Windows 10 Pro im Unternehmen: DSGVO-konform?

[magheinz 100]

Am 17.10.2018 um 21:21 schrieb XP-Fan:

Offtopic

Zum Glück ist der verlinkte Report nicht in bayrisch geschrieben ...

Stimmt.

Wenn ich mich richtig erinnere haben die Bayern das stellvertretend für alle Landesdatenschutzbeauftragten gemacht. Damit müsste das sozusagen bundesweit gültig sein. Da müsste man noch mal weiter recherchieren.

 

Am 18.10.2018 um 08:04 schrieb NilsK:

Moin,

 

In der Konsequenz hat das Systemhaus Recht: alle Details sind so umfangreich, dass man sowas nicht kostenlos beraten kann.

 

Gruß, Nils

Keine Ahnung was man eventuell beim BSI beauftragen kann. Das sich deren Angebot primär an Dienststellen der öffentlichen Verwaltung richtet, bedeutet ja im Umkehrschluss, dass es auch etwas sekundäres geben muss. Da mein Brötchengeber zur primären Zielgruppe gehört, habe ich da leider keine eigene Erfahrung.

https://www.bsi.bund.de/DE/Themen/Sicherheitsberatung/Sicherheitsberatung/Sicherheitsberatung_node.html;jsessionid=65E48C43E8185801106DF2A0729AF6D5.1_cid360

[NilsK 2.781]

Moin,

 

das BSI hat mit der DSGVO nichts zu tun.

 

Gruß, Nils

 

[magheinz 100]

Es geht um die Beratungsmöglichkeiten. Da die DSGVO Anforderungen an die IT-Sicherheit stellt wäre das zumindest eine Möglichkeit.

Man muss ja "nur" die Risikoanalyse und die Managementprozesse des IT-GS um die Datenschutzfragen erweitern.

 

Das BSI beschäftigt sich selbstverständlich auch mit Datenschutz. Immerhin ist das ein Baustein im Grundschutzkatalog.

 

Es war aber ja auch nur eine Idee...

[NilsK 2.781]

Moin,

 

die BSI-Standards sind hilfreich, wenn es um die TOMs der DSGVO geht, also um die Umsetzung konkreter Maßnahmen, die aus den organisatorischen Besonderheiten der jeweiligen Organisation folgen. Inhaltlich hat das BSI mit der DSGVO aber nichts zu tun. Es berät zu Fragen der IT-Sicherheit, was ein anderes Gebiet ist, auch wenn es da Überschneidungen gibt. Für privatwirtschaftliche Unternehmen ist das Beratungsangebot eingeschränkt, diese beauftragen Beratungen im Projektrahmen bei anderen Wirtschaftsunternehmen, mit denen das BSI gar nicht in Konkurrenz treten darf. Das geht aus deinem Link ja auch ziemlich deutlich hervor. Und selbst wenn, kostet das natürlich auch beim BSI Geld.

 

Unabhängig davon, war der Kern meines Hinweises auch, dass es für die DSGVO keine pauschal-objektiv umzusetzenden Standards gibt, mit denen man dann "fertig" wäre. Es kommt immer auf den Einzelfall des Unternehmens an und die Umsetzung erfordert Aufwand und Geld.

 

Gruß, Nils

 

[Weingeist 157]

Es dürfte wohl kaum jede noch so kleine Firma die Ressourcen haben sich dahingehend umfangreich im Detail beraten zu lassen. Daher muss man sich wohl oder übel an solche Massnahmen halten damit Aufzeichnung und Übermittlung von Daten möglichst verhindert wird. Wird möglichst nix aufgzeichnet und übermittelt, hat man auch "viel" gemacht um die Anforderungen zu erfüllen.

 

Von MS gibt es übrigens eine Liste mit ein paar Erklärungen dazu wohin sich welche Programme verbinden. Auch wenn es ewig gedauert hat undunter dem Namen Endpoint etwas gut versteckt ist, finde ich das für einmal vorbildlich. Manch einer wird erschrecken wie lange sie ist. Lustig finde ich, dass sie wohl selbst keine Ahnung haben was sie überhaupt wohin übermitteln und einschlägige Tools für die Analyse hernehmen mussten. ;)
 

https://docs.microsoft.com/en-us/windows/privacy/manage-windows-endpoints

https://docs.microsoft.com/en-us/windows/privacy/windows-endpoints-1709-non-enterprise-editions

https://docs.microsoft.com/en-us/windows/privacy/windows-endpoints-1803-non-enterprise-editions

 

Die Hürden für das vollständige Abdrehen sind zwar nach wie vor ziemlich gross, aber wenigstens kann man mal die Kommunikation unterbinden. Zumindest bis wieder Änderungen mit neuen Builds gemacht werden. Einfache Windows-Firewall-Regeln ziehen übrigens nicht zwingend, da es teilweise explizite Ausnahmen für manche Dienste in der Registry gibt (Static/Configurable).