Auditschwerpunkt: Datensicherheit & Vertraulichkeit

Aus aktuellem Anlass

kann/sollte von der geplanten Routine abgewichen werden. Die akkreditierende Stelle mag es vielleicht anders, aber „das Hemd ist näher als die Jacke“ und formalisierte Audits erfassen oft entweder nicht den Kern oder stellen sich praktisch zu aufwändig/teuer dar, wenn in allen erfassten Bereichen die nur im Speziellen benötigte maximale Tiefe erreicht werden soll.

Ein Blick in einschlägige Seiten zur IT-Sicherheit belegt eine steigende Zahl kompromittierter Einrichtungen. Für Unternehmen, wissenschaftliche Einrichtungen, Prüfeinrichtungen und Berater mit vielen Kundenkontakten stellt sich nicht die Frage, ob sie in Zukunft einmal angegriffen werden, sondern ob sie auf die kommende Attacke ausreichend vorbereitet sind und ob/wie sie sich mit vertretbarem Aufwand erneut etablieren können.

Weiterlesen

Wie halte ich es mit der Ermittlung der Messunsicherheit?

Gestern standen wir unmittelbar am Abgrund. Heute sind wir einen großen Schritt vorangekommen. Die neue DIN 17025 fordert die Ermittlung der Messunsicherheit. Da gibt es keine Wahl. In anderen Kontexten wird sie zwar nicht gefordert, aber ihr Nutzen für die Verlässlichkeit von Bewertungen und Aussagen ist so groß, dass es eine Frage analytischer Hygiene ist, … Weiterlesen

Informationssysteme in Prüfeinrichtungen absichern

Gefahr für Prüfeinrichtungen, wissenschaftlich arbeitende Einrichtungen und Science-Spaces

In den letzten Wochen erhielten die Medizinische Hochschule Hannover und die Verwaltung in Neustadt unerwünschten Besuch. Wenige Wochen zuvor hatte sich dieser „Besucher“ beim Heise-Verlag eingenistet.

Prolog

  • Prüfeinrichtungen, Labors und Science-Spaces sehen sich derzeit mit einer zunehmenden Bedrohungslage konfrontiert. Kommunikation mit neuen, potenziellen Partner und Mitstreitern. mit Verlagen im Rahmen geplanter Veröffentlichungen, Lektoren und kooperierenden Partnereinrichtungen sind essentieller Bestandteil der täglichen Arbeit. Der Austausch elektronischer Daten nicht nur in Form üblicher Standardformate von Textverarbeitungen und Tabellenkalkulationen sondern auch von Bildern, Gensequenzen, mehrdimensionalen Strukturdarstellungen und mit statistisch erfasster Rohdaten erschweren die Bildung fester Regeln im Umgang mit digitalen Informationen.
  • Einrichtungen erreichen eher selten eine Größe, die eine eigene EDV-Abteilung mit gestaffelten Sicherheitslinien, Sandboxes etc. wirtschaftlich oder möglich erscheinen lassen.
  • Eine Auslagerung von Kompetenz und Daten an Drittanbieter steigert den Bedarf an elektronischer Kommunikation, denn diese Daten müssen nicht nur abgelegt, sondern auch bearbeitet werden. Gibt es einen individuellen goldenen Mittelweg?

Weiterlesen

Schnell-Check für die elektronische Kommunikation

Der Heise-Verlag bietet in Zusammenarbeit mit dem Landesbauftragten für Datenschutz Niedersachsen auf seiner Seite: https://www.heise.de/security/ auch Nichtprofis eine schnelle und einfache Möglichkeit, ihre elektronsiche Infrastruktur zu überprüfen. Überhaupt sollte der Besuch auf dieser Seite zur wöchentlichen Routine werden, da hier neueste Informationen zu sicherheitsrelevante Vorkommnissen vorgestellt werden. Der angebotene „Netzwerkcheck“ zum Beispiel überprüft die Konfiguration des Routers. Auch Virenscanner wie ESET bringen Werkzeuge zum Einholen von Information über das heimischen Netzwerk mit.

Weiterlesen

Vieraugenprinzip – und wer kontrolliert die Kontrolleure?

Achtung Kontrollverlust!

Wie wäre es, beim nächsten Gutachten oder bei der nächsten Ergebnispräsentation ein oder zwei hässliche Fehler einzubauen, die nur bei sorgfältigem und kompetenten Korrekturlesen auffallen? Warum? Wer möchte sich nicht der Qualität der Kontrolleure sicher sein? Was nutzt eine Kontrolle, die „nur“ formale Fehler (doppelte Absätze, Rechtschreibung, fehlende Zitation) zutage fördert, wenn es in Gutachten und Forschung doch eigentlich vor allem um die Richtigkeit von Inhalten gehen sollte?

Weiterlesen