GDPR

All posts tagged GDPR

AK “Stand der Technik” in der IT-Sicherheit

on 24. Februar 2020

Ausgelöst von der Verabschiedung des IT-Sicherheitsgesetzes durch die Bundesregierung im Juli 2015, wurde im Bundesverband IT-Sicherheit e.V. (TeleTrusT) der Arbeitskreis “Stand der Technik” initiiert. Die Mitwirkenden haben schon sehr früh die Notwendigkeit erkannt, den rechtlich geforderten aber unbestimmten Begriff “Stand der Technik” in der IT-Sicherheit zu konkretisieren. So entstand auch die Idee, die Sicht des Verbands sowie der beteiligten Autoren in einem Dokument (sogenannten Handreichung) zusammen zu fassen. Tomasz Lawicki wurde zum Leiter des Arbeitskreises ernannt.

Im Mai 2016 wurde die erste Fassung der Handreichung mit dem Titel “Handreichung zum Stand der Technik im Sinne des IT-Sicherheitsgesetzes” veröffentlicht.

Schwerhoff Consultants GmbH (SC) hat mit zwei Co-Autoren federführend und richtungsweisend an der Entstehung dieser Handreichung mitgewirkt. Das Dokument liefert praxistaugliche Handlungsempfehlungen und kann als Leitlinie und Orientierungshilfe für zukünftige Betrachtungen dienen.

Tomasz Lawicki, Principal bei SC und Leiter des TeleTrusT-Arbeitskreises “Stand der Technik” sagt in der Pressemeldung des TeleTrusT:

Durch das ITSiG sind Unternehmen (‘KRITIS’ und ‘Nicht-KRITIS’) gefordert, ihre Sicherheitsmaßnahmen im Hinblick auf die Aktualität und Wirksamkeit zu überprüfen. Die TeleTrusT-Handreichung zum Stand der Technik unterstützt Unternehmen dabei, den Zustand der Sicherheitsmaßnahmen realistisch einzuschätzen und gegebenenfalls Nachbesserungen abzuleiten und trägt dadurch branchenübergreifend zur Erhöhung der Informationssicherheit bei.”

Die Handreichung des TeleTrusT können Sie hier herunterladen. 

Das Dokument wird fortlaufend aktualisiert und erweitert. Im Januar 2018 wurde das Dokument vollständig überarbeitet und ergänzt, um  ebenfalls die Vorgaben aus der Datenschutz-Grundverordnung (DSGVO, GDPR) abzudecken. Seitdem wird das Dokument fortlaufend aktualisiert und ergänzt.


Um den „Stand der Technik“ für unsere Kunden messbar zu gestalten und damit mögliche Pönalen oder Bußgelder abzuwenden, haben wir eine Prüfmethodik entwickelt, die es ermöglicht, den Technologiestand der umgesetzten technischen und organisatorischen Maßnahmen einzuordnen. Sie ermöglicht, eigene Maßnahmen mit anderen am Markt verfügbaren Maßnahmen zu vergleichen.

Kontaktieren Sie mich gerne bei Fragen und Anregungen.

Tomasz Lawicki, Leiter Arbeitskreis "Stand der Technik"

Tomasz Lawicki

Mehr über Tomasz Lawicki

Tomasz LawickiAK “Stand der Technik” in der IT-Sicherheit

IT Security Expo and Congress | it-sa 2019

on 10. November 2019

Der IT Security Expo and Congress (oder kurz it-sa) gehört mit über 700 Ausstellern und knapp 16.000 internationalen Fachbesuchern aus 25 Ländern jährlich zu den größten Fachmessen im Bereich der IT-Sicherheit.

Neben internationalen Ausstellern wird die Messe gekonnt ergänzt durch qualifizierte Forenbeiträge sowie ein umfangreiches Kongressprogramm mit hochrangiger Beteiligung. Auf dieser Veranstaltung zu referieren, ist es immer ein besonderes Erlebnis. Denn man tritt vor einem Fachpublikum auf und erhält unmittelbar ein Feedback zu den Inhalten seines Vortrags.

Vor diesem Hintergrund war es mir eine besondere Freude und Ehre, auf der it-sa 2019, einen Vortrag zum “Stand der Technik” in der IT-Sicherheit zu halten. In der anschließenden Podiumsdiskussion mit den TeleTrusT-Vorständen, Prof. Norbert Pohlmann und RA Karsten Bartels LL.M., diskutierte ich über die besonderen Anforderungen an die IT-Sicherheit in Zeiten der Digitalisierung.


Wenn auch Sie vor der großen Herausforderung stehen, die Digitalisierungsstrategie Ihres Unternehmens umzusetzen, sollten wir uns unterhalten. In einem unverbindlichen Termin können wir die Wege besprechen, wie sichere Digitalisierung gelingt.

 

Tomasz Lawicki

Tomasz Lawicki

Mehr über Tomasz Lawicki

 

Tomasz LawickiIT Security Expo and Congress | it-sa 2019

Seminar an der TU Dresden

on 15. September 2019

Die Technische Universität Dresden (TU Dresden) ist mit rund 32.400 Studenten und rund 8.300 Beschäftigten aus 70 Ländern die größte Universität des Freistaates Sachsen. Es ist daher verständlich, dass bei einer Einrichtung dieser Größe ebenfalls eine umfassende IT-Infrastruktur eingesetzt wird.

Gemäß der europäischen Datenschutzgrundverordnung (DSGVO) müssen die eingesetzten technischen und organisatorischen Maßnahmen (TOM) regelmäßig überprüft und am „Stand der Technik“ ausgerichtet werden. Diese Verpflichtung gilt auch der TU Dresden.

Der Arbeitskreis „Stand der Technik“ beim Bundesverband IT-Sicherheit e.V. (TeleTrusT), den ich leite, setzt zur Bewertung der in der Handreichung „Stand der Technik“ beschriebenen Maßnahmen eine standardisierte Methode ein. Im Rahmen eines Seminars konnte ich diese Methode den interessierten Administratoren und Administratorinnen der TU Dresden vorstellen. Anhand einiger Beispiele konnte ich die praktische Bestimmung des Stands der Technik erläutern.

Tomasz Lawicki

Tomasz Lawicki

Mehr über Tomasz Lawicki

Tomasz LawickiSeminar an der TU Dresden

Was bedeutet “Stand der Technik”?

on 28. Mai 2018

Aus der DSGVO resultiert die Verpflichtung der Verantwortlichen, geeignete technische und organisatorische Maßnahmen zu treffen, um den Schutz personenbezogener Daten sicherzustellen. Dabei soll der Stand der Technik dieser Maßnahmen berücksichtigt werden. Der Artikel zeigt einen methodischen Ansatz, um den Technologiestand der im Unternehmen eingesetzten Maßnahmen zu bestimmen und somit der aus der DSGVO geforderten Dokumentationspflicht nachzugehen.

Tomasz LawickiWas bedeutet “Stand der Technik”?

„Stand der Technik“ und DSGVO

on 29. März 2018

Am 21. März 2018 sprach ich auf der Regionalveranstaltung des Bundesverbands IT-Sicherheit e.V. (TeleTrusT). Eingeladen hat Detack GmbH als TeleTrusT-Regionalstelle Stuttgart in das sehr imposante Residenzschloss zu Ludwigsburg.

Beim strahlenden Sonnenwetter und Frühlingstemperaturen in Ludwigsburger Schlossgarten sprach ich als Keyspeaker der Veranstaltung über den gesetzlich geforderten Technologiestand von technischen und organisatorischen Maßnahmen (TOM). Unterschieden wurden die Technologiestände “allgemein anerkannten Regeln der Technik”, “Stand der Technik” und “Stand der Wissenschaft und Forschung”.

Zeitaktuell zielte die Veranstaltung auf die europäische Datenschutzgrundverordnung (DSGVO, GDPR) ab, die im Artikel 32 die Berücksichtigung des “Stands der Technik” bei Anwendung der TOMs fordert. So wurden neben dem Verständnis und Verwendung der einzelnen Technologistände auch eine Methode zu ihrer Bestimmung hergeleitet. Im Nachgang wurden einige Beispiel für die Anwendung im Zusammenhang mit DSGVO besprochen.

Gerade die Beispiele ermöglichten dem Auditorium ein besseres Verständnis der einzelnen Technologiestände sowie ihre Abgrenzung  in der Praxis.

Ich bedanke mich bei Detack für die Einladung und die Organisation der Veranstaltung.

Dank der Organisation, den interessanten und konstruktiven Gesprächen mit den Teilnehmern (während und im Nachgang der Veranstaltung) sowie zu guter Letzt der ausserordentlichen Location, bleibt mir diese Veranstaltung für eine lange Zeit in einer sehr positiven Erinnerung.

Tomasz Lawicki

TOMASZ LAWICKI
Mehr über Tomasz Lawicki

Tomasz Lawicki„Stand der Technik“ und DSGVO

CAST e.V. zu IT-SiG und DSGVO

on 19. April 2017

Am 11. Mai 2017 findet in Darmstadt eine Veranstaltung zum Thema „Herausforderungen bei der Umsetzung von IT-SiG und DSGVO“ statt, die wir zusammen mit CAST e.V. organisiert haben. In der Veranstaltung werden die wesentlichen Herausforderungen aus IT-SiG und DSGVO erörtert sowie Wege aufgezeigt, die es bei der Umsetzung der rechtlichen Vorgaben zu bewerkstelligen gilt.

Tomasz LawickiCAST e.V. zu IT-SiG und DSGVO

KES Sonderausgabe zu Cebit 2017

on 16. März 2017

(Neu-) Entdeckung des “Stand der Technik”

Der „Stand der Technik“ als vermeidlich „neue“ Erfindung der aktuellen Gesetzgebung bringt Unternehmen in die schwierige Lage, etwas zu erfüllen, was nicht hinreichend definiert ist. Was jedoch nicht konkret definiert ist, bietet viel Raum für Interpretationen. Im Streitfall wird die Rechtsprechung entscheiden, ob das geforderte Sicherheitsniveau eingehalten wurde. Unternehmen können jedoch vorsorgen und sich mit dem Thema rechtzeitig auseinander setzen.

Tomasz LawickiKES Sonderausgabe zu Cebit 2017