Arbeitshilfe

Artikel 32 DSGVO — Sicherheit der Verarbeitung

von Sascha Kuhrau
9. Februar 202310. Februar 2023

Es dürfte sich rumgesprochen haben: Personenbezogene Daten sind zu schützen. Das es dabei nur sekundär um die personenbezogenen Daten an sich geht, sondern primär die Person vor Schaden bewahrt werden soll, auf die sich diese Daten beziehen (der sog. “Betroffene”), wird den meisten Anwendern der DSGVO ebenfalls klar sein. Doch was will der Gesetzgeber hier eigentlich von den sog. “Verantwortlichen”, also all den Unternehmen, Vereinen, Bundes- und Landesbehörden sowie Kommunalverwaltungen? Werfen wir mal einen Blick auf Artikel 32 DSGVO.

So steht es in Artikel 32 DSGVO

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein: a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten; b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.
Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.
Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

Was will Artikel 32 DSGVO in der Praxis?

Dreh- und Angelpunkt sind die technischen und organisatorischen Maßnahmen, auch kurz TOM genannt. Mittels einer geeigneten Auswahl und Anwendung dieser Schutzmaßnahmen (quasi eine Art Werkzeugkasten) sollen personenbezogene Daten vor den alltäglichen Risiken bei deren Verarbeitung (also Erhebung, Speicherung, Nutzung, aber auch beabsichtigter Löschung und Vernichtung) geschützt werden. Dabei soll nicht alles an Schutzmaßnahmen ergriffen werden, was irgendwie geht, sondern der Gesetzgeber spricht von einer Angemessenheit. Die Schutzmaßnahmen müssen also zum Schutzwert der betroffenen personenbezogenen Daten passen. Dabei sollen dann auch Faktoren wie die Eintrittswahrscheinlichkeit und das zu erwartende Schadensausmaß für den Betroffenen — ganz wichtig: nicht für die eigene Organisation — berücksichtigt werden.

Interessanterweise erfindet “der Datenschutz” hier das Rad mal nicht neu. Wir finden Punkte wie

Vertraulichkeit,
Integrität und
Verfügbarkeit,
die Sicherstellung der Wiederherstellbarkeit von Daten z.B. im Rahmen von Business Continuity Management und Notfallmanagement, aber auch
Revisionszyklen (PDCA) zur Überprüfung der Wirksamkeit vorhandener Schutzmaßnahmen sowie zur
Identifikation von möglicherweise zusätzlichen oder anzupassenden Schutzmaßnahmen aufgrund neuer Risiken oder Veränderungen an bestehenden Risiken.

Und ganz egal, ob man das hören mag oder nicht: Am Ende beschreiben diese Punkte und Begrifflichkeiten ein klassisches Informationssicherheitsmanagementsystem, kurz ISMS. Wer sich mit dem Thema Informationssicherheit schon näher befasst hat, wird feststellen: Personenbezogene Daten sind eine Untermenge der schützenswerten Informationen einer Organisation. Na, schau mal einer an.

Schreibt Artikel 32 DSGVO nun ein ISMS vor?

Die Begriffe Informationssicherheit oder ISMS fallen zwar nicht wörtlich, aber gerade die in Artikel 32 Absatz 1 DSGVO genannten Punkte, beschreiben dem Sinn nach nichts anderes als ein Informationssicherheitskonzept bzw. ISMS. Das bedeutet nun nicht, dass man ein solches ISMS zur Einhaltung von Art. 32 DSGVO einführen muss, um rechtskonform unterwegs zu sein. Aber es wird halt mühselig. Gut, es gibt immer Menschen und Organisationen, die mögen es umständlich 🙂

Was liegt also näher, als sich diesen Anforderungen systematisch zu nähern, statt einfach wild ein paar möglicherweise geeignete Schutzmaßnahmen zusammenzuschustern? Und sobald man ein Informationssicherheitskonzept eingeführt hat, geht es ja nicht nur den personenbezogenen Daten gut. Auch alle anderen “Kronjuwelen” einer Organisation fühlen sich behütet und beschützt. Also gleich mehrere Fliegen mit einer Klappe erschlagen. Grüße vom tapferen Schneiderlein.

Dabei sollte man jedoch im Hinterkopf behalten, dass Informationssicherheit sich im Rahmen der sog. Risikoanalyse vorrangig mit den Auswirkungen auf die Organisation befasst. Die Fragestellung lautet zu Beginn: Was für Auswirkungen haben die Verletzung der Vertraulichkeit, Integrität oder Verfügbarkeit von schützenswerten Informationen (und damit sind personenbezogene Daten eingeschlosen) für meine Organisation im Hinblick auf

mögliche Vertragsverletzungen und Rechtsverstöße,
finanzielle Schäden wie Vertragsstrafen, Bußgelder oder auch Schadenersatz,
negative Auswirkungen auf Reputation / Image,
mögliche Beeinträchtigung der Aufgabenerfüllung,
mögliche Beeinträchtigungen der informationellen Selbstbestimmung (Datenschutz) und
bei einem Sidekick in Richtung Notfallmanagement auch Gefahr für Leib und Leben.

Die Risiken im Bereich Datenschutz werden zwar schon grob erfasst, aber im Hinblick auf die Auswirkungen für die Organisation. Der Trick besteht darin, mögliche Risiken für den Betroffenen wie Identitätsdiebstahl oder Verlust seiner Betroffenenrechte und noch weiterer Punkte zu inkludieren. Kein Hexenwerk. Und vor allem muss man das Rad nicht neu erfinden.

Welche Systematik für ein Informationssicherheitskonzept darf es denn sein?

Das Schöne ist, es gibt auf dem Markt seit Jahrzehnten bewährte und kontinuierlich weiterentwickelte Standards für Informationssicherheit. Und selbst wenn diese die Auswirkungen im Datenschutz für den Betroffenen nicht bereits inkludiert haben, sind diese in der Risikobetrachtung mit wenigen Handgriffen integriert und berücksichtigt. “That’s no rocket science!”

Sicher kennen viele Leser eine ISO 27001 als weltweite Norm für Informationssicherheit oder auch den IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (kurz BSI). Es hält sich das Gerücht hartnäckig, diese seien für kleine und kleinste Organisationen viel zu groß und aufwändig. Die Praxis zeigt, dem ist nicht so. Aber selbst, wenn man dieser Argumentation folgt, so gibt es Alternativen wie (Reihenfolge nicht wertend)

ISIS12 / CISIS12 — ein Informationssicherheitskonzept in 12 Schritten
SiKoSH — in 7 Schritten zu einem ISMS
VDS 10000 — ehemals 3473, ursprünglich ein Fragebogen für Risiken im Bereich Cybersicherheit
TISAX — im Kontext von Automobilzulieferern weit verbreitet oder
das unter dem Titel “Arbeitshilfe” bekannte Konzept zu Einführung und Betrieb eines ISMS der Innovationsstiftung Bayrische Kommune.

Darüberhinaus gibt es auch noch weitere Systematiken und Vorgehensweisen, aber wir beschränken uns mal auf die oben genannten Vertreter. Unsere Empfehlung lautet stets: Nutzen Sie eine der vorhandenen Vorgehensweisen und erfinden Sie das Rad bitte nicht neu. Warum? Diese Vorgehensweisen / Vertreter für ein ISMS

haben sich über lange Zeit in der Praxis bewährt,
sind für jede Art von Organisation anwendbar, da — welch’ Überraschung — Informationssicherheit universell ist,
decken allesamt stets die Mindestanforderungen an Informationssicherheit ab,
sind skalierbar im Hinblick auf Organisationsgrößen aber auch auf das zu erreichende Sicherheitsniveau,
sparen Ihnen Zeit und Nerven,
helfen, gern gemachte Fehler bei Einführung und Betrieb eines ISMS von vornherein zu vermeiden (RTFM).

Die “Arbeitshilfe” — der ideale Einstieg in Artikel 32 DSGVO für kleine und große Einrichtungen

Wessen Organisation noch so gar keine Erfahrung hat mit dem Thema Informationssicherheit oder die ISO 27001 und dem IT-Grundschutz für zu wuchtig hält, steigt idealerweise über die “Arbeitshilfe” in das Thema ein. Damit können größere Organisationen erste Erfahrungen sammeln, bevor es danach mit “größeren” Standards ans Eingemachte geht. Und bei kleineren Einrichtungen kommt man bei konsequenter Anwendung des Standards “Arbeitshilfe” bereits zu einem funktionierenden ISMS mit dazugehörigen PDCA-Zyklus.

Dieser Standard wurde 2016 im Auftrag der Bayrischen Kommunalen Spitzenverbände von uns für die Innovationsstiftung Bayrische Kommune entwickelt. Mittlerweile ist Version 4.0 aktuell. Ein Update auf Version 5.0 wird voraussichtlich in 2023 erscheinen. Ist der Standard dann überhaupt für Unternehmen und Vereine geeignet, wenn er doch aus dem kommunalen Bereich stammt? Ja klar. Wie zuvor schon geschrieben, ist Informationssicherheit eine universelle Angelegenheit, die vom anzustrebenden Schutzwert für schützenswerte Informationen ausgeht. Dabei ist es unerheblich, ob eine Firma oder eine Verwaltung Informationssicherheit betreibt. Der einzige Knackpunkt bei Nutzung der Arbeitshilfe: Gelegentlich muss man Begrifflichkeiten wie Bürgermeister, Landrat oder Verwaltung gegen die Pendants aus der freien Wirtschaft tauschen. Aber das bekommen Sie hin 🙂

In 9 Kapiteln führt die “Arbeitshilfe” eine Organisation in die notwendigen Anforderungen für ein ISMS ein und legt die Grundlagen für den späteren Betrieb im Hinblick auf “ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.” Gleichzeitig unterstützt die Systematik bei der Entdeckung möglicher Schwachstellen und zeigt Lösungswege auf, diese zeitnah zu beseitigen.

Die Systematik, Anleitung und Dokumente zur Bearbeitung der “Arbeitshilfe” stehen kostenfrei zum Download zur Verfügung. Im ersten Durchlauf werden auch keine Investitionen in eine ISMS-Software notwendig. Im laufenden Betrieb empfiehlt sich diese dann später jedoch, um die Dokumentation und regelmäßige Nachprüfung, aber auch das Berichtswesen zu erleichtern. Bei Interesse an einer solchen Lösung sprechen Sie uns bitte an.

Kleines Schmankerl: Je nach Bundesland können Fördermittel aus diversen Töpfen zur Erhöhung der Informationssicherheit oder IT-Sicherheit oder Digitalisierung angezapft werden. Wenn Sie sich also zur Unterstützung und Begleitung der Einführung oder auch für Mitarbeiterschulungen externe Hilfe heranholen, können die Ausgaben hierfür gefördert werden.

Weitere Infos zur Arbeitshilfe finden Sie hier auf unserem Blog.

Wenn man ein solches ISMS dann auch noch mit einem funktionierenden Datenschutzmanagementsystem (DSMS) verknüpft, dann hat man einige Sorgen weniger bzw. sich unnötige Umstände und Mühen aufgrund unsystematischer Vorgehensweisen erfasst. Gleichzeitig hat man, den aktiven Betrieb beider Systeme vorausgesetzt, auch nicht bange zu sein, sollte die Landesdatenschutzbehörde mal klingeln. Und das ist viel wert. Das wissen zumindest die Organisationen, bei denen das schon der Fall war 😉

Fördermittel zur Arbeitshilfe für bayerische Kommunen

von Sascha Kuhrau
8. April 2022
1 Kommentar

Im Zuge der Neufassung der ISMS-Fördermittelrichtlinie (ISMR) vom 7. März 2022, Az. E5-1681–7‑10 können bayerische Kommunen nun endlich auch für die Einführung eines Informationssicherheitskonzepts auf Basis der sog. Arbeitshilfe der Innovationsstiftung Bayerische Kommune Fördermittel erhalten.

Voraussetzungen für Fördermittel zur Arbeitshilfe Informationssicherheit

Maximal bis zu 150 Arbeitsplätzen
Bisher noch kein Siegel “Kommunale IT-Sicherheit” des LSI
Das Projekt darf noch nicht vertraglich fixiert sein

Was wird konkret gefördert?

Die Beratung und Begleitung bei der Implementierung durch fachkundige IT-Dienstleister.
Schulungen für Mitarbeiter durch zertifizierte Anbieter.

Wie hoch sind die Fördermittel zur Arbeitshilfe Informationssicherheit?

Bis zu 50 % der zuwendungsfähigen Ausgaben für die Umsetzung der Arbeitshilfe zur Erstellung von Informationssicherheitskonzepten der Innovationsstiftung Bayerische Kommune, höchstens 5 000 Euro.

Wie beantrage ich als bayerische Kommune die Fördermittel zur Arbeitshilfe Informationssicherheit?

Anträge auf Gewährung einer Förderung sind schriftlich oder elektronisch an die Regierung von Oberfranken als Bewilligungsstelle zu richten. Das Antragsformular und alle weiteren Informationen sind zu finden unter https://www.regierung.oberfranken.bayern.de/aufgaben/192169/192172/leistung/leistung_35004/index.html

Weitere Informationen und Links zum Informationssicherheitskonzept Arbeitshilfe

Fördermittelrichtlinie vom 07.03.2022
Version 4 der Arbeitshilfe (Download bei der Innovationsstiftung Bayerische Kommune)
Siegel “Kommunale IT-Sicherheit” des Landesamts für Sicherheit in der Informationstechnik (LSI) Bayern

Moderne Plattform zu Einführung und Betrieb eines Informationssicherheitskonzepts (Basis Arbeitshilfe) für kleine Organisationen gestartet

von Sascha Kuhrau
18. September 202119. September 2021
1 Kommentar

Software-Unterstützung für die Arbeitshilfe

Endlich nun auch für einen der kleinen Standards für Informationssicherheit verfügbar: Software-Unterstützung für die Arbeitshilfe 4.0

Doch der Reihe nach.

Wieso ein Informationssicherheitskonzept?

Viele Organisationen stehen vor der Herausforderung, entweder aufgrund gesetzlicher Vorschriften ein Informationssicherheitskonzept zu benötigen, damit den Nachweis zur Wirksamkeit der eigenen technischen und organisatorischen Maßnahmen im Sinne der Belegpflicht der DSGVO erbringen zu wollen, weil es der eine oder andere Auftraggeber für die Teilnahme an Ausschreibungen fordert oder schlicht, weil sie festgestellt haben, dass nur ein gesamtheitlicher Ansatz schützenswerte Informationen und personenbezogene Daten in der eigenen Organisation absichern kann. Gründe gibt es also viele, sich um die Einführung und den Betrieb eines Informationssicherheitskonzepts zu kümmern.

Welchen Standard zur Informationssicherheit wählen?

Informationssicherheitsmanagementsysteme (kurz ISMS) nach den Standards wie die ISO 27001 oder der BSI IT-Grundschutz sind bewährte Umsetzungsmöglichkeiten. Sagt man der ISO 27001 ein etwas erhöhtes Maß an Abstraktheit nach, leidet der IT-Grundschutz durchaus an seiner Ausführlichkeit (zumindest in 100‑x Standards). Hinzu kommt, dass der Aufwand an Zeit und Kosten gerade für kleine und mittlere Unternehmen (KMU) und Kommunen weit über die gegebenen Möglichkeiten hinausgeht.

Einen Teil dieser Lücke nach unten hat vor einigen Jahren der Standard Informationssicherheit in 12 Schritten (kurz ISIS12) schließen können. Dieser kommt seither in vielen deutschen Unternehmen und Kommunen zum Einsatz, teilweise inklusive der möglichen Zertifizierung durch die DQS GmbH (Und hier reden wir von einer vollwertigen, unabhängigen Zertifizierung, nicht von den durch die beratende Gesellschaft als Zertifikat angepriesenen Testate.) ISIS12 leitet sich aus dem IT-Grundschutz ab und wird derzeit in Richtung der Vorgehensweise der ISO 27001 weiterentwickelt.

Für die drei bisher genannten Standards stehen bewährte Softwarelösungen zur Verfügung. Generell sind diese Standards auch nach unten skalierbar, stellen dennoch gerade kleinere Einrichtungen nach wie vor vor ein Zeit- und Kostenproblem. Diese immer noch bestehende Lücke für kleinere und kleinste Einrichtungen lässt sich mit zwei weiteren Standards in angemessenem Kosten- und Aufwandsrahmen schließen. Die Rede ist vom Standard VdS 10000 (früher 3473) sowie der unter dem Projektnamen “Arbeitshilfe” bekannt gewordenen Systematik der Innovationsstiftung Bayerische Kommune aus München.

Gerade kleine und kleinste Organisationen finden hier einen Werkzeugkasten, um sich dem Thema systematisch zu nähern, vorhandene technische und organisatorische Schwachstellen zu identifizieren und danach kontinuierlich abzustellen und ein Sicherheitskonzept zu betreiben. Die Möglichkeit besteht jederzeit, in die höheren Systematiken upzugraden.

Die “Arbeitshilfe” wurde im Auftrag der Bayerischen Kommunalen Spitzenverbände durch a.s.k. Datenschutz für die Innovationsstiftung Bayerische Kommune entwickelt und ist mittlerweile in Version 4.0 erschienen. Trotz dieses Ursprungs richtet sich die Arbeitshilfe nicht ausschließlich an kommunale Einrichtungen. Informationssicherheit ist universell. Von daher sind lediglich einige Begrifflichkeiten für den Einsatz in Unternehmen anzupassen (Geschäftsführer statt Bürgermeister), das war es schon. Und jetzt mit auch Software-Unterstützung für die Arbeitshilfe.

Informationssicherheitskonzepte besser mit Software-Unterstützung

Selbstverständlich lassen sich Informationssicherheitskonzepte auch mit Papier und Stift oder etwas moderner mittels Word-Formularen und Excel-Tabellen abbilden. Bei der Einführung mag das auch noch ausreichend sein. Doch im späteren Betrieb des Informationssicherheitskonzepts wird es schnell a) unüberschaubar und b) nicht mehr handhabbar, z.B. um Wiedervorlagefristen einzuhalten. Auch in Bezug auf das jederzeitige Reporting / Berichtswesen ist eine geeignete Softwareunterstützung unschlagbar.

Die drei großen Standards ISO 27001, BSI IT-Grundschutz und ISIS12 können aus einem großen Angebot geeigneter Softwarelösungen wählen. Bei den kleineren Standards wird die Luft sehr schnell dünn bis hin zu fehlender Software-Unterstützung.

Software-Unterstützung für die Arbeitshilfe von a.s.k. Datenschutz

Gerade für kleine Organisationen sind leicht verständliche und bedienbare Software-Lösungen ein Muß. Zeit für langwierige Software-Schulungen und Einarbeitungen ist im Zweifel Mangelware. Oftmals werden kleine Einrichtungen bei der Einführung von externen Dienstleistern unterstützt, nutzen möglicherweise auch die Möglichkeit eines externen Informationssicherheitsbeauftragten (sofern sinnvoll umsetzbar).

Hier setzt die Software-Lösung für unsere (potentiellen) Kunden konkret an:

Verschlüsselung bei Übertragung und Speicherung
Mehrfaktor-Authentifizierung
Browserbasiert, Apps für Desktop und mobile Geräte
Bearbeitung und gleichzeitig fortlaufende Dokumentation aller Prüffragen der Arbeitshilfe und deren Umsetzung
Erstellen von notwendigen Unteraufgaben
Zuweisen von Aufgaben und Unteraufgaben an zuständige Personen in der Organisation
Diskussionsmöglichkeit zwischen den Beteiligten direkt in einem Prüfpunkt und damit nachvollziehbare Dokumentation der Entscheidungsfindung und des Umsetzungsstatus sowie dessen Weiterentwicklung
Email-Benachrichtungen über Änderungen und Aufgabenzuweisungen (Hinweise, keine Übermittlung der konkreten Inhalte, die sollen ja verschlüsselt auf der Plattform bleiben 🙂 )
Termin-Erinnerungen
Dokumentenversionierung
Jederzeit um weitere Aufgaben zu ergänzen (z.B. weitere identifizierte Schwachstellen außerhalb der Fragen der Arbeitshilfe, Dokumentation der Bearbeitung von Datenpannen etc.)
Ausführliches Berichtswesen nach Kapiteln, über das gesamte Informationssicherheitskonzept oder nach Zuständigkeiten
Übersichten über erledigte / offene Aufgaben bzw. beseitigte / noch vorhandene Schwachstellen
Diskussionsplattform zur Klärung von offenen Fragen
Betrieb in deutschen Rechenzentren (Ehrensache)
uvm.

Interesse geweckt an der Arbeitshilfe oder der Software-Lösung? Oder Fragen zum Thema Informationssicherheitskonzept oder Informationssicherheitsbeauftragte? Sprechen Sie uns an.

Informationssicherheitskonzept Arbeitshilfe V 3.0 erschienen — jetzt mit LSI Siegel

von Sascha Kuhrau
7. Oktober 2019

Wer benötigt ein Informationssicherheitskonzept?

Jede Organisation ist gefordert, die Anforderungen aus Art. 32 DSGVO zu erfüllen. Da steht in Absatz 1:

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Unter b) sind die Grundwerte der Informationssicherheit Vertraulichkeit, Verfügbarkeit und Integrität genannt. Betrachten wir die Kurzdefinitionen aus der Informationssicherheit hierzu.

Vertraulichkeit: Keine unberechtigte Kenntnisnahme (bis hin zum Mißbrauch) der Informationen, weder durch Mitarbeiter noch durch Externe.

Integrität: Die Informationen sind korrekt, vollständig und unverfälscht. Änderungen sind nachvollziehbar und rückgängig zu machen.

Verfügbarkeit: Die Informationen stehen zur richtigen Zeit am richtigen Ort zur Verfügung (nicht beschränkt auf IT-Verfügbarkeit). [Verfügbarkeit ist in der Tat erst an dritter Stelle, auch wenn in der Praxis um das Thema Ausfallzeiten gerne der Tanz um das goldene Kalb stattfindet.]

Diese Grundwerte der Informationssicherheit sicherzustellen, ist das Ziel eines jeden Informationssicherheitskonzepts, auch des Standards der sog. “Arbeitshilfe”.

Unterpunkt d) verlangt von Ihrer Organisation, die Wirksamkeit der im Hinblick auf Vertraulichkeit, Integrität und Verfügbarkeit ergriffenen technischen und organisatorischen Maßnahmen regelmäßig zu prüfen und bei Bedarf nachzujustieren oder geeignete zusätzliche bzw. ergänzende Schutzmaßnahmen einzuführen. Auch dies ist eine der Kernfunktionen eines funktionierenden Informationssicherheitskonzepts.

Salopp gesagt, verlangt die DSGVO von Organisationen in diesem Fall nicht weniger als die Einführung eines Informationssicherheitskonzepts und dessen kontinuierlichen Betrieb. Klar kann man versuchen, sich auch selbst ein Konzept zu “basteln”, bleibt nur die Frage “Wieso sollte man das tun?”

Bayerische Kommunen sind per Gesetz (BayEGovG) sogar dazu verpflichtet, bis zum 01.01.2020 ein Informationssicherheitskonzept eingeführt und im laufenden Betrieb zu haben.

Bewährte Standards wie die ISO 27001, der BSI IT-Grundschutz, ISIS12 (als Ableitung aus dem IT-Grundschutz) sind seit vielen Jahren bewährte Standards, um ein Informationssicherheitskonzept einzuführen, zu betreiben und damit auch die Anforderungen aus Art. 32 DSGVO zu erfüllen. Diese Standards skalieren zwar auch für kleinere Organisationen, sind dennoch sehr ressourcenintensiv. Hier hat für den kommunalen Bereich die Innovationsstiftung Bayerische Kommune im Auftrag der Bayerischen Kommunalen Spitzenverbände angesetzt und gerade für kleinere kommunale Einrichtungen durch a.s.k. Datenschutz die “Arbeitshilfe zur Einführung eines Informationssicherheitskonzepts nach Art. 11 BayEGovG” entwickeln lassen. Dieser Standard basiert auf den Erkenntnissen und Vorgehensweisen aus zahlreichen IT-Grundschutz-Projekten sowie dem früheren “Quick Check Datenschutz + Datensicherheit”. Entgegen der Bezeichnung und ursprünglichen Ausrichtung auf den kommunalen Bereich ist die “Arbeitshilfe” universell einsetzbar und natürlich auch in Unternehmen einsetzbar. Hierzu sind lediglich Begrifflichkeiten anzupassen, statt Bürgermeister heißt es dann eben Geschäftsführer.

Standard für Informationssicherheit Arbeitshilfe Version 3.0 erschienen

Am 26. September 2019 ist die Arbeitshilfe mittlerweile in Version 3.0 erschienen. Die Weiterentwicklung und Anpassung oblag erneut uns von der a.s.k. Datenschutz. Neben Aktualisierungen z.B. bei Links zum gerade aufgefrischten BSI IT-Grundschutz stand neben der Fehlerkorrektur die Anpassung an das Siegel “Kommunale IT-Sicherheit” des Landesamts für Sicherheit in der Informationstechnik — kurz LSI — in Nürnberg im Vordergrund. Wenn Sie mehr über das LSI Siegel erfahren wollen, finden Sie Details hierzu in einem weiteren Blogbeitrag.

Kommunale Einrichtungen, die sich zur Einführung eines Informationssicherheitskonzepts auf Basis der Arbeitshilfe entscheiden, erfüllen mit der Umsetzung die Anforderungen des LSI zum Erhalt des Siegels “Kommunale IT-Sicherheit”. Das setzt natürlich eine ernsthafte und ehrliche Bearbeitung der 9 Kapitel der Arbeitshilfe zur Informationssicherheit in der Kommune voraus.

Hier geht es direkt zum Download der Arbeitshilfe V 3.0. Sollte der Link nicht mehr funktionieren, nutzen Sie bitte die Startseite der Innovationsstiftung und suchen die Veröffentlichung vom 28.09.2019.

Mit a.s.k. Datenschutz und der Arbeitshilfe zum Siegel “Kommunale IT-Sicherheit”

Wenn Sie sich bei der Einführung der Arbeitshilfe in Ihrer Verwaltung durch das Team von a.s.k. Datenschutz unterstützen lassen, dann übernehmen wir am Ende die Formalitäten der notwendigen Angaben und Auskünfte gegenüber des LSI. Einem Erhalt des Siegels sollte dann nichts mehr im Wege stehen.

Sollten wir Sie im Anschluß auch als externe Informationssicherheitsbeauftragte betreuen, kümmern wir uns mit Ihnen gemeinsam auch um die Verlängerung des Siegels nach Ablauf der 2 Jahre Gültigkeitsdauer. Dazu muss dem LSI der Weiterbetrieb Ihres Informationssicherheitskonzepts belegt bzw. nachgewiesen werden. Auch dies würden wir von a.s.k. Datenschutz übernehmen.

Übrigens nutzen wir zur Einführung und zum Betrieb Ihres Informationssicherheitskonzepts auf Basis der Arbeitshilfe eine hochmoderne und vollverschlüsselte Projektplattform. Damit wird die Bearbeitung der Punkte zwar kein Kinderspiel, aber die Dokumentation dazu erledigt sich fast von selbst. Gleichzeitig versäumen Sie und wir keine Revisionstermine und Wiedervorlagen. Mehr Infos in diesem Blogbeitrag. Unsere Plattform ist bereits für Version 3.0 der Arbeitshilfe aktualisiert und angepasst.

Unternehmen und die Arbeitshilfe als Informationssicherheitskonzept

Wie eingangs schon beschrieben, ist auch dies kein Problem. In der Wortwahl werden zwar kommunale Funktionen adressiert, aber die inhaltlichen Anforderungen an Informationssicherheit sind zwischen Unternehmen und Behörden identisch. Ersetzen Sie in Gedanken einfach Begriffe wie “Bürgermeister” mit “Geschäftsführer” und schon sind Sie in der Unternehmenswelt angekommen.

Das einzige Manko: Das LSI Siegel “Kommunale IT-Sicherheit” kann nur von kommunalen Einrichtungen erworben werden. Als Unternehmen sind Sie hier außen vor. Gerne unterstützen wir auch Ihr Unternehmen bei der Einführung eines Informationssicherheitskonzepts.

Angebot Informationssicherheitskonzept für Kommunen bzw. Behörden

Sie wünschen ein unverbindliches Angebot? Dann nutzen Sie einfach unser verschlüsseltes Anfrage-Formular. Wir melden uns zeitnah bei Ihnen.

Unverbindliches Angebot anfordern

Arbeitshilfe der Innovationsstiftung und Bayerisches Siegel “Kommunale IT-Sicherheit”

von Sascha Kuhrau
24. Juni 2019

Bayerisches Siegel “Kommunale IT-Sicherheit”

Das Bayerische Landesamt für Sicherheit in der Informationstechnik (kurz LSI) bietet seit Mai 2019 ein Prüfsiegel für den Umsetzungsstand der Informationssicherheit in bayerischen Kommunen an. Auf Basis einer Selbst-Auskunft kann die Kommune damit eine Mindestabsicherung in der Informationssicherheit nachweisen. Das Siegel ist unabhängig vom verwendeten ISMS-Standard. Das Siegel hat eine Gültigkeitsdauer von 2 Jahren. Eine Verlängerung kann beantragt werden. Dazu muss die Kommune jedoch die aktive Beschäftigung mit dem Thema Informationssicherheit und den Betrieb des Informationssicherheitskonzepts nachweisen. Wie bei “echten” Zertifizierungen kann ein erstmalig erteiltes Siegel also auch wieder entzogen werden.

Kann mit dem Informationssicherheitskonzept “Arbeitshilfe” der Innovationsstiftung Bayerische Kommune das Siegel erreicht werden?

Das Informationssicherheitskonzept “Arbeitshilfe” der Innovationsstiftung Bayerische Kommune (Autor: Sascha Kuhrau) ist selbstverständlich für den Erhalt des Siegels gerüstet. Jede Kommune, die ihr Informationssicherheitskonzept auf Basis der Arbeitshilfe eingeführt hat, kann bei entsprechend korrekter Umsetzung die Voraussetzungen für den Erhalt des LSI Siegels erfüllen.

Als Autor der Arbeitshilfe und Leiter zahlreicher kommunaler Informationssicherheitsprojekte sowie kommunaler externer Informationssicherheitsbeauftragter unterstützen wir von a.s.k. Datenschutz Sascha Kuhrau Sie gerne bei der Einführung und dem Betrieb eines kommunalen Informationssicherheitskonzepts und dem Erhalt des LSI Siegels.

Wo finde ich Informationen zum Bayerischen Siegel “Kommunale IT-Sicherheit”?

Das LSI stellt auf seiner Webseite ausführliche Informationen bereit (externer Link).

Was hat es mit der “Arbeitshilfe” auf sich und wo kann ich diese beziehen?

Die Arbeitshilfe ist eine aus dem IT-Grundschutz des BSI abgeleitete Systematik, um kleine kommunale Einrichtungen (aber auch kleine Firmen) bei der Einführung und dem Betrieb eines Informationssicherheitskonzepts zu unterstützen und zu begleiten. Sie wurde im Auftrag der Bayerischen Kommunalen Spitzenverbände für die Innovationsstiftung Bayerische Kommune durch die a.s.k. Datenschutz Beratung Sascha Kuhrau entwickelt. Die Arbeitshilfe steht interessierten Organisationen kostenfrei zur Verfügung. Weitere Informationen finden Sie auf der Webseite der Innovationsstiftung (externer Link).

Im Laufe des Jahres 2019 wird die Arbeitshilfe in einer Version 3.o erscheinen, in der konkrete Anpassungen für das LSI Siegel enthalten sind.

Bisher gab es lediglich für die “großen” ISMS wie ISO 27001, BSI IT-Grundschutz oder ISIS12 die Möglichkeit im Rahmen einer Zertifizierung einen Nachweis über eine korrekte Umsetzung des ISMS zu erhalten. Mittels des LSI Siegels kann nun auch die Arbeitshilfe mit einer solchen Art Nachweis aufwarten.

Ihr Unternehmen benötigt einen externen Datenschutzbeauftragten?

Kompetente Beratung, pragmatische Einführung eines DSMS und anschließende Betreuung als externer Datenschutzbeauftragter erhalten Sie selbstverständlich vom Team von a.s.k. Datenschutz. Fordern Sie Ihr unverbindliches Angebot über unser Formular an. Wir melden uns bei Ihnen zeitnah.

Arbeitshilfe

Arti­kel 32 DSGVO — Sicher­heit der Verarbeitung

So steht es in Arti­kel 32 DSGVO

Was will Arti­kel 32 DSGVO in der Praxis?

Schreibt Arti­kel 32 DSGVO nun ein ISMS vor?

Wel­che Sys­te­ma­tik für ein Infor­ma­ti­ons­si­cher­heits­kon­zept darf es denn sein?

Die “Arbeits­hil­fe” — der idea­le Ein­stieg in Arti­kel 32 DSGVO für klei­ne und gro­ße Einrichtungen

För­der­mit­tel zur Arbeits­hil­fe für baye­ri­sche Kommunen

Vor­aus­set­zun­gen für För­der­mit­tel zur Arbeits­hil­fe Informationssicherheit

Was wird kon­kret gefördert?

Wie hoch sind die För­der­mit­tel zur Arbeits­hil­fe Informationssicherheit?

Wie bean­tra­ge ich als baye­ri­sche Kom­mu­ne die För­der­mit­tel zur Arbeits­hil­fe Informationssicherheit?

Wei­te­re Infor­ma­tio­nen und Links zum Infor­ma­ti­ons­si­cher­heits­kon­zept Arbeitshilfe

Moder­ne Platt­form zu Ein­füh­rung und Betrieb eines Infor­ma­ti­ons­si­cher­heits­kon­zepts (Basis Arbeits­hil­fe) für klei­ne Orga­ni­sa­tio­nen gestartet

Soft­ware-Unter­stüt­zung für die Arbeitshilfe

Wie­so ein Informationssicherheitskonzept?

Wel­chen Stan­dard zur Infor­ma­ti­ons­si­cher­heit wählen?

Infor­ma­ti­ons­si­cher­heits­kon­zep­te bes­ser mit Software-Unterstützung

Infor­ma­ti­ons­si­cher­heits­kon­zept Arbeits­hil­fe V 3.0 erschie­nen — jetzt mit LSI Siegel

Wer benö­tigt ein Informationssicherheitskonzept?

Stan­dard für Infor­ma­ti­ons­si­cher­heit Arbeits­hil­fe Ver­si­on 3.0 erschienen

Mit a.s.k. Daten­schutz und der Arbeits­hil­fe zum Sie­gel “Kom­mu­na­le IT-Sicherheit”

Unter­neh­men und die Arbeits­hil­fe als Informationssicherheitskonzept

Ange­bot Infor­ma­ti­ons­si­cher­heits­kon­zept für Kom­mu­nen bzw. Behörden

Arbeits­hil­fe der Inno­va­ti­ons­stif­tung und Baye­ri­sches Sie­gel “Kom­mu­na­le IT-Sicherheit”

Baye­ri­sches Sie­gel “Kom­mu­na­le IT-Sicherheit”

Kann mit dem Infor­ma­ti­ons­si­cher­heits­kon­zept “Arbeits­hil­fe” der Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne das Sie­gel erreicht werden?

Wo fin­de ich Infor­ma­tio­nen zum Baye­ri­schen Sie­gel “Kom­mu­na­le IT-Sicherheit”?

Was hat es mit der “Arbeits­hil­fe” auf sich und wo kann ich die­se beziehen?

Ihr Unter­neh­men benö­tigt einen exter­nen Datenschutzbeauftragten?