Unser Datenschutz-FAQ beantwortet ihre
grundlegenden fragen

Datenschutz-FAQ

HÄUFIG GESTELLTE RÜCKFRAGEN

von Datenschutzbeauftragten und Betriebsräten

CYBER-ATTACKEN: PHISHING

Cyber-Attacken bilden heute ein großes industrielles, wirtschaftliches und soziales Problem. Studien zeigen, dass über 90% der gezielten Cyberangriffe und 95% der Spionageangriffe Phishing oder personalisierte Spear-Phishing-E-Mails beinhalten und insgesamt durchschnittlich 10% der PhishingAngriffe erfolgreich sind.

Phishing bezeichnet gefälschte Nachrichten, mit denen ein Angreifer versucht an die Systeme oder Daten seines Opfers zu kommen. Dazu sendet der Angreifer typischerweise eine E-Mail mit gefälschtem Absender, in der er eine schadhafte Datei oder einen gefälschten Link anhängt. Beim Klick auf einen solchen, kann es bereits zu spät sein: Eine vorbereitete Website kann bei einem Besuch bereits ein System infizieren.

IT-Seal simuliert diese Art von Angriffe auf Mitarbeiter. Auf diese Weise machen Mitarbeiter realitätsnahe Erfahrungen, werden trainiert und getestet.

JURISTISCH

Social Engineering Simulationen sind generell nur zulässig, wenn Sie verhältnismäßig sind. Daher müssen verschiedene Maßnahmen wie z.B. die Anonymisierung der Ergebnisse ergriffen werden.

IT-Seal ergreift alle relevanten Schritte vorab und unterstützt Sie bei der internen Kommunikation soweit nötig.

Nein. Um den Schutz des einzelnen Mitarbeiters zu gewährleisten, sind die Ergebnisse nur auf Gruppenbasis einsehbar. Dazu verwenden wir die von Ihnen vorab definierten Mitarbeitergruppen mit einer Mindestgröße von 15 Teilnehmern.

Die Übermittlung und Verwendung der Daten sind gestattet, wenn ein berechtigtes Arbeitgeberinteresse vorliegt und schutzwürdige Interessen des betroffenen Arbeitnehmers nicht entgegenstehen. Daher sollte der Arbeitgeber keine intern bekannten Daten übermitteln, die ein „echter“ Angreifer nicht ohne Weiteres erfahren könnte. Zudem muss eine Vereinbarung zur Auftragsdatenverarbeitung oder zur Funktionsübertragung geschlossen werden.

DATENSCHUTZ

Im Einklang mit den gesetzlichen Bestimmungen wird im Rahmen der anfänglichen Zusammenarbeit die E-Mail-Adresse von ausgewählten Mitarbeitern an IT-Seal übertragen.

Im Rahmen der anfänglichen Zusammenarbeit werden lediglich Daten zur Nutzerreaktion gesammelt. Dazu zählen wir, ob Mitarbeiter auf einen gefälschten Link geklickt haben, oder ob Nutzerdaten auf einer präparierten Website eingegeben wurden – die Inhalte dieser Dateneingabe werden nicht übertragen. Diese Daten werden, wie zuvor beschrieben, abstrahiert (pseudonymisiert) gespeichert. Wobei die Zuordnung der Pseudonyme nach Abschluss des Tests gelöscht wird.

IT-Seal nutzt ein Rechenzentrum in Frankfurt am Main mit höchsten Sicherheitsanforderungen.

Wie aktuelle Angriffe immer wieder verdeutlichen, ist leider niemand unhackbar – auch wir nicht. Als IT-Security Spezialist implementiert IT-Seal jedoch aktuellste Sicherheitsmechanismen und bereitet sich auf eventuelle Sicherheitsverstöße intensiv vor (für konkrete technische und organisatorische Maßnahmen legen wir Ihnen gerne eine vorbereitete Vereinbarung zur Funktionsübertragung vor). So sind auch unsere Datenbankstrukturen und Prozesse von Grund auf so angelegt, dass personenbezogene Daten immer gesondert abgelegt werden (Security by Design). Zudem werden standardmäßig jegliche personenbezogenen Daten nach Abschluss der jeweiligen Simulation gelöscht.

Ja. Die Kontaktdaten werden auf Anfrage gerne weitergereicht.

Ja. Unsere Prozesse und Normen zum Datenschutz gehen zu weiten Teilen über die Anforderungen der bisherigen gesetzlichen Anforderungen hinaus (z.B. das Löschen der personenbezogenen Daten, Risikoabschätzung, Datenschutzkonzept) und genügen den Anforderungen der DSGVO.