[datensicherheit.de, 14.12.2023] Laut einer aktuellen Meldung vom TÜV Rheinland gilt das sogenannte Hinweisgeberschutzgesetz (HinSchG) ab dem 17. Dezember 2023 auch für Unternehmen ab 50 Mitarbeitern – demnach sind dann mehr als 70.000 Unternehmen zusätzlich betroffen. Auch diese müssten nun für Hinweise auf Rechtsverstöße ein Meldesystem und eine Meldestelle einrichten. Das HinSchG solle Nachteile für couragierte Informanten verhindern, die Informationen über Verstöße im Unternehmen an interne oder externe Meldestellen weiterleiten. Das Gesetz ahnde jegliche Form von Repressalien oder Benachteiligungen für hinweisgebende Personen.

Betroffene Unternehmen müssen bis zum 17. Dezember 2023 internen Meldewesen einrichten

„Das HinSchG ist am 2. Juli in Kraft getreten und gilt seitdem für Unternehmen mit mehr als 250 Beschäftigten. Ab dem 17. Dezember betrifft dies auch Unternehmen ab 50 Mitarbeitenden.“ Damit seien mehr als 70.000 Unternehmen in Deutschland zusätzlich betroffen. Ausgenommen blieben Unternehmen mit weniger als 50 Beschäftigten. Verstöße gegen das HinSchG würden als „Ordnungswidrigkeit“ eingestuft und könnten mit einer Geldbuße von bis zu 50.000 Euro belegt werden. Der Anwendungsbereich des HinSchG umfasse alle Personen, welche im Zusammenhang mit ihrer beruflichen Tätigkeit Informationen über Verstöße erlangt haben – insbesondere Informationen über Verstöße gegen deutsche und europäische Rechtsvorschriften.

Zu den wesentlichen Voraussetzungen, die betroffene Unternehmen bis zum 17. Dezember 2023 erfüllen müssten, gehöre u.a. das Einrichten eines internen Meldewesens. „Dabei ist die Vertraulichkeit der Identität des Hinweisgebers – von der Meldung bis zum Ende der Aufbewahrungsfrist– zu gewährleisten“, betont Astrid Meyer-Krumenacker, Rechtsexpertin für HinSchG-Fragen und Referentin für die TÜV Rheinland Akademie. Sie führt aus: „Auf eingereichte Informationen dürfen nur sogenannte ,beauftragte Personen‘ im Unternehmen Zugriff haben, sonst niemand – auch nicht der Systemadministrator des Unternehmens.“

Betroffene Unternehmen sollten sich schnellstmöglich mit der Thematik auseinanderzusetzen

Die mit dem Betrieb der Meldestelle beauftragten Personen benötigten dafür jedoch gemäß Hinweisgeberschutzgesetz einen entsprechenden Fachkundenachweis. „Für den Aufbau entsprechender Befähigungen und Expertise in Unternehmen helfen Angebote wie die Schulung ,Beauftragter für Hinweisgebersystem nach Hinweisgeberschutzgesetz (HinSchG)‘ oder ,Whistleblowing Officer (TÜV)‘ von TÜV Rheinland“, so Meyer-Krumenacker. Neben der Einrichtung entsprechender Meldestellen verlange das HinSchG von betroffenen Unternehmen auch die betriebsinterne Bereitstellung bestimmter Pflichtinformationen (z.B. im Intranet oder auf der Website) darüber, dass eine solche Meldestelle existiert und wie über diese Meldungen eingereicht werden können.

Unternehmen, welche die entsprechende Frist versäumen, drohten Geldstrafen. „Wir empfehlen jeglichen Unternehmen, die die Anforderungen des Hinweisgeberschutzgesetz erfüllen müssen und noch nicht umgesetzt haben, sich schnellstmöglich mit der Thematik auseinanderzusetzen“, unterstreicht Sandra Fahling, „Business Managerin“ der TÜV Rheinland Akademie.

Weitere Informationen zum Thema:

Bundesministerium der Justiz
Gesetz für einen besseren Schutz hinweisgebender Personen

IHK Region Stuttgart, Juli 2023
Whistleblowing: Das Hinweisgeberschutzgesetz ist da

[datensicherheit.de, 12.01.2017] Cyber-Angriffe auf Kritische Infrastrukturen (KRITIS) und die Industrie sind keine Frage des „Ob“, sondern des „Wann“ – es drohen Unterbrechungen in der Energieversorgung, der tagelange Ausfall von Telefon, Internet und TV bundesweit bis hin zu Störungen in der Produktion.

Funktionale Sicherheit nicht mehr isoliert betrachten!

Die Folgen solcher Attacken im Zuge der Digitalisierung und der wachsenden Vernetzung im Internet der Dinge bzw. im „Industrial Internet of Things“ (IIoT) können massiv sein.
Der TÜV Rheinland hat deshalb nach eigenen Angaben sein Portfolio für Sicherheitsaudits und Zertifizierungen in der Industrie und in Kritischen Infrastrukturen durch umfassende Cyber-Security-Analysen und -Prüfungen erweitert.
„Mit dem Einzug von Industrie 4.0 lässt sich Funktionale Sicherheit nicht mehr isoliert betrachten“, betont Heinz Gall, Experte für „Functional Safety & Security“ beim TÜV Rheinland.

Cyber Security als wesentlicher Erfolgsfaktor

Nigel Stanley, Spezialist für „Cyber Security“ beim TÜV Rheinland ergänzt: „Cyber Security ist ein wesentlicher Erfolgsfaktor: zur Absicherung zentraler Versorgungssysteme, als wichtige Voraussetzung für die funktionale Sicherheit in Fertigungsprozessen, für den sicheren automatisierten Datenaustausch vernetzter Produktionssysteme und für die Verfügbarkeit und Ausfallsicherheit der Produktion.“
Der Bedarf, die aktuellen Sicherheitsstrategien in der Industrie regelmäßig zu überprüfen und intelligente Konzepte weiter zu entwickeln, werde mit der fortschreitenden Vernetzung im IIoT weiter steigen, so Stanley.

Interdisziplinärer Risikomanagement-Ansatz

Für Komponentenhersteller und Systemintegratoren industrieller Steuerungssysteme hat der TÜV Rheinland demnach auf Basis einer fundierten Risikoanalyse einen „interdisziplinären Risikomanagement-Ansatz“ entwickelt, der funktionale Sicherheit und „Cyber Security“ gleichermaßen fokussieren soll – von der Entwicklungsphase („Safety & Security by Design“) über den gesamten Lebenszyklus.
Daraus abgeleitet seien tiefgreifende Sicherheitsprüfungen, unter anderem wiederkehrende Schwachstellen-, Härte- sowie Penetrationstests auf dem Gebiet der Funktionalen Sicherheit wie der „Cyber Security“.
Das Konzept wurde soeben vom TÜV Rheinland auf der „S4x17“ in Miami vorgestellt – diese sei eine „der wichtigsten internationalen Konferenzen für die Sicherheit industrieller Steuerungssysteme“ („ICS Security“).

Mehr als 15-jährige Erfahrung auf dem Gebiet der „Cyber Security“

Mit diesem integrierten Angebot für Funktionale Sicherheit und „Cyber Security“ möchte der TÜV Rheinland seine 145-jährige Expertise für Sicherheit in der Industrie und die mehr als 15-jährige Erfahrung auf dem Gebiet der „Cyber Security“ bündeln.
Neben der Rechtssicherheit gegenüber gesetzlichen Auflagen sollen Komponenten-Hersteller und Integratoren von Industrieanlagen mit diesem Ansatz die anspruchsvolleren „Security Levels“ bzw. Reifegrade („Maturity Levels“), die in der IEC 62443 definiert sind, einer internationalen Norm für „Security for industrial automation and control systems“, erreichen.

Weitere Informationen zum Thema:

datensicherheit.de, 04.01.0217
Wachsende Bedrohung: Industrielle Steuerungssysteme und IoT im Fadenkreuz

[datensicherheit.de, 18.12.2014] Betrachtet man etwa die Vision des Internets der Dinge (IoT), so bleibt festzustellen, dass Sicherheitsstandards der technologischen Entwicklung hinterherhinken – ob für Komfortdienste im Auto, intelligente Überwachungssysteme, kluge Thermostate und clevere Lichtanlagen oder vernetzte Produktionsanlagen. U.a. zu dieser Einschätzung kommen Olaf Siemens, „Global Vice President Information Security“ bei TÜV Rheinland, und Björn Haan, Geschäftsführer der TÜV Rheinland i-sec, bei ihrer Prognose zum Thema „Cyber Security Trends 2015“.

Belastbare Sicherheitsstandards zu gegenwärtigen Bedrohungsszenarien

Die Standards zur Sicherheit von Informationen, Daten und Privatsphäre würden der technologischen Entwicklung des IoT und der Bedrohungslage durch Cyber-Angriffe noch sträflich hinterherhinken, mahnt Olaf Siemens. Deutschland zu einem Schlüsselmarkt für das „Smart Home“ zu entwickeln, wird aus seiner Sicht nur dann Erfolg haben, wenn es gelingt, den gegenwärtigen Bedrohungsszenarien belastbare Sicherheitsstandards und Prüfverfahren für Netzwerke, Mobile Devices und Software entgegenzusetzen und aufzuerlegen. Nicht behobene Schwachstellen würden Auswirkungen ganz anderer Dimension haben, so seine warnende Einschätzung.

Die Revolution klopft an – aber niemand macht auf!

So seien auch hinsichtlich der „Industrie 4.0“ wesentliche Sicherheitsfragen noch ungeklärt. Dies sei einer der zentralen Gründe für die Zurückhaltung des deutschen Mittelstands, sich auf den wichtigsten Transformationsprozess dieses Jahrzehnts einzulassen.
Die Zukunft des Wirtschaftsstandortes Deutschland hänge davon ab, ob man mit der „Industriellen Revolution 4.0“ Schritt halten kann. Das werde allerdings nur gelingen, wenn man das Vertrauen in die Cyber-Sicherheit von Grundlagentechnologien wie dem IoT und der „Cloud“ weiter stärkt – und zwar auf der Grundlage von Informationssicherheit „made in Germany“, betont Björn Haan.

Weitere Informationen zum Thema:

TÜV Rheinland, 18.12.2014
Das sind die 7 Cyber Security-Trends für 2015

[datensicherheit.de, 22.01.2014] Die europaweit erste Präventions-App „Clever im Netz“ ist als Android-Version erschienen und wurde – wie bereits die iOS-Version – der europaweit ersten Präventions-App „Clever im Netz“ von TÜV Rheinland im Hinblick auf den angemessen Umgang mit personenbezogenen Userdaten getestet und hat das Prüfsiegel „Checked App Datenschutz“ erhalten. Die App ist in gemeinsamer Kooperation von dem Kinderschutzverein „Innocence in Danger e.V.“ und dem IT-Unternehmen axxessio GmbH im Rahmen einer CSR-Initiative entstanden. Bei der Entwicklung und Umsetzung wurde besonders großen Wert auf das Thema Datenschutz gelegt.

Mit Hilfe der neuen App „Clever im Netz“ soll eine breite Öffentlichkeit auf die Problematik des sexuellen Missbrauchs – insbesondere mit Hilfe der digitalen Medien und dem Internet – aufmerksam ge-macht werden. „Clever im Netz“ klärt Kinder, Jugendliche und Eltern über die Gefahren des Internets auf. Anhand von Comics werden Kinder und Jugendliche im Alter zwischen 9-11 Jahren spielerisch und altersgemäß durch die vielfältigen Themenfelder und Risiken des Internets geführt. Zugleich gibt die App Eltern wichtige Informationen an die Hand, um sie als kompetente Berater und liebevolle Begleiter für ihre Kinder fit zu machen.

Julia von Weiler, Vorstand von Innocence in Danger e. V.: „Heutzutage machen immer mehr Kinder Gebrauch von digitalen Medien. Viele besitzen Smartphones und haben damit das Hosentaschen-Internet immer bei sich. Dabei sind sie sich der Gefahren oft nicht bewusst. Aufklärung und gute Prävention sind für uns daher die wichtigsten Mittel im Kampf gegen Kindesmissbrauch. Wir sind stolz darauf, dass nun auch die Android-Version unserer App von TÜV Rheinland geprüft wurde.“

Gabriele Rauße, Geschäftsführerin TÜV Rheinland Cert GmbH: „Der Schutz personenbezogener Daten wird immer wichtiger – besonders bei Themen wie Kinderschutz ist das der Fall. Mithilfe unseres neuen Prüfverfahrens können wir bestätigen, dass die Präventions-App „Clever im Netz“ von Innocence in Danger e.V. sowohl in der Android-Version als auch in der iOS-Version die Daten der Nutzer vorbildlich behandelt.“

Hintergrund Innocence in Danger

Innocence in Danger ist eine weltweite Bewegung gegen sexuellen Missbrauch von Kindern und kämpft insbesondere gegen die Verbreitung von Kinderpornographie mittels der neuen Medien. 1999 in Paris gegründet, hat Innocence in Danger e.V. Büros in Frankreich, der Schweiz, den U.S.A., Kolumbien und seit 2003 in Deutschland. Innocence in Danger e.V. sorgt für eine zunehmende Thematisierung von Kindesmissbrauch, klärt auf und fördert Prävention und Intervention. Innocence in Danger e.V. kümmert sich um die Vernetzung von Initiativen aus Gesellschaft, Wissenschaft, Wirtschaft, Medien, Kultur und Politik, um Hilfe und Aufklärung zu stärken.

[datensicherheit.de, 16.03.2013] Die zunehmende digitale Vernetzung macht unsere Gesellschaft nicht nur stärker, sondern auch verwundbarer – Strategische Informationssicherheit ist längst ein erfolgskritischer Faktor. Mehr Freiheit bei der Wahl von Arbeitsort und Arbeitszeit, jederzeit voller Zugriff auf die Unternehmensdaten, höhere Produktivität, neue kreative Business-Konzepte, transkontinentale Kooperationen… Mit der fortschreitenden Digitalisierung von Prozessen und Geschäftsmodellen sind die Chancen einer „intelligenten Zukunft“ immens, doch es stellen sich kritische Fragen, z.B. wie Organisationen mit der zunehmenden Zahl mobiler Geräte und der wachsenden Vernetzung mit externen Partnern umgehen, wie sich die „Cloud“ nutzen lässt, ohne die Sicherheit der eigenen Daten zu gefährden, und wie gezielte Angriffe aus dem Netz effektiv abzuwehren sind. Egal, ob „Mobile Device Management“, „Cloud Security“, ganzheitliches „Threat-Management“ oder Strategische Informationssicherheit, die Anforderungen, mit denen sich IT-Entscheider in Unternehmen und Behörden auseinandersetzen müssen, werden ständig komplexer.
Welche aktuellen Themen und relevanten Trends der Informationssicherheit die weitere digitale Entwicklung bestimmen, soll nun im Mittelpunkt des „6. IT-Sicherheitstags“ des TÜV Rheinland am 26. April 2013 im ehemaligen Plenarsaal des Deutschen Bundestages in Bonn, dem heutigen World Conference Center, stehen. Unter dem Titel „Mit Sicherheit in eine intelligente Zukunft“ diskutieren rund 250 IT-Security-Experten aus Wirtschaft, Öffentlicher Verwaltung und Institutionen sowie Spezialisten vom TÜV Rheinland praxisnahe Strategien und innovative Lösungen für die Herausforderungen in der IT-Security. Zu den Referenten gehören unter anderem IT-Sicherheits-Verantwortliche der Siemens AG, von Vodafone Deutschland, von der Bundesagentur für Arbeit sowie der Daimler AG.
Keynote-Sprecher ist Marc Elsberg, Autor des Bestsellers „Blackout“ – dieses „Wissensbuch 2012“ schildert einen Stromausfall in fast ganz Europa, ausgelöst durch Hacker-Angriffe. Elsberg hat in der Energie- und IT-Branche sowie beim Katastrophenschutz recherchiert.

„6. IT-Sicherheitstag“ – „Mit Sicherheit in eine intelligente Zukunft“
TÜV Rheinland
26. April 2013
World Conference Center (WCC) Bonn
Kostenpflichtige Veranstaltung

Weitere Informationen zum Thema:

TÜV Rheinland
IT-Sicherheitstag 2013

[datensicherheit.de, 08.11.2011] Administratoren und Supportpartner benötigen weitreichende Zugriffsrechte im Unternehmen, um ihre Aufgaben einwandfrei erledigen zu können. Doch es stellt sich die Frage, wem diese Auserwählten Rechenschaft schuldig sind. Kontrollen sind selten und Aktionen lassen sich oft nicht gerichtsfest nachvollziehen. Das tangiere empfindlich die Vorgaben für eine rechtskräftige Compliance, so der TÜV Rheinland. Auf seinen „Security-Breakfasts“ stellt er zusammen mit BalaBit IT Security Lösungen für die Praxis vor:
Hamburg, Frankfurt, Stuttgart, Berlin, München und Düsseldorf sind die Austragungsorte. Dort sollen Unternehmen erfahren, wie in der Praxis die Lösung für das Problem „Kontrollierbarkeit von Administratoren und externen Dienstleistern“ aussehen könnte. Die Spezialisten für Informationssicherheit von TÜV Rheinland und BalaBit IT Security spielen mit den Gästen dabei folgende Fragestellungen durch – was wäre, wenn die eigenen Daten manipuliert oder gelöscht werden, diese unkontrolliert nach außen gelangen oder missbraucht werden?
Konkret müsste gewährleistet werden, dass alle Remote-Administrationsvorgänge an Servern und Netzwerken unveränderlich protokolliert, verdächtige Administrationsvorgänge gemeldet und Mitarbeiter nicht falschen Verdächtigungen ausgesetzt werden sowie das 4-Augen-Prinzip beim Zugriff auf die Systeme eingehalten wird… Entlang von drei kompakten Fachvorträgen sollen in der Diskussion mit den Frühstücksgästen praktische Lösungen aufgezeigt werden, wie sich diese Anforderungen sowohl technisch als auch organisatorisch einfach umsetzen lassen.
Die „Shell Control Box“ von BalaBit z.B. kontrolliere Zugriffe und zeichne sie revisionssicher auf. Damit sei die notwendige Transparenz zur Einhaltung und Überwachung von Sicherheitsrichtlinien und SLAs gewährleistet. Die Experten von TÜV Rheinland unterstützten ihre Kunden dabei – von der Planung, über die Konzeption und Installation bis hin zum Betrieb der passgenauen Lösungen.

Veranstaltungsorte:
15.11.2011 Hamburg, Radisson Blu Hotel
17.11.2011 Frankfurt, NH Hotel Frankfurt City
18.11.2011 Stuttgart, Parkhotel Messe Airport
21.11.2011 Berlin, ABION Spreebogen Hotel
22.11.2011 München, Azimut Hotel City Ost
24.11.2011 Düsseldorf, Airporthotel van der Valk

Interessenten können sich online anmelden.

Weitere Informationen zum Thema:

TÜV Rheinland
Security Breakfast: Revisionssichere Administrationskontrolle

[datensicherheit.de, 24.09.2011] Eine gemeinsame Online-Umfrage von TÜV Rheinland und WinMagic zeige den häufig sorglosen Einsatz von Notebooks: Knapp 40 Prozent der Befragten hätten angegeben, dass nur weniger als ein Viertel ihrer eingesetzten Notebooks verschlüsselt seien. An der Untersuchung im August 2011 hätten sich rund 100 deutsche Behörden und Unternehmen verschiedenster Branchen und Größen beteiligt.
Auf die zentrale Frage wie viel Prozent der eigenen Notebooks verschlüsselt seien, hätten nur 45 Prozent angegeben, mehr als drei Viertel ihrer Notebooks gegen fremden Zugriff zu schützen. Dies sei umso kritischer, weil Notebooks als mobile Arbeitsgeräte besonders häufig dem Risiko von Verlust oder Diebstahl ausgesetzt seien. Im Verhältnis zum materiellen Wert des Gerätes wiege der Schaden durch Datendiebstahl und Datenmissbrauch oft schwerer, so Thomas Laubrock, Leiter Produktmanagement im Bereich Informationssicherheit bei TÜV Rheinland.
Als Hindernis für eine sorgfältige Absicherung ihrer Notebooks hätten die Befragten häufig „fehlende Nutzerakzeptanz“, „zu lange Boot-Zeiten“ und die „notwendige Änderung von Arbeitsprozessen und -abläufen“ genannt – wie sie eben bei herkömmlichen Verschlüsselungslösungen der Fall seien. Die Sicherheitslösung „SecureDoc“ von WinMagic biete hingegen IT-Verantwortlichen in Unternehmen und Institutionen eine einfache zentrale Verwaltung – sie brauchten ihr System nur einmalig zu konfigurieren, damit der Prozess der Verschlüsselung auf allen Benutzergeräten automatisch ablaufe.
Die Umfrage habe auch die Einstellung der befragten Unternehmen und Behörden zu Smartphones und Tablet-PCs untersucht. Obwohl 80 Prozent von ihnen in der Verschlüsselung das wichtigste Feature für die Auswahl einer Mobile-Device-Plattform sähen, entscheide sich mehr als die Hälfte für Geräte ohne ausreichenden Verschlüsselungsschutz.

[datensicherheit.de, 01.09.2009] In Zeiten von Datenspionage und Bedrohungen aus dem Internet ist eine sichere Online-Umgebung unentbehrlich. Neben dem Gebrauch aktueller Virensoftware und Firewalls müssen Nutzer ihr System mit sicheren Passwörtern schützen:
Leider erfolgt der Umgang damit meist zu sorglos. Besonders unsicher seien Namen und Ausdrücke aus dem Lexikon – nach Erfahrung von TÜV-Rheinland-Experten würden aber rund 80 Prozent der Kennwörter so gewählt, dass sie leicht zu erraten oder technisch zu knacken seien.
Bequemlichkeit bei der Passwortwahl sei fatal, denn Hacker könnten automatisiert mehrere tausend Wort- und Zahlenkombinationen pro Minute durchprobieren, so Philippe Schaeffer, IT-Experte beim „TÜV Rheinland“. Am besten seien lange Kennwörter mit einer beliebigen Reihenfolge aus Buchstaben, Zahlen und Sonderzeichen!

© TÜV Rheinland

TÜV Rheinland: Internationaler Dienstleister für Qualität und Sicherheit

Der Schutz von Zugangsdaten erfordere viel Disziplin. Vor allem sollte man die Kennwörter immer für sich behalten. Schriftlich auf Papier verwahrte Passwörter könnten nicht gehackt werden und sollten weit weg vom betreffenden Schreibtisch in einem Aktenordner weggeschlossen werden. Wichtig sei auch, zu jeder Anwendung, jeder Website und jedem Konto ein anderes Kennwort einzurichten.
Wer eine große Anzahl von Konten verwalten muss, nutze am besten einen „Passwort-Safe“ – ein Programm, das Zugangsdaten sowie Kennwörter verschlüssele und verwalte, so dass man sich nur das „Master-Passwort“ merken müsse.

Weitere Informationen zum Thema:

TÜV Rheinland, 01.09.2009
Passwörter: sensible Daten sicher verwahren / TÜV Rheinland rät: Kombinationen aus Ziffern- und Buchstaben wählen / Kennwörter nie weitergeben / Immer nur ein Passwort für eine Anwendung wählen