Zum Inhalt springen

Informationssicherheit

Wel­che tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOM) schreibt der Gesetz­ge­ber vor?

Wel­che tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOM) schreibt der Gesetz­ge­ber vor?

In den letz­ten Mona­ten und Jah­ren neh­men erfolg­rei­che Angrif­fe, unab­hän­gig ob ziel­ge­rich­tet oder Kate­go­rie “Mit­ar­bei­ter zu wenig sen­si­bi­li­siert” oder bei­des, auf Unter­neh­men und Ver­wal­tun­gen ste­tig zu. Sind dabei (zwangs­läu­fig) per­so­nen­be­zo­ge­ne Daten betrof­fen, kom­men ganz schnell die Arti­kel 32, 33 und 34 der Daten­schutz­grund­ver­ord­nung (DSGVO) ins Spiel.

Wäh­rend Arti­kel 33 DSGVO für den Fall des Fal­les die zeit­na­he Ein­bin­dung der zustän­di­gen Lan­des­da­ten­schutz­be­hör­de bin­nen einer Frist von 72 Stun­den vor­sieht, schreibt Arti­kel 34 DSGVO die unver­züg­li­che Infor­ma­ti­on der sog. Betrof­fe­nen bei einem vor­aus­sicht­lich hohen Risi­ko vor. Die bei­den Arti­kel befas­sen sich u.a. also mit der REAKTION auf einen Sicher­heits­vor­fall mit per­so­nen­be­zo­ge­nen Daten.

Aus der Infor­ma­ti­ons­si­cher­heit und dem Busi­ness Con­ti­nui­ty Manage­ment wis­sen wir aber nun, dass VORBEUGEN deut­lich effi­zi­en­ter und effek­ti­ver ist, als hin­ter­her den Schla­mas­sel auf­räu­men und aus­ba­den zu müs­sen. Das hat auch der Gesetz­ge­ber erkannt und schreibt in Arti­kel 32 DSGVO etwas zur sog. “Sicher­heit der Ver­ar­bei­tung”:

Abs. 1: Unter Berück­sich­ti­gung des Stands der Tech­nik, der Imple­men­tie­rungs­kos­ten und der Art, des Umfangs, der Umstän­de und der Zwe­cke der Ver­ar­bei­tung sowie der unter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwe­re des Risi­kos für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen tref­fen der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, um ein dem Risi­ko ange­mes­se­nes Schutz­ni­veau zu gewähr­leis­ten; die­se Maß­nah­men schlie­ßen gege­be­nen­falls unter ande­rem Fol­gen­des ein:

a) die Pseud­ony­mi­sie­rung und Ver­schlüs­se­lung per­so­nen­be­zo­ge­ner Daten;
b) die Fähig­keit, die Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Belast­bar­keit der Sys­te­me und Diens­te im Zusam­men­hang mit der Ver­ar­bei­tung auf Dau­er sicherzustellen;
c) die Fähig­keit, die Ver­füg­bar­keit der per­so­nen­be­zo­ge­nen Daten und den Zugang zu ihnen bei einem phy­si­schen oder tech­ni­schen Zwi­schen­fall rasch wiederherzustellen;
d) ein Ver­fah­ren zur regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Eva­lu­ie­rung der Wirk­sam­keit der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Gewähr­leis­tung der Sicher­heit der Verarbeitung.

Abs. 2: Bei der Beur­tei­lung des ange­mes­se­nen Schutz­ni­veaus sind ins­be­son­de­re die Risi­ken zu berück­sich­ti­gen, die mit der Ver­ar­bei­tung ver­bun­den sind, ins­be­son­de­re durch – ob unbe­ab­sich­tigt oder unrecht­mä­ßig – Ver­nich­tung, Ver­lust, Ver­än­de­rung oder unbe­fug­te Offen­le­gung von bezie­hungs­wei­se unbe­fug­ten Zugang zu per­so­nen­be­zo­ge­nen Daten, die über­mit­telt, gespei­chert oder auf ande­re Wei­se ver­ar­bei­tet wurden.

Wer sich mit dem The­ma Infor­ma­ti­ons­si­cher­heit bereits näher befasst hat, wird in Absatz 1 b, c und d alte Bekann­te wie­der­tref­fen. Dort wer­den die Grund­wer­te der Infor­ma­ti­ons­si­cher­heit vor­ge­schrie­ben, sowie die rasche Wie­der­her­stell­bar­keit von Daten und Sys­te­men und ein kon­ti­nu­ier­li­ches Ver­bes­se­rungs­ma­nage­ment der Schutz­maß­nah­men gefor­dert. Also alles das, was moder­ne Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­te­me (ISMS) wie die ISO 27001, der BSI IT-Grund­schutz mit sei­nen 3 Absi­che­rungs­stu­fen, ein CISIS12 oder auch klei­ne­re Sys­te­me wie die sog. Arbeits­hil­fe mit sich bringen.

Schnell kommt natür­lich dann die Fra­ge auf “Wel­che tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOM) schreibt der Gesetz­ge­ber vor?”. Kon­kret? Meist gar kei­ne. Und das hat auch einen trif­ti­gen Grund.

Wie­so Geset­ze zumeist kei­ne kon­kre­ten tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men im Detail vorschreiben?

Ganz ein­fach: Weil es für gewöhn­lich kei­nen Sinn macht. Bedro­hun­gen tech­ni­scher und orga­ni­sa­to­ri­scher Natur ver­än­dern sich im Lau­fe der Zeit, mal schnel­ler, mal lang­sa­mer. Die­se Ver­än­de­run­gen erfor­dern zumeist auch eine Anpas­sung vor­han­de­ner Schutz­maß­nah­men bzw. deren Weg­fall und Ersatz durch ande­re, bes­ser wir­ken­de Schutz­maß­nah­men. Und da Geset­ze für gewöhn­lich eine lang­fris­ti­ge Gül­tig­keit haben, eine Ände­rung bzw. Anpas­sung einen nicht uner­heb­li­chen Auf­wand mit sich bringt, ver­zich­tet man auf die kon­kre­te Nen­nung von Schutz­maß­nah­men. Erst recht auf die Nen­nung kon­kre­ter Pro­duk­te oder Her­stel­ler. Eigent­lich logisch.

Statt­des­sen gibt der Gesetz­ge­ber hier im Arti­kel 32 DSGVO einen Ange­mes­sen­heits­rah­men vor mit “Unter Berück­sich­ti­gung des Stands der Tech­nik, der Imple­men­tie­rungs­kos­ten und der Art, des Umfangs, der Umstän­de und der Zwe­cke der Ver­ar­bei­tung sowie der unter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwe­re des Risi­kos für die Rech­te und Frei­hei­ten natür­li­cher Personen .…”

Die­sen Rah­men gilt es nun für die eige­nen Ver­ar­bei­tun­gen oder auch Dienst­leis­tun­gen, die für ande­re erbracht wer­den (Auf­trags­ver­ar­bei­tung), zu prü­fen und zu bewer­ten. Erst mal sei vor­an­ge­stellt, es muss nicht alles an Schutz­maß­nah­men ein­ge­führt oder imple­men­tiert wer­den, was tech­nisch oder orga­ni­sa­to­risch maxi­mal mög­lich ist. Das sind schon mal gute Nach­rich­ten. Ande­rer­seits kann man aller­dings auch nicht unter Ver­weis auf “Kein Geld”, “Kei­ne Mit­ar­bei­ter”, “Kei­ne Lust” oder “Wir haben Wich­ti­ge­res zu tun” das Ange­mes­sen­heits­prin­zip unter den Tisch fal­len las­sen und sich tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men spa­ren. Immer­hin muss man ja laut Gesetz fol­gen­de Din­ge berücksichtigen:

  • Das not­wen­di­ge Schutz­ni­veau der zu schüt­zen­den Daten.
  • Den sog. Stand der Technik.
  • Die Ein­tritts­wahr­schein­lich­keit von Risi­ken für schüt­zens­wer­te Daten (die eige­nen oder die von Kunden).
  • Das Scha­dens­aus­maß, soll­te den schüt­zens­wer­ten Daten doch etwas “zusto­ßen”.

Wür­de der Gesetz­ge­ber nun kon­kret eine Video­über­wa­chung per Gesetz vor­schrei­ben, wäre das sicher eine gute Schutz­maß­nah­me zur Absi­che­rung der Außen­haut eines Rechen­zen­trums. Ist man jedoch ein Dienst­leis­ter, der War­tungs­ar­bei­ten remo­te bei einem Kun­den durch­führt, wür­de eine Video­über­wa­chung nicht spür­bar zu einer Erhö­hung des Schutz­ni­veaus sei­tens des Dienst­leis­ters für die­se Ver­ar­bei­tung bei­tra­gen. Die zu tref­fen­den Schutz­maß­nah­men müs­sen also geeig­net sein, die Ein­tritts­wahr­schein­lich­keit und das Scha­dens­aus­maß eines Risi­kos für die jewei­li­ge Ver­ar­bei­tung zu begren­zen. Tun sie das nicht, sind die­se Schut­zß­nah­me nicht zwin­gend obso­let, tra­gen aber zur Absi­che­rung der kon­kre­ten Ver­ar­bei­tung nichts oder nur sehr wenig bei.

Dem Gesetz­ge­ber kommt es also auf die Aus­wahl von Schutz­maß­nah­men an, die geeig­net sind, das Risi­ko für die jewei­li­gen Ver­ar­bei­tun­gen zu begren­zen UND dem sog. Stand der Tech­nik ent­spre­chen. In Spe­zi­al­ge­set­zen kann es zu Aus­nah­men von die­ser Vor­ge­hens­wei­se kom­men. Die­se gel­ten dann jedoch zumeist nur für ganz spe­zi­el­le Bran­chen und Tätigkeiten.

Was hat es mit die­sem “Stand der Tech­nik” auf sich?

Stand der Tech­nik ist ein unbe­stimm­ter Rechts­be­griff, der eine inhalt­li­che und zeit­li­che Dehn­bar­keit mit sich bringt. Wer sich die Mühe macht und sich im Rah­men einer Web­re­cher­che zu dem Begriff schlau­er machen will, wird am Ende auch kei­ne kon­kre­ten Schut­zß­nah­men zur Absi­che­run­gen sei­ner eige­nen Ver­ar­bei­tung emp­foh­len bekom­men. Ver­su­chen wir es mal mit ein paar Beispielen.

Seit Jah­ren gibt es einen Trend zu Online-Back­ups, sei es auf gro­ße Sto­rages im eige­nen Netz­werk oder sogar ganz raus aus dem eige­nen Netz­werk zu Cloud-Anbie­tern. Eine sol­che Art der Daten­si­che­rung kann sicher als Stand der Tech­nik ein­ge­ord­net wer­den. Ersetzt die­se jetzt jedoch auto­ma­tisch die klas­si­sche Band­si­che­rung? Und ent­spricht die Band­si­che­rung damit nicht mehr dem Stand der Tech­nik? Um das zu bewer­ten, muss man sich die Bedro­hungs­la­ge für Daten­si­che­run­gen anschau­en. Ein Back­up, das im eige­nen Netz­werk oder bei einem exter­nen Cloud-Anbie­ter gene­rell zugreif­bar ist, kann jeder­zeit zer­stört oder kom­pro­mit­tiert wer­den. Hier besteht also ein Risi­ko, im Fal­le des Fal­les not­wen­di­ge Daten nicht mehr wie­der­her­stel­len zu kön­nen. Ande­rer­seits sind die­se Daten­si­che­run­gen zumeist sehr schnell wie­der­her­zu­stel­len, was ein Vor­teil ist. Und aus die­sen Grund ergänzt eine Band­si­che­rung bzw. jede Art von Off­line-Back­up eine gute Daten­si­che­rungs­stra­te­gie, um genau die­ses ver­blei­ben­de Risi­ko beherrsch­bar zu machen. Band­si­che­rung mag daher old school erschei­nen, ist aber nach Stand der Tech­nik wei­ter­hin eine geeig­ne­te Schutzmaßnahme.

Der klas­si­sche Log­in bei inter­nen und exter­nen Diens­ten geschieht zumeist mit­tels Benut­zer­na­me und Kenn­wort. Für die Gestal­tung von Kenn­wör­tern gibt es ergän­zend mehr oder weni­ge sinn­vol­le Rege­lun­gen zu Län­ge und Kom­ple­xi­tät und Wech­sel­in­ter­val­len. Feh­len wei­te­re Schutz­maß­nah­men wie die Begren­zung der Anmel­de­ver­su­che, so wird die Luft schnell dünn. Dazu gibt es das nicht uner­heb­li­che Risi­ko des erfolg­rei­chen Phis­hings, also des Abgriffs und Aus­nut­zens von gül­ti­gen Zugangs­da­ten. Somit ist eine Beschrän­kung auf Benut­zer­na­me und Kenn­wort zur Absi­che­rung von Zugän­gen in vie­len Fäl­len allei­ne nicht mehr aus­rei­chend. Die­se ist je nach Ein­satz­si­tua­ti­on nicht mehr zeit­ge­mäß und ent­spricht daher wohl nur noch sel­ten dem sog. Stand der Tech­nik. Ergänzt man jedoch den Log­in mit Benut­zer­na­me und Pass­wort bei­spiels­wei­se um eine Mul­ti- oder Zwei-Fak­tor-Authen­ti­sie­rung (MFA /​ 2FA), hebt man das Schutz­ni­veau mit einer aktu­el­len tech­ni­schen Schutz­maß­nah­me wie­der auf ein ange­mes­se­nes Level an und ent­spricht damit der­zeit wie­der dem sog. Stand der Tech­nik. Dies gilt auch für neue­re Absi­che­rungs­me­tho­den wie Pass­keys etc. 2FA ist also kei­ne Rake­ten­wis­sen­schaft, son­dern der­zeit aner­kann­ter Stand der Technik.

Oft hilft auch ein Blick in die ver­schie­de­nen Nor­men für Infor­ma­ti­ons­si­cher­heit. Wer­den dort kon­kre­te­re Schutz­maß­nah­men genannt, kann man davon aus­ge­hen, dass die­se dem sog. Stand der Tech­nik ent­spre­chen. Sie hät­ten sonst kei­ne Auf­nah­me in die­se Nor­men gefun­den. So fin­det sich 2FA /​ MFA bei­spiels­wei­se unter ande­rem im Kapi­tel 8.5 Siche­re Authen­ti­fi­zie­rung der ISO 27002, aber auch im Grund­schutz-Bau­stein ORP.4 Iden­ti­täts- und Berech­ti­gungs­ma­nage­ment in der Anfor­de­rung A.10. Auch wenn der Grund­schutz-Bau­stein CON.3 Daten­si­che­rungs­kon­zept die Band­si­che­rung nicht nament­lich erwähnt, so sind die Anfor­de­run­gen aus A.14 und A.12 mit einer sol­chen rela­tiv ein­fach zu erfüllen.

Hil­fe­stel­lung zum Stand der Technik

Eine sehr hilf­rei­che Über­sicht über gän­gi­ge tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, die dem sog. Stand der Tech­nik ent­spre­chen, stellt der Bun­des­ver­band IT-Sicher­heit e.V. (Tele­TrusT) regel­mä­ßig zur Ver­fü­gung. Die­se ist in aktu­el­ler Ver­si­on jeweils hier zu fin­den. Zum Zeit­punkt die­ses Bei­trags ist dies die Ver­si­on 2023-05. In die­ser Über­sicht fin­det sich bei­spiels­wei­se dann auch die MFA /​ 2FA unter Punkt 3.2.3 auf Sei­te 22.

Die dar­in ange­führ­ten Schutz­maß­nah­men sind nicht abschlie­ßend. Es gibt dar­über­hin­aus vie­le wei­te­re Maß­nah­men, die als Stand der Tech­nik ein­ge­ord­net wer­den kön­nen. Anhand die­ser Über­sicht kann man jedoch gut prü­fen, ob die eige­ne Orga­ni­sa­ti­on zumin­dest ansatz­wei­se auf einem aktu­el­len Stand der Schutz­maß­nah­men unter­wegs ist. Wenn nicht, heißt es handeln.

Auch die von uns unse­ren Kun­den zur Ver­fü­gung gestell­ten Check­lis­ten für die sog. TOM-Checks berück­sich­ti­gen übli­cher­wei­se den sog. Stand der Tech­nik. Abwei­chun­gen oder Lücken soll­ten durch­aus als Risi­ko­fak­to­ren begrif­fen und ide­al­wei­se unter Berück­sich­ti­gung von Ein­tritts­wahr­schein­lich­keit und Scha­dens­aus­maß besei­tigt werden.

Fazit

Der Gesetz­ge­ber schreibt für gewöhn­lich kei­ne kon­kre­ten tech­ni­schen und orga­ni­sa­to­ri­schen Schutz­maß­nah­men für Unter­neh­men und Ver­wal­tung vor. Schutz­maß­nah­men kön­nen einer­seits schnell altern und ande­rer­seits pas­sen bestimm­te Schutz­maß­nah­men nicht auf jede Orga­ni­sa­ti­on und deren Risi­ken bei der Ver­ar­bei­tung. Von daher gilt es, sich der Risi­ken für die eige­nen Ver­ar­bei­tun­gen im Hin­blick auf Ein­tritts­wahr­schein­lich­keit und Scha­dens­aus­maß (für die eige­ne Orga­ni­sa­ti­on, aber auch für die Betrof­fe­nen) bewußt zu wer­den bzw. die­se zu iden­ti­fi­zie­ren und zu bewer­ten. Dann sind im Rah­men der Ange­mes­sen­heit geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men ein­zu­füh­ren bzw. wei­ter­zu­ent­wi­ckeln, die dem sog. Stand der Tech­nik ent­spre­chend und dabei hel­fen, die zuvor iden­ti­fi­zier­ten Risi­ken beherrsch­bar zu machen. Dies ist kei­ne ein­ma­li­ge Tätig­keit, son­dern ein wie­der­keh­ren­der Pro­zess, der idea­ler­wei­se — je nach Risi­ko — min­des­tens jähr­lich zu durch­lau­fen ist. Dann klappt es auch mit Arti­kel 32 DSGVO. Und vor den Arti­keln 33 und 34 DSGVO muss man sich weni­ger fürch­ten bzw. wird die­se sel­te­ner durch­füh­ren müssen.

Gutes Gelin­gen. Sie wün­schen Unter­stüt­zung? Spre­chen Sie uns an.

 

ISB Boot Camp 2024 — Wei­ter­bil­dung für Informationssicherheitsbeauftragte

Wei­ter­bil­dung für Informationssicherheitsbeauftragte

Das Boot Camp 2024 für kom­mu­na­le Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te fin­det heu­er am 09.04. und 10.04.2024 im wun­der­schö­nen Gun­zen­hau­sen statt. Mitt­ler­wei­le ist die­se Ver­an­stal­tung in der moder­ni­sier­ten Stadt­hal­le in Gun­zen­hau­sen bereits eine fes­te Insti­tu­ti­on für kom­mu­na­le Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te gewor­den. Neben fach­li­chen Infor­ma­tio­nen und Tipps aus der Pra­xis im Rah­men von Vor­trä­gen und zumeist Work­shops steht das Netz­wer­ken und das “Fach­sim­peln” unter den rund 100 Teil­neh­mern im Vor­der­grund. Dafür wird die­ses Jahr noch mehr Raum sein als zuvor.

Die Teil­neh­mer erwar­tet ein abwechs­lungs­rei­ches Pro­gramm, das sowohl tech­ni­sche als auch orga­ni­sa­to­ri­sche Aspek­te der Infor­ma­ti­ons­si­cher­heit und die Belan­ge des Tages­ge­schäfts eines Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten umfasst. Orga­ni­siert und koor­di­niert wird die zwei­tä­gi­ge Ver­an­stal­tung durch die Baye­ri­sche Ver­wal­tungs­schu­le (BVS), das Lan­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik Bay­ern (LSI), der Stadt Gun­zen­hau­sen und der a.s.k. Infor­ma­ti­ons­si­cher­heit Sascha Kuhrau.

Agen­da und The­men des ISB Boot Camp 2024

Nach den am ers­ten Tag obli­ga­to­ri­schen Begrü­ßungs­wor­ten durch den 1. Bür­ger­meis­ter der Stadt Gun­zen­hau­sen, Herrn Karl-Heinz Fitz und den Prä­si­den­ten des Lan­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (LSI), Herrn Bernd Geis­ler, geht es gleich in medi­as res.

Herr Rei­ner Schmidt (LSI) wird unter dem Titel “Neu­es aus dem LSI” nicht nur das aktu­el­le Bedro­hungs­ri­si­ko für Kom­mu­nen skiz­zie­ren, son­dern dazu das Bera­tungs- und Dienst­leis­tungs­an­ge­bot des LSI vor­stel­len, um die­sen Risi­ken als Kom­mu­nal­ver­wal­tung bes­ser begeg­nen zu können.

Der größ­te Teil des ers­ten Tages bleibt jedoch den Pra­xis-Work­shops vor­be­hal­ten, die sich mehr­mals wie­der­ho­lend am ers­ten und zwei­ten Tag ange­bo­ten wer­den. Dadurch erhal­ten die Teil­neh­mer die Mög­lich­keit, so vie­le The­men zu besu­chen, wie mög­lich. Auf der Agen­da stehen:

  • Im Gespräch mit dem LSI, Rei­ner Schmidt (LSI)
  • KI: Chan­cen und Risi­ken aus Sicht von Infor­ma­ti­ons­si­cher­heit und Daten­schutz, Sascha Kuhr­au (a.s.k. Informationssicherheit)
  • Aus­tausch-Platt­for­men /Cloud-Nut­zung, Hart­mut Löh­mann (Stadt Kempten)
  • Phis­hing Simu­la­ti­on: Stär­ken Sie Ihre Ver­tei­di­gung gegen Sicher­heits­be­dro­hun­gen, Erich Wei­din­ger (GKDS)
  • Prak­ti­sche Anwen­dung Kom­mu­nal­pro­fil im Rah­men der BSI IT-Grund­schutz Basis-Absi­che­rung, Gerd Olsow­sky-Klein (Baye­ri­scher Verwaltungsgerichtshof)
  • Kon­zept zur Abwehr von Schad­pro­gram­men — ein Lösungs­an­satz aus der Pra­xis für die Pra­xis, Bern­hard Wie­demann (Land­kreis Landshut)
  • Siche­res Web­sur­fen – Sand Boxing Ver­fah­ren, Marc Behl (Stadt Würz­burg) und Richard Lipp­mann (Stadt Zirndorf)
  • Ein­satz von Echt­zeit White­list-DNS-Fil­tern, Micha­el Pent­za (Stadt Gun­zen­hau­sen) und Hei­ki Leh­ner (keep­bit IT-Solu­ti­ons GmbH)
  • Pene­tra­ti­on Tests bzw. Secu­ri­ty Test­ing — Erfah­run­gen aus einem oft getes­te­ten Unter­neh­mens, Felix Struve (inti­ve GmbH)
  • Table­top-Übun­gen als inte­gra­ler Bestand­teil eines erfolg­rei­chen Not­fall­ma­nage­ments, Lukas Schmid (LSI)
  • Deepf­akes als neu­er Angriffs­vek­tor, Andrea Reichl-Streich (Stadt Ingolstadt)
  • “Betrug & Abwehr” — im spie­le­ri­schen Umgang mit Cyber­an­grif­fen und deren Abwehr zum Held /​ zur Hel­din der IT-Sicher­heit!, Richard Lipp­mann (Stadt Zirndorf)
  • Von 0 auf 200–4: Busi­ness Con­ti­nui­ty Manage­ment in einem Land­rats­amt, Mat­thi­as Rau­schen­berg (Land­rats­amt Miesbach)
  • Bewusst­sein schaf­fen – Der Fak­tor Mensch in der IT-Sicher­heit, Robert Loh­mann (IMC AG)
  • Neu­es aus der BVS, Michae­la Win­ter­mayr-Greck (BVS)
  • Inter­ak­ti­ver Cyber­an­griff, N.N. (Baye­ri­sches Landeskriminalamt)

Am zwei­ten Tag wird am Vor­mit­tag zur Podi­ums­dis­kus­si­on gela­den. Titel: “Digi­ta­le Sou­ve­rä­ni­tät – Wel­che Qua­li­fi­ka­ti­on brau­chen wir zukünf­tig in der Aus- und Fort­bil­dung in Behörden?”

Auf dem Podi­um dür­fen wir begrü­ßen und freu­en uns auf eine span­nen­de Dis­kus­si­on mit

  • Hans-Chris­ti­an Witt­hau­er ‚Vor­stand der Baye­ri­schen Ver­wal­tungs­schu­le (BVS)
  • Bernd Geis­ler Prä­si­dent des Lan­des­amts für Sicher­heit in der Infor­ma­ti­ons­tech­nik (LSI)
  • Dr. Wolf­gang Denk­haus, Baye­ri­sches Staats­mi­nis­te­ri­um für Digi­ta­les (StMD)
  • Sascha Kuhr­au, a.s.k. Infor­ma­ti­ons­si­cher­heit und Dozent der BVS
  • Dr. Oli­ver Brun­ner, Geschäfts­stel­le des Baye­ri­schen Lan­des­be­auf­trag­ten für den Daten­schutz (BayLfD)

Als Mode­ra­tor führt der geschätz­te Horst Schä­fer (ehem. IT-Lei­ter der Stadt Gun­zen­hau­sen und Aus­bil­der bei der BVS)  durch die Podiumsdiskussion.

Am ers­ten Ver­an­stal­tungs­tag erwar­tet die Teil­neh­mer ein inter­es­san­tes, kurz­wei­li­ges Abend­pro­gramm, bevor der Tag bei einem gemüt­li­chen Abend­essen ausklingt.

Erhalt der Fach­kun­de von Informationssicherheitsbeauftragten

Die Ver­an­stal­tung dient als Nach­weis zum Erhalt der Fach­kun­de von aus­ge­bil­de­ten Informationssicherheitsbeauftragten.

Wei­te­re Infor­ma­tio­nen und zur Anmel­dung — sie­he BVS.

ISMS-För­der­mit­tel­pro­gramm für baye­ri­sche Kom­mu­nen endet 31.12.2023

Die aktu­el­le ISMS-För­der­mit­tel­richt­li­nie zur finan­zi­el­len Unter­süt­zung der Ein­füh­rung eines Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tems im Sin­ne von Art. 43 Bay­DiG läuft zum 31.12.2023 aus. Eine Ver­län­ge­rung wur­de vom zustän­di­gen Staats­mi­nis­te­ri­um ver­neint. Eben­so eine abseh­ba­re Neuauflage.

Wenn Sie als baye­ri­sche Kom­mu­ne die Neu­ein­füh­rung eines ISMS auf Basis

  • Arbeits­hil­fe
  • CISIS12
  • VDS 10000
  • BSI IT-Grund­schutz (Kom­mu­nal­pro­fil, Basis‑, Stan­dard- oder Kernabsicherung)
  • ISO 27001

oder ein Upgrade eines klei­ne­ren vor­han­de­nen Stan­dards auf einen der höhe­ren Stan­dards pla­nen, dann soll­ten Sie sich mit der Bean­tra­gung von För­der­mit­teln beei­len. (Ach­tung: Dif­fe­renz­för­de­rung von ISIS12 zu CISIS12 ist nicht möglich.)

Laut Aus­sa­ge der För­der­mit­tel­stel­le auf der Web­sei­te soll­te Ihr Antrag spä­tes­tens am 15. Novem­ber 2023 ein­ge­gan­gen sein. Das hat meh­re­re Gründe:

  • Bei spä­te­rem Ein­gang kann eine För­der­zu­sa­ge recht­zei­tig vor Ablauf des Pro­gramms auf­grund des erhöh­ten Antrag­vo­lu­mens in der Schluß­pha­se nicht mehr garan­tiert werden.
  • Der För­der­mit­tel­topf war zwar groß, neigt sich aber den­noch dem Ende zu. Und wenn kei­ne För­der­mit­tel zur Ver­ga­be frei sind, ist es egal, wann der Antrag eingeht.

Sie brau­chen mit dem Pro­jekt jedoch nicht mehr in 2023 begin­nen. Ledig­lich der Antrag und die Bewil­li­gung müs­sen in 2023 über die Büh­ne sein. Der Beginn der Umset­zung kann in 2024 lie­gen. Sie kön­nen sich daher die­ses Jahr noch die För­der­mit­tel für die Jah­re 2024 ff. sichern.

Sie benö­ti­gen ein Ange­bot für die Unter­stüt­zung durch Bera­tung und Schu­lung von einem qua­li­fi­zier­ten Dienst­leis­ter. Qua­li­fi­ziert heißt, der Dienst­leis­ter muss sei­ne Eig­nung gegen­über der För­der­stel­le bele­gen kön­nen. Das kön­nen je nach gewähl­ter Norm sein:

  • Zer­ti­fi­kat CISIS12 Pro­fes­sio­nal /​ Offi­cer
  • Zer­ti­fi­kat BSI IT-Grund­schutz Prak­ti­ker /​ Bera­ter
  • Zer­ti­fi­kat ISO 27001 Officer

Das ist unab­hän­gig davon, ob Sie das ISMS neu ein­füh­ren oder ein bestehen­des ISMS upgraden. Unse­re Mit­ar­bei­ter sind selbst­ver­ständ­lich für alle Stan­dards zuge­las­sen. Bit­te beach­ten Sie: Das neue ISMS oder Upgrade soll­te zu Ihrer Orga­ni­sa­ti­on pas­sen. Da wir in allen oben genann­ten Nor­men zuhau­se sind, kön­nen wir Sie hier­zu orga­ni­sa­ti­ons­in­di­vi­du­ell bera­ten und müs­sen Ihnen nicht auf Gedeih und Ver­derb ledig­lich einen Stan­dard als den ein­zig rich­ti­gen Weg “ver­kau­fen”.

Zustän­dig ist die Regie­rung Ober­fran­ken. Alle Details und das Online-Antrags­for­mu­lar fin­den Sie unter https://​www​.regie​rung​.ober​bay​ern​.bay​ern​.de/​a​u​f​g​a​b​e​n​/​l​e​i​s​t​u​n​g​/​l​e​i​s​t​u​n​g​_​3​5​0​0​4​/​i​n​d​e​x​.​h​tml

Auch unse­re Res­sour­cen sind end­lich. Aber der­zeit könn­ten wir noch gut orga­ni­sier­te ISMS-Pro­jek­te in 2024 im Lau­fe des Jah­res unter­brin­gen. Anfra­gen bit­te an info@​ask-​informationssicherheit.​de oder über unse­ren Zen­tral­ruf 09155–263 99 70. Alter­na­tiv direkt über unser For­mu­lar (exter­ner Link).

Wir mel­den uns dann wegen wei­te­rer Details zur Ange­bots­er­stel­lung bei Ihnen.

WiBA — Weg in die Basis-Absi­che­rung — WiBA BSI

Nicht erst seit dem Aus­fall der Land­kreis­ver­wal­tun­gen Anhalt-Bit­ter­feld oder Rhein­pfalz ist bekannt, dass auch Kom­mu­nal­ver­wal­tun­gen durch­aus Nach­hol­be­darf beim The­ma Infor­ma­ti­ons­si­cher­heit haben. Auch klei­ne­re Kom­mu­nen sind betrof­fen und haben nicht weni­ger mit den Fol­gen zu kämp­fen. Der geschätz­te Jens Lan­ge, sei­nes Zei­chens ITSi­Be der Stadt Kas­sel betreibt hier­zu ein schö­nes Infor­ma­ti­ons­por­tal (Vie­len Dank an die­ser Stel­le, Jens, für Dei­ne Arbeit!) unter https://​kom​mu​na​ler​-not​be​trieb​.de

Doch auch Fir­men, eben­falls ganz unab­hän­gig von Bran­che und Grö­ße blei­ben von die­sem Pro­blem nicht ver­schont. Einen gro­ben Ein­druck, wie oft es knallt, kann man sich sehr gut unter https://​kon​brie​fing​.com/​d​e​-​t​o​p​i​c​s​/​h​a​c​k​e​r​a​n​g​r​i​f​f​-​d​e​u​t​s​c​h​l​a​n​d​.​h​tml verschaffen.

Bei­de Por­ta­le kön­nen nur einen Teil der Mise­re zei­gen, denn nicht jedes “Miss­ge­schick” in der Infor­ma­ti­ons­si­cher­heit bei Kom­mu­nen und Fir­men gelangt an die Öffent­lich­keit. Das bedeu­tet, die Dun­kel­zif­fer des Ver­sa­gens der Infor­ma­ti­ons­si­cher­heit (oder auch des Nicht­vor­han­den­seins) ist daher im Zwei­fel noch um eini­ges höher.

Nor­men für Informationssicherheit

Stan­dards für Infor­ma­ti­ons­si­cher­heit gibt es eini­ge auf dem Markt. Da gibt es z.B.

  • ISO 27001 (nati­ve oder auf Basis IT-Grundschutz)
  • Den IT-Grund­schutz des BSI (Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik) in den 3 Absi­che­rungs­stu­fen Basis, Kern und Standard
  • TISAX (gera­de im Auto­mo­ti­ve-Bereich ein sehr bekann­ter Vertreter)
  • CISIS12 (ehe­ma­lis ISIS12)
  • ISMS4KMO (als Stan­dard als Wei­ter­ent­wick­lung von ISIS12, aber auch als Tool für die ISO 27001 und den IT-Grundschutz)
  • “Arbeits­hil­fe” (eine Absi­che­rung in der Brei­te einer Orga­ni­sa­ti­on, ent­wi­ckelt von a.s.k. Daten­schutz im Auf­trag der Inno­va­ti­ons­stif­tung Baye­ri­sche Kommune)
  • SiKo­SH (Sicher­heits­kon­zept Schles­wig-Hol­stein) oder auch
  • VDS 10.000 ehe­mals 3473.

Es gibt noch wei­te­re Ver­tre­ter, doch wir haben uns auf die Stan­dards mit einer bekann­ten brei­ten Instal­la­ti­ons­ba­sis beschränkt. Dane­ben gibt es noch div. Schwach­stel­len-Tools, die jedoch zumeist ein­ma­li­ge Stär­ken-Schwä­chen-Ana­ly­sen dar­stel­len und kei­nen Fokus auf den Betrieb eines Infor­ma­ti­ons­si­cher­heits­kon­zepts legen. Dazu zäh­len z.B. ISA+ und andere.

Alle Nor­men haben eins gemein­sam: Infor­ma­ti­ons­si­cher­heit bedeu­tet Arbeit in fast allen Tei­len einer Orga­ni­sa­ti­on und kos­tet Zeit, Geld und Per­so­nal­res­sour­cen. Dazu haf­ten eini­gen Stan­dards nahe­zu sagen­haf­te Aus­sa­gen an wie “Der IT-Grund­schutz dau­ert min­des­tens 5 Jah­re in der Ein­füh­rung, egal wie groß die Orga­ni­sa­ti­on ist” oder “Für Stan­dard XYZ sind min­des­tens 50–60 exter­ne Bera­ter­ta­ge not­wen­dig”. Nun ja … In der Tat war der alte 100‑x Stan­dard des IT-Grund­schutz ein dickes, zu boh­ren­des Brett. Aber 5 Jah­re haben selbst Groß­or­ga­ni­sa­tio­nen dafür nie gebraucht. Und durch das sog. Kom­pen­di­um (200‑x) und die 3 Absi­che­rungs­stu­fen von unten nach oben wur­de ein zeit­ge­mä­ßer und nied­rig­schwel­li­ger Ein­stieg in den IT-Grund­schutz vom BSI geschaf­fen. Der frü­he­re Schre­cken hat sei­ne Daseins­be­rech­ti­gung ver­lo­ren. Und immens hohe Zah­len an exter­nen Bera­ter­ta­gen kön­nen — unab­hän­gig vom gewähl­ten Stan­dard — auch nur dann zustan­de­kom­men, wenn die eige­ne Orga­ni­sa­ti­on so gut wie kei­nen Selbst­ein­satz bei der Ein­füh­rung des Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tems leis­tet. Das mag bequem erschei­nen, auch wenn es teu­er ist, aber geht am Ziel und Zweck vor­bei. Schließ­lich wird Infor­ma­ti­ons­si­cher­heit durch die eige­ne Orga­ni­sa­ti­on betrie­ben und da hilft es wenig, wenn die gan­ze Arbeit durch Exter­ne geleis­tet wird (feh­len­des inter­nes Know-How, “Bera­ter-Trep­pe”).

WiBA — Weg in die Basis-Absicherung

Um den Ein­stieg in den IT-Grund­schutz nun noch nied­rig­schwel­li­ger anzu­set­zen als bereits mit der sog. Basis-Absi­che­rung gesche­hen, hat das BSI einen 18 Doku­men­te umfas­sen­den Fra­gen­ka­ta­log ent­wi­ckelt. Die­ser soll bei kon­se­quen­ter Bear­bei­tung aktu­el­le Schwach­stel­len in der Infor­ma­ti­ons­si­cher­heit (orga­ni­sa­to­risch, infra­struk­tu­rell, tech­nisch, pro­zes­su­al) auf­fin­den hel­fen, damit die­se im Anschluss besei­tigt wer­den kön­nen. Ein löb­li­cher Ansatz und gera­de für Orga­ni­sa­tio­nen geeig­net, die bis­her noch jeden Kon­takt mit dem The­ma gescheut haben.

Fol­gen­de The­men wer­den zur Zeit abgedeckt:

  1. Arbeit außer­halb der Institution
  2. Arbeit inner­halb der Insti­tu­ti­on /​ Haus­tech­nik
  3. Back­up
  4. Büro­soft­ware
  5. Cli­ent
  6. Dru­cker und Multifunktionsgeräte
  7. IT-Admi­nis­tra­ti­on
  8. Mobi­le Endgeräte
  9. Net­ze
  10. Orga­ni­sa­ti­on und Personal
  11. Out­sour­cing und Cloud
  12. Rol­len /​ Berech­ti­gun­gen /​ Authen­ti­sie­rung
  13. Ser­ver­raum
  14. Ser­ver­sys­te­me
  15. Sicher­heits­me­cha­nis­men
  16. Tele­fo­nie und Fax
  17. Umgang mit Informationen
  18. Vor­be­rei­tung für Sicherheitsvorfälle

Umfang­reich sind die Prüf­fra­gen sel­ten. So fin­den sich im Kapi­tel 6 Out­sour­cing und Cloud bei­spiels­wei­se 6 Prüf­fra­gen. Dar­aus wird auch die Inten­ti­on des nied­rig­schwel­li­gen Ein­stiegs u.a. durch einen redu­zier­ten Umfang sehr deutlich.

Der­zeit sind die Fra­ge­bö­gen im Word-For­mat als sog. Com­mu­ni­ty Drafts online gestellt. Das BSI for­dert expli­zit dazu auf, die­se zu nut­zen, zu prü­fen und Anre­gun­gen und Ergän­zun­gen zurück­zu­spie­len. Die­se Rück­mel­dun­gen sol­len dann in die fina­le Ver­si­on von WiBA — Weg in die Basis­ab­si­che­rung einfließen.

In der Hoff­nung, dass dem­nächst nicht wie­der alle Links auf den BSI Web­sei­ten umge­stellt wer­den, hier der direk­te Ein­sprung in das The­ma: https://​www​.bsi​.bund​.de/​D​E​/​T​h​e​m​e​n​/​U​n​t​e​r​n​e​h​m​e​n​-​u​n​d​-​O​r​g​a​n​i​s​a​t​i​o​n​e​n​/​S​t​a​n​d​a​r​d​s​-​u​n​d​-​Z​e​r​t​i​f​i​z​i​e​r​u​n​g​/​I​T​-​G​r​u​n​d​s​c​h​u​t​z​/​W​I​B​A​/​W​e​g​_​i​n​_​d​i​e​_​B​a​s​i​s​_​A​b​s​i​c​h​e​r​u​n​g​_​W​i​B​A​.​h​tml

Über­le­gun­gen zur aktu­el­len Gestal­tung /​ Umset­zung von WiBA — Weg in die Basis-Absicherung

WiBA kann durch­aus ein geeig­ne­ter Ein­stieg in das The­ma Infor­ma­ti­ons­si­cher­heit für Orga­ni­sa­tio­nen sein, die bis­her noch gar kei­nen Kon­takt mit dem The­ma hat­ten und erst mal “schnup­pern” wol­len. Dabei soll­te man im Hin­ter­kopf haben, dass es sich hier­bei nur um eine Schwach­stel­len­ana­ly­se anhand von Fra­ge­stel­lun­gen han­delt. Der zu einem ISMS gehö­ren­de PDCA-Zyklus inkl. der not­wen­di­gen Ver­ant­wort­lich­kei­ten, Auf­ga­ben und Pro­zes­sen ist nicht ent­hal­ten. Wie das BSI in der Manage­ment Sum­ma­ry selbst schreibt, kann WiBA — Weg in die Basis-Absi­che­rung nur der ers­te Schritt in das The­ma Infor­ma­ti­ons­si­cher­heit sein. Denn mit einer Schwach­stel­len­ana­ly­se allei­ne ist es nicht getan.

Posi­tiv fällt die Ver­knüp­fung der Prüf­fra­gen zu den Bau­stei­nen des IT-Grund­schut­zes auf. Das soll­te ein spä­te­res Upgrade in die Basis-Absi­che­rung erleich­tern, da sich ein Wie­der­erken­nungs­ef­fekt ein­stel­len wird. Doch das leis­ten auch ande­re Systematiken.

Wie­so man aus­ge­rech­net mit Word-Tabel­len gear­bei­tet hat, wird wohl ein Rät­sel blei­ben. Dem­je­ni­gen, der mit­tels die­ser Doku­men­te die Ergeb­nis­se doku­men­tie­ren und nach­hal­ten soll, bleibt nur viel Kraft und Geduld zu wünschen 🙂

WiBA liegt nun als Com­mu­ni­ty Draft vor, ist also noch nicht final fer­tig. Dem­ge­gen­über haben ande­re Kon­zep­te, die eben­falls einen nied­rig­schwel­li­gen Ein­stieg in das The­ma Infor­ma­ti­ons­si­cher­heit garan­tie­ren und dabei auch gleich den Grund­stein für den spä­te­ren Betrieb des ISMS legen, bereits mehr­jäh­ri­ge Wei­ter­ent­wick­lun­gen erfah­ren. Allen vor­an sei hier exem­pla­risch die Arbeits­hil­fe der Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne genannt, die erst­ma­lig 2016 erschie­nen ist und mitt­ler­wei­le in Ver­si­on 5 vor­liegt. Wie­so nun eine Eigen­ent­wick­lung auf­ge­legt wird, statt auf vor­han­de­ne Sys­te­ma­ti­ken zurück­zu­grei­fen oder die­se zu emp­feh­len, bleibt unklar. Ok, der Auf­wand für die Arbeits­hil­fe wäre höher. Aber man hät­te sich auch mit der Sys­te­ma­tik ISA+ des IT-Sicher­heits­clus­ters Regens­burg oder mit dem Rei­fe­grad-Modell “Kom­mu­na­le IT-Sicher­heit” des Lan­des­amts für Sicher­heit in der Infor­ma­ti­ons­tech­nik Bay­ern, kurz LSI zusam­men­tun kön­nen. Übri­gens: Auch wenn die Arbeits­hil­fe ursprüng­lich für Kom­mu­nen ent­wi­ckelt wur­de, kann die­se auch von Fir­men genutzt wer­den. Ob die Orga­ni­sa­ti­ons­lei­tung am Ende Bür­ger­meis­ter oder Geschäfts­füh­rer heißt, ändert nichts an den Sicher­heits­an­for­de­run­gen, höchs­tens am Risi­ko einer per­sön­li­chen Haf­tung 😉 Wer es pro­fes­sio­nell haben möch­te: Spre­chen Sie uns wegen einer Soft­ware-Umset­zung der Arbeits­hil­fe ger­ne an. Die damals vom Auf­trag­ge­ber vor­ge­ge­be­nen Word-Doku­men­te sind im lau­fen­den Betrieb des ISMS alles ande­re als handlich.

Hin­zu kommt: Wer bereits mit einem ISMS auf Basis von ISIS12, der Arbeits­hil­fe oder VDS aus­ge­stat­tet ist und die­se erfolg­reich in Betrieb hat, wird mit WiBA — Weg in die Basis-Absi­che­rung nicht glück­lich. Hier wäre zu emp­feh­len, gleich den fol­ge­rich­ti­gen Schritt in die BSI IT-Grund­schutz Basis-Absi­che­rung oder für Kom­mu­nen das sog. Kom­mu­nal­pro­fil im Rah­men der Basis-Absi­che­rung zu gehen.

Und nicht ver­ge­se­sen — wie schreibt es das BSI (nicht nur im Kon­text von WiBA — Weg in die Basis-Absi­che­rung) so tref­fend: Infor­ma­ti­ons­si­cher­heit ist Che­fin­nen- und Chef­sa­che! Und jeder Schritt hin zu mehr Infor­ma­ti­ons­si­cher­heit zählt. Von daher, well done, BSI!

Übri­gens freut sich auch der Daten­schutz­be­auf­trag­te, wenn das The­ma Infor­ma­ti­ons­si­cher­heit kon­se­quent und sys­te­ma­tisch in der Orga­ni­sa­ti­on umge­setzt wird. Das nimmt eini­ges an Druck aus dem Kes­sel im Hin­blick auf Art. 32 DSGVO Sicher­heit der Verarbeitung.

Save the date: BVS ISB Boot Camp Gun­zen­hau­sen 28.–29.03.2023

Nicht nur für akti­ve Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te inter­es­sant. Und nach­dem es die Pan­de­mie-Umstän­de zulas­sen, die­ses Jahr wie­der als 2‑tägige Vor-Ort-Veranstaltung:

ISB Boot Camp 2023 in Gun­zen­hau­sen am 28.03. und 29.03.2023

Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te, IT-Sicher­heits­be­auf­trag­te, aber auch Daten­schutz­be­auf­trag­te und IT-Lei­ter tref­fen sich zum Erfah­rungs­aus­tausch und Netz­wer­ken rund um aktu­el­le The­men der Infor­ma­ti­ons­si­cher­heit, der IT-Sicher­heit und des Daten­schut­zes. Dabei geht es nicht nur um aktu­el­le Bedro­hungs­la­gen, son­dern auch Lösun­gen aus der Pra­xis, um die­sen best­mög­lich zu begeg­nen. Tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, sowie prag­ma­ti­sche Lösungs­an­sät­ze, die sich im All­tag bewährt haben, ste­hen im Vor­der­grund der Ple­nums­bei­trä­ge und zahl­rei­chen Work­shops. Als Refe­ren­ten konn­ten zahl­rei­che akti­ve Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te aus Kom­mu­nal­ver­wal­tun­gen und Unter­neh­men gewon­nen wer­den, die ger­ne ihre Erfah­run­gen tei­len und sich freu­en, mit den Teil­neh­mern in inter­es­san­te Dis­kus­sio­nen einzutreten.

Auch das Lan­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik Bay­ern, kurz LSI ist wie­der mit von der Par­tie im dies­jäh­ri­gen ISB Boot Camp und stellt inter­es­san­te The­men vor. Dane­ben besteht natür­lich auch die Mög­lich­keit des direk­ten Aus­tauschs mit Mit­ar­bei­tern des LSI wäh­rend der gan­zen Veranstaltung.

Durch aus­rei­chen­de Pau­sen und auch im Zuge des Abend­pro­gramms am 28.02. steht allen Teil­neh­mern aus­rei­chend Zeit und Mög­lich­keit zum Erfah­rungs­austauch und Netz­wer­ken zur Verfügung.

Natür­lich dreht sich viel um tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men im All­tag der Infor­ma­ti­ons­si­cher­heit und des Daten­schut­zes. Aber auch stra­te­gi­sche The­men mit Blick nach vor­ne kom­men nicht zu kurz (Aus­zug):

  • ISMS — Wo geht die (bay­ri­sche) Rei­se hin?
  • Aus der Pra­xis eines Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten von 60 Kleinorganisationen
  • Tech­ni­sches Know-How für Infor­ma­ti­ons­si­cher­heits- und Datenschutzbeauftragte
  • Das ISMS /​ die TOM über­prü­fen — Per­mis­si­on rights reviews, Pene­tra­ti­ontests, inter­ne Audits, Flo­or­walks, wei­te­re Kennzahlen
  • ChatGPT und mög­li­che Aus­wir­kun­gen auf die Informationssicherheit
  • Win­dows Sup­port Anru­fe — wie ein Social Engi­neer in die Fal­le gelockt wurde
  • Schwach­stel­len­ma­nage­ment mit Tools in der Praxis
  • Low bud­get Phishingkampagne
  • Aktu­el­le Bedrohungslage
  • und immer wie­der ver­blüf­fend: Live Hacking

Die Agen­da des ISB Boot Camp füllt sich der­zeit noch mit wei­te­ren The­men und Beiträgen.

Durch­ge­führt wird das ISB Boot Camp — wie gehabt — von der Baye­ri­schen Ver­wal­tungs­schu­le. Wei­te­re Orga­ni­sa­to­ren sind die Stadt Gun­zen­hau­sen, das LSI und wir von der a.s.k. Daten­schutz. Es rich­tet sich jedoch nicht aus­schließ­lich an Mit­ar­bei­ter der Kommunalverwaltung.

Inter­es­se? Dann geht es hier zur Anmel­dung.

 

 

Arti­kel 32 DSGVO — Sicher­heit der Verarbeitung

Es dürf­te sich rum­ge­spro­chen haben: Per­so­nen­be­zo­ge­ne Daten sind zu schüt­zen. Das es dabei nur sekun­där um die per­so­nen­be­zo­ge­nen Daten an sich geht, son­dern pri­mär die Per­son vor Scha­den bewahrt wer­den soll, auf die sich die­se Daten bezie­hen (der sog. “Betrof­fe­ne”), wird den meis­ten Anwen­dern der DSGVO eben­falls klar sein. Doch was will der Gesetz­ge­ber hier eigent­lich von den sog. “Ver­ant­wort­li­chen”, also all den Unter­neh­men, Ver­ei­nen, Bun­des- und Lan­des­be­hör­den sowie Kom­mu­nal­ver­wal­tun­gen? Wer­fen wir mal einen Blick auf Arti­kel 32 DSGVO.

So steht es in Arti­kel 32 DSGVO

  1. Unter Berück­sich­ti­gung des Stands der Tech­nik, der Imple­men­tie­rungs­kos­ten und der Art, des Umfangs, der Umstän­de und der Zwe­cke der Ver­ar­bei­tung sowie der unter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwe­re des Risi­kos für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen tref­fen der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, um ein dem Risi­ko ange­mes­se­nes Schutz­ni­veau zu gewähr­leis­ten; die­se Maß­nah­men schlie­ßen gege­be­nen­falls unter ande­rem Fol­gen­des ein: a) die Pseud­ony­mi­sie­rung und Ver­schlüs­se­lung per­so­nen­be­zo­ge­ner Daten; b) die Fähig­keit, die Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Belast­bar­keit der Sys­te­me und Diens­te im Zusam­men­hang mit der Ver­ar­bei­tung auf Dau­er sicher­zu­stel­len; c) die Fähig­keit, die Ver­füg­bar­keit der per­so­nen­be­zo­ge­nen Daten und den Zugang zu ihnen bei einem phy­si­schen oder tech­ni­schen Zwi­schen­fall rasch wie­der­her­zu­stel­len; d) ein Ver­fah­ren zur regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Eva­lu­ie­rung der Wirk­sam­keit der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Gewähr­leis­tung der Sicher­heit der Verarbeitung.

  2. Bei der Beur­tei­lung des ange­mes­se­nen Schutz­ni­veaus sind ins­be­son­de­re die Risi­ken zu berück­sich­ti­gen, die mit der Ver­ar­bei­tung ver­bun­den sind, ins­be­son­de­re durch – ob unbe­ab­sich­tigt oder unrecht­mä­ßig – Ver­nich­tung, Ver­lust, Ver­än­de­rung oder unbe­fug­te Offen­le­gung von bezie­hungs­wei­se unbe­fug­ten Zugang zu per­so­nen­be­zo­ge­nen Daten, die über­mit­telt, gespei­chert oder auf ande­re Wei­se ver­ar­bei­tet wurden.

  3. Die Ein­hal­tung geneh­mig­ter Ver­hal­tens­re­geln gemäß Arti­kel 40 oder eines geneh­mig­ten Zer­ti­fi­zie­rungs­ver­fah­rens gemäß Arti­kel 42 kann als Fak­tor her­an­ge­zo­gen wer­den, um die Erfül­lung der in Absatz 1 des vor­lie­gen­den Arti­kels genann­ten Anfor­de­run­gen nachzuweisen.

  4. Der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter unter­neh­men Schrit­te, um sicher­zu­stel­len, dass ihnen unter­stell­te natür­li­che Per­so­nen, die Zugang zu per­so­nen­be­zo­ge­nen Daten haben, die­se nur auf Anwei­sung des Ver­ant­wort­li­chen ver­ar­bei­ten, es sei denn, sie sind nach dem Recht der Uni­on oder der Mit­glied­staa­ten zur Ver­ar­bei­tung verpflichtet.

Was will Arti­kel 32 DSGVO in der Praxis?

Dreh- und Angel­punkt sind die tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men, auch kurz TOM genannt. Mit­tels einer geeig­ne­ten Aus­wahl und Anwen­dung die­ser Schutz­maß­nah­men (qua­si eine Art Werk­zeug­kas­ten) sol­len per­so­nen­be­zo­ge­ne Daten vor den all­täg­li­chen Risi­ken bei deren Ver­ar­bei­tung (also Erhe­bung, Spei­che­rung, Nut­zung, aber auch beab­sich­tig­ter Löschung und Ver­nich­tung) geschützt wer­den. Dabei soll nicht alles an Schutz­maß­nah­men ergrif­fen wer­den, was irgend­wie geht, son­dern der Gesetz­ge­ber spricht von einer Ange­mes­sen­heit. Die Schutz­maß­nah­men müs­sen also zum Schutz­wert der betrof­fe­nen per­so­nen­be­zo­ge­nen Daten pas­sen. Dabei sol­len dann auch Fak­to­ren wie die Ein­tritts­wahr­schein­lich­keit und das zu erwar­ten­de Scha­dens­aus­maß für den Betrof­fe­nen — ganz wich­tig: nicht für die eige­ne Orga­ni­sa­ti­on — berück­sich­tigt werden.

Inter­es­san­ter­wei­se erfin­det “der Daten­schutz” hier das Rad mal nicht neu.  Wir fin­den Punk­te wie

  • Ver­trau­lich­keit,
  • Inte­gri­tät und
  • Ver­füg­bar­keit,
  • die Sicher­stel­lung der Wie­der­her­stell­bar­keit von Daten z.B. im Rah­men von Busi­ness Con­ti­nui­ty Manage­ment und Not­fall­ma­nage­ment, aber auch
  • Revi­si­ons­zy­klen (PDCA) zur Über­prü­fung der Wirk­sam­keit vor­han­de­ner Schutz­maß­nah­men sowie zur
  • Iden­ti­fi­ka­ti­on von mög­li­cher­wei­se zusätz­li­chen oder anzu­pas­sen­den Schutz­maß­nah­men auf­grund neu­er Risi­ken oder Ver­än­de­run­gen an bestehen­den Risiken.

Und ganz egal, ob man das hören mag oder nicht: Am Ende beschrei­ben die­se Punk­te und Begriff­lich­kei­ten ein klas­si­sches Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tem, kurz ISMS. Wer sich mit dem The­ma Infor­ma­ti­ons­si­cher­heit schon näher befasst hat, wird fest­stel­len: Per­so­nen­be­zo­ge­ne Daten sind eine Unter­men­ge der schüt­zens­wer­ten Infor­ma­tio­nen einer Orga­ni­sa­ti­on. Na, schau mal einer an.

Schreibt Arti­kel 32 DSGVO nun ein ISMS vor?

Die Begrif­fe Infor­ma­ti­ons­si­cher­heit oder ISMS fal­len zwar nicht wört­lich, aber gera­de die in Arti­kel 32 Absatz 1 DSGVO genann­ten Punk­te, beschrei­ben dem Sinn nach nichts ande­res als ein Infor­ma­ti­ons­si­cher­heits­kon­zept bzw. ISMS. Das bedeu­tet nun nicht, dass man ein sol­ches ISMS zur Ein­hal­tung von Art. 32 DSGVO ein­füh­ren muss, um rechts­kon­form unter­wegs zu sein. Aber es wird halt müh­se­lig. Gut, es gibt immer Men­schen und Orga­ni­sa­tio­nen, die mögen es umständlich 🙂

Was liegt also näher, als sich die­sen Anfor­de­run­gen sys­te­ma­tisch zu nähern, statt ein­fach wild ein paar mög­li­cher­wei­se geeig­ne­te Schutz­maß­nah­men zusam­men­zu­schus­tern? Und sobald man ein Infor­ma­ti­ons­si­cher­heits­kon­zept ein­ge­führt hat, geht es ja nicht nur den per­so­nen­be­zo­ge­nen Daten gut. Auch alle ande­ren “Kron­ju­we­len” einer Orga­ni­sa­ti­on füh­len sich behü­tet und beschützt. Also gleich meh­re­re Flie­gen mit einer Klap­pe erschla­gen. Grü­ße vom tap­fe­ren Schneiderlein.

Dabei soll­te man jedoch im Hin­ter­kopf behal­ten, dass Infor­ma­ti­ons­si­cher­heit sich im Rah­men der sog. Risi­ko­ana­ly­se vor­ran­gig mit den Aus­wir­kun­gen auf die Orga­ni­sa­ti­on befasst. Die Fra­ge­stel­lung lau­tet zu Beginn: Was für Aus­wir­kun­gen haben die Ver­let­zung der Ver­trau­lich­keit, Inte­gri­tät oder Ver­füg­bar­keit von schüt­zens­wer­ten Infor­ma­tio­nen (und damit sind per­so­nen­be­zo­ge­ne Daten ein­ge­schlo­sen) für mei­ne Orga­ni­sa­ti­on im Hin­blick auf

  • mög­li­che Ver­trags­ver­let­zun­gen und Rechtsverstöße,
  • finan­zi­el­le Schä­den wie Ver­trags­stra­fen, Buß­gel­der oder auch Schadenersatz,
  • nega­ti­ve Aus­wir­kun­gen auf Repu­ta­ti­on /​ Image,
  • mög­li­che Beein­träch­ti­gung der Aufgabenerfüllung,
  • mög­li­che Beein­träch­ti­gun­gen der infor­ma­tio­nel­len Selbst­be­stim­mung (Daten­schutz) und
  • bei einem Side­kick in Rich­tung Not­fall­ma­nage­ment auch Gefahr für Leib und Leben.

Die Risi­ken im Bereich Daten­schutz wer­den zwar schon grob erfasst, aber im Hin­blick auf die Aus­wir­kun­gen für die Orga­ni­sa­ti­on. Der Trick besteht dar­in, mög­li­che Risi­ken für den Betrof­fe­nen wie Iden­ti­täts­dieb­stahl oder Ver­lust sei­ner Betrof­fe­nen­rech­te und noch wei­te­rer Punk­te zu inklu­die­ren. Kein Hexen­werk. Und vor allem muss man das Rad nicht neu erfinden.

Wel­che Sys­te­ma­tik für ein Infor­ma­ti­ons­si­cher­heits­kon­zept darf es denn sein?

Das Schö­ne ist, es gibt auf dem Markt seit Jahr­zehn­ten bewähr­te und kon­ti­nu­ier­lich wei­ter­ent­wi­ckel­te Stan­dards für Infor­ma­ti­ons­si­cher­heit. Und selbst wenn die­se die Aus­wir­kun­gen im Daten­schutz für den Betrof­fe­nen nicht bereits inklu­diert haben, sind die­se in der Risi­ko­be­trach­tung mit weni­gen Hand­grif­fen inte­griert und berück­sich­tigt. “That’s no rocket science!”

Sicher ken­nen vie­le Leser eine ISO 27001 als welt­wei­te Norm für Infor­ma­ti­ons­si­cher­heit oder auch den IT-Grund­schutz des Bun­des­amts für Sicher­heit in der Infor­ma­ti­ons­tech­nik (kurz BSI). Es hält sich das Gerücht hart­nä­ckig, die­se sei­en für klei­ne und kleins­te Orga­ni­sa­tio­nen viel zu groß und auf­wän­dig. Die Pra­xis zeigt, dem ist nicht so. Aber selbst, wenn man die­ser Argu­men­ta­ti­on folgt, so gibt es Alter­na­ti­ven wie (Rei­hen­fol­ge nicht wertend)

  • ISIS12 /​ CISIS12 — ein Infor­ma­ti­ons­si­cher­heits­kon­zept in 12 Schritten
  • SiKo­SH — in 7 Schrit­ten zu einem ISMS
  • VDS 10000 — ehe­mals 3473, ursprüng­lich ein Fra­ge­bo­gen für Risi­ken im Bereich Cybersicherheit
  • TISAX — im Kon­text von Auto­mo­bil­zu­lie­fe­rern weit ver­brei­tet oder
  • das unter dem Titel “Arbeits­hil­fe” bekann­te Kon­zept zu Ein­füh­rung und Betrieb eines ISMS der Inno­va­ti­ons­stif­tung Bay­ri­sche Kommune.

Dar­über­hin­aus gibt es auch noch wei­te­re Sys­te­ma­ti­ken und Vor­ge­hens­wei­sen, aber wir beschrän­ken uns mal auf die oben genann­ten Ver­tre­ter. Unse­re Emp­feh­lung lau­tet stets: Nut­zen Sie eine der vor­han­de­nen Vor­ge­hens­wei­sen und erfin­den Sie das Rad bit­te nicht neu. War­um? Die­se Vor­ge­hens­wei­sen /​ Ver­tre­ter für ein ISMS

  • haben sich über lan­ge Zeit in der Pra­xis bewährt,
  • sind für jede Art von Orga­ni­sa­ti­on anwend­bar, da — welch’ Über­ra­schung — Infor­ma­ti­ons­si­cher­heit uni­ver­sell ist,
  • decken alle­samt stets die Min­dest­an­for­de­run­gen an Infor­ma­ti­ons­si­cher­heit ab,
  • sind ska­lier­bar im Hin­blick auf Orga­ni­sa­ti­ons­grö­ßen aber auch auf das zu errei­chen­de Sicherheitsniveau,
  • spa­ren Ihnen Zeit und Nerven,
  • hel­fen, gern gemach­te Feh­ler bei Ein­füh­rung und Betrieb eines ISMS von vorn­her­ein zu ver­mei­den (RTFM).

Die “Arbeits­hil­fe” — der idea­le Ein­stieg in Arti­kel 32 DSGVO für klei­ne und gro­ße Einrichtungen

Wes­sen Orga­ni­sa­ti­on noch so gar kei­ne Erfah­rung hat mit dem The­ma Infor­ma­ti­ons­si­cher­heit oder die ISO 27001 und dem IT-Grund­schutz für zu wuch­tig hält, steigt idea­ler­wei­se über die “Arbeits­hil­fe” in das The­ma ein. Damit kön­nen grö­ße­re Orga­ni­sa­tio­nen ers­te Erfah­run­gen sam­meln, bevor es danach mit “grö­ße­ren” Stan­dards ans Ein­ge­mach­te geht. Und bei klei­ne­ren Ein­rich­tun­gen kommt man bei kon­se­quen­ter Anwen­dung des Stan­dards “Arbeits­hil­fe” bereits zu einem funk­tio­nie­ren­den ISMS mit dazu­ge­hö­ri­gen PDCA-Zyklus.

Die­ser Stan­dard wur­de 2016 im Auf­trag der Bay­ri­schen Kom­mu­na­len Spit­zen­ver­bän­de von uns für die Inno­va­ti­ons­stif­tung Bay­ri­sche Kom­mu­ne ent­wi­ckelt. Mitt­ler­wei­le ist Ver­si­on 4.0 aktu­ell. Ein Update auf Ver­si­on 5.0 wird vor­aus­sicht­lich in 2023 erschei­nen. Ist der Stan­dard dann über­haupt für Unter­neh­men und Ver­ei­ne geeig­net, wenn er doch aus dem kom­mu­na­len Bereich stammt? Ja klar. Wie zuvor schon geschrie­ben, ist Infor­ma­ti­ons­si­cher­heit eine uni­ver­sel­le Ange­le­gen­heit, die vom anzu­stre­ben­den Schutz­wert für schüt­zens­wer­te Infor­ma­tio­nen aus­geht. Dabei ist es uner­heb­lich, ob eine Fir­ma oder eine Ver­wal­tung Infor­ma­ti­ons­si­cher­heit betreibt. Der ein­zi­ge Knack­punkt bei Nut­zung der Arbeits­hil­fe: Gele­gent­lich muss man Begriff­lich­kei­ten wie Bür­ger­meis­ter, Land­rat oder Ver­wal­tung gegen die Pen­dants aus der frei­en Wirt­schaft tau­schen. Aber das bekom­men Sie hin 🙂

In 9 Kapi­teln führt die “Arbeits­hil­fe” eine Orga­ni­sa­ti­on in die not­wen­di­gen Anfor­de­run­gen für ein ISMS ein und legt die Grund­la­gen für den spä­te­ren Betrieb im Hin­blick auf “ein Ver­fah­ren zur regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Eva­lu­ie­rung der Wirk­sam­keit der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Gewähr­leis­tung der Sicher­heit der Ver­ar­bei­tung.” Gleich­zei­tig unter­stützt die Sys­te­ma­tik bei der Ent­de­ckung mög­li­cher Schwach­stel­len und zeigt Lösungs­we­ge auf, die­se zeit­nah zu beseitigen.

Die Sys­te­ma­tik, Anlei­tung und Doku­men­te zur Bear­bei­tung der “Arbeits­hil­fe” ste­hen kos­ten­frei zum Down­load zur Ver­fü­gung. Im ers­ten Durch­lauf wer­den auch kei­ne Inves­ti­tio­nen in eine ISMS-Soft­ware not­wen­dig. Im lau­fen­den Betrieb emp­fiehlt sich die­se dann spä­ter jedoch, um die Doku­men­ta­ti­on und regel­mä­ßi­ge Nach­prü­fung, aber auch das Berichts­we­sen zu erleich­tern. Bei Inter­es­se an einer sol­chen Lösung spre­chen Sie uns bit­te an.

Klei­nes Schman­kerl: Je nach Bun­des­land kön­nen För­der­mit­tel aus diver­sen Töp­fen zur Erhö­hung der Infor­ma­ti­ons­si­cher­heit oder IT-Sicher­heit oder Digi­ta­li­sie­rung ange­zapft wer­den. Wenn Sie sich also zur Unter­stüt­zung und Beglei­tung der Ein­füh­rung oder auch für Mit­ar­bei­ter­schu­lun­gen exter­ne Hil­fe her­an­ho­len, kön­nen die Aus­ga­ben hier­für geför­dert werden.

Wei­te­re Infos zur Arbeits­hil­fe fin­den Sie hier auf unse­rem Blog.

Wenn man ein sol­ches ISMS dann auch noch mit einem funk­tio­nie­ren­den Daten­schutz­ma­nage­ment­sys­tem (DSMS) ver­knüpft, dann hat man eini­ge Sor­gen weni­ger bzw. sich unnö­ti­ge Umstän­de und Mühen auf­grund unsys­te­ma­ti­scher Vor­ge­hens­wei­sen erfasst. Gleich­zei­tig hat man, den akti­ven Betrieb bei­der Sys­te­me vor­aus­ge­setzt, auch nicht ban­ge zu sein, soll­te die Lan­des­da­ten­schutz­be­hör­de mal klin­geln. Und das ist viel wert. Das wis­sen zumin­dest die Orga­ni­sa­tio­nen, bei denen das schon der Fall war 😉

 

WLAN Zugangs­da­ten unge­schützt am Fritz!Fon

Gele­gent­lich kann man ein­fach nur den Kopf schüt­teln. Hilft zwar nicht bei der Suche nach einer plau­si­blen Ant­wort, aber irgend­wie geht es einem doch etwas bes­ser. So auch in die­sem Fall. Wie­so wir mit dem Kopf schüt­teln? Nun, die Fra­ge lau­tet: Wer denkt sich so etwas aus? Auf jeden Fall ein typi­sches Bei­spiel für “Kom­fort geht über Sicher­heit”. Und da wis­sen nun eigent­lich (fast) alle, dass dies nicht immer unbe­dingt der bes­te Ansatz ist. Doch was war passiert?

WLAN Zugangs­da­ten im Klar­text im Fritz!Fon einsehbar

Wir trau­ten unse­ren Augen kaum, als wir die Tage mehr zufäl­lig auf den Unter-Menü­punkt WLAN im Menü Heim­netz eines Fritz!Fox gekom­men sind.

Bei Aus­wahl der Opti­on WLAN-Zugangs­da­ten und Gast-Zugangs­da­ten sind die WLAN-Netz­werk­na­men und die dazu­ge­hö­ri­gen Zugangs­pass­wör­ter im Klar­text ein­seh­bar. Über die Funk­tio­nen WLAN-QR-Code und Gast-QR-Code ist via Kame­ra eines Smart­phones oder Tablets mit wenig Hand­grif­fen eine Ver­bin­dung her­ge­stellt. Schutz davor? Keiner!

In geschlos­se­nen Fami­li­en-Bio­to­pen oder in Zei­ten tota­ler Coro­na-Iso­la­ti­on ohne Gäs­te und Besu­cher zuhau­se, mag das eine total coo­le Kom­fort-Funk­ti­on sein. In allen ande­ren Fäl­len dann doch eher einer Schwach­stel­le. Aber auch die ein­fa­che Mög­lich­keit, dar­über das inter­ne WLAN oder Gast-WLAN per Knopf­druck aus­zu­schal­ten, kann für kurz­wei­li­ge Unter­hal­tung sor­gen. Kurz vor dem Ver­ab­schie­den mal eben das WLAN deak­ti­vie­ren, ent­spannt nach Hau­se fah­ren und dabei grin­send über­le­gen, wie der soeben besuch­te Haus­herr oder die Haus­her­rin krampf­haft nach dem Feh­ler im Sys­tem sucht, weil auf ein­mal kei­ner­lei WLAN-Zugrif­fe und Gerä­te mehr funk­tio­nie­ren. Was haben wir gelacht .…

Kein Hin­weis auf die­se Funk­ti­on im Hand­buch der Fritz!Box und des Fritz!Fons

Stand 22.01.2023 fin­den sich in den Hand­bü­chern kei­ner­lei Hin­wei­se auf die­ses mög­li­che Sicher­heits­ri­si­ko. Als Nut­zer die­ser Hard­ware wird man daher wohl mehr zufäl­lig auf die­sen Umstand stoßen.

Abhil­fe über das DECT-Menü in der Fritz!Box

Glück­li­cher­wei­se gibt es die Mög­lich­keit, den Zugriff auf die­ses Menü des Fritz!Fon zu deak­ti­vie­ren. Doch wer dabei im Tele­fon selbst sucht, der wird nicht fün­dig. Hier­zu muss man auf die Ober­flä­che der Fritz!Box selbst wech­seln, sich anmel­den und in das Menü Tele­fo­nie /​ DECT wech­seln. Etwas nach unten scrol­len und dort fin­det sich der Punkt “Zugriffs­schutz”. Hier die Check­box “Zugriffs­schutz für WLAN /​ Gastzgang) akti­vie­ren und eine siche­re PIN (0000, 1234 oder das eige­ne Geburts­da­tum 😉 ) vergeben.

Damit ist der Spuk dann auch auf dem Fritz!Fon been­det, wie man im nächs­ten Screen­shot sehen kann. Sobald man dort nun erneut auf den Menü­punkt Heim­netz /​ WLAN wech­selt, wird man zur Ein­ga­be der zuvor an der Fritz!Box ein­ge­stell­ten PIN aufgefordert.

Wie­so die­ser Zugriffs­schutz nicht von vorn­her­ein akti­viert ist oder es zumin­dest deut­li­che Hin­wei­se auf die­se Funk­ti­on gibt, bleibt ein Rät­sel. Der Her­stel­ler selbst weist auf die Mög­lich­keit des Schut­zes durch eine PIN ledig­lich in der Online-Wis­sens­da­ten­bank hin. Das geht besser.

Gäs­te den­noch kom­for­ta­bel ins WLAN lassen

Dazu wech­selt man in das WLAN Menü der Fritz!Box in den Punkt Funk­netz. Unter den Namen des WLAN und Gäs­te-WLAN fin­det sich rechts ein Ein­trag “Info­blatt dru­cken”. Im Ergeb­nis erhält man ein schi­ckes DIN A4-PDF mit dem QR-Code für das Gäs­te-WLAN sowie dem Namen und Zugangs­pass­wort. Aus­dru­cken, lami­nie­ren und netz­be­dürf­ti­gen Besu­chern zum Ein­log­gen in die Hand drü­cken. Das inter­ne WLAN soll­te für Gäs­te eh tabu sein. Oder?

Check­lis­te Daten­schutz im Home-Office

Check­lis­te Daten­schutz im Home-Office

Ob Coro­na nun vor­über ist oder nicht, dar­über sol­len sich ande­re strei­ten. Was jedoch in vie­len Orga­ni­sa­tio­nen nicht vor­über ist, ist das The­ma Home-Office. Zu Beginn der Pan­de­mie von dem einen oder ande­ren Arbeit­ge­ber mög­li­cher­wei­se nur als Work­around gedacht, ist das Home-Office gekom­men, um zu blei­ben. Da vie­le Orga­ni­sa­tio­nen auf das The­ma über­haupt nicht vor­be­rei­tet waren (Stich­wort Not­fall­ma­nage­ment Unter­punk­te Pan­de­mie und Per­so­nal­aus­fall 🙂 ),  muss­te es 2020 schnell gehen. Inte­rims­lö­sun­gen bzw. Not­nä­gel wur­den geschaf­fen, Haupt­sa­che erst mal arbeits­fä­hig sein. Daten­schutz und Infor­ma­ti­ons­si­cher­heit stan­den dabei nicht immer so im Fokus, wie es den tech­ni­schen und orga­ni­sa­to­ri­schen Risi­ken durch Home-Office ange­mes­sen gewe­sen wäre. Umso wich­ti­ger ist es nun, sich in der aktu­el­len Ver­schnauf­pau­se dem The­ma aus Sicht des Daten­schut­zes und der Infor­ma­ti­ons­si­cher­heit sys­te­ma­tisch zu nähern. Dabei gilt es, mög­li­cher­wei­se schon vor­han­de­ne Schutz­maß­nah­men und Aspek­te zur Risi­ko­ver­mei­dung auf Wirk­sam­keit zu prü­fen, aber auch noch bestehen­de orga­ni­sa­to­ri­sche und tech­ni­sche Schwach­stel­len zu iden­ti­fi­zie­ren und zu besei­ti­gen. Wir haben unse­ren Kun­den im Zuge der gera­de durch­star­ten­den Pan­de­mie im Früh­jahr 2020 eine Check­lis­te Daten­schutz im Home-Office erstellt und zur Ver­fü­gung gestellt. Damit konn­te zumin­dest schon mal grob geprüft wer­den, ob die wich­tigs­ten Aspek­te in all dem Drun­ter und Drü­ber berück­sich­tigt wur­den. Und wer uns kennt, der weiß, wir haben dabei nicht nur um das gol­de­ne Kalb Daten­schutz getanzt, son­dern das The­ma gesamt­or­ga­ni­sa­to­risch beleuch­tet. Von daher sind in der Check­lis­te Daten­schutz im Home-Office auch grund­le­gen­de Anfor­de­run­gen der Infor­ma­ti­ons­si­cher­heit ent­hal­ten, die sin­ni­ger­wei­se kei­ne Unter­schei­dung zwi­schen Per­so­nen­be­zug oder nicht machen, son­dern gene­rell das Schutz­ni­veau für Infor­ma­tio­nen aller Art ver­bes­sern. Klar durf­te dann auch das The­ma Schu­lung und Sen­si­bi­li­sie­rung von Mit­ar­bei­tern nicht feh­len. Auch wenn es die eine oder ande­re Orga­ni­sa­ti­ons­lei­tung oder Füh­rungs­kraft nervt 😉

Sys­te­ma­tik der Check­lis­te Daten­schutz im Home-Office

Zu Beginn gab es nur eine Check­lis­te für alle uns in den Sinn gekom­me­nen Prüf­punk­te und Anfor­de­run­gen aus Sicht des Daten­schut­zes und der Infor­ma­ti­ons­si­cher­heit. Prüf­punk­te waren bzw. sind:

  • Hard­ware-Ein­satz (Gestel­lung oder BYOD)
  • Anfor­de­run­gen an den Arbeits­platz zuhause
  • Umgang mit Papierdokumenten
  • Ein­satz von Videokonferenzsystemen
  • Gene­rel­le Anfor­de­run­gen tech­ni­sche Sicherheit
  • Nut­zung von Cloud-Diens­ten z.B. Datei­ab­la­ge oder Kollaborationstools
  • Nut­zung von Messengern
  • All­ge­mei­ne orga­ni­sa­to­ri­sche Anfor­de­run­gen (Rege­lun­gen, Richt­li­ni­en, Schu­lung, Ein­wei­sung etc.)

Dar­in waren sowohl Anfor­de­run­gen für Daten­schutz im Home-Office auf Arbeit­ge­ber­sei­te, aber auch aus Sicht des Arbeit­neh­mers im eige­nen Zuhau­se ent­hal­ten.  Schnell haben wir erkannt, dass dies nicht prak­ti­ka­bel ist und aus einer Check­lis­te Daten­schutz im Home-Office zwei sepa­ra­te Lis­ten gebas­telt. Es gibt daher nun die Check­lis­te Daten­schutz im Home-Office aus Sicht

  • des Arbeit­ge­bers und
  • des Arbeit­neh­mers.

Check­lis­te Home-Office für Arbeitgeber

Die­se etwas umfang­rei­che­re Check­lis­te für den Arbeit­ge­ber befasst sich inten­siv mit den Anfor­de­run­gen an und Vor­aus­set­zun­gen für tech­ni­sche und orga­ni­sa­to­ri­sche Sicher­heit, die der Arbeit­ge­ber sicher­stel­len bzw. erst mal schaf­fen muss, damit im Home-Office daten­schutz­kon­form und aus Sicht der Infor­ma­ti­ons­si­cher­heit “sicher” gear­bei­tet wer­den kann. Dar­in sind u.a. auch Punk­te wie die Auf­trags­ver­ar­bei­tung nach Art. 28 DSGVO für exter­ne Cloud-Ser­vices und auch admi­nis­tra­ti­ve Vor­ein­stel­lun­gen auf Sei­ten der genutz­ten Tech­ni­ken ent­hal­ten, die für den Arbeit­neh­mer bei sei­ner Tätig­keit im Home-Office jetzt eher weni­ger span­nend bzw. von Inter­es­se sind.

Mit­tels der Check­lis­te Daten­schutz im Home-Office kann schnell und ein­fach durch den Arbeit­ge­ber geprüft wer­den, ob

  • die wich­tigs­ten (tech­ni­schen) Vor­aus­set­zun­gen für siche­res Arbei­ten im Home-Office geschaf­fen sind,
  • die recht­li­chen Anfor­de­run­gen aus Sicht der DSGVO (wie Auf­trags­ver­ar­bei­tung) berück­sich­tigt sind,
  • alles ordent­lich gere­gelt, doku­men­tiert und für alle Betei­lig­ten leicht ver­ständ­lich beschrie­ben ist sowie
  • die Mit­ar­bei­ter aus­rei­chend ein­ge­wie­sen und sen­si­bi­li­siert sind.

Wo ein Haken in der Check­lis­te fehlt, besteht im Zwei­fel noch Hand­lungs­be­darf. Auch jetzt noch, 2 Jah­re später 😉

Check­li­s­te­Home-Office für Arbeitnehmer

Die­se deut­lich kür­ze­re Check­lis­te befasst sich mit den Aspek­ten, die im Home-Office auf Sei­ten des Arbeit­neh­mers erfüllt sein soll­ten. Mit­tels der Prüf­punk­te kann der Mit­ar­bei­ter che­cken, ob er “rea­dy to go” ist im Home-Office und auch auf sei­ner Sei­te die Vor­aus­set­zun­gen für einen siche­ren und daten­schutz­kon­for­men Ein­satz im Home-Office gewähr­leis­tet sind. Mög­li­cher­wei­se erge­ben die Prüf­punk­te jedoch auch, dass noch es noch an gewis­sen Unter­stüt­zungs­maß­nah­men sei­tens des Arbeit­ge­bers fehlt. Die­se kön­nen anhand der Check­lis­te iden­ti­fi­ziert, pro­to­kol­liert und an den Arbeit­ge­ber mit der Bit­te um Erle­di­gung gesen­det wer­den. Gleich­zei­tig dient die Check­lis­te für Arbeit­neh­mer als klei­ne Gedan­ken­stüt­ze für die not­wen­di­gen Sicher­heits­maß­nah­men im Home-Office, die der Arbeit­neh­mer nicht nur ein­ma­lig, son­dern über die gan­ze Zeit im Home-Office sicher­stel­len sollte.

Wei­te­rer Bene­fit der Checklisten

Neben der Selbst­über­prü­fung, ob an alles Wich­ti­ge und Not­wen­di­ge für einen siche­ren und daten­schutz­kon­for­men Ein­satz im Home-Office gedacht wur­de, ist die Zwei­tei­lung auch noch für etwas ande­res gut. Cle­ve­re Kun­den von uns haben die Check­lis­te Daten­schutz im Home-Office für Arbeit­neh­mer von Ihren Mit­ar­bei­tern früh­zei­tig aus­fül­len las­sen, um fest­zu­stel­len, was gene­rell vom Arbeit­ge­ber geschaf­fen /​ gestellt wer­den muss, damit Home-Office über­haupt erst sicher mög­lich ist. Im zwei­ten Schritt haben sie sich nach dem Roll­out der Home-Offices über die Check­lis­te für Arbeit­neh­mer durch den Mit­ar­bei­ter noch mal pro­to­kol­lie­ren las­sen, dass jetzt soweit alles zuhau­se im Home Office “passt”. Das Gan­ze natür­lich erst mal nach ent­spre­chen­der Ein­wei­sung und Schu­lung. Ver­steht sich von selbst 🙂

Vor­teil: Als Arbeit­ge­ber bzw. ver­ant­wort­li­che Stel­le kann man damit gleich sehr schön bele­gen, sei­nen Sorg­falts­pflich­ten auch außer­halb der eige­nen Räum­lich­kei­ten Genü­ge getan zu haben.

Down­load der Check­lis­te Daten­schutz im Home-Office

Wer uns etwas näher kennt, weiß von unse­rer Aus­bil­dungs­tä­tig­keit an der Baye­ri­schen Ver­wal­tungs­schu­le für Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te. Im Nach­gang sind alle Teil­neh­mer herz­lich ein­ge­la­den am kos­ten­frei­en ISB Pra­xis-Forum als Aus­tausch­platt­form im All­tag von Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten teil­zu­neh­men. Da kam die Fra­ge auf, ob es nicht für das The­ma Home-Office geeig­ne­te Prüf­lis­ten gäbe oder ob man die­se gemein­sam ent­wi­ckeln wol­le. Was liegt also näher, als die schon vor­han­de­nen Check­lis­ten aus unse­rem Fun­dus in leicht über­ar­bei­te­ter Ver­si­on für alle zur Ver­fü­gung zu stel­len, bevor sich jeder ein­zeln die Mühe macht. Zeit ist zu wertvoll.

Unse­re Bit­te: Die bei­den Check­lis­ten erhe­ben kei­nen Anspruch auf Voll­stän­dig­keit oder Kor­rekt­heit. Wer also Anre­gun­gen und Ergän­zun­gen zur Wei­ter­ent­wick­lung oder Kor­rek­tur hat, immer her damit. Und es gilt “fair use”. Die­se Vor­la­ge kann daher ger­ne in der Pra­xis von Orga­ni­sa­tio­nen genutzt und ver­än­dert wer­den. Wir möch­ten jedoch nicht, dass sie ohne unse­re Zustim­mung auf ande­ren Inter­net­sei­ten als Mus­ter zum Down­load ange­bo­ten wird oder sich irgend­wann in einem Fach­buch wie­der­fin­det. Haf­tung: Die Check­lis­ten stel­len ledig­lich einen Vor­schlag dar. Es wird kei­ne Haf­tung für Schä­den durch die Ver­wen­dung übernommen.

Check­lis­te Daten­schutz im Home-Office für Arbeitgeber
Check­lis­te Daten­schutz im Home-Office für Arbeitnehmer

 

För­der­mit­tel zur Arbeits­hil­fe für baye­ri­sche Kommunen

Im Zuge der Neu­fas­sung der ISMS-För­der­mit­tel­richt­li­nie (ISMR) vom 7. März 2022, Az. E5-1681–7‑10 kön­nen baye­ri­sche Kom­mu­nen nun end­lich auch für die Ein­füh­rung eines Infor­ma­ti­ons­si­cher­heits­kon­zepts auf Basis der sog. Arbeits­hil­fe der Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne För­der­mit­tel erhalten.

Vor­aus­set­zun­gen für För­der­mit­tel zur Arbeits­hil­fe Informationssicherheit

Was wird kon­kret gefördert?

  1. Die Bera­tung und Beglei­tung bei der Imple­men­tie­rung durch fach­kun­di­ge IT-Dienstleister.
  2. Schu­lun­gen für Mit­ar­bei­ter durch zer­ti­fi­zier­te Anbieter.

Wie hoch sind die För­der­mit­tel zur Arbeits­hil­fe Informationssicherheit?

Bis zu 50 % der zuwen­dungs­fä­hi­gen Aus­ga­ben für die Umset­zung der Arbeits­hil­fe zur Erstel­lung von Infor­ma­ti­ons­si­cher­heits­kon­zep­ten der Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne, höchs­tens 5 000 Euro.

Wie bean­tra­ge ich als baye­ri­sche Kom­mu­ne die För­der­mit­tel zur Arbeits­hil­fe Informationssicherheit?

Anträ­ge auf Gewäh­rung einer För­de­rung sind schrift­lich oder elek­tro­nisch an die Regie­rung von Ober­fran­ken als Bewil­li­gungs­stel­le zu rich­ten. Das Antrags­for­mu­lar und alle wei­te­ren Infor­ma­tio­nen sind zu fin­den unter https://​www​.regie​rung​.ober​fran​ken​.bay​ern​.de/​a​u​f​g​a​b​e​n​/​1​9​2​1​6​9​/​1​9​2​1​7​2​/​l​e​i​s​t​u​n​g​/​l​e​i​s​t​u​n​g​_​3​5​0​0​4​/​i​n​d​e​x​.​h​tml

Wei­te­re Infor­ma­tio­nen und Links zum Infor­ma­ti­ons­si­cher­heits­kon­zept Arbeitshilfe

Mög­li­cher Daten­schutz­ver­stoß bei Nut­zung von VirusTotal

Das BSI warnt aktu­ell vor einem mög­li­chen Daten­schutz­ver­stoß bei Nut­zung von Virus­T­o­tal. Neben dem Daten­schutz­ri­si­ko sind aber auch ande­re schüt­zens­wer­te Infor­ma­tio­nen der eige­nen Orga­ni­sa­ti­on oder von Exter­nen in Gefahr, Drit­ten gegen­über offen­ge­legt zu werden.

Was ist VirusTotal?

Virus­T­o­tal ist ein Ser­vice von Goog­le und unter https://​www​.virus​t​o​tal​.com erreich­bar. Über den Dienst kann man bei­spiels­wei­se ver­däch­ti­ge Web­adres­sen (URL) über­prü­fen, bevor man die­se selbst im Brow­ser auf dem eige­nen Sys­tem auf­ruft. Eine Emp­feh­lung, die wir bei­spiels­wei­se im Rah­men unse­rer Schu­lun­gen und Web­i­na­re häu­fi­ger aussprechen.

Neben die­sem URL-Check bie­tet Virus­T­o­tal jedoch auch an, Datei­en zur Online-Über­prü­fung durch eine Viel­zahl bekann­ter Viren­scan­ner hoch­zu­la­den. Und da liegt auch der Hase im Pfef­fer. Neben der Nut­zung direkt im Brow­ser bie­tet Virus­T­o­tal auch Busi­ness-Ser­vices an, bei denen kein manu­el­ler Upload erfol­gen muss, son­dern die Prü­fung auto­ma­ti­siert im Hin­ter­grund durch­ge­führt wird.

“Die­ser Dienst wird von Pri­vat­per­so­nen und Unter­neh­men oft­mals zur Prü­fung von ver­däch­ti­gen Datei­en genutzt, um auf­grund der Viel­zahl von Anti­vi­ren­pro­gram­men ver­läss­li­che­re Ergeb­nis­se als mit nur einem Scan­ner zu erhal­ten.”, so das Bun­des­amt für Sicher­heit in der Informationstechnik.

Wo ist das Pro­blem bzw. der Daten­schutz­ver­stoß bei Nut­zung von VirusTotal?

Wer­den Datei­en mit per­so­nen­be­zo­ge­nen Daten hoch­ge­la­den bzw. geprüft, liegt für gewöhn­lich eine Auf­trags­ver­ar­bei­tung nach Art. 28 DSGVO vor. Die­se muss inkl. der TOM-Prü­fung kor­rekt VOR Nut­zung des Diens­tes gere­gelt und ver­ein­bart sein. Hin­zu kommt, dass lt. BSI Daten­wei­ter­ga­ben an zahl­rei­che AV-/Scan-Anbie­ter auch mit Sitz außer­halb der EU erfol­gen. Vor dem Hin­ter­grund der aktu­el­len Dis­kus­si­on um Dritt­staa­ten­über­mitt­lun­gen nicht ganz unproblematisch.

Und ganz neben­bei: Selbst dann, wenn Datei­en ohne per­so­nen­be­zo­ge­ne Daten hoch­ge­la­den wer­den, besteht ein nicht uner­heb­li­ches Risi­ko. Näm­lich dann, wenn es sich um ver­trau­li­che bzw. schüt­zens­wer­te Infor­ma­tio­nen der Orga­ni­sa­ti­on (oder eines Kun­den /​ Bür­gers /​ Auf­trag­ge­bers) han­delt. Die­se Datei wird mun­ter mit allen ange­schlos­se­nen Anbie­tern geteilt. Will man das für Geschäfts- bzw. Orga­ni­sa­ti­ons­ge­heim­nis­se? Eher nicht.

Was kann helfen?

  1. Mit­ar­bei­ter auf die­ses grund­le­gen­de Sicher­heits­pro­blem bei der Nut­zung des Diens­tes auf­merk­sam machen bzw. dafür aus­rei­chend sen­si­bi­li­sie­ren (Nein, Papier allei­ne reicht nicht!)
  2. Rege­lun­gen tref­fen, ob und wenn ja wel­che Datei­en mög­li­cher­wei­se doch einem Check durch den Ser­vice unter­zo­gen wer­den dür­fen (z.B. bei Ver­trau­lich­keits­sta­tus “Öffent­lich”)
  3. Oder wie das BSI rät, aus­schließ­lich mit Hash-Wer­ten der Datei­en zu arbei­ten (tri­cky, aber machbar)

Wei­te­re Unter­stüt­zung bie­ten die Fra­ge­stel­lun­gen an Sicher­heits­be­auf­trag­te auf Sei­te 3 der Stel­lung­nah­me des BSI zum The­ma, zu fin­den hier.

 

Die mobile Version verlassen