Datenschutz Manager
Die Hauptfunktion des Datenschutz-Managers besteht darin, einen einfachen und klaren Überblick über das Datenschutz-Rating jedes eingebundenen Lieferanten zu bieten. Hier werden die einzelnen Punkte der Datenschutz Manager Seite noch einmal genau erläutert.
The main function of the Data Protection Manager is to provide a simple and clear overview of the data protection rating of each integrated supplier. The individual points of the Data Protection Manager page are explained in detail here.
Einführung | Introduction
English version down below
Inhaltsverzeichnis
- Rating anfordern
- Kein vorhandenes Rating
- WebRisk-Indikator
- Mindestanforderung - Erfüllt/Nicht erfüllt
Rating anfordern
Um ein Rating von Ihren Lieferanten anzufordern, klicken Sie auf "RATINGS ANFORDERN".
1. Schritt - Lieferanten wählen
In diesem Schritt können Sie alle Lieferanten auswählen, für die Sie das Rating erhalten möchten.
2. Schritt - Bestellung abschließen
Anschließend können Sie die Bestellung aufgeben. Das entsprechende Kontingent wird Ihnen nach Abschluss der Bestellung von Ihrem Konto abgezogen.
Kein vorhandenes Rating
Nachdem Sie uns die Liste Ihrer Lieferanten zur Verfügung gestellt haben, wird Ihre Seite entsprechend leer und ohne Ratings angezeigt. Es ist möglich, dass ein Lieferant, der bereits in der Liste eingetragen ist, ein gültiges Rating abgeschlossen hat und dieses zur Veröffentlichung freigegeben hat. In diesem Fall wird der Lieferant ohne die Notwendigkeit einer erneuten Bewertungsanfrage angezeigt.
Dies wird dann wie folgt aussehen:
Auf der ganz linken Seite haben Sie nun die Möglichkeit, durch Klicken auf das grau hinterlegte Feld selbst festzulegen, ob dieser Lieferant für Sie Datenschutz relevant ist oder nicht.
Hierbei wird der Lieferant je nach Situation unterschiedlich angezeigt:
- Kein abgeschlossenes Rating: Wenn Sie hier "Ja" oder "Nein" auswählen, wird der Lieferant lediglich unter diejenigen Lieferanten verschoben, die bereits ein Rating besitzen.
- Abgeschlossenes Rating: Wenn Sie hier "Nein" wählen, wird der Lieferant einfach nach unten verschoben. Bei Auswahl von "Ja" wird der Lieferant je nachdem, ob das Rating die Mindestanforderungen bestanden hat oder nicht, entsprechend rot (nicht bestanden) oder grün (bestanden) angezeigt.
Über den Button "Rating anfordern", hat man die Möglichkeit, ein Rating dieses Lieferanten anzufordern.
WebRisk-Indikator
Die 3-stellige Zahl neben dem Lieferantennamen ist der WebRisk-Indikator. Sobald Ihre Lieferanten im CyberRisk-Portal aufgeführt sind, steht der WebRisk-Indikator (C-Score) für alle von ihnen zur Verfügung. Dieser Indikator dient als erste Bewertung von Cyberrisiken und bewertet automatisch öffentlich zugängliche IT-Informationen.
Der WebRisk-Indikator ist ein vollautomatischer externer Sicherheitscheck, der auf nicht-invasive Weise die über das Internet zugänglichen Anwendungen einer Organisation überprüft und auf dieser Grundlage Rückschlüsse auf die zugrunde liegende technische und organisatorische Cybersicherheit zieht.
Die Domains und IP-Adressbereiche der Organisation, die Teil dieser Überprüfung sind, müssen zum Zeitpunkt der Antragstellung offengelegt werden und werden durch technisch zuordenbare, über das Internet zugängliche Anwendungen ergänzt. Der WebRisk-Score wird als Indikator bei der Validierung der B- und A-Bewertungen berücksichtigt und separat angezeigt.
Wenn Sie den WebRisk-Indikator auswählen, öffnet sich ein Fenster mit einem detaillierten Einblick in den WebRisk-Score. Sie können die Entwicklung des Risikos über die letzten 12 Monate hinweg sehen.
In der rechten unteren Ecke können Sie die Schaltfläche "WebRisk-Bericht anzeigen" auswählen. Anschließend können Sie die Risikoeinschätzung zwischen 100 und 700 sehen.
Eine Bewertung von 700 deutet auf ein sehr hohes Cyberrisiko hin, während 100 ein minimales Risiko anzeigt.
Die folgenden Sicherheitsmängel werden untersucht: Malware, Defacement, Reputation und TLS-Probleme. Die genaue Domain, auf der das Problem auftritt, wird angezeigt. Das jeweilige Problem wird ebenfalls detailliert erläutert.
In den folgenden zwei Abschnitten betrachten wir jeweils ein Rating, das die Mindestanforderungen erfüllt, sowie ein weiteres, das die Mindestanforderungen nicht erfüllt.
Mindestanforderung - Erfüllt/Nicht erfüllt
Hier ist ein Beispiel für ein Rating, das die Mindestanforderungen erfüllt:
Hier ist ein Beispiel für ein Rating, welches die Mindestanforderungen nicht erfüllt:
Folgende Informationen sind zu erkennen (von links nach rechts betrachtet):
- Datenschutz-Relevanz des Lieferanten
- Name des Lieferanten
- WebRisk-Indikator
- Mindestanforderung erfüllt bzw. nicht erfüllt
- Rating-Ergebnis in Form eines Tachometers
- Gültigkeit des Ratings
- Bereich für Anmerkungen
- Symbol mit drei Punkten für weitere Optionen
Die spezifischen Punkte, die nicht erklärt wurden, werden im Anschluss näher erläutert.
Unter den 25 Anforderungen bzw. Fragen des Datenschutz-Ratings befinden sich 10 sogenannte Mindestanforderungen. Diese stellen das Mindestmaß an Datenschutz in einer Organisation dar. Wird auch nur eine dieser Mindestanforderungen nicht positiv beantwortet oder von der Validierung nicht akzeptiert, gelten sie als nicht erfüllt. Wenn diese Anforderungen erfüllt sind, sieht man – wie in dem ersten oberen Bild – ein grünes Häkchen. Zusätzlich wird bei einem Lieferanten, welcher die Mindestanforderungen erfüllt, ein farblich ausgefülltes Rating angezeigt. Sind die Anforderungen nicht erfüllt, erscheint ein rotes Häkchen und ein nicht ausgefülltes farbliches Rating.
Hier besteht ebenfalls die Möglichkeit, das Rating anzeigen zu lassen.
Rating-Ergebnis in Form eines Tachometers
Direkt neben dem Häkchen befindet sich das Rating-Ergebnis in Form eines Tachometers.
Durch Klicken auf den Tachometer können weitere Details zum Rating abgerufen werden.
In diesem Beispiel weist das Rating dieses Lieferanten einen Reifegrad von 187 auf. Darunter befindet sich eine Skala ähnlich dem WebRisk-Indikator, die eine farbliche Darstellung und das Punktespektrum des Rating-Scores zeigt (100 - sehr gut / 700 - sehr schlecht). Auf der rechten Seite des Tachometers befinden sich die Gültigkeit des Ratings, der WebRisk-Score, die erfüllten Mindestanforderungen und der Reifegrad des Ratings.
Nun zeigen wir Ihnen ein Beispiel für ein Rating, das die Mindestanforderungen nicht erfüllt hat:
In diesem Beispiel weist das Rating dieses Lieferanten einen Reifegrad von 168 auf. Anders als bei einem Rating, bei dem die Mindestanforderungen erfüllt sind, befindet sich hier unten keine Skala, sondern eine Beschreibung, warum das Rating nicht vollständig dargestellt wird. Auf der rechten Seite des Tachometers befinden sich die Gültigkeit des Ratings, der WebRisk-Score, die nicht erfüllten Mindestanforderungen und der Reifegrad des Ratings.
In der unteren rechten Ecke besteht die Möglichkeit, sowohl auf die vergangenen Ratings dieses Lieferanten zuzugreifen als auch den zeitlichen Ablauf des Ratings einzusehen.
Bereich für Anmerkungen
Rechts neben dem Tachometer befindet sich die Gültigkeitsdauer des Ratings.
Direkt danach befindet sich ein Sprechblasen-Symbol, über das Anmerkungen zu dem jeweiligen Lieferanten hinzugefügt werden können.
Weitere Optionen
Direkt neben dem Sprechblasen-Symbol befinden sich drei Punkte.
Beim Öffnen erscheinen folgende Optionen:
- Vergangene Ratings: Hier werden die vergangenen Ratings des Lieferanten angezeigt.
- Rating-Ergebnis: Hier haben Sie die Möglichkeit, das Rating-Ergebnis als PDF-Datei (mit Signatur) herunterzuladen.
- Lieferantenüberwachung aktivieren: Normalerweise ist diese Funktion deaktiviert. Wenn Sie die Lieferantenüberwachung aktivieren, wird das bestehende Rating automatisch erneuert, bevor es abläuft. Die Kosten für die Erneuerung werden von Ihrem Bestellungskontingent abgezogen.
- Details anfragen: Hier werden Sie an die Hauptansprechperson des Lieferanten weitergeleitet. Sollten Unklarheiten bezüglich des Rating-Ergebnisses bestehen, können Sie hier auf die Antworten des Verantwortlichen des Lieferanten eingehen, um Klarheit zu schaffen.
English version:
Table of Contents
- Request Rating
- No existing Rating
- WebRisk Indicator
- Minimum Requirement - Fulfilled/Not Fulfilled
Request Rating
To request a rating from your suppliers, click on "ORDER RATINGS".
Step 1 - Select Suppliers
In this step, you can select all suppliers for whom you want to receive a rating.
Step 2 - Complete Order
Next, you can place the order. The corresponding quota will be deducted from your account after the order is completed.
No existing Rating
After you have provided us with the list of your suppliers, your page will appear empty and without ratings. It is possible that a supplier who is already listed has completed a valid rating and has released it for publication. In this case, the supplier will be displayed without the need for a new rating request.
This will look as follows:
On the far left, you now have the option to click on the greyed-out field to determine whether this supplier is relevant to you for data protection or not.
Depending on the situation, the supplier will be displayed differently:
- No completed rating: If you select "Yes" or "No" here, the supplier will simply be moved under those suppliers who already have a rating.
- Completed rating: If you select "No" here, the supplier will simply be moved down. If you select "Yes," the supplier will be displayed accordingly in red (not passed) or green (passed) depending on whether the rating has met the minimum requirements or not.
By clicking the "Request Rating" button, you can request a rating for this supplier.
WebRisk Indicator
The three-digit number next to the supplier's name is the WebRisk Indicator. Once your suppliers are listed in the CyberRisk Portal, the WebRisk Indicator (C-Score) is available for each of them. This indicator serves as an initial assessment of cyber risks and automatically evaluates publicly accessible IT information.
The WebRisk Indicator is a fully automated external security check that non-invasively examines an organization's internet-accessible applications and draws conclusions about the underlying technical and organizational cybersecurity based on this examination.
The domains and IP address ranges of the organization that are part of this assessment must be disclosed at the time of application and are supplemented by technically identifiable, internet-accessible applications. The WebRisk Score is considered as an indicator in the validation of B and A ratings and is displayed separately.
When selecting the WebRisk Indicator, a window opens with a detailed insight into the WebRisk Score. You can see the risk's development over the past 12 months.
In the bottom right corner, you can select the "DISPLAY WEBRISK REPORT" button. Subsequently, you can view the risk assessment ranging from 100 to 700.
A rating of 700 indicates a very high cyber risk, while 100 indicates minimal risk.
The following security vulnerabilities are examined: Malware, Defacement, Reputation, and TLS issues. The exact domain where the problem occurs is displayed. Additionally, each specific problem is detailed.
In the following two sections, we consider a rating that meets the minimum requirements and another that does not meet the minimum requirements.
Minimum Requirement - Fulfilled/Not Fulfilled
Here is an example of a rating that meets the minimum requirements:
Here is an example of a rating that does not meet the minimum requirements:
The following information can be identified (viewed from left to right):
- Data protection relevance of the supplier
- Name of the supplier
- WebRisk Indicator
- Minimum requirement fulfilled or not fulfilled
- Rating result in the form of a gauge
- Validity of the rating
- Area for notes
- Symbol with three dots for more options
The specific points that were not explained will be detailed subsequently.
Among the 25 requirements or questions of the data protection rating, there are 10 so-called minimum requirements. These represent the minimum level of data protection in an organization. If even one of these minimum requirements is not positively answered or accepted by the validation, they are considered not met. If these requirements are met, you will see - as in the first example - a green checkmark. Additionally, a supplier who meets the minimum requirements will be displayed with a filled color rating. If the requirements are not met, a red checkmark and an unfilled color rating will appear.
Here you also have the option to display the rating.
Rating result in form of a gauge
Directly next to the checkmark is the rating result in the form of a gauge.
By clicking on the gauge, you can access further details about the rating.
In this example, the rating of this supplier shows a maturity level of 187. Below it is a scale similar to the WebRisk Indicator, showing a color representation and the point spectrum of the rating score (100 - very good / 700 - very bad). On the right side of the gauge are the validity of the rating, the WebRisk Score, the met minimum requirements, and the maturity level of the rating.
Now we'll show you an example of a rating that has not met the minimum requirements:
In this example, the rating of this supplier shows a maturity level of 168. Unlike a rating where the minimum requirements are met, there is no scale below here but rather a description of why the rating is not fully displayed. On the right side of the gauge are the validity of the rating, the WebRisk Score, the unmet minimum requirements, and the maturity level of the rating.
In the lower right corner, you have the option to access both the past ratings of this supplier and the timeline of the rating.
Area for notes
To the right of the gauge is the validity period of the rating.
Directly after that is a speech bubble icon, where you can add notes about the respective supplier.
More Options
Directly next to the speech bubble icon are three dots.
When opened, the following options appear:
- Past Ratings: Here, the past ratings of the supplier are displayed.
- Rating Result: Here you have the option to download the rating result as a PDF file (with signature).
- Activate Supplier Monitoring: Normally, this function is disabled. If you activate supplier monitoring, the existing rating will be automatically renewed before it expires. The cost for the renewal will be deducted from your order quota.
- Request Details: Here you will be directed to the main contact person of the supplier. If there are any ambiguities regarding the rating result, you can address the responses of the supplier's responsible person to clarify.
