Zum Inhalt springen

Arbeitshilfe

ISMS-För­der­mit­tel­pro­gramm für baye­ri­sche Kom­mu­nen endet 31.12.2023

Die aktu­el­le ISMS-För­der­mit­tel­richt­li­nie zur finan­zi­el­len Unter­süt­zung der Ein­füh­rung eines Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tems im Sin­ne von Art. 43 Bay­DiG läuft zum 31.12.2023 aus. Eine Ver­län­ge­rung wur­de vom zustän­di­gen Staats­mi­nis­te­ri­um ver­neint. Eben­so eine abseh­ba­re Neuauflage.

Wenn Sie als baye­ri­sche Kom­mu­ne die Neu­ein­füh­rung eines ISMS auf Basis

  • Arbeits­hil­fe
  • CISIS12
  • VDS 10000
  • BSI IT-Grund­schutz (Kom­mu­nal­pro­fil, Basis‑, Stan­dard- oder Kernabsicherung)
  • ISO 27001

oder ein Upgrade eines klei­ne­ren vor­han­de­nen Stan­dards auf einen der höhe­ren Stan­dards pla­nen, dann soll­ten Sie sich mit der Bean­tra­gung von För­der­mit­teln beei­len. (Ach­tung: Dif­fe­renz­för­de­rung von ISIS12 zu CISIS12 ist nicht möglich.)

Laut Aus­sa­ge der För­der­mit­tel­stel­le auf der Web­sei­te soll­te Ihr Antrag spä­tes­tens am 15. Novem­ber 2023 ein­ge­gan­gen sein. Das hat meh­re­re Gründe:

  • Bei spä­te­rem Ein­gang kann eine För­der­zu­sa­ge recht­zei­tig vor Ablauf des Pro­gramms auf­grund des erhöh­ten Antrag­vo­lu­mens in der Schluß­pha­se nicht mehr garan­tiert werden.
  • Der För­der­mit­tel­topf war zwar groß, neigt sich aber den­noch dem Ende zu. Und wenn kei­ne För­der­mit­tel zur Ver­ga­be frei sind, ist es egal, wann der Antrag eingeht.

Sie brau­chen mit dem Pro­jekt jedoch nicht mehr in 2023 begin­nen. Ledig­lich der Antrag und die Bewil­li­gung müs­sen in 2023 über die Büh­ne sein. Der Beginn der Umset­zung kann in 2024 lie­gen. Sie kön­nen sich daher die­ses Jahr noch die För­der­mit­tel für die Jah­re 2024 ff. sichern.

Sie benö­ti­gen ein Ange­bot für die Unter­stüt­zung durch Bera­tung und Schu­lung von einem qua­li­fi­zier­ten Dienst­leis­ter. Qua­li­fi­ziert heißt, der Dienst­leis­ter muss sei­ne Eig­nung gegen­über der För­der­stel­le bele­gen kön­nen. Das kön­nen je nach gewähl­ter Norm sein:

  • Zer­ti­fi­kat CISIS12 Pro­fes­sio­nal /​ Offi­cer
  • Zer­ti­fi­kat BSI IT-Grund­schutz Prak­ti­ker /​ Bera­ter
  • Zer­ti­fi­kat ISO 27001 Officer

Das ist unab­hän­gig davon, ob Sie das ISMS neu ein­füh­ren oder ein bestehen­des ISMS upgraden. Unse­re Mit­ar­bei­ter sind selbst­ver­ständ­lich für alle Stan­dards zuge­las­sen. Bit­te beach­ten Sie: Das neue ISMS oder Upgrade soll­te zu Ihrer Orga­ni­sa­ti­on pas­sen. Da wir in allen oben genann­ten Nor­men zuhau­se sind, kön­nen wir Sie hier­zu orga­ni­sa­ti­ons­in­di­vi­du­ell bera­ten und müs­sen Ihnen nicht auf Gedeih und Ver­derb ledig­lich einen Stan­dard als den ein­zig rich­ti­gen Weg “ver­kau­fen”.

Zustän­dig ist die Regie­rung Ober­fran­ken. Alle Details und das Online-Antrags­for­mu­lar fin­den Sie unter https://​www​.regie​rung​.ober​bay​ern​.bay​ern​.de/​a​u​f​g​a​b​e​n​/​l​e​i​s​t​u​n​g​/​l​e​i​s​t​u​n​g​_​3​5​0​0​4​/​i​n​d​e​x​.​h​tml

Auch unse­re Res­sour­cen sind end­lich. Aber der­zeit könn­ten wir noch gut orga­ni­sier­te ISMS-Pro­jek­te in 2024 im Lau­fe des Jah­res unter­brin­gen. Anfra­gen bit­te an info@​ask-​informationssicherheit.​de oder über unse­ren Zen­tral­ruf 09155–263 99 70. Alter­na­tiv direkt über unser For­mu­lar (exter­ner Link).

Wir mel­den uns dann wegen wei­te­rer Details zur Ange­bots­er­stel­lung bei Ihnen.

WiBA — Weg in die Basis-Absi­che­rung — WiBA BSI

Nicht erst seit dem Aus­fall der Land­kreis­ver­wal­tun­gen Anhalt-Bit­ter­feld oder Rhein­pfalz ist bekannt, dass auch Kom­mu­nal­ver­wal­tun­gen durch­aus Nach­hol­be­darf beim The­ma Infor­ma­ti­ons­si­cher­heit haben. Auch klei­ne­re Kom­mu­nen sind betrof­fen und haben nicht weni­ger mit den Fol­gen zu kämp­fen. Der geschätz­te Jens Lan­ge, sei­nes Zei­chens ITSi­Be der Stadt Kas­sel betreibt hier­zu ein schö­nes Infor­ma­ti­ons­por­tal (Vie­len Dank an die­ser Stel­le, Jens, für Dei­ne Arbeit!) unter https://​kom​mu​na​ler​-not​be​trieb​.de

Doch auch Fir­men, eben­falls ganz unab­hän­gig von Bran­che und Grö­ße blei­ben von die­sem Pro­blem nicht ver­schont. Einen gro­ben Ein­druck, wie oft es knallt, kann man sich sehr gut unter https://​kon​brie​fing​.com/​d​e​-​t​o​p​i​c​s​/​h​a​c​k​e​r​a​n​g​r​i​f​f​-​d​e​u​t​s​c​h​l​a​n​d​.​h​tml verschaffen.

Bei­de Por­ta­le kön­nen nur einen Teil der Mise­re zei­gen, denn nicht jedes “Miss­ge­schick” in der Infor­ma­ti­ons­si­cher­heit bei Kom­mu­nen und Fir­men gelangt an die Öffent­lich­keit. Das bedeu­tet, die Dun­kel­zif­fer des Ver­sa­gens der Infor­ma­ti­ons­si­cher­heit (oder auch des Nicht­vor­han­den­seins) ist daher im Zwei­fel noch um eini­ges höher.

Nor­men für Informationssicherheit

Stan­dards für Infor­ma­ti­ons­si­cher­heit gibt es eini­ge auf dem Markt. Da gibt es z.B.

  • ISO 27001 (nati­ve oder auf Basis IT-Grundschutz)
  • Den IT-Grund­schutz des BSI (Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik) in den 3 Absi­che­rungs­stu­fen Basis, Kern und Standard
  • TISAX (gera­de im Auto­mo­ti­ve-Bereich ein sehr bekann­ter Vertreter)
  • CISIS12 (ehe­ma­lis ISIS12)
  • ISMS4KMO (als Stan­dard als Wei­ter­ent­wick­lung von ISIS12, aber auch als Tool für die ISO 27001 und den IT-Grundschutz)
  • “Arbeits­hil­fe” (eine Absi­che­rung in der Brei­te einer Orga­ni­sa­ti­on, ent­wi­ckelt von a.s.k. Daten­schutz im Auf­trag der Inno­va­ti­ons­stif­tung Baye­ri­sche Kommune)
  • SiKo­SH (Sicher­heits­kon­zept Schles­wig-Hol­stein) oder auch
  • VDS 10.000 ehe­mals 3473.

Es gibt noch wei­te­re Ver­tre­ter, doch wir haben uns auf die Stan­dards mit einer bekann­ten brei­ten Instal­la­ti­ons­ba­sis beschränkt. Dane­ben gibt es noch div. Schwach­stel­len-Tools, die jedoch zumeist ein­ma­li­ge Stär­ken-Schwä­chen-Ana­ly­sen dar­stel­len und kei­nen Fokus auf den Betrieb eines Infor­ma­ti­ons­si­cher­heits­kon­zepts legen. Dazu zäh­len z.B. ISA+ und andere.

Alle Nor­men haben eins gemein­sam: Infor­ma­ti­ons­si­cher­heit bedeu­tet Arbeit in fast allen Tei­len einer Orga­ni­sa­ti­on und kos­tet Zeit, Geld und Per­so­nal­res­sour­cen. Dazu haf­ten eini­gen Stan­dards nahe­zu sagen­haf­te Aus­sa­gen an wie “Der IT-Grund­schutz dau­ert min­des­tens 5 Jah­re in der Ein­füh­rung, egal wie groß die Orga­ni­sa­ti­on ist” oder “Für Stan­dard XYZ sind min­des­tens 50–60 exter­ne Bera­ter­ta­ge not­wen­dig”. Nun ja … In der Tat war der alte 100‑x Stan­dard des IT-Grund­schutz ein dickes, zu boh­ren­des Brett. Aber 5 Jah­re haben selbst Groß­or­ga­ni­sa­tio­nen dafür nie gebraucht. Und durch das sog. Kom­pen­di­um (200‑x) und die 3 Absi­che­rungs­stu­fen von unten nach oben wur­de ein zeit­ge­mä­ßer und nied­rig­schwel­li­ger Ein­stieg in den IT-Grund­schutz vom BSI geschaf­fen. Der frü­he­re Schre­cken hat sei­ne Daseins­be­rech­ti­gung ver­lo­ren. Und immens hohe Zah­len an exter­nen Bera­ter­ta­gen kön­nen — unab­hän­gig vom gewähl­ten Stan­dard — auch nur dann zustan­de­kom­men, wenn die eige­ne Orga­ni­sa­ti­on so gut wie kei­nen Selbst­ein­satz bei der Ein­füh­rung des Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tems leis­tet. Das mag bequem erschei­nen, auch wenn es teu­er ist, aber geht am Ziel und Zweck vor­bei. Schließ­lich wird Infor­ma­ti­ons­si­cher­heit durch die eige­ne Orga­ni­sa­ti­on betrie­ben und da hilft es wenig, wenn die gan­ze Arbeit durch Exter­ne geleis­tet wird (feh­len­des inter­nes Know-How, “Bera­ter-Trep­pe”).

WiBA — Weg in die Basis-Absicherung

Um den Ein­stieg in den IT-Grund­schutz nun noch nied­rig­schwel­li­ger anzu­set­zen als bereits mit der sog. Basis-Absi­che­rung gesche­hen, hat das BSI einen 18 Doku­men­te umfas­sen­den Fra­gen­ka­ta­log ent­wi­ckelt. Die­ser soll bei kon­se­quen­ter Bear­bei­tung aktu­el­le Schwach­stel­len in der Infor­ma­ti­ons­si­cher­heit (orga­ni­sa­to­risch, infra­struk­tu­rell, tech­nisch, pro­zes­su­al) auf­fin­den hel­fen, damit die­se im Anschluss besei­tigt wer­den kön­nen. Ein löb­li­cher Ansatz und gera­de für Orga­ni­sa­tio­nen geeig­net, die bis­her noch jeden Kon­takt mit dem The­ma gescheut haben.

Fol­gen­de The­men wer­den zur Zeit abgedeckt:

  1. Arbeit außer­halb der Institution
  2. Arbeit inner­halb der Insti­tu­ti­on /​ Haus­tech­nik
  3. Back­up
  4. Büro­soft­ware
  5. Cli­ent
  6. Dru­cker und Multifunktionsgeräte
  7. IT-Admi­nis­tra­ti­on
  8. Mobi­le Endgeräte
  9. Net­ze
  10. Orga­ni­sa­ti­on und Personal
  11. Out­sour­cing und Cloud
  12. Rol­len /​ Berech­ti­gun­gen /​ Authen­ti­sie­rung
  13. Ser­ver­raum
  14. Ser­ver­sys­te­me
  15. Sicher­heits­me­cha­nis­men
  16. Tele­fo­nie und Fax
  17. Umgang mit Informationen
  18. Vor­be­rei­tung für Sicherheitsvorfälle

Umfang­reich sind die Prüf­fra­gen sel­ten. So fin­den sich im Kapi­tel 6 Out­sour­cing und Cloud bei­spiels­wei­se 6 Prüf­fra­gen. Dar­aus wird auch die Inten­ti­on des nied­rig­schwel­li­gen Ein­stiegs u.a. durch einen redu­zier­ten Umfang sehr deutlich.

Der­zeit sind die Fra­ge­bö­gen im Word-For­mat als sog. Com­mu­ni­ty Drafts online gestellt. Das BSI for­dert expli­zit dazu auf, die­se zu nut­zen, zu prü­fen und Anre­gun­gen und Ergän­zun­gen zurück­zu­spie­len. Die­se Rück­mel­dun­gen sol­len dann in die fina­le Ver­si­on von WiBA — Weg in die Basis­ab­si­che­rung einfließen.

In der Hoff­nung, dass dem­nächst nicht wie­der alle Links auf den BSI Web­sei­ten umge­stellt wer­den, hier der direk­te Ein­sprung in das The­ma: https://​www​.bsi​.bund​.de/​D​E​/​T​h​e​m​e​n​/​U​n​t​e​r​n​e​h​m​e​n​-​u​n​d​-​O​r​g​a​n​i​s​a​t​i​o​n​e​n​/​S​t​a​n​d​a​r​d​s​-​u​n​d​-​Z​e​r​t​i​f​i​z​i​e​r​u​n​g​/​I​T​-​G​r​u​n​d​s​c​h​u​t​z​/​W​I​B​A​/​W​e​g​_​i​n​_​d​i​e​_​B​a​s​i​s​_​A​b​s​i​c​h​e​r​u​n​g​_​W​i​B​A​.​h​tml

Über­le­gun­gen zur aktu­el­len Gestal­tung /​ Umset­zung von WiBA — Weg in die Basis-Absicherung

WiBA kann durch­aus ein geeig­ne­ter Ein­stieg in das The­ma Infor­ma­ti­ons­si­cher­heit für Orga­ni­sa­tio­nen sein, die bis­her noch gar kei­nen Kon­takt mit dem The­ma hat­ten und erst mal “schnup­pern” wol­len. Dabei soll­te man im Hin­ter­kopf haben, dass es sich hier­bei nur um eine Schwach­stel­len­ana­ly­se anhand von Fra­ge­stel­lun­gen han­delt. Der zu einem ISMS gehö­ren­de PDCA-Zyklus inkl. der not­wen­di­gen Ver­ant­wort­lich­kei­ten, Auf­ga­ben und Pro­zes­sen ist nicht ent­hal­ten. Wie das BSI in der Manage­ment Sum­ma­ry selbst schreibt, kann WiBA — Weg in die Basis-Absi­che­rung nur der ers­te Schritt in das The­ma Infor­ma­ti­ons­si­cher­heit sein. Denn mit einer Schwach­stel­len­ana­ly­se allei­ne ist es nicht getan.

Posi­tiv fällt die Ver­knüp­fung der Prüf­fra­gen zu den Bau­stei­nen des IT-Grund­schut­zes auf. Das soll­te ein spä­te­res Upgrade in die Basis-Absi­che­rung erleich­tern, da sich ein Wie­der­erken­nungs­ef­fekt ein­stel­len wird. Doch das leis­ten auch ande­re Systematiken.

Wie­so man aus­ge­rech­net mit Word-Tabel­len gear­bei­tet hat, wird wohl ein Rät­sel blei­ben. Dem­je­ni­gen, der mit­tels die­ser Doku­men­te die Ergeb­nis­se doku­men­tie­ren und nach­hal­ten soll, bleibt nur viel Kraft und Geduld zu wünschen 🙂

WiBA liegt nun als Com­mu­ni­ty Draft vor, ist also noch nicht final fer­tig. Dem­ge­gen­über haben ande­re Kon­zep­te, die eben­falls einen nied­rig­schwel­li­gen Ein­stieg in das The­ma Infor­ma­ti­ons­si­cher­heit garan­tie­ren und dabei auch gleich den Grund­stein für den spä­te­ren Betrieb des ISMS legen, bereits mehr­jäh­ri­ge Wei­ter­ent­wick­lun­gen erfah­ren. Allen vor­an sei hier exem­pla­risch die Arbeits­hil­fe der Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne genannt, die erst­ma­lig 2016 erschie­nen ist und mitt­ler­wei­le in Ver­si­on 5 vor­liegt. Wie­so nun eine Eigen­ent­wick­lung auf­ge­legt wird, statt auf vor­han­de­ne Sys­te­ma­ti­ken zurück­zu­grei­fen oder die­se zu emp­feh­len, bleibt unklar. Ok, der Auf­wand für die Arbeits­hil­fe wäre höher. Aber man hät­te sich auch mit der Sys­te­ma­tik ISA+ des IT-Sicher­heits­clus­ters Regens­burg oder mit dem Rei­fe­grad-Modell “Kom­mu­na­le IT-Sicher­heit” des Lan­des­amts für Sicher­heit in der Infor­ma­ti­ons­tech­nik Bay­ern, kurz LSI zusam­men­tun kön­nen. Übri­gens: Auch wenn die Arbeits­hil­fe ursprüng­lich für Kom­mu­nen ent­wi­ckelt wur­de, kann die­se auch von Fir­men genutzt wer­den. Ob die Orga­ni­sa­ti­ons­lei­tung am Ende Bür­ger­meis­ter oder Geschäfts­füh­rer heißt, ändert nichts an den Sicher­heits­an­for­de­run­gen, höchs­tens am Risi­ko einer per­sön­li­chen Haf­tung 😉 Wer es pro­fes­sio­nell haben möch­te: Spre­chen Sie uns wegen einer Soft­ware-Umset­zung der Arbeits­hil­fe ger­ne an. Die damals vom Auf­trag­ge­ber vor­ge­ge­be­nen Word-Doku­men­te sind im lau­fen­den Betrieb des ISMS alles ande­re als handlich.

Hin­zu kommt: Wer bereits mit einem ISMS auf Basis von ISIS12, der Arbeits­hil­fe oder VDS aus­ge­stat­tet ist und die­se erfolg­reich in Betrieb hat, wird mit WiBA — Weg in die Basis-Absi­che­rung nicht glück­lich. Hier wäre zu emp­feh­len, gleich den fol­ge­rich­ti­gen Schritt in die BSI IT-Grund­schutz Basis-Absi­che­rung oder für Kom­mu­nen das sog. Kom­mu­nal­pro­fil im Rah­men der Basis-Absi­che­rung zu gehen.

Und nicht ver­ge­se­sen — wie schreibt es das BSI (nicht nur im Kon­text von WiBA — Weg in die Basis-Absi­che­rung) so tref­fend: Infor­ma­ti­ons­si­cher­heit ist Che­fin­nen- und Chef­sa­che! Und jeder Schritt hin zu mehr Infor­ma­ti­ons­si­cher­heit zählt. Von daher, well done, BSI!

Übri­gens freut sich auch der Daten­schutz­be­auf­trag­te, wenn das The­ma Infor­ma­ti­ons­si­cher­heit kon­se­quent und sys­te­ma­tisch in der Orga­ni­sa­ti­on umge­setzt wird. Das nimmt eini­ges an Druck aus dem Kes­sel im Hin­blick auf Art. 32 DSGVO Sicher­heit der Verarbeitung.

Arti­kel 32 DSGVO — Sicher­heit der Verarbeitung

Es dürf­te sich rum­ge­spro­chen haben: Per­so­nen­be­zo­ge­ne Daten sind zu schüt­zen. Das es dabei nur sekun­där um die per­so­nen­be­zo­ge­nen Daten an sich geht, son­dern pri­mär die Per­son vor Scha­den bewahrt wer­den soll, auf die sich die­se Daten bezie­hen (der sog. “Betrof­fe­ne”), wird den meis­ten Anwen­dern der DSGVO eben­falls klar sein. Doch was will der Gesetz­ge­ber hier eigent­lich von den sog. “Ver­ant­wort­li­chen”, also all den Unter­neh­men, Ver­ei­nen, Bun­des- und Lan­des­be­hör­den sowie Kom­mu­nal­ver­wal­tun­gen? Wer­fen wir mal einen Blick auf Arti­kel 32 DSGVO.

So steht es in Arti­kel 32 DSGVO

  1. Unter Berück­sich­ti­gung des Stands der Tech­nik, der Imple­men­tie­rungs­kos­ten und der Art, des Umfangs, der Umstän­de und der Zwe­cke der Ver­ar­bei­tung sowie der unter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwe­re des Risi­kos für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen tref­fen der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, um ein dem Risi­ko ange­mes­se­nes Schutz­ni­veau zu gewähr­leis­ten; die­se Maß­nah­men schlie­ßen gege­be­nen­falls unter ande­rem Fol­gen­des ein: a) die Pseud­ony­mi­sie­rung und Ver­schlüs­se­lung per­so­nen­be­zo­ge­ner Daten; b) die Fähig­keit, die Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Belast­bar­keit der Sys­te­me und Diens­te im Zusam­men­hang mit der Ver­ar­bei­tung auf Dau­er sicher­zu­stel­len; c) die Fähig­keit, die Ver­füg­bar­keit der per­so­nen­be­zo­ge­nen Daten und den Zugang zu ihnen bei einem phy­si­schen oder tech­ni­schen Zwi­schen­fall rasch wie­der­her­zu­stel­len; d) ein Ver­fah­ren zur regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Eva­lu­ie­rung der Wirk­sam­keit der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Gewähr­leis­tung der Sicher­heit der Verarbeitung.

  2. Bei der Beur­tei­lung des ange­mes­se­nen Schutz­ni­veaus sind ins­be­son­de­re die Risi­ken zu berück­sich­ti­gen, die mit der Ver­ar­bei­tung ver­bun­den sind, ins­be­son­de­re durch – ob unbe­ab­sich­tigt oder unrecht­mä­ßig – Ver­nich­tung, Ver­lust, Ver­än­de­rung oder unbe­fug­te Offen­le­gung von bezie­hungs­wei­se unbe­fug­ten Zugang zu per­so­nen­be­zo­ge­nen Daten, die über­mit­telt, gespei­chert oder auf ande­re Wei­se ver­ar­bei­tet wurden.

  3. Die Ein­hal­tung geneh­mig­ter Ver­hal­tens­re­geln gemäß Arti­kel 40 oder eines geneh­mig­ten Zer­ti­fi­zie­rungs­ver­fah­rens gemäß Arti­kel 42 kann als Fak­tor her­an­ge­zo­gen wer­den, um die Erfül­lung der in Absatz 1 des vor­lie­gen­den Arti­kels genann­ten Anfor­de­run­gen nachzuweisen.

  4. Der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter unter­neh­men Schrit­te, um sicher­zu­stel­len, dass ihnen unter­stell­te natür­li­che Per­so­nen, die Zugang zu per­so­nen­be­zo­ge­nen Daten haben, die­se nur auf Anwei­sung des Ver­ant­wort­li­chen ver­ar­bei­ten, es sei denn, sie sind nach dem Recht der Uni­on oder der Mit­glied­staa­ten zur Ver­ar­bei­tung verpflichtet.

Was will Arti­kel 32 DSGVO in der Praxis?

Dreh- und Angel­punkt sind die tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men, auch kurz TOM genannt. Mit­tels einer geeig­ne­ten Aus­wahl und Anwen­dung die­ser Schutz­maß­nah­men (qua­si eine Art Werk­zeug­kas­ten) sol­len per­so­nen­be­zo­ge­ne Daten vor den all­täg­li­chen Risi­ken bei deren Ver­ar­bei­tung (also Erhe­bung, Spei­che­rung, Nut­zung, aber auch beab­sich­tig­ter Löschung und Ver­nich­tung) geschützt wer­den. Dabei soll nicht alles an Schutz­maß­nah­men ergrif­fen wer­den, was irgend­wie geht, son­dern der Gesetz­ge­ber spricht von einer Ange­mes­sen­heit. Die Schutz­maß­nah­men müs­sen also zum Schutz­wert der betrof­fe­nen per­so­nen­be­zo­ge­nen Daten pas­sen. Dabei sol­len dann auch Fak­to­ren wie die Ein­tritts­wahr­schein­lich­keit und das zu erwar­ten­de Scha­dens­aus­maß für den Betrof­fe­nen — ganz wich­tig: nicht für die eige­ne Orga­ni­sa­ti­on — berück­sich­tigt werden.

Inter­es­san­ter­wei­se erfin­det “der Daten­schutz” hier das Rad mal nicht neu.  Wir fin­den Punk­te wie

  • Ver­trau­lich­keit,
  • Inte­gri­tät und
  • Ver­füg­bar­keit,
  • die Sicher­stel­lung der Wie­der­her­stell­bar­keit von Daten z.B. im Rah­men von Busi­ness Con­ti­nui­ty Manage­ment und Not­fall­ma­nage­ment, aber auch
  • Revi­si­ons­zy­klen (PDCA) zur Über­prü­fung der Wirk­sam­keit vor­han­de­ner Schutz­maß­nah­men sowie zur
  • Iden­ti­fi­ka­ti­on von mög­li­cher­wei­se zusätz­li­chen oder anzu­pas­sen­den Schutz­maß­nah­men auf­grund neu­er Risi­ken oder Ver­än­de­run­gen an bestehen­den Risiken.

Und ganz egal, ob man das hören mag oder nicht: Am Ende beschrei­ben die­se Punk­te und Begriff­lich­kei­ten ein klas­si­sches Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tem, kurz ISMS. Wer sich mit dem The­ma Infor­ma­ti­ons­si­cher­heit schon näher befasst hat, wird fest­stel­len: Per­so­nen­be­zo­ge­ne Daten sind eine Unter­men­ge der schüt­zens­wer­ten Infor­ma­tio­nen einer Orga­ni­sa­ti­on. Na, schau mal einer an.

Schreibt Arti­kel 32 DSGVO nun ein ISMS vor?

Die Begrif­fe Infor­ma­ti­ons­si­cher­heit oder ISMS fal­len zwar nicht wört­lich, aber gera­de die in Arti­kel 32 Absatz 1 DSGVO genann­ten Punk­te, beschrei­ben dem Sinn nach nichts ande­res als ein Infor­ma­ti­ons­si­cher­heits­kon­zept bzw. ISMS. Das bedeu­tet nun nicht, dass man ein sol­ches ISMS zur Ein­hal­tung von Art. 32 DSGVO ein­füh­ren muss, um rechts­kon­form unter­wegs zu sein. Aber es wird halt müh­se­lig. Gut, es gibt immer Men­schen und Orga­ni­sa­tio­nen, die mögen es umständlich 🙂

Was liegt also näher, als sich die­sen Anfor­de­run­gen sys­te­ma­tisch zu nähern, statt ein­fach wild ein paar mög­li­cher­wei­se geeig­ne­te Schutz­maß­nah­men zusam­men­zu­schus­tern? Und sobald man ein Infor­ma­ti­ons­si­cher­heits­kon­zept ein­ge­führt hat, geht es ja nicht nur den per­so­nen­be­zo­ge­nen Daten gut. Auch alle ande­ren “Kron­ju­we­len” einer Orga­ni­sa­ti­on füh­len sich behü­tet und beschützt. Also gleich meh­re­re Flie­gen mit einer Klap­pe erschla­gen. Grü­ße vom tap­fe­ren Schneiderlein.

Dabei soll­te man jedoch im Hin­ter­kopf behal­ten, dass Infor­ma­ti­ons­si­cher­heit sich im Rah­men der sog. Risi­ko­ana­ly­se vor­ran­gig mit den Aus­wir­kun­gen auf die Orga­ni­sa­ti­on befasst. Die Fra­ge­stel­lung lau­tet zu Beginn: Was für Aus­wir­kun­gen haben die Ver­let­zung der Ver­trau­lich­keit, Inte­gri­tät oder Ver­füg­bar­keit von schüt­zens­wer­ten Infor­ma­tio­nen (und damit sind per­so­nen­be­zo­ge­ne Daten ein­ge­schlo­sen) für mei­ne Orga­ni­sa­ti­on im Hin­blick auf

  • mög­li­che Ver­trags­ver­let­zun­gen und Rechtsverstöße,
  • finan­zi­el­le Schä­den wie Ver­trags­stra­fen, Buß­gel­der oder auch Schadenersatz,
  • nega­ti­ve Aus­wir­kun­gen auf Repu­ta­ti­on /​ Image,
  • mög­li­che Beein­träch­ti­gung der Aufgabenerfüllung,
  • mög­li­che Beein­träch­ti­gun­gen der infor­ma­tio­nel­len Selbst­be­stim­mung (Daten­schutz) und
  • bei einem Side­kick in Rich­tung Not­fall­ma­nage­ment auch Gefahr für Leib und Leben.

Die Risi­ken im Bereich Daten­schutz wer­den zwar schon grob erfasst, aber im Hin­blick auf die Aus­wir­kun­gen für die Orga­ni­sa­ti­on. Der Trick besteht dar­in, mög­li­che Risi­ken für den Betrof­fe­nen wie Iden­ti­täts­dieb­stahl oder Ver­lust sei­ner Betrof­fe­nen­rech­te und noch wei­te­rer Punk­te zu inklu­die­ren. Kein Hexen­werk. Und vor allem muss man das Rad nicht neu erfinden.

Wel­che Sys­te­ma­tik für ein Infor­ma­ti­ons­si­cher­heits­kon­zept darf es denn sein?

Das Schö­ne ist, es gibt auf dem Markt seit Jahr­zehn­ten bewähr­te und kon­ti­nu­ier­lich wei­ter­ent­wi­ckel­te Stan­dards für Infor­ma­ti­ons­si­cher­heit. Und selbst wenn die­se die Aus­wir­kun­gen im Daten­schutz für den Betrof­fe­nen nicht bereits inklu­diert haben, sind die­se in der Risi­ko­be­trach­tung mit weni­gen Hand­grif­fen inte­griert und berück­sich­tigt. “That’s no rocket science!”

Sicher ken­nen vie­le Leser eine ISO 27001 als welt­wei­te Norm für Infor­ma­ti­ons­si­cher­heit oder auch den IT-Grund­schutz des Bun­des­amts für Sicher­heit in der Infor­ma­ti­ons­tech­nik (kurz BSI). Es hält sich das Gerücht hart­nä­ckig, die­se sei­en für klei­ne und kleins­te Orga­ni­sa­tio­nen viel zu groß und auf­wän­dig. Die Pra­xis zeigt, dem ist nicht so. Aber selbst, wenn man die­ser Argu­men­ta­ti­on folgt, so gibt es Alter­na­ti­ven wie (Rei­hen­fol­ge nicht wertend)

  • ISIS12 /​ CISIS12 — ein Infor­ma­ti­ons­si­cher­heits­kon­zept in 12 Schritten
  • SiKo­SH — in 7 Schrit­ten zu einem ISMS
  • VDS 10000 — ehe­mals 3473, ursprüng­lich ein Fra­ge­bo­gen für Risi­ken im Bereich Cybersicherheit
  • TISAX — im Kon­text von Auto­mo­bil­zu­lie­fe­rern weit ver­brei­tet oder
  • das unter dem Titel “Arbeits­hil­fe” bekann­te Kon­zept zu Ein­füh­rung und Betrieb eines ISMS der Inno­va­ti­ons­stif­tung Bay­ri­sche Kommune.

Dar­über­hin­aus gibt es auch noch wei­te­re Sys­te­ma­ti­ken und Vor­ge­hens­wei­sen, aber wir beschrän­ken uns mal auf die oben genann­ten Ver­tre­ter. Unse­re Emp­feh­lung lau­tet stets: Nut­zen Sie eine der vor­han­de­nen Vor­ge­hens­wei­sen und erfin­den Sie das Rad bit­te nicht neu. War­um? Die­se Vor­ge­hens­wei­sen /​ Ver­tre­ter für ein ISMS

  • haben sich über lan­ge Zeit in der Pra­xis bewährt,
  • sind für jede Art von Orga­ni­sa­ti­on anwend­bar, da — welch’ Über­ra­schung — Infor­ma­ti­ons­si­cher­heit uni­ver­sell ist,
  • decken alle­samt stets die Min­dest­an­for­de­run­gen an Infor­ma­ti­ons­si­cher­heit ab,
  • sind ska­lier­bar im Hin­blick auf Orga­ni­sa­ti­ons­grö­ßen aber auch auf das zu errei­chen­de Sicherheitsniveau,
  • spa­ren Ihnen Zeit und Nerven,
  • hel­fen, gern gemach­te Feh­ler bei Ein­füh­rung und Betrieb eines ISMS von vorn­her­ein zu ver­mei­den (RTFM).

Die “Arbeits­hil­fe” — der idea­le Ein­stieg in Arti­kel 32 DSGVO für klei­ne und gro­ße Einrichtungen

Wes­sen Orga­ni­sa­ti­on noch so gar kei­ne Erfah­rung hat mit dem The­ma Infor­ma­ti­ons­si­cher­heit oder die ISO 27001 und dem IT-Grund­schutz für zu wuch­tig hält, steigt idea­ler­wei­se über die “Arbeits­hil­fe” in das The­ma ein. Damit kön­nen grö­ße­re Orga­ni­sa­tio­nen ers­te Erfah­run­gen sam­meln, bevor es danach mit “grö­ße­ren” Stan­dards ans Ein­ge­mach­te geht. Und bei klei­ne­ren Ein­rich­tun­gen kommt man bei kon­se­quen­ter Anwen­dung des Stan­dards “Arbeits­hil­fe” bereits zu einem funk­tio­nie­ren­den ISMS mit dazu­ge­hö­ri­gen PDCA-Zyklus.

Die­ser Stan­dard wur­de 2016 im Auf­trag der Bay­ri­schen Kom­mu­na­len Spit­zen­ver­bän­de von uns für die Inno­va­ti­ons­stif­tung Bay­ri­sche Kom­mu­ne ent­wi­ckelt. Mitt­ler­wei­le ist Ver­si­on 4.0 aktu­ell. Ein Update auf Ver­si­on 5.0 wird vor­aus­sicht­lich in 2023 erschei­nen. Ist der Stan­dard dann über­haupt für Unter­neh­men und Ver­ei­ne geeig­net, wenn er doch aus dem kom­mu­na­len Bereich stammt? Ja klar. Wie zuvor schon geschrie­ben, ist Infor­ma­ti­ons­si­cher­heit eine uni­ver­sel­le Ange­le­gen­heit, die vom anzu­stre­ben­den Schutz­wert für schüt­zens­wer­te Infor­ma­tio­nen aus­geht. Dabei ist es uner­heb­lich, ob eine Fir­ma oder eine Ver­wal­tung Infor­ma­ti­ons­si­cher­heit betreibt. Der ein­zi­ge Knack­punkt bei Nut­zung der Arbeits­hil­fe: Gele­gent­lich muss man Begriff­lich­kei­ten wie Bür­ger­meis­ter, Land­rat oder Ver­wal­tung gegen die Pen­dants aus der frei­en Wirt­schaft tau­schen. Aber das bekom­men Sie hin 🙂

In 9 Kapi­teln führt die “Arbeits­hil­fe” eine Orga­ni­sa­ti­on in die not­wen­di­gen Anfor­de­run­gen für ein ISMS ein und legt die Grund­la­gen für den spä­te­ren Betrieb im Hin­blick auf “ein Ver­fah­ren zur regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Eva­lu­ie­rung der Wirk­sam­keit der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Gewähr­leis­tung der Sicher­heit der Ver­ar­bei­tung.” Gleich­zei­tig unter­stützt die Sys­te­ma­tik bei der Ent­de­ckung mög­li­cher Schwach­stel­len und zeigt Lösungs­we­ge auf, die­se zeit­nah zu beseitigen.

Die Sys­te­ma­tik, Anlei­tung und Doku­men­te zur Bear­bei­tung der “Arbeits­hil­fe” ste­hen kos­ten­frei zum Down­load zur Ver­fü­gung. Im ers­ten Durch­lauf wer­den auch kei­ne Inves­ti­tio­nen in eine ISMS-Soft­ware not­wen­dig. Im lau­fen­den Betrieb emp­fiehlt sich die­se dann spä­ter jedoch, um die Doku­men­ta­ti­on und regel­mä­ßi­ge Nach­prü­fung, aber auch das Berichts­we­sen zu erleich­tern. Bei Inter­es­se an einer sol­chen Lösung spre­chen Sie uns bit­te an.

Klei­nes Schman­kerl: Je nach Bun­des­land kön­nen För­der­mit­tel aus diver­sen Töp­fen zur Erhö­hung der Infor­ma­ti­ons­si­cher­heit oder IT-Sicher­heit oder Digi­ta­li­sie­rung ange­zapft wer­den. Wenn Sie sich also zur Unter­stüt­zung und Beglei­tung der Ein­füh­rung oder auch für Mit­ar­bei­ter­schu­lun­gen exter­ne Hil­fe her­an­ho­len, kön­nen die Aus­ga­ben hier­für geför­dert werden.

Wei­te­re Infos zur Arbeits­hil­fe fin­den Sie hier auf unse­rem Blog.

Wenn man ein sol­ches ISMS dann auch noch mit einem funk­tio­nie­ren­den Daten­schutz­ma­nage­ment­sys­tem (DSMS) ver­knüpft, dann hat man eini­ge Sor­gen weni­ger bzw. sich unnö­ti­ge Umstän­de und Mühen auf­grund unsys­te­ma­ti­scher Vor­ge­hens­wei­sen erfasst. Gleich­zei­tig hat man, den akti­ven Betrieb bei­der Sys­te­me vor­aus­ge­setzt, auch nicht ban­ge zu sein, soll­te die Lan­des­da­ten­schutz­be­hör­de mal klin­geln. Und das ist viel wert. Das wis­sen zumin­dest die Orga­ni­sa­tio­nen, bei denen das schon der Fall war 😉

 

För­der­mit­tel zur Arbeits­hil­fe für baye­ri­sche Kommunen

Im Zuge der Neu­fas­sung der ISMS-För­der­mit­tel­richt­li­nie (ISMR) vom 7. März 2022, Az. E5-1681–7‑10 kön­nen baye­ri­sche Kom­mu­nen nun end­lich auch für die Ein­füh­rung eines Infor­ma­ti­ons­si­cher­heits­kon­zepts auf Basis der sog. Arbeits­hil­fe der Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne För­der­mit­tel erhalten.

Vor­aus­set­zun­gen für För­der­mit­tel zur Arbeits­hil­fe Informationssicherheit

Was wird kon­kret gefördert?

  1. Die Bera­tung und Beglei­tung bei der Imple­men­tie­rung durch fach­kun­di­ge IT-Dienstleister.
  2. Schu­lun­gen für Mit­ar­bei­ter durch zer­ti­fi­zier­te Anbieter.

Wie hoch sind die För­der­mit­tel zur Arbeits­hil­fe Informationssicherheit?

Bis zu 50 % der zuwen­dungs­fä­hi­gen Aus­ga­ben für die Umset­zung der Arbeits­hil­fe zur Erstel­lung von Infor­ma­ti­ons­si­cher­heits­kon­zep­ten der Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne, höchs­tens 5 000 Euro.

Wie bean­tra­ge ich als baye­ri­sche Kom­mu­ne die För­der­mit­tel zur Arbeits­hil­fe Informationssicherheit?

Anträ­ge auf Gewäh­rung einer För­de­rung sind schrift­lich oder elek­tro­nisch an die Regie­rung von Ober­fran­ken als Bewil­li­gungs­stel­le zu rich­ten. Das Antrags­for­mu­lar und alle wei­te­ren Infor­ma­tio­nen sind zu fin­den unter https://​www​.regie​rung​.ober​fran​ken​.bay​ern​.de/​a​u​f​g​a​b​e​n​/​1​9​2​1​6​9​/​1​9​2​1​7​2​/​l​e​i​s​t​u​n​g​/​l​e​i​s​t​u​n​g​_​3​5​0​0​4​/​i​n​d​e​x​.​h​tml

Wei­te­re Infor­ma­tio­nen und Links zum Infor­ma­ti­ons­si­cher­heits­kon­zept Arbeitshilfe

Moder­ne Platt­form zu Ein­füh­rung und Betrieb eines Infor­ma­ti­ons­si­cher­heits­kon­zepts (Basis Arbeits­hil­fe) für klei­ne Orga­ni­sa­tio­nen gestartet

Soft­ware-Unter­stüt­zung für die Arbeitshilfe

End­lich nun auch für einen der klei­nen Stan­dards für Infor­ma­ti­ons­si­cher­heit ver­füg­bar: Soft­ware-Unter­stüt­zung für die Arbeits­hil­fe 4.0

Doch der Rei­he nach.

Wie­so ein Informationssicherheitskonzept?

Vie­le Orga­ni­sa­tio­nen ste­hen vor der Her­aus­for­de­rung, ent­we­der auf­grund gesetz­li­cher Vor­schrif­ten ein Infor­ma­ti­ons­si­cher­heits­kon­zept zu benö­ti­gen, damit den Nach­weis zur Wirk­sam­keit der eige­nen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men im Sin­ne der Beleg­pflicht der DSGVO erbrin­gen zu wol­len, weil es der eine oder ande­re Auf­trag­ge­ber für die Teil­nah­me an Aus­schrei­bun­gen for­dert oder schlicht, weil sie fest­ge­stellt haben, dass nur ein gesamt­heit­li­cher Ansatz schüt­zens­wer­te Infor­ma­tio­nen und per­so­nen­be­zo­ge­ne Daten in der eige­nen Orga­ni­sa­ti­on absi­chern kann. Grün­de gibt es also vie­le, sich um die Ein­füh­rung und den Betrieb eines Infor­ma­ti­ons­si­cher­heits­kon­zepts zu kümmern.

Wel­chen Stan­dard zur Infor­ma­ti­ons­si­cher­heit wählen?

Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­te­me (kurz ISMS) nach den Stan­dards wie die ISO 27001 oder der BSI IT-Grund­schutz sind bewähr­te Umset­zungs­mög­lich­kei­ten. Sagt man der ISO 27001 ein etwas erhöh­tes Maß an Abs­trakt­heit nach, lei­det der IT-Grund­schutz durch­aus an sei­ner Aus­führ­lich­keit (zumin­dest in 100‑x Stan­dards). Hin­zu kommt, dass der Auf­wand an Zeit und Kos­ten gera­de für klei­ne und mitt­le­re Unter­neh­men (KMU) und Kom­mu­nen weit über die gege­be­nen Mög­lich­kei­ten hinausgeht.

Einen Teil die­ser Lücke nach unten hat vor eini­gen Jah­ren der Stan­dard Infor­ma­ti­ons­si­cher­heit in 12 Schrit­ten (kurz ISIS12) schlie­ßen kön­nen. Die­ser kommt seit­her in vie­len deut­schen Unter­neh­men und Kom­mu­nen zum Ein­satz, teil­wei­se inklu­si­ve der mög­li­chen Zer­ti­fi­zie­rung durch die DQS GmbH (Und hier reden wir von einer voll­wer­ti­gen, unab­hän­gi­gen Zer­ti­fi­zie­rung, nicht von den durch die bera­ten­de Gesell­schaft als Zer­ti­fi­kat ange­prie­se­nen Testa­te.) ISIS12 lei­tet sich aus dem IT-Grund­schutz ab und wird der­zeit in Rich­tung der Vor­ge­hens­wei­se der ISO 27001 weiterentwickelt.

Für die drei bis­her genann­ten Stan­dards ste­hen bewähr­te Soft­ware­lö­sun­gen zur Ver­fü­gung. Gene­rell sind die­se Stan­dards auch nach unten ska­lier­bar, stel­len den­noch gera­de klei­ne­re Ein­rich­tun­gen nach wie vor vor ein Zeit- und Kos­ten­pro­blem. Die­se immer noch bestehen­de Lücke für klei­ne­re und kleins­te Ein­rich­tun­gen lässt sich mit zwei wei­te­ren Stan­dards in ange­mes­se­nem Kos­ten- und Auf­wands­rah­men schlie­ßen. Die Rede ist vom Stan­dard VdS 10000 (frü­her 3473) sowie der unter dem Pro­jekt­na­men “Arbeits­hil­fe” bekannt gewor­de­nen Sys­te­ma­tik der Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne aus Mün­chen.

Gera­de klei­ne und kleins­te Orga­ni­sa­tio­nen fin­den hier einen Werk­zeug­kas­ten, um sich dem The­ma sys­te­ma­tisch zu nähern, vor­han­de­ne tech­ni­sche und orga­ni­sa­to­ri­sche Schwach­stel­len zu iden­ti­fi­zie­ren und danach kon­ti­nu­ier­lich abzu­stel­len und ein Sicher­heits­kon­zept zu betrei­ben. Die Mög­lich­keit besteht jeder­zeit, in die höhe­ren Sys­te­ma­ti­ken upzugraden.

Die “Arbeits­hil­fe” wur­de im Auf­trag der Baye­ri­schen Kom­mu­na­len Spit­zen­ver­bän­de durch a.s.k. Daten­schutz für die Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne ent­wi­ckelt und ist mitt­ler­wei­le in Ver­si­on 4.0 erschie­nen. Trotz die­ses Ursprungs rich­tet sich die Arbeits­hil­fe nicht aus­schließ­lich an kom­mu­na­le Ein­rich­tun­gen. Infor­ma­ti­ons­si­cher­heit ist uni­ver­sell. Von daher sind ledig­lich eini­ge Begriff­lich­kei­ten für den Ein­satz in Unter­neh­men anzu­pas­sen (Geschäfts­füh­rer statt Bür­ger­meis­ter), das war es schon. Und jetzt mit auch Soft­ware-Unter­stüt­zung für die Arbeitshilfe.

Infor­ma­ti­ons­si­cher­heits­kon­zep­te bes­ser mit Software-Unterstützung

Selbst­ver­ständ­lich las­sen sich Infor­ma­ti­ons­si­cher­heits­kon­zep­te auch mit Papier und Stift oder etwas moder­ner mit­tels Word-For­mu­la­ren und Excel-Tabel­len abbil­den. Bei der Ein­füh­rung mag das auch noch aus­rei­chend sein. Doch im spä­te­ren Betrieb des Infor­ma­ti­ons­si­cher­heits­kon­zepts wird es schnell a) unüber­schau­bar und b) nicht mehr hand­hab­bar, z.B. um Wie­der­vor­la­ge­fris­ten ein­zu­hal­ten. Auch in Bezug auf das jeder­zei­ti­ge Report­ing /​ Berichts­we­sen ist eine geeig­ne­te Soft­ware­un­ter­stüt­zung unschlagbar.

Die drei gro­ßen Stan­dards ISO 27001, BSI IT-Grund­schutz und ISIS12 kön­nen aus einem gro­ßen Ange­bot geeig­ne­ter Soft­ware­lö­sun­gen wäh­len. Bei den klei­ne­ren Stan­dards wird die Luft sehr schnell dünn bis hin zu feh­len­der Software-Unterstützung.

Soft­ware-Unter­stüt­zung für die Arbeits­hil­fe von a.s.k. Datenschutz

Gera­de für klei­ne Orga­ni­sa­tio­nen sind leicht ver­ständ­li­che und bedien­ba­re Soft­ware-Lösun­gen ein Muß. Zeit für lang­wie­ri­ge Soft­ware-Schu­lun­gen und Ein­ar­bei­tun­gen ist im Zwei­fel Man­gel­wa­re. Oft­mals wer­den klei­ne Ein­rich­tun­gen bei der Ein­füh­rung von exter­nen Dienst­leis­tern unter­stützt, nut­zen mög­li­cher­wei­se auch die Mög­lich­keit eines exter­nen Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten (sofern sinn­voll umsetzbar).

Hier setzt die Soft­ware-Lösung für unse­re (poten­ti­el­len) Kun­den kon­kret an:

  • Ver­schlüs­se­lung bei Über­tra­gung und Speicherung
  • Mehr­fak­tor-Authen­ti­fi­zie­rung
  • Brow­ser­ba­siert, Apps für Desk­top und mobi­le Geräte
  • Bear­bei­tung und gleich­zei­tig fort­lau­fen­de Doku­men­ta­ti­on aller Prüf­fra­gen der Arbeits­hil­fe und deren Umsetzung
  • Erstel­len von not­wen­di­gen Unteraufgaben
  • Zuwei­sen von Auf­ga­ben und Unter­auf­ga­ben an zustän­di­ge Per­so­nen in der Organisation
  • Dis­kus­si­ons­mög­lich­keit zwi­schen den Betei­lig­ten direkt in einem Prüf­punkt und damit nach­voll­zieh­ba­re Doku­men­ta­ti­on der Ent­schei­dungs­fin­dung und des Umset­zungs­sta­tus sowie des­sen Weiterentwicklung
  • Email-Benach­rich­tun­gen über Ände­run­gen und Auf­ga­ben­zu­wei­sun­gen (Hin­wei­se, kei­ne Über­mitt­lung der kon­kre­ten Inhal­te, die sol­len ja ver­schlüs­selt auf der Platt­form bleiben 🙂 )
  • Ter­min-Erin­ne­run­gen
  • Doku­men­ten­ver­sio­nie­rung
  • Jeder­zeit um wei­te­re Auf­ga­ben zu ergän­zen (z.B. wei­te­re iden­ti­fi­zier­te Schwach­stel­len außer­halb der Fra­gen der Arbeits­hil­fe, Doku­men­ta­ti­on der Bear­bei­tung von Daten­pan­nen etc.)
  • Aus­führ­li­ches Berichts­we­sen nach Kapi­teln, über das gesam­te Infor­ma­ti­ons­si­cher­heits­kon­zept oder nach Zuständigkeiten
  • Über­sich­ten über erle­dig­te /​ offe­ne Auf­ga­ben bzw. besei­tig­te /​ noch vor­han­de­ne Schwachstellen
  • Dis­kus­si­ons­platt­form zur Klä­rung von offe­nen Fragen
  • Betrieb in deut­schen Rechen­zen­tren (Ehren­sa­che)
  • uvm.

 

 

Inter­es­se geweckt an der Arbeits­hil­fe oder der Soft­ware-Lösung? Oder Fra­gen zum The­ma Infor­ma­ti­ons­si­cher­heits­kon­zept oder Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te? Spre­chen Sie uns an.

 

 

 

Infor­ma­ti­ons­si­cher­heits­kon­zept Arbeits­hil­fe V 3.0 erschie­nen — jetzt mit LSI Siegel

Wer benö­tigt ein Informationssicherheitskonzept?

Jede Orga­ni­sa­ti­on ist gefor­dert, die Anfor­de­run­gen aus Art. 32 DSGVO zu erfül­len. Da steht in Absatz 1:

Unter Berück­sich­ti­gung des Stands der Tech­nik, der Imple­men­tie­rungs­kos­ten und der Art, des Umfangs, der Umstän­de und der Zwe­cke der Ver­ar­bei­tung sowie der unter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwe­re des Risi­kos für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen tref­fen der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, um ein dem Risi­ko ange­mes­se­nes Schutz­ni­veau zu gewähr­leis­ten; die­se Maß­nah­men schlie­ßen gege­be­nen­falls unter ande­rem Fol­gen­des ein:

a) die Pseud­ony­mi­sie­rung und Ver­schlüs­se­lung per­so­nen­be­zo­ge­ner Daten;
b) die Fähig­keit, die Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Belast­bar­keit der Sys­te­me und Diens­te im Zusam­men­hang mit der Ver­ar­bei­tung auf Dau­er sicherzustellen;
c) die Fähig­keit, die Ver­füg­bar­keit der per­so­nen­be­zo­ge­nen Daten und den Zugang zu ihnen bei einem phy­si­schen oder tech­ni­schen Zwi­schen­fall rasch wiederherzustellen;
d) ein Ver­fah­ren zur regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Eva­lu­ie­rung der Wirk­sam­keit der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Gewähr­leis­tung der Sicher­heit der Verarbeitung.

Unter b) sind die Grund­wer­te der Infor­ma­ti­ons­si­cher­heit Ver­trau­lich­keit, Ver­füg­bar­keit und Inte­gri­tät genannt. Betrach­ten wir die Kurz­de­fi­ni­tio­nen aus der Infor­ma­ti­ons­si­cher­heit hierzu.

Ver­trau­lich­keit: Kei­ne unbe­rech­tig­te Kennt­nis­nah­me (bis hin zum Miß­brauch) der Infor­ma­tio­nen, weder durch Mit­ar­bei­ter noch durch Externe.

Inte­gri­tät: Die Infor­ma­tio­nen sind kor­rekt, voll­stän­dig und unver­fälscht. Ände­run­gen sind nach­voll­zieh­bar und rück­gän­gig zu machen.

Ver­füg­bar­keit: Die Infor­ma­tio­nen ste­hen zur rich­ti­gen Zeit am rich­ti­gen Ort zur Ver­fü­gung (nicht beschränkt auf IT-Ver­füg­bar­keit). [Ver­füg­bar­keit ist in der Tat erst an drit­ter Stel­le, auch wenn in der Pra­xis um das The­ma Aus­fall­zei­ten ger­ne der Tanz um das gol­de­ne Kalb stattfindet.]

Die­se Grund­wer­te der Infor­ma­ti­ons­si­cher­heit sicher­zu­stel­len, ist das Ziel eines jeden Infor­ma­ti­ons­si­cher­heits­kon­zepts, auch des Stan­dards der sog. “Arbeits­hil­fe”.

Unter­punkt d) ver­langt von Ihrer Orga­ni­sa­ti­on, die Wirk­sam­keit der im Hin­blick auf Ver­trau­lich­keit, Inte­gri­tät und Ver­füg­bar­keit ergrif­fe­nen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men regel­mä­ßig zu prü­fen und bei Bedarf nach­zu­jus­tie­ren oder geeig­ne­te zusätz­li­che bzw. ergän­zen­de Schutz­maß­nah­men ein­zu­füh­ren. Auch dies ist eine der Kern­funk­tio­nen eines funk­tio­nie­ren­den Informationssicherheitskonzepts.

Salopp gesagt, ver­langt die DSGVO von Orga­ni­sa­tio­nen in die­sem Fall nicht weni­ger als die Ein­füh­rung eines Infor­ma­ti­ons­si­cher­heits­kon­zepts und des­sen kon­ti­nu­ier­li­chen Betrieb. Klar kann man ver­su­chen, sich auch selbst ein Kon­zept zu “bas­teln”, bleibt nur die Fra­ge “Wie­so soll­te man das tun?”

Baye­ri­sche Kom­mu­nen sind per Gesetz (BayE­GovG) sogar dazu ver­pflich­tet, bis zum 01.01.2020 ein Infor­ma­ti­ons­si­cher­heits­kon­zept ein­ge­führt und im lau­fen­den Betrieb zu haben.

Bewähr­te Stan­dards wie die ISO 27001, der BSI IT-Grund­schutz, ISIS12 (als Ablei­tung aus dem IT-Grund­schutz) sind seit vie­len Jah­ren bewähr­te Stan­dards, um ein Infor­ma­ti­ons­si­cher­heits­kon­zept ein­zu­füh­ren, zu betrei­ben und damit auch die Anfor­de­run­gen aus Art. 32 DSGVO zu erfül­len. Die­se Stan­dards ska­lie­ren zwar auch für klei­ne­re Orga­ni­sa­tio­nen, sind den­noch sehr res­sour­cen­in­ten­siv. Hier hat für den kom­mu­na­len Bereich die Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne im Auf­trag der Baye­ri­schen Kom­mu­na­len Spit­zen­ver­bän­de ange­setzt und gera­de für klei­ne­re kom­mu­na­le Ein­rich­tun­gen durch a.s.k. Daten­schutz die “Arbeits­hil­fe zur Ein­füh­rung eines Infor­ma­ti­ons­si­cher­heits­kon­zepts nach Art. 11 BayE­GovG” ent­wi­ckeln las­sen. Die­ser Stan­dard basiert auf den Erkennt­nis­sen und Vor­ge­hens­wei­sen aus zahl­rei­chen IT-Grund­schutz-Pro­jek­ten sowie dem frü­he­ren “Quick Check Daten­schutz + Daten­si­cher­heit”. Ent­ge­gen der Bezeich­nung und ursprüng­li­chen Aus­rich­tung auf den kom­mu­na­len Bereich ist die “Arbeits­hil­fe” uni­ver­sell ein­setz­bar und natür­lich auch in Unter­neh­men ein­setz­bar. Hier­zu sind ledig­lich Begriff­lich­kei­ten anzu­pas­sen, statt Bür­ger­meis­ter heißt es dann eben Geschäftsführer.

Stan­dard für Infor­ma­ti­ons­si­cher­heit Arbeits­hil­fe Ver­si­on 3.0 erschienen

Am 26. Sep­tem­ber 2019 ist die Arbeits­hil­fe mitt­ler­wei­le in Ver­si­on 3.0 erschie­nen. Die Wei­ter­ent­wick­lung und Anpas­sung oblag erneut uns von der a.s.k. Daten­schutz. Neben Aktua­li­sie­run­gen z.B. bei Links zum gera­de auf­ge­frisch­ten BSI IT-Grund­schutz stand neben der Feh­ler­kor­rek­tur die Anpas­sung an das Sie­gel “Kom­mu­na­le IT-Sicher­heit” des Lan­des­amts für Sicher­heit in der Infor­ma­ti­ons­tech­nik — kurz LSI — in Nürn­berg im Vor­der­grund. Wenn Sie mehr über das LSI Sie­gel erfah­ren wol­len, fin­den Sie Details hier­zu in einem wei­te­ren Blog­bei­trag.

Kom­mu­na­le Ein­rich­tun­gen, die sich zur Ein­füh­rung eines Infor­ma­ti­ons­si­cher­heits­kon­zepts auf Basis der Arbeits­hil­fe ent­schei­den, erfül­len mit der Umset­zung die Anfor­de­run­gen des LSI zum Erhalt des Sie­gels “Kom­mu­na­le IT-Sicher­heit”. Das setzt natür­lich eine ernst­haf­te und ehr­li­che Bear­bei­tung der 9 Kapi­tel der Arbeits­hil­fe zur Infor­ma­ti­ons­si­cher­heit in der Kom­mu­ne voraus.

Hier geht es direkt zum Down­load der Arbeits­hil­fe V 3.0. Soll­te der Link nicht mehr funk­tio­nie­ren, nut­zen Sie bit­te die Start­sei­te der Inno­va­ti­ons­stif­tung und suchen die Ver­öf­fent­li­chung vom 28.09.2019.

Mit a.s.k. Daten­schutz und der Arbeits­hil­fe zum Sie­gel “Kom­mu­na­le IT-Sicherheit”

Wenn Sie sich bei der Ein­füh­rung der Arbeits­hil­fe in Ihrer Ver­wal­tung durch das Team von a.s.k. Daten­schutz unter­stüt­zen las­sen, dann über­neh­men wir am Ende die For­ma­li­tä­ten der not­wen­di­gen Anga­ben und Aus­künf­te gegen­über des LSI. Einem Erhalt des Sie­gels soll­te dann nichts mehr im Wege stehen.

Soll­ten wir Sie im Anschluß auch als exter­ne Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te betreu­en, küm­mern wir uns mit Ihnen gemein­sam auch um die Ver­län­ge­rung des Sie­gels nach Ablauf der 2 Jah­re Gül­tig­keits­dau­er. Dazu muss dem LSI der Wei­ter­be­trieb Ihres Infor­ma­ti­ons­si­cher­heits­kon­zepts belegt bzw. nach­ge­wie­sen wer­den. Auch dies wür­den wir von a.s.k. Daten­schutz übernehmen.

Übri­gens nut­zen wir zur Ein­füh­rung und zum Betrieb Ihres Infor­ma­ti­ons­si­cher­heits­kon­zepts auf Basis der Arbeits­hil­fe eine hoch­mo­der­ne und voll­ver­schlüs­sel­te Pro­jekt­platt­form. Damit wird die Bear­bei­tung der Punk­te zwar kein Kin­der­spiel, aber die Doku­men­ta­ti­on dazu erle­digt sich fast von selbst. Gleich­zei­tig ver­säu­men Sie und wir kei­ne Revi­si­ons­ter­mi­ne und Wie­der­vor­la­gen. Mehr Infos in die­sem Blog­bei­trag. Unse­re Platt­form ist bereits für Ver­si­on 3.0 der Arbeits­hil­fe aktua­li­siert und angepasst.

Unter­neh­men und die Arbeits­hil­fe als Informationssicherheitskonzept

Wie ein­gangs schon beschrie­ben, ist auch dies kein Pro­blem. In der Wort­wahl wer­den zwar kom­mu­na­le Funk­tio­nen adres­siert, aber die inhalt­li­chen Anfor­de­run­gen an Infor­ma­ti­ons­si­cher­heit sind zwi­schen Unter­neh­men und Behör­den iden­tisch. Erset­zen Sie in Gedan­ken ein­fach Begrif­fe wie “Bür­ger­meis­ter” mit “Geschäfts­füh­rer” und schon sind Sie in der Unter­neh­mens­welt angekommen.

Das ein­zi­ge Man­ko: Das LSI Sie­gel “Kom­mu­na­le IT-Sicher­heit” kann nur von kom­mu­na­len Ein­rich­tun­gen erwor­ben wer­den. Als Unter­neh­men sind Sie hier außen vor. Ger­ne unter­stüt­zen wir auch Ihr Unter­neh­men bei der Ein­füh­rung eines Informationssicherheitskonzepts.

Ange­bot Infor­ma­ti­ons­si­cher­heits­kon­zept für Kom­mu­nen bzw. Behörden

Sie wün­schen ein unver­bind­li­ches Ange­bot? Dann nut­zen Sie ein­fach unser ver­schlüs­sel­tes Anfra­ge-For­mu­lar. Wir mel­den uns zeit­nah bei Ihnen.

Unver­bind­li­ches Ange­bot anfordern

 

 

 

 

Arbeits­hil­fe der Inno­va­ti­ons­stif­tung und Baye­ri­sches Sie­gel “Kom­mu­na­le IT-Sicherheit”

Baye­ri­sches Sie­gel “Kom­mu­na­le IT-Sicherheit”

Das Baye­ri­sche Lan­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (kurz LSI) bie­tet seit Mai 2019 ein Prüf­sie­gel für den Umset­zungs­stand der Infor­ma­ti­ons­si­cher­heit in baye­ri­schen Kom­mu­nen an. Auf Basis einer Selbst-Aus­kunft kann die Kom­mu­ne damit eine Min­dest­ab­si­che­rung in der Infor­ma­ti­ons­si­cher­heit nach­wei­sen. Das Sie­gel ist unab­hän­gig vom ver­wen­de­ten ISMS-Stan­dard. Das Sie­gel hat eine Gül­tig­keits­dau­er von 2 Jah­ren. Eine Ver­län­ge­rung kann bean­tragt wer­den. Dazu muss die Kom­mu­ne jedoch die akti­ve Beschäf­ti­gung mit dem The­ma Infor­ma­ti­ons­si­cher­heit und den Betrieb des Infor­ma­ti­ons­si­cher­heits­kon­zepts nach­wei­sen. Wie bei “ech­ten” Zer­ti­fi­zie­run­gen kann ein erst­ma­lig erteil­tes Sie­gel also auch wie­der ent­zo­gen werden.

Kann mit dem Infor­ma­ti­ons­si­cher­heits­kon­zept “Arbeits­hil­fe” der Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne das Sie­gel erreicht werden?

Das Infor­ma­ti­ons­si­cher­heits­kon­zept “Arbeits­hil­fe” der Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne (Autor: Sascha Kuhr­au) ist selbst­ver­ständ­lich für den Erhalt des Sie­gels gerüs­tet. Jede Kom­mu­ne, die ihr Infor­ma­ti­ons­si­cher­heits­kon­zept auf Basis der Arbeits­hil­fe ein­ge­führt hat, kann bei ent­spre­chend kor­rek­ter Umset­zung die Vor­aus­set­zun­gen für den Erhalt des LSI Sie­gels erfüllen.

Als Autor der Arbeits­hil­fe und Lei­ter zahl­rei­cher kom­mu­na­ler Infor­ma­ti­ons­si­cher­heits­pro­jek­te sowie kom­mu­na­ler exter­ner Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ter unter­stüt­zen wir von a.s.k. Daten­schutz Sascha Kuhr­au Sie ger­ne bei der Ein­füh­rung und dem Betrieb eines kom­mu­na­len Infor­ma­ti­ons­si­cher­heits­kon­zepts und dem Erhalt des LSI Siegels.

Wo fin­de ich Infor­ma­tio­nen zum Baye­ri­schen Sie­gel “Kom­mu­na­le IT-Sicherheit”?

Das LSI stellt auf sei­ner Web­sei­te aus­führ­li­che Infor­ma­tio­nen bereit (exter­ner Link).

Was hat es mit der “Arbeits­hil­fe” auf sich und wo kann ich die­se beziehen?

Die Arbeits­hil­fe ist eine aus dem IT-Grund­schutz des BSI abge­lei­te­te Sys­te­ma­tik, um klei­ne kom­mu­na­le Ein­rich­tun­gen (aber auch klei­ne Fir­men) bei der Ein­füh­rung und dem Betrieb eines Infor­ma­ti­ons­si­cher­heits­kon­zepts zu unter­stüt­zen und zu beglei­ten. Sie wur­de im Auf­trag der Baye­ri­schen Kom­mu­na­len Spit­zen­ver­bän­de für die Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne durch die a.s.k. Daten­schutz Bera­tung Sascha Kuhr­au ent­wi­ckelt. Die Arbeits­hil­fe steht inter­es­sier­ten Orga­ni­sa­tio­nen kos­ten­frei zur Ver­fü­gung. Wei­te­re Infor­ma­tio­nen fin­den Sie auf der Web­sei­te der Inno­va­ti­ons­stif­tung (exter­ner Link).

Im Lau­fe des Jah­res 2019 wird die Arbeits­hil­fe in einer Ver­si­on 3.o erschei­nen, in der kon­kre­te Anpas­sun­gen für das LSI Sie­gel ent­hal­ten sind.

Bis­her gab es ledig­lich für die “gro­ßen” ISMS wie ISO 27001, BSI IT-Grund­schutz oder ISIS12 die Mög­lich­keit im Rah­men einer Zer­ti­fi­zie­rung einen Nach­weis über eine kor­rek­te Umset­zung des ISMS zu erhal­ten. Mit­tels des LSI Sie­gels kann nun auch die Arbeits­hil­fe mit einer sol­chen Art Nach­weis aufwarten.

Ihr Unter­neh­men benö­tigt einen exter­nen Datenschutzbeauftragten?

Kom­pe­ten­te Bera­tung, prag­ma­ti­sche Ein­füh­rung eines DSMS und anschlie­ßen­de Betreu­ung als exter­ner Daten­schutz­be­auf­trag­ter erhal­ten Sie selbst­ver­ständ­lich vom Team von a.s.k. Daten­schutz. For­dern Sie Ihr unver­bind­li­ches Ange­bot über unser For­mu­lar an. Wir mel­den uns bei Ihnen zeitnah.

Die mobile Version verlassen