FAQ
Was ist die Security-Toolbox?
Die Security-Toolbox ist der Online-Shop der DATATREE AG. Als Compliance Provider mit über 30 Jahren Erfahrung im Bereich Informationssicherheit, Datenschutz und IT-Sicherheit unterstützen wir Sie mit unseren Tools, gesetzliche Auflagen für Informationssicherheit und Datenschutz zu erfüllen und sich vor Cyberangriffen zu schützen.
Wer ist die DATATREE AG und wofür steht sie?
Die DATATREE AG bietet seit 2011 umfassende Beratung in den Bereichen Datenschutz und Informationssicherheit. Wir unterstützen Unternehmen aus den verschiedensten Bereichen: Handel, Maschinenbau, IT, Tourismus, Gesundheits- und Sozialwesen, Softwareanbieter und der Medienbranche. Darüber hinaus gehören Institutionen wie Kirchen und Behörden zu unseren Auftraggebern. Regelmäßig unterstützen wir EU-Forschungsprojekte und beraten Ministerien auf Landes- und Bundesebene. Neben Kund:innen im Einzelhandel, aus der Softwareentwicklung und der Kirche, hat die DATATREE AG mit dem ISDSG, dem Institut für Sicherheit und Datenschutz im Gesundheitswesen einen weiteren Schwerpunkt. Langjährige Erfahrung im Bereich Fort- und Weiterbildung aber auch zahlreiche Vorträge, Magazine, Buchveröffentlichungen und Forschungsprojekte runden das Portfolio des ISDSG ab.
Wir sind ein Team aus Medizininformatiker:innen, Fachinformatiker:innen, Jurist:innen, Unternehmensberater:innen, Datenschutzbeauftragte und Informationssicherheitsbeauftragten. Die Security-Toolbox ist das Ergebnis unseres jahrzehntelangen Expertenwissen.
Für wen sind die angebotenen Tools geeignet?
Grundsätzlich profitiert jedes Unternehmen, egal welcher Größe, von den angebotenen Tools zur Erhöhung der Informationssicherheit, des Datenschutzes und der IT-Sicherheit. Vor allem klein- und mittelständische Unternehmen, wie Arztpraxen oder MVZ haben häufig nur wenig personelle oder finanzielle Ressourcen zur Verfügung, um ausreichende Maßnahmen für den Schutz vor Cyberangriffen umzusetzen. Für sie ist der Onlineshop der Security-Toolbox besonders geeignet, denn die Tools wurden entwickelt, um einfach und schnell Sicherheitsstandards zu erreichen, ohne zusätzlichen personellen Aufwand bemühen zu müssen.
Wie funktioniert die Konfiguration der Tools?
- Wählen Sie aus unserer Toolbox die geeigneten Produkte für Informationssicherheit, Datenschutz und IT-Sicherheit aus.
- Fügen Sie Ihre ausgewählten Tools dem Warenkorb hinzu.
- Sie erhalten nach dem Kaufprozess eine E-Mail, in der Sie alle nötigen Informationen zur Konfiguration erhalten.
Ich habe Fragen zu einzelnen Tools. An wen kann ich mich wenden?
Sie haben mehrere Möglichkeiten, um mit uns in Kontakt zu treten:
Für eine kostenfreie Online-Beratung buchen Sie einfach und unkompliziert über diesen Link einen 30-minütigen Termin. Unsere Expertinnen werden gemeinsam mit Ihnen herausfinden, welche Maßnahme für Sie geeignet ist und Ihnen direkt alle Fragen beantworten.
Sie möchten uns eine Nachricht senden? Kein Problem! Nutzen Sie hierfür gerne unser Kontaktformular.
Wir freuen uns auf Ihre Anfrage!
Wie können sich Organisationen vor Cyberangriffen schützen?
Organisationen haben verschiedene Möglichkeiten, um sich vor Cyberkriminalität oder Cyberangriffen zu schützen. Insgesamt ist eine umfassende und proaktive Cybersicherheitsstrategie sinnvoll. Einzelmaßnahmen sind beispielsweise:
- Sensibilisierung der Mitarbeitenden: Schulen Sie Mitarbeiter regelmäßig über Cybersicherheitsrisiken, Phishing-E-Mails, sichere Passwortpraktiken und den Umgang mit verdächtigen Aktivitäten. Die Mitarbeitenden sollten wissen, wie sie auf potenzielle Angriffe reagieren können, um eine menschliche Schwachstelle zu minimieren. Wir unterstützen Sie in diesem Bereich beispielsweise mit unserer Phishing-Kampagne oder mit den regelmäßig stattfindenen E-Learning-Schulungen. Hierdurch werden Ihre Mitarbeitenden umfangreich informiert und geschult, um rechtzeitig auf Cyberangriffe reagieren zu können.
- Passwortmanager und sichere Passwortrichtlinien: Ein Passwortmanager trägt zur Cybersicherheit bei, indem er starke und einzigartige Passwörter für verschiedene Konten generiert, speichert und verwaltet, um das Risiko von Passwortangriffen zu minimieren. Führen Sie darüber hinaus eine starke Passwortrichtlinie ein, die Ihren Mitarbeitenden den Umgang mit Passwörtern nahe bringt. Wie Sie eine Passwortrichtlinie erstellen, erfahren Sie beispielsweise in unserem Handbuch für IT-Sicherheit.
- Compliance und Datenschutz: Stellen Sie sicher, dass Ihre Organisation alle geltenden Gesetze und Vorschriften im Bereich der Cybersicherheit und des Datenschutzes einhält. Einen ausführlichen Leitfaden hierzu erhalten Sie beispielsweise in unserem Handbuch für Datenschutz.
- Externe Beratung: Ziehen Sie externe Cybersicherheitsexperten oder -unternehmen hinzu, um eine unabhängige Sicherheitsbewertung durchzuführen und zusätzliche Sicherheitsmaßnahmen zu empfehlen. Das Expert:innenteam der DATATREE AG rund um Prof. Dr. Thomas Jäschke bieten Ihnen eine umfassende Beratung in den Bereichen Informationssicherheit, Datenschutz und IT-Sicherheit. Vereinbaren Sie hier gerne einfach, unkompliziert und kostenfrei einen Ersttermin zur Beratung.
Welche Tools aus der Security-Toolbox helfen, um Ihre Organisation vor Cyberangriffen zu schützen?
Wir bieten Ihnen unterschiedliche Möglichkeiten, um sich vor Cyberkriminalität zu schützen:
Unsere Awarenessmaßnahmen sensibilisieren Ihre Mitarbeitenden und erhöhen Ihre Widerstandsfähigkeit gegen unerwünschte Angriffe von Außen durch Hacker. Hierzu gehören folgende Tools:
- Phishing-Kampagne – Individuell
- Phishing-Kampagne – Standard
- Handbuch Informationssicherheit
- Handbuch IT-Sicherheit
- Handbuch Datenschutz
- Individuelles Coaching
- E-Learning: Jährliche Datenschutzunterweisung oder Grundlagen der Informationssicherheit
Darüberhinaus bieten wir Ihnen auch Tools, die Sie bei der Umsetzung Ihrer Maßnahmen unterstützen. Hierzu zählen:
Was bringt ein Passwortmanager und wie kann er Cyberangriffe verhindern?
Ein Passwortmanager ist ein Software-Tool, um die Verwaltung und Sicherheit von Passwörtern zu erleichtern. Allerdings bietet es mehr als nur die Verwaltung Ihrer Passwörter: Es bietet eine zentrale Speicherung für alle Ihre Passwörter und hilft Ihnen, sichere Passwörter zu generieren und sie sicher aufzubewahren.
Außerdem bietet der Passwortmanager:
Eine sichere Passwortgenerierung: Unser Passwortmanager kann automatisch komplexe, eindeutige Passwörter für jede Ihrer Online-Konten generieren. Dadurch wird vermieden, dass schwache oder leicht zu erratende Passwörter verwendet werden, die von Angreifern leicht gehackt werden können.
Speicherung verschlüsselter Passwörter: Unser Passwortmanager speichert Ihre Passwörter verschlüsselt in einer zentralen Datenbank. Dadurch werden sie vor unbefugtem Zugriff geschützt. Sie müssen sich nur ein Master-Passwort merken, um Zugriff auf den Passwortmanager und Ihre gespeicherten Passwörter zu erhalten.
Vermeidung von Passwort-Wiederverwendung: Ein häufiges Sicherheitsrisiko besteht darin, dass Benutzer dasselbe Passwort für mehrere Konten verwenden – und dann meistens auch noch ein unsicheres. Unser Passwortmanager ermöglicht es Ihnen, für jedes Konto ein einzigartiges Passwort zu erstellen und zu speichern, was das Risiko von Angriffen verringert. Selbst wenn ein Passwort kompromittiert wird, sind Ihre anderen Konten sicher.
Weiterhin sind ein sicherer Einmal-Austausch, eine dauerhafte Synchronisierung im Team und der Zugriff auf allen Devices möglich.
Indem ein Passwortmanager die Sicherheit Ihrer Passwörter verbessert, trägt er dazu bei, dass Ihre Online-Konten vor Cyberangriffen geschützt sind. Durch die Verwendung sicherer und eindeutiger Passwörter, die regelmäßige Änderung von Passwörtern und den Schutz vor Phishing-Angriffen können Sie das Risiko von Kontoübernahmen, Identitätsdiebstahl und anderen Arten von Angriffen erheblich reduzieren.
Was ist ein Hinweisgebersystem und welchen Nutzen hat es?
Ein Hinweisgebersystem ist eine spezielle Art von Kommunikationsplattform, die es Mitarbeitenden, Kund:innen, Lieferant:innen oder anderen zur Organisation zugehörigen Beteiligten ermöglicht, vertraulich und anonym potenzielle Fehlverhalten, Missstände oder rechtswidrige Handlungen innerhalb einer Organisation zu melden. Das Hinweisgebersystem dient dazu, interne Missstände aufzudecken und eine vertrauensvolle Möglichkeit zu bieten, unethische oder illegale Praktiken zu melden, ohne dass die Identität des Hinweisgebers preisgegeben wird.
Die Nutzung von Hinweisgebersystemen wird oft von Unternehmen und Organisationen gefördert, um die Transparenz und Integrität zu verbessern und potenzielle Risiken zu minimieren. Typischerweise haben diese Systeme eine klare Richtlinie für den Umgang mit eingehenden Hinweisen und gewährleisten, dass die gemeldeten Informationen vertraulich behandelt werden. Die Hinweise können sich auf verschiedene Themen beziehen, wie zum Beispiel Korruption, Betrug, Diskriminierung, Mobbing, Sicherheitsverletzungen oder Umweltvergehen.
Die Einrichtung von Hinweisgebersystemen kann dazu beitragen, mögliche Missstände frühzeitig zu erkennen und zu beheben, was langfristig das Vertrauen in die Organisation stärkt und negative Auswirkungen auf das Unternehmen oder die Institution verhindert. Der Schutz der Hinweisgeber:innen wird im Hinweisgeberschutzgesetz geregelt.
Worum geht es im Hinweisgeberschutzgesetz?
Das Hinweisgeberschutzgesetz, auch bekannt als Whistleblower-Schutzgesetz oder Whistleblower-Schutzrichtlinie, ist ein rechtlicher Rahmen, der den Schutz von Hinweisgebenden regelt, die Missstände oder illegale Handlungen innerhalb von Unternehmen oder Organisationen melden. Das Gesetz zielt darauf ab, die Interessen derjenigen zu schützen, die sich entscheiden, Informationen über Fehlverhalten, Korruption, Betrug, Umweltvergehen oder andere Verstöße gegen Gesetze oder ethische Standards offen zu legen.
Die genaue Ausgestaltung des Hinweisgeberschutzgesetzes kann von Land zu Land variieren, da jedes Land seine eigenen Gesetze und Regelungen hat, die den Schutz von Hinweisgebern regeln. Im Allgemeinen enthalten solche Gesetze jedoch einige gemeinsame Merkmale:
- Anonymität und Vertraulichkeit: Das Gesetz gewährleistet, dass die Identität des Hinweisgebers vertraulich bleibt und vor möglichen Repressalien oder Vergeltungsmaßnahmen durch die Organisation geschützt wird.
- Schutz vor Benachteiligung: Das Gesetz verbietet Arbeitgebern, den Hinweisgebenden zu diskriminieren, zu entlassen, zu schikanieren oder anderweitig zu benachteiligen, weil er oder sie eine Meldung gemacht hat.
- Mechanismen für Berichterstattung: Das Gesetz legt Verfahren und Mechanismen fest, wie Hinweise gemeldet werden können, sei es intern innerhalb der Organisation oder extern über spezielle Meldestellen oder Behörden.
- Untersuchung und Sanktionen: Das Gesetz fordert, dass gemeldete Verstöße untersucht werden und angemessene Maßnahmen ergriffen werden, um die festgestellten Missstände zu beheben und mögliche Verantwortliche zur Rechenschaft zu ziehen.
Das Ziel des Hinweisgeberschutzgesetzes ist es, eine sichere Umgebung zu schaffen, in der Menschen Bedenken hinsichtlich unethischer oder illegaler Aktivitäten melden können, ohne Angst vor negativen Konsequenzen für ihre berufliche Karriere oder ihre persönliche Sicherheit haben zu müssen. Dieser Schutz soll sicherstellen, dass potenzielle Missstände frühzeitig aufgedeckt und behoben werden können, was letztendlich das Vertrauen in Unternehmen, Behörden und Organisationen fördert und die Integrität ihrer Aktivitäten sicherstellt.
Für welche Organisationen gilt das Hinweisgeberschutzgesetz?
Welche Unternehmen sind verpflichtet, das Hinweisgeberschutzgesetz (HinSchG) umzusetzen?
Alle privaten und öffentlichen Unternehmen mit mehr als 250 Mitarbeitenden sind verpflichtet, das Hinweisgeberschutzgesetz umzusetzen. Unternehmen mit 50 bis 249 Mitarbeiter haben die Möglichkeit, erst ab dem 17. Dezember 2023 das HinSchG umzusetzen und eine interne Meldestelle einzurichten. Ausgenommen von der Anzahl der Mitarbeitenden sind unter anderem – Wertpapierdienstleistungsunternehmen – Datenbereitstellungsdienste – Börsenträger – Kapitalverwaltungsgesellschaften – Versicherungsunternehmen – Institute im Sinne des § 1, Abs 1b des KWG – Institute im Sinne des § 2, Abs 1 des WpIG
Sanktioniert werden Unternehmen mit mehr als 250 Mitarbeitenden ab dem 1. Dezember 2023.
Wer muss ab wann ein Hinweisgeberverfahren einführen und welche Sanktionen sind zu erwarten?
Mit dem Hinweisgeberschutzgesetz wird eine gesetzliche Verpflichtung zur Einführung eines Hinweisgeberverfahrens:
- Unternehmen mit mehr als 250 Mitarbeitenden ab dem 2. Juli 2023,
- Unternehmen mit mehr als 50 Mitarbeitenden (bis 249 Mitarbeitende) ab dem 17. Dezember 2023.
Unternehmen, die keine interne Meldestelle einrichten oder betreiben, können eine Geldstrafe von bis zu 20.000 Euro bekommen. Die Bußgelder können gem. § 30 Absatz 2 Satz 3 des Gesetzes über Ordnungswidrigkeiten in bestimmten Fällen auch verzehnfacht werden. Das BfJ ist für die Prüfung und Verhängung der Sanktionen zuständig.
Weiterhin: Versucht eine dritte Person, eine Meldung zu verhindern oder unerlaubt Strafen zu verhängen, oder wird absichtlich oder leichtsinnig das Vertraulichkeitsgebot missachtet, kann das mit Geldstrafen geahndet werden. Die höchste Strafe beträgt dabei 50.000 Euro, wenn es vorsätzlich war, und 10.000 Euro, wenn es nur fahrlässig passiert ist.
Wissensdatenbank
Informationssicherheit
Informationssicherheit ist der Oberbegriff, der den Schutz von allen Informationen in einem Unternehmen, z. B. Patente, inkludiert. Die Informationssicherheit bezieht sich auf den Schutz von Informationen und Daten vor unbefugtem Zugriff, Manipulation, Zerstörung oder Diebstahl. Sie ist ein wichtiger Aspekt in der heutigen digitalen Welt, in der Informationen in vielen verschiedenen Formen gespeichert, übertragen und verarbeitet werden.
Datenschutz
Datenschutz beschreibt einen Teilbereich der Informationssicherheit. Er bezieht sich auf den Schutz personenbezogener Daten vor unbefugtem Zugriff und der Verwendung oder Weitergabe. Durch den Schutz von Daten wird sichergestellt, dass Informationen über Einzelpersonen gemäß den gesetzlichen Bestimmungen und ethischen Standards behandelt werden. Ziel des Datenschutzes ist es, die Privatsphäre und die persönlichen Rechte der Betroffenen zu wahren.
Unterschied zwischen Informationssicherheit und Datenschutz?
Etiam ultricies nisi vel augue. Curabitur ullamcorper ultricies nisi. Nam eget dui. Etiam rhoncus. Maecenas tempus, tellus eget condimentum rhoncus, sem quam semper libero, sit amet adipiscing sem neque sed ipsum.
Cyberkriminalität
Cyberkriminalität bezieht sich auf kriminelle Aktivitäten, die mithilfe von Informationstechnologie und dem Internet durchgeführt werden. Diese kriminellen Handlungen nutzen digitale Technologien und das globale Netzwerk, um illegale Aktivitäten zu planen, durchzuführen und zu verbergen. Hierunter fallen Beispielsweise Phishing-Attacken, Ransomware, Malware, Identitätsdiebstahl oder Hacking.
Cybersicherheit
Cybersicherheit bezieht sich auf den Schutz von Computersystemen, Netzwerken, Software und Daten vor Cyberbedrohungen. Diese Bedrohungen können von verschiedenen Quellen stammen, wie zum Beispiel von Cyberkriminellen, Hackern, staatlich unterstützten Akteuren, Industriespionen und anderen bösartigen Akteuren.
Business Continuity Management
Business Continuity Management (BCM), auch als Geschäftskontinuitätsmanagement bekannt, bezeichnet den Prozess, mit dem Unternehmen und Organisationen sicherstellen, dass sie in Krisensituationen oder bei unerwarteten Störungen ihre Geschäftstätigkeit aufrechterhalten können. Das Ziel von BCM ist es, die Fähigkeit einer Organisation zu stärken, auf Notfälle, Katastrophen oder andere Unterbrechungen angemessen zu reagieren und ihre kritischen Geschäftsprozesse fortzusetzen oder schnellstmöglich wiederherzustellen.
Incident-Response-Plan
Ein Incident-Response-Plan (IR-Plan) ist ein vordefinierter Satz von Verfahren und Richtlinien, die von einer Organisation festgelegt werden, um auf Cyber-Sicherheitsvorfälle oder andere Notfälle angemessen und effektiv zu reagieren. Der Zweck eines Incident-Response-Plans besteht darin, die Auswirkungen von Sicherheitsvorfällen zu minimieren, die Wiederherstellungszeit zu verkürzen und das Risiko für die Organisation zu verringern.