Welche technischen und organisatorischen Maßnahmen (TOM) schreibt der Gesetzgeber vor?
Welche technischen und organisatorischen Maßnahmen (TOM) schreibt der Gesetzgeber vor?
In den letzten Monaten und Jahren nehmen erfolgreiche Angriffe, unabhängig ob zielgerichtet oder Kategorie “Mitarbeiter zu wenig sensibilisiert” oder beides, auf Unternehmen und Verwaltungen stetig zu. Sind dabei (zwangsläufig) personenbezogene Daten betroffen, kommen ganz schnell die Artikel 32, 33 und 34 der Datenschutzgrundverordnung (DSGVO) ins Spiel.
Während Artikel 33 DSGVO für den Fall des Falles die zeitnahe Einbindung der zuständigen Landesdatenschutzbehörde binnen einer Frist von 72 Stunden vorsieht, schreibt Artikel 34 DSGVO die unverzügliche Information der sog. Betroffenen bei einem voraussichtlich hohen Risiko vor. Die beiden Artikel befassen sich u.a. also mit der REAKTION auf einen Sicherheitsvorfall mit personenbezogenen Daten.
Aus der Informationssicherheit und dem Business Continuity Management wissen wir aber nun, dass VORBEUGEN deutlich effizienter und effektiver ist, als hinterher den Schlamassel aufräumen und ausbaden zu müssen. Das hat auch der Gesetzgeber erkannt und schreibt in Artikel 32 DSGVO etwas zur sog. “Sicherheit der Verarbeitung”:
Abs. 1: Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.Abs. 2: Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.
Wer sich mit dem Thema Informationssicherheit bereits näher befasst hat, wird in Absatz 1 b, c und d alte Bekannte wiedertreffen. Dort werden die Grundwerte der Informationssicherheit vorgeschrieben, sowie die rasche Wiederherstellbarkeit von Daten und Systemen und ein kontinuierliches Verbesserungsmanagement der Schutzmaßnahmen gefordert. Also alles das, was moderne Informationssicherheitsmanagementsysteme (ISMS) wie die ISO 27001, der BSI IT-Grundschutz mit seinen 3 Absicherungsstufen, ein CISIS12 oder auch kleinere Systeme wie die sog. Arbeitshilfe mit sich bringen.
Schnell kommt natürlich dann die Frage auf “Welche technischen und organisatorischen Maßnahmen (TOM) schreibt der Gesetzgeber vor?”. Konkret? Meist gar keine. Und das hat auch einen triftigen Grund.
Wieso Gesetze zumeist keine konkreten technischen und organisatorischen Maßnahmen im Detail vorschreiben?
Ganz einfach: Weil es für gewöhnlich keinen Sinn macht. Bedrohungen technischer und organisatorischer Natur verändern sich im Laufe der Zeit, mal schneller, mal langsamer. Diese Veränderungen erfordern zumeist auch eine Anpassung vorhandener Schutzmaßnahmen bzw. deren Wegfall und Ersatz durch andere, besser wirkende Schutzmaßnahmen. Und da Gesetze für gewöhnlich eine langfristige Gültigkeit haben, eine Änderung bzw. Anpassung einen nicht unerheblichen Aufwand mit sich bringt, verzichtet man auf die konkrete Nennung von Schutzmaßnahmen. Erst recht auf die Nennung konkreter Produkte oder Hersteller. Eigentlich logisch.
Stattdessen gibt der Gesetzgeber hier im Artikel 32 DSGVO einen Angemessenheitsrahmen vor mit “Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen .…”
Diesen Rahmen gilt es nun für die eigenen Verarbeitungen oder auch Dienstleistungen, die für andere erbracht werden (Auftragsverarbeitung), zu prüfen und zu bewerten. Erst mal sei vorangestellt, es muss nicht alles an Schutzmaßnahmen eingeführt oder implementiert werden, was technisch oder organisatorisch maximal möglich ist. Das sind schon mal gute Nachrichten. Andererseits kann man allerdings auch nicht unter Verweis auf “Kein Geld”, “Keine Mitarbeiter”, “Keine Lust” oder “Wir haben Wichtigeres zu tun” das Angemessenheitsprinzip unter den Tisch fallen lassen und sich technische und organisatorische Maßnahmen sparen. Immerhin muss man ja laut Gesetz folgende Dinge berücksichtigen:
- Das notwendige Schutzniveau der zu schützenden Daten.
- Den sog. Stand der Technik.
- Die Eintrittswahrscheinlichkeit von Risiken für schützenswerte Daten (die eigenen oder die von Kunden).
- Das Schadensausmaß, sollte den schützenswerten Daten doch etwas “zustoßen”.
Würde der Gesetzgeber nun konkret eine Videoüberwachung per Gesetz vorschreiben, wäre das sicher eine gute Schutzmaßnahme zur Absicherung der Außenhaut eines Rechenzentrums. Ist man jedoch ein Dienstleister, der Wartungsarbeiten remote bei einem Kunden durchführt, würde eine Videoüberwachung nicht spürbar zu einer Erhöhung des Schutzniveaus seitens des Dienstleisters für diese Verarbeitung beitragen. Die zu treffenden Schutzmaßnahmen müssen also geeignet sein, die Eintrittswahrscheinlichkeit und das Schadensausmaß eines Risikos für die jeweilige Verarbeitung zu begrenzen. Tun sie das nicht, sind diese Schutzßnahme nicht zwingend obsolet, tragen aber zur Absicherung der konkreten Verarbeitung nichts oder nur sehr wenig bei.
Dem Gesetzgeber kommt es also auf die Auswahl von Schutzmaßnahmen an, die geeignet sind, das Risiko für die jeweiligen Verarbeitungen zu begrenzen UND dem sog. Stand der Technik entsprechen. In Spezialgesetzen kann es zu Ausnahmen von dieser Vorgehensweise kommen. Diese gelten dann jedoch zumeist nur für ganz spezielle Branchen und Tätigkeiten.
Was hat es mit diesem “Stand der Technik” auf sich?
Stand der Technik ist ein unbestimmter Rechtsbegriff, der eine inhaltliche und zeitliche Dehnbarkeit mit sich bringt. Wer sich die Mühe macht und sich im Rahmen einer Webrecherche zu dem Begriff schlauer machen will, wird am Ende auch keine konkreten Schutzßnahmen zur Absicherungen seiner eigenen Verarbeitung empfohlen bekommen. Versuchen wir es mal mit ein paar Beispielen.
Seit Jahren gibt es einen Trend zu Online-Backups, sei es auf große Storages im eigenen Netzwerk oder sogar ganz raus aus dem eigenen Netzwerk zu Cloud-Anbietern. Eine solche Art der Datensicherung kann sicher als Stand der Technik eingeordnet werden. Ersetzt diese jetzt jedoch automatisch die klassische Bandsicherung? Und entspricht die Bandsicherung damit nicht mehr dem Stand der Technik? Um das zu bewerten, muss man sich die Bedrohungslage für Datensicherungen anschauen. Ein Backup, das im eigenen Netzwerk oder bei einem externen Cloud-Anbieter generell zugreifbar ist, kann jederzeit zerstört oder kompromittiert werden. Hier besteht also ein Risiko, im Falle des Falles notwendige Daten nicht mehr wiederherstellen zu können. Andererseits sind diese Datensicherungen zumeist sehr schnell wiederherzustellen, was ein Vorteil ist. Und aus diesen Grund ergänzt eine Bandsicherung bzw. jede Art von Offline-Backup eine gute Datensicherungsstrategie, um genau dieses verbleibende Risiko beherrschbar zu machen. Bandsicherung mag daher old school erscheinen, ist aber nach Stand der Technik weiterhin eine geeignete Schutzmaßnahme.
Der klassische Login bei internen und externen Diensten geschieht zumeist mittels Benutzername und Kennwort. Für die Gestaltung von Kennwörtern gibt es ergänzend mehr oder wenige sinnvolle Regelungen zu Länge und Komplexität und Wechselintervallen. Fehlen weitere Schutzmaßnahmen wie die Begrenzung der Anmeldeversuche, so wird die Luft schnell dünn. Dazu gibt es das nicht unerhebliche Risiko des erfolgreichen Phishings, also des Abgriffs und Ausnutzens von gültigen Zugangsdaten. Somit ist eine Beschränkung auf Benutzername und Kennwort zur Absicherung von Zugängen in vielen Fällen alleine nicht mehr ausreichend. Diese ist je nach Einsatzsituation nicht mehr zeitgemäß und entspricht daher wohl nur noch selten dem sog. Stand der Technik. Ergänzt man jedoch den Login mit Benutzername und Passwort beispielsweise um eine Multi- oder Zwei-Faktor-Authentisierung (MFA / 2FA), hebt man das Schutzniveau mit einer aktuellen technischen Schutzmaßnahme wieder auf ein angemessenes Level an und entspricht damit derzeit wieder dem sog. Stand der Technik. Dies gilt auch für neuere Absicherungsmethoden wie Passkeys etc. 2FA ist also keine Raketenwissenschaft, sondern derzeit anerkannter Stand der Technik.
Oft hilft auch ein Blick in die verschiedenen Normen für Informationssicherheit. Werden dort konkretere Schutzmaßnahmen genannt, kann man davon ausgehen, dass diese dem sog. Stand der Technik entsprechen. Sie hätten sonst keine Aufnahme in diese Normen gefunden. So findet sich 2FA / MFA beispielsweise unter anderem im Kapitel 8.5 Sichere Authentifizierung der ISO 27002, aber auch im Grundschutz-Baustein ORP.4 Identitäts- und Berechtigungsmanagement in der Anforderung A.10. Auch wenn der Grundschutz-Baustein CON.3 Datensicherungskonzept die Bandsicherung nicht namentlich erwähnt, so sind die Anforderungen aus A.14 und A.12 mit einer solchen relativ einfach zu erfüllen.
Hilfestellung zum Stand der Technik
Eine sehr hilfreiche Übersicht über gängige technische und organisatorische Maßnahmen, die dem sog. Stand der Technik entsprechen, stellt der Bundesverband IT-Sicherheit e.V. (TeleTrusT) regelmäßig zur Verfügung. Diese ist in aktueller Version jeweils hier zu finden. Zum Zeitpunkt dieses Beitrags ist dies die Version 2023-05. In dieser Übersicht findet sich beispielsweise dann auch die MFA / 2FA unter Punkt 3.2.3 auf Seite 22.
Die darin angeführten Schutzmaßnahmen sind nicht abschließend. Es gibt darüberhinaus viele weitere Maßnahmen, die als Stand der Technik eingeordnet werden können. Anhand dieser Übersicht kann man jedoch gut prüfen, ob die eigene Organisation zumindest ansatzweise auf einem aktuellen Stand der Schutzmaßnahmen unterwegs ist. Wenn nicht, heißt es handeln.
Auch die von uns unseren Kunden zur Verfügung gestellten Checklisten für die sog. TOM-Checks berücksichtigen üblicherweise den sog. Stand der Technik. Abweichungen oder Lücken sollten durchaus als Risikofaktoren begriffen und idealweise unter Berücksichtigung von Eintrittswahrscheinlichkeit und Schadensausmaß beseitigt werden.
Fazit
Der Gesetzgeber schreibt für gewöhnlich keine konkreten technischen und organisatorischen Schutzmaßnahmen für Unternehmen und Verwaltung vor. Schutzmaßnahmen können einerseits schnell altern und andererseits passen bestimmte Schutzmaßnahmen nicht auf jede Organisation und deren Risiken bei der Verarbeitung. Von daher gilt es, sich der Risiken für die eigenen Verarbeitungen im Hinblick auf Eintrittswahrscheinlichkeit und Schadensausmaß (für die eigene Organisation, aber auch für die Betroffenen) bewußt zu werden bzw. diese zu identifizieren und zu bewerten. Dann sind im Rahmen der Angemessenheit geeignete technische und organisatorische Maßnahmen einzuführen bzw. weiterzuentwickeln, die dem sog. Stand der Technik entsprechend und dabei helfen, die zuvor identifizierten Risiken beherrschbar zu machen. Dies ist keine einmalige Tätigkeit, sondern ein wiederkehrender Prozess, der idealerweise — je nach Risiko — mindestens jährlich zu durchlaufen ist. Dann klappt es auch mit Artikel 32 DSGVO. Und vor den Artikeln 33 und 34 DSGVO muss man sich weniger fürchten bzw. wird diese seltener durchführen müssen.
Gutes Gelingen. Sie wünschen Unterstützung? Sprechen Sie uns an.