HANDBUCH DIGITALISIERUNG Kapitel 3.12 / Datenschutz, Compliance, Risikomanagement die Benennung von Teams und Verantwort- lichen. Der „Chief Information Security Of-  cer“ (CISO) ist der IT-Sicherheitsbeau ragte im Unternehmen. Die ISO-Norm 27001 sowie eine Zerti zierung nach BSI-Grundschutz er- fordern die Einsetzung eines CISO. So ware und Betriebssysteme aktuell halten Bei Hackern ist die Ausnutzung von Sicher- heitslücken verbreitet. Daher müssen Pro- gramme und Infrastrukturkomponenten lau- fend auf dem neuesten Stand gehalten und Si- cherheits-Updates zeitnah eingespielt werden. Strategien für Cyberabwehr Unternehmen benötigen eine Strategie zur systematischen Erkennung und Abwehr von Cyberattacken. Für Interessierte: Im Mitre- Attack-Framework (https://attack.mitre.org/) sind über 200 potenzielle Cyberangri ssze- narien beschrieben. Grundkonstrukte der Sicherheit im E-Com- merce Auch in der Online-Welt bildet Vertrauen die Grundlage des Geschä sverkehrs. Authenti - zierung, also die elektronische Identi zierung der Teilnehmer, ist dafür unabdingbar. Sie wird z. B. über Zerti kate anerkannter Anbie- ter bewerkstelligt. Autorisierung ist die sichere Prüfung der Be- rechtigung, eine bestimmte Transaktion durch- zuführen. Die Verschlüsselung stellt sicher, dass die Korrespondenz vertraulich bleibt. Gesetzgeber und Branchen haben die An- forderungen erhöht Der Gesetzgeber und regulatorische Stellen (bspw. CA/Browser Forum) fordern daher strengere Regeln und Normen. Mit der im Mai 2018 in Kra  getretenen Datenschutzgrund- verordnung (DSGVO) der EU gelten striktere Vorschri en für den Schutz persönlicher Da-  EmpfehlungenundHandlungsfelder V Interne Regeln für den Umgang mit Kryptographie und Schlüsselmaterial aufstellen V Vorgaben für den Au au und Betrieb einer internen PKI (siehe Abbildung 2) V Vorgaben für die Zusammenarbeit mit ö entlichen Zerti zierungsstellen (CA) mit hohem Vertrauenslevel (z. B. EV-SSL) V Hohe Anforderungen an den Vertrau- enslevel von Zerti katen; organisati- onsvalidierte Zerti kate im freien In- ternetverkehr bieten mehr Schutz gegen Phishing V Werkzeuge für das Management des ge- samten Lebenszyklus von Zerti katen einsetzen V Festlegung, in welchen Anwendungsbe- reichen, welche Zerti kate eingesetzt werden V Vorgaben für die Auslegung von Zerti - katen (Attribute, Validierungslevel etc.) V Regeln für die Ausgabe und Verwaltung von Zerti katen V Einsatz von Hardware-Sicherheitsmo- dulen (HSM) für Schlüsselmaterial und Zerti kate 267 Herausforderungen