Glossar

GRUNDBEGRIFFE

#


Erste Anlaufstelle zur Bearbeitung und Klärung von Kunden- oder Nutzeranfragen per E-Mail, Telefon, Ticketsystem oder Fernwartung.

Link zum Teilen kopieren  

Weitere Supportangebote sind der 2nd Level Support und 3rd Level Support.

yourIT-Kunden können Anfragen direkt über das eigenst dafür entwickelte Webportal einreichen.




TechnikEntwicklungDatenschutzInformationssicherheit

Besonders bei Nutzerkonten, die sensible Daten enthalten, setzt man heute auf die 2-Faktor-Authentifizierung

Link zum Teilen kopieren  

Die 2-Faktor-Authentifizierung (auch: 2FA, 2-Faktor-Authentisierung) erbringt den Nachweis der Identität einer Person mittels einer Kombination aus zwei der drei folgenden Merkmale:
  1. Besitz eines Gerätes, über das ausschließlich diese Person verfügt,
  2. Kenntnis eines Geheimnisses (z. B. ein Passwort), das nur ihr bekannt ist,
  3. biometrische Charakteristika der Person wie ihren Fingerabdruck.

Eine sehr sichere Methode ist z.B. der Einsatz von Sicherheitsschlüsseln. Wir von yourIT empfehlen hier den YubiKey des Herstellers yubico. Damit lassen sich die Zugänge von Privatpersonen und Unternehmen sehr einfach und effektiv schützen.

Wie einfach das für Privatpersonen und Selbstständige funktioniert, haben wir in einem Selbstversuch durchgeführt und auf unserem Datenschutz-Blog ausführlich und mit Bildern beschrieben.

Vorteile:


TechnikEntwicklungDatenschutzMaßnahmeDigitalisierungInformationssicherheit

Bearbeitung und Klärung von Kunden- oder Nutzeranfragen per E-Mail, Telefon, Ticketsystem oder Fernwartung, die vom 1-Level-Support nicht beantwortet werden können.

Link zum Teilen kopieren  

Ein weiteres Supportangebot ist der 3rd Level Support.


TechnikEntwicklungDatenschutzInformationssicherheit

Bearbeitung und Klärung von Kunden- oder Nutzeranfragen per E-Mail, Telefon, Ticketsystem oder Fernwartung, die vom 2-Level-Support nicht beantwortet werden können.

Link zum Teilen kopieren  

Ein weiteres Supportangebot ist der 2nd Level Support.



TechnikEntwicklungDatenschutzInformationssicherheit

A


as-a-Service-Modell

Link zum Teilen kopieren  

Die Cloud ist da – und damit auch ihre Akronyme. Seit Software as a Service (SaaS) im Jahr 2001 die Welt eroberte, wurde das „as a Service“-Modell auf so ziemlich alles erweitert, was Sie sich vorstellen können.

Im Laufe der Zeit ist die Definition ein wenig verschwommen geworden. Früher bedeutete -aaS etwas, das auf Abonnementbasis über die Cloud ohne physische Komponente bereitgestellt wurde. Daher Software, die kontinuierlich über das Internet auf Ihren Computer geliefert wird, anstatt ein Programm, das Sie für eine einmalige Gebühr gekauft und von einer Disc installiert haben.

Heutzutage kann -aaS jedoch so ziemlich alles bedeuten, was per Abonnement bereitgestellt wird, oder sogar nur einen einfachen alten ausgelagerten Dienst, unabhängig davon, ob die Cloud beteiligt ist oder nicht. Einige -aaS-Modelle sind eine Branchenkategorie und einige sind proprietär für ein einzelnes Unternehmen. Es ist genug, um einen IT-Profi in den Wahnsinn zu treiben, wenn er versucht, mitzuhalten.

Wenn Ihnen also der Kopf schwirrt, machen Sie sich keine Sorgen – Sie sind nicht der Einzige. Um Ihnen zu helfen, haben wir hier einige „as a Service“-Angeboten zusammengestellt mit einer kurzen Beschreibung und einem Blick auf die Marktchancen.

Haben wir etwas verpasst? Lass es uns wissen.


TechnikAbkürzungenAkronymInformationssicherheit

Marketing

Link zum Teilen kopieren  

Das ist der Anteil an Besuchern einer Website, die ohne weitere Links anzuklicken die Seite wieder verlassen. Üblicherweise misst man das in Prozent. Google →Analytics bietet die Möglichkeit, die Abbruchraten zu messen und mit dem Industriedurchschnitt in bestimmten Ländern oder Regionen zu vergleichen. Für geschäftliche Websites ist eine Abbruchrate um die 50% normal.
Marketing

Access Control bezieht sich auf eine Methode der Sicherheitskontrolle, die sicherstellt, dass nur autorisierte Personen oder Systeme Zugriff auf bestimmte Ressourcen oder Informationen haben.

Link zum Teilen kopieren  

Access Control ist ein wichtiger Begriff im Bereich der Informationssicherheit. Es bezieht sich auf die Verwaltung von Zugriffen auf Ressourcen, die von einem Computer oder einem Netzwerk bereitgestellt werden. Access Control umfasst eine Reihe von Technologien, die darauf abzielen, den Zugriff auf Informationen und Systeme zu kontrollieren, um die Vertraulichkeit, Integrität und Verfügbarkeit von Daten zu schützen.

Zu den grundlegenden Elementen der Access Control gehören Authentifizierung, Autorisierung und Überwachung. Authentifizierung bezieht sich auf den Prozess der Identifizierung von Benutzern und stellt sicher, dass nur autorisierte Personen Zugriff auf das System haben. Hierzu werden verschiedene Methoden wie Passwörter, biometrische Merkmale oder Smartcards eingesetzt.

Nachdem die Identität des Benutzers überprüft wurde, erfolgt die Autorisierung. Dabei wird festgelegt, welche Aktionen der Benutzer auf dem System ausführen darf. Dies geschieht in der Regel durch die Zuweisung von Rollen oder Rechten, die auf den Bedarf des Benutzers oder der Gruppe zugeschnitten sind.

Ein weiterer wichtiger Aspekt von Access Control ist die Überwachung. Hierbei werden sämtliche Aktivitäten auf dem System protokolliert und überwacht, um verdächtige Aktivitäten zu identifizieren. Dies ermöglicht es, schnell auf mögliche Bedrohungen zu reagieren und Maßnahmen zu ergreifen, um das System zu schützen.

Es gibt verschiedene Arten von Access Control, darunter Discretionary Access Control (DAC), Mandatory Access Control (MAC) und Role-Based Access Control (RBAC). DAC ermöglicht es Benutzern, den Zugriff auf Ressourcen selbst zu steuern. MAC hingegen legt die Zugriffsrechte auf Basis von Sicherheitsrichtlinien fest, die von einem Administrator definiert werden. RBAC basiert auf der Zuweisung von Rollen, die bestimmte Zugriffsrechte auf Ressourcen definieren.

Moderne Access-Control-Systeme setzen häufig auf mehrschichtige Sicherheitskonzepte und kombinieren verschiedene Technologien, um ein hohes Maß an Sicherheit zu gewährleisten. Dazu gehören beispielsweise Firewalls, Verschlüsselung, Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS).

Insgesamt ist Access Control ein wichtiger Aspekt der Informationssicherheit, der dafür sorgt, dass nur autorisierte Personen Zugriff auf Ressourcen haben. Es ist ein komplexes Thema, das verschiedene Technologien und Konzepte umfasst und ständig weiterentwickelt wird, um den sich verändernden Bedrohungen gerecht zu werden.


TechnikDatenschutzMaßnahmeInformationssicherheit

Ein Account (Konto) stellt ein Benutzerkonto in einem IT-System mit Zugangsbeschränkungen dar.

Link zum Teilen kopieren  


TechnikEntwicklungAbkürzungenDatenschutzDigitalisierungInformationssicherheit

Advertisement, dt. Werbung, Werbeanzeige.

Link zum Teilen kopieren  

Ads umfassen sämtliche Werbeformate aus dem Offline- und dem Online-Bereich (siehe auch Online-Marketing). Dazu gehören unter anderem Print- und digitale Anzeigen, Online-Banner und Fernsehwerbung.
Social MediaTHE LÄNDDatenschutzMarketing

Konfiguriert und betreibt IT-Systeme

Link zum Teilen kopieren  

Abkürzung: Admin.

Vgl. hierzu auch das DOMÄN-PÄCKÄGE "THE ÄDMIN" in THE LÄND Style von THE Ä-TEAM.


TechnikEntwicklungDatenschutzDigitalisierungInformationssicherheit

Marketing

Link zum Teilen kopieren  

Adwords ist ein von Google angebotener, kostenpflichtiger Service. Damit können Anbieter Anzeigen schalten, die bei bestimmten Suchbegriffen eingeblendet werden. Je öfter ein Suchbegriff genutzt wird, desto höher wird der Preis. Ähnlich einer Auktion bietet man einen Preis pro Klick (→Click) oder pro Einblendung (→Impression). Entsprechend der Höhe des Gebots wird die Anzeige dann in der Liste der Anzeigen platziert.


Marketing

Allgemeines Gleichstellungsgesetz

Link zum Teilen kopieren  

Teil unseres Rechtskatasters im Datenschutz-Portal: DS-102990106.

Gesetze im Internet: AGG


AbkürzungenDatenschutzIMSRechtskatasterInformationssicherheit

Artificial intelligence

Link zum Teilen kopieren  

Artificial intelligence (AI), auf deutsch künstliche Intelligenz (KI), bildet ein Teilgebiet der Informatik, das Computer und Maschinen nutzt, um die Problemlösungs- und Entscheidungsfindungsfähigkeiten des menschlichen Geistes nachzuahmen. Die Automatisierung intelligenten Verhaltens und das Maschinenlernen sind dabei wichtige Punkte.


Angriffsziele beziehen sich auf die Objekte oder Ressourcen, die für einen Angreifer von Interesse sein könnten.

Link zum Teilen kopieren  

Angriffsziele beziehen sich auf die Objekte oder Ressourcen, die für einen Angreifer von Interesse sein könnten. Dies kann Folgendes umfassen:

  • -       Name der Organisation, ihre Glaubwürdigkeit
  • -       Vertrauliche Informationen des Unternehmens
  • -       Informationen und Prozesse, die die Kontinuität der Arbeit sicherstellen
  • -       Informationen, die von Dritten anvertraut wurden
  • -       Rechtliche, kommerzielle, technologische Informationen des Unternehmens

RisikomanagementsystemDatenschutzInformationssicherheit

Angular ist ein TypeScript-basiertes Front-End-Webapplikationsframework.

Link zum Teilen kopieren  

Es wird von einer Community aus Einzelpersonen und Unternehmen, angeführt durch Google, entwickelt und als Open-Source-Software publiziert. Das sehr erfolgreiche, clientseitige JavaScript-Web-Framework dient hauptsächlich zur Erstellung von Single-Page-Webanwendungen. Mittlerweile hat sich Angular aber auch zu einer Plattform weiterentwickelt und beinhaltet neben der reinen “API” zur Anwendungsentwicklung mittlerweile auch Entwicklungs-Werkzeuge, Generatoren und mitgelieferte Architektur-Konzepte und stellt somit eine Ready-to-Rock Lösung, um Enterprise-Anwendungen zu entwickeln, dar. Es reiht sich neben den beiden anderen erfolgreichen Frontend Frameworks React und VueJS ein.
Entwicklung

Die Anonymisierung ist das Verändern personenbezogener Daten derart, dass diese nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

Link zum Teilen kopieren  

Eine vollständige Anonymisierung ist sehr schwer zu erlangen.
Datenschutz

Endbenutzer von IT-Systemen.

Link zum Teilen kopieren  


TechnikEntwicklungDatenschutzDigitalisierungInformationssicherheit

Fungiert als erster Ansprechpartner für Anwender; i. d. R. zuständig für die Installation und Wartung von Endgeräten und Anwendungssoftware.

Link zum Teilen kopieren  


TechnikEntwicklungDatenschutzDigitalisierungInformationssicherheit

Installiert und wartet Endgeräte und ist die erste Hilfe für den Anwender bei Problemen im Umgang mit Informationstechnik. Kann das Problem nicht sofort gelöst werden, wird eine weitere Hilfestellung organisiert (z.B. Key-User, Anwendungsbetreuer).

Link zum Teilen kopieren  


TechnikEntwicklungDatenschutzDigitalisierungInformationssicherheit

Anwendungen sind Softwareprogramme, die spezifische Aufgaben für Benutzer erfüllen.

Link zum Teilen kopieren  

Eine Anwendung, im IT-Kontext oft als "Anwendungssoftware" oder "App" bezeichnet, ist ein Computerprogramm oder eine Gruppe von Programmen, die für Endbenutzer entwickelt wurden, um spezifische Aufgaben durchzuführen. Diese Aufgaben können vielfältig sein, von Textverarbeitung und Tabellenkalkulation über Datenbankmanagement bis hin zu spezialisierten Funktionen wie Grafikdesign oder Buchhaltung. Anwendungen laufen auf einem IT-System und nutzen dessen Ressourcen (wie Hardware und Betriebssysteme) zur Ausführung ihrer Funktionen.


EntwicklungInformationssicherheit

Passt Anwendungen innerhalb eines IT-Verfahrens an die Anforderungen der Organisation an. Dies geschieht in enger Zusammenarbeit mit dem Verfahrensverantwortlichen, den Systemadministratoren und den Key-Usern.

Link zum Teilen kopieren  


TechnikEntwicklungDatenschutzDigitalisierungInformationssicherheit

Die "any-any-Regel" in einer Firewall bezieht sich auf eine Regel, die den Datenverkehr von jedem Quell-IP-Adressbereich zu jedem Ziel-IP-Adressbereich erlaubt.

Link zum Teilen kopieren  

Anders ausgedrückt erlaubt diese Regel den Datenverkehr von allen Quell-IP-Adressen zu allen Ziel-IP-Adressen, unabhängig von Portnummern oder Protokollen.

Die Verwendung der any-any-Regel kann zu einem erheblichen Sicherheitsrisiko führen, da dies bedeutet, dass alle Arten von Datenverkehr von jeder beliebigen Quelle zu jeder beliebigen Zieladresse durchgelassen werden, ohne dass die Firewall die Datenpakete überprüft. Dies kann ein Einfallstor für Hacker darstellen, die versuchen, unautorisierten Zugriff auf ein Netzwerk zu erlangen.

Es ist daher in der Regel empfehlenswert, die any-any-Regel nur in speziellen Fällen und nur mit äußerster Vorsicht zu verwenden. Stattdessen sollte der Datenverkehr so weit wie möglich eingeschränkt werden, indem nur bestimmte Quell-IP-Adressen und Ziel-IP-Adressen zugelassen werden, die für die Geschäftsprozesse notwendig sind.


TechnikMaßnahmeInformationssicherheit

Der Begriff Applet ist eine Zusammensetzung aus Application, dt. Anwendung, und Snippet, dt. Schnipsel.

Link zum Teilen kopieren  

Applets sind i.d.R. kleinere Programme, welche im Browser ausgeführt werden und nicht vom Nutzer selbst aktiv angestoßen werden können. Die Programmierung von Applets erfolgt in einer der Programmiersprache Java oder ActiveX. Beispiele für Java-Applets sind Animationen auf Webseiten oder auch Datenbank-Abfragen.


EntwicklungDatenschutzDigitalisierungInformationssicherheit

Parametrisiert und konfiguriert die Anwendungssoftware; betreut Anwendungssoftware und sorgt für deren ordnungsgemäßen Betrieb.

Link zum Teilen kopieren  


TechnikEntwicklungDatenschutzDigitalisierungInformationssicherheit

Ein Auftragsverarbeiter ist eine Person oder ein Unternehmen welches Daten im Auftrag des Verantwortlichen verarbeitet.

Link zum Teilen kopieren  

Ein Auftragsverarbeiter ist eine natürliche oder juristischePerson, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Unter einer Authentifizierung versteht man die Prüfung einer Authentisierung [engl. authentication].

Link zum Teilen kopieren  

Dies erfolgt in der Regel durch einen speziellen Authentifizierungsserver, z.B. Active-Directory.


Siehe auch:
Authentisierung

TechnikDatenschutzDigitalisierungInformationssicherheit

Nachweis, dass ein Nutzer das Zielsystem benutzen darf.

Link zum Teilen kopieren  

Authentisierung [engl. authentication) erfolgt z.B. durch Passwörter. Authentisierung darf nicht mit Identifizierung verwechselt werden: Bei der Identifizierung wird festgestellt, dass eine bestimmte Person mit einer bestimmten Identität übereinstimmt. Authentisierung hingegen stellt nur fest, dass ein Benutzer Kenntnisse (z.B. bei Verwendung eines Passwortes) oder Dinge (z.B. bei Verwendung von Smartcards) hat, die ihn zur Benutzung eines Systems berechtigen.


TechnikEntwicklungDatenschutzDigitalisierungInformationssicherheit

Daten können jederzeit ihrem Ursprung zugeordnet werden.

Link zum Teilen kopieren  


TechnikEntwicklungDatenschutzDigitalisierungInformationssicherheit

Verarbeitung personenbezogener Daten z.B. mittels Computer, Tablet, Smartphone, Scanner, usw.

Link zum Teilen kopieren  

Automatisierte Verarbeitung bezeichnet nach Art. 4 Abs. 2 DSGVO jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
TechnikEntwicklungDatenschutzDigitalisierungInformationssicherheit

B


Gesonderte Netzwerk-Infrastruktur zur Verbindung einzelner eigenständiger Netzwerke mit hoher Geschwindigkeit und meist eigener Administration. Backbone-Kabel verbinden mehrere eigenständige LAN-Netzsegmente zu einem größeren Netzwerkverbund.

Link zum Teilen kopieren  


TechnikEntwicklungDatenschutzDigitalisierungInformationssicherheit

Alte Fassung des Bundesdatenschutzgesetzes.

Link zum Teilen kopieren  

Teil unseres Rechtskatasters im Datenschutz-Portal: DS-102990103.

Gesetze im Internet: BDSG a.F.

Außer Kraft getreten am 25.05.2018.


AbkürzungenDatenschutzIMSRechtskatasterInformationssicherheit

Neue Fassung des Bundesdatenschutzgesetzes.

Link zum Teilen kopieren  

Gesetzliche Regelungen zum Schutz personenbezogener Daten, Gültigkeit für Bundeseinrichtungen und Privatwirtschaft.

Teil unseres Rechtskatasters im Datenschutz-Portal: DS-102990102.

Gesetze im Internet: BDSG-neu


AbkürzungenDatenschutzIMSRechtskatasterInformationssicherheit

Benutzerverwaltung ist im Wesentlichen die Festlegung, welcher Benutzer auf welche Ressourcen in welcher Art und Weise (Lesen, Ändern, Löschen) zugreifen darf.

Link zum Teilen kopieren  

Die Zulässigkeit des Zugriffs richtet sich nach der Erforderlichkeit der einzelnen Benutzer, auf die vorhandenen Ressourcen im Rahmen ihrer Aufgabenerledigung zugreifen zu müssen.
TechnikEntwicklungDatenschutzDigitalisierungInformationssicherheit

Der Betriebsrat hat eine besondere Stellung im Datenschutz.

Link zum Teilen kopieren  

Der Betriebsrat ist eine institutionalisierte Arbeitnehmervertretung in Unternehmen. Mitglieder dieses Organ werden auch als Betriebsrat oder Betriebsrätin bezeichnet. A

us Sicht des Datenschutzes ist dabei folgende Frage zentral: Ist der Betriebsrat ein eigenständiger Verantwortlicher im Sinne der EU-DSGVO für die Verarbeitung von personenbezogenen Daten, die ihm unterliegen? Oder ist er aus Sicht des Gesetzes "nur" eine interne Stelle des Unternehmens und der datenschutzrechtlich Verantwortliche bleibt die Geschäftsführung? Um hier Rechtsklarheit herzustellen, hat der deutsche Gesetzgeber den neuen § 79a BetrVG am 18.06.2021 verabschiedet. Dieser stellt klar, dass der Betriebsrat bei der Verarbeitung personenbezogener Daten die Vorschriften über den Datenschutz einzuhalten habe. Und gleichzeitig wird festgelegt, dass der Arbeitgeber der Verantwortlicher für die Datenverarbeitung des Betriebsrats ist.

Der Gesetzgeber bestimmt damit auch, dass der Datenschutzbeauftragte den Betriebsrat und dessen Verarbeitungstätigkeiten kontrollieren darf.

Grundsätzlich ist der Betriebsrat aus Sicht des Datenschutzes eine ungewöhnliche Form der Personalabteilung, über der Verantwortliche weniger Kontrolle hat und die mit "ungewöhnlichen" Personal besetzt ist - also oft "Nicht-Personaler" und die noch einen Hauptjob" im Unternehmen haben und damit leichter in Vertraulichkeitskonflikte kommen als "Standard-Personaler".


PersonalDatenschutzInformationssicherheit

Die Aufgabe des Betriebssystems ist das geordnete Zusammenwirken und Steuern aller Geräte und Programme eines Computersystems.

Link zum Teilen kopieren  


TechnikEntwicklungDatenschutzDigitalisierungInformationssicherheit

Eine natürliche Person, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer usw., identifiziert werden kann.

Link zum Teilen kopieren  


Datenschutz

Die Rechte der Betroffen kann er oder sie gegenüber dem Verantwortlichen von Datenverarbeitungen ausüben.

Link zum Teilen kopieren  

Gemäß der EU-DSGVO und dem Bundesdatenschutzgesetz (BDSG-neu) können die Betroffenen Datenschutzrechte ausüben:

1. Recht auf Auskunft (näheres dazu in: Art. 15 EU-DSGVO, § 34 BDSG-neu)

Der Betroffene hat das Recht Auskunft darüber zu verlangen, ob im Unternehmen ihn betreffende personenbezogene Daten verarbeitet werden, und - falls dem so ist  welche Daten zu welchem Zweck und aus welcher Herkunft und in welcher Dauer gespeichert sind.

Im Falle einer Datenübermittlung an Dritte, ist auch über die Identität des Empfängers sowie der Kategorien von Empfängern Auskunft zu erteilen.

2. Recht auf Berichtigung (näheres dazu in: Art. 16 EU-DSGVO)

Der Betroffene kann die unverzügliche Berichtigung oder Ergänzung der ihn betreffenden personenbezogenen Daten verlangen, die unrichtig oder unvollständig sind.

3. Recht auf Löschung auch "Recht auf Vergessenwerden" (näheres dazu in: Art. 17 EU-DSGVO, § 35 BDSG-neu)

Der Betroffene hat einen Anspruch auf unverzügliche Löschung der ihn betreffen-den personenbezogenen Daten, sobald einer der Löschungsgründe einschlägig ist.

4. Recht auf Einschränkung der Verarbeitung (näheres dazu in: Art. 18 EU-DSGVO)

Der Betroffene hat das Recht auf Einschränkung der Verarbeitung der ihn betreffenden personenbezogenen Daten - unter gewissen Vorbedingungen.

5. Recht auf Datenübertragbarkeit (näheres dazu in: Art. 20 EU-DSGVO)

Sofern die Datenverarbeitung auf einer Einwilligung beruht oder zur Durchführung eines Vertrages erforderlich war, hat der Betroffene das Recht die ihn betreffenden personenbezogenen Daten an einen anderen Verantwortlichen zu übermitteln, soweit dies technisch möglich ist.

6. Recht auf Widerspruch und Widerruf (näheres dazu in: Art. 21 EU-DSGVO und Art. 7 EU-DSGVO)

Der Betroffene hat jederzeit das Recht gegen die Datenverarbeitung Widersprucheinzulegen, die zur Wahrung berechtigter Interessen erforderlich ist. Dafür muss das Ergebnis einer Abwägung ergeben, dass das aufgrund einer besonderen Situation ergebende, schutzwürdige Interesse des Betroffenen das Interesse des Unternehmens an der Verarbeitung überwiegt. Bei einer Datenverarbeitung die auf einer Einwilligung beruht, hat eine betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen.

8. Recht auf Aufsichtsbeschwerde (näheres dazu in: Art. 77 EU-DSGVO, § 19 BDSG-neu)

Darüber hinaus steht dem Betroffenen das Recht zu, eine Beschwerde bei der zu-ständigen Aufsichtsbehörde einzulegen, wenn er der Auffassung ist, dass die Verarbeitung seiner personenbezogenen Daten unrechtmäßig erfolgt ist.


DatenschutzDatenschutzgrundsätzeRechtskataster

Social Media

Link zum Teilen kopieren  

Das Kunstwort entstand aus der Verbindung der Begriffe „Web“ und „Log“ und bedeutete ursprünglich so viel wie „Internet Tagebuch“. Inzwischen sind Blogs eine etablierte Methode, um kontinuierlich relevanten Inhalt für eine bestimmte Zielgruppe an einem Ort im Internet zu publizieren. Blogs gibt es für alle Interessensgebiete im privaten und geschäftlichen Bereich. Ein Blog eignet sich besonders gut, um über →Suchmaschinen gefunden zu werden, wenn man für die Zielgruppe wertvollen und relevanten →Content verbreitet. In vielen Online-Marketing-Strategien nehmen Blogs eine zentrale Rolle ein.
Social MediaMarketing

Bei einem Brute-Force-Angriff werden durch einen leistungsstarken PC automatisiert alle möglichen Zeichenkombinationen für ein Passwort ausprobiert.

Link zum Teilen kopieren  

Heutzutage prüft ein durchschnittlicher PC gut mehrere Millionen Passwörter pro Sekunde. Bei einem Passwort, das nur aus einer reinen Zahlen- oder Buch- stabenkombination besteht, ist eine solche Suche schnell erfolgreich. Sie sollten deshalb immer eine Kombination aus Buchstaben, Sonderzeichen und Ziffern für Ihr Passwort verwenden sowie auf eine angemessene Länge achten.

Grundsätzlich gilt: Je länger Ihr Passwort ist, desto sicherer ist es.




Siehe auch:
Credential Stuffing

Bundesamt für Sicherheit in der Informationstechnik (www.bsi.de)

Link zum Teilen kopieren  


TechnikDatenschutzInformationssicherheit

C


Dt. Leinwand, Gemälde.

Link zum Teilen kopieren  

Als Canvas wird ein Element aus dem HTML5-Standard bezeichnet, das es ermöglicht, mittels JavaScript-Funktion (JavaScript-API) dynamische 2D-Grafiken über einen Code zu erzeugen. Mittels einer Skriptsprache (Programmiersprache) wie JavaScript ermöglicht der Einsatz des Canvas-Elements <canvas> beispielsweise das Zeichnen von Diagrammen, die Bearbeitung von Bildern, die Erstellung von Animationen oder auch das Bearbeiten und Rendern von Videos.
EntwicklungSocial MediaDigitalisierungMarketing

Ein fortschrittliches KI-System, das natürliche Sprache versteht und menschenähnliche Antworten generiert. Ermöglicht interaktive Konversationen und Anwendungen in Kundensupport, Textgenerierung und Sprachverarbeitung.

Link zum Teilen kopieren  

ChatGPT ist ein auf künstlicher Intelligenz (KI) basierendes System, das auf der GPT-3.5-Architektur von OpenAI entwickelt wurde. Es handelt sich um ein fortschrittliches Sprachmodell, das natürliche Sprache versteht und darauf basierend Antworten generiert. ChatGPT ermöglicht es Benutzern, durch interaktive Konversationen mit dem System zu kommunizieren und Informationen, Lösungen oder Antworten auf ihre Fragen zu erhalten.

Als KI-basiertes System lernt ChatGPT aus großen Mengen an Textdaten und nutzt dieses Wissen, um menschenähnliche Antworten zu generieren. Es kann in verschiedenen Anwendungen eingesetzt werden, wie zum Beispiel beim Kundensupport, der Textgenerierung, der Sprachverarbeitung und vielem mehr. ChatGPT ermöglicht es Benutzern, auf natürliche und intuitive Weise mit dem System zu interagieren und von seinen Fähigkeiten zu profitieren.

Texteingaben oder Anweisungen durch den User erfolgen durch Prompts, die an ChatGPT übermittelt werden, um eine gewünschte Antwort zu erhalten. Durch die Gestaltung eines klaren und präzisen Prompts kann die Wahrscheinlichkeit erhöht werden, eine relevante und genaue Antwort vom Modell zu erhalten. Prompts können Einleitungen wie "Frage:" oder "Anleitung:" enthalten, gefolgt von der eigentlichen Frage oder Anweisung.

ChatGPT nutzt ein umfangreiches Training auf einer Vielzahl von Textdaten, um ein breites Wissen zu erlangen. Es kann Informationen zu verschiedenen Themen liefern, Fragen beantworten, Ratschläge geben und Texte generieren.

Es ist jedoch wichtig zu beachten, dass ChatGPT kein Bewusstsein oder Verständnis und keine menschliche Intelligenz besitzt und seine Antworten auf den Daten basieren, mit denen es trainiert wurde. Die Antworten basieren vollkommen auf einer statistischen Analyse von Textdaten.

Die Verwendung von ChatGPT erfordert daher eine kritische Bewertung der Antworten und die Berücksichtigung von möglichen Ungenauigkeiten oder Fehlerquellen.Es ist ratsam, den Output zu überprüfen und kritisch zu bewerten, da das Modell gelegentlich unerwartete oder auch fehlerhafte Antworten liefern kann. Die Verwendung von ChatGPT sollte ethischen Richtlinien folgen, um Missbrauch oder diskriminierende Inhalte zu vermeiden.

Wichtiger Hinweis zu Datenschutz & Informationssicherheit

KI-basierte Systeme wie ChatGPT lernen durch Ihre Texteingaben. Beachten Sie daher insbesondere bei der Nutzung von externen KI-Systemen immer auch die Vorgaben der Informationssicherheit zum Umgang mit vertraulichen und streng vertraulichen sowie des Datenschutzes zum Umgang mit personenbezogenen Daten. Schauen Sie dazu in die "Verfahrensanweisung zum Umgang und zur Nutzung von KI-basierten Systemen wie ChatGPT". Falls es diese in Ihrem Unternehmen noch nicht gibt: Unser Consulting-Team Datenschutz & Informationssicherheit unterstützt Sie gerne!

Trotzdem stellt ChatGPT eine spannende Entwicklung im Bereich der KI dar und ermöglicht eine verbesserte Interaktion zwischen Menschen und Maschinen auf der Grundlage von natürlicher Sprache.

Insgesamt ermöglicht ChatGPT eine effektive und natürliche Kommunikation zwischen Menschen und KI-Modellen, indem es auf gestellte Fragen oder Anweisungen reagiert und Informationen bereitstellt.

Typische Anwendungsbereiche für ChatGPT in einem IT-Systemhaus könnten sein:
  1. Kundensupport: ChatGPT kann dabei helfen, Kundenanfragen zu beantworten, technischen Support zu leisten oder Lösungen für technische Probleme bereitzustellen.
  2. Automatisierte Ticketing-Systeme: ChatGPT kann eingesetzt werden, um eingehende Support-Tickets zu analysieren und automatisierte Antworten oder Lösungsvorschläge bereitzustellen.
  3. Wissensmanagement: ChatGPT kann als Wissensdatenbank eingesetzt werden, um Mitarbeitern und Kunden Informationen zu IT-Systemen, Produkten oder Prozessen bereitzustellen.
  4. Virtuelle Assistenten: ChatGPT kann als virtueller Assistent eingesetzt werden, um Benutzer bei der Navigation durch Systeme, der Durchführung von Aufgaben oder dem Erhalten von Informationen zu unterstützen.
  5. Prozessautomatisierung: ChatGPT kann in Workflows integriert werden, um repetitive Aufgaben zu automatisieren, wie beispielsweise das Ausfüllen von Formularen oder das Erstellen von Berichten.
  6. Sprach- und Textanalyse: ChatGPT kann eingesetzt werden, um große Mengen an Sprach- und Textdaten zu analysieren, Trends zu erkennen, Sentimentanalysen durchzuführen oder Kundenfeedback zu verarbeiten.
Diese Anwendungsbereiche zeigen, wie ChatGPT in einem IT-Systemhaus genutzt werden kann, um den Kundenservice zu verbessern, Prozesse effizienter zu gestalten und Mitarbeitern sowie Kunden bei ihren Anliegen zu unterstützen.

KI-basierte Systeme wie ChatGPT lassen sich auch in Ihrer Branche sinnvoll nutzen. Wir unterstützen Sie gerne mit unserer ausführlichen Kernprozessanalyse. Wir führen eine Analyse Ihrer Prozesse durch, suchen nach Schwachstellen, schreiben einen Beratungsbericht mit Risiken und Chancen sowie umsetzbaren Handlungsempfehlungen. Die Beratung erfolgt i.d.R. persönlich und vor Ort. Kleine und mittlere Unternehmen erhalten hierfür Fördermittel. Die Förderquote beträgt i.d.R. 30-50%. Fordern Sie uns!

TechnikEntwicklungDatenschutzMaßnahmeDigitalisierungInformationssicherheit

Die Grundlegenden Prinzipien der Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit (auch bekannt als "CIA Triad")

Link zum Teilen kopieren  

Im Englischen bedeuten diese drei Schutzziele der Informationssicherheit:

Daher spricht man auch von der CIA-Triade.

Diese Prinzipien dienen dazu, die Vertraulichkeit, Verfügbarkeit und Integrität von Informationen zu gewährleisten.

Vertraulichkeit: Vertraulichkeit bezieht sich auf den Schutz von Informationen vor unbefugtem Zugriff. Dies bedeutet, dass nur autorisierte Personen auf Informationen zugreifen sollten. Vertraulichkeit wird oft durch Maßnahmen wie Passwörter, Verschlüsselung und Zugriffssteuerungen gewährleistet.

Integrität: Integrität bezieht sich darauf, dass Informationen korrekt und unverfälscht sein sollten. Dies bedeutet, dass Informationen nicht durch unautorisierte Personen oder Systeme verändert werden sollten. Integrität wird oft durch Maßnahmen wie Verschlüsselung, digitale Signaturen und Überprüfungen auf Änderungen gewährleistet.

Verfügbarkeit: Verfügbarkeit bezieht sich darauf, dass Informationen jederzeit verfügbar sein sollten, wenn sie benötigt werden. Dies bedeutet, dass Informationen nicht durch Ausfälle oder andere Störungen unzugänglich werden sollten. Verfügbarkeit wird oft durch Maßnahmen wie Datensicherung, Notfallwiederherstellung und redundante Systeme gewährleistet.

Diese Prinzipien sind von entscheidender Bedeutung, um sicherzustellen, dass Informationen vertraulich, verfügbar und intakt bleiben und nicht von Bedrohungen wie Hackern, Malware oder menschlichem Fehlverhalten beeinträchtigt werden.

Unternehmen sind dazu angehalten, die CIA-Triade bestmöglich umzusetzen.


DatenschutzMaßnahmeIMSInformationssicherheit

Core Invoice Usage Specification

Link zum Teilen kopieren  


AbkürzungenDigitalisierung

Bezeichnet das Endgerät eines Netzwerks, das mit einem Server kommuniziert.

Link zum Teilen kopieren  


TechnikEntwicklungDatenschutzDigitalisierungInformationssicherheit

Cloud-Computing bezeichnet das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. Für die Nutzer bleibt die bereitgestellte IT-Infrastruktur verborgen.

Link zum Teilen kopieren  


TechnikEntwicklungDatenschutzDigitalisierungInformationssicherheit

Inhalt

Link zum Teilen kopieren  

Als Content bezeichnet man Inhalte, die für eine zuvor definierte →Zielgruppe interessant, hilfreich oder unterhaltend sind. Moderne Marketing-Strategien bauen darauf auf, dass die Ansprüche einer genau umgrenzten Zielgruppe zunächst untersucht und dann mit relevantem Inhalt bedient werden. Dabei verlässt man die Ebene einfacher Produkt- oder Dienstleistungsangebote und bietet wertvolle Informationen, die nicht unbedingt das eigene Leistungsspektrum bewerben, aber interessant, hilfreich oder unterhaltend sind. Beispielsweise würde ein Anbieter von Sportschuhen nicht die eigenen Schuhe beschreiben, sondern Informationen zum Stoffwechsel in bestimmten Trainingsphasen, Tipps für den Wiedereinstieg in den Laufsport, Dehnungsübungen zum Vermeiden von Verletzungen und/oder humorvolle oder beeindruckende Filmdokumente von Läufern anbieten. Die Zielgruppe nimmt diese kostenlosen Leistungen wohlwollend zur Kenntnis, nach und nach entsteht Vertrauen und nach dem Prinzip der →Reziprozität entsteht beim Konsumenten der Wunsch, sich zu revanchieren.
Content kann in Form von Text, Audio oder Video erstellt werden. Zumeist wird ganz gezielt auf einen →CTA hingewiesen, wodurch der Konsument im Tausch gegen einen
→Lead Magneten die E-Mail-Adresse und evtl. weitere Daten angeben soll. Im weiteren Verlauf bekommen die so identifizierten Interessenten weiteren kostenlosen Content per →Auto-Responder und/oder →Newsletter. Früher oder später werden die Interessenten mithilfe eines →Funnels schrittweise durch einen automatisierten Verkaufsprozess geführt.
Auf dem Prinzip des „erst geben und dann – vielleicht – nehmen“ basiert das Konzept von modernem Content-Marketing.

Social MediaMarketing

Ist eine Methode des Cyberangriffs, bei der Angreifer gestohlene Benutzerdaten, wie Benutzernamen und Passwörter, automatisch und massenhaft gegen verschiedene Online-Dienste getestet werden.

Link zum Teilen kopieren  

Das Ziel besteht darin, auf der Grundlage von wiederverwendeten Anmeldeinformationen den Zugriff auf Konten zu erlangen.

Der Begriff "Credential Stuffing" setzt sich aus zwei Komponenten zusammen: "Credential" bezieht sich auf die Anmeldeinformationen oder Zugangsdaten eines Benutzers, während "Stuffing" auf das massenhafte und automatisierte Einfügen dieser Anmeldeinformationen in verschiedene Websites oder Anwendungen hinweist.

Der Angriffsprozess beginnt typischerweise mit einem Datenleck oder einer Verletzung der Sicherheit, bei der Benutzerdaten gestohlen werden. Diese gestohlenen Daten werden dann in eine Liste von Benutzernamen und Passwörtern umgewandelt. Da viele Benutzer dieselben Anmeldeinformationen für mehrere Online-Konten verwenden, versuchen die Angreifer, diese gestohlenen Anmeldeinformationen auf verschiedenen Websites auszuprobieren, um Zugang zu den betroffenen Konten zu erhalten.

Die Angriffe erfolgen oft automatisiert mithilfe von Botnetzen oder speziell entwickelten Tools, die die Anmeldeinformationen auf einer großen Anzahl von Websites testen. Die Angreifer hoffen darauf, dass Benutzer ihre Anmeldeinformationen wiederverwenden und die gestohlenen Informationen auf anderen Plattformen funktionieren.

Credential Stuffing kann schwerwiegende Auswirkungen haben, da erfolgreiche Angriffe den Angreifern den Zugriff auf persönliche Daten, finanzielle Informationen, E-Mails und andere Online-Ressourcen ermöglichen können. Darüber hinaus können gehackte Konten auch für weitere Angriffe, wie Phishing oder den Missbrauch persönlicher Informationen, verwendet werden.

Um sich vor Credential Stuffing-Angriffen zu schützen, sollten Benutzer starke und eindeutige Passwörter für jeden Online-Dienst verwenden und die Verwendung derselben Anmeldeinformationen auf mehreren Plattformen vermeiden. Es wird auch empfohlen, eine Zwei-Faktor-Authentifizierung (2FA) zu verwenden, um zusätzliche Sicherheitsebenen zu bieten.

Online-Dienste können ebenfalls Schutzmaßnahmen ergreifen, um Credential Stuffing-Angriffe abzuwehren. Dazu gehören die Überwachung von Anmeldeaktivitäten auf verdächtige Muster, die Implementierung von Captchas oder reCAPTCHAs, die Erkennung und Blockierung von verdächtigem Traffic sowie die Verwendung von Sicherheitslösungen, die Credential Stuffing-Angriffe erkennen und verhindern können.

Durch eine Kombination aus sicherem Verhalten der Benutzer und robusten Sicherheitsmaßnahmen seitens der Online-Dienste kann das Risiko von Credential Stuffing-Angriffen erheblich reduziert werden.



Siehe auch:
2-Faktor-Authentifizierung (2FA)
Brute-Force-Angriff
Phishing

Ein gezielter Angriff auf wichtige Computernetze.

Link zum Teilen kopieren  


TechnikDatenschutzInformationssicherheit

D


Art und Umfang der Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.

Link zum Teilen kopieren  

Art und Umfang der Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Dies schließt eine Begrenzung der Speicherfrist auf das erforderliche Mindestmaß ein. Hier ist darauf zu achten, dass nur diejenigen Daten von den Betroffenen erhoben werden, die für den jeweiligen Verarbeitungszweck auch wirklich erforderlich sind. Darüber hinausgehende Erhebungen und Verarbeitungen sind unzulässig. Zweifelsfragen zur Erforderlichkeit der Daten und zur Zulässigkeit der Datenverarbeitung sind mit dem Vorgesetzten, dem Datenschutzkoordinator oder dem Datenschutzbeauftragten abzuklären.


DatenschutzDatenschutzgrundsätze

Regelungen und Maßnahmen für die Verarbeitung und zum Schutz personenbezogener Daten.

Link zum Teilen kopieren  

Eglisch: privacy

Vgl. hierzu auch das DOMÄN-PÄCKÄGE "THE PRIVÄCY" in THE LÄND Style unseres Partners THE Ä-TEAM.


DatenschutzInformationssicherheit

Eine Bewertung der Auswirkungen der geplanten Verarbeitungsvorgänge auf die Rechte und Freiheiten der betroffenen Personen.

Link zum Teilen kopieren  

Die Datenschutz-Folgenabschätzung ist eine besonders umfassende vorherige Prüfung von geplanten Verarbeitungstätigkeiten. Sie wird laut Art. 35 EU-DSGVO dann durchgeführt, wenn der Verantwortliche davon ausgehen muss, dass die geplante Verarbeitungstätigkeit ein "hohes" Risiko für die Rechte und Freiheiten der Betroffenen darstellen wird. Was im Einzelfall ein "hohes" Risiko" in Abgrenzung zu einem "normalen" Risiko ist, ist leider nicht einfach zu bestimmen. Weder der Gesetzgeber selbst noch die Aussagen der Aufsichtsbehörden helfen den Unternehmen hier wirklich weiter.Die deutschen Aufsichtsbehörden vertreten die Meinung, dass die begründete Entscheidung für oder gegen eine Datenschutz-Folgenabschätzung immer nachweisbar sein muss: "In jedem Fall ist die Entscheidung über die Durchführung oder Nichtdurchführung der Datenschutz-Folgenabschätzung mit Angabe der maßgeblichen Gründe für den konkreten Verarbeitungsvorgang schriftlich zu dokumentieren" (vgl. DSK Kurzpapier Nr. 5 Datenschutz-Folgenabschätzungnach Art. 35 DS-GVO).


Datenschutz

Der DSB organisiert und überwacht die Einhaltung der Vorschriften zum Datenschutz.

Link zum Teilen kopieren  

Die Aufgaben des Datenschutzbeauftragten sind in Art. 39 EU-DSGVO festgelegt. Der Datenschutzbeauftragte hat grundsätzlich die Einhaltung der Vorschriften der EU-DSGVO und des BDSG-neu sowie anderer Vorschriften über den Datenschutz zu überwachen. Zu den Aufgaben gehören insbesondere:

  • die Unterrichtung und Beratung des Verantwortlichen hinsichtlich der Pflichten nach der EU-DSGVO sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten,
  • die Überwachung der Einhaltung der EU-DSGVO, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen,
  • die Beratung des Verantwortlichen im Zusammenhang mit der Datenschutz-Folgenabschätzung  und Überwachung ihrer Durchführung gemäß Art. 35 EU-DSGVO,
  • die Zusammenarbeit mit der Aufsichtsbehörde und die Vertretung des Verantwortlichen bei Kontrollen durch die Datenschutzaufsichtsbehörde,
  • die Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Datenverarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Art. 36 EU-DSGVO, und gegebenenfalls Beratung zu allen sonstigen Fragen.

Im Rahmen dieser gesetzlich normierten Pflichten bzw. Aufgaben ergeben sich typischerweise weitere Detailaufgaben.


Siehe auch:

Datenschutz-Folgenabschätzung
Konzerndatenschutzbeauftragter

AufsichtsbehördenAbkürzungenDatenschutzIMSInformationssicherheit

Bekannt als Konzerndatenschutzbeauftragter

Link zum Teilen kopieren  

Eine Unternehmensgruppe kann einen gemeinsamen Datenschutzbeauftragten benennen. 


Siehe:
Konzerndatenschutzbeauftragter


Datenschutz

Ein Datenschutzvorfall (ugs. Datenpanne) bezeichnet alle Umstände, die den Verdacht begründen, dass personenbezogene Daten rechtswidrig durch Mitarbeiter oder Dritte erhoben, übermittelt, kopiert, genutzt oder ausgespäht wurden.

Link zum Teilen kopieren  

Ein Datenschutzvorfall (ugs. Datenpanne) bezeichnet alle Umstände, die den Verdacht begründen, dass personenbezogene Daten rechtswidrig durch Mitarbeiter oder Dritte erhoben, übermittelt, kopiert, genutzt oder ausgespäht wurden.

Datensicherheit ist der Schutz von Daten vor Verfälschung, Zerstörung oder Verlust

Link zum Teilen kopieren  


TechnikEntwicklungDatenschutzDigitalisierungInformationssicherheit

Übertragungen innerhalb einer Gruppe sind keine internen Übertragungen

Link zum Teilen kopieren  

Datenübertragungen in Unternehmensgruppen und Konzernen betreffen immer dann auch das Datenschutzrecht, wenn diese einen Personenzug aufweisen. Aus Sicht der Unternehmensgruppe ist es ärgerlich, dass die Übertragungen zwischen den Teilen der Unternehmensgruppe nicht als interne Übertragungen gewertet werden. Die EU-DSGVO betrachtet sie als eigene Verarbeitungen bei eigenständigen Verantwortlichen. 

Auch im Datenschutzrecht ist ein Konzern eine als wirtschaftliche und/oder rechtliche Einheit geführte Unternehmensgruppe, die unter einheitlicher Leitung steht. Wesentliches Merkmal ist dabei, dass es wirtschaftliche Beteiligungs- und Beherrschungsverhältnisses gibt an grundsätzlich juristisch eigenständigen Unternehmen. Die datenschutzrechtliche Verantwortlichkeit liegt dabei primär beim jeweils einzelnen Unternehmen der Gruppe. 

yourIT hat dabei ein System entwickelt, dass die Datenübertragungen in Unternehmensgruppen praktisch abbildet und dann das passende Rechtsinstrument  je nach Konstellation wählt. Dabei arbeiten wir neben den bekannten Instrumenten nach Art. 26 und 28 EU-DSGVO auch mit unserer Verarbeitungen in der Unternehmensgruppe - die Konzernverarbeitung. Im Kern ist diese eine um prozessuale Aspekte erweiterte Meldung zum Verarbeitungsverzeichnis mit einer Datenübertragung auf Grundlage des berechtigten Interesses auf Grundlage des Erwägungsgrunds 48 der EU-DSGVO.

 



Siehe auch:
Verzeichnis von Verarbeitungtätigkeiten (VvV)
Verarbeitung

DatenschutzIMS

(auch Service) ist die Bereitstellung einer Funktionalität zu einer zusammengehörenden Themengruppe (z. B. E-Mail, Webserver, PC-Pool).

Link zum Teilen kopieren  


TechnikEntwicklungDatenschutzDigitalisierungInformationssicherheit

Eine Domain ist Teil des sogenannten Domain-Name-System (DNS).

Link zum Teilen kopieren  

Beim sogenannten Domain-Name-System (DNS) handelt es sich um einen Netzwerkdienst, der die Adressierung von Computern im Internet regelt: Der Computer übersetzt die Eingabe www.meinedomain.de in die entsprechende IP-Adresse und kann so eine Verbindung aufbauen. 

Vorteil:

Ein Nutzer muss sich dadurch lediglich den Domainnamen merken.


Elemente eines Domainnames:

  • Top-Level-Domain (TLD): Die Domainendung wie .de, .eu oder .com
  • Second-Level-Domain: Der eigentliche Domainname. Kann vom Betreiber der Website frei ausgewählt werden.
  • Third-Level-Domain: www, Subdomain

Achtung Phishing!

Viele Angriffe von Hackern zielen darauf ab, dass Benutzern die tatsächlichen Gegebenheiten bei den Domainnamen nicht bekannt sind. Dabei wird versucht, den Benutzer mit ähnlichen Domainnames zu täuschen. Im Falle von www.yourIT.de bietet sich z.B. folgendes Täuschungspotential:

  • youritde.com
  • yourit.be
  • yourti.de
  • your-it.de

Nur entsprechend geschulte Mitarbeiter lassen sich hier nicht täuschen. Nutzen Sie z.B. unsere Awareness-Trainings für Computer-Anwender gegen Phishing und Social Engineering.


TechnikEntwicklungSocial MediaDigitalisierungInformationssicherheit

Ein Netzwerkdienst, der der Auflösung von IP-Adressen dient.

Link zum Teilen kopieren  

Die Kernfunktion des DNS liegt in der Vereinfachung der Adressierung von Webseiten. Hierfür ordnet das Domain-Name-System jeder IP, die in einer komplexen Zahlen- und Buchstabenkombination vorliegt, eine leserliche Domain wie www.yourit.de zu.

Das DNS ist damit auf den menschlichen Benutzer zugeschnitten, der sich Namen deutlich leichter merken kann als komplexe Buchstaben- und Zahlencodes der IP.

Zusammengesetzt sind die im DNS zugeordneten Domains aus gesamt drei Stufen. Die Internetadresse wird dabei von rechts gelesen, beginnend mit der Domainendung (Top-Level-Domain (TLD)) wie z.B. .de, .eu, .com und der Reihe nach aufgelöst. Webseitenbetreiber können der IP Ihres Webservers auf diese Weise eine leicht verständliche Bezeichnung zuordnen, wobei die beiden ersten Elemente von rechts anpassbar sind.

Ein DNS kann lokal in einem eigenen Netzwerk genutzt werden. Vor allem mittelgroße bis große Unternehmen nutzen dies zur Organisation ihrer IT-Infrastruktur. 

EntwicklungSocial MediaAbkürzungenDigitalisierungInformationssicherheit

Ein Dritter ist z.B. eine natürliche oder juristische Person, die befugt sind, die personenbezogenen Daten zu verarbeiten.

Link zum Teilen kopieren  

Ein Dritter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.

Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland

Link zum Teilen kopieren  

Das EKD-Datenschutzgesetz ist die für den Bereich der Evangelischen Kirche in Deutschland geltende Datenschutz-Regelung.

Teil unseres Rechtskatasters im Datenschutz-Portal: DS-102990110.

Gesetze im Internet: DSG-EKD


AbkürzungenDatenschutzIMSRechtskatasterInformationssicherheit

Kirchengesetz über den Datenschutz der Katholischen Kirche in Deutschland

Link zum Teilen kopieren  

Teil unseres Rechtskatasters im Datenschutz-Portal: DS-102990111.
Gesetze im Internet: DSG-KDG

AbkürzungenDatenschutzIMSRechtskatasterInformationssicherheit

E


ist ein Verfahren zum elektronischen Versenden und Empfangen von Texten und Dateien. Der Transport erfolgt standardmäßig unverschlüsselt (analog zur Postkarte).

Link zum Teilen kopieren  


TechnikEntwicklungDatenschutzDigitalisierungInformationssicherheit

E-Mail-Verschlüsselung wird verwendet, um vertrauliche Informationen per E-Mail vom Absender zum Empfänger zu sicher schicken.

Link zum Teilen kopieren  


TechnikEntwicklungDatenschutzMaßnahmeDigitalisierungInformationssicherheit

Einschränkung der Verarbeitung ist die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken.

Link zum Teilen kopieren  

  
Datenschutz

Eine Einwilligung der betroffenen Person bezeichnet eine unmissverständlich abgegebene Willensbekundung.

Link zum Teilen kopieren  

Eine Einwilligung der betroffenen Person bezeichnet jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigenbestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
Datenschutz

Ein Empfänger ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, denen personenbezogene Daten offengelegtwerden.

Link zum Teilen kopieren  

Ein Empfänger ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, denen personenbezogene Daten offengelegtwerden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht.Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Datendurch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung.
Datenschutz

Gerät (zum Beispiel PC oder Telefon), welches an ein Daten- oder Telekommunikationsnetz angeschlossen ist.

Link zum Teilen kopieren  


TechnikEntwicklungDatenschutzDigitalisierungInformationssicherheit

ePrivacy-Verordnung

Link zum Teilen kopieren  

Die ePrivacy -Verordnung regelt im Schwerpunkt die Vertraulichkeit der Kommunikation (Fernmeldegeheimnis), die Verarbeitung von Kommunikationsdaten (bisher Verkehrsdaten) und das Speichern und Auslesen von Informationen auf Endeinrichtungen ( z.B. Cookies ).

Der Unterschied zwischen der E-Privacy-Verordnung und der Datenschutzgrundverordnung besteht unter anderem ganz einfach darin, dass die DSGVO bereits in Kraft getreten ist und als Recht in den EU-Mitgliedsstaaten umgesetzt wird. Bei der E-Privacy-Verordnung dagegen scheitert es aktuell noch an einem abschließenden Gesetzesentwurf.

Teil unseres Rechtskatasters im Datenschutz-Portal: DS-102990108.

AbkürzungenDatenschutzIMSRechtskatasterInformationssicherheit

Aus Sicht der Informationssicherheit ist ein Ereignis die Vorstufe zu einem Informationssicherheitsvorfall oder einer allgemeinen Störung im Betriebsablauf.

Link zum Teilen kopieren  

Die Liste der möglichen Ereignisse ist sehr lang. Alles was von einem Menschen oder einer Maschine wahrgenommen werden kann, ist ein Ereignis - offene Keksdose? Ereignis! Bananenschale im Restmüll? Ereignis! Vergessenes Passwort? Ereignis! Natürlich gibt es Standardbeispiele aus dem IT-Bereich wie eine Anwendung reagiert nicht mehr oder die Festplatte ist zu 98 % ausgelastet. Technische System können über Protokollierungsfunktionen sehr viele Ereignisse produzieren (man denke an z.B. an Serverüberwachungssysteme oder SNMP-Traps).

Die meisten Ereignisse sind aber nur Rauschen. Die Kunst besteht also darin, herauszufinden, welche Ereignisse ein Risiko hinsichtlich des Verlusts oder der Zerstörung von Informationen (also dem Verlust der Verfügbarkeit) und/oder der Vertraulichkeit und Integrität darstellen. Es gilt, dass zwar jeder Vorfall ein Ereignis ist, aber nicht jedes Ereignis zum Vorfall wird.

Das gleiche gilt für Störungen: Störungen sind Ereignisse ohne direkte Gefährdung von Daten oder deren Verfügbarkeit, Vertraulichkeit und Integrität, die aber den Betriebsablauf einer Organisation negativ beeinträchtigen.


TechnikEntwicklungInformationssicherheit

Personenbezogene Daten dürfen nicht über das notwendige Maß hinaus verarbeitet oder gespeichert werden.

Link zum Teilen kopieren  


Datenschutz

Europäische Datenschutzgrundverordnung

Link zum Teilen kopieren  

Die EU-Datenschutz-Grundverordnung (EU-DSGVO oder einfach nur DSGVO) ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten EU-weit vereinheitlicht werden.

Teil unseres Rechtskatasters im Datenschutz-Portal: DS-102990101.

Gesetze im Internet: EU-DSGVO



AbkürzungenDatenschutzIMSRechtskatasterInformationssicherheit

Die EU-Standardvertragsklauseln sind ein Instrument für die Datenübermittlung ins Nicht-EU-Ausland.

Link zum Teilen kopieren  

Sie regeln insbesondere die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG.

Die häufig verwendeten Standardvertragsklauseln sollen die Datenverarbeitung in einem Land außerhalb des Europäischen Wirtschaftraums absichern und auf ein Schutzniveau heben, das dem in der EU garantierten Schutzniveaus nach gleichwertig ist.

Damit sollen die Vertragspartner ermutigt werden zusätzliche Garantien zu bieten mit vertraglichen Verpflichtungen.


Datenschutz

F


ist ein System zur Wartung räumlich entfernt stehender Rechner. Die Verbindung zum fernen Computer wird üblicherweise über Computer-Netzwerke oder anderen Kommunikationsmöglichkeiten aufgebaut.

Link zum Teilen kopieren  


TechnikEntwicklungDatenschutzMaßnahmeDigitalisierungInformationssicherheit

Eine Firewall (‚Brandwand‘ oder ‚Brandmauer‘) ist ein Sicherungssystem, das ein Rechnernetz, ein Netzsegment oder einen einzelnen Computer vor unerwünschten Netzwerkzugriffen schützt bzw. unter definierten Sicherheitsaspekten regelt.

Link zum Teilen kopieren  


TechnikEntwicklungDatenschutzDigitalisierungInformationssicherheit

Failure Mode and Effects Analysis

Link zum Teilen kopieren  


TechnikEntwicklungAbkürzungenDatenschutzDigitalisierungInformationssicherheit

G


Dies sind potenzielle Ursachen für unerwünschte Ereignisse.

Link zum Teilen kopieren  

Dies sind potenzielle Ursachen für unerwünschte Ereignisse, die durch Ausnutzung von Schwachstellen im System Schaden anrichten können. Gefährdungen können vielfältiger Natur sein, z. B. Cyber-Angriffe, Naturkatastrophen, technisches Versagen oder menschliches Versagen.


RisikomanagementsystemDatenschutzInformationssicherheit

Zwei oder mehr für die Verarbeitung Verantwortliche, die gemeinsam über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten bestimmen.

Link zum Teilen kopieren  

Zur Festlegung ihrer jeweiligen Verantwortlichkeiten bei der Verarbeitung personenbezogener Daten bedarf es einer transparenten Regelung. Der wesentliche Inhalt der Regelung wird der betroffenen Person zur Verfügung gestellt. Im Rahmen der Europäischen Bürgerinitiative bezieht sich dies insbesondere auf das zentrale Online-Sammelsystem.
Datenschutz

Gesetz zum Schutz von Geschäftsgeheimnissen

Link zum Teilen kopieren  

Teil unseres Rechtskatasters im Datenschutz-Portal: DS-102990107.

Gesetze im Internet: GeschGehG


AbkürzungenDatenschutzIMSRechtskatasterInformationssicherheit

Abfolge von zusammenhängenden IT-gestützten Prozessen.

Link zum Teilen kopieren  


TechnikEntwicklungDatenschutzMaßnahmeDigitalisierungInformationssicherheit

Gesundheitsdaten sind personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person beziehen.

Link zum Teilen kopieren  

Gesundheitsdaten sind personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.
Datenschutz

H


Empfänger eines der höchsten Bußgelder, die von einer deutschen Aufsichtsbehörde erfolgreich vergeben wurde - 35,3 Mio. EUR.

Link zum Teilen kopieren  

Der deutsche Teil des H&M Konzerns in seiner Servicezentrale in Nürnberg hatte im großem Umfang private Lebensumstände seiner Mitarbeiter in einer Excel dokumentiert u.a. "Welcome Back Talks", allg. Flurfunk: religiöse Bekenntnisse, familiäre Probleme, Urlaubserlebnisse, Krankheitssymptome & Diagnosen dokumentiert. Diese Datei war ca. 50 Führungskräften zugänglich. Das Bußgeld, das vom Konzern im Herbst 2020 akzeptiert wurde, beläuft sich auf 35,3 Mio. EUR


DatenschutzBußgelder

Sämtliche technischen, physikalischen Komponenten eines IT-Systems.

Link zum Teilen kopieren  


TechnikDatenschutzInformationssicherheit

Unter einem Hastag versteht man eine Verschlagwortung, die mit einer Raute (#) gekennzeichnet wird.

Link zum Teilen kopieren  

Mit einem Hashtag ist es möglich, verschiedene Themen/Begriffe/Bilder/Beiträge zu verknüpfen, die sich thematisch überschneiden. Außerdem werden Sie in Social-Media benutzt, um auf ein bestimmtes Thema Bezug zu nehmen. 


Social MediaDigitalisierungMarketing

Homepage, Website, Webseite - Was denn Nun?

Link zum Teilen kopieren  

Unsere ausführliche Definition finden Sie unter dem Begriff Website


DigitalisierungMarketing

I


Infrastructure as a Service

Link zum Teilen kopieren  

IaaS ist eines der grundlegenden aaS-Angebote. yourIT stellt erstklassige IT-Infrastruktur für Unternehmen jeder Größe zur Verfügung und übernimmt Einrichtung und Wartung. Eine große Anzahl von Plattformen, Anwendungen und Software wurde auf Cloud-Infrastrukturen aufgebaut.

Markt: Ein boomender Sektor, der weiter wächst.

TechnikAbkürzungenAkronym

Intrusion Detection System

Link zum Teilen kopieren  

Ein System zur Angriffserkennung (Intrusion Detection System, IDS) ist ein System, das entwickelt wurde, um unerwünschte oder schädliche Aktivitäten auf einem Computer- oder Netzwerksystem zu erkennen und zu melden. Es kann sowohl auf Netzwerkebene als auch auf Hostebene eingesetzt werden und verwendet in der Regel Signaturen von bekannten Angriffen, Verhaltensanalyse oder maschinelles Lernen, um ungewöhnliches Verhalten zu erkennen und potenzielle Angriffe zu identifizieren. Ein IDS kann verwendet werden, um Angriffe abzuwehren, indem es Alarme auslöst und Administratoren benachrichtigt, damit sie geeignete Maßnahmen ergreifen können.


AbkürzungenMaßnahme

Eine spezialisierte Gruppe von Fachleuten inneralb einer Organisation, die für die Erkennung, Untersuchung und Reaktion auf Sicherheitsvorfälle verantwortlich ist.

Link zum Teilen kopieren  

Ein Incident Response Team ist eine spezialisierte Gruppe von Fachleuten innerhalb einer Organisation, deren Hauptaufgabe es ist, auf Sicherheitsvorfälle und Bedrohungen zu reagieren. Das IRT besteht aus Experten für Informationssicherheit, Netzwerksicherheit, Forensik und anderen relevanten Bereichen.

Diese Teams haben die Aufgabe, die Sicherheit der Organisation zu schützen, indem sie sicherstellen, dass Sicherheitsvorfälle effektiv und effizient behandelt werden.  



RisikomanagementsystemTechnikDatenschutzInformationssicherheit

Betroffene haben das Recht, selbst über die Preisgabe und Verwendung ihrer Daten zu entscheiden.

Link zum Teilen kopieren  


Datenschutz

Informationseigentümer bestimmt Schutz und Zugriff einer Information

Link zum Teilen kopieren  

Der Begriff "Informationseigentümer" (oft auch als "Daten-Eigentümer" oder "Informations-Owner" bezeichnet) ist ein Schlüsselkonzept in der Informationssicherheit und bezieht sich auf die Person oder Organisationseinheit, die verantwortlich ist für:

Klassifizierung: Bestimmung des Schutzbedarfs einer Information, d.h. wie vertraulich, verfügbar oder integer sie sein muss.

Handhabung: Festlegung von Richtlinien und Verfahren zur angemessenen Nutzung und zum Schutz dieser Information.

Zugriffskontrolle: Bestimmung, wer Zugriff auf die Information hat und unter welchen Bedingungen.

In Bezug auf die Vertraulichkeitsklassifizierung von Informationen ist der Informationseigentümer speziell dafür verantwortlich, den Grad der Vertraulichkeit einer bestimmten Information zu bestimmen. Dies kann durch unterschiedliche Klassifikationsstufen repräsentiert werden, wie z.B. "Öffentlich", "Intern", "Vertraulich" oder "Streng geheim".

Der Informationseigentümer sollte ein ausreichendes Verständnis von der Natur der Information und den potenziellen Auswirkungen eines Informationsverlusts oder -missbrauchs haben. In großen Organisationen ist der Informationseigentümer oft ein Abteilungsleiter oder eine Führungskraft, die direkt für einen bestimmten Datentyp oder eine bestimmte Informationskategorie verantwortlich ist. Es ist wichtig zu betonen, dass der Begriff "Eigentümer" hier metaphorisch zu verstehen ist; es bedeutet nicht unbedingt, dass die Person oder Einheit einen rechtlichen Eigentumstitel an der Information hat, sondern vielmehr, dass sie die primäre Verantwortung für ihren Schutz und ihre Verwendung trägt.


DatenschutzIMSInformationssicherheit

Sicherstellung von Integrität, Vertraulichkeit und Verfügbarkeit von Informationen.

Link zum Teilen kopieren  


DatenschutzInformationssicherheit

Ein ISMS soll helfen, die Informationssicherheit in einer Organisation zu planen, umzusetzen, aufrechtzuerhalten und ständig zu verbessern.

Link zum Teilen kopieren  

Ein Informationssicherheitsmanagementsystem (ISMS) ist ein Rahmenwerk, das entwickelt wurde, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen in einer Organisation zu schützen und zu bewahren.

Es umfasst Prozesse, Verfahren, Richtlinien und Technologien, die zusammenarbeiten, um sicherzustellen, dass Informationen sicher und geschützt sind. Ein ISMS sollte Praktiken zu Chancen- und Risikomanagement, Compliance-Management, Incident-Response-Planung, Schulung und Bewusstseinsbildung umfassen.

Dabei werden Risiken identifiziert und bewertet, Schutzmaßnahmen implementiert und ein kontinuierlicher Verbesserungsprozess (siehe hierzu auch PDCA-Zyklus) durchgeführt, um die Vertraulichkeit, Integrität und Verfügbarkeit der Informationen zu gewährleisten. Ein ISMS umfasst sowohl technische als auch organisatorische Maßnahmen.

Ziel eines ISMS ist es, die Sicherheit von Informationen und Systemen in einer Organisation zu gewährleisten und dadurch u.a. die Bedrohungen durch Cyberangriffe, Datenverlust, Hacker und andere Angriffe zu minimieren. Ein ISMS kann nach ISO/IEC 27001, NIST, TISAX(R), BAIT, ISIS12 und anderen Standards implementiert werden.

Wenn Ihr Unternehmen nicht verpflichtet ist, einen bestimmten Standard wie TISAX® (in der Automobilbranche) oder BAIT (im Bankenbereich / BAFIN) umszusetzen, empfehlen wir Ihnen die ISO 27001 als den anerkanntesten internationalen Standard für Informationssicherheit.



Siehe auch:
ISO 27001

Der ISB ist innerhalb einer Organisation für Planung, Umsetzung und Überwachung von technischen und organisatorischen Maßnahmen zur Sicherstellung der Informationssicherheit verantwortlich.

Link zum Teilen kopieren  

Was sind die Verantwortlichkeiten und Aufgaben eines ISB?

Die Aufgaben eines Informationssicherheitsbeauftragten (ISB) können je nach Organisation und Branche variieren. Im Allgemeinen ist der ISB jedoch für die Planung, Umsetzung und Überwachung von Maßnahmen zur Sicherstellung der Informationssicherheit verantwortlich. Zu den spezifischen Aufgaben eines ISB gehören insbesondere:

  • Der ISB ist innerhalb einer Organisation für die Umsetzung und Überwachung des Informationssicherheits-Managementsystems (ISMS) verantwortlich.
  • Identifikation und Bewertung von Risiken: Der ISB muss die verschiedenen Risiken identifizieren, die für die IT-Infrastruktur und die Daten der Organisation bestehen. Dazu gehören interne und externe Bedrohungen, wie z.B. Hackerangriffe, Viren oder unachtsame Mitarbeiter.
  • Entwicklung von Informationssicherheitsrichtlinien und -verfahren: Der ISB muss Richtlinien und Verfahren für die Informationssicherheit entwickeln, die auf die spezifischen Bedürfnisse und Risiken der Organisation abgestimmt sind. Hierbei ist es wichtig, dass diese Richtlinien und Verfahren für alle Mitarbeiter verständlich und umsetzbar sind.
  • Schulung und Sensibilisierung: Der ISB ist für die Schulung und Sensibilisierung der Mitarbeiter für das Thema IT-Sicherheit verantwortlich. Hierbei geht es darum, das Bewusstsein für Risiken zu erhöhen und Verhaltensweisen zu fördern, die zur Verbesserung der IT-Sicherheit beitragen.
  • Regelmäßige Überprüfung und Aktualisierung der Sicherheitsmaßnahmen: Der ISB muss die implementierten Sicherheitsmaßnahmen regelmäßig überprüfen und aktualisieren, um sicherzustellen, dass sie noch effektiv sind und den aktuellen Bedrohungen entsprechen. (Siehe hierzu auch PDCA-Zyklus)
  • Zusammenarbeit mit anderen Abteilungen: Der ISB arbeitet eng mit anderen Abteilungen wie IT, Compliance, Datenschutz und Risikomanagement zusammen. Er fungiert als Schnittstelle zwischen der Geschäftsleitung, der internen/externen IT-Abteilung, dem Datenschutzbeauftragten (DSB), etc. Dadurch soll sichergestellt werden, dass die Informationssicherheits-Strategie der Organisation umfassend und koordiniert ist.
  • Einhaltung gesetzlicher Vorgaben: Der ISB muss sicherstellen, dass die IT-Infrastruktur und die Daten der Organisation den normativen und gesetzlichen Vorgaben entsprechen, wie z.B. Informationssicherheitsgesetzen, Datenschutzgesetzen (EU-DSGVO, BDSG-neu, ...) sowie unternehmenseigenen oder branchenspezifischen Vorschriften.

IT-Sicherheitsbeauftragter (ITSB) vs. Informationssicherheitsbeauftragter (ISB)

Der IT-Sicherheitsbeauftragte ist für die technischen Aspekte der IT-Sicherheit zuständig. Er überwacht die Sicherheit der IT-Systeme, stellt sicher, dass die IT-Infrastruktur gegen Cyberangriffe geschützt ist und koordiniert Maßnahmen bei IT-Sicherheitsvorfällen.

Der Informationssicherheitsbeauftragte hingegen ist für die gesamte Informationssicherheit des Unternehmens verantwortlich. Er kümmert sich um alle Aspekte der Informationssicherheit, von der physischen Sicherheit von Dokumenten und Daten bis hin zur Einhaltung von Datenschutzvorschriften. Er ist für die Entwicklung von Informationssicherheitsrichtlinien und Schulungen der Mitarbeiter zum Thema Informationssicherheit verantwortlich.

In der Praxis kann je nach Unternehmensgröße und -struktur der ISB auch die Rolle des ITSB mit übernehmen.

AbkürzungenDatenschutzIMSInformationssicherheit

Technischen Einrichtungen und Hilfsmittel, die dazu dienen, Daten zu erfassen, zu speichern und zu verarbeiten sowie diese Daten zu übertragen und zu übermitteln.

Link zum Teilen kopieren  

Informationstechnik im Sinne von IT-Dienstvereinbarungen sind alle technischen Einrichtungen und Hilfsmittel (Bildschirmgeräte aller Art und Datenverarbeitungsanlagen), die dazu dienen, Daten zu erfassen, zu speichern und zu verarbeiten sowie diese Daten zu übertragen und zu übermitteln.

TechnikDatenschutzInformationssicherheit

Ein Prozess, der die Bewertung der physischen und technologischen Infrastrukturen einer Organisation.

Link zum Teilen kopieren  

Die Infrastrukturanalyse im IT-Bereich bezieht sich auf die systematische Untersuchung und Bewertung der Informationstechnologie-Infrastruktur einer Organisation. Ziel ist es, die Effizienz, Sicherheit und Angemessenheit der IT-Systeme und -Komponenten zu beurteilen.

Die Infrastrukturanalyse innerhalb eines Risikomanagementsystems bezieht sich auf die Bewertung und Analyse der physischen und technologischen Infrastruktur einer Organisation, um potenzielle Risiken zu identifizieren, zu bewerten und zu managen. Diese Analyse ist entscheidend, um sicherzustellen, dass die Infrastruktur des Unternehmens widerstandsfähig, sicher und in der Lage ist, den laufenden Betrieb unter verschiedenen Risikobedingungen zu unterstützen


RisikomanagementsystemInformationssicherheit

In den meisten Fällen erfolgt die erste Kompromittierung, indem ein sorgfältig ausgewähltes Opfer über einen digitalen Kommunikationskanal wie soziale Netzwerke oder E-Mail angesprochen wird.

Link zum Teilen kopieren  

Um in der Opfer-IT-Infrastruktur Fuß zu fassen, setzen APTs ein bösartiges Programm an der Eintrittsstelle ab. Es gibt zwar mehrere Möglichkeiten, bösartige Nutzdaten einzuschleusen, doch am häufigsten werden bösartige E-Mail-Anhänge oder Exploits für den Webbrowser des Benutzers verwendet, die in die Websites eingebettet werden, die das Opfer normalerweise besucht oder zu denen es gezwungen wird. Welchen Ansatz die APTs wählen, hängt von den Ressourcen ab, über die sie verfügen, oder von der Zeit, die für die Durchführung des Angriffs zur Verfügung steht.

Eine der häufigsten Methoden zur Übermittlung bösartiger Nutzdaten ist das Anhängen an eine Spear-Phishing-E-Mail. Je nach der Raffinesse der APT-Akteure kann der Anhang so einfach sein wie Makros in Microsoft Office-Dokumenten oder eine Zero-Day-Lücke in einer bestimmten Software. Ein weiterer gängiger Ansatz zum Einschleusen von Malware ist der Angriff auf den Webbrowser des Benutzers über bösartige Websites. In diesem Szenario wird eine Website, die der Benutzer normalerweise besucht, kompromittiert und der Exploit eingebettet. Außerdem kann eine beliebige Website gekapert oder nur zu diesem Zweck erstellt werden. Der Benutzer wird dann jedoch dazu verleitet, diese Website zu besuchen, meist über eine Spear-Phishing-E-Mail, die einen Link enthält. In jedem Fall wird versucht, eine bekannte Sicherheitslücke oder eine Zero-Day-Schwachstelle auszunutzen, was dann dazu führt, dass bösartiger Code auf dem Computer des Ziels eingeschleust wird.

Auch wenn es andere Methoden zur Verbreitung der Malware gibt, ist das Endergebnis dasselbe - die Angreifer erlangen die Kontrolle über den Rechner des Opfers.

Hierbei sollte erwähnenst werden, dass der Prozess der Malware-Bereitstellung so komplex sein kann, dass mehrere Stufen von bösartigem Code ausgeführt werden. Dies geschieht vor allem aufgrund der Besonderheiten bei der Auslieferung der bösartigen Nutzlast oder um Sicherheitsmaßnahmen zu umgehen, die die erste Kompromittierung erkennen könnten.


TechnikDatenschutzInformationssicherheit

Integrität von Informationen bezieht sich auf die Qualität, dass die Daten vollständig, korrekt und unverfälscht sind.

Link zum Teilen kopieren  

Die drei grundlegenden Schutzziele in der Informationssicherheit lauten:
  • Confidentiality (Vertraulichkeit),
  • Integrity (Integrität) und
  • Availability (Verfügbarkeit)

Dieser CIA-Triade kommt in der Informationssicherheit ein besonderer Stellenwert zu, da sie oft auch als „Pfeiler der Informationssicherheit“ bezeichnet werden.

Integrität ist ein Begriff, der die Qualität oder Eigenschaft einer Person, Organisation oder System beschreibt, die auf moralischen oder ethischen Prinzipien basiert und durch Ehrlichkeit, Fairness und Zuverlässigkeit gekennzeichnet ist.

In der Informatik bezieht sich Integrität auf die Fähigkeit eines Systems, sicherzustellen, dass Daten unverändert und unbeschädigt bleiben und nur von autorisierten Personen oder Prozessen geändert werden können.

Integrität ist eine wichtige Eigenschaft in vielen Bereichen, einschließlich Geschäfts- und Regierungsethik, Daten- und Informationssicherheit sowie persönlicher Moral und Charakter. Es ist eng mit anderen wichtigen Konzepten wie Verantwortlichkeit, Vertrauen und Transparenz verbunden und spielt eine entscheidende Rolle bei der Schaffung und Aufrechterhaltung von Vertrauen und Glaubwürdigkeit in zwischenmenschlichen Beziehungen und institutionellen Strukturen.

DatenschutzMaßnahmeIMSInformationssicherheit

Datenschutzrechtliches Ziel: Die Technik muss es ermöglichen, dass die Rechte von Betroffenen jederzeit gewahrt werden können.

Link zum Teilen kopieren  


Datenschutz

Ist eine internationale Norm, die Anforderungen für Informationssicherheitsmanagementsysteme (ISMS) definiert.

Link zum Teilen kopieren  

Die Norm legt fest, wie ein Unternehmen oder eine Organisation ein Informationssicherheitsmanagementsystem (ISMS) einführen, betreiben, überwachen und kontinuierlich verbessern kann, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherzustellen.

Ein nach ISO 27001 implementiertes ISMS beinhaltet einen systematischen Ansatz zur Identifizierung von Risiken und Bedrohungen, zur Entwicklung von Sicherheitskontrollen sowie zur Überwachung und Bewertung von Sicherheitsmaßnahmen. Die Norm schreibt eine regelmäßige Überprüfung und Bewertung des ISMS vor. Damit soll sichergestellt werden, dass das ISMS effektiv funktioniert und den sich ändernden Bedrohungen und Anforderungen gerecht wird.

DatenschutzInformationssicherheit

Informationstechnik, Informationstechnologie

Link zum Teilen kopieren  


TechnikEntwicklungAbkürzungenDatenschutzMaßnahmeDigitalisierungInformationssicherheit

Ein Arbeitsplatz, an dem Informationstechnik eingesetzt wird.

Link zum Teilen kopieren  


TechnikEntwicklungDatenschutzDigitalisierungInformationssicherheit

Im IT-Grundschutzhandbuch werden Standardsicherheitsmaßnahmen für typische IT-Systeme empfohlen. Es wird herausgegeben vom BSI.

Link zum Teilen kopieren  


TechnikEntwicklungDatenschutzDigitalisierungInformationssicherheit

ist zuständig für alle IT-Sicherheitsfragen, wirkt mit im IT-Sicherheitsprozess, etc. Außerdem koordiniert er die Erstellung von weiteren Konzepten zur IT-Sicherheit.

Link zum Teilen kopieren  

Aufgaben / Verantwortlichkeiten des ITSB:

Der IT-Sicherheitsbeauftragte (ITSB) ist für die Sicherstellung und Überwachung der IT-Sicherheit in einem Unternehmen oder einer Organisation verantwortlich. Zu seinen Aufgaben gehören unter anderem:

  • Risikoanalyse und Risikomanagement: Der ITSB identifiziert potenzielle Bedrohungen für die IT-Infrastruktur des Unternehmens, bewertet deren Auswirkungen und erstellt einen Plan zur Risikominimierung.
  • IT-Sicherheitskonzepte und -strategien entwickeln: Der ITSB entwickelt IT-Sicherheitskonzepte, welche die IT-Infrastruktur des Unternehmens schützen. Hierzu gehört ggf. auch die Erstellung von IT-Sicherheitsrichtlinien und -prozeduren.
  • Schulung der Mitarbeiter: Der ITSB sensibilisiert Mitarbeiter im Unternehmen für IT-Sicherheitsthemen. Er organisiert Schulungen und Trainings, um Mitarbeiter für die Bedrohungen und Risiken zu sensibilisieren und ihnen zu helfen, sich gegen mögliche Angriffe zu schützen.
  • Überwachung von IT-Sicherheitsmaßnahmen: Der ITSB stellt sicher, dass alle Sicherheitsmaßnahmen in der IT-Infrastruktur des Unternehmens effektiv umgesetzt werden. Er überprüft regelmäßig die Firewall- und Antiviren-Systeme, führt Schwachstellenanalysen und ggf. Penetrationstests durch und überwacht den Datenverkehr.
  • Reaktion auf Vorfälle: Sollte es trotz aller Vorsichtsmaßnahmen zu einem IT-Sicherheitsvorfall kommen, muss der ITSB schnell und angemessen reagieren. Dazu planter bereits im Vorfeld entsprechende Notfallmaßnahmen und stellt sicher, dass alle Mitarbeiter darüber informiert sind, wie diese im Fall eines Vorfalls reagieren sollen.
  • Compliance: Der ITSB stellt sicher, dass die IT-Sicherheitsmaßnahmen den geltenden Gesetzen und Vorschriften entsprechen. Er überwacht, ob die IT-Infrastruktur des Unternehmens den geltenden Sicherheitsstandards entspricht.
  • Zusammenarbeit mit anderen Abteilungen: Da IT-Sicherheit oft verschiedene Abteilungen im Unternehmen betrifft, muss der ITSB mit anderen Abteilungen (z.B. Geschäftsführung, Datenschutzbeauftragter, Informationssicherheitsbeauftragter) zusammenarbeiten, um sicherzustellen, dass die IT-Sicherheitsmaßnahmen des Unternehmens optimal aufeinander abgestimmt sind.

Diese Aufgabenliste ist nicht abschließend und kann je nach Unternehmen und Branche variieren. Ein IT-Sicherheitsbeauftragter muss immer auf dem neuesten Stand der Technologie und Sicherheitsmaßnahmen bleiben, um Risiken effektiv zu minimieren und die IT-Infrastruktur des Unternehmens bestmöglich zu schützen.

IT-Sicherheitsbeauftragter (ITSB) vs. Informationssicherheitsbeauftragter (ISB)

Der IT-Sicherheitsbeauftragte ist für die technischen Aspekte der IT-Sicherheit zuständig. Er überwacht die Sicherheit der IT-Systeme, stellt sicher, dass die IT-Infrastruktur gegen Cyberangriffe geschützt ist und koordiniert Maßnahmen bei IT-Sicherheitsvorfällen.

Der Informationssicherheitsbeauftragte hingegen ist für die gesamte Informationssicherheit des Unternehmens verantwortlich. Er kümmert sich um alle Aspekte der Informationssicherheit, von der physischen Sicherheit von Dokumenten und Daten bis hin zur Einhaltung von Datenschutzvorschriften. Er ist für die Entwicklung von Informationssicherheitsrichtlinien und Schulungen der Mitarbeiter zum Thema Informationssicherheit verantwortlich.

In der Praxis kann je nach Unternehmensgröße und -struktur der ISB auch die Rolle des ITSB mit übernehmen.

TechnikDatenschutzIMSInformationssicherheit

ist der Oberbegriff für Geräte und Programme zur Datenverarbeitung.

Link zum Teilen kopieren  


TechnikEntwicklungDatenschutzDigitalisierungInformationssicherheit

J


Rück- und Ausblick zum Stand des Datenschutzes in einem Unternehmen

Link zum Teilen kopieren  

Der jährliche Bericht des Datenschutzbeauftragten über den Stand der Maßnahmen im Bereich Datenschutz für den Verantwortlichen des Unternehmens. Er legt die Änderungen von übergreifenden, externen und internen Bedingungen dar, die für den Datenschutz im Unternehmen relevant sind.

Aus rechtlicher Sicht ist der Bericht ein Nachweis über die Rechenschaftspflicht des Datenschutzbeauftragten gegenüber den Verantwortlichen. Zusätzlich können die Verantwortlichen auch ihre datenschutz-relevanten Tätigkeiten gegenüber den Aufsichtsbehörden (auf Verlangen) und anderen interessierten Parteien belegen.

Neben diesen gesetzlichen Vorgaben soll der Bericht zu Planungszwecken eingesetzt werden, da auch die wichtigsten, für den nächsten Berichtszeitraum geplanten Maßnahmen dargelegt werden.

Da der Bericht bei einem Treffen mit dem Verantwortlichen besprochen wird, ist er ein wichtiger Kanal, um Themen des Datenschutzes zu kommunizieren, die in der täglichen Zusammenarbeit wenig beachtet werden.


DatenschutzRechtskatasterBußgelder

Java ist eine der meist genutzten Programmiersprachen der Welt.

Link zum Teilen kopieren  

Ursprünglich wurde die objektorientierte Programmiersprache Java zur Programmierung von Software für unterschiedliche Hardware entwickelt.

Haupteigenschaften
  • Plattformunabhängigkeit: Java läuft unabhängig von der Architektur des Rechners. Dasselbe Programm kann dadurch sowohl auf einem PC als auch auf einem Staubsauger ausgeführt werden.

EntwicklungDigitalisierung

K


besonders geschulte Anwender, die erste Ansprechpartner bei aufgabenbezogenen Problemen des IT-Einsatzes sind. Als Multiplikatoren geben sie ihre besonderen Kenntnisse an die Anwender weiter.

Link zum Teilen kopieren  


TechnikEntwicklungDatenschutzDigitalisierungInformationssicherheit

Ein Keyword (Schlüsselwort) wird für die Beschreibung von Wörtern oder einer Gruppe von Wörtern verwendet.

Link zum Teilen kopieren  

Suchanfragen, die beispielsweise bei Suchmaschinen eingegeben und für die Suchergebnisse ausgeliefert werden nennt man Keywords.
TechnikEntwicklungSocial MediaDatenschutzDigitalisierungMarketing

Eine Klasse ist eine Vorschrift zur Konstruktion von Objekten.

Link zum Teilen kopieren  

Eine Klasse im Sinne der objektorientierten Programmierung (OOP) ist ein abstraktes Modell / ein Bauplan für eine Reihe von ähnlichen Objekten.

Eine Klasse für sich kann zum Beispiel nicht angezeigt werden. Dazu müssen erst Objekte der Klasse erzeugt werden.

Vererbung:
Neue Klassen können von bereits bestehenden Klassen abgeleitet werden. Dabei erbt die neue Klasse alle Eigenschaften der vererbenden Klasse.

Konvention:
In den meisten Programmiersprachen eind Klassennamen Substantive und werden groß geschrieben.

EntwicklungDigitalisierung

Engl. Continuous Integration (CI). Kontinuierliche Integration ist ein Begriff aus der Software-Entwicklung, der den Prozess des fortlaufenden Zusammenfügens von Komponenten zu einer Anwendung beschreibt.

Link zum Teilen kopieren  

Das Ziel der kontinuierlichen Integration ist die Steigerung der Entwicklungsgeschwindigkeit und Softwarequalität. Üblicherweise wird dafür nicht nur das Gesamtsystem neu gebaut, sondern es werden auch automatisierte Tests durchgeführt und Softwaremetriken zur Messung der Softwarequalität erstellt. Der gesamte Vorgang wird automatisch ausgelöst durch Einchecken in die Versionsverwaltung. Eine Weiterentwicklung der kontinuierlichen Integration stellt die Continuous Delivery (CD) dar. Dabei wird in bestimmten Zeitabständen oder bei Erreichen einer bestimmten Qualitätsmetrik eine neue Version der Software ausgeliefert.
Entwicklung

Mehrere Verantwortliche einer Unternehmensgruppe benennen einen gemeinsamen Datenschutzbeauftragten

Link zum Teilen kopieren  

Eine Unternehmensgruppe (also auch Konzerne) darf seit dem 25.05.2018 einen gemeinsamen Datenschutzbeauftragten benennen (vgl. Artikel 37 Absatz 2 EU-DSGVO). Voraussetzung hierfür ist, dass der Datenschutzbeauftragte von jeder Niederlassung aus leicht erreicht werden kann. 

Daraus ergibt sich folgende Frage: Unter welchen Voraussetzungen liegt eine "leichte Erreichbarkeit" nach Artikel 37 Absatz 2 EU-DSGVO vor? 

Die leichte Erreichbarkeit des Datenschutzbeauftragten liegt dann vor, wenn sowohl die persönliche als auch die sprachliche Erreichbarkeit des Datenschutzbeauftragten gewährleistet ist (vgl. Artikel 37 Absatz 2 DS-GVO). Sie soll gleichermaßen sowohl für Betroffene, als auch für Aufsichtsbehörden sowie Beschäftigte innerhalb des Unternehmens gewährleistet sein.

Innerhalb des jeweiligen Unternehmens sind daher Vorkehrungen zu treffen, die es den Betroffenen oder anderen Stellen ermöglichen, den Datenschutzbeauftragten zu erreichen (persönliche Erreichbarkeit), z.B. die Bekanntmachung des Datenschutzbeauftragten oder Kontaktdaten auf der Homepage und im Intranet sowie im Organigramm.


DatenschutzRechtskataster

L


Local Area Network; ist das im Unternehmen verlegte Datennetz.

Link zum Teilen kopieren  


TechnikEntwicklungAbkürzungenDatenschutzDigitalisierungInformationssicherheit

M


Der Datenschutzbeauftragte muss gemeldet und erreichbar für die Aufsichtsbehörde sein.

Link zum Teilen kopieren  

Der Datenschutzbeauftragte muss gemeldet und erreichbar für die Aufsichtsbehörde sein

Der Datenschutzbeauftragte muss auf Grundlage von Art. 37 Abs. 7 EU- DSGVO gegenüber der zuständigen Aufsichtsbehörde gemeldet werden. Die Erreichbarkeit wird über eine E-Mail Adresse gewährleistet. Diese E-Mail-Adresse ist üblicherweise „datenschutz@-E-Mail“.

Die E-Mail Adresse ist eine Anforderung der Aufsichtsbehörden und damit ein kritischer Prozess: Der Verrantwortliche muss nachweisen können, dass externe Stellen, insbesondere die Aufsichtsbehörden und Betroffenen, das Unternehmen zu Datenschutzanliegen erreichen können. Wir wissen auch, dass Aufsichtsbehörden die E-Mail-Adresse prüfen.

Wenn wir Sie als Unternehmen im Datenschutz betreuen, dann kontrollieren regelmäßig die Verfügbarkeit/ Erreichbarkeit dieser E-Mail-Adresse.


DatenschutzRechtskatasterBußgelder

Mit Active Directory kann man ein Netzwerk der Struktur einer Organisation oder seiner räumlichen Verteilung nachbilden:

Link zum Teilen kopieren  


TechnikEntwicklungDatenschutzDigitalisierungInformationssicherheit

Die Mission beschreibt in knappen Sätzen den Auftrag, das Tätigkeitsgebiet und die Kompetenzen des Unternehmens.

Link zum Teilen kopieren  

Teil des Unternehmensleitbildes ist auch die Unternehmensmission. Darin formuliert das Unternehmen seinen Zweck und Nutzen für Kunden, Mitarbeiter und Gesellschaft, zum Beispiel die Entwicklung innovativer Mobilitätslösungen für Menschen, die gleichzeitig die Umwelt schonen und natürliche Ressourcen erhalten.

Siehe auch:
Vision
Unternehmensleitbild

Marketing

Datenschutzverstöße von Beschäftigten werdendie bei verständiger Würdigung NICHT als unternehmerische Tätigkeit bewertet.

Link zum Teilen kopieren  

In der EU-DSGVO wird das Mitarbeiterverhalten grundsätzlich dem Unternehmen zugerechnet - unabhängig von der vertragsrechtliche Stellung: Führungskräfte, Angestellte, Betriebsräte, Zeitarbeiter und freie Mitarbeiter. Wenn die Aufsichtsbehörden nun das Handeln von Mitarbeitern sanktionieren wollen, dann nutzen Sie die Rechtsfigur des Mitarbeiterexzess. Das bedeutet: Handlungen von Beschäftigten können die bei verständiger Würdigung NICHT als unternehmerische Tätigkeit und/oder als Handeln im Sinne der Organisation bewertet werden. Beispiel: Ein Polizeibeamter nutzt dienstliche Datenbanken, um die Telefonnummer einer Zufallsbekanntschaft in Erfahrung zu bringen (Halterdaten zum Kfz-Kennzeichen + Anfrage bei der BNetzA). Oder: Eine Mitarbeiterin eines Kreditinstituts ruft Kontoinformationen zu eigenen Familienmitgliedern ab, um Daten für eine zivilrechtliche Streitigkeit zu nutzen. In beiden Fällen kommt zu Bußgeldern, deren Adressat nicht der Dienstherr des Polizisten oder das Kreditinstitut ist.


AufsichtsbehördenDatenschutz

N


Die Verarbeitung und die Veränderung von personenbezogenen Daten müssen nachvollziehbar und, soweit erforderlich, in geeigneter Weise dokumentiert und überprüfbar sein.

Link zum Teilen kopieren  

Die Verarbeitung und die Veränderung von personenbezogenen Daten müssen nachvollziehbar und, soweit erforderlich, in geeigneter Weise dokumentiert und überprüfbar sein. Einzelheiten, insbesondere zur Nachvollziehbarkeit und zu Protokollierungen, sind mit dem Datenschutzkoordinator oder dem Datenschutzbeauftragten abzustimmen und zu regeln.


DatenschutzDatenschutzgrundsätze

Netzwerkkomponenten, die für den Weitertransport von Daten zwischen Rechnersystemen und Netzwerksegmenten verantwortlich sind.

Link zum Teilen kopieren  


TechnikEntwicklungDatenschutzDigitalisierungInformationssicherheit

Logisch oder physisch getrennte Teile eines Netzwerkes.

Link zum Teilen kopieren  


TechnikEntwicklungDatenschutzDigitalisierungInformationssicherheit

Ein Notfall bezeichnet eine Situation, in der der Schutz und die Verfügbarkeit der Daten nicht mehr gegeben. Es kann ein verhältnismäßig hoher Schaden entstehen.

Link zum Teilen kopieren  


TechnikEntwicklungDatenschutzDigitalisierungInformationssicherheit

O


Die objektorientierte Programmierung ist ein Verfahren zur Strukturierung von Computerprogrammen.

Link zum Teilen kopieren  

Dabei werden zusammengehörige Daten und die darauf arbeitende Programmlogik zu Einheiten zusammengefasst werden, den sogenannten Objekten.


EntwicklungDigitalisierung

P


Geheime Zeichenfolge, um den unbefugten Zugang zu einem persönlichen Datenbereich zu verhindern.

Link zum Teilen kopieren  

Hier geht's zum Blogartikel: Sichere Passwörter erstellen und merken - Tipps und Tricks


TechnikDatenschutzMaßnahmeInformationssicherheit

Ein Passwort-Managemer ist eine Software oder ein Dienst, der Benutzern hilft, Passwörter sicher zu speichern, zu generieren und zu verwalten. Es bietet Bequemlichkeit, Sicherheit und reduziert das Risiko von Passwortproblemen.

Link zum Teilen kopieren  

Ein Passwort Safe (auch: Passwort-Manager, Passwort-Management-System, Kennwort- oder Passwortverwaltung) (englisch Password Manager, Password Safe) ist eine Softwarelösung oder ein Dienst, der entwickelt wurde, um die Verwaltung und Sicherheit von Passwörtern zu verbessern. Es handelt sich dabei um ein Tool, das Benutzern dabei hilft, ihre Passwörter sicher zu speichern, zu organisieren und zu verwalten.

Ein Passwort Safe bietet in der Regel die folgenden Hauptfunktionen:

  1. Passwort-Speicherung: Das System ermöglicht es Benutzern, ihre Passwörter an einem sicheren Ort zu speichern. Anstatt sich an mehrere Passwörter erinnern zu müssen, kann der Benutzer sie alle an einem Ort verwalten.
  2. Passwort-Generierung: Das System kann zufällige, starke Passwörter generieren, die den gängigen Sicherheitsstandards entsprechen. Dies erleichtert die Erstellung sicherer Passwörter und minimiert das Risiko von Schwachstellen durch leicht zu erratende oder häufig verwendete Passwörter.
  3. Automatisches Ausfüllen von Anmeldeinformationen: Ein Passwort-Managemer kann Benutzern helfen, sich automatisch bei Websites oder Anwendungen anzumelden, indem es ihre gespeicherten Anmeldeinformationen verwendet. Dadurch entfällt die Notwendigkeit, Benutzernamen und Passwörter manuell einzugeben, was Zeit spart und Fehler minimiert.
  4. Synchronisierung über Geräte hinweg: Viele Passwort-Managemer bieten die Möglichkeit, Passwörter und andere gespeicherte Informationen über verschiedene Geräte hinweg zu synchronisieren. Dadurch haben Benutzer von verschiedenen Geräten aus Zugriff auf ihre Passwörter und können sie sicher und bequem nutzen.
  5. Sicherheit und Verschlüsselung: Passwort-Managemer verwenden fortschrittliche Verschlüsselungstechniken, um die gespeicherten Passwörter und Daten zu schützen. Sie bieten zusätzliche Sicherheitsfunktionen wie Zwei-Faktor-Authentifizierung und Master-Passwörter, um den Zugriff auf die gespeicherten Informationen zu schützen.

Durch die Verwendung eines Passwort-Managemers können Benutzer die Sicherheit ihrer Konten verbessern, das Risiko von Datenlecks und Identitätsdiebstahl verringern und gleichzeitig die Benutzerfreundlichkeit beim Zugriff auf verschiedene Online-Dienste erhöhen. Es bietet eine praktische Lösung für das Herausforderung, sichere und einzigartige Passwörter für eine Vielzahl von Online-Konten zu erstellen und zu verwalten.

Wir von yourIT setzen in diesem Bereich seit vielen Jahren auf die Lösung Password Secure von Netwrix (ehemals MATESO Password Safe). Diese bereitet der Zettelwirtschaft und unsicheren Kennwörtern ein Ende. Das Passwort-Verwaltungstool macht uns und unseren Kunden den Umgang mit Zugängen und hochsensiblen Daten einfacher und sorgt für mehr Sicherheit und Effektivität.


TechnikDatenschutzInformationssicherheit

PDCA steht für Plan – Do – Check – Act

Link zum Teilen kopieren  

PDCA steht für Plan-Do-Check-Act, ein zyklischer Prozess zur kontinuierlichen Verbesserung von Prozessen, Produkten und Dienstleistungen. Ein PDCA-Zyklus wird oft im Zusammenhang mit Managementsystemen verwendet, wie z.B. in den Bereichen Datenschutz, Informationssicherheit (ISO 27001), Qualität (ISO 9001), Umwelt (ISO 14001), etc. Er unterstützt außerdem bei der Fehler-Ursachen-Analyse.

Ein Informationssicherheitsmanagementsystem (ISMS) ist ein Rahmenwerk, das darauf abzielt, die Sicherheit von Informationen in einer Organisation zu gewährleisten. Das ISMS basiert auf dem PDCA-Zyklus, um kontinuierliche Verbesserungen zu ermöglichen.

Der PDCA-Zyklus besteht aus vier sich wiederholenden Phasen: Plan – Do – Check – Act (Planen – Umsetzen – Überprüfen – Handeln). Er wird wie folgt angewendet:

  1. Plan: Identifizieren Sie Risiken und Schwachstellen und entwickeln Sie einen Plan zur Verbesserung der Informationssicherheit.
  2. Do: Implementieren Sie den Plan und führen Sie die erforderlichen Maßnahmen durch.
  3. Check: Überprüfen Sie die Wirksamkeit der Maßnahmen und bewerten Sie den Erfolg.
  4. Act: Nehmen Sie erforderliche Anpassungen vor und verbessern Sie das Informationssicherheitsmanagementsystem kontinuierlich.

Nur durch die Anwendung des PDCA-Zyklus im ISMS können Organisationen sicherstellen, dass ihre Informationen dauerhaft sicher und geschützt sind.


AbkürzungenDatenschutzQMIMSInformationssicherheit

Pan-European Public Procurement OnLine

Link zum Teilen kopieren  


AbkürzungenDigitalisierung

sind alle personenbezogenen Angaben über Mitarbeiterinnen und Mitarbeiter der Freien Universität Berlin. Sie umfassen alle Angaben, durch die eine der genannten Personen identifizierbar ist.

Link zum Teilen kopieren  


TechnikEntwicklungDatenschutzDigitalisierungInformationssicherheit

Alle Auskünfte über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (betroffene Person, Betroffener).

Link zum Teilen kopieren  

Der Begriff der personenbezogenen Daten hebt ebenfalls wie schon § 3 Abs. 1 BDSG a.F. auf natürliche Personen ab. Juristische Personen wie z. B. BGB-Gesellschaften, GmbHs und Aktiengesellschaften fallen nicht darunter. Ferner umfasst dieser Begriff Daten, die sich auf eine identifizierte (§ 3 Abs. 1 BDSG a.F.: bestimmte) oder auf eine identifizierbare (§ 3 Abs. 1 BDSG a.F.: bestimmbare) Person beziehen.

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer identifizierten oder identifizierbaren natürlichen lebenden Person (Betroffener). Dazu gehören auch Daten über Unternehmen, wenn sich diese Daten auf eine bestimmte Person, nämlich den Unternehmer, beziehen lassen, wie es bei inhabergeführten Unternehmen regelmäßig der Fall ist.

Sind die Kunden zu einem Teil juristische Personen und zu einem anderen Teil natürliche Personen oder derartige inhabergeführte Unternehmen, muss auch aus Praktikabilitätsgründen diese Kundendatei für die Verarbeitungsprozesse im Ganzen als personenbezogene Datei behandelt werden.

Gemäß EG 26 sollen die Grundsätze des Datenschutzes für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden. Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d. h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymen Daten, auch für statistische oder für Forschungszwecke. Zum Begriff der Anonymität siehe auch „Einführung in den Datenschutz, Grundsätze der DSGVO“.

Datenschutz

Beim Pharming gelangt das Opfer durch normales Surfen auf eine betrügerische Website. Dort zur Eingabe von ver­traulichen Daten aufgefordert.

Link zum Teilen kopieren  

Wie beim Phishing werden auch beim Pharming betroffene User auf eine betrügerische Webseite weitergeleitet und zur Eingabe von ver­traulichen Daten aufgefordert. Allerdings werden die Pharming-Opfer im Gegensatz zu Phishing nicht durch betrügerische Mails und durch manuelles Anklicken der Verlinkun­gen auf die betrügerischen Webseiten gelockt. Der User gelangt durch normales Surfen auf die infizierte Webseite auch dann, wenn er die korrekte Internetadresse eingegeben hat.

Ermöglicht wird das Pharming durch das Ausnutzen der Grundlagen des Surfens im In­ternet. Beim Surfen im Internet wird eine im Browser eingegebene Internetadresse, wie Z.B. www.fom.de, erst durch einen DNS-Server in eine IP-Adresse umgewandelt, bevor eine Verbindung zu der Internetadresse aufgebaut werden kann. Das Pharming setzt bei diesem notwendigen Umwandlungsschritt beim DNS-Server an, in dem es versucht den DNS-Server zu infizieren und die Einstellungen des DNS-Servers so anzupassen, dass die User nicht mehr auf die Originalwebseite, sondern auf die gefälschte und infizierte Webseite weitergeleitet werden. Bei der Pharming-Weiterleitung können zusätzlich zum Datendiebstahl auch Viren und Trojaner auf den Computer des Opfers installiert werden. Besonders gefährlich an Pharming ist, dass auch User deren Computer keinerlei Schadsoftware enthalten, Opfer von Pharming werden können, wenn eine Infizierung ei­nes DNS-Servers erfolgt. Dabei hilft es auch nicht, wenn die gewünscht Webseite durch manuelle Eingabe oder durch Verwendung eines selbst angelegten Lesezeichens aufge­rufen wird, da eine Verbindungsanfrage erst nach dem Umwandeln in eine IP-Adresse zustande kommt.

TechnikDatenschutzInformationssicherheit

Eine Kombination aus "Password" und "Fishing", zu Deutsch nach Passwörtern angeln

Link zum Teilen kopieren  



Siehe auch:
Credential Stuffing

THE PLÄNT - Ihre Unternehmens-IT als Garten

Link zum Teilen kopieren  

Der Begriff "plant" hat in der Unternehmens-IT mehrere Bedeutungen und Anwendungen, je nach Kontext. Hier sind einige mögliche Bedeutungen:

  • Im Kontext der IT-Sicherheit kann "plant" sich auf eine Person oder eine Gruppe von Personen beziehen, die absichtlich schädliche Software, Malware oder andere bösartige Code in ein Computersystem einschleusen, um Schaden anzurichten oder Daten zu stehlen.
  • Im Kontext der IT-Entwicklung kann "plant" sich auf einen bestimmten Entwicklungsprozess oder eine bestimmte Strategie beziehen, um Code oder Software zu entwerfen und zu implementieren. Ein Beispiel hierfür ist das "Test Driven Development" (TDD), bei dem Entwickler Tests schreiben, bevor sie Code schreiben, um sicherzustellen, dass der Code korrekt funktioniert und alle Anforderungen erfüllt.
  • Im Kontext der IT-Infrastruktur kann "plant" sich auf die Planung und Implementierung von IT-Ressourcen beziehen, wie z.B. Server, Netzwerkgeräte oder Datenbanken. Hierbei geht es darum, sicherzustellen, dass alle Ressourcen ordnungsgemäß konfiguriert und implementiert sind, um sicherzustellen, dass sie den Bedürfnissen des Unternehmens entsprechen und keine Sicherheitsrisiken darstellen.
  • Insgesamt kann der Begriff "plant" in der Unternehmens-IT verwendet werden, um verschiedene Aspekte von IT-Entwicklung, -Infrastruktur und -Sicherheit zu beschreiben. Es ist wichtig, die Bedeutung und Anwendung des Begriffs im jeweiligen Kontext zu verstehen, um sicherzustellen, dass er korrekt angewendet wird.

TechnikEntwicklungTHE LÄNDDatenschutzInformationssicherheit

THE PLÄNTS - Ihre Unternehmens-IT als Garten

Link zum Teilen kopieren  

2023 findet in Balingen die Gartenschau statt. Unser Beitrag dazu musste also etwas mit Pflanzen und IT- bzw. Informationssicherheit zu tun haben.

THE PLÄNT - das ist der englische Begriff für

  • Pflanzen
  • Gewächse

aber auch

  • Material, Betriebsmaterial, Betriebseinrichtung, Inventar
  • Anlagen
  • Betriebe / Betriebsanlagen / Betriebsgebäude
  • Fabriken / Fabrikanlage
  • Produktionsanlagen
  • Werke / Werksanlagen
  • Maschinenhallen
  • Ausrüstung

Der Begriff "plants" kann in der Unternehmens-IT verschiedene Bedeutungen haben, je nach Kontext und Anwendungsfall. Hier sind einige mögliche Beispiele:

  • Hardware-PLÄNTS: In der IT-Infrastruktur können "plants" physische Komponenten wie Server, Netzwerkgeräte oder Speichergeräte bezeichnen, die in einem Rechenzentrum oder an verschiedenen Standorten betrieben werden.
  • Software-PLÄNTS: "Plants" können auch Softwarekomponenten oder Anwendungen bezeichnen, die in der IT-Infrastruktur betrieben werden, wie z.B. ein CRM-System, ein ERP-System oder eine Datenbank.
  • Virtuelle PLÄNTS: In der Virtualisierung von IT-Ressourcen können "plants" virtuelle Maschinen bezeichnen, die auf einem physischen Host betrieben werden.
  • Security PLÄNTS: Im Zusammenhang mit der Informationssicherheit können "plants" Sicherheitskomponenten wie Firewalls, Antiviren-Software oder Intrusion-Detection-Systeme bezeichnen, die eingesetzt werden, um das Netzwerk und die IT-Systeme vor Angriffen und Bedrohungen zu schützen.

Der Begriff "plants" kann in der Unternehmens-IT also verschiedene Bedeutungen haben und sich auf verschiedene Arten von IT-Ressourcen und -Komponenten beziehen.

Kontextbezogen kann der Begriff "plants" in der Unternehmens-IT folgende Bedeutungen haben:

  • Im Kontext der IT- bzw. Informationssicherheit kann "plants" sich auf eine Gruppe von Personen beziehen, die absichtlich schädliche Software, Malware oder andere bösartige Code in ein Computersystem einschleusen, um Schaden anzurichten oder Daten zu stehlen.
  • Im Kontext der IT-Entwicklung kann "plants" sich auf bestimmte Entwicklungsprozesse oder eine bestimmte Strategie beziehen, um Code oder Software zu entwerfen und zu implementieren. Ein Beispiel hierfür ist das "Test Driven Development" (TDD), bei dem Entwickler Tests schreiben, bevor sie Code schreiben, um sicherzustellen, dass der Code korrekt funktioniert und alle Anforderungen erfüllt.
  • Im Kontext der IT-Infrastruktur kann "plants" sich auf die Planung und Implementierung von IT-Ressourcen beziehen, wie z.B. Server, Netzwerkgeräte oder Datenbanken. Hierbei geht es darum, sicherzustellen, dass alle Ressourcen ordnungsgemäß konfiguriert und implementiert sind, um sicherzustellen, dass sie den Bedürfnissen des Unternehmens entsprechen und keine Sicherheitsrisiken darstellen.

Insgesamt kann der Begriff "plants" in der Unternehmens-IT verwendet werden, um verschiedene Aspekte von IT-Entwicklung, -Infrastruktur und -Sicherheit zu beschreiben. Es ist wichtig, die Bedeutung und Anwendung des Begriffs im jeweiligen Kontext zu verstehen, um sicherzustellen, dass er korrekt angewendet wird.

Übrigens: Wir schreiben THE PLÄNT mit Umlaut, weil wir damit unsere Verbundenheit mit THE LÄND und unseren Status als #PartOfTHELÄND ausdrücken wollen.

THÄNX 2 THE Ä-TEAM


THE LÄNDDatenschutzInformationssicherheit

Automatisierte Verarbeitung personenbezogener Daten, um bestimmte persönliche Aspekte zu bewerten.

Link zum Teilen kopieren  

Profiling ist jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere, um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.
Datenschutz

Die Projektleitung ist die organisatorische Stelle, der die operative Kontrolle eines Projektes unterliegt. Ihre Aufgabe ist primär das Projektmanagement.

Link zum Teilen kopieren  


TechnikEntwicklungDatenschutzDigitalisierungInformationssicherheit

Text oder Anweisung, die an ein KI-Modell übermittelt wird, um eine Antwort zu erhalten. Klare und präzise Formulierung ist wichtig für genaue Ergebnisse.

Link zum Teilen kopieren  

Der Begriff "Prompt" bezieht sich auf den Text oder die Anweisung, die an ein KI-Modell wie ChatGPT übermittelt wird, um eine gewünschte Antwort oder Ausgabe zu erhalten. Der Prompt ist im Grunde genommen die Eingabe, die Sie machen, um mit dem KI-Modell zu interagieren.

Bei der Gestaltung eines Prompts ist es wichtig, klare und präzise Fragen oder Anweisungen zu formulieren, um die gewünschten Informationen oder Antworten zu erhalten. Ein gut gestalteter Prompt enthält in der Regel ausreichend Kontext, um dem Modell zu helfen, die Anfrage besser zu verstehen und relevante und genaue Antworten zu generieren.

Es gibt verschiedene Möglichkeiten, einen Prompt zu gestalten. Manche Leute verwenden beispielsweise eine Einleitung wie "Frage:" oder "Anleitung:", gefolgt von der eigentlichen Frage oder Anweisung. Dies hilft, den Zweck des Prompts zu verdeutlichen und dem Modell eine klare Struktur für die Antwortgebung zu geben.

Es ist auch wichtig zu beachten, dass die Formulierung des Prompts einen erheblichen Einfluss auf die Antwort des KI-Modells haben kann. Manchmal kann eine leichte Umformulierung der Frage oder eine andere Herangehensweise zu besseren Ergebnissen führen. Es erfordert möglicherweise etwas Experimentieren, um den besten Prompt zu finden, der die gewünschten Informationen oder Lösungen liefert.

Es ist ratsam, den Output des Modells nach der Verwendung eines Prompts zu überprüfen und zu bewerten. Obwohl KI-Modelle wie ChatGPT leistungsstark sind, können sie gelegentlich unerwartete oder fehlerhafte Antworten generieren. Es ist wichtig, den Output kritisch zu hinterfragen und gegebenenfalls den Prompt anzupassen, um genauere oder bessere Ergebnisse zu erzielen.

Wichtiger Hinweis zu Datenschutz & Informationssicherheit

KI-basierte Systeme wie ChatGPT lernen durch Ihre Texteingaben. Beachten Sie daher insbesondere bei der Nutzung von externen KI-Systemen immer auch die Vorgaben der Informationssicherheit zum Umgang mit vertraulichen und streng vertraulichen sowie des Datenschutzes zum Umgang mit personenbezogenen Daten. Schauen Sie dazu in die "Verfahrensanweisung zum Umgang und zur Nutzung von KI-basierten Systemen wie ChatGPT". Falls es diese in Ihrem Unternehmen noch nicht gibt: Unser Consulting-Team Datenschutz & Informationssicherheit unterstützt Sie gerne!

Insgesamt ist der Prompt ein wesentliches Element bei der Nutzung von KI-Modellen wie ChatGPT. Eine sorgfältige Gestaltung des Prompts kann dazu beitragen, präzise und hilfreiche Antworten zu erhalten und die Interaktion mit dem KI-Modell zu verbessern.


TechnikDatenschutzDigitalisierungInformationssicherheitMarketing

Bindeglied zwischen dem konkreten Geschäftsprozess und abstrakter Anforderungen der Managementsysteme

Link zum Teilen kopieren  

Prozessbeschreibungen ermöglichen uns, zu verstehen, was bei der praktischen Durchführung eines Geschäftsprozesses wirklich passiert. Die Prozessbeschreibung ist das zentrale Bindeglied zwischen der Geschäftswirklichkeit und der Umsetzung von QM-, Informationssicherheits- und/oder datenschutzrechtlichen Anforderungen. Auch wenn Prozessbeschreibungen im Einzelfall initial Mehraufwand verursachen, spart die Prozessbeschreibung erheblichen Aufwand in allen darauffolgenden Schritten. Die Prozessbeschreibung wird üblicherweise vom Verantwortlichen aus der Fachabteilung erstellt. Dieser hat alle nötigen Informationen über den Geschäftsprozess und seine Risiken. Durch den Einsatz von Prozessbeschreibungen werden diese Informationen in einem Schritt vollständig abgefragt.

Prozessbeschreibung sind das zentrale Element eines Integrierten Management Systems (IMS).


DatenschutzQMIMSInformationssicherheit

Durch die Pseudonymisierung können personenbezogene Daten einer betroffenen Person nur noch unter Hinzuziehung weiterer Informationen identifiziert werden.

Link zum Teilen kopieren  

Pseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, auf welche die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.

Bei der Pseudonymisierung wird ein Identifikationsmerkmal wie z.B. der Name durch ein Pseudonym (zumeist ein Code, bestehend aus einer Buchstaben- oder Zahlenkombination) ersetzt. Damit soll die Feststellung der Identität des Betroffenen ausgeschlossen oder wesentlich erschwert werden (für Deutschland siehe § 3 Abs. 6a BDSG-neu bzw. entsprechendes Landesrecht).

Im Gegensatz zur Anonymisierung bleiben bei der Pseudonymisierung Bezüge verschiedener Datensätze, die auf dieselbe Art pseudonymisiert wurden, erhalten.

Die Pseudonymisierung ermöglicht also – unter Zuhilfenahme eines Schlüssels – die Zuordnung von Daten zu einer Person, was ohne diesen Schlüssel nicht oder nur schwer möglich ist, da Daten und Identifikationsmerkmale getrennt sind. Entscheidend ist also, dass eine Zusammenführung von Person und Daten noch möglich ist.


Datenschutz

Q


Die qualifizierte elektronische Signatur ist die sicherste Art der elektronischen Signatur.

Link zum Teilen kopieren  

Nach dem deutschen Signaturgesetz (SigG) versteht man unter einer qualifizierten elektronischen Signatur eine fortgeschrittene elektronische Signatur, die auf einem gültigen, qualifizierten Zertifikat beruht. Diese muss mit einer sicheren Signaturerstellungseinheit (SSEE) erstellt werden.
TechnikEntwicklungDatenschutzDigitalisierungInformationssicherheit

R


Ransomware as a Service

Link zum Teilen kopieren  

DIY-Ransomware-Kits, die potenzielle Kriminelle kaufen und implementieren können. Ein Service, den Sie nicht erbringen möchten. Leider gibt es nicht viel, was Sie gegen den Verkauf von Code-Kits im Darknet tun können.

Was Sie aber tun können: Schützen Sie sich und Ihr Unternehmen vor Ransomwareangriffen! Wir zeigen Ihnen gerne, wie.

Markt: Überangebot treibt die Kosten für Kits nach unten – das ist schlecht.

TechnikAbkürzungenDatenschutzAkronymInformationssicherheit

Eine Entität zur Rechenschaft zu ziehen bedeutet, ihr Handlungen und Entscheidungen zuzuweisen und zu erwarten, dass sie für diese Handlungen und Entscheidungen verantwortlich ist.

Link zum Teilen kopieren  

Die Rechenschaftspflicht ist ein allgemeiner Grundsatz für Organisationen in vielen verschiedenen Bereichen. Durch sie soll sichergestellt werden, dass Organisationen die in sie gesetzten Erwartungen – etwa in Bezug auf die Lieferung ihrer Produkte und das Verhalten gegenüber den Akteuren, mit denen sie interagieren – erfüllen.

In der EU-Datenschutz-Grundverordnung (EU-DSGVO) äußert sich die Rechenschaftspflicht als Grundsatz, wonach Organisationen geeignete technische und organisatorische Maßnahmen (auch TOMs genannt) ergreifen müssen. Auf Anfrage müssen diese nachzuweisen können, was sie getan haben. Und sie müssen die Wirksamkeit ihrer Handlungen belegen können.


DatenschutzRechtskataster

Wie geht mein Unternehmen mit eingehenden Rechnungen um

Link zum Teilen kopieren  


Digitalisierung

Der Grundsatz der Rechtmäßigkeit schreibt vor, dass personenbezogene Daten nur unter dem Vorbehalt einer gesetzlichen Erlaubnis oder einer Einwilligung erhoben und verarbeitet werden dürfen.

Link zum Teilen kopieren  

Der Grundsatz der Rechtmäßigkeit schreibt vor, dass personenbezogene Daten nur unter dem Vorbehalt einer gesetzlichen Erlaubnis oder einer Einwilligung erhoben und verarbeitet werden dürfen. Dieser Grundsatz ist in Art. 8 Abs. 2 GRCh (Charta der Grundrechte der Europäischen Union) vorgegeben und entspricht auch dem Grundsatz des Verbots mit Erlaubnisvorbehalt nach den Vorschriften der EU-DSGVO. Bei jeder Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten ist deshalb darauf zu achten, dass eine Rechtsgrundlage nach den Datenschutzvorschriften vorhanden ist. Eine Rechtsgrundlage kann insbesondere ein Vertrag mit der betroffenen Person, ein berechtigtes Interesse des Unternehmens oder einer anderen Stelle unter Abwägung des Interesses und der Grundrechte und Grundfreiheiten der betroffenen Personen oder eine Einwilligung sein. Für die einzelnen Datenverarbeitungsverfahren sind die Rechtsgrundlagen in der Beschreibung zum Verzeichnis über die Verarbeitungstätigkeiten beschrieben und geprüft.


Datenschutz

Ein Rechtskataster bildet die relevanten Gesetze und Vorschriften ab, von denen eine Organisation betroffen ist.

Link zum Teilen kopieren  

Im Gegensatz zum allgemeinen Verständnis des Begriffs Kataster hat ein Rechtskataster keinen Raumbezug. Synonyme Begriffe sind Rechtsverzeichnis und Rechtsregister.


AbkürzungenDatenschutzIMSRechtskatasterInformationssicherheit

Die personenbezogenen Daten müssen im Hinblick auf die Zwecke ihrer Verarbeitung sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein.

Link zum Teilen kopieren  

Die personenbezogenen Daten müssen im Hinblick auf die Zwecke ihrer Verarbeitung sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Die Verarbeitung unrichtiger Daten ist zu vermeiden. Unrichtige Daten sind unverzüglich zu berichtigen.


DatenschutzDatenschutzgrundsätze

Risiko ist ein Maß für die Gefährdung, die von einer Bedrohung ausgeht. Es setzt sich zusammen aus zwei Komponenten: der Wahrscheinlichkeit, mit der das Ereignis eintritt, und der Höhe des Schadens, der als Folge des Ereignisses auftritt.

Link zum Teilen kopieren  


TechnikDatenschutzMaßnahmeInformationssicherheit

Prozess, der die bestehenden Sicherheitsrisiken identifiziert, ihre Größenordnung bestimmt und die Bereiche festlegt, die Sicherheitsmaßnahmen erfordern.

Link zum Teilen kopieren  

Unter Risikoanalyse versteht men einen Prozess, der die bestehenden Sicherheitsrisiken identifiziert, ihre Größenordnung bestimmt und die Bereiche festlegt, die Sicherheitsmaßnahmen erfordern. Zu berücksichtigen sind hierbei ggf. die IT-Sicherheitsrichtlinie und das IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI). (Dieser Prozess wird im BSI-Standard 200-3 auch "Risikoanalyse" und im Kontext der DSGVO "Datenschutzfolgeabschätzung" genannt.)
TechnikDatenschutzMaßnahmeInformationssicherheit

Robuste Verschlüsselung bezeichnet eine starke und sichere Methode, Daten sowohl während ihrer Übertragung als auch im gespeicherten Zustand vor unbefugtem Zugriff zu schützen.

Link zum Teilen kopieren  

Diese Art von Verschlüsselung nutzt moderne Algorithmen und Protokolle, um sicherzustellen, dass Datenintegrität und -vertraulichkeit in verschiedensten Anwendungsgebieten gewahrt bleiben. Sie schützt vor gängigen Angriffsvektoren, wie z.B. Man-in-the-Middle-Angriffen während der Datenübertragung oder dem unbefugten Zugriff auf gespeicherte Daten.
Datenschutz

Robuste Verschlüsselung bezeichnet eine starke und sichere Methode, Daten sowohl während ihrer Übertragung als auch im gespeicherten Zustand vor unbefugtem Zugriff zu schützen

Link zum Teilen kopieren  

Diese Art von Verschlüsselung nutzt moderne Algorithmen und Protokolle, um sicherzustellen, dass Datenintegrität und -vertraulichkeit in verschiedensten Anwendungsgebieten gewahrt bleiben. Sie schützt vor gängigen Angriffsvektoren, wie z.B. Man-in-the-Middle-Angriffen während der Datenübertragung oder dem unbefugten Zugriff auf gespeicherte Daten.


TechnikDatenschutzInformationssicherheit

Eine Rolle bündelt die Komponenten, die zur Bearbeitung von Aufgaben innerhalb eines IT-gestützten Geschäftsprozesses benötigt werden. Sie beschreibt somit, für welche Aufgaben man mit welchen Rechten auf welche Ressourcen zugreift.

Link zum Teilen kopieren  


TechnikEntwicklungDatenschutzDigitalisierungInformationssicherheit

S


Software as a Service

Link zum Teilen kopieren  

Zentral gehostete Software mit Abonnementlizenzen. Der Großvater des gesamten -aaS-Marktes. Anbieter mögen es, weil regelmäßige monatliche Zahlungen besser sind als einmalige Deals, und Kunden schätzen seine Flexibilität.

Manchmal wird SaaS auch als (IT-)Security as a Service verwendet. Dann bedeutet es die Auslagerung der Verwaltung der Netzwerksicherheit und Datenregulierung/Compliance eines Unternehmens an einen Drittanbieter wie yourIT – wie einen MSSP (Managed Security Service Provider).

TechnikAbkürzungenAkronymInformationssicherheit

Supervisory Control and Data Acquisition

Link zum Teilen kopieren  


TechnikEntwicklungAbkürzungenDatenschutzDigitalisierungInformationssicherheit

ist ein Werkzeug zur Ermittlung des Schutzbedarfs von Daten bzw. eines IT-Verfahrens. (Das Werkzeug wird im BSI-Standard 200-2 "Schutzbedarfsfeststellung" und im Kontext der DSGVO "Schwellwertanalyse" oder "Schwellwertermittlung" genannt.)

Link zum Teilen kopieren  


Datenschutz

Eine Schwachstelle ist eine Lücke oder ein Mangel.

Link zum Teilen kopieren  

Eine Schwachstelle im IT-Bereich bezeichnet eine Lücke oder einen Mangel in der IT-Infrastruktur, -Systemen oder -Prozessen einer Organisation, die die Sicherheit und Funktionalität beeinträchtigen kann. Diese Schwachstellen können Sicherheitsrisiken darstellen, indem sie Angriffspunkte für Cyberangriffe wie Hacking, Datenlecks, Malware-Infektionen und andere Sicherheitsverletzungen bieten.

Ebenso ist eine Schwachstelle im Risikomanagement ein Defizit oder Mangel im Prozess des Risikomanagements einer Organisation, der eine effektive Identifikation, Bewertung, Steuerung und Überwachung von Risiken verhindert. Diese Schwachstellen können in verschiedenen Aspekten des Risikomanagements auftreten und beeinträchtigen die Fähigkeit der Organisation, adäquat auf potenzielle Bedrohungen zu reagieren.


RisikomanagementsystemTechnikDatenschutzInformationssicherheit

sind Daten, deren Verlust, Bekanntwerden oder Verfälschung einen erheblichen materiellen und immateriellen Schaden bedeutet.

Link zum Teilen kopieren  


TechnikEntwicklungDatenschutzDigitalisierungInformationssicherheit

Besondere personenbezogene Daten

Link zum Teilen kopieren  

Personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder eine Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten, Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung einer natürlichen Person. Auch als „besondere Kategorien personenbezogener Daten“ bezeichnet.
TechnikEntwicklungDatenschutzDigitalisierungInformationssicherheit

Bezeichnet das Computerprogramm oder ein Gerät, welches Funktionalitäten, Dienstprogramme, Daten oder andere Ressourcen bereitstellt.

Link zum Teilen kopieren  


TechnikEntwicklungDatenschutzDigitalisierungInformationssicherheit

Ist eine Abkürzung für folgende Kriterien, die bei der Festlegung von Zielen und Aufgaben berücksichtigt werden.

Link zum Teilen kopieren  

Spezifisch: Ziele sollten klar definiert sein, damit es zu keinen Missverständnissen der Beiteiligten kommt.

Messbar: Um Aufgaben und Ziele messen zu können, müssen die Fortschritte messbar und zu bewerten sein, um festzustellen, ob das Ziel erreicht wurde.

Akzeptiert/Attraktiv: Das Ziel ist für alle Beteiligten attraktiv formuliert. 

Realistisch: Das Ziel kann mit den vorhandenen Ressourcen realistisch erreicht werden.

Terminiert: Das Ziel ist zu einem bestimmten Zeitpunkt umgesetzt.


AbkürzungenMaßnahmeQM

Durch Eigenschaften wie Angst, Vertrauen oder Respekt werden Menschen geschcikt manipuliert

Link zum Teilen kopieren  


TechnikDatenschutzInformationssicherheit

entspricht der Gesamtheit von Programmen einschließlich Betriebssystemen eines IT-Systems.

Link zum Teilen kopieren  


TechnikEntwicklungDatenschutzDigitalisierungInformationssicherheit

Unter Spam versteht man eine unerwünschte Nachricht, die massenhaft und ungezielt per E-Mail oder andere Kommunikationsdienst versendet werden.

Link zum Teilen kopieren  


TechnikDatenschutzInformationssicherheit

Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke, für die sie erhoben worden sind, erforderlich ist.

Link zum Teilen kopieren  

Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke, für die sie erhoben worden sind, erforderlich ist. Um sicherzustellen, dass personenbezogene Daten nicht länger als nötig gespeichert werden, sind Fristen für ihre Löschung oder regelmäßige Überprüfung vorzusehen und die Daten regelmäßig zu löschen bzw. zu vernichten. Die Aufbewahrungsfristen sind von den fachverantwortlichen Stellen festzulegen und die Löschung bzw. Vernichtung der Daten ist von diesen Stellen zu veranlassen, zu überwachen und, soweit erforderlich, zu dokumentieren. Die Verfahren für eine sichere Löschung von personenbezogenen Daten und die Vernichtung/Entsorgung von Geräten und Datenträgern sind mit dem Datenschutzkoordinator oder dem Datenschutzbeauftragten abzustimmen.


DatenschutzDatenschutzgrundsätze

Typ von Verarbeitungen im Datenschutz

Link zum Teilen kopieren  

Spezielle Verarbeitungen sind ein Typ von Verarbeitungen, die vom Datenschutzteam der yourIT definiert sind. Sie sind von den üblichen Verarbeitungen abzugrenzen. Zwar sind spezielle Verarbeitungen auch "nur" Verarbeitungen im Sinne des Art. 30 EU-DSGVO. Allerdings gibt es bei ihnen viel mehr individuelle Details und Gestaltungmöglichkeiten (im Vergleich zu üblichen Verarbeitungen). Spezielle Verarbeitungen sind weder zwingend besonders aufwändig noch risikoreich. Für ein Unternehmen mag eine spezielle Verarbeitung ein alltäglicher "Brot und Butter" Prozess sein. Z.B. kann für einen großen Architekten die Verarbeitung "Baurechtliche Verfahren / Erstellung von Bebauungsplänen" ein geschäftlicher Kernprozess sein, aus Sicht des Datenschutzes aber gibt es nur wenige Berührungspunkte zu unseren Standards aus den üblichen Verarbeitungen.

Von unseren ca. 300 definierten Verarbeitungen gehören 30 zu den üblichen Verarbeitungen, der Rest sind spezielle Verarbeitungen. Beispiele für spezielle Verarbeitungen sinddas Betriebliches Eingliederungsmanagement (BEM) oder die Verarbeitung Fuhrpark / Webfleet.



Siehe auch:
Verarbeitung
Verzeichnis von Verarbeitungtätigkeiten (VvV)

DatenschutzIMS

Link zum Teilen kopieren  


TechnikEntwicklungInformationssicherheit

Der Systemadministrator konfiguriert und betreibt IT-Systeme und ist für den ordnungsgemäßen Betrieb der Systeme verantwortlich, die zu seinem Aufgabenbereich gehören.

Link zum Teilen kopieren  

Neben den betriebssichernden Aufgaben ist der Administrator auch ganz oder teilweise für die Erstellung und Einhaltung eines Betriebs- und eines Datensicherungskonzepts zuständig.
TechnikEntwicklungDatenschutzDigitalisierungInformationssicherheit

System zur Angriffserkennung

Link zum Teilen kopieren  

Siehe auch:
IDS

T


Das Turtle-Modell ist ein Möglichkeit zur Prozessdokumentation

Link zum Teilen kopieren  

yourIT hat sich bei der Methode zur Prozessdokumentation bewusst für eine Weiterentwicklung der aus dem Qualitätsmanagement bekannten Turtle-Methode entschieden. Diese ist leicht zu verstehen und zu handhaben, sie ist auch im QM-Bereich weit verbreitet und gibt deshalb vielen unserer DSKs die Möglichkeit, Synergieeffekte mit einer anderen Abteilung zu nutzen. Unsere Weiterentwicklung THE TÖRTLE erweitert die bekannten Vorteile der Turtle-Methode um den Aspekt der Integrierbarkeit - eine Prozessbeschreibung für alle Managementsysteme spart nicht nur Zeit und Geld, sondern stellt auch sicher, dass Ihr Unternehmen ein einheitliches Compliance-Management ohne inhaltliche Brüche oder Widersprüche hat.

Wir haben dazu einen Blogartikel geschrieben: THE TÖRTLE - So wird Datenschutz vom Papiertiger zur Prozess-Schildkröte

törtle

Hier geht's zum Blogbeitrag >>



Siehe auch:
Prozessbeschreibung
Verarbeitung

THE LÄNDDatenschutzIMSInformationssicherheit

Trouble-Ticket-Systeme verwalten Fehlermeldungen als eigene Dokumente und unterstützen den Fehlerbehebungsprozess von der Erfassung des Fehlers, über die Fehlerdiagnose bis hin zur Fehlerbehebung.

Link zum Teilen kopieren  

Ein Ticket wird innerhalb eines Ticketsystems erstellt und entspricht einer Kundenanfrage. Diese Kundenanfrage wird klassifiziert in 'Fehlermeldungen' (Bugs) und 'Features'. Ein 'Feature' stellt einen Kundenwunsch dar, während ein 'Bug' ein Problem darstellt, welches priorisiert behandelt wird.
Mithilfe von Tickets soll der Kundensupport unterstützt werden.

TechnikEntwicklungDatenschutzDigitalisierungInformationssicherheit

Ein Tool, um Kundenanfragen zu managen.

Link zum Teilen kopieren  

Ziel: Optimierung der Kommunikation mit Unternehmenskunden; Steigerung der Serviceleistung des Dienstleisters.

Vereinheitlichung und Rationalisierung des Prozess vom Empfang der Anfrage, über die Klassifizierung der Tickets, bis hin zur Bearbeitung und Lösung der Anfrage. 

Früher wurden Kundenanliegen über E-Mail oder telefonisch aufgenommen. Mithilfe eines Ticketsystems als native Softwareanwendung auf dem Client des Kunden, können Kunden ihr Anliegen selbst in Tickets formulieren. Somit erhält das Unternehmen alle Kundenanliegen gesammelt über einen Kanal.



Telekommunikationsgesetz

Link zum Teilen kopieren  

Teil unseres Rechtskatasters im Datenschutz-Portal: DS-102990105.

Gesetze im Internet: TKG

Gesetzestext angepasst 2021 im Zuge des TTDSG.


AbkürzungenDatenschutzIMSRechtskatasterInformationssicherheit

Telemediengesetz

Link zum Teilen kopieren  

Teil unseres Rechtskatasters im Datenschutz-Portal: DS-102990104.

Gesetze im Internet: TMG

Gesetzestext angepasst 2021 im Zuge des TTDSG.


AbkürzungenDatenschutzIMSRechtskatasterInformationssicherheit

TOM – steht für technische und organisatorische Maßnahmen

Link zum Teilen kopieren  

Nach den Vorgaben der EU-DSGVO muss ein Verantwortlicher oder Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen zur Wahrung der Datensicherheit umsetzen. Dies ist zu dokumentieren. Gegenüber Dritten kann man die Übersicht der TOMs als Selbstauskunft herausgeben.

Beispiel für eine technische Maßnahme ist die Firewall, ein Beispiel für eine organisatorische Maßnahme ist ein dokumentierter Offboarding-Prozess für Mitarbeiter.


AbkürzungenDatenschutz

ist gewährleistet, wenn das IT-Verfahren für die jeweils Sachkundigen in zumutbarer Zeit mit zumutbarem Aufwand nachvollziehbar ist.

Link zum Teilen kopieren  

Der Grundsatz der Transparenz verlangt, dass jeder Betroffene wissen soll, wer welche Daten für welche Zwecke über ihn erhebt, speichert und verarbeitet und übermittelt und wie lange die Daten gespeichert werden, und dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst sind. Natürliche Personen sind über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten zu informieren und darüber aufzuklären, wie sie ihre diesbezüglichen Rechte geltend machen können. 


DatenschutzDatenschutzgrundsätze

Telekommunikation-Telemedien-Datenschutz-Gesetz

Link zum Teilen kopieren  

Teil unseres Rechtskatasters im Datenschutz-Portal: DS-102990101.

Gesetze im Internet: TTDSG


AbkürzungenDatenschutzIMSRechtskatasterInformationssicherheit

U


Ein Unternehmen ist eine natürliche oder juristische Person, die eine wirtschaftliche Tätigkeit ausübt.

Link zum Teilen kopieren  

Ein Unternehmen ist eine natürliche oder juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen.
DatenschutzInformationssicherheit

Eine Unternehmensgruppe ist eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht.

Link zum Teilen kopieren  

Eine Unternehmensgruppe ist eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht.
DatenschutzInformationssicherheit

Das Unternehmensleitbild verdeutlicht Sinn und Zweck der unternehmerischen Tätigkeit.

Link zum Teilen kopieren  

Das Leitbild eines Unternehmens ist eine schriftliche Erklärung, in der die Grundprinzipien des Unternehmens und seines Handelns beschrieben werden. Darüber hinaus wird eine Orientierung für das Idealziel der Unternehmensvision gegeben, mit deren Hilfe ein gemeinsames Verständnis und eine Identifikation innerhalb des Unternehmens sowie ein positives Image nach außen geschaffen werden soll. Zusätzlich werden Grundsätze des gemeinsamen Handelns und Umgangs formuliert, die nicht nur im Alltagshandeln, sondern auch in Konfliktund Führungssituationen Orientierung geben.



Siehe auch:
Mission

Marketing

Unternehmensziele im Risikomanagement sind die Basis, auf der systematisch Risiken identifiziert und gesteuert werden, die das Erreichen dieser Ziele gefährden könnten.

Link zum Teilen kopieren  

Die Unternehmensziele sind entscheidend für die Ausrichtung des Risikomanagements. Sie definieren den Rahmen, innerhalb dessen Risiken als potenzielle Hindernisse für das Erreichen dieser Ziele betrachtet werden. Eine umfassende Kenntnis dieser Ziele und der damit verbundenen Risiken im gesamten Unternehmen ist für ein effektives Risikomanagement unerlässlich. Dies ermöglicht es, Risiken zu identifizieren, zu bewerten und Maßnahmen zu ergreifen, die die Ziele nicht nur schützen, sondern auch deren Erreichung unterstützen.


RisikomanagementsystemInformationssicherheit

Gesetz gegen den unlauteren Wettbewerb

Link zum Teilen kopieren  

 Teil unseres Rechtskatasters im Datenschutz-Portal: DS-102990109.

Gesetze im Internet: UWG


AbkürzungenDatenschutzIMSRechtskatasterInformationssicherheit

V


Verantwortlicher (für die Daten-Verarbeitung Verantwortlicher, Datenverantwortlicher) ist eine natürliche oder juristische Person oder andere Stelle, die für die Verarbeitung personenbezogener Daten verantwortlich ist und deren Mittel und Zweck festlegt.

Link zum Teilen kopieren  


TechnikEntwicklungDatenschutzDigitalisierungInformationssicherheit

Ein oder mehrere Geschäftsprozesse, bei denen personenbezogene Daten verarbeitet werden.

Link zum Teilen kopieren  

Die EU-DSGVO definiert nicht abschließend was eine Verarbeitung im eigentlichen Sinne ist: "Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen (...) oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung."

Warum will die EU-DSGVO, dass Verarbeitungen dokumentiert werden? "Zum Nachweis der Einhaltung dieser Verordnung sollte der Verantwortliche oder der Auftragsverarbeiter ein Verzeichnis der Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, führen." Was macht er damit? "Jeder Verantwortliche und jeder Auftragsverarbeiter sollte verpflichtet sein, mit der Aufsichtsbehörde zusammenzuarbeiten und dieser auf Anfrage das entsprechende Verzeichnis vorzulegen, damit die betreffenden Verarbeitungsvorgänge anhand dieser Verzeichnisse kontrolliert werden können."

Wir definieren Verarbeitungen als einen oder mehrere Geschäftsprozesse, bei denen personenbezogene Daten verarbeitet werden und die ein gemeinsames Ziel verfolgen. Die Zieldefinition kann unterschiedlich ausfallen - es kann ein gemeinsames Ergebnis sein, aber auch eine gemeinsame / parallele Durchführung oder gleichartiger Schutzbedarf.

Die Unternehmen sind hier frei, die für sie sinnvollste Gruppierung zu wählen. Wir haben bei yourIT ca. 300 verschiedene Geschäftsprozesse bzw. wann immer möglich Gruppen von Geschäftsprozessen als Verarbeitungstätigkeiten vordefiniert. Wir unterscheiden dabei zwischen üblichen Verarbeitungen und speziellen Verarbeitungen. Die Gesamtheit aller dokumentierten Verarbeitungen er gibt das  Verzeichnis von Verarbeitungtätigkeiten (VvV).



Siehe auch:
Übliche Verarbeitungen
Spezielle Verarbeitungen
Verzeichnis von Verarbeitungtätigkeiten (VvV)

DatenschutzIMS

Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“).

Link zum Teilen kopieren  

Der Grundsatz der Verarbeitung nach Treu und Glauben setzt voraus, dass die betroffenen Personen in der Lage sind, das Vorhandensein einer Verarbeitung zu erfahren, und ordnungsgemäß und umfassend über die Bedingungen der Erhebung informiert zu werden, wenn Daten bei ihnen erhoben werden. Unter diesem Gesichtspunkt sind insbesondere die Rechte der Betroffenen und die Informationspflichten in verständlicher und nachvollziehbarer Form zu erfüllen. Auf die verbindlich eingerichteten Datenschutzprozesse zu den Rechten der Betroffenen und zu den Informationspflichten wird verwiesen.


DatenschutzDatenschutzgrundsätze

Verfügbarkeit bezieht sich auf die Tatsache, dass etwas vorhanden und zugänglich ist, wenn es benötigt wird.

Link zum Teilen kopieren  

Die drei grundlegenden Schutzziele in der Informationssicherheit lauten:
  • Confidentiality (Vertraulichkeit),
  • Integrity (Integrität) und
  • Availability (Verfügbarkeit)

Dieser CIA-Triade kommt in der Informationssicherheit ein besonderer Stellenwert zu, da sie oft auch als „Pfeiler der Informationssicherheit“ bezeichnet werden.

Verfügbarkeit kann sich auf eine Vielzahl von Dingen beziehen, wie z.B. Produkte, Dienstleistungen, Ressourcen oder Informationen.

Die Verfügbarkeit ist ein wichtiger Faktor in vielen Bereichen, insbesondere in der Technologie und im Online-Handel. Beispielsweise bezieht sich die Verfügbarkeit von Websites darauf, ob sie online und erreichbar sind, wenn ein Benutzer sie besuchen möchte.

In der IT-Sicherheit bezieht sich Verfügbarkeit auf die Fähigkeit von Systemen oder Netzwerken, kontinuierlich verfügbar zu sein und den Zugriff auf Ressourcen zu ermöglichen. Dazu gehören Maßnahmen wie die Implementierung von Backup-Systemen und die Vorbeugung gegen Distributed-Denial-of-Service-Angriffe.

In der Logistik und im Einzelhandel bezieht sich die Verfügbarkeit auf die Verfügbarkeit von Produkten in einem bestimmten Standort oder Lager, um den Bedarf der Kunden zu erfüllen.

Insgesamt bezieht sich Verfügbarkeit auf die Fähigkeit, etwas zur Verfügung zu stellen, wenn es benötigt wird, um die Zufriedenheit von Kunden oder Benutzern zu gewährleisten und Geschäftsprozesse aufrechtzuerhalten.

DatenschutzMaßnahmeIMSInformationssicherheit

Ist eine Verletzung der Sicherheit im Rahmen der Verarbeitung.

Link zum Teilen kopieren  

Ist eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung vonoder zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt,gespeichert oder auf sonstige Weise verarbeitet wurden.
Datenschutz

Schützt Daten vor der Einsicht durch Dritte. Nur berechtigte Personen können die Daten wieder entschlüsseln und verwenden.

Link zum Teilen kopieren  


TechnikDatenschutzMaßnahmeInformationssicherheit

Vertraulichkeit bezieht sich auf den Schutz von Informationen vor unbefugtem Zugriff oder Offenlegung.

Link zum Teilen kopieren  

Die drei grundlegenden Schutzziele in der Informationssicherheit lauten:
  • Confidentiality (Vertraulichkeit),
  • Integrity (Integrität) und
  • Availability (Verfügbarkeit)

Dieser CIA-Triade kommt in der Informationssicherheit ein besonderer Stellenwert zu, da sie oft auch als „Pfeiler der Informationssicherheit“ bezeichnet werden.

Vertraulichkeit ist ein wichtiger Aspekt in vielen Bereichen des Lebens, einschließlich Geschäft, Regierung, Rechtswesen und persönlichen Beziehungen.

In der Geschäftswelt bezieht sich Vertraulichkeit darauf, dass Mitarbeiter und Führungskräfte bestimmte Informationen wie Geschäftsgeheimnisse, Finanzinformationen oder Kundeninformationen geheim halten müssen. Verstöße gegen Vertraulichkeitsvereinbarungen können zu rechtlichen Konsequenzen führen.

In Regierung und Rechtswesen ist Vertraulichkeit wichtig, um den Schutz von vertraulichen Informationen wie staatlichen Geheimnissen, Strafverfolgungsdaten und medizinischen Aufzeichnungen sicherzustellen.

In persönlichen Beziehungen kann Vertraulichkeit bedeuten, dass Informationen wie private Gespräche oder persönliche Angelegenheiten nicht ohne Erlaubnis geteilt werden.

Vertraulichkeit kann auch durch Verwendung von Sicherheitsmaßnahmen wie Verschlüsselung, Passwörtern und Zugangskontrollen gewährleistet werden.

DatenschutzMaßnahmeIMSInformationssicherheit

Die Gesamtheit aller Verarbeitungen im Unternehmen

Link zum Teilen kopieren  

Die Gesamtheit aller dokumentierten Verarbeitungen er gibt das  Verzeichnis von Verarbeitungtätigkeiten (VvV). yourIT unterscheidet hier zwischen üblichen Verarbeitungen und speziellen Verarbeitungen, aus denen das VvV entsteht.

Die rechtliche Notwendigkeit eines VvV ist in Art. 30 der EU-DSGVO niedergelegt. Die dort genannten Anforderungen sind gering (im wesentlichen Zwecke, Kategorien betroffener Personen, Datenarten und Empfänger der Daten). Alles andere ist optional ("wenn möglich": Fristen für die Löschung und technischen und organisatorischen Maßnahmen - TOMs). Ein VvV, das sich nur an Art. 30 ausrichtet, ist zwar rechtlich zulässig, verursacht aber für das verantwortliche Unternehmen erheblichen Zusatzaufwand. Denn die Rechenschaftspflicht aus der EU-DSGVO verlangt den Unternehmen einiges mehr ab als nur die Führung des VvV: Zu jeder Verarbeitung müssen unter anderem auch die Rechtsgrundlagen, eine Analyse der aus ihr entstehenden Risiken für die Betroffenen und die technisch-organisatorischen Maßnahmen, die man zur Eindämmung dieser Risiken getroffen hat, dokumentiert sein. All diese Dokumente müssen nicht nur erstellt, sondern auch laufend gepflegt und aktualisiert werden - Lücken und Widersprüche sind bußgeldbewehrte Verletzungen der Rechenschaftspflicht. Man kann diese Dokumentation auch außerhalb des VvV machen, dies bringt nur einen enormen und im Mittelstand kaum zu leistenden Dokumentations- und Pflegeaufwand mit sich.


DatenschutzIMSInformationssicherheit

Schadprogramme, meist unsichtbar über E-Mail-Anhänge, Webseiten oder Datenträger auf den Arbeitsplatzrechner geladen, die bei Ausführung leichten bis schweren Schaden hervorrufen können.

Link zum Teilen kopieren  


TechnikEntwicklungDatenschutzDigitalisierungInformationssicherheit

Entsprechende Programme, die in der Lage sind, Schadprogramme zu identifizieren. Wegen der schnellen Entwicklung und Verbreitung neuer Viren ist der Virenscanner immer auf dem neuesten Stand zu halten.

Link zum Teilen kopieren  


TechnikEntwicklungDatenschutzMaßnahmeDigitalisierungInformationssicherheit

Die Vision ist ein starkes, emotionales Bild der Zukunft des Unternehmens.

Link zum Teilen kopieren  

Als Teil des Unternehmensleitbildes beschreibt Sie ein anspruchsvolles, langfristiges Ziel, das alle Mitarbeitenden begeistert und motiviert.

Folgende Fragen sollten gestellt werden:

  • Was ist unsere große Leitidee?
  • Wo wollen wir hin und was wollen wir erreichen?
  • Was treibt uns jeden Tag an und motiviert uns?


Siehe auch:
Mission
Unternehmensleitbild

Marketing

W


Webseite, Website, Homepage - Was denn nun?

Link zum Teilen kopieren  

Unsere ausführliche Definition finden Sie unter dem Begriff Website
DigitalisierungMarketing

Website, Webseite oder Homepage - Was denn nun?

Link zum Teilen kopieren  

Immer wieder gibt es Ungereimtheiten zu den Begriffen Website, Webseite und Homepage. Wir bringen Licht ins Dunkel.

Was ist eine Website?

Als Website bezeichnet man im Deutschen alle zusammengehörigen Unterseiten einer im Web vertretenen Adresse. Das Wort Website steht also für alle Unterseiten und bezeichnet nicht nur eine einzelne Unterseite. Wenn man also von einer Website spricht, meint man die gesamte Webpräsenz unter einer Adresse im Web.


Was ist eine Webseite?

Spricht man im Gegensatz dazu von einer Webseite, ist im Deutschen eine spezielle Unterseite einer Website gemeint. Es handelt sich also um eine einzige HTML-Datei bzw. eine Unterseite. Eine Website hat viele Webseiten.


Was ist eine Homepage?

Die Homepage bezeichnet wiederum einfach nur die Startseite einer Webpräsenz. Und nur diese! Im Internet suchen viele Benutzer nach Homepage-Erstellung. Ich denke jedoch, dass kaum jemand daran interessiert ist, sich nur eine Startseite erstellen zu lassen. Website-Erstellung wäre hier der richtige Begriff.


Beispiele für verschiedene Websites

Hier noch eine Übersicht über einige der Websites (oder Webpräsenzen) der yourIT:


DigitalisierungMarketing

Bei der Brute Force Attacke („Angriff mit roher Gewalt“) handelt es sich um eine Methode, um Verschlüsselungen zu knacken. Dabei werden alle möglichen Kombinationen eines Passworts durchprobiert, bis die richtige gefunden ist.

Link zum Teilen kopieren  

In Wörterbuch-Attacken werden durch spezielle Programme mithilfe von umfangreichen Passwortlisten (auch Wordlists oder Dictionaries) typische Wörter und Wortkombinationen (auch aus Fremdsprachen) nacheinander getestet. Dies erfordert weniger Versuche als ein Brute-Force-Angriff. Zudem macht die häufige Nutzung typischer Passwörter und bestimmter Schemata es den Angreifern besonders leicht, betroffene Accounts zu knacken.
TechnikDatenschutzInformationssicherheit

X


Everything as a Service

Link zum Teilen kopieren  

Everything as a Service ist der Ansatz, alle Dienste für Infrastruktur, Hard- und Software bis hin zur Nutzung künstlicher Intelligenz (KI / AI) als Service zur Verfügung zu stellen und zu konsumieren. Er kennzeichnet den Kernpunkt des Cloud-Computing.
TechnikEntwicklungAbkürzungenDatenschutzDigitalisierungAkronymInformationssicherheit

Format zur digitalen Rechnungsstellung

Link zum Teilen kopieren  


AbkürzungenDigitalisierung

Y


Erfolgreiches IT-Dienstleistungsunternehmen aus dem Zollernalbkreis

Link zum Teilen kopieren  

Firmenbeschreibung/Boilerplate

securITy in everything we do … so lautet der Leitgedanke von yourIT. 

Unser Ziel ist es, die IT-Prozesse unserer Kunden zu optimieren und damit langfristig deren Wettbewerbsfähigkeit im globalen Markt zu steigern. Als innovatives Systemhaus in Baden-Württemberg prüfen wir den Sicherheits-Status der IT-Infrastruktur, spüren vorhandene Schwachstellen auf, erarbeiten Konzepte für Datenschutz & Informationssicherheit und entwickeln und implementieren die für unsere Kunden besten Lösungen mit dem Ziel der „Digitalisierung“.

Wir unterstützen unsere Kunden ebenso bei der Richtlinien-Definition und der Einhaltung der Policies und sichern als Managed Service Provider den laufenden Betrieb. In der yourIT-Academy teilen wir unser Expertenwissen mit unseren Kunden.

In allen Phasen der Zusammenarbeit nutzen wir verfügbare Fördermittel, um die Kosten unserer Kunden trotz optimaler Leistung so gering wie möglich zu halten.

Informationen:

  • Gründung 2002
  • Geschäftsführer Ralf und Thomas Ströbele
  • über 30 Mitarbeiter
  • Netzwerk & IT-Security, Softwareentwicklung & Digitalisierung, Datenschutz & Informationssicherheit, yourIT-Academy

Zertifikate / Auszeichnungen:

  • DIN EN ISO/IEC 27001
  • Innovationspreis-IT für unser Digitales Büro 4.0
  • Mehrfacher Preisträger BEST OF CONSULTING

TechnikEntwicklungDatenschutzDigitalisierungInformationssicherheit

Hersteller der Sicherheitsschlüssel YubiKey zur 2-Faktor-Authenifizierung

Link zum Teilen kopieren  

Mehr dazu unter YubiKey und 2-Faktor-Authenifizierung (2FA).
Partner

Sicherheitsschlüssel mit 2-Faktor-Authentifizierung

Link zum Teilen kopieren  

Ein YubiKey ist ein Security-Token der Firma Yubico, der mit Schnittstellen wie Lightning, Near Field Communication oder USB und vielfältigen Protokollen zur Identifizierung und Authentifizierung von Benutzern an Computersystemen verwendet wird. Er erlaubt unter anderem die sichere passwortlose Authentifizierung.


TechnikDatenschutzMaßnahmeInformationssicherheit

Z


Kunden

Link zum Teilen kopieren  

Die Definition der Personen oder Firmen, die ein Unternehmen als Kunden gewinnen möchte. Die Zielgruppe kann anhand von demographischen Daten, Alter, Geschlecht, Zugehörigkeit zu bestimmten Interessengruppen oder tatsächlichen Besuchern einer Website festgelegt werden. Diese Zielgruppe kann dann, auch wenn sich die Individuen noch nicht durch die Abgabe ihrer E-Mail-Adresse zu erkennen gegeben haben, durch →Retargeting werblich erreicht werden.
Social MediaMarketing

Die Zugriffskontrolle umfasst sowohl die Zugriffsberechtigung als auch die Zugriffsbeschränkung.

Link zum Teilen kopieren  

Sie bezieht sich auf alle Schritte, die unternommen werden, um die Eingabe, den Kontakt oder die Verwendung von Assets selektiv zu autorisieren und einzuschränken . Zugriffsberechtigungen und -beschränkungen werden häufig in Übereinstimmung mit den Geschäfts- und Sicherheitsanforderungen festgelegt.


Zentraler User Guide des Forums elektronische Rechnung Deutschland

Link zum Teilen kopieren  


AbkürzungenDigitalisierung

Wird im Allgemeinen vom Administrator vergeben und bezeichnet die Möglichkeiten, bestimmte Daten und Verfahren zu verwenden und zu bearbeiten (z.B. lesen, ausführen, ändern, löschen).

Link zum Teilen kopieren  


TechnikDatenschutzMaßnahmeInformationssicherheit

Datenschutz: Personenbezogene Daten dürfen nur für den Zweck verwendet werden, zu dem sie erhoben wurden.

Link zum Teilen kopieren  

Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. Die Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, müssen eindeutig und rechtmäßig sein und zum Zeitpunkt der Erhebung der personenbezogenen Daten feststehen. Eine Verarbeitung oder Nutzung von personenbezogenen Daten für andere als den Betroffenen im Zusammenhang mit der Datenerhebung kommunizierten Zwecke ist nur unter den gesetzlich festgelegten Bedingungen (Art. 6 Abs. 4 EU-DSGVO) und ansonsten nur mit Einwilligung der Betroffenen zulässig. Sollen erhobene Daten auch für einen anderen als den der Erhebung zugrunde liegenden Zweck verwendet werden, z. B. zu Zwecken der Werbung oder des Profilings oder für Datenübermittlungen, ist vorher der Datenschutzbeauftragte zu konsultieren.


DatenschutzDatenschutzgrundsätze

Eine sehr effektive Maßnahme in den Bereichen Zutritts-, Zugangs- und Zugriffskontrolle

Link zum Teilen kopieren  

vgl. 2-Faktor-Authentifizierung (2FA)
TechnikDatenschutzMaßnahmeInformationssicherheit

Ä


Der IT-Begriff "Admin" in THE LÄND Style.

Link zum Teilen kopieren  

Admin ist die Kurzform zu Administrator. Da wir aus Baden-Württemberg kommen und damit aus THE LÄND, nennen wir den Admin bei uns liebevoll THE ÄDMIN.

Mehr zu diesem und anderen DOMÄN-PÄCKÄGES in THE LÄND Style auf https://www.theaeteam.de/2021/12/the-admin.html


TechnikTHE LÄND

Ö


Die Lehre vom Zusammenspiel der Lebewesen in der Natur

Link zum Teilen kopieren  

Unternehmen, die nur ökonomisch agieren, arbeiten häufig nicht ökologisch.

Dabei bietet die Integration von Ökologie und Ökonomie große Chancen – selbst, wenn die Märkte noch klein und disruptiv sind. Aber nur durch ihre Zusammenführung werden wir generationenübergreifend weiter wirtschaften können, im Einklang mit der Natur, mit den Gesellschaften und Menschen, in denen die Unternehmen agieren.

Für yourIT ist ökologisches Handeln mindestens genauso wichtig wie ökonomisches.


DatenschutzDigitalisierungInformationssicherheit

Mit geringem Aufwand einen hohen Gewinn erzielen

Link zum Teilen kopieren  

In der Wirtschaft bedeutet ökonomisches Handeln, dass man effizient zum Wohle des Unternehmens und dessen Wachstum agiert.

Man sieht anhand dieser Begriffe, dass die Ökonomie oftmals gegen die Ökologie arbeitet. Beispielsweise entnehmen viele Unternehmen Ressourcen aus der Umwelt, welche die Natur nicht nachhaltig decken kann.


DatenschutzDigitalisierungInformationssicherheit

Ü


Die Übermittlung ist jede Bekanntgabe von personenbezogenen Daten durch den Verantwortlichen an Dritte.

Link zum Teilen kopieren  

Die Übermittlung ist jede Bekanntgabe von personenbezogenen Daten durch denVerantwortlichen an Dritte.


Datenschutz

Sind eine von yourIT definiert Art von Verarbeitung im Datenschutz.

Link zum Teilen kopieren  

Unter üblichen Verarbeitungen verstehen wir Geschäftsprozesse, welche so weit verbreitet und so stark standardisiert sind, dass fast jedes Unternehmen sie hat und sie auch zumeist sehr ähnlich aussehen. Ein Beispiel für eine übliche Verarbeitung ist die Finanzbuchhaltung. Für diese Verarbeitungen bieten wir auf Basis unserer langjährigen Erfahrung vorausgefüllte Prozessbeschreibungen und Meldebögen an, die Sie nur noch prüfen und in Einzelheiten an Ihre Geschäftsprozesse anpassen müssen.

Für übliche Verarbeitungen gibt es unsere Liste der üblichen Verarbeitungen, sie enthält alle Verarbeitungstätigkeiten, die von yourIT als "üblich" definiert wurden.



Siehe auch:
Verzeichnis von Verarbeitungtätigkeiten (VvV)
Spezielle Verarbeitungen
Verarbeitung


DatenschutzIMS

Übung macht den Meister

Link zum Teilen kopieren  

Der Begriff "Übung" hat verschiedene Bedeutungen:

  1. Lerntechnik zur aktiven Aneignung einer bestimmten Fertigkeit, das praktische Üben.
  2. Anschauungsmaterial, Text oder Aufgabe zum Trainieren.
  3. Recht: Das übliche Vorgehen in einem bestimmten Bereich.

Für uns bedeutet Übung, dass wir uns und unsere Kunden ständig fortbilden. Und das gelernte täglich anwenden.


DatenschutzDigitalisierung
Lassen Sie sich von uns überzeugen!