Auf Landesebene aktiv
Mittelstandsunion Niederbayern als kompetenter Partner regionaler Mittelständler

Die Mittelstandsunion Niederbayern
Auch auf Landesebene Sprachrohr mittelständischer Unternehmer

Bild: MU Bayern
Bild: MU Bayern

MU-Bezirksversammlung 2018
Peter Erl mit 100 Prozent als Vorsitzender bestätigt

Datenschutzgrundverordnung im Rampenlicht beim dritten IT-Forum in Bad Birnbach

Für einen informativen Tag rund um die IT-Sicherheit in Bad Birnbach sorgten die verschiedenen Referenten, gemeinsam mit MU-Bezirksvorsitzenden Peter Erl und Vertretern des MU-Kreisverbandes Rottal-Inn
Für einen informativen Tag rund um die IT-Sicherheit in Bad Birnbach sorgten die verschiedenen Referenten, gemeinsam mit MU-Bezirksvorsitzenden Peter Erl und Vertretern des MU-Kreisverbandes Rottal-Inn

Während derzeit überall landauf und landab Info-Veranstaltungen über digitale Sicherheit abgehalten werden, holte die Mittelstands-Union Niederbayern, in bewährter Kooperation mit der Bits & Bytes GmbH Rotthalmünster sowie der CLG IT Systems GmbH Pfarrkirchen, heuer bereits zum dritten Mal eine brillante Expertenrunde ins Artrium Bad Birnbach, wo die Veranstaltung am 19.04.2018 stattfand.  

So konnte Dipl. Betriebswirt (FH) Hubert Girschitzka, der sich die Moderation teilweise mit Dieter Hilgärtner von der IHK Passau teilte, Dipl. Ing. (FH) Peter Erl, den Bezirksvorsitzenden der Mittelstands-Union Niederbayern und stellvertretenden Landesvorsitzenden als Mitveranstalter, sowie MU-Kreisvorsitzenden Josef Kohlpaintner begrüßen, und außerdem etwa 90 Repräsentanten aus dem Mittelstand, die trotz strahlenden Sonnenscheins und hochsommerlichen Temperaturen höchst interessiert an der Vortragsreihe der fünf Experten waren.

Zuallererst trat Matthias Schmidt vom Bayerischen Landeskriminalamt mit seinem Thema „Cybercrime und IT-Sicherheit anhand von Fallbeispielen – Phänomene sowie Möglichkeiten und Grenzen der Schutzmechanismen“ vor das Publikum. Er richtete das Hauptaugenmerk der Zuhörer auf die Frage: „Wer hat ein Auge auf Ihre IT?“ im Hinblick auf Cybercrime seien Diskretion, vernetzte Kompetenzen, gerichtsfeste Forensik und rechtliches Fachwissen unabdingbar. Im Falle von Datenklau könne die Polizei keine Diskretion zusichern, doch die Zentralstelle für Cybercrime, Sachgebiet 541, im Gegenteil hierzu schon; deshalb riet Schmidt unbedingt, diese so bald wie möglich bei Social Engeneering, Erpressung, DDOS-Angriffen und CEO-Fraud einzuschalten. Menschliches Fehlverhalten, organisatorische oder technische Mängel seien in den meisten Fällen der Grund für Daten- und Computerpannen; so z.B. offene Ports, ein fehlendes Backup, oder wenn das Backup nicht an einem anderen Ort als die Firmensoftware aufbewahrt werde, da es relativ unwahrscheinlich sei, dass in der Firma und zu Hause gleichzeitig eingebrochen werde. Außerordentlich wichtig sei es, dass sowohl Chef, als auch Prokurist und jeder andere für IT verantwortliche Mitarbeiter ein eigenes, gut verschlüsseltes Kennwort habe; eine verschlüsselte Kommunikation (bei Rechnungen usw.) mittels pdf bringe Sicherheit. Aufmerksamkeit verringere ebenfalls Schäden: Wenn z. B. der Computer auf einmal sehr langsam arbeitet, obwohl gerade keine Updates gefahren werden, hat sich vermutlich schon Ransomeware breit gemacht, etwa durch Anklicken von Anhängen in E-Mails – „womöglich arbeitet der Feind bereits mit BitCoins auf Ihre Stromrechnung“! Vor Augen geführt wurde außerdem, dass Telefone heutzutage richtige Computer sind, und sie deswegen ebenfalls ein Kennwort brauchen, um mit ihnen verschlüsselt kommunizieren zu können. Die Möglichkeiten für Straftäter seien auch hier groß; z.B. könne Telefon 1 mit Hilfe eines Codes analoge Sprache in digitale Daten umwandeln, das Netzwerk überträgt die Daten z.B. ins Internet; Telefon 2 wandelt die digitalen Daten mit dem gleichen Code wieder in analoge Sprache um. Mehrwertnummern, wie die 0190, am besten nicht anwählen. Das Kommunikationssystem Alexa sei relativ sicher, im Gegensatz zu Smartphones, Apps oder Drohnen.


Der spannende und eloquente Vortrag des Landeskriminalbeamten endete mit dem Zitat Thomas Jeffersons „Ewige Wachsamkeit ist der Preis der Freiheit“. Das treffe auch auf die IT zu.

„Situative Darstellung von Netzangriffen – notwendige Schutzmaßnahmen für Unternehmer und Mitarbeiter“ war das Thema von Dipl. Betriebswirt (FH) Stefan Hauptenbuchner von Bits & Bytes GmbH, der sogleich erläuterte, wer heutzutage die Angreifer sind: Script-Kiddies, Hacker, Cracker (ab da wird es wirklich gefährlich) und Cyber-Kriminelle. Internetcrime sei lukrativer als Drogenhandel.  Die Angriffe erfolgen über Router, Browser und Outlook, durch manipulierte E-Mails und Websites, z.B. über populäre Google-Suchbegriffe und angebliche Hilfssoftware). Fehler in Programmen und Geräten werden ausgenutzt zu einem Brute-Force-Angriff. Der erfahrene Praktiker gab Beispiele aus seiner Tätigkeit zum Besten, erläuterte Auswirkungen der Schadsoftware auf Firmen und Mitarbeiter, beleuchtete die rechtliche Seite, und riet dringend zu Schutzmaßnahmen und nicht nachlassender Aufmerksamkeit. Im Hinblick auf Vorbeugung sei auch eine Aktualität der Software wichtig, eine sog. Zwei-Faktor-Anmeldung (Passwort und SMS) bringe Sicherheit. Wichtig auch die Passwortverwaltung und ein Kryptonizer in Form eines Schlüsselanhängers, mit Hilfe dessen lange Passwörter mit Sonderzeichen spielend leicht verschlüsselt werden können. Besonders pfiffig: Die Firma Bits & Bytes GmbH – CLG IT Systems GmbH hatte für jeden Besucher einen dieser Schlüsselanhänger (nebst anderen kleinen Aufmerksamkeiten) in petto.

Das nächste fachliche „Schwergewicht“ war Elisabeth Greiner vom Bayerischen Landesamt für Verfassungsschutz. Sie referierte zu „Gefahren und Abwehr von Wirtschaftsspionage – Know-How-Schutz und Informationssicherheit im Unternehmen“. Zu Beginn sprach Frau Greiner über die Praxis der Nachrichtendienste und darüber, dass die Nachrichtendienste der BRD im Gegensatz zu allen anderen Ländern ausschließlich aus (Daten)Schutzgründen operierten, während die Geheimdienste anderer Länder nur auf Spionage aus seien. Sie wies darauf hin, dass der Bundestag bereits wieder gehackt worden sei, führte den Facebook-Skandal an, der auf die gefühlte Sicherheit (Awareness) zurückgehe. Aus Awareness gehe man Risiken für die digitale Präsenz ein. Die häufigsten unterschätzten Risiken seien offene Informationen, Vernetzung und viele Apps. Ewa 5 % des Unternehmens seien besonders schützenswert – diese zu schützen sei keine Hexerei, nur akribische und regelmäßige Arbeit. Zu beachten sei, dass 70 % aller Täter Insider seien. Schließlich folgten noch Tipps, welche Daten man der Cloud anvertrauen könne.

Frisch gestärkt nach der Kaffeepause informierte Christian Bößl, Chef beim Büro für zertifizierten Datenschutz, die interessierten Zuhörer über sein Arbeitsthema „Datenschutzgrundverordnung - ab 25.05.2018 verpflichtend für jedes Unternehmen – Vorbeugung von möglichen Datenschutzverletzungen“.


Im Datenschutz gebe es 4 Grundsätze:
- Verbot mit Erlaubnisvorbehalt (personenbezogene Daten)
- Direkterhebungsgrundsatz
- Grundsatz der Datensparsamkeit
- Recht auf „Vergessen“ und Datenlöschung (personenbezogene Daten).


Rechtmäßigkeit, Transparenz und Informationspflichten, Sicherheit -  alles sei hoch kompliziert; allein zur Rechtmäßigkeit gebe es 14 einzelne Erhebungen; hierzu wurden folgende Angaben auf die Leinwand appliziert:
Transparenz und Informationspflichten nach Art. 13 und 14 DS-GVD beinhalten: 
- Name (Firmenname) und Kontaktdaten des Verantwortlichen
- Kontaktdaten des DSB
- Zweck der Datenerhebung
- das berechtigte Interesse, sofern die Datenerhebung aufgrund eines solchen erfolgt
- gegebenenfalls die Empfänger (Kategorien)
- Übermittlung in Drittländer
- geplante Speicherdauer
- Betroffenenrechte (Auskunft, Löschung, Berichtigung, Sperrung etc.)
- Beschwerderecht bei der Datenschutzaufsichtsbehörde


Sicherheit und Rechenschaftspflicht, Artikel 5 DS-GVO, beinhaltet:
1) Personenbezogene Daten müssen -
a)…auf rechtmäßige Weise (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
b)…auf festgelegte, eindeutige und legitime Zwecke (Zweckbindung)
c)…auf das notwendige Maß beschränkt (Datenminimierung)
d)…sachlich richtig (Richtigkeit)
e)…erforderlich (Speicherbegrenzung) und
f)…mit angemessener Sicherheit (Integrität und Vertraulichkeit) verwaltet werden.
Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (Rechtmäßigkeit und Beweislastumkehr).


Anschließend informierte der beschlagene Datenschützer, wie man Datenpannen vermeiden kann bzw. wie man mit bereits eingetretenen Datenpannen am besten umgeht. Zu beachten ist hierzu:
Eine Datenpanne ist binnen 72 Stunden an die Aufsichtsbehörde zu melden! Ein praktisches Beispiel zur Vermeidung einer Datenpanne ist, die Datensicherung außer Haus aufzubewahren. Ein interner Datenschutzbeauftragter macht laut Bößl keinen Sinn, denn er darf nicht in einer Führungsposition sein. Das abschließende Resümee des komplexen Themas lautete: „Datenschutz ist keine Hexerei – nur viel Aufwand“.

Last but not least bekamen die Teilnehmer das Thema „Datensicherung – warum und wie? Hinweise und interessante Tipps zur Wiederherstellung von verlorenen oder beschädigten Datenbeständen“ von Dipl. Ing. Franz Lew – CLG IT Systems GmbH – aufbereitet.


Hierzu nahm Franz Lew eine Einteilung der Daten vor, in: Datensicherung, System-Sicherung, Applikation-Sicherung, und welche Daten einer Vollsicherung, einer Differentiellen Sicherung oder einer Inkrementeller Sicherung bedürfen. Snapshot bei Windows, VMWare, Storage, Filesystem; zudem sprach er begeistert über Crash-Konsistente Sicherung, Applikationskonsistente Sicherung und darüber, bei großen Datenmengen eine Hardware Datensicherung zu machen – mehrere Snapshots in der Stunde bringen maximale Sicherheit; für die VSB Festplatte sollten Nas Systeme verwendet werden, RDX-Laufwerke (Wechselplatte), DAS beim lokalen Speicher; Software S: Veeam, Cloud, Netbackup, ArcServe, Backup Exec, Backup Assist, Freeware Tools, Bordmittel Windows, Scripte und Batchdateien. Franz Lew wies zudem auf die besondere Wichtigkeit der regelmäßigen Kontrolle hin und dass oft deswegen ein Fehler passiert, weil die Festplatte gerade voll ist und man deshalb nicht rechtzeitig eine Datensicherung vornimmt. Eine Spiegelung beider Festplatten (RAID-Sicherung) ist in seinen Augen keine Datensicherung. Bevor man nach Verlust der Daten eine Wiederherstellung der Daten mittels Filesystem vornehmen lässt, ist es in jedem Fall besser, den Server zu sichern…. Ist es doch zu einer Datenpanne gekommen, sollte man als erstes das Schadensszenario feststellen, schloss Franz Lew seine Erläuterungen.

Die Referenten standen nach den spannenden Vorträgen dem interessierten Publikum noch zur Beantwortung diverser Fragen zur Verfügung.
Dass die Veranstaltung wiederum ein fantastischer Erfolg - gerade für die Region Rottal-Inn – war, bewiesen die guten Noten, die die Anwesenden anonym anhand eines Fragebogens an jeden Einzelnen vergeben konnte.

Wer auf Grund der Vielschichtigkeit der Themen noch Fragen hat, bzw. wer sein Wissen noch mehr vertiefen möchte, kann sich gerne an die Veranstalter (Bits & Bytes GmbH Rotthalmünster, CLG IT Systems GmbH Pfarrkirchen) wenden!

 

Elfriede Freifrau von Lang
Pressebeauftragte MU, Bezirk Niederbayern

Zurück