6 gute Gründe für ProLog:

  • maximiert Ihre IT-Sicherheit und IT-Verfügbarkeit

  • Umsetzung MaRisk BAIT ab Herbst 2017

  • Umsetzung der Vorgaben aus den BSI-Handbüchern zum Thema „Sicherer IT-Betrieb“

  • Beachtung des Mitarbeiter- datenschutzes (BDSG und EU- DSGVO)

  • Standard Protokollierungs- und Auditierungskonzept mit fertigen Berichtspaketen

  • keine Investitionskosten, sondern Servicepauschale in €/Monat/ Mitarbeiter

Ihr Werkzeug  - IT@WORK ProLog -

Der Trend der Digitalisierung in der Industrie und die neuen Anforderungen durch die europäische DSGVO (Datenschutzgrundverordnung) erhöhen massiv die Anforderung an die IT-Sicherheit und IT-Compliance für den Mittelstand.


Die Digitalisierung bedeutet für die meisten mittelständischen Unternehmen Produktinnovation, Einsatz von BigData und neue moderne IT- und Applikationslandschaften aus der hybriden Cloud. Dies wiederum erhöht und verändert die Anforderungen an IT-Sicherheit und Datenschutz. Bereits heute ergießt sich eine Fülle von Regularien über den Mittelstand, die besonders das Risikomanagement und die IT-Systeme im Bereich Risikosteuerung treffen. Am 25. Mai 2018 tritt die neue europäische Datenschutzgrundverordnung (EU-DSGVO) mit verschärften Regeln in Kraft. Werden dann personenbezogene Daten von EU-Bürgern gestohlen, drohen dem betroffenen Mittelständler hohe Geldbußen. Für den Mittelstand heißt das: Tempo machen bei der Umstellung.


Neben den gesetzlichen gilt es aber auch eine Reihe unternehmensinterner Vorschriften zu beachten, wie z.B. Betriebs- und Handlungsanweisungen und Compliance Richtlinien. Neue Berichtspflichten werden die bisherige Praxis ablösen müssen.


Da diese Anforderungen in einer Fülle von organisatorischen Herausforderungen münden, liegt es nahe, dass sich der Mittelständler auch in Form eines an die Anforderungen angepassten Protokollierungs- und Auditierungskonzeptes mit dem Thema beschäftigt.


Wichtige Inhalte des Konzeptes sind unter anderem:

  • Einhaltung der Gesetze des KWG, Telemediengesetz, BDSG und DSGVO
  • Umsetzung der neuen Vorgaben aus MaRisk BAIT ab Herbst 2017
  • Umsetzung der Vorgaben aus den Handbüchern des BSI (Bundesamt für Sicherheit in der Informationstechnik) zum Thema „Sicherer IT-Betrieb“
  • Definition von Grundsätzen zur Protokollierung
  • Bestimmung der relevanten Systeme und Anwendungen
  • Erstellung einer Risikobetrachtung
  • Erarbeitung eines Umsetzungsleitfadens
  • Definition des N-Augen Prinzips zwecks Mitarbeiterdatenschutz
  • Datenmaskierung mit Pseudonymisierung

Rechtliche Herausforderungen

Die gesetzlichen Rahmenbedingungen für die Industrie und den Mittel- stand sind im Folgenden detailliert beschrieben: 

Fazit:

Alle diese gesetzlichen Vorgaben setzen das Vorhandensein eines Systems zum Erfassen und Auswerten von Ereignismeldungen voraus. Dies wiederum erfordert zwingend eine konzeptionelle Darstellung aller damit verbundenen Prozesse und Systeme in Form eines Protokollierungs- und Auditierungskonzeptes.

Bundesdatenschutzgesetz

Das Bundesdatenschutzgesetz (BDSG) fordert von Unternehmen eine Reihe regulatorischer Richtlinien sicher zu beherrschen und anzuwenden. Dies sind u.a.:

  • Datenvermeidung und -Sparsamkeit
  • Pseudonymisierung aller persönlichen Informationen
  • Sicherstellung der Zulässigkeit der Datenerhebung
  • Diverse technische und organisatorische Maßnahmen


EU-Datenschutzgrundverordnung

Im Rahmen der Einführung der EU-DSGVO kommen ab Mai 2018 neue Anforderungen auf den IT- Betrieb zu. Dies betrifft vor allem den Schutz von personenbezogenen Daten welche besonders geschützt werden müssen.


Gesetz zur Kontrolle und Transparenz im Unternehmensbereich

Im Rahmen des KonTraG kam es 1998 zu einer Reihe von Anpassungen für Unternehmen. Es for- dert beispielsweise von Vorständen: „ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“ können. Diese wichtige Anforderung an Unternehmen setzt für die IT neben Monitoring auch Protokollierung voraus.


Telemediengesetz

Die Verwendung von Kundendaten konfrontiert Unternehmen mit ähnlichen Anforderungen wie die Verwendung interner Ereignisinformationen. Das TMG fordert spezifizierte organisatorische und technische Maßnahmen im Umgang mit diesen Daten wie z.B.:

  •  „Eine Maßnahme [...] ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungs- verfahrens.“
  • „Der Diensteanbieter darf [...] Nutzungsprofile bei Verwendung von Pseudonymen erstellen [...]“

Kreditwesengesetz

Unternehmen und Organisationen, die unter das KWG fallen, werden im Rahmen der Regelungen zu besonderen organisatorischen Pflichten angehalten. Diese sind in Bezug auf die IT und die Ver- wendung von Logdaten u.a.:

  • Ein Institut muss über eine ordnungsgemäße Geschäftsorganisation verfügen [...]“
  • „angemessene personelle, technische und organisatorische Ausstattung des Instituts“ 
  • „die Festlegung eines angemessenen Notfallkonzepts, insbesondere für IT-Systeme“.

IT-Sicherheitsgesetz

Verpflichtet deutsche Unternehmen in „infrastrukturkritischen“ Bereichen zu ausführlichem Report- ing bei Angriffsfällen. Diese Bereiche umfassen:

  • Energie
  • Informationstechnik und Telekommunikation
  • Transport und Verkehr
  • Gesundheit
  • Wasser
  • Ernährung
  • Finanz- und Versicherungswesen


MaRisk BA und MaGo

MaRisk BAIT ab Herbst 2017 und MaGo (ersetzt seit 1.1.2016 MaRisk VA) beschreiben übergreifend die aufsichtsrechtlichen Mindestanforderungen an die Geschäftsorganisation von Banken, Versicherungen und Leasinggesellschaften. Im Speziellen für das Log-Management bedeutet das:

  • Referenz auf BDSG (Datensparsamkeit, -vermeidung und Pseudonymisierung)
  • Protokollierung und Auswertung der Protokolle aus AT 7.2 MaRisk und §9 BDSG
  • MaRisk BAIT (Bankaufsichtliche Anforderungen an die IT)

Unsere Lösung

IT@WORK ProLog® bietet für die Industrie und Mittelstand eine etablierte und standardisierte Lösung mit fertigen Berichtspaketen.

Alarmierungs– und Berichtspakete

Entwickelt in Zusammenarbeit mit den Kunden für die Kunden. Diese automatisierten Berichte wurden bereits in den verschiedensten Verbandsgebieten in Deutschland erfolgreich geprüft und sind sofort einsetzbar. Die Pakete werden ständig im Rahmen des Wartungsvertrages gepflegt und erweitert. Zum Umfang der Berichte gehören unter anderem die Auswertung von Ereignissen für Microsoft Server 2003-2016, Microsoft Files Server, Linux, VMware, Exchange, Lotus Notes, CISCO, ....

 Berichtspakete Entwickelt in Zusammenarbeit mit Banken für Banken. Diese automatisierten Berichte wurden be- reits in den verschiedensten Verbandsgebieten in Deutschland erfolgreich geprüft und sind sofort einsetzbar. Das Berichtspaket wird ständig im Rahmen des Wartungsvertrages gepflegt und erwei- tert. Zum Umfang der Berichte gehören unter anderem die Auswertung von Ereignissen für Micro- soft Server 2003-2016, Microsoft Files Server, Linux, VMware, CISCO und Lotus Notes. Abb. 1 zeigt einen Ausschnitt aus dem Management-Report der täglich vom SIEM-Administrator kontrolliert wird

Abb. 1 zeigt einen Ausschnitt aus dem Management-Report der täglich vom SIEM-Administrator kontrolliert wird.

Security made in Germany

Pseudonymisierung

ProLog pseudonymisiert nach diversen Kriterien den Benutzerbezug in einer Ereignismeldung. Hierbei werden die sensiblen Informationen technisch von der Ereignismeldung getrennt. ProLog bietet auch die Möglichkeit einen LDAP konformen Server (z.B. OpenLDAP, MS AD...) für die Pseudonymisierung anzubinden. Mit der logischen Trennung des Benutzerbezug vom Ereignis, kann man unterschiedliche Speicherfristen definieren.

Abb. 2 zeigt eine „Write Operation“ im Dashboard von ProLog FileAudit. Rot umrandet ist der pseu- donymisierte Benutzername.

Abb. 2 zeigt eine „Write Operation“ im Dashboard von ProLog FileAudit. Rot umrandet ist der pseudonymisierte Benutzername.

Lizenzierung

Aufgrund der intelligenten Form des Angebots als Servicepauschale in €/Monat/MA (Anzahl Mitarbeiter) ist die Lösung für kleine und große Mittelständler höchst interessant. Mit der Kündigungsfrist von drei Monaten auf Quartalsende ist die Lösung ad hoc und temporär auch für Unternehmen anwendbar, die bereits planen selektives Outsourcing umzusetzen oder darüber nachdenken.

N-Augen-Prinzip

Die Mitarbeiter eines klassischen deutschen Mittelständlers (zirka 500+ IT-Anwender) erzeugen im Schnitt 2 Millionen Ereignismeldungen pro Tag. Dies ist de jure eine Massendatenerhebung mit personenbezogenen Daten und damit ein harter Verstoß gegen das BDSG und die kommende EU- DSGVO.

Das N-Augen Prinzip ist eine organisatorische Lösung, die prozesstechnisch in ProLog fest verankert ist. Ohne die Zustimmung Dritter kann kein IT-Administrator einen Personenbezug in der Darstellung der Ereignismeldungen im Dashboard oder in einem Bericht herstellen.
Dieses Prinzip stellt jeden Datenschutzbeauftragten, Betriebs– und Personalrat zufrieden.

Abb. 3 zeigt den jeweils zu definierenden N-Augen Prozess des Unternehmens

FileAudit

Unser FileAudit liefert mehr Sicherheitsinformationen als die Auditfunktion des Microsoft File Server. Mit FileAudit kann man gezielt einzelne wichtige Dateien und/oder Dateiverzeichnisse schützen.


IT-Monitoring und IT-Verfügbarkeit

Viele unserer Kunden nutzen unsere Lösung nicht nur für die Umsetzung und Überwachung der IT-Compliance sondern zusätzlich für das IT-Monitoring und IT-Verfügbarkeit.


Protokollierungs– und Auditierungskonzept

Aus der Erfahrung von vielen externen Audits ist ein Rahmen für ein Protokollierungs– und Auditierungskonzept entstanden, welcher im Zusammenspiel unserer Consultants und den Fachabteilungen des Kunden kundenspezifisch angepasst und gepflegt werden kann.


Services

Zusammen mit unseren Partnern bieten wir Ihnen IT@WORK ProLog® als „on Premise“ oder Cloud- Lösung an. Der Trend bei unseren Kunden geht eindeutig hin zur „Managed Security Service“ Lösung.
Unsere Mitarbeiter und Partner stehen Ihnen gerne persönlich zur Verfügung um mehr über die Lösungsmöglichkeiten mit IT@WORK ProLog® zu erfahren. Nutzen Sie unsere Informationsveranstaltungen, Webinare oder kontaktieren Sie uns einfach über Telefon oder E-Mail.