufen werden. Abgelehnte Anforderungen können nachträglich gegeben werden. Abgelehnte bzw. widerrufene Berechtigungen dürfen zu nachvollziehbaren Funktionseinschränkungen, jedoch nicht zum Absturz der App führen. Es muss einen Menüpunkt zu den App-Berechtigungen geben, der alle öffentlichen sowie internen Berechtigungen widerspiegelt. Es muss eine vollständige und verständliche Beschreibung der Berechtigungen geben.

Diese Forderung gilt grundsätzlich für alle mobilen Apps. In diesem Forderungskatalog sind die im Auslieferungszustand des Gerätes vorinstallierten Apps im Fokus.

2.4.3Sicherer Softwareentwicklungsprozess

Im Rahmen eines sicheren Softwareentwicklungsprozesses müssen die Vorgaben des Plattformherstellers umgesetzt werden. Für Android wären dies zum Beispiel „Google Best Practices“. Darüber hinaus sollten zusätzliche Richtlinien für die sichere Softwareentwicklung, wie beispielsweise der „Mobile AppSec Verification Standard“ der OWASP.ORG berücksichtigt werden.

2.4.4Telemetrie

Unter dem Begriff Telemetriedaten werden alle Daten (Nutzer- und Nutzungsdaten, Systemdaten) zusammengefasst, die ein Hersteller auf einem Gerät erhebt, um seine Produkte weiterzuentwickeln. Der Hersteller darf diese Daten nur nach vorheriger expliziter Zustimmung durch den Nutzer zu diesem Zweck weiterverarbeiten oder weitergeben. Es muss eine ausführliche und verständliche Beschreibung der erhobenen und versendeten Daten geben. Die Erfassung sowie die Ausleitung der Telemetriedaten muss auf ein benötigtes Minimalmaß beschränkt werden.

Der Hersteller muss für das Smartphone, bestehend aus Betriebssystem, Hersteller-Branding sowie vorinstallierte Drittanbieter-Apps eine DSGVO-konforme Erklärung über die Erhebung sowie der Verarbeitung der Telemetriedaten abgeben. Bei Ablehnung durch den Nutzer dürfen keinerlei Telemetriedaten erhoben, verarbeitet oder transferiert werden.

2.4.5Secure Software Plattform

Für Software-Installationen und –Updates des Herstellers muss eine sichere Plattform bereitstehen, die Geräte- und Nutzerinformationen, die diese Plattform für die Erfüllung ihrer Dienste benötigt, zu keinen anderen Zwecken verwendet und auch nicht an Dritte weitergeben darf. Hierzu muss der Anbieter eine DSGVO-konforme Erklärung abgeben.

Hier können Sie sich kostenfrei anmelden

☞ https://t1p.de/8yea

Geschäftsgeheimnisgesetz - GeschGehG

Wie die Umsetzung mit einer korrekten Informationsklassifizierung funktioniert

Haben Sie Ihre Geschäftsgeheimnisse schon ausreichend und nachweisbar klassifiziert, damit Sie diese im Notfall auch schützen können?

Das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) fordert von Unternehmen geeignete Maßnahmen zum Schutz Ihrer Geschäftsgeheimnisse.

Es ist nämlich so: Ohne diese Maßnahmen gelten Ihre Geschäftsgeheimnisse vor dem Gesetz nicht als solche. Und nicht nur das! Sie müssen den pro-aktiven Schutz Ihrer Geschäftsgeheimnisse auch nachweisen können.

Doch wie geht das? Der erste Schritt dafür ist natürlich, dass Sie Ihre Geschäftsgeheimnisse (Ihr Know-how) identifizieren müssen. Danach können Sie mit einer guten Informationsklassifizierung schnell eine gute Basis schaffen.

In unserem Webinar zeigen wir Ihnen, wie Sie das Thema Geschäftsgeheimnisse Schritt für Schritt angehen können, um Ihr wertvolles Know-how zu schützen!

Sie können nun Ihr neu gewonnenes Wissen gleich praktisch umsetzen und somit zur Zukunftsfähigkeit Ihres Unternehmens beitragen!

This post is only visible to logged-in members. Log in now

Ich bin Klarheitsschaffer und Umsetzungsexperte. Mit unserem Team unterstützen wir Menschen und Organisationen, die sich in Umsetzungsprozessen befinden oder sich in solchen befinden wollen.Ich persönlich unterstütze seit vielen Jahren Unternehmen in den Bereichen Datenschutz und Informationssicherheit. Ich freue mich auf einen regen Informationsaustausch.

Viele Grüße,

Uwe Hupprich

DSA,DSB und ISMS Lead Auditor

Datenschutz-Grundverordnung laut WIKIPEDIA:

Die Datenschutz-Grundverordnung (DSGVO; französisch Règlement général sur la protection des données RGPD, englisch General Data Protection Regulation GDPR) ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Dadurch soll einerseits der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt, und auch andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden.

Die Verordnung ersetzt die aus dem Jahr 1995 stammende Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.

Zusammen mit der sogenannten JI-Richtlinie für den Datenschutz in den Bereichen Polizei und Justiz bildet die DSGVO seit dem 25. Mai 2018 den gemeinsamen Datenschutzrahmen in der Europäischen Union.

Quelle: https://de.wikipedia.org