Direkt zum Hauptinhalt

Privacy-Incident

Datenschutz dient dem Schutz von natürlichen Personen, indem ihre personenbezogenen Daten geschützt werden. Dabei wird primär das Schutzziele Vertraulichkeit verfolgt, d. h. Daten dürfen lediglich von autorisierten Benutzern gelesen bzw. verarbeitet werden.  Wird dieses Schutzziel bedroht oder verletzt, dann wird bei items ein entsprechender Prozess zur Behandlung der Situation ausgelöst.  Wir unterscheiden dabei zwei „Stufen“:

  • Datenschutzrelevanter Incident
    Als datenschutzrelevanter Incident wird ein Ticket bezeichnet, bei dem der Verdacht besteht, dass personenbezogene Daten betroffen sein könnten. Beispiele: eine Störung erlaubt unberechtigten Zugriff auf personenbezogene Daten; personenbezogene Daten wurden ohne Autorisierung verändert
  • Datenschutzvorfall bzw. Privacy-Incident
    Als Datenschutzvorfall bzw. englisch Privacy-Incident wird ein … 

Das Kennzeichen „Datenschutzrelevant“ stellt sozusagen die Vorstufe zum Privacy-Incident dar.  Auch Sie als Kunde können einen potenziellen Privacy-Incident melden.  Dies können Sie entweder über unsere telefonische Hotline oder selbständig über unser Serviceportal erledigen.

Anlass für einen Security-Incident sind alle Ereignisse oder Begebenheiten, die entweder

  • den Verlust der Integrität, Vertraulichkeit oder Verfügbarkeit von Daten und Informationen,
  • eine Beeinträchtigung der physischen Sicherheit der IT-Infrastruktur oder
  • Personenschäden

verursacht haben oder verursachen könnten. Um diese abstrakten Kriterien etwas zu illustrieren, seien folgende Beispiele für sicherheitsrelevante Vorfälle genannt:

  • die Infektion eines oder mehrerer Systeme durch schadhafte Software, wie beispielsweise Viren, Würmer oder trojanische Pferde
  • der Verdacht auf unberechtigten Zugang zu Systemen, z. B. durch gestohlene Zugangsdaten
  • der Verdacht auf Missbrauch von Diensten oder Ressourcen, z. B. zum Verbreiten unzulässiger Inhalte
  • ein Denial-of-Service-Angriff (DoS-Angriff), durch den die Verfügbarkeit von Diensten eingeschränkt wird
  • ein Verdacht auf Spionage, z. B. hinsichtlich Geschäftsgeheimnissen 
  • der Verlust von IT-Hardware, z. B. wenn ein Laptop oder ein Handy verloren oder gestohlen wird, oder nach einem Einbruch in Geschäftsräume

Diese Beispiele sind selbstverständlich nicht abschließend. Grundsätzlich gilt, dass jede Störung, die sich wesentlich auf die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit auswirkt, als Security-Incident zu bewerten ist.

items hat eine Reihe von Schutzmaßnahmen implementiert, die das Risiko des Eintretens von Sicherheitsvorfällen minimieren sollen. Die Erfahrung zeigt, dass es keinen hundertprozentigen Schutz vor Angriffen auf die Verfügbarkeit, die Vertraulichkeit oder die Integrität von Daten geben kann. Daher werden auch bei der items sicherheitsrelevante Störungen auftreten. Wichtig ist es, die entsprechenden Sicherheitsvorfälle als solche zu klassifizieren und das weitere Vorgehen dahingehend zu steuern. 

In den meisten Fällen wird items diese Vorfälle selbst erkennen, insbesondere wenn es sich um Infrastruktur-Komponenten oder von mehreren Kunden genutzte Systeme handelt. Dann greifen die definierten Prozesse und Kriterien, mit denen items Vorfälle als Security-Event oder Security-Incident einstuft und bearbeitet. 

In vielen weiteren Fällen muss allerdings der Kunde den Vorfall melden, insbesondere wenn es sich um Client-Hardware oder nicht durch items betreute Anwendungen handelt. In diesen Fällen greifen natürlich auch items-Prozesse, aber die Kriterien auf Kundenseite müssen im Vorfeld durch die Kunden festgelegt werden. Es gibt dabei keine eindeutige Vorschrift, weswegen die bewusste Ausgestaltung des Themas auf Kundenseite sehr wichtig ist.  items steht hierbei gerne beratend mit einschlägigem Fachwissen zur Seite. 

nach oben