Über Mrak Consulting

Wir unterstützen Sie rund um die Themenbereiche Datenschutz, Informationssicherheit und Compliance. Hier finden Sie Informationen über unser Leistungsspektrum und weitergehende Informationen.

Wie weit komme ich mit der Bahn in 5 Stunden?

Auf dieser großartigen Website findet sich eine einfache Möglichkeit festzustellen wie weit man von seinem Heimatort mit der Bahn in 5 Stunden gelangtDie Seite bezieht ihre Daten vom Portal. Die verwendeten Daten beruhen auf der Website Direkt Bahn Guru, welche von der Deutschen Bahn importiert werden. In diesem Fall habe ich meine Heimatgemeinde im Weinviertel als Abfahrtsort ausgewählt.

Anleitung: Fahren Sie mit der Maus über einen Bahnhof auf der Karte, um die zeitliche Erreichbarkeit von diesem Ort aus zu sehen.

Dabei wird davon ausgegangen, dass die Umsteigezeiten 20 Minuten betragen und die Fahrzeit zwischen den Bahnhöfen etwas mehr als Schrittgeschwindigkeit beträgt. Daher können diese Angaben als optimale Reisezeiten interpretiert werden. Bei Berücksichtigung der tatsächlichen Umsteigezeiten sind die Fahrten möglicherweise nicht möglich.

Bildschirm­foto 2022-08-10 um 11.16.05

Die Farben beschreiben die Erreichbarkeit in Stunden.

Web 3.0 und der Datenschutz

Als Web 3.0 wird die dritte Generation von Internetdiensten für Websites und Webanwendungen bezeichnet. Web 3.0 konzentriert sich auf maschinenbasierte Daten, um ein semantisches Web zu schaffen,  das Ziel ist die Schaffung intelligenterer, vernetzter und offener Websites.

Da Web 3.0 noch nicht vollständig umgesetzt ist gibt es auch noch keine feste Definition davon. Immerhin hat es 10 Jahre gebraucht, um vom “klassischen”  Web 1.0 zum Web 2.0 überzugehen. vermutlich genauso lange, wenn nicht länger, wird es dauern, bis das Web 3.0 vollständig gestaltet sein wird.

Doch beispielsweise Smart-Home-Geräte, die drahtlose Netzwerke nutzen, und das Internet der Dinge (IoT) sind Beispiele dafür, wie sich das Web 3.0 bereits heute auf Technologie auswirkt.

Dieses Video beschreibt sehr gut was es mit Web 3.0 auf sich hat.

Der große Vorteil von Web 3.0 liegt grundsätzlich im enormen Maß an Freiheit, das jeder einzelne Benutzer damit im Internet erlangen kann. Viele Prozesse sind damit architekturbedingt nicht mehr an große IT-Konzerne gebunden, sondern können über alternative Plattformen abgewickelt werden.

Web 3.0 soll dabei helfen das Internet zu demokratisieren, also gleiche Rechte für alle Benutzer zu schaffen und Entscheidungen auf Basis von Mehrheit und Konsens zu treffen. Im Grunde wird damit jeder Benutzer in der Lage versetzt (die nötigen technischen Fähigkeiten vorausgesetzt), das Internet mitzugestalten.

Zukünftige dezentrale Web 3.0 Anwendungen wie Gitcoin und Bounties Network basieren auf Blockchain Infrastrukturen. Diese Anwendungen bilden Plattformen, bei denen der Besitz der Identität ausschließlich beim Benutzer bleibt. Untereinander agieren diese sogenannten dApps durch „Smart Contracts“. Sie sorgen für eine dezentrale Ausführung von „Verträgen“ und damit für Konsistenz und Transparenz im Netzwerk. Auf Blockchain basierende Identitätssysteme sollen dabei den Zugang zu persönlichen digitalen Identitäten ermöglichen.

Ein Beispiel von vielen für den Einsatz von Web 3.0: In der Schweizer Gemeinde Schaffhausen können Bürger ihre eigene E-ID erstellen, welche auch auf der Blockchain basiert. Über eine App kann sich jeder Einwohner registrieren und seine Daten selbst verwalten bzw. bestimmen was mit ihnen passiert.  

Warum ist die NIS-2-Richtlinie wichtig

Die EU erhofft sich mit ihrer neuen Cybersecurity-Richtlinie NIS-2 mehr Resilienz für die gesamte europäische IT-Infrastruktur. Bisher wurde die Industrie von solchen Konzepten weitgehend verschont bzw. vermied es oftmals sich damit auseinanderzusetzen. Doch nun soll alles anders werden. Industrieunternehmen, die nicht mitmachen, sollen mit hohen Bußgeldern dazu gebracht werden das Thema Informationssicherheit ernsthaft zu adressieren.

Rasmus Andresen, der als Schattenberichterstatter im EU-Parlament die Gesetzwerdung seit langem begleitet, brachte auf den Punkt, warum die NIS-2-Richtlinie für die europäische Industrie unerlässlich ist.

Der Ministerrat, das Parlaments und die EU Kommission haben sich jedenfalls vor einigen Wochen auf eine Novelle der Richtlinie über die Netzwerk- und Informationssicherheit (NIS-2) verständigt.

Der nun öffentlich vorliegende Entwurf adressiert Unternehmen und Behörden in der EU, die für die Wirtschaft und Gesellschaft von entscheidender und essenzieller Bedeutung sind. Neben den sogenannten kritischen Infrastrukturen sollen künftig auch mittlere und große Einrichtungen aus einer erweiterten Zahl von Sektoren mit über 250 Mitarbeitern und über zehn Millionen Jahresumsatz erfasst werden. Damit sollen EU-weit über 100.000 Organisationen in den Gültigkeitsbereich der NIS-2-Richtlinie fallen.

Auch durch die in der NIS-2-Richtlinie eingeführte persönliche Haftung wird die Informationssicherheit noch weiter an Bedeutung im Risikomanagement betroffenen Organisationen gewinnen.

Ob das Gesetz ein großer Wurf ist und auch “wirken wird” wird sich zeigen. Im Vorfeld gab es seitens der EU-Kommission und einzelner Industrievertreter massiven Widerstand gegen die Richtlinie, schließlich bedeutet deren nationalstaatliche Umsetzung in weiterer Folge Mehraufwand für die betroffenen Unternehmen. Dass mehr Informationssicherheit in diesen Zeiten essentiell ist wird nicht überall so wahrgenommen. Es gilt also nach wie vor auch mehr in Awareness für dieses Thema zu investieren.

Anzahl der entdeckten Phishing Websites, Entwicklung seit 2015.

Buchtipp: Human Compatible: Künstliche Intelligenz und wie der Mensch die Kontrolle über superintelligente Maschinen behält

Künstliche Intelligenz und wie der Mensch die Kontrolle über superintelligente Maschinen behält.

Wie lassen sich superintelligente Maschinen erschaffen, die kompatibel zu unseren menschlichen Zielen und Wünschen sind und die nicht am Ende ihre eigenen Ziele verfolgen? Bestseller-Autor Stuart Russell verdeutlicht, welche Chancen und Risiken für die Zukunft der Menschheit mit der Entwicklung einer Superintelligenz verbunden sind. Er zeigt neue Perspektiven und Lösungswege auf, um zu vermeiden, dass intelligente Maschinen für uns unkontrollierbar werden.

Stuart Russell ist kein unbekannter in der Szene. Er bekleidet als Professor für Informatik den Lehrstuhl Engineering der University of California in Berkeley und war stellvertretender Vorsitzender des Rats für künstliche Intelligenz und Robotik des Weltwirtschaftsforums sowie Berater für die Rüstungskontrolle der Vereinten Nationen. Als einer der führenden Experten im Gebiet der künstlichen Intelligenz forscht er zu ihr schon seit Jahrzehnten zu diesem Bereich. Seine Aussagen haben also nicht bloß Gewicht, sondern auch Substanz.

Russels Botschaft in diesem Buch ist klar: Eines Tages werden superintelligente Maschinen in der Lage sein, die Geistesleistung von Menschen locker zu überbieten. Das wird allerdings nicht in der nächsten Zeit geschehen. Und: Es gibt Ansätze, die eine feindliche Übernahme unseres Lebens durch selbst geschaffene Technik-Knechte von Beginn an unterbinden können.

Russels Kernaussage ist, das Design von KI nicht wie bisher zielorientiert zu definieren, sondern als „im Interesse der Menschen“ zu designen, um es einfach auszudrücken. Das soll verhindert, dass sich Maschinen zukünftig über die Wünsche und Bedürfnisse der Menschen hinwegsetzen und ebenso, dass sie sich nicht mehr außer Betrieb nehmen lassen, wenn sie gegen die menschlichen Interessen handeln.

Ein sehr interessantes, aber auch relativ komplexes Buch. Ich kann es auf jeden Fall weiterempfehlen wenn man sich mit dieser durchaus komplexen Materie näher befassen will.

Digital Services Act und Digital Markets Act kommen 2024

Mit dem Digital Services Act und dem Digital Markets Act wird der EU Gesetzgeber die Rechte von VerbraucherInnen deutlich stärken.  Ob Cookie-Banner, Browserverlauf oder Messengerdienste – es wird große Auswirkungen vor allem auf die führenden Digitalfirmen geben .

Die EU-Kommission hat schon vor einiger Zeit angekündigt, die Europäische Union “fit für das digitale Zeitalter” machen und dabei vor allem große Tech-Unternehmen stärker regulieren zu wollen. Dazu werden mehrere Verordnungen und Richtlinien zu verschiedenen Aspekten einer digitalen Gesellschaft entwickelt – zum Beispiel zur Regulierung von künstlicher Intelligenz oder zu E-Identitäten.

Die größten Meilensteine zum Schutz der VerbraucherInnen sowie zur Regulierung von großen Tech-Unternehmen stellen zweifellos der Digital Services Act (DSA) und der Digital Markets Act (DMA) dar. Diese Verordnungen werden regeln wie der Zugang zu Plattformen wie Facebook und Twitter und deren Inhalte auszusehen haben. Deswegen wird der DSA auch als das “Grundgesetz des Internets” bezeichnet. Beide Gesetzestexte sind grundsätzlich fertig und auch schon politisch abgestimmt. Dass das Europaparlament und der Rat ihnen zustimmen gilt als Formsache.

Besonderneit an den Verordnungen besteht darin, dass derartige Plattformen nun grundsätzlich in die Pflicht genommen werden können. Sie müssen sich mit den Auswirkungen ihrer Dienste auf die Demokratie und die Menschenrechte auseinandersetzen, diese bewerten und möglichen Schäden auf die Zivilgesellschaft entgegenwirken. Darüber hinaus haben die Verordnungen den Zweck mehr Transparenz bei den Big-Tech Companies zu erzwingen. So werden die Politik, die Wissenschaft und auch zivilgesellschaftliche Organisationen Zugriff auf die Daten erhalten und damit sicherstellen können, dass die in den Gesetzen geforderten Anforderungen auch umgesetzt werden.

Daneben werden viele andere Aspekte der modernen Telekommunikation zukünftig besser reguliert sein. Umfangreiche Informationen darüber werden in den kommenden Monaten sicher publiziert und bewertet werden.

Aktuelle Informationen zum DSA auf der Homepage des Justizministeriums.

Wer schreibt heute eigentlich noch selbst?

“Worte sind wie Schwerter”, so heißt es. Und in der Tat, sie können genauso mächtig sein. Worte können eine Person verletzen, sie können aber auch Mut machen und Hoffnung geben. Die Macht der Worte ist unglaublich – und das sollten wir niemals vergessen.

In einer Welt, in der so viel Negativität herrscht, ist es wichtiger denn je, unsere Worte sorgfältig zu wählen. Wir sollten uns immer bewusst sein, dass unsere Worte eine große Kraft haben und dass wir damit viel Gutes tun können.

In einer Zeit, in der so viel Wert auf Bilder gelegt wird, ist es wichtig zu erkennen, dass Worte noch immer eine enorme Stärke haben. Worte können uns informieren, ermutigen, warnen und trösten. Sie können uns helfen, unsere Gefühle auszudrücken und unsere Erfahrungen zu teilen.

Mit den richtigen Worten können wir andere inspirieren und motivieren. Wir können ihnen neue Perspektiven eröffnen und sie dazu bringen, über ihr Leben nachzudenken. Die Macht der Worte ist unglaublich – sie sollten also sorgfältig ausgewählt werden.

Dieser Ausspruch trifft genau das, was ich über die Macht der Worte denke. Die Worte, die wir wählen, um andere Menschen zu beschreiben, haben eine enorme Auswirkung auf unsere Gedanken und unser Verhalten. Wenn wir andere Menschen mit negativen Wörtern beschreiben, neigen wir dazu, sie auch so zu behandeln. Auf der anderen Seite können positive Worte dazu führen, dass wir uns selbst mehr lieben und andere Menschen mit mehr Respekt behandeln.

Ich glaube, dass die Macht der Worte oft unterschätzt wird. Viele Menschen denken nicht darüber nach, welche Auswirkungen ihre Worte auf andere haben können. Doch die Wahrheit ist: unsere Worte haben immer Macht – positive oder negative. Und deshalb ist es so wichtig, bewusst mit unseren Worten umzugehen.

Wenn du deinen Schreibstil verbessern möchtest, solltest du dir also immer bewusst machen, welche Auswirkung deine Wörter auf deine Leser haben können. Nutze die Macht der Worte bewusst und gezielt, um deine Leser zu berühren, zu beeinflussen und zu motivieren – positiv oder negativ.

Anmerkung: Dieser Text stammt nicht von mir, er wurde auf Basis weniger Stichworte durch die künstliche Intelligenz des deutschen Startups NeuroFlash formuliert.

HinweisgeberInnenschutzgesetz (HSchG) in Begutachtung

Österreich ist bei der Umsetzung der Whistleblower-Richtlinie der EU stark in Verzug geraten. Die Umsetzung in das nationale Recht hätte schon bis Ende 2021 erfolgen sollen. Am 3. Juni 2022 wurde nun ein Entwurf für das HinweisgeberInnenschutzgesetz (HSchG) für sechs Wochen in Begutachtung geschickt.

Das HinweisgeberInnenschutzgesetz hat folgende Ziele:

  • Erhöhung der Bereitschaft zu rechtmäßigem Verhalten in Lebensbereichen von besonderem öffentlichen Interesse durch Schaffung von Regelungen zum Schutz von Hinweisgeberinnen/Hinweisgebern vor Vergeltungsmaßnahmen
  • Erhöhung des Schutzes von Hinweisgeberinnen/Hinweisgebern vor Vergeltungsmaßnahmen in Zusammenhang mit (im Folgenden auch iZm) der Hinweisgebung

Inhaltlich befasst sich das Gesetz mit folgenden Vorgaben:

  • Schaffung von internen und externen Stellen für den privaten und öffentlichen Sektor für die Hinweisgebung
  • Schutzmaßnahmen für Hinweisgeberinnen/Hinweisgeber gegen Vergeltungsmaßnahmen iZm der Hinweisgebung

Hauptgesichtspunkte des Gesetzesentwurfs aus Sicht des Gesetzgebers:

Whistleblowerinnen/Whistleblower sind Personen, die aus ihrem beruflichen Umfeld Informationen über Praktiken wie Betrug, Korruption, Gesundheits-, Umweltgefährdungen erlangt haben und diese Informationen weitergeben. Der faktische Druck der Anfeindungen und der Verfolgung aufgrund von Rechtsvorschriften ist enorm.

Der vorliegende Entwurf dient der Umsetzung der Richtlinie 2019/1937/EU zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden. Die Umsetzung beschränkt sich vorerst auf die von der Richtlinie zwingend vorgegebenen Inhalte. Damit sollen die Belastungen für kleinere und mittlere Unternehmen geringgehalten werden. Im Gesetzentwurf (im Folgenden auch “HSchG”) ist die Option einer späteren Erweiterung des sachlichen Geltungsbereichs und der Instrumente zur Unterstützung des Whistleblowings enthalten.

Der Gesetzesentwurf sieht Regelungen zu folgenden Aspekten vor:

  • eine klare Abgrenzung der Personen und Bereiche, die vom Hinweisgeberschutz umfasst sind, durch eine Bestimmung zum Zweck des HSchG, durch Legaldefinitionen, die Festlegungen zum persönlichen und sachlichen Geltungsbereich und zu den Voraussetzungen der Schutzwürdigkeit von Hinweisgeberinnen/Hinweisgebern;
  • regulative Vorkehrungen, um faktisch bereits etablierte Hinweisgebersysteme zu erhalten und bereits vorhandene Spezialbestimmungen zur Hinweisgebung nicht zu unterlaufen;
  • Bestimmungen zum Datenschutz, dem insbesondere im Spannungsverhältnis zwischen dem Schutz der Identität der Hinweisgeberinnen/Hinweisgeber und dem Schutz der Rechte der von Hinweisgebung betroffenen Personen und sonstigen Rechtsträger besondere Bedeutung zukommt;
  • die Einrichtung von Meldestellen für die Hinweisgebung sowohl innerhalb als auch außerhalb eines Rechtsträgers;
    Verfahren der Behandlung, Dokumentation, Aufbewahrung und Weiterverfolgung von Hinweisen;
  • besondere Maßnahmen des Rechtsschutzes für Hinweisgeberinnen/Hinweisgeber;
  • Verwaltungsstrafbestimmungen für die Behinderung von bzw. die Vergeltung an Hinweisgeberinnen/Hinweisgebern, für wissentliche Falschinformationen durch Hinweisgeberinnen/Hinweisgeber und für die rechtswidrige Preisgabe der Identität von Hinweisgeberinnen/Hinweisgebern;
  • die statistische Erfassung und Auswertung der Erfahrungen mit bisherigen Hinweisen als Grundlage für eine Entscheidung über allfällige spätere gesetzliche Anpassungen.

Kontaktieren Sie mich wenn Sie Fragen haben oder Unterstützung bei der Umsetzung der EU-Richtlinie zum Schutz von Whistleblowern benötigen.

Der aktuelle Entwurf des HinweisgeberInnenschutzgesetzes vom 3. Juni 2021 kann hier heruntergeladen werden.

Buchtipp: Das Ministerium für die Zukunft

Kim Stanley Robinson ist ein großer Name in der Science-Fiction-Szene. Der US-Autor hat alle bedeutenden SciFi-Preise gewonnen. Und auch sein neues Buch “Das Ministerium für die Zukunft” wird unter anderem von von Barack Obama und Bill Gates empfohlen.

Sind wir noch zu retten?

Eine UNO-Behörde, die für die Erfüllung der Ziele von Paris kämpft, ist derzeit wohl noch nicht absehbar – es sei denn, einige Konferenzteilnehmer hätten Kim Stanley Robinsons Roman gelesen und fühlten sich davon inspiriert. Darin wird im Jahr 2025 ebenjenes Ministerium gegründet, nachdem sich die Vertragsparteien von Paris eingestehen mussten, dass die Länder die selbst gesteckten Ziele nicht erreichen. Die neue Institution soll “für die zukünftigen Generationen der Welt eintreten”, um deren Rechte umzusetzen.

Auf den nachfolgenden Seiten schmilzt die Eisfläche des arktischen Ozeans, leitet Indien nach einer Hitzewelle mit dutzenden Millionen Toten den Umbau zu organischem Landbau ein, Öko-Terroristen schießen kerosinbetriebene Passagierflugzeuge ab und versenken Containerschiffe, in der Antarktis wird Schmelzwasser unter Gletschern hervorgepumpt, damit diese wieder fest auf ihrem felsigen Untergrund sitzen und nicht ins Polarmeer rutschen. Das namensgebenden Ministerium droht eine weitere zahnlose Institution zu werden, aber dann gelingt es, die Zentralbanken vom Konzept der Carboncoins zu überzeugen, einer Währung, die Unternehmen für Kohlenstoff bekommen, den sie nicht ausstoßen. Knapp 30 Jahre danach sinkt der Kohlendioxidgehalt der Atmosphäre, auf den Meeren wird Ware von Schiffen mit Fotovoltaiksegeln transportiert. Die Welt, so scheint es, hat es gerade noch einmal geschafft.

“Ein Ministerium für die Zukunft” endet hoffnungsvoll, ein optimistisches Buch ist es dennoch nicht. Absolut lesenswert und spannend ist es allemal.

Stand der Entwicklung bei der ISO 27001 Norm

Das für die Verwaltung der ISO 27000 Normengruppe verantwortliche Gremium (Joint Technical Committee 1, Sub-Committee 27), hat beschlossen, dass durch eine Ergänzung der bestehenden ISO 27001 Norm die neuen Inhalte erfasst werden und mit den Inhalten der ISO 27002:2022 abgeglichen werden.
 
Wenn eine Normänderung geringfügig ist, kann die ISO eine Änderung der bestehenden Norm veröffentlichen, die fortan das Suffix AMDX erhält. Die internen ISO Regeln besagen, dass dies nur zweimal möglich ist, so dass es in Zukunft eine Änderung 1 und 2 geben kann, aber keine 3.
 
ACHTUNG: Es handelt sich aktuell nach wie vor um eine Prognose, diese kann sich aber natürlich bis zum Veröffentlichungsdatum der neuen ISO 27001 noch geringfügig ändern.
 
Aktuell liegt ein Entwurf der ISO/IEC 27001:2013-AMD1 vor. Dabei handelt sich um ein fünfzehnseitiges Dokument, das im Wesentlichen aus zwei Teilen besteht:
 
  1. Es wurden zwei der Anmerkungen zu Abschnitt 6.1.3 leicht aktualisiert
  2. Es wurde der Inhalt von Anhang A durch eine Tabelle ersetzt, welche die neue Liste der Controls aus der aktualisierten ISO27002:2022 zeigt.
Wann erscheint eine völlig neuen Version von ISO27001?
 

Die ISO Gremien sind scheinbar mit dem High-Level-Strukturformat des Anhangs SL zufrieden und wollen nicht unnötig daran herumwerken. Daher beschränken sich die Änderungen im Wesentlichen auf Anhang A von ISO27001. Angesichts der Tatsache, dass die aktuelle Hauptversion der ISO27001-Norm aus dem Jahr 2013 stammt und die Normen alle fünf Jahre von der ISO überarbeitet werden sollen, scheint eine Überarbeitung der ISO27001-Norm eigentlich überfällig zu sein. Die ISO hat jedoch 2019 eine Überprüfung der ISO27001 durchgeführt und die Norm in ihrer jetzigen Form bestätigt, so dass wir möglicherweise bis 2025 warten müssen, bevor sich hier etwas ändern wird.

Auswirkungen auf zertifizierte Unternehmen
 
Zukünftig werden sich Organisationen nach der Norm ISO/IEC 27001:2013 und der Änderung zertifizieren lassen, möglicherweise erhält diese die Bezeichnung “ISO/IEC 27001:2013 + AMD1:2022” oder ähnlich. Es wird mit ziemlicher Sicherheit eine Übergangszeit geben, in der eine bestehende Zertifizierung nur nach ISO/IEC 27001:2013 gültig bleibt.
 
Technisch gesehen könnte eine Organisation weiterhin nur die alten Controls verwenden, solange sie diese den neuen Controls zuordnet und etwaige Diskrepanzen erklärt, aber da sie wahrscheinlich trotzdem die elf neuen Controls in ISO27002:2022 implementieren muss, empfiehlt es sich jedenfalls schon heute nach der ISO27002:2022 vorzugehen.