Sewecom-Standard

Konzept für sichere Kommunikation im Internet

 

secure
web
communication

Bildungsportal für
Internetsicherheit

Startseite    Seite2
Risiken im Internet
Aktuelle Szenarien
Grundwissen

Sewecom-Ansatz


Zentrale Themen
eGovernment
Onlinebanking
Institutionen
Sicherheits-Links

Aktuelle Infos
Literatur


Bildungsinitiative
Datensicherheit

PC-Sicherheits-Tipps
PC-Tipps (kurz)

Sewecom-Standard

Sewecom-Abb.


Referenz-Links
Überblick: Sitemap
Rechtliche Hinweise
Kontakt/Impressum

 

 

 


Beim Sewecom-Standard für sichere und datenschutzverträgliche Kommunikation im Internet handelt es sich um einen Meta-Standard, der technische Standards und organisatorische Rahmenbedingungen zusammenfasst.

 

Dieser der Öffentlichkeit zur Verfügung gestellte konzeptionelle Sicherheits-Standard (Open Knowledge) dient vor allem dazu, Entscheidern in Behörden, Firmen und Organisationen einen verständlichen Überblick zu verschaffen und zentrale Eckpunkte in den Blick zu bringen, um sichere, datenschutzkonforme und vertrauliche Kommunikation im Internet realisieren zu können.
 

Der Sewecom-Standard soll verständlich und praxisnah darstellen was notwendig ist, um Datenschutz und Datensicherheit nachhaltig zu fördern. Dieses Konzept stellt eine Alternative zur herkömmlichen eMail und zu ungesicherten Webformularen dar und bietet auch für die Organisation zusätzliche Vorteile hinsichtlich E-Mail-Management wie z.B. Spam-Minimierung. Diese Sewecom-Mail-Lösung ist als Ergänzung - nicht als völlige Alternative - zur herkömmlichen E-Mail gedacht.

 

Wichtig ist der Sewecom-Standard vor allem bei der Kommunikation

  • mit Berufsangehören, die nach § 203 StGB gesetzlich zur Geheimhaltung verpflichtet sind (Ärzte, Anwälte, Notare, Berufspsychologen, Steuerberater, Wirtschaftsprüfer usw.)
  • mit Beratungsanbietern im seelsorglichen / psychosozialen Bereich
  • mit Dienstleistern im Finanzsektor wie Banken / Versicherungen
  • mit öffentlichen Stellen (eGovernment)
  • mit Anbietern interaktiver Kommunikation, die Vertraulichkeit zusichern

Bei der Realisierung dieses Meta-Standards wird 100% der Mail-Kommunikation verschlüsselt. Bei einem Angebot, das (z.B. PGP-) Verschlüsselung per Standard-E-Mail anbietet liegt die Verschlüsselungsrate häufig unter 1%, weil sich die Nutzer mit dieser Technik kaum auskennen oder sich der tatsächlichen Risiken nicht bewusst sind. Bei Lösungen nach dem Sewecom-Standard brauchen die Nutzer jedoch lediglich Benutzernamen und Passwort eingeben und befinden sich bereits im verschlüsselten SSL-Modus.

 

Zugrunde liegender Ansatz: Sewecom-Ansatz

Beschreibung der Funktionalität: Sewecom-Mail

Kurzbeschreibung / Empfehlung: Virtuelles Datenschutzbüro
 

Visuelle Darstellung des Sewecom-Standards:
Sewecom-Abbildung (PDF-Datei / 14,7 KB)

 

 

 

Übersicht

 

A) Organisation
A1) Gesamtkonzept erforderlich
A2) Leitungsebene der Organisation ist eingebunden
A3) Konkretes Sicherheitskonzept: Prozess definieren
A4) Sicherheitsbeauftragte
A5) Interne Sicherheitsrichtlinien und -standards werden definiert
A6) Schulung der Mitarbeiter/innen
A7) Mehrstufige Sicherheitsebenen / Stufenkonzept
A8) Beteiligte PCs, Software und Netzwerke
A9) Informations- und Kommunikationskonzept

B) Internet-Technik (ggf. extern)
B1) Auswahl und Verpflichtung externer Dienstleister
B2) Technische Sicherheits-Infrastruktur
B3) Sichere Server-Infrastruktur
B4) VPN - virtual private network
B5) Administrative Zugänge zu Servern besonders gesichert
B6) Kommunikationslösung geschieht webbasiert
B7) SSL-Server-Zertifizierung nach Signaturgesetz
B8) Intranet besonders gesichert
B9) Systemüberwachung

C) Darstellung nach Außen
C1) Aufklärung der Nutzer
C2) Erklärung zu Datenschutz und Datensicherheit / Privacypolicy


D) Varianten: Anonymität / Authentizität
D1) Organisation authentifiziert / Nutzer anonym
D2) Organisation authentifiziert / Nutzer authentifiziert

D3) Rechtsverbindliche Kommunikation: Verträge per Internet

 

 

GRUNDLAGEN / VORAUSSETZUNG

 

Weiteres
Visuelle Darstellung dieses Standards
Zum Archiv früherer Versionen
Bildungsinitiative Datensicherheit

 

Spezial-Themen
e-Mail-Management
E-Government-Mail-Konzept
Internet-Kundenberatung

 

Praxisbeispiel: Telefonseelsorge Deutschland

Literatur

Referenzen

 

 

 

Der Sewecom-Standard

 

Aktuelle Version vom 7. Januar 2004

 

 

A) Organisation

 

A1) Gesamtkonzept erforderlich
Bei einem Sicherheitskonzept nach dem Sewecom-Standard handelt es sich um ein umfassendes Gesamtkonzept, das alle beteiligten Personen und technischen Komponenten einer Organisation sowie die ggf. beteiligten externen Dienstleister umfasst. Als Organisation wird hier das Gesamtsystem (Konzern, Unternehmen, Dachverband, Einrichtung) verstanden, welches das Sicherheitskonzept entwickelt und realisiert. Nur wenn alle relevanten Bereiche in das Konzept integriert sind, kann dabei ein hohes Maß an Sicherheit gewährleistet werden. Nur dann entspricht das Sicherheitskonzept dem Sewecom-Ansatz. (Überblick: Sewecom-Abbildung)

 

nach oben zur Übersicht

 

A2) Leitungsebene der Organisation ist eingebunden
Sicherheit muss von der obersten Leitungsebene gewollt sein und vorangetrieben werden. Sicherheitsstandards, die nicht eingefordert werden können, erweisen sich schnell als unwirksam, weil sie in Vergessenheit geraten oder ohne Folgen untergraben werden können. Nur wenn sich die Leitungsebene ebenfalls die Sicherheitsthematik zu Eigen macht und diese bei Bedarf einfordert, ist eine Realisierung von wirksamen Sicherheitsstandards in der Organisation zu erreichen.
Sicherheitsberatung von außen darf in diesem Sinne ausschließlich als Begleitung verstanden werden. Nur wenn die Verantwortung für Datenschutz und Datensicherheit in der Leitungsebene der Organisation verankert wird, kann ein für die Organisation angemessenes Sicherheitskonzept nachhaltig wirksam werden. Von außen können Beratung oder technische Komponenten eingekauft werden, die Verantwortung für den Sicherheitsbedarf sowie für die Entwicklung und Realisierung des jeweiligen konkreten Sicherheitskonzepts nach dem Sewecom-Standard verbleiben jedoch in der Organisation selbst
.

nach oben zur Übersicht

A3) Konkretes Sicherheitskonzept: Prozess definieren
Datensicherheit darf nicht als etwas Statisches missverstanden werden, das einmal eingekauft werden kann und dann für immer da ist. Vielmehr ist Sicherheit in einer Organisation als Prozess zu verstehen, der sich der Veränderung der Umwelt anpassen muss. Im konkreten Sicherheitskonzept wird somit ein Prozess definiert, der alle Abläufe und beteiligten Personen mit ihren jeweiligen Aufgaben erfasst. Dabei werden unterschiedliche Kommunikationswege ermöglicht, die selbst bei möglichen Störungen eine zielgerichtete Alarmierung ermöglichen
.

nach oben zur Übersicht

A4) Sicherheitsbeauftragte
Um diesen Prozess angemessen zu steuern, muss es Sicherheitsbeauftragte geben, welche in besonderer Weise dafür ausgebildet sind und für die gesamte Fragestellung in Zusammenarbeit mit der Leitung Verantwortung übernehmen
.

nach oben zur Übersicht

A5) Interne Sicherheitsrichtlinien und -standards werden definiert
Verbindliche Sicherheitsrichtlinien der jeweiligen Organisation bilden die Basis für die Umsetzung eines Sicherheitskonzeptes. Darin werden die vertraglichen Rahmenbedingungen erläutert und es wird auf Konsequenzen und Sanktionen hingewiesen, die für die Mitarbeiter/innen bei Verstößen gegen diese Richtlinien eintreten können. Die Verpflichtung auf die geltenden Datenschutzbestimmungen wird hier beschrieben.
Die Sicherheitsstandards konkretisieren die Richtlinien und sind ebenso verbindlich. Sie müssen regelmäßig an die aktuellen Bedingungen angepasst werden. In ihnen wird festgelegt, welche Sicherheitseinstellungen an den beteiligten PCs vorzunehmen sind, welche Gefahren bei Soft- und Hardware abzuwenden sind und wie Angriffe effektiv abgewehrt werden können. In einem Alarmierungsplan wird dabei genau beschrieben, wer für was zuständig ist und wie mit möglichen Angriffen umzugehen ist.
Informationen zum Datenschutz: Virtuelles Datenschutzbüro

nach oben zur Übersicht

A6) Schulung der Mitarbeiter/innen
Alle Beteiligten werden entsprechend ihrer Zugangsrechte aus- und weitergebildet. Dies beinhaltet das Grundverständnis des Gesamtkonzepts sowie ausreichende Kenntnisse zu Datenschutz und Datensicherheit. Nur diejenigen Mitarbeiter/innen, welche die Gefahren kennen, sind in der Lage, diesen aktiv entgegenzuwirken. Aus- und Weiterbildung im Bereich Sicherheit stellt dabei einen zentralen Punkt für die Wirksamkeit eines Sicherheitskonzepts dar. Der Begriff "Social-Hacking" beschreibt in diesem Zusammenhang die Tatsache, dass es oft mit Tricks (z.B. gespieltes Telefonat) möglich ist Zugangsinformationen von Mitarbeitern zu erlangen, ohne dass diese sich überhaupt einer Gefahr bewusst sind.

nach oben zur Übersicht

A7) Mehrstufige Sicherheitsebenen / Stufenkonzept
Es werden unterschiedliche Sicherheitsebenen im Sicherheitskonzept miteinander kombiniert. Es kann immer sein, dass eine Sicherungsfunktion - aus welchen Gründen auch immer - vorübergehend ausfällt. Dadurch sollte aber nicht das Ganze zu schützende System tangiert werden. Diese Mehrstufigkeit gilt sowohl für die technischen Lösungen als auch für die beteiligten Mitarbeiter/innen.
Die Stufung der Zugangswege und der Zugangsrechte wird in unserem Sewecom-Stufenkonzept verdeutlicht.

nach oben zur Übersicht

A8) Beteiligte PCs, Software und Netzwerke
Die beteiligten PCs und Netzwerk-Komponenten werden entsprechend den in den Sicherheitsstandards festgelegten Beschreibungen konfiguriert und ausgestattet. Bei einem Arbeits-PC, der dem Sewecom-Standard entspricht, dürfen dabei keine risikovollen Zugriffe von außen erlaubt werden. Insbesondere Software mit Serverfunktionalität darf nur installiert werden bzw. bleiben, wenn dies ausdrücklich erlaubt und für die Arbeit notwendig ist. Auch bei der Hardware dürfen lediglich unbedenkliche Komponenten verwendet werden. Gefahren, die zum Beispiel durch unverschlüsselte Funk-Komponenten (z.B. Maus, Tastatur) entstehen können, wird durch die konkreten und jeweils aktuellen Sicherheitsstandards ebenfalls entgegengewirkt.
Alle beteiligten PCs und Netzwerke gehen ausschließlich über einen gesicherten Zugang ins Internet. Dabei sind nur die notwendigen Internetdienste (http, https, ftp,...) freigeschaltet. Jeglicher Datentransfer - auch der Zugang zum Internet - wird durch Firewall- und Viruswall-Lösungen gesichert.

nach oben zur Übersicht

A9) Informations- und Kommunikationskonzept
Um Sicherheitsbewusstsein im Sinne von Datenschutz und Datensicherheit in einer Organisation zu verankern, bedarf es einer zielgerichteten Strategie. Je größer ein System ist, desto wichtiger ist es, hier ein angemessenes und nachhaltiges Konzept zu entwickeln. Dieses Informations- und Kommunikationskonzept stellt ein Teilkonzept eines gesamten Sicherheitskonzeptes dar. Insbesondere dort, wo die Fragen zu diesem Themenkomplex noch nicht im Bewusstsein der Mitarbeiterschaft sind, ist es wichtig, auch die möglichen Widerstände der Mitarbeiter/innen einzuplanen, um konstruktiv damit umgehen zu können. Die verschiedenen Ebenen müssen schon im Projektstadium rechtzeitig eingebunden und ein guter Informationsfluss muss sichergestellt werden. Dabei ist es hilfreich, unterschiedliche Kommunikationsformen und -wege bereit zu stellen.

nach oben zur Übersicht

 

 

B) Internet-Technik (ggf. extern)

 

B1) Auswahl und Verpflichtung externer Dienstleister
Nicht jede Organisation ist in der Lage, eine eigene Infrastruktur aufzubauen, sondern muss gegebenenfalls auf externe Dienstleister zurückgreifen. Externe Dienstleister (z.B. Internet-Service-Provider) können dabei aber eine erhebliche Sicherheitslücke darstellen. Nur Dienstleister, die in der Sicherheitsthematik ausreichend qualifiziert sind, sind im Sinne des Sewecom-Ansatzes vertretbar. Die internen Daten werden hier schließlich in die Hände von Dritten gegeben. Ein eigenes Sicherheitskonzept der Organisation nützt in diesem Fall also nichts, wenn nicht auch alle beteiligten externen Dienstleister ein angemessenes Sicherheitskonzept vorweisen können und die Einhaltung dieses Konzeptes vertraglich gegenüber der Organisation garantieren.

nach oben zur Übersicht

B2) Technische Sicherheits-Infrastruktur
Vor allem die EDV Infrastruktur (Server, VPN, Firewall, Viruswall) ist in der konkreten Ausgestaltung  eine Frage der Finanzen, da es sich um dauerhafte Folgekosten (intern: Personal und Technik / extern: Dienstleistung) handelt. Dem Niveau an Sicherheit sind dabei keine Grenzen gesetzt. Gleiches gilt entsprechend für die Kosten. Ein angemessenes Maß an Sicherheit ist dabei allerdings nur zu erreichen, wenn Hard- / Software, Netze und alle technischen Komponenten nicht veraltet sind, Sicherheitslücken regelmäßig geschlossen werden und die verantwortlichen Mitarbeiter/innen kontinuierlich weitergebildet werden. Dabei ist auch die Verfügbarkeit zu gewährleisten. Brandschutz, Hochwasserschutzmaßnahmen und Einbruchssicherheit gehören zu den sicheren Rahmenbedingungen. Kann dies innerhalb der Organisation nicht gewährleistet werden, hilft unter Umständen ein externer Dienstleister, das Sicherheitsniveau zu erhöhen, wenn jener diese Punkte zuverlässig gewährleisten kann. Die technischen Komponenten sollten dabei den Richtlinien des BSI (Bundesamt für Sicherheit in der Informationstechnologie) entsprechen: www.bsi.de
.

nach oben zur Übersicht

B3) Sichere Server-Infrastruktur
Die Daten werden ausschließlich auf einem Server gespeichert, der höchsten Sicherheitsanforderungen genügt. Die Verbindung zum Internet wird dabei durch Firewall- und Viruswall-Lösungen gesichert, die dem aktuellen Stand der Technik entsprechen.
Grundschutzhandbuch des BSI: Thema Firewall
BSI: Sicherheitsanforderungen an einzelne Firewall-Komponenten

nach oben zur Übersicht

B4) VPN - virtual private network
Falls die Technik nicht ausschließlich im eigenen Haus realisierbar ist, kann die  Vernetzung über ein getunneltes VPN geschehen oder über Standleitungen bzw. Dial-In. Der Sewecom-Ansatz hat ein geschlossenes Netzwerk zum Ziel. Das Eindringen von Unbefugten muss also auch in diesem Falle effektiv abgewehrt werden. Notwendige Sicherheitsfaktoren sind im Falle eines VPN: Verschlüsselung, Authentifizierung und Zugangskontrolle, eingebettet in ein schlüssiges Vernetzungskonzept.
BSI mit einem VPN-Konzept: SINA Systemkonzept

nach oben zur Übersicht

B5) Administrative Zugänge zu Servern besonders gesichert
Die administrativen Zugänge sind also auf keinen Fall direkt über das Internet erreichbar, sondern (falls nicht im eigenen Haus möglich) über ein virtual private network (VPN), das den oben beschrieben Sicherheitsanforderungen entspricht
.

nach oben zur Übersicht

B6) Kommunikationslösung geschieht webbasiert
Eine Kommunikationslösung über das Internet ist mit Kunden und Klienten per gängigen eMail-Protokollen nicht vertretbar. Der Verschlüsselungsvorgang ist zu kompliziert und wird in der Praxis von Kunden/Klienten kaum genutzt. Webbasierte Mail ist hier sinnvoll, weil sie nutzerfreundlich zu realisieren ist und den beschriebenen Gefahren entgegenwirken kann. Die Dimensionen von Datensicherheit können dadurch verlässlich garantiert werden: Vertraulichkeit, Verbindlichkeit, Integrität, außerdem die  Authentizität der Organisation. Bezüglich der Kunden / Klienten kann die Organisation selbst bestimmen, ob sie von den Nutzern Authentizität oder Anonymität erwartet. Sämtliche Kommunikationsverläufe verbleiben also auf dem Server der Organisation und können so gesichert und vor unbefugten Zugriffen geschützt werden.

Bei der Konkreten Software wird eine Lösung verwendet, die den Anforderungen des Datenschutzes entspricht: Open-Source-Software oder proprietäre Software (d.h. nicht Offene bzw. Freie Software), die von einem staatlich anerkannten Sachverständigen begutachtet wurde und ein staatlich anerkanntes Datenschutzsiegel erhalten hat.

nach oben zur Übersicht

B7) SSL-Server-Zertifizierung nach Signaturgesetz
Um den höchsten gesetzlichen Standards für Verschlüsselungstechnik zu genügen, wird ein nach deutschem Recht anerkannter Zertifizierer gewählt. Dieser muss von der zuständigen Regulierungsbehörde für Post und Telekommunikation (RegTP) (www.regtp.de) für die Ausstellung von Sicherheits-Zertifikaten akkreditiert sein. Mit einer Zertifizierung durch eine akkreditierte Zertifizierungsinstanz ist dann auch im Internet glaubwürdig nachzuvollziehen, dass es sich bei dem Internetangebot einer bestimmten Organisation auch wirklich um diese selbst handelt (Authentifizierung).

Liste der RegTP: Akkreditierte Zertifizierungsinstanzen (ZDA)
 

nach oben zur Übersicht

B8) Intranet besonders gesichert
Ein Intranet stellt im hier beschriebenen Sinne eine Plattform dar, über die Mitarbeiter/innen intern vernetzt sind und wo vertrauliche Daten gespeichert werden, die in besonderer Weise geschützt werden sollen. Ein Intranet nach dem Sewecom-Standard wird strengsten Anforderungen unterworfen. Auch hier ist die geregelte Zugangskontrolle mit Authentifizierung der zentrale Ansatzpunkt. Durch eine angemessene Firewall-Architektur wird ein direkter Zugriff aus dem Internet und von anderen Teilen des internen Netzes abgewehrt.

nach oben zur Übersicht

B9) Systemüberwachung
Computersysteme werden hinsichtlich ihrem Betriebsablauf durch so genanntes Monitoring überwacht. Nur so ist ein stabiler Betrieb auf Dauer zu gewährleisten, da Schwachstellen und Kapazitätsengpässe vorzeitig erkannt werden können. Zur Umsetzung des Monitorings gibt es je nach System unterschiedliche Hilfstools.
Darüber hinaus ist aber auch eine aktive Überwachung mit dem Ziel der Erkennung von Angriffen und von Missbrauch zu realisieren. "Intrusion Detection Systeme" (IDS) ist der Fachbegriff für diese Form der Überwachung.
BSI-Leitfaden zur Einführung von IDS

nach oben zur Übersicht

 

 

C) Darstellung nach Außen

 

C1) Aufklärung der Nutzer
Die Nutzer (Kunden/Klienten usw.) der Kommunikationsplattform werden auf mögliche Gefahren bezüglich PC und Internetzugang aufmerksam gemacht. Es werden zudem Hinweise und / oder Links bereitgestellt, die dazu beitragen können, den Zugang und die PCs ebenfalls angemessen sicher zu machen: PC-Sicherheits-Tipps. Außerdem wird deutlich sichtbar auf einen Anonymisierungsdienst verwiesen, der die Datenspuren (IP-Adressen) in geeigneter Weise verwischen kann. Dies ist der Fall bei dem Anonymisierungsdienst ANON / JAP der Technischen Universität Dresden in Zusammenarbeit mit dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (Projekt AN.ON - Anonymität Online
).

nach oben zur Übersicht

C2) Erklärung zu Datenschutz und Datensicherheit / Privacypolicy
Die Nutzer werden an deutlich sichtbarer Stelle der Website über die Sicherheitspolitik der Organisation in Kenntnis gesetzt. Insbesondere auf die Frage der Speicherung und Löschung von personenbezogenen Daten wird hingewiesen. Der Umgang mit den IP-Adressen als Datenspuren muss ebenfalls beschrieben werden
.

nach oben zur Übersicht

 

 

D) Varianten: Anonymität / Authentizität

 

D1) Organisation authentifiziert / Nutzer anonym

  • Durch das SSL-Zertifikat ist die Organisation, die das Online-Angebot bereitstellt authentifizierbar. Die Organisation verwendet lediglich die Daten, die auf diesem Weg durch den Nutzer übermittelt wurden. Vertraulichen personenbezogenen Daten werden darüber hinaus nicht mitgeteilt, da die Identität des Nutzers nicht überprüft ist.

  • Die anonymen Nutzer können nur über Daten kommunizieren, die sie selbst übermittelt haben oder die öffentlich zugänglich sind.

nach oben zur Übersicht

D2) Organisation authentifiziert / Nutzer authentifiziert

Nur unter diesen Bedingungen dürfen Daten aus dem Bestand der Organisation über diesen Kommunikationsweg übermittelt werden (Übermittlungsfunktion):

  • Durch das SSL-Zertifikat ist die Organisation, die das Online-Angebot bereitstellt, authentifizierbar. Die Organisation darf Informationen aus ihrem Datenbestand (z.B. aktueller Kontostand / Stand eines behördlichen Verfahrens) an den Nutzer nur übermitteln (Übermittlungsfunktion), wenn dies von dem jeweiligen Nutzer für seine Daten per rechtskräftiger Unterschrift genehmigt wurde. Dabei muss die Authentifizierung des Nutzers in geeigneter Weise stattfinden.

  • Die Nutzer gelangen zu ihrem persönlichen Account über ihren Benutzernamen und ihr Passwort. Sollten sie ihren Account vor der Authentifizierung angelegt haben (gemäß D1), müssen sie nach der Überprüfung für diese zusätzliche Funktionalität (Übermittlungsfunktion) freigeschaltet werden (z.B. durch Eingabe eines Aktivierungs-Codes).

nach oben zur Übersicht

D3) Rechtsverbindliche Kommunikation: Verträge per Internet

Für rechtsverbindliche Kommunikation bedarf es zusätzlicher Maßnahmen über ein SSL-Server-Zertifikat hinaus: Der Gesetzgeber in Deutschland hat dazu durch das Signaturgesetz umfassende Rahmenbedingungen geschaffen. So ist es unter bestimmten Voraussetzungen möglich auch über elektronische Kommunikationswege eine rechtsverbindliche "Unterschrift" zu leisten. Dabei gibt es die Möglichkeit so genannte Zeitstempel zu integrieren, welche einen bestimmten rechtsrelevanten Prozess zeitlich dokumentieren und auch im nachhinein nachvollziehbar machen (Beweiskraft). Digitale Unterschrift und Zeitstempel bedürfen weiterer Maßnahmen: Elektronische Signatur

nach oben zur Übersicht

 

 

Grundlagen / Voraussetzung

 

Was die Schaffung einer sicheren Infrastruktur betrifft, so verweisen wir ausdrücklich auf das IT-Grundschutzhandbuch des Bundesamts für Sicherheit in der Informationstechnik (BSI), das detailliert die notwendigen Rahmenbedingungen aufzeigt.
Webkurs des BSI_ IT-Grundschutz
Leitfaden des BSI zu IT-Sicherheit

 

Fragen zum Datenschutz sollten im Virtuellen Datenschutzbüro vertieft werden, das als Projektpartner die Datenschutzbeauftragten von Bund, Ländern, Kirchen usw. hat. Es wird vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein realisiert.

 

nach oben zur Übersicht

 

 

Weiteres

 

Visuelle Darstellung dieses Standards
Weiterentwicklung des Standards
Zum Archiv früherer Versionen

 

 

Spezial-Themen

 

e-Mail-Management
E-Government-Mail-Konzept
Internet-Kundenberatung

 

nach oben zur Übersicht

 

 

Praxisbeispiel

 

Der Sewecom-Standard ist seit September 2002 im Einsatz bei der Telefonseelsorge Deutschland: www.telefonseelsorge.org. Weitere Hintergrundinformationen dazu unter:
www.sewecom.de/telefonseelsorge/sicherheitskonzept

 

 

Literatur zum Sewecom-Standard

 

Wenzel, Joachim: Telefonseelsorge. In: Bäumler, Helmut / Breinlinger, Astrid / Schrader, Hans-Hermann (Hrsg.): Datenschutz von A - Z. Neuwied / Kriftel 1999 (Grundwerk). Stand: Juni 2003. (7. Lfg.). Gruppe T 350. S. 1-4.

 

Wenzel, Joachim: Vertraulichkeit und Anonymität im Internet. Problematik von Datensicherheit und Datenschutz mit Lösungsansätzen. In: Etzersdorfer, Elmar / Fiedler, Georg / Witte, Michael (Hrsg.): Neue Medien und Suizidalität. Gefahren und Interventionsmöglichkeiten. Göttingen 2003. S. 56-70.

 

Wenzel, Joachim: e-Mail-Management. Neues Mailkonzept für Behörden. In: Kommune21. eGovernment, Internet und Informationstechnik. Ausgabe 6/2003.
 

 

Referenzen

Der Landesbeauftragte für Datenschutz Sachsen-Anhalt empfiehlt den Sewecom-Standard für Beratungseinrichtungen und öffentliche Stellen:


Zusammenfassung im Virtuellen Datenschutzbüro
Empfehlung des Landesbeauftragten im VI- Tätigkeitsbericht
Weitere Referenz-Links

 

nach oben zur Übersicht

 


Stand: 7. Januar 2004

© 2004 by Bildungsportal Sewecom für Internetsicherheit

 

 

 

Bildungsinitiative Internetsicherheit

Diese Seite per eMail weiterempfehlen