Zum Inhalt springen

Informationssicherheit

ISMS-För­der­mit­tel­pro­gramm für baye­ri­sche Kom­mu­nen endet 31.12.2023

Die aktu­el­le ISMS-För­der­mit­tel­richt­li­nie zur finan­zi­el­len Unter­süt­zung der Ein­füh­rung eines Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tems im Sin­ne von Art. 43 Bay­DiG läuft zum 31.12.2023 aus. Eine Ver­län­ge­rung wur­de vom zustän­di­gen Staats­mi­nis­te­ri­um ver­neint. Eben­so eine abseh­ba­re Neuauflage.

Wenn Sie als baye­ri­sche Kom­mu­ne die Neu­ein­füh­rung eines ISMS auf Basis

  • Arbeits­hil­fe
  • CISIS12
  • VDS 10000
  • BSI IT-Grund­schutz (Kom­mu­nal­pro­fil, Basis‑, Stan­dard- oder Kernabsicherung)
  • ISO 27001

oder ein Upgrade eines klei­ne­ren vor­han­de­nen Stan­dards auf einen der höhe­ren Stan­dards pla­nen, dann soll­ten Sie sich mit der Bean­tra­gung von För­der­mit­teln beei­len. (Ach­tung: Dif­fe­renz­för­de­rung von ISIS12 zu CISIS12 ist nicht möglich.)

Laut Aus­sa­ge der För­der­mit­tel­stel­le auf der Web­sei­te soll­te Ihr Antrag spä­tes­tens am 15. Novem­ber 2023 ein­ge­gan­gen sein. Das hat meh­re­re Gründe:

  • Bei spä­te­rem Ein­gang kann eine För­der­zu­sa­ge recht­zei­tig vor Ablauf des Pro­gramms auf­grund des erhöh­ten Antrag­vo­lu­mens in der Schluß­pha­se nicht mehr garan­tiert werden.
  • Der För­der­mit­tel­topf war zwar groß, neigt sich aber den­noch dem Ende zu. Und wenn kei­ne För­der­mit­tel zur Ver­ga­be frei sind, ist es egal, wann der Antrag eingeht.

Sie brau­chen mit dem Pro­jekt jedoch nicht mehr in 2023 begin­nen. Ledig­lich der Antrag und die Bewil­li­gung müs­sen in 2023 über die Büh­ne sein. Der Beginn der Umset­zung kann in 2024 lie­gen. Sie kön­nen sich daher die­ses Jahr noch die För­der­mit­tel für die Jah­re 2024 ff. sichern.

Sie benö­ti­gen ein Ange­bot für die Unter­stüt­zung durch Bera­tung und Schu­lung von einem qua­li­fi­zier­ten Dienst­leis­ter. Qua­li­fi­ziert heißt, der Dienst­leis­ter muss sei­ne Eig­nung gegen­über der För­der­stel­le bele­gen kön­nen. Das kön­nen je nach gewähl­ter Norm sein:

  • Zer­ti­fi­kat CISIS12 Pro­fes­sio­nal /​ Offi­cer
  • Zer­ti­fi­kat BSI IT-Grund­schutz Prak­ti­ker /​ Bera­ter
  • Zer­ti­fi­kat ISO 27001 Officer

Das ist unab­hän­gig davon, ob Sie das ISMS neu ein­füh­ren oder ein bestehen­des ISMS upgraden. Unse­re Mit­ar­bei­ter sind selbst­ver­ständ­lich für alle Stan­dards zuge­las­sen. Bit­te beach­ten Sie: Das neue ISMS oder Upgrade soll­te zu Ihrer Orga­ni­sa­ti­on pas­sen. Da wir in allen oben genann­ten Nor­men zuhau­se sind, kön­nen wir Sie hier­zu orga­ni­sa­ti­ons­in­di­vi­du­ell bera­ten und müs­sen Ihnen nicht auf Gedeih und Ver­derb ledig­lich einen Stan­dard als den ein­zig rich­ti­gen Weg “ver­kau­fen”.

Zustän­dig ist die Regie­rung Ober­fran­ken. Alle Details und das Online-Antrags­for­mu­lar fin­den Sie unter https://​www​.regie​rung​.ober​bay​ern​.bay​ern​.de/​a​u​f​g​a​b​e​n​/​l​e​i​s​t​u​n​g​/​l​e​i​s​t​u​n​g​_​3​5​0​0​4​/​i​n​d​e​x​.​h​tml

Auch unse­re Res­sour­cen sind end­lich. Aber der­zeit könn­ten wir noch gut orga­ni­sier­te ISMS-Pro­jek­te in 2024 im Lau­fe des Jah­res unter­brin­gen. Anfra­gen bit­te an info@​ask-​informationssicherheit.​de oder über unse­ren Zen­tral­ruf 09155–263 99 70. Alter­na­tiv direkt über unser For­mu­lar (exter­ner Link).

Wir mel­den uns dann wegen wei­te­rer Details zur Ange­bots­er­stel­lung bei Ihnen.

WiBA — Weg in die Basis-Absi­che­rung — WiBA BSI

Nicht erst seit dem Aus­fall der Land­kreis­ver­wal­tun­gen Anhalt-Bit­ter­feld oder Rhein­pfalz ist bekannt, dass auch Kom­mu­nal­ver­wal­tun­gen durch­aus Nach­hol­be­darf beim The­ma Infor­ma­ti­ons­si­cher­heit haben. Auch klei­ne­re Kom­mu­nen sind betrof­fen und haben nicht weni­ger mit den Fol­gen zu kämp­fen. Der geschätz­te Jens Lan­ge, sei­nes Zei­chens ITSi­Be der Stadt Kas­sel betreibt hier­zu ein schö­nes Infor­ma­ti­ons­por­tal (Vie­len Dank an die­ser Stel­le, Jens, für Dei­ne Arbeit!) unter https://​kom​mu​na​ler​-not​be​trieb​.de

Doch auch Fir­men, eben­falls ganz unab­hän­gig von Bran­che und Grö­ße blei­ben von die­sem Pro­blem nicht ver­schont. Einen gro­ben Ein­druck, wie oft es knallt, kann man sich sehr gut unter https://​kon​brie​fing​.com/​d​e​-​t​o​p​i​c​s​/​h​a​c​k​e​r​a​n​g​r​i​f​f​-​d​e​u​t​s​c​h​l​a​n​d​.​h​tml verschaffen.

Bei­de Por­ta­le kön­nen nur einen Teil der Mise­re zei­gen, denn nicht jedes “Miss­ge­schick” in der Infor­ma­ti­ons­si­cher­heit bei Kom­mu­nen und Fir­men gelangt an die Öffent­lich­keit. Das bedeu­tet, die Dun­kel­zif­fer des Ver­sa­gens der Infor­ma­ti­ons­si­cher­heit (oder auch des Nicht­vor­han­den­seins) ist daher im Zwei­fel noch um eini­ges höher.

Nor­men für Informationssicherheit

Stan­dards für Infor­ma­ti­ons­si­cher­heit gibt es eini­ge auf dem Markt. Da gibt es z.B.

  • ISO 27001 (nati­ve oder auf Basis IT-Grundschutz)
  • Den IT-Grund­schutz des BSI (Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik) in den 3 Absi­che­rungs­stu­fen Basis, Kern und Standard
  • TISAX (gera­de im Auto­mo­ti­ve-Bereich ein sehr bekann­ter Vertreter)
  • CISIS12 (ehe­ma­lis ISIS12)
  • ISMS4KMO (als Stan­dard als Wei­ter­ent­wick­lung von ISIS12, aber auch als Tool für die ISO 27001 und den IT-Grundschutz)
  • “Arbeits­hil­fe” (eine Absi­che­rung in der Brei­te einer Orga­ni­sa­ti­on, ent­wi­ckelt von a.s.k. Daten­schutz im Auf­trag der Inno­va­ti­ons­stif­tung Baye­ri­sche Kommune)
  • SiKo­SH (Sicher­heits­kon­zept Schles­wig-Hol­stein) oder auch
  • VDS 10.000 ehe­mals 3473.

Es gibt noch wei­te­re Ver­tre­ter, doch wir haben uns auf die Stan­dards mit einer bekann­ten brei­ten Instal­la­ti­ons­ba­sis beschränkt. Dane­ben gibt es noch div. Schwach­stel­len-Tools, die jedoch zumeist ein­ma­li­ge Stär­ken-Schwä­chen-Ana­ly­sen dar­stel­len und kei­nen Fokus auf den Betrieb eines Infor­ma­ti­ons­si­cher­heits­kon­zepts legen. Dazu zäh­len z.B. ISA+ und andere.

Alle Nor­men haben eins gemein­sam: Infor­ma­ti­ons­si­cher­heit bedeu­tet Arbeit in fast allen Tei­len einer Orga­ni­sa­ti­on und kos­tet Zeit, Geld und Per­so­nal­res­sour­cen. Dazu haf­ten eini­gen Stan­dards nahe­zu sagen­haf­te Aus­sa­gen an wie “Der IT-Grund­schutz dau­ert min­des­tens 5 Jah­re in der Ein­füh­rung, egal wie groß die Orga­ni­sa­ti­on ist” oder “Für Stan­dard XYZ sind min­des­tens 50–60 exter­ne Bera­ter­ta­ge not­wen­dig”. Nun ja … In der Tat war der alte 100‑x Stan­dard des IT-Grund­schutz ein dickes, zu boh­ren­des Brett. Aber 5 Jah­re haben selbst Groß­or­ga­ni­sa­tio­nen dafür nie gebraucht. Und durch das sog. Kom­pen­di­um (200‑x) und die 3 Absi­che­rungs­stu­fen von unten nach oben wur­de ein zeit­ge­mä­ßer und nied­rig­schwel­li­ger Ein­stieg in den IT-Grund­schutz vom BSI geschaf­fen. Der frü­he­re Schre­cken hat sei­ne Daseins­be­rech­ti­gung ver­lo­ren. Und immens hohe Zah­len an exter­nen Bera­ter­ta­gen kön­nen — unab­hän­gig vom gewähl­ten Stan­dard — auch nur dann zustan­de­kom­men, wenn die eige­ne Orga­ni­sa­ti­on so gut wie kei­nen Selbst­ein­satz bei der Ein­füh­rung des Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tems leis­tet. Das mag bequem erschei­nen, auch wenn es teu­er ist, aber geht am Ziel und Zweck vor­bei. Schließ­lich wird Infor­ma­ti­ons­si­cher­heit durch die eige­ne Orga­ni­sa­ti­on betrie­ben und da hilft es wenig, wenn die gan­ze Arbeit durch Exter­ne geleis­tet wird (feh­len­des inter­nes Know-How, “Bera­ter-Trep­pe”).

WiBA — Weg in die Basis-Absicherung

Um den Ein­stieg in den IT-Grund­schutz nun noch nied­rig­schwel­li­ger anzu­set­zen als bereits mit der sog. Basis-Absi­che­rung gesche­hen, hat das BSI einen 18 Doku­men­te umfas­sen­den Fra­gen­ka­ta­log ent­wi­ckelt. Die­ser soll bei kon­se­quen­ter Bear­bei­tung aktu­el­le Schwach­stel­len in der Infor­ma­ti­ons­si­cher­heit (orga­ni­sa­to­risch, infra­struk­tu­rell, tech­nisch, pro­zes­su­al) auf­fin­den hel­fen, damit die­se im Anschluss besei­tigt wer­den kön­nen. Ein löb­li­cher Ansatz und gera­de für Orga­ni­sa­tio­nen geeig­net, die bis­her noch jeden Kon­takt mit dem The­ma gescheut haben.

Fol­gen­de The­men wer­den zur Zeit abgedeckt:

  1. Arbeit außer­halb der Institution
  2. Arbeit inner­halb der Insti­tu­ti­on /​ Haus­tech­nik
  3. Back­up
  4. Büro­soft­ware
  5. Cli­ent
  6. Dru­cker und Multifunktionsgeräte
  7. IT-Admi­nis­tra­ti­on
  8. Mobi­le Endgeräte
  9. Net­ze
  10. Orga­ni­sa­ti­on und Personal
  11. Out­sour­cing und Cloud
  12. Rol­len /​ Berech­ti­gun­gen /​ Authen­ti­sie­rung
  13. Ser­ver­raum
  14. Ser­ver­sys­te­me
  15. Sicher­heits­me­cha­nis­men
  16. Tele­fo­nie und Fax
  17. Umgang mit Informationen
  18. Vor­be­rei­tung für Sicherheitsvorfälle

Umfang­reich sind die Prüf­fra­gen sel­ten. So fin­den sich im Kapi­tel 6 Out­sour­cing und Cloud bei­spiels­wei­se 6 Prüf­fra­gen. Dar­aus wird auch die Inten­ti­on des nied­rig­schwel­li­gen Ein­stiegs u.a. durch einen redu­zier­ten Umfang sehr deutlich.

Der­zeit sind die Fra­ge­bö­gen im Word-For­mat als sog. Com­mu­ni­ty Drafts online gestellt. Das BSI for­dert expli­zit dazu auf, die­se zu nut­zen, zu prü­fen und Anre­gun­gen und Ergän­zun­gen zurück­zu­spie­len. Die­se Rück­mel­dun­gen sol­len dann in die fina­le Ver­si­on von WiBA — Weg in die Basis­ab­si­che­rung einfließen.

In der Hoff­nung, dass dem­nächst nicht wie­der alle Links auf den BSI Web­sei­ten umge­stellt wer­den, hier der direk­te Ein­sprung in das The­ma: https://​www​.bsi​.bund​.de/​D​E​/​T​h​e​m​e​n​/​U​n​t​e​r​n​e​h​m​e​n​-​u​n​d​-​O​r​g​a​n​i​s​a​t​i​o​n​e​n​/​S​t​a​n​d​a​r​d​s​-​u​n​d​-​Z​e​r​t​i​f​i​z​i​e​r​u​n​g​/​I​T​-​G​r​u​n​d​s​c​h​u​t​z​/​W​I​B​A​/​W​e​g​_​i​n​_​d​i​e​_​B​a​s​i​s​_​A​b​s​i​c​h​e​r​u​n​g​_​W​i​B​A​.​h​tml

Über­le­gun­gen zur aktu­el­len Gestal­tung /​ Umset­zung von WiBA — Weg in die Basis-Absicherung

WiBA kann durch­aus ein geeig­ne­ter Ein­stieg in das The­ma Infor­ma­ti­ons­si­cher­heit für Orga­ni­sa­tio­nen sein, die bis­her noch gar kei­nen Kon­takt mit dem The­ma hat­ten und erst mal “schnup­pern” wol­len. Dabei soll­te man im Hin­ter­kopf haben, dass es sich hier­bei nur um eine Schwach­stel­len­ana­ly­se anhand von Fra­ge­stel­lun­gen han­delt. Der zu einem ISMS gehö­ren­de PDCA-Zyklus inkl. der not­wen­di­gen Ver­ant­wort­lich­kei­ten, Auf­ga­ben und Pro­zes­sen ist nicht ent­hal­ten. Wie das BSI in der Manage­ment Sum­ma­ry selbst schreibt, kann WiBA — Weg in die Basis-Absi­che­rung nur der ers­te Schritt in das The­ma Infor­ma­ti­ons­si­cher­heit sein. Denn mit einer Schwach­stel­len­ana­ly­se allei­ne ist es nicht getan.

Posi­tiv fällt die Ver­knüp­fung der Prüf­fra­gen zu den Bau­stei­nen des IT-Grund­schut­zes auf. Das soll­te ein spä­te­res Upgrade in die Basis-Absi­che­rung erleich­tern, da sich ein Wie­der­erken­nungs­ef­fekt ein­stel­len wird. Doch das leis­ten auch ande­re Systematiken.

Wie­so man aus­ge­rech­net mit Word-Tabel­len gear­bei­tet hat, wird wohl ein Rät­sel blei­ben. Dem­je­ni­gen, der mit­tels die­ser Doku­men­te die Ergeb­nis­se doku­men­tie­ren und nach­hal­ten soll, bleibt nur viel Kraft und Geduld zu wünschen 🙂

WiBA liegt nun als Com­mu­ni­ty Draft vor, ist also noch nicht final fer­tig. Dem­ge­gen­über haben ande­re Kon­zep­te, die eben­falls einen nied­rig­schwel­li­gen Ein­stieg in das The­ma Infor­ma­ti­ons­si­cher­heit garan­tie­ren und dabei auch gleich den Grund­stein für den spä­te­ren Betrieb des ISMS legen, bereits mehr­jäh­ri­ge Wei­ter­ent­wick­lun­gen erfah­ren. Allen vor­an sei hier exem­pla­risch die Arbeits­hil­fe der Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne genannt, die erst­ma­lig 2016 erschie­nen ist und mitt­ler­wei­le in Ver­si­on 5 vor­liegt. Wie­so nun eine Eigen­ent­wick­lung auf­ge­legt wird, statt auf vor­han­de­ne Sys­te­ma­ti­ken zurück­zu­grei­fen oder die­se zu emp­feh­len, bleibt unklar. Ok, der Auf­wand für die Arbeits­hil­fe wäre höher. Aber man hät­te sich auch mit der Sys­te­ma­tik ISA+ des IT-Sicher­heits­clus­ters Regens­burg oder mit dem Rei­fe­grad-Modell “Kom­mu­na­le IT-Sicher­heit” des Lan­des­amts für Sicher­heit in der Infor­ma­ti­ons­tech­nik Bay­ern, kurz LSI zusam­men­tun kön­nen. Übri­gens: Auch wenn die Arbeits­hil­fe ursprüng­lich für Kom­mu­nen ent­wi­ckelt wur­de, kann die­se auch von Fir­men genutzt wer­den. Ob die Orga­ni­sa­ti­ons­lei­tung am Ende Bür­ger­meis­ter oder Geschäfts­füh­rer heißt, ändert nichts an den Sicher­heits­an­for­de­run­gen, höchs­tens am Risi­ko einer per­sön­li­chen Haf­tung 😉 Wer es pro­fes­sio­nell haben möch­te: Spre­chen Sie uns wegen einer Soft­ware-Umset­zung der Arbeits­hil­fe ger­ne an. Die damals vom Auf­trag­ge­ber vor­ge­ge­be­nen Word-Doku­men­te sind im lau­fen­den Betrieb des ISMS alles ande­re als handlich.

Hin­zu kommt: Wer bereits mit einem ISMS auf Basis von ISIS12, der Arbeits­hil­fe oder VDS aus­ge­stat­tet ist und die­se erfolg­reich in Betrieb hat, wird mit WiBA — Weg in die Basis-Absi­che­rung nicht glück­lich. Hier wäre zu emp­feh­len, gleich den fol­ge­rich­ti­gen Schritt in die BSI IT-Grund­schutz Basis-Absi­che­rung oder für Kom­mu­nen das sog. Kom­mu­nal­pro­fil im Rah­men der Basis-Absi­che­rung zu gehen.

Und nicht ver­ge­se­sen — wie schreibt es das BSI (nicht nur im Kon­text von WiBA — Weg in die Basis-Absi­che­rung) so tref­fend: Infor­ma­ti­ons­si­cher­heit ist Che­fin­nen- und Chef­sa­che! Und jeder Schritt hin zu mehr Infor­ma­ti­ons­si­cher­heit zählt. Von daher, well done, BSI!

Übri­gens freut sich auch der Daten­schutz­be­auf­trag­te, wenn das The­ma Infor­ma­ti­ons­si­cher­heit kon­se­quent und sys­te­ma­tisch in der Orga­ni­sa­ti­on umge­setzt wird. Das nimmt eini­ges an Druck aus dem Kes­sel im Hin­blick auf Art. 32 DSGVO Sicher­heit der Verarbeitung.

Save the date: BVS ISB Boot Camp Gun­zen­hau­sen 28.–29.03.2023

Nicht nur für akti­ve Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te inter­es­sant. Und nach­dem es die Pan­de­mie-Umstän­de zulas­sen, die­ses Jahr wie­der als 2‑tägige Vor-Ort-Veranstaltung:

ISB Boot Camp 2023 in Gun­zen­hau­sen am 28.03. und 29.03.2023

Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te, IT-Sicher­heits­be­auf­trag­te, aber auch Daten­schutz­be­auf­trag­te und IT-Lei­ter tref­fen sich zum Erfah­rungs­aus­tausch und Netz­wer­ken rund um aktu­el­le The­men der Infor­ma­ti­ons­si­cher­heit, der IT-Sicher­heit und des Daten­schut­zes. Dabei geht es nicht nur um aktu­el­le Bedro­hungs­la­gen, son­dern auch Lösun­gen aus der Pra­xis, um die­sen best­mög­lich zu begeg­nen. Tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, sowie prag­ma­ti­sche Lösungs­an­sät­ze, die sich im All­tag bewährt haben, ste­hen im Vor­der­grund der Ple­nums­bei­trä­ge und zahl­rei­chen Work­shops. Als Refe­ren­ten konn­ten zahl­rei­che akti­ve Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te aus Kom­mu­nal­ver­wal­tun­gen und Unter­neh­men gewon­nen wer­den, die ger­ne ihre Erfah­run­gen tei­len und sich freu­en, mit den Teil­neh­mern in inter­es­san­te Dis­kus­sio­nen einzutreten.

Auch das Lan­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik Bay­ern, kurz LSI ist wie­der mit von der Par­tie im dies­jäh­ri­gen ISB Boot Camp und stellt inter­es­san­te The­men vor. Dane­ben besteht natür­lich auch die Mög­lich­keit des direk­ten Aus­tauschs mit Mit­ar­bei­tern des LSI wäh­rend der gan­zen Veranstaltung.

Durch aus­rei­chen­de Pau­sen und auch im Zuge des Abend­pro­gramms am 28.02. steht allen Teil­neh­mern aus­rei­chend Zeit und Mög­lich­keit zum Erfah­rungs­austauch und Netz­wer­ken zur Verfügung.

Natür­lich dreht sich viel um tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men im All­tag der Infor­ma­ti­ons­si­cher­heit und des Daten­schut­zes. Aber auch stra­te­gi­sche The­men mit Blick nach vor­ne kom­men nicht zu kurz (Aus­zug):

  • ISMS — Wo geht die (bay­ri­sche) Rei­se hin?
  • Aus der Pra­xis eines Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten von 60 Kleinorganisationen
  • Tech­ni­sches Know-How für Infor­ma­ti­ons­si­cher­heits- und Datenschutzbeauftragte
  • Das ISMS /​ die TOM über­prü­fen — Per­mis­si­on rights reviews, Pene­tra­ti­ontests, inter­ne Audits, Flo­or­walks, wei­te­re Kennzahlen
  • ChatGPT und mög­li­che Aus­wir­kun­gen auf die Informationssicherheit
  • Win­dows Sup­port Anru­fe — wie ein Social Engi­neer in die Fal­le gelockt wurde
  • Schwach­stel­len­ma­nage­ment mit Tools in der Praxis
  • Low bud­get Phishingkampagne
  • Aktu­el­le Bedrohungslage
  • und immer wie­der ver­blüf­fend: Live Hacking

Die Agen­da des ISB Boot Camp füllt sich der­zeit noch mit wei­te­ren The­men und Beiträgen.

Durch­ge­führt wird das ISB Boot Camp — wie gehabt — von der Baye­ri­schen Ver­wal­tungs­schu­le. Wei­te­re Orga­ni­sa­to­ren sind die Stadt Gun­zen­hau­sen, das LSI und wir von der a.s.k. Daten­schutz. Es rich­tet sich jedoch nicht aus­schließ­lich an Mit­ar­bei­ter der Kommunalverwaltung.

Inter­es­se? Dann geht es hier zur Anmel­dung.

 

 

Arti­kel 32 DSGVO — Sicher­heit der Verarbeitung

Es dürf­te sich rum­ge­spro­chen haben: Per­so­nen­be­zo­ge­ne Daten sind zu schüt­zen. Das es dabei nur sekun­där um die per­so­nen­be­zo­ge­nen Daten an sich geht, son­dern pri­mär die Per­son vor Scha­den bewahrt wer­den soll, auf die sich die­se Daten bezie­hen (der sog. “Betrof­fe­ne”), wird den meis­ten Anwen­dern der DSGVO eben­falls klar sein. Doch was will der Gesetz­ge­ber hier eigent­lich von den sog. “Ver­ant­wort­li­chen”, also all den Unter­neh­men, Ver­ei­nen, Bun­des- und Lan­des­be­hör­den sowie Kom­mu­nal­ver­wal­tun­gen? Wer­fen wir mal einen Blick auf Arti­kel 32 DSGVO.

So steht es in Arti­kel 32 DSGVO

  1. Unter Berück­sich­ti­gung des Stands der Tech­nik, der Imple­men­tie­rungs­kos­ten und der Art, des Umfangs, der Umstän­de und der Zwe­cke der Ver­ar­bei­tung sowie der unter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwe­re des Risi­kos für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen tref­fen der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, um ein dem Risi­ko ange­mes­se­nes Schutz­ni­veau zu gewähr­leis­ten; die­se Maß­nah­men schlie­ßen gege­be­nen­falls unter ande­rem Fol­gen­des ein: a) die Pseud­ony­mi­sie­rung und Ver­schlüs­se­lung per­so­nen­be­zo­ge­ner Daten; b) die Fähig­keit, die Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Belast­bar­keit der Sys­te­me und Diens­te im Zusam­men­hang mit der Ver­ar­bei­tung auf Dau­er sicher­zu­stel­len; c) die Fähig­keit, die Ver­füg­bar­keit der per­so­nen­be­zo­ge­nen Daten und den Zugang zu ihnen bei einem phy­si­schen oder tech­ni­schen Zwi­schen­fall rasch wie­der­her­zu­stel­len; d) ein Ver­fah­ren zur regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Eva­lu­ie­rung der Wirk­sam­keit der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Gewähr­leis­tung der Sicher­heit der Verarbeitung.

  2. Bei der Beur­tei­lung des ange­mes­se­nen Schutz­ni­veaus sind ins­be­son­de­re die Risi­ken zu berück­sich­ti­gen, die mit der Ver­ar­bei­tung ver­bun­den sind, ins­be­son­de­re durch – ob unbe­ab­sich­tigt oder unrecht­mä­ßig – Ver­nich­tung, Ver­lust, Ver­än­de­rung oder unbe­fug­te Offen­le­gung von bezie­hungs­wei­se unbe­fug­ten Zugang zu per­so­nen­be­zo­ge­nen Daten, die über­mit­telt, gespei­chert oder auf ande­re Wei­se ver­ar­bei­tet wurden.

  3. Die Ein­hal­tung geneh­mig­ter Ver­hal­tens­re­geln gemäß Arti­kel 40 oder eines geneh­mig­ten Zer­ti­fi­zie­rungs­ver­fah­rens gemäß Arti­kel 42 kann als Fak­tor her­an­ge­zo­gen wer­den, um die Erfül­lung der in Absatz 1 des vor­lie­gen­den Arti­kels genann­ten Anfor­de­run­gen nachzuweisen.

  4. Der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter unter­neh­men Schrit­te, um sicher­zu­stel­len, dass ihnen unter­stell­te natür­li­che Per­so­nen, die Zugang zu per­so­nen­be­zo­ge­nen Daten haben, die­se nur auf Anwei­sung des Ver­ant­wort­li­chen ver­ar­bei­ten, es sei denn, sie sind nach dem Recht der Uni­on oder der Mit­glied­staa­ten zur Ver­ar­bei­tung verpflichtet.

Was will Arti­kel 32 DSGVO in der Praxis?

Dreh- und Angel­punkt sind die tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men, auch kurz TOM genannt. Mit­tels einer geeig­ne­ten Aus­wahl und Anwen­dung die­ser Schutz­maß­nah­men (qua­si eine Art Werk­zeug­kas­ten) sol­len per­so­nen­be­zo­ge­ne Daten vor den all­täg­li­chen Risi­ken bei deren Ver­ar­bei­tung (also Erhe­bung, Spei­che­rung, Nut­zung, aber auch beab­sich­tig­ter Löschung und Ver­nich­tung) geschützt wer­den. Dabei soll nicht alles an Schutz­maß­nah­men ergrif­fen wer­den, was irgend­wie geht, son­dern der Gesetz­ge­ber spricht von einer Ange­mes­sen­heit. Die Schutz­maß­nah­men müs­sen also zum Schutz­wert der betrof­fe­nen per­so­nen­be­zo­ge­nen Daten pas­sen. Dabei sol­len dann auch Fak­to­ren wie die Ein­tritts­wahr­schein­lich­keit und das zu erwar­ten­de Scha­dens­aus­maß für den Betrof­fe­nen — ganz wich­tig: nicht für die eige­ne Orga­ni­sa­ti­on — berück­sich­tigt werden.

Inter­es­san­ter­wei­se erfin­det “der Daten­schutz” hier das Rad mal nicht neu.  Wir fin­den Punk­te wie

  • Ver­trau­lich­keit,
  • Inte­gri­tät und
  • Ver­füg­bar­keit,
  • die Sicher­stel­lung der Wie­der­her­stell­bar­keit von Daten z.B. im Rah­men von Busi­ness Con­ti­nui­ty Manage­ment und Not­fall­ma­nage­ment, aber auch
  • Revi­si­ons­zy­klen (PDCA) zur Über­prü­fung der Wirk­sam­keit vor­han­de­ner Schutz­maß­nah­men sowie zur
  • Iden­ti­fi­ka­ti­on von mög­li­cher­wei­se zusätz­li­chen oder anzu­pas­sen­den Schutz­maß­nah­men auf­grund neu­er Risi­ken oder Ver­än­de­run­gen an bestehen­den Risiken.

Und ganz egal, ob man das hören mag oder nicht: Am Ende beschrei­ben die­se Punk­te und Begriff­lich­kei­ten ein klas­si­sches Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tem, kurz ISMS. Wer sich mit dem The­ma Infor­ma­ti­ons­si­cher­heit schon näher befasst hat, wird fest­stel­len: Per­so­nen­be­zo­ge­ne Daten sind eine Unter­men­ge der schüt­zens­wer­ten Infor­ma­tio­nen einer Orga­ni­sa­ti­on. Na, schau mal einer an.

Schreibt Arti­kel 32 DSGVO nun ein ISMS vor?

Die Begrif­fe Infor­ma­ti­ons­si­cher­heit oder ISMS fal­len zwar nicht wört­lich, aber gera­de die in Arti­kel 32 Absatz 1 DSGVO genann­ten Punk­te, beschrei­ben dem Sinn nach nichts ande­res als ein Infor­ma­ti­ons­si­cher­heits­kon­zept bzw. ISMS. Das bedeu­tet nun nicht, dass man ein sol­ches ISMS zur Ein­hal­tung von Art. 32 DSGVO ein­füh­ren muss, um rechts­kon­form unter­wegs zu sein. Aber es wird halt müh­se­lig. Gut, es gibt immer Men­schen und Orga­ni­sa­tio­nen, die mögen es umständlich 🙂

Was liegt also näher, als sich die­sen Anfor­de­run­gen sys­te­ma­tisch zu nähern, statt ein­fach wild ein paar mög­li­cher­wei­se geeig­ne­te Schutz­maß­nah­men zusam­men­zu­schus­tern? Und sobald man ein Infor­ma­ti­ons­si­cher­heits­kon­zept ein­ge­führt hat, geht es ja nicht nur den per­so­nen­be­zo­ge­nen Daten gut. Auch alle ande­ren “Kron­ju­we­len” einer Orga­ni­sa­ti­on füh­len sich behü­tet und beschützt. Also gleich meh­re­re Flie­gen mit einer Klap­pe erschla­gen. Grü­ße vom tap­fe­ren Schneiderlein.

Dabei soll­te man jedoch im Hin­ter­kopf behal­ten, dass Infor­ma­ti­ons­si­cher­heit sich im Rah­men der sog. Risi­ko­ana­ly­se vor­ran­gig mit den Aus­wir­kun­gen auf die Orga­ni­sa­ti­on befasst. Die Fra­ge­stel­lung lau­tet zu Beginn: Was für Aus­wir­kun­gen haben die Ver­let­zung der Ver­trau­lich­keit, Inte­gri­tät oder Ver­füg­bar­keit von schüt­zens­wer­ten Infor­ma­tio­nen (und damit sind per­so­nen­be­zo­ge­ne Daten ein­ge­schlo­sen) für mei­ne Orga­ni­sa­ti­on im Hin­blick auf

  • mög­li­che Ver­trags­ver­let­zun­gen und Rechtsverstöße,
  • finan­zi­el­le Schä­den wie Ver­trags­stra­fen, Buß­gel­der oder auch Schadenersatz,
  • nega­ti­ve Aus­wir­kun­gen auf Repu­ta­ti­on /​ Image,
  • mög­li­che Beein­träch­ti­gung der Aufgabenerfüllung,
  • mög­li­che Beein­träch­ti­gun­gen der infor­ma­tio­nel­len Selbst­be­stim­mung (Daten­schutz) und
  • bei einem Side­kick in Rich­tung Not­fall­ma­nage­ment auch Gefahr für Leib und Leben.

Die Risi­ken im Bereich Daten­schutz wer­den zwar schon grob erfasst, aber im Hin­blick auf die Aus­wir­kun­gen für die Orga­ni­sa­ti­on. Der Trick besteht dar­in, mög­li­che Risi­ken für den Betrof­fe­nen wie Iden­ti­täts­dieb­stahl oder Ver­lust sei­ner Betrof­fe­nen­rech­te und noch wei­te­rer Punk­te zu inklu­die­ren. Kein Hexen­werk. Und vor allem muss man das Rad nicht neu erfinden.

Wel­che Sys­te­ma­tik für ein Infor­ma­ti­ons­si­cher­heits­kon­zept darf es denn sein?

Das Schö­ne ist, es gibt auf dem Markt seit Jahr­zehn­ten bewähr­te und kon­ti­nu­ier­lich wei­ter­ent­wi­ckel­te Stan­dards für Infor­ma­ti­ons­si­cher­heit. Und selbst wenn die­se die Aus­wir­kun­gen im Daten­schutz für den Betrof­fe­nen nicht bereits inklu­diert haben, sind die­se in der Risi­ko­be­trach­tung mit weni­gen Hand­grif­fen inte­griert und berück­sich­tigt. “That’s no rocket science!”

Sicher ken­nen vie­le Leser eine ISO 27001 als welt­wei­te Norm für Infor­ma­ti­ons­si­cher­heit oder auch den IT-Grund­schutz des Bun­des­amts für Sicher­heit in der Infor­ma­ti­ons­tech­nik (kurz BSI). Es hält sich das Gerücht hart­nä­ckig, die­se sei­en für klei­ne und kleins­te Orga­ni­sa­tio­nen viel zu groß und auf­wän­dig. Die Pra­xis zeigt, dem ist nicht so. Aber selbst, wenn man die­ser Argu­men­ta­ti­on folgt, so gibt es Alter­na­ti­ven wie (Rei­hen­fol­ge nicht wertend)

  • ISIS12 /​ CISIS12 — ein Infor­ma­ti­ons­si­cher­heits­kon­zept in 12 Schritten
  • SiKo­SH — in 7 Schrit­ten zu einem ISMS
  • VDS 10000 — ehe­mals 3473, ursprüng­lich ein Fra­ge­bo­gen für Risi­ken im Bereich Cybersicherheit
  • TISAX — im Kon­text von Auto­mo­bil­zu­lie­fe­rern weit ver­brei­tet oder
  • das unter dem Titel “Arbeits­hil­fe” bekann­te Kon­zept zu Ein­füh­rung und Betrieb eines ISMS der Inno­va­ti­ons­stif­tung Bay­ri­sche Kommune.

Dar­über­hin­aus gibt es auch noch wei­te­re Sys­te­ma­ti­ken und Vor­ge­hens­wei­sen, aber wir beschrän­ken uns mal auf die oben genann­ten Ver­tre­ter. Unse­re Emp­feh­lung lau­tet stets: Nut­zen Sie eine der vor­han­de­nen Vor­ge­hens­wei­sen und erfin­den Sie das Rad bit­te nicht neu. War­um? Die­se Vor­ge­hens­wei­sen /​ Ver­tre­ter für ein ISMS

  • haben sich über lan­ge Zeit in der Pra­xis bewährt,
  • sind für jede Art von Orga­ni­sa­ti­on anwend­bar, da — welch’ Über­ra­schung — Infor­ma­ti­ons­si­cher­heit uni­ver­sell ist,
  • decken alle­samt stets die Min­dest­an­for­de­run­gen an Infor­ma­ti­ons­si­cher­heit ab,
  • sind ska­lier­bar im Hin­blick auf Orga­ni­sa­ti­ons­grö­ßen aber auch auf das zu errei­chen­de Sicherheitsniveau,
  • spa­ren Ihnen Zeit und Nerven,
  • hel­fen, gern gemach­te Feh­ler bei Ein­füh­rung und Betrieb eines ISMS von vorn­her­ein zu ver­mei­den (RTFM).

Die “Arbeits­hil­fe” — der idea­le Ein­stieg in Arti­kel 32 DSGVO für klei­ne und gro­ße Einrichtungen

Wes­sen Orga­ni­sa­ti­on noch so gar kei­ne Erfah­rung hat mit dem The­ma Infor­ma­ti­ons­si­cher­heit oder die ISO 27001 und dem IT-Grund­schutz für zu wuch­tig hält, steigt idea­ler­wei­se über die “Arbeits­hil­fe” in das The­ma ein. Damit kön­nen grö­ße­re Orga­ni­sa­tio­nen ers­te Erfah­run­gen sam­meln, bevor es danach mit “grö­ße­ren” Stan­dards ans Ein­ge­mach­te geht. Und bei klei­ne­ren Ein­rich­tun­gen kommt man bei kon­se­quen­ter Anwen­dung des Stan­dards “Arbeits­hil­fe” bereits zu einem funk­tio­nie­ren­den ISMS mit dazu­ge­hö­ri­gen PDCA-Zyklus.

Die­ser Stan­dard wur­de 2016 im Auf­trag der Bay­ri­schen Kom­mu­na­len Spit­zen­ver­bän­de von uns für die Inno­va­ti­ons­stif­tung Bay­ri­sche Kom­mu­ne ent­wi­ckelt. Mitt­ler­wei­le ist Ver­si­on 4.0 aktu­ell. Ein Update auf Ver­si­on 5.0 wird vor­aus­sicht­lich in 2023 erschei­nen. Ist der Stan­dard dann über­haupt für Unter­neh­men und Ver­ei­ne geeig­net, wenn er doch aus dem kom­mu­na­len Bereich stammt? Ja klar. Wie zuvor schon geschrie­ben, ist Infor­ma­ti­ons­si­cher­heit eine uni­ver­sel­le Ange­le­gen­heit, die vom anzu­stre­ben­den Schutz­wert für schüt­zens­wer­te Infor­ma­tio­nen aus­geht. Dabei ist es uner­heb­lich, ob eine Fir­ma oder eine Ver­wal­tung Infor­ma­ti­ons­si­cher­heit betreibt. Der ein­zi­ge Knack­punkt bei Nut­zung der Arbeits­hil­fe: Gele­gent­lich muss man Begriff­lich­kei­ten wie Bür­ger­meis­ter, Land­rat oder Ver­wal­tung gegen die Pen­dants aus der frei­en Wirt­schaft tau­schen. Aber das bekom­men Sie hin 🙂

In 9 Kapi­teln führt die “Arbeits­hil­fe” eine Orga­ni­sa­ti­on in die not­wen­di­gen Anfor­de­run­gen für ein ISMS ein und legt die Grund­la­gen für den spä­te­ren Betrieb im Hin­blick auf “ein Ver­fah­ren zur regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Eva­lu­ie­rung der Wirk­sam­keit der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Gewähr­leis­tung der Sicher­heit der Ver­ar­bei­tung.” Gleich­zei­tig unter­stützt die Sys­te­ma­tik bei der Ent­de­ckung mög­li­cher Schwach­stel­len und zeigt Lösungs­we­ge auf, die­se zeit­nah zu beseitigen.

Die Sys­te­ma­tik, Anlei­tung und Doku­men­te zur Bear­bei­tung der “Arbeits­hil­fe” ste­hen kos­ten­frei zum Down­load zur Ver­fü­gung. Im ers­ten Durch­lauf wer­den auch kei­ne Inves­ti­tio­nen in eine ISMS-Soft­ware not­wen­dig. Im lau­fen­den Betrieb emp­fiehlt sich die­se dann spä­ter jedoch, um die Doku­men­ta­ti­on und regel­mä­ßi­ge Nach­prü­fung, aber auch das Berichts­we­sen zu erleich­tern. Bei Inter­es­se an einer sol­chen Lösung spre­chen Sie uns bit­te an.

Klei­nes Schman­kerl: Je nach Bun­des­land kön­nen För­der­mit­tel aus diver­sen Töp­fen zur Erhö­hung der Infor­ma­ti­ons­si­cher­heit oder IT-Sicher­heit oder Digi­ta­li­sie­rung ange­zapft wer­den. Wenn Sie sich also zur Unter­stüt­zung und Beglei­tung der Ein­füh­rung oder auch für Mit­ar­bei­ter­schu­lun­gen exter­ne Hil­fe her­an­ho­len, kön­nen die Aus­ga­ben hier­für geför­dert werden.

Wei­te­re Infos zur Arbeits­hil­fe fin­den Sie hier auf unse­rem Blog.

Wenn man ein sol­ches ISMS dann auch noch mit einem funk­tio­nie­ren­den Daten­schutz­ma­nage­ment­sys­tem (DSMS) ver­knüpft, dann hat man eini­ge Sor­gen weni­ger bzw. sich unnö­ti­ge Umstän­de und Mühen auf­grund unsys­te­ma­ti­scher Vor­ge­hens­wei­sen erfasst. Gleich­zei­tig hat man, den akti­ven Betrieb bei­der Sys­te­me vor­aus­ge­setzt, auch nicht ban­ge zu sein, soll­te die Lan­des­da­ten­schutz­be­hör­de mal klin­geln. Und das ist viel wert. Das wis­sen zumin­dest die Orga­ni­sa­tio­nen, bei denen das schon der Fall war 😉

 

WLAN Zugangs­da­ten unge­schützt am Fritz!Fon

Gele­gent­lich kann man ein­fach nur den Kopf schüt­teln. Hilft zwar nicht bei der Suche nach einer plau­si­blen Ant­wort, aber irgend­wie geht es einem doch etwas bes­ser. So auch in die­sem Fall. Wie­so wir mit dem Kopf schüt­teln? Nun, die Fra­ge lau­tet: Wer denkt sich so etwas aus? Auf jeden Fall ein typi­sches Bei­spiel für “Kom­fort geht über Sicher­heit”. Und da wis­sen nun eigent­lich (fast) alle, dass dies nicht immer unbe­dingt der bes­te Ansatz ist. Doch was war passiert?

WLAN Zugangs­da­ten im Klar­text im Fritz!Fon einsehbar

Wir trau­ten unse­ren Augen kaum, als wir die Tage mehr zufäl­lig auf den Unter-Menü­punkt WLAN im Menü Heim­netz eines Fritz!Fox gekom­men sind.

Bei Aus­wahl der Opti­on WLAN-Zugangs­da­ten und Gast-Zugangs­da­ten sind die WLAN-Netz­werk­na­men und die dazu­ge­hö­ri­gen Zugangs­pass­wör­ter im Klar­text ein­seh­bar. Über die Funk­tio­nen WLAN-QR-Code und Gast-QR-Code ist via Kame­ra eines Smart­phones oder Tablets mit wenig Hand­grif­fen eine Ver­bin­dung her­ge­stellt. Schutz davor? Keiner!

In geschlos­se­nen Fami­li­en-Bio­to­pen oder in Zei­ten tota­ler Coro­na-Iso­la­ti­on ohne Gäs­te und Besu­cher zuhau­se, mag das eine total coo­le Kom­fort-Funk­ti­on sein. In allen ande­ren Fäl­len dann doch eher einer Schwach­stel­le. Aber auch die ein­fa­che Mög­lich­keit, dar­über das inter­ne WLAN oder Gast-WLAN per Knopf­druck aus­zu­schal­ten, kann für kurz­wei­li­ge Unter­hal­tung sor­gen. Kurz vor dem Ver­ab­schie­den mal eben das WLAN deak­ti­vie­ren, ent­spannt nach Hau­se fah­ren und dabei grin­send über­le­gen, wie der soeben besuch­te Haus­herr oder die Haus­her­rin krampf­haft nach dem Feh­ler im Sys­tem sucht, weil auf ein­mal kei­ner­lei WLAN-Zugrif­fe und Gerä­te mehr funk­tio­nie­ren. Was haben wir gelacht .…

Kein Hin­weis auf die­se Funk­ti­on im Hand­buch der Fritz!Box und des Fritz!Fons

Stand 22.01.2023 fin­den sich in den Hand­bü­chern kei­ner­lei Hin­wei­se auf die­ses mög­li­che Sicher­heits­ri­si­ko. Als Nut­zer die­ser Hard­ware wird man daher wohl mehr zufäl­lig auf die­sen Umstand stoßen.

Abhil­fe über das DECT-Menü in der Fritz!Box

Glück­li­cher­wei­se gibt es die Mög­lich­keit, den Zugriff auf die­ses Menü des Fritz!Fon zu deak­ti­vie­ren. Doch wer dabei im Tele­fon selbst sucht, der wird nicht fün­dig. Hier­zu muss man auf die Ober­flä­che der Fritz!Box selbst wech­seln, sich anmel­den und in das Menü Tele­fo­nie /​ DECT wech­seln. Etwas nach unten scrol­len und dort fin­det sich der Punkt “Zugriffs­schutz”. Hier die Check­box “Zugriffs­schutz für WLAN /​ Gastzgang) akti­vie­ren und eine siche­re PIN (0000, 1234 oder das eige­ne Geburts­da­tum 😉 ) vergeben.

Damit ist der Spuk dann auch auf dem Fritz!Fon been­det, wie man im nächs­ten Screen­shot sehen kann. Sobald man dort nun erneut auf den Menü­punkt Heim­netz /​ WLAN wech­selt, wird man zur Ein­ga­be der zuvor an der Fritz!Box ein­ge­stell­ten PIN aufgefordert.

Wie­so die­ser Zugriffs­schutz nicht von vorn­her­ein akti­viert ist oder es zumin­dest deut­li­che Hin­wei­se auf die­se Funk­ti­on gibt, bleibt ein Rät­sel. Der Her­stel­ler selbst weist auf die Mög­lich­keit des Schut­zes durch eine PIN ledig­lich in der Online-Wis­sens­da­ten­bank hin. Das geht besser.

Gäs­te den­noch kom­for­ta­bel ins WLAN lassen

Dazu wech­selt man in das WLAN Menü der Fritz!Box in den Punkt Funk­netz. Unter den Namen des WLAN und Gäs­te-WLAN fin­det sich rechts ein Ein­trag “Info­blatt dru­cken”. Im Ergeb­nis erhält man ein schi­ckes DIN A4-PDF mit dem QR-Code für das Gäs­te-WLAN sowie dem Namen und Zugangs­pass­wort. Aus­dru­cken, lami­nie­ren und netz­be­dürf­ti­gen Besu­chern zum Ein­log­gen in die Hand drü­cken. Das inter­ne WLAN soll­te für Gäs­te eh tabu sein. Oder?

Check­lis­te Daten­schutz im Home-Office

Check­lis­te Daten­schutz im Home-Office

Ob Coro­na nun vor­über ist oder nicht, dar­über sol­len sich ande­re strei­ten. Was jedoch in vie­len Orga­ni­sa­tio­nen nicht vor­über ist, ist das The­ma Home-Office. Zu Beginn der Pan­de­mie von dem einen oder ande­ren Arbeit­ge­ber mög­li­cher­wei­se nur als Work­around gedacht, ist das Home-Office gekom­men, um zu blei­ben. Da vie­le Orga­ni­sa­tio­nen auf das The­ma über­haupt nicht vor­be­rei­tet waren (Stich­wort Not­fall­ma­nage­ment Unter­punk­te Pan­de­mie und Per­so­nal­aus­fall 🙂 ),  muss­te es 2020 schnell gehen. Inte­rims­lö­sun­gen bzw. Not­nä­gel wur­den geschaf­fen, Haupt­sa­che erst mal arbeits­fä­hig sein. Daten­schutz und Infor­ma­ti­ons­si­cher­heit stan­den dabei nicht immer so im Fokus, wie es den tech­ni­schen und orga­ni­sa­to­ri­schen Risi­ken durch Home-Office ange­mes­sen gewe­sen wäre. Umso wich­ti­ger ist es nun, sich in der aktu­el­len Ver­schnauf­pau­se dem The­ma aus Sicht des Daten­schut­zes und der Infor­ma­ti­ons­si­cher­heit sys­te­ma­tisch zu nähern. Dabei gilt es, mög­li­cher­wei­se schon vor­han­de­ne Schutz­maß­nah­men und Aspek­te zur Risi­ko­ver­mei­dung auf Wirk­sam­keit zu prü­fen, aber auch noch bestehen­de orga­ni­sa­to­ri­sche und tech­ni­sche Schwach­stel­len zu iden­ti­fi­zie­ren und zu besei­ti­gen. Wir haben unse­ren Kun­den im Zuge der gera­de durch­star­ten­den Pan­de­mie im Früh­jahr 2020 eine Check­lis­te Daten­schutz im Home-Office erstellt und zur Ver­fü­gung gestellt. Damit konn­te zumin­dest schon mal grob geprüft wer­den, ob die wich­tigs­ten Aspek­te in all dem Drun­ter und Drü­ber berück­sich­tigt wur­den. Und wer uns kennt, der weiß, wir haben dabei nicht nur um das gol­de­ne Kalb Daten­schutz getanzt, son­dern das The­ma gesamt­or­ga­ni­sa­to­risch beleuch­tet. Von daher sind in der Check­lis­te Daten­schutz im Home-Office auch grund­le­gen­de Anfor­de­run­gen der Infor­ma­ti­ons­si­cher­heit ent­hal­ten, die sin­ni­ger­wei­se kei­ne Unter­schei­dung zwi­schen Per­so­nen­be­zug oder nicht machen, son­dern gene­rell das Schutz­ni­veau für Infor­ma­tio­nen aller Art ver­bes­sern. Klar durf­te dann auch das The­ma Schu­lung und Sen­si­bi­li­sie­rung von Mit­ar­bei­tern nicht feh­len. Auch wenn es die eine oder ande­re Orga­ni­sa­ti­ons­lei­tung oder Füh­rungs­kraft nervt 😉

Sys­te­ma­tik der Check­lis­te Daten­schutz im Home-Office

Zu Beginn gab es nur eine Check­lis­te für alle uns in den Sinn gekom­me­nen Prüf­punk­te und Anfor­de­run­gen aus Sicht des Daten­schut­zes und der Infor­ma­ti­ons­si­cher­heit. Prüf­punk­te waren bzw. sind:

  • Hard­ware-Ein­satz (Gestel­lung oder BYOD)
  • Anfor­de­run­gen an den Arbeits­platz zuhause
  • Umgang mit Papierdokumenten
  • Ein­satz von Videokonferenzsystemen
  • Gene­rel­le Anfor­de­run­gen tech­ni­sche Sicherheit
  • Nut­zung von Cloud-Diens­ten z.B. Datei­ab­la­ge oder Kollaborationstools
  • Nut­zung von Messengern
  • All­ge­mei­ne orga­ni­sa­to­ri­sche Anfor­de­run­gen (Rege­lun­gen, Richt­li­ni­en, Schu­lung, Ein­wei­sung etc.)

Dar­in waren sowohl Anfor­de­run­gen für Daten­schutz im Home-Office auf Arbeit­ge­ber­sei­te, aber auch aus Sicht des Arbeit­neh­mers im eige­nen Zuhau­se ent­hal­ten.  Schnell haben wir erkannt, dass dies nicht prak­ti­ka­bel ist und aus einer Check­lis­te Daten­schutz im Home-Office zwei sepa­ra­te Lis­ten gebas­telt. Es gibt daher nun die Check­lis­te Daten­schutz im Home-Office aus Sicht

  • des Arbeit­ge­bers und
  • des Arbeit­neh­mers.

Check­lis­te Home-Office für Arbeitgeber

Die­se etwas umfang­rei­che­re Check­lis­te für den Arbeit­ge­ber befasst sich inten­siv mit den Anfor­de­run­gen an und Vor­aus­set­zun­gen für tech­ni­sche und orga­ni­sa­to­ri­sche Sicher­heit, die der Arbeit­ge­ber sicher­stel­len bzw. erst mal schaf­fen muss, damit im Home-Office daten­schutz­kon­form und aus Sicht der Infor­ma­ti­ons­si­cher­heit “sicher” gear­bei­tet wer­den kann. Dar­in sind u.a. auch Punk­te wie die Auf­trags­ver­ar­bei­tung nach Art. 28 DSGVO für exter­ne Cloud-Ser­vices und auch admi­nis­tra­ti­ve Vor­ein­stel­lun­gen auf Sei­ten der genutz­ten Tech­ni­ken ent­hal­ten, die für den Arbeit­neh­mer bei sei­ner Tätig­keit im Home-Office jetzt eher weni­ger span­nend bzw. von Inter­es­se sind.

Mit­tels der Check­lis­te Daten­schutz im Home-Office kann schnell und ein­fach durch den Arbeit­ge­ber geprüft wer­den, ob

  • die wich­tigs­ten (tech­ni­schen) Vor­aus­set­zun­gen für siche­res Arbei­ten im Home-Office geschaf­fen sind,
  • die recht­li­chen Anfor­de­run­gen aus Sicht der DSGVO (wie Auf­trags­ver­ar­bei­tung) berück­sich­tigt sind,
  • alles ordent­lich gere­gelt, doku­men­tiert und für alle Betei­lig­ten leicht ver­ständ­lich beschrie­ben ist sowie
  • die Mit­ar­bei­ter aus­rei­chend ein­ge­wie­sen und sen­si­bi­li­siert sind.

Wo ein Haken in der Check­lis­te fehlt, besteht im Zwei­fel noch Hand­lungs­be­darf. Auch jetzt noch, 2 Jah­re später 😉

Check­li­s­te­Home-Office für Arbeitnehmer

Die­se deut­lich kür­ze­re Check­lis­te befasst sich mit den Aspek­ten, die im Home-Office auf Sei­ten des Arbeit­neh­mers erfüllt sein soll­ten. Mit­tels der Prüf­punk­te kann der Mit­ar­bei­ter che­cken, ob er “rea­dy to go” ist im Home-Office und auch auf sei­ner Sei­te die Vor­aus­set­zun­gen für einen siche­ren und daten­schutz­kon­for­men Ein­satz im Home-Office gewähr­leis­tet sind. Mög­li­cher­wei­se erge­ben die Prüf­punk­te jedoch auch, dass noch es noch an gewis­sen Unter­stüt­zungs­maß­nah­men sei­tens des Arbeit­ge­bers fehlt. Die­se kön­nen anhand der Check­lis­te iden­ti­fi­ziert, pro­to­kol­liert und an den Arbeit­ge­ber mit der Bit­te um Erle­di­gung gesen­det wer­den. Gleich­zei­tig dient die Check­lis­te für Arbeit­neh­mer als klei­ne Gedan­ken­stüt­ze für die not­wen­di­gen Sicher­heits­maß­nah­men im Home-Office, die der Arbeit­neh­mer nicht nur ein­ma­lig, son­dern über die gan­ze Zeit im Home-Office sicher­stel­len sollte.

Wei­te­rer Bene­fit der Checklisten

Neben der Selbst­über­prü­fung, ob an alles Wich­ti­ge und Not­wen­di­ge für einen siche­ren und daten­schutz­kon­for­men Ein­satz im Home-Office gedacht wur­de, ist die Zwei­tei­lung auch noch für etwas ande­res gut. Cle­ve­re Kun­den von uns haben die Check­lis­te Daten­schutz im Home-Office für Arbeit­neh­mer von Ihren Mit­ar­bei­tern früh­zei­tig aus­fül­len las­sen, um fest­zu­stel­len, was gene­rell vom Arbeit­ge­ber geschaf­fen /​ gestellt wer­den muss, damit Home-Office über­haupt erst sicher mög­lich ist. Im zwei­ten Schritt haben sie sich nach dem Roll­out der Home-Offices über die Check­lis­te für Arbeit­neh­mer durch den Mit­ar­bei­ter noch mal pro­to­kol­lie­ren las­sen, dass jetzt soweit alles zuhau­se im Home Office “passt”. Das Gan­ze natür­lich erst mal nach ent­spre­chen­der Ein­wei­sung und Schu­lung. Ver­steht sich von selbst 🙂

Vor­teil: Als Arbeit­ge­ber bzw. ver­ant­wort­li­che Stel­le kann man damit gleich sehr schön bele­gen, sei­nen Sorg­falts­pflich­ten auch außer­halb der eige­nen Räum­lich­kei­ten Genü­ge getan zu haben.

Down­load der Check­lis­te Daten­schutz im Home-Office

Wer uns etwas näher kennt, weiß von unse­rer Aus­bil­dungs­tä­tig­keit an der Baye­ri­schen Ver­wal­tungs­schu­le für Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te. Im Nach­gang sind alle Teil­neh­mer herz­lich ein­ge­la­den am kos­ten­frei­en ISB Pra­xis-Forum als Aus­tausch­platt­form im All­tag von Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten teil­zu­neh­men. Da kam die Fra­ge auf, ob es nicht für das The­ma Home-Office geeig­ne­te Prüf­lis­ten gäbe oder ob man die­se gemein­sam ent­wi­ckeln wol­le. Was liegt also näher, als die schon vor­han­de­nen Check­lis­ten aus unse­rem Fun­dus in leicht über­ar­bei­te­ter Ver­si­on für alle zur Ver­fü­gung zu stel­len, bevor sich jeder ein­zeln die Mühe macht. Zeit ist zu wertvoll.

Unse­re Bit­te: Die bei­den Check­lis­ten erhe­ben kei­nen Anspruch auf Voll­stän­dig­keit oder Kor­rekt­heit. Wer also Anre­gun­gen und Ergän­zun­gen zur Wei­ter­ent­wick­lung oder Kor­rek­tur hat, immer her damit. Und es gilt “fair use”. Die­se Vor­la­ge kann daher ger­ne in der Pra­xis von Orga­ni­sa­tio­nen genutzt und ver­än­dert wer­den. Wir möch­ten jedoch nicht, dass sie ohne unse­re Zustim­mung auf ande­ren Inter­net­sei­ten als Mus­ter zum Down­load ange­bo­ten wird oder sich irgend­wann in einem Fach­buch wie­der­fin­det. Haf­tung: Die Check­lis­ten stel­len ledig­lich einen Vor­schlag dar. Es wird kei­ne Haf­tung für Schä­den durch die Ver­wen­dung übernommen.

Check­lis­te Daten­schutz im Home-Office für Arbeitgeber
Check­lis­te Daten­schutz im Home-Office für Arbeitnehmer

 

För­der­mit­tel zur Arbeits­hil­fe für baye­ri­sche Kommunen

Im Zuge der Neu­fas­sung der ISMS-För­der­mit­tel­richt­li­nie (ISMR) vom 7. März 2022, Az. E5-1681–7‑10 kön­nen baye­ri­sche Kom­mu­nen nun end­lich auch für die Ein­füh­rung eines Infor­ma­ti­ons­si­cher­heits­kon­zepts auf Basis der sog. Arbeits­hil­fe der Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne För­der­mit­tel erhalten.

Vor­aus­set­zun­gen für För­der­mit­tel zur Arbeits­hil­fe Informationssicherheit

Was wird kon­kret gefördert?

  1. Die Bera­tung und Beglei­tung bei der Imple­men­tie­rung durch fach­kun­di­ge IT-Dienstleister.
  2. Schu­lun­gen für Mit­ar­bei­ter durch zer­ti­fi­zier­te Anbieter.

Wie hoch sind die För­der­mit­tel zur Arbeits­hil­fe Informationssicherheit?

Bis zu 50 % der zuwen­dungs­fä­hi­gen Aus­ga­ben für die Umset­zung der Arbeits­hil­fe zur Erstel­lung von Infor­ma­ti­ons­si­cher­heits­kon­zep­ten der Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne, höchs­tens 5 000 Euro.

Wie bean­tra­ge ich als baye­ri­sche Kom­mu­ne die För­der­mit­tel zur Arbeits­hil­fe Informationssicherheit?

Anträ­ge auf Gewäh­rung einer För­de­rung sind schrift­lich oder elek­tro­nisch an die Regie­rung von Ober­fran­ken als Bewil­li­gungs­stel­le zu rich­ten. Das Antrags­for­mu­lar und alle wei­te­ren Infor­ma­tio­nen sind zu fin­den unter https://​www​.regie​rung​.ober​fran​ken​.bay​ern​.de/​a​u​f​g​a​b​e​n​/​1​9​2​1​6​9​/​1​9​2​1​7​2​/​l​e​i​s​t​u​n​g​/​l​e​i​s​t​u​n​g​_​3​5​0​0​4​/​i​n​d​e​x​.​h​tml

Wei­te­re Infor­ma­tio­nen und Links zum Infor­ma­ti­ons­si­cher­heits­kon­zept Arbeitshilfe

Mög­li­cher Daten­schutz­ver­stoß bei Nut­zung von VirusTotal

Das BSI warnt aktu­ell vor einem mög­li­chen Daten­schutz­ver­stoß bei Nut­zung von Virus­T­o­tal. Neben dem Daten­schutz­ri­si­ko sind aber auch ande­re schüt­zens­wer­te Infor­ma­tio­nen der eige­nen Orga­ni­sa­ti­on oder von Exter­nen in Gefahr, Drit­ten gegen­über offen­ge­legt zu werden.

Was ist VirusTotal?

Virus­T­o­tal ist ein Ser­vice von Goog­le und unter https://​www​.virus​t​o​tal​.com erreich­bar. Über den Dienst kann man bei­spiels­wei­se ver­däch­ti­ge Web­adres­sen (URL) über­prü­fen, bevor man die­se selbst im Brow­ser auf dem eige­nen Sys­tem auf­ruft. Eine Emp­feh­lung, die wir bei­spiels­wei­se im Rah­men unse­rer Schu­lun­gen und Web­i­na­re häu­fi­ger aussprechen.

Neben die­sem URL-Check bie­tet Virus­T­o­tal jedoch auch an, Datei­en zur Online-Über­prü­fung durch eine Viel­zahl bekann­ter Viren­scan­ner hoch­zu­la­den. Und da liegt auch der Hase im Pfef­fer. Neben der Nut­zung direkt im Brow­ser bie­tet Virus­T­o­tal auch Busi­ness-Ser­vices an, bei denen kein manu­el­ler Upload erfol­gen muss, son­dern die Prü­fung auto­ma­ti­siert im Hin­ter­grund durch­ge­führt wird.

“Die­ser Dienst wird von Pri­vat­per­so­nen und Unter­neh­men oft­mals zur Prü­fung von ver­däch­ti­gen Datei­en genutzt, um auf­grund der Viel­zahl von Anti­vi­ren­pro­gram­men ver­läss­li­che­re Ergeb­nis­se als mit nur einem Scan­ner zu erhal­ten.”, so das Bun­des­amt für Sicher­heit in der Informationstechnik.

Wo ist das Pro­blem bzw. der Daten­schutz­ver­stoß bei Nut­zung von VirusTotal?

Wer­den Datei­en mit per­so­nen­be­zo­ge­nen Daten hoch­ge­la­den bzw. geprüft, liegt für gewöhn­lich eine Auf­trags­ver­ar­bei­tung nach Art. 28 DSGVO vor. Die­se muss inkl. der TOM-Prü­fung kor­rekt VOR Nut­zung des Diens­tes gere­gelt und ver­ein­bart sein. Hin­zu kommt, dass lt. BSI Daten­wei­ter­ga­ben an zahl­rei­che AV-/Scan-Anbie­ter auch mit Sitz außer­halb der EU erfol­gen. Vor dem Hin­ter­grund der aktu­el­len Dis­kus­si­on um Dritt­staa­ten­über­mitt­lun­gen nicht ganz unproblematisch.

Und ganz neben­bei: Selbst dann, wenn Datei­en ohne per­so­nen­be­zo­ge­ne Daten hoch­ge­la­den wer­den, besteht ein nicht uner­heb­li­ches Risi­ko. Näm­lich dann, wenn es sich um ver­trau­li­che bzw. schüt­zens­wer­te Infor­ma­tio­nen der Orga­ni­sa­ti­on (oder eines Kun­den /​ Bür­gers /​ Auf­trag­ge­bers) han­delt. Die­se Datei wird mun­ter mit allen ange­schlos­se­nen Anbie­tern geteilt. Will man das für Geschäfts- bzw. Orga­ni­sa­ti­ons­ge­heim­nis­se? Eher nicht.

Was kann helfen?

  1. Mit­ar­bei­ter auf die­ses grund­le­gen­de Sicher­heits­pro­blem bei der Nut­zung des Diens­tes auf­merk­sam machen bzw. dafür aus­rei­chend sen­si­bi­li­sie­ren (Nein, Papier allei­ne reicht nicht!)
  2. Rege­lun­gen tref­fen, ob und wenn ja wel­che Datei­en mög­li­cher­wei­se doch einem Check durch den Ser­vice unter­zo­gen wer­den dür­fen (z.B. bei Ver­trau­lich­keits­sta­tus “Öffent­lich”)
  3. Oder wie das BSI rät, aus­schließ­lich mit Hash-Wer­ten der Datei­en zu arbei­ten (tri­cky, aber machbar)

Wei­te­re Unter­stüt­zung bie­ten die Fra­ge­stel­lun­gen an Sicher­heits­be­auf­trag­te auf Sei­te 3 der Stel­lung­nah­me des BSI zum The­ma, zu fin­den hier.

 

Ach­tung Daten­schutz: BaFin warnt vor gefälsch­ten Zahlungsaufforderungen

Die Bun­des­an­stalt für Finanz­dienst­leis­tungs­auf­sicht, kurz BaFin warnt in einer aktu­el­len Pres­se­mit­tei­lung vor gefälsch­ten Zah­lungs­auf­for­de­run­gen. Der eine oder ande­re Email-Adres­sat mag sich schon ver­wun­dert die Augen gerie­ben haben, ob eines mög­li­chen Geld­se­gens. Es wer­den Rück­zah­lun­gen ange­kün­digt von Inves­ti­tio­nen in nicht-lizen­zier­te Online-Han­dels­platt­for­men. Zuvor müs­se man jedoch selbst erst eine Über­wei­sung täti­gen, um die Rück­zah­lung aus­zu­lö­sen. Als Beleg für die “Echt­heit” des Geld­ver­spre­chens wird ein sog. “Sicher­heits­ver­trag” der BaFin beigefügt.

Die BaFin betont, das sei erwar­tungs­ge­mäß Hum­bug und man sol­le als Emp­fän­ger einer sol­chen Email nicht auf die Masche her­ein­fal­len. Statt­des­sen sol­le man Anzei­ge bei der Poli­zei oder Staats­an­walt­schaft erstat­ten. Ver­brau­chern rät die BaFin, gene­rell äußerst wach­sam zu sein, wenn Drit­te unter dem Namen der BaFin agie­ren, denn sie wen­det sich nicht von sich aus an ein­zel­ne Personen.

Grü­ße von der Nige­ria-Con­nec­tion

BSI spricht War­nung vor Kas­pers­ky aus

BSI: War­nung vor Kas­pers­ky — Kein Ein­satz von Pro­duk­ten aus dem Hau­se Kas­pers­ky mehr

“Das BSI emp­fiehlt, Anwen­dun­gen aus dem Port­fo­lio von Viren­schutz­soft­ware des Unter­neh­mens Kas­pers­ky durch alter­na­ti­ve Pro­duk­te zu erset­zen.” Die­se War­nung vor Kas­pers­ky spricht das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik mit eini­ger Ver­zö­ge­rung und auch erst nach drän­gen­den Nach­fra­gen des Hei­se Ver­lags nun seit eini­gen Tagen offi­zi­ell aus.

War­nung vor Kas­pers­ky berech­tigt oder Panikmache?

Dazu kann man nun ste­hen wie man will. Wie­so erst jetzt? Wie­so nicht schon im Zuge der Anne­xi­on der Krim, als sich die tota­li­tä­ren Risi­ken bereits klar abzeich­ne­ten? Sei es drum. Ein Risi­ko ist nicht gene­rell von der Hand zu wei­sen, von daher ist Vor­beu­gen bes­ser als hin­ter­her schlau­er zu sein.

Das BSI schreibt dazu:

“Viren­schutz­soft­ware hat tief­ge­hen­de Ein­griffs­rech­te in PCs, Smart­phones, Lap­tops und ande­re IT-Infra­struk­tu­ren. Ver­trau­en in die Zuver­läs­sig­keit und den Eigen­schutz des jewei­li­gen Her­stel­lers sowie sei­ner authen­ti­schen Hand­lungs­fä­hig­keit ist daher ent­schei­dend für den siche­ren Ein­satz sol­cher Systeme.”

Schwach­stel­len in der eigent­li­chen Soft­ware kön­nen daher schnell zur Kom­pro­mit­tie­rung ein­zel­ner Gerä­te, aber auch gan­zer Sys­tem­land­schaf­ten füh­ren. Das ist kein gene­rel­les Pro­blem der Kas­pers­ky-Pro­duk­te, son­dern von jeder Soft­ware, die so tief in die Betriebs­sys­te­me ver­zahnt ist. In die­sem kon­kre­ten Fall führt das BSI in sei­ner War­nung vor Kas­pers­ky wei­ter aus:

“Im Kon­text des Krie­ges, den Russ­land gegen die Ukrai­ne führt, könn­te ein rus­si­scher IT-Her­stel­ler selbst offen­si­ve Ope­ra­tio­nen durch­füh­ren, oder gegen sei­nen Wil­len dazu gezwun­gen wer­den, Ziel­sys­te­me anzu­grei­fen, oder als Opfer einer Cyber-Ope­ra­ti­on ohne sei­ne Kennt­nis aus­spio­niert oder als Werk­zeug für Angrif­fe gegen sei­ne eige­nen Kun­den miss­braucht werden.”

Guter Rat ist teuer

Was heißt die­se War­nung vor Kas­pers­ky jetzt kon­kret? Je weni­ger kom­plex die betrof­fe­ne Sys­tem­um­ge­bung ist und gera­de auf einem Ein­zel­ge­rät zuhau­se, des­to leich­ter fällt der Umstieg auf einen ande­ren Anbie­ter. In grö­ße­ren Sys­tem­um­ge­bun­gen wer­den jedoch sel­ten nur Viren­schutz­pro­duk­te, son­dern meist gan­ze Sicher­heits­sui­ten der Anbie­ter genutzt. Damit fal­len dann schnell auch wich­ti­ge Schutz­me­cha­nis­men wie Spam-Fil­te­rung, Schutz der USB-Ports und vie­le mehr weg. Da ist es mit einer ein­fa­chen De-Instal­la­ti­on und Neu-Instal­la­ti­on eines ande­ren Pro­dukts nicht mal eben so getan. Dazu kom­men lau­fen­de Lizenz­ge­büh­ren, die wei­ter­hin bis zum Ende der Ver­trags­lauf­zeit zu leis­ten sind. Son­der­kün­di­gungs­recht? Sieht aktu­ell nicht so aus, aber dar­über sol­len die Juris­ten strei­ten. D.h. durch den Umstieg auf eine ande­re Lösung bzw. einen ande­ren Anbie­ter fal­len zusätz­lich Lizenz­ge­büh­ren an, von der not­wen­di­gen Arbeits­zeit für Pla­nung und Kon­zep­ti­on sowie Roll-Out ganz zu schweigen.

Die jeweils aktua­li­sier­te FAQ des BSI für Unter­neh­men und Pri­vat­an­wen­der ist hier zu fin­den: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Technische-Sicherheitshinweise-und-Warnungen/Warnungen-nach-Par‑7/FAQ-Kaspersky/faq_node.html

 

Die mobile Version verlassen