Ein ISMS in einem Unternehmen zu integrieren, bedeutet für viele Unternehmen eine große Herausforderung. Was beinhaltet diese Pflicht? Es sind technische und organisatorische Maßnahmen zu treffen, um eine sichere Datenverarbeitung gemäß Artikel 32 (1)
dauerhaft sicherzustellen. Eine diesbezügliche Nachweis-, Überwachungs- und Aktualisierungspflicht fordert der Artikel 24 (1). Dabei muss das Risiko der jeweiligen Datenverarbeitung angemessen berücksichtigt werden. Nur ein „Informations-Sicherheit-Managementsystem“ (ISMS) kann all dies gewährleisten. So weit, so gut!
Wie wird denn die IT-Sicherheit in ihrem Haus betrieben?
In vielen Unternehmen ist dar Normalzustand, dass ein gewisses Maß an IT-Sicherheit angestrebt wird. Doch ist die IT-Sicherheit vielleicht kein zentrales Ziel der Geschäftsleitung. Die Maßnahmen sind aber häufig eher punktuell als systematisch. Die Kernpunkte werden eher subjektiv vergeben. Und die Überwachung dieser Maßnahmen findet unregelmäßig (wenn überhaupt) statt. Würde die IT-Sicherheit von einem externen Auditor geprüft, so fällt das Unternehmen sofort durch, weil es noch nicht einmal die geforderten Dokumente und Nachweise liefern könnte (geschweige denn die strengen Kriterien einzuhalten).
Was ist die Gefahr?
Die Hacker-Angriffe nehmen beständig zu, und sie werden auch immer professioneller. Auch Phishing-Attacken, Ransomware und Illegales Cryptomining werden für die IT-Infrastruktur zunehmend zur Bedrohung.
Hinzu kommt, dass Computer-Schwachstellen von Geheimdiensten gekauft werden… die dann früher oder später auf den „Markt“ kommen und weltweit hunderttausende Computer schädigen.
Was verlangt die Datenschutzgrundverordnung (DSGVO)?
Hinsichtlich der „Sicherheit der Verarbeitung“ stellt der Artikel 30 (1) umfangreiche Forderungen auf. Jegliche Verstöße können gemäß Artikel 83 (4a) mit Geldbußen bis zu 10 Mio. € geahndet werden.
Folgende Aspekte sind wichtig:
- Das Schutzniveau muss dem Risiko angemessen sein. Diese Forderung setzt voraus, dass dem Verantwortlichen das jeweilige Risikopotential der jeweiligen Datenverarbeitung überhaupt einmal genau bekannt ist. Doch wie ermittelt man das Risikopotential? Einen Anhaltspunkt findet sich in der Liste der „Rechte und Freiheiten“ HIER.
- Besondere Beachtung von Pseudonymisierung und Verschlüsselung. Auf diese beiden Maßnahmen weist die DS-GVO explizit hin. Bei jeder einzelnen Datenverarbeitung muss man also prüfen, inwieweit man diese Maßnahmen anwenden kann.
- Vertraulichkeit, Integrität und Verfügbarkeit sicherstellen. Dies sind die „klassischen“ Schutzziele der IT-Sicherheit. Jeder IT-Mitarbeiter sollte diese Begriffe kennen und kennt die dazugehörigen technisch-organisatorischen Maßnahmen.
- Belastbarkeit der Systeme sicherstellen. Das ist ein neues Schutzziel. Die Belastbarkeit steht in den allermeisten Fällen nicht unbedingt im Fokus der IT-Sicherheit. Doch angesichts der ständig zunehmenden Distributed-Denial-Of-Service-Attacken (DDoS) wird dies immer wichtiger. Dies bedeutet im Klartext: Die betroffenen Personen haben ein RECHT darauf, dass die von ihnen genutzten Systeme so belastbar sind, dass sie auch „normalen“ Attacken standhalten.
- Dauerhafte Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit etc. Dieses Wort „dauerhaft“ hat es in sich. Der Verantwortliche kann sich nicht auf einmal getroffenen Maßnahmen ausruhen. Vielmehr muss er dauerhaft, wiederkehrend und beständig an diesen Maßnahmen arbeiten.
- Rasche Wiederherstellung nach einem Zwischenfall. Auch diese Forderung ist neu. Nach einem Hackerangriff oder einem Blitzeinschlag oder einem groben Bedienungsfehler muss der Verantwortliche schnell reagieren. Das gelingt wohl nur mit einem Notfall-Konzept, welches zuvor erarbeitet wurde.
- Regelmäßige Überprüfung, Bewertung und Evaluierung. Die Wirksamkeit der technisch-organisatorischen Maßnahmen muss regelmäßig geprüft und bewertet werden. Es bedarf also Checklisten, die z.B. monatlich abgearbeitet werden, um die Maßnahmen zu prüfen. Zuvor muss die IT-Abteilung überhaupt einmal festlegen, wie man die Wirksamkeit von Maßnahmen überhaupt feststellen kann. Alles läuft auf einen „Plan-DoCheck-Act“-Zyklus hinaus.
Es gibt zwei Passagen in der DS-GVO, die klar machen, dass die IT-Sicherheit keine einmalige Anstrengung ist: Der Artikel 32 (1d) verlangt ein „Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technisch-organisatorischen Maßnahmen und zur Gewährleistung der Sicherheit der Verarbeitung“. Und der Artikel 24 (1) fordert einen Nachweis, Überprüfungen und Aktualisierungen. Genau dies sind die Gründe für ein IT-Sicherheits-Managementsystem.
FAZIT:
Die oben genannten Aspekte laufen zu 100% auf ein ISMS hinaus. Somit wäre eine ausreichende IT-Sicherheit nicht mehr „Glückssache“, sondern vielmehr das „zwangsläufige Ergebnis“ von sorgfältiger Planung und systematischer Kontrolle.
Es gibt ein großes Spektrum an Systemen:
ISA+ - Informations-Sicherheits-Analyse
Nur mit einem wirksamen ISMS kann der Verantwortliche seine IT-Sicherheit nachweisen. Und nur durch einen solchen Nachweis kann er gemäß Artikel 83 (2d) eine Geldbuße vermeiden oder abmildern.
--------------------------------------------------------------
„Copyright: Bitte beachten Sie das Urheberrecht dieses Blog-Beitrags. Sie sind nicht befugt den Wortlaut für eigene Publikationen zu nutzen. Das Urheberrecht der Original- Inhalte liegt bei DSB-MIT-SYSTEM®, im Rahmen des Datenschutz-Praxisleitfadens PrivazyPlan®.“