Zuletzt bearbeitet vor 2 Jahren
von Redaktion

RM:Mobilgeräte: Unterschied zwischen den Versionen

(Die Seite wurde neu angelegt: „{{Risk infobox |riskID=AS1 |riskDate=2021-11-26 |riskDomain=Home Office |riskAffects=Datenschutz, Vermögenswert |riskOwner=Benutzer:Parnoux |riskFactor=C3 |ri…“)
 
K ((Benutzername entfernt) (Logbucheinzelheiten entfernt))
 
(8 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 2: Zeile 2:
|riskID=AS1
|riskID=AS1
|riskDate=2021-11-26
|riskDate=2021-11-26
|riskDomain=Home Office
|riskDomain=Extern
|riskAffects=Datenschutz, Vermögenswert
|riskAffects=Datenschutz, Vermögenswert
|riskOwner=Benutzer:Parnoux
|riskOwner=IT Ops Manager
|riskFactor=C3
|riskFactor=C3
|riskMeasuresExist=Nein
|riskMeasuresExist=Ja
|riskFactorMitigated=B3
}}
}}
==Risikobeschreibung==
==Risikobeschreibung==
Das Unternehmen stellt den Mitarbeitern generell einen Laptop und andere Mobilgeräte als Standardausrüstung zur Verfügung. Da diese auch im Home Office und bei Kundenterminen genutzt werden, besteht die Gefahr eines Verlustes außerhalb des Büros. Das zentrale Risiko ist hierbei der Datenverlust sowohl interner Daten als auch von Kundendaten.


==Überlegungen zur Risikobehandlung==
==Überlegungen zur Risikobehandlung==
 
Folgende Überlegungen wurden in die Risikobehandlung miteinbezogen:
''Ersetzen Sie die angegebenen Punkt mit Ihren eigenen Überlegungen.''
* Verlust eines Geräts in öffentlichen Verkehrsmitteln oder anderen öffentlichen Plätzen (Restaurant, Hotel, etc)
Während der Planung der Risikoreduzierung sollten folgende Bereiche berücksichtigt werden:
* Gesetzliche Datenschutzvorgaben
 
* Mögliche Schwachstellen (Menschen, Systeme)
* Gesetzliche Vorgaben
* Industrie "Best practices"
* Kosten und Ressourcen
* Datenklassifikation (bei Datenschutzrisiken): öffentlich, intern, vertraulich, streng vertraulich  
* Datenklassifikation (bei Datenschutzrisiken): öffentlich, intern, vertraulich, streng vertraulich  
* Wiederbeschaffungskosten


==Plan zur Risikobehandlung==
==Plan zur Risikobehandlung==
''Ersetzen Sie die angegebene Information mit dem eigentlichen Plan, den Sie einführen möchten.''


Der Zweck eines Plans zur Risikobehandlung ist es darzustellen: (1) welche Maßnahmen geplant sind, (2) wie diese implementiert werden, und (3) ob diese bereits implementiert sind. Es ist wichtig, dass die Durchführung des Plans und der Stand der Planung sowie die Umsetzung des Plans von allen Betroffenen verstanden wird. Es sollte zudem jederzeit möglich sein, den Fortschritt im Hinblick auf den Plan nachzuvollziehen.
Der Zweck eines Plans zur Risikobehandlung ist es darzustellen: (1) welche Maßnahmen geplant sind, (2) wie diese implementiert werden, und (3) ob diese bereits implementiert sind. Es ist wichtig, dass die Durchführung des Plans und der Stand der Planung sowie die Umsetzung des Plans von allen Betroffenen verstanden wird. Es sollte zudem jederzeit möglich sein, den Fortschritt im Hinblick auf den Plan nachzuvollziehen.


=== Technische Maßnahmen ===
== Technische Maßnahmen ==
==== Cybersicherheit ====
* Alle mobilen Endgeräte sind passwortgesichert (nur starke Passwörter sind technisch möglich) und können "remote" gesperrt werden. (implementiert)
==== Verschlüsselung und Pseudonymisierung ====
* Alle Geräte sind physikalisch mit Aufklebern gekennzeichnet und mit einer Telefonnummer versehen (implementiert)
==== Passwörter ====
* Passwörter werden generell nicht direkt gespeichert, sondern über den zentralen Passwortmanager Bitwarden. (implementiert)
==== Zugriffsrechte ====
==== Physische Sicherheit ====
==== Datenentsorgung ====


=== Organisatorische Maßnahmen ===
== Organisatorische Maßnahmen ==
==== Richtlinien und Verfahrensweisen ====
* Alle Mitarbeiter absolvieren ein jährliches Training zum Datenschutz. Das Thema Datenverlust wird hierbei behandelt. (implementiert)
==== Geschäftskontinuität ====
* In allen Verlustfällen wird die interne und externe Meldepflicht geprüft und nach Richtlinie angewandt. (implementiert)
==== Bewußtsein und Training ====

Aktuelle Version vom 2. Dezember 2021, 16:06 Uhr

Risikomatrix
Auswirkung →
Unwesentlich

(A)

Gering

(B)

Bedeutsam

(C)

Kritisch

(D)

Katastrophal

(E)

Konsequenz Umwelt (KU) Unschädlich Kaum spürbar / messbar Spürbar, klein- / großflächig Hoch, klein- / großflächig Massiv, großflächig
Vermögenswert (KV) Kein physikalischer / monetärer Schaden Kosmetischer / kaum monetärer Schaden Funktionaler Schaden, reparierbar Substantieller Schaden, reparierbar Totalverlust
Gesundheit (KG) Unwesentlicher körperlicher / psychischer Schaden Geringer körperlicher / psychischer Schaden Bedeutsamer körperlicher / psychischer Schaden Kritischer Schaden oder ein Todesfall Katastrophaler Schaden oder mehrere Todesfälle
Geschäftskontinuität (KK) Kaum sichtbare oder spürbare Service-Unterbrechung Spürbare temporäre Service-Unterbrechung Kleine funktionale (permanente) Service-Unterbrechung Große funktionale (permanente) Service-Unterbrechung Service-Totalausfall
Datenschutz (KD) Kein Datenverlust / keine Datenoffenlegung Verlust wiederherstellbarer sekundären Daten, Offenlegung öffentlicher Daten Verlust leicht wiederherstellbarer Daten, Offenlegung interner Daten Verlust wiederherstellbarer Daten, Offenlegung einiger geschützter Daten Uneinbringlicher Datenverlust, vollständige Offenlegung geschützter Daten
↓ Wahrschein­lichkeit
(innerhalb 5 Jahren)
Sicher (5)
81-100%
A5 B5 C5 D5 E5
Wahrscheinlich (4)
61-80%
A4 B4 C4 D4 E4
Möglich (3)
41-60%
A3 B3 C3 D3 E3
Unwahrscheinlich (2)
21-40%
A2 B2 C2 D2 E2
(Fast) unmöglich (1)
0-20%
A1 B1 C1 D1 E1
Verringertes Risiko Startrisiko
Faktor B3 ID AS1 Betrifft Datenschutz

Vermögenswert

Faktor C3
Stufe Niedrig Festgestellt am 2021-11-26 Eigner IT Ops Manager Stufe Mittel
Wahrscheinlichkeit Möglich Domäne Extern Maßnahmen existieren? nein Wahrscheinlichkeit Möglich
Auswirkung Gering Vorfälle 1 Letzter Audit Auswirkung Bedeutsam

Gemeldete Vorfälle

SeiteDatumNameTypGeschlossen?
Verlust Notebook2023-12-02Verlust NotebookDatenschutz
Vermögenswert
Nein

Risikobeschreibung

Das Unternehmen stellt den Mitarbeitern generell einen Laptop und andere Mobilgeräte als Standardausrüstung zur Verfügung. Da diese auch im Home Office und bei Kundenterminen genutzt werden, besteht die Gefahr eines Verlustes außerhalb des Büros. Das zentrale Risiko ist hierbei der Datenverlust sowohl interner Daten als auch von Kundendaten.

Überlegungen zur Risikobehandlung

Folgende Überlegungen wurden in die Risikobehandlung miteinbezogen:

  • Verlust eines Geräts in öffentlichen Verkehrsmitteln oder anderen öffentlichen Plätzen (Restaurant, Hotel, etc)
  • Gesetzliche Datenschutzvorgaben
  • Datenklassifikation (bei Datenschutzrisiken): öffentlich, intern, vertraulich, streng vertraulich
  • Wiederbeschaffungskosten

Plan zur Risikobehandlung

Der Zweck eines Plans zur Risikobehandlung ist es darzustellen: (1) welche Maßnahmen geplant sind, (2) wie diese implementiert werden, und (3) ob diese bereits implementiert sind. Es ist wichtig, dass die Durchführung des Plans und der Stand der Planung sowie die Umsetzung des Plans von allen Betroffenen verstanden wird. Es sollte zudem jederzeit möglich sein, den Fortschritt im Hinblick auf den Plan nachzuvollziehen.

Technische Maßnahmen

  • Alle mobilen Endgeräte sind passwortgesichert (nur starke Passwörter sind technisch möglich) und können "remote" gesperrt werden. (implementiert)
  • Alle Geräte sind physikalisch mit Aufklebern gekennzeichnet und mit einer Telefonnummer versehen (implementiert)
  • Passwörter werden generell nicht direkt gespeichert, sondern über den zentralen Passwortmanager Bitwarden. (implementiert)

Organisatorische Maßnahmen

  • Alle Mitarbeiter absolvieren ein jährliches Training zum Datenschutz. Das Thema Datenverlust wird hierbei behandelt. (implementiert)
  • In allen Verlustfällen wird die interne und externe Meldepflicht geprüft und nach Richtlinie angewandt. (implementiert)