Zum Inhalt springen

Informationssicherheitsbeauftragter

Hack­ing, Sicher­heits­lü­cken und pro­mi­nen­te Daten­pan­nen aus 2019 und 2020 — Teil 1

Im vori­gen Post haben wir über das Image von und den Umgang mit Daten­pan­nen berich­tet. Dabei haben wir ver­sucht, dem durch­schnitt­li­chen Daten­pan­nen-Ver­ur­sa­cher ein Stück weit die Angst davor zu neh­men, sol­che Ereig­nis­se pro­fes­sio­nell fest­zu­stel­len und an die Auf­sichts­be­hör­den zu mel­den. Aller­dings tra­ten und tre­ten Sicher­heits­lü­cken, Hack­ing und Daten­pan­nen welt­weit und hier­zu­lan­de auf, die kei­nes­wegs amü­sant oder hin­nehm­bar sind. Betrach­tet wer­den hier­bei die letz­ten zwölf Monate. 

2019-04 - 540 Mil­lio­nen Face­book-Kun­den­da­ten auf öffent­lich zugäng­li­chen Ser­vern 

Zwei Koope­ra­ti­ons­part­ner des bekann­tes­ten Online Social Media Netz­werks haben Daten von Face­book auf offen zugäng­li­chen Ama­zon-Ser­vern gespei­chert. Dabei han­delt es sich um 

  • das Unter­neh­men Cul­tu­ra Colec­ti­va, das Account­na­men, Kom­men­ta­re und Likes frei zugäng­lich im AWS Cloud Dienst speicherte 
  • die Ent­wick­ler­fir­ma der Face­book App «At the Pool», die Pass­wör­ter im Klar­text von 22 000 Face­book Nut­zern auf öffent­lich zugäng­li­chen Ser­ver­be­rei­chen speicherte. 

Im Lich­te des Cam­bridge Ana­ly­ti­ca Skan­dals, bei dem Infor­ma­tio­nen über Mil­lio­nen Face­book-Nut­zer an das gleich­na­mi­ge Unter­neh­men zwecks Ana­ly­sen wei­ter­ge­ge­ben wur­den, war Face­book bereits unter Daten­schutz-Druck gera­ten. Die Zukunft wird zei­gen, ob aus den Ereig­nis­sen Lern­erfol­ge gezo­gen wer­den konn­ten. Ein gewis­ser Trost dürf­te mög­li­cher­wei­se dar­in bestehen, dass Face­book Pro­fi­le ohne­hin über­wie­gend zur Ver­öf­fent­li­chung geschön­ter und damit allen­falls bedingt rea­ler per­so­nen­be­zo­ge­ner Infor­ma­tio­nen genutzt wer­den 🙂 Das schmä­lert jedoch nicht die Bri­sanz die­ser Datenpanne. 

2019-05 — Hack­ing und Daten­pan­nen im Arztbereich 

Der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Baden-Würt­tem­berg (LfDI) beklagt die hohe Anzahl von daten­schutz­be­zo­ge­nen Sicher­heits­vor­fäl­len in Arzt­pra­xen. Hack­ing wie Ver­schlüs­se­lungs­tro­ja­ner und Fehl­ver­sand von Pati­en­ten­be­rich­ten, Rezep­ten und Rönt­gen­bil­dern bil­de­ten dabei die Spit­ze des Eis­bergs. Ins­be­son­de­re bei der Ver­ar­bei­tung solch sen­si­bler Pati­en­ten­da­ten sei­en star­ke tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men (TOM) „wie Daten­si­che­rung, Ver­schlüs­se­lung, Schu­lung und Sen­si­bi­li­sie­rung“ unabdingbar. 

2019-08 — Hack­ing — Daten von 106 Mil­lio­nen Bank­kun­den der Capi­tal One erbeu­tet 

Einer Hacke­rin, die in der Ent­wick­lungs­ab­tei­lung des genutz­ten Ama­zon Cloud Ser­vices AWS der US-Bank Capi­tal One gear­bei­tet hat­te, gelang es, von den Sys­te­men der Bank per­so­nen­be­zo­ge­ne Daten zu Kre­dit­kar­ten und ‑anträ­gen zu erbeu­ten. Betrof­fen waren nebst Stamm- und Kon­takt­da­ten die ange­ge­be­nen Ein­kom­men, Infor­ma­tio­nen zur Kre­dit­wür­dig­keit und Ver­fü­gungs­rah­men. Laut Aus­sa­ge der Bank soll nicht an einer Schwach­stel­le des Cloud Ser­vices, son­dern die man­gel­haf­te Kon­fi­gu­ra­ti­on eine Fire­wall gehan­delt haben. 

2019-08 — Daten­pan­ne im Hau­se Twit­ter 

Twit­ter teil­te mit, dass mehr als zwölf Mona­te lang Daten von ca 300 Mil­lio­nen Twit­ter Usern mit Wer­be­kun­den ohne ent­spre­chen­de Ein­wil­li­gung geteilt wur­den. Ver­bots­wid­rig wur­den somit Daten an exter­ne Emp­fän­ger wei­ter­ge­ge­ben. Betrof­fen gewe­sen sei­en laut Twit­ter Daten über Kon­sum­dau­er von Wer­be­an­zei­gen. Mail­kon­ten und Pass­wör­ter waren lt. Twit­ter nicht betroffen. 

2019-09 — Hack­ing nicht not­wen­dig — Fahr­läs­sig­keit bei Mil­lio­nen von Pati­en­ten­da­ten 

Hoch­sen­si­ble Daten­sät­ze von welt­weit meh­re­ren Mil­lio­nen Pati­en­ten, davon mehr als 13.000 Daten­sät­ze aus Deutsch­land, online unver­schlüs­selt und frei ver­füg­bar auf hun­der­ten von unge­si­cher­ten Ser­vern. Der Bun­des­da­ten­schutz­be­auf­trag­te Ulrich Kel­ber hat­te einen “ver­hee­ren­den ers­ten Ein­druck” von dem Skan­dal. Eine Kol­la­bo­ra­ti­on des Baye­ri­schen Rund­funks und Pro­Pu­bli­ca deck­ten die­sen inter­na­tio­nal bestehen­den, und bis heu­te nicht besei­tig­ten bei­na­he nicht fass­ba­ren Miss­stand auf. Laut BR sei­en u.a. Daten wie Brust­krebs­scree­nings, Wir­bel­säu­len­bil­der, Rönt­gen­auf­nah­men eines Brust­korbs etc., ein­schließ­lich zuge­hö­ri­ger Behand­lungs­in­for­ma­tio­nen betrof­fen. Eine 2016 ver­öf­fent­lich­te Stu­die des Har­vard-Pro­fes­sors Oleg Pia­nykh wur­de in Fach­krei­sen zu Kennt­nis genom­men, führ­ten jedoch zu kei­ner Ver­bes­se­rung der Zustän­de. Für die­je­ni­gen Daten­sät­ze, die trotz des bis heu­te akut bestehen Pro­blems nicht in die Hän­de von Unbe­fug­ten /​ Hackern gelangt sind, gilt, dass sich dies dem rela­ti­ven Des­in­ter­es­se von Hackern auf Grund der nur sehr beding­ten Ver­wert­bar­keit pri­va­ter Gesund­heits­da­ten verdankt. 

Daten­pan­nen — jetzt ganz neu entdecken …

Hat­ten Sie 2020 in Ihrer Orga­ni­sa­ti­on eine Daten­pan­ne? Wenn Sie direkt Nein sagen, gehö­ren Sie ent­we­der zu den episch sel­te­nen Fäl­len, in denen der Fak­tor Mensch sowie tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men zu 100% dis­zi­pli­niert sind oder es gibt bei der inter­nen /​ exter­nen Kom­mu­ni­ka­ti­on ein­fach noch Opti­mie­rungs­be­darf bei der Iden­ti­fi­ka­ti­on und Bewer­tung von Daten­pan­nen nach Art. 33 und 34 DSGVO. 

Ver­mei­den und kom­mu­ni­zie­ren 

Es ist bereits die hal­be Mie­te, Daten­pan­nen prä­ven­tiv — u.a. durch star­ke IT-Sicher­heit, die rich­ti­ge Soft­ware­im­ple­men­tie­rung und kla­re Richt­li­ni­en — auf einen Bruch­teil zu redu­zie­ren. Und zusätz­lich sein Per­so­nal auf einem Sen­si­bi­li­täts­ni­veau zu haben, dass es Ver­stö­ße gegen Daten­schutz /​ Infor­ma­ti­ons­si­cher­heit sowie ent­spre­chen­de Ver­dachts­fäl­le angst­frei und pro­ak­tiv intern mit­teilt und einer sach­ge­mä­ßen Doku­men­ta­ti­on zuführt, ist die Königs­klas­se des geleb­ten Datenschutzes. 

Mel­dun­gen von Daten­pan­nen 

Seit dem Wirk­sam­wer­den der DSGVO wird ein erheb­li­cher Anstieg der Mel­dun­gen von Daten­pan­nen ver­zeich­net. Eine Mel­dung ist nach den Kri­te­ri­en des Art. 33 DSGVO gesetz­li­che Pflicht. Mehr als 40.000 Daten­pan­nen wur­den seit DSGVO-Ein­füh­rung euro­pa­weit (Bericht der EU-Kom­mis­si­on) und weit über 10.000 in Deutsch­land allein für 2019 gemel­det. Dabei sind die Gewich­tun­gen in den Bun­des­län­dern sehr unter­schied­lich. Wäh­rend das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (BayL­DA) „einen gro­ßen Anteil“ sei­ner täg­li­chen Arbeit in der Bear­bei­tung von Daten­schutz­ver­let­zun­gen mit 4.111 gemel­de­ten Daten­pan­nen in 2019 sieht, wird den 349 in 2019 dem Unab­hän­gi­gen Lan­des­zen­trum für Daten­schutz in Schles­wig-Hol­stein gemel­de­ten Daten­pan­nen ver­ständ­li­cher­wei­se reser­viert begegnet. 

Dun­kel­zif­fer von Daten­pan­nen 

Eine höhe­re Trans­pa­renz durch mehr Mel­dun­gen und, ins­be­son­de­re im EU-Ver­gleich, hohes Pflicht­be­wusst­sein sind sehr gute Ten­den­zen. Aller­dings müss­ten es rea­lis­tisch betrach­tet noch wesent­lich mehr Mel­dun­gen sein. In Deutsch­land sind mehr als 3 Mil­lio­nen Unter­neh­men ange­mel­det, hin­zu kom­men die staat­li­chen Ein­rich­tun­gen und ande­re Stel­len, die aus der DSGVO her­aus zur Mel­dung von Daten­pan­nen nach Art. 33 DSGVO ver­pflich­tet sind. 

Auf­sichts­be­hör­den 

Mel­dun­gen von Daten­pan­nen müs­sen durch­aus nicht mit Nach­fra­gen, Vor­ort­kon­trol­len oder Buß­gel­dern ver­bun­den sein. Viel­mehr kommt es den Auf­sichts­be­hör­den auch kon­kret inhalt­lich auf Erkennt­nis­se an, in wel­chen Berei­chen nach­ge­steu­ert wer­den muss. Im Ver­gleich zu auf­ge­flo­ge­nen Daten­schutz­ver­stö­ßen wird das akti­ve Mel­den honoriert. 

Nicht nur Unter­neh­men, son­dern auch öffent­li­che Ein­rich­tun­gen wur­den von den Daten­schutz­auf­sich­ten einer nähe­ren Prü­fung unter­zo­gen, wobei zu bei­den Berei­chen posi­ti­ve wie nega­ti­ve Ergeb­nis­se fest­ge­hal­ten wurden. 

Daten­pan­nen bit­te doku­men­tie­ren /​ mel­den 

Es liegt nahe, dass sich Orga­ni­sa­tio­nen eher unglaub­wür­dig machen, wenn kei­ner­lei Daten­pan­nen gemel­det bzw. doku­men­tiert sind. Es emp­fiehlt sich, Daten­pan­nen und ver­gleich­ba­re Auf­fäl­lig­kei­ten gene­rell — z.B. in Check­lis­ten­form — zu doku­men­tie­ren. Das Gesetz befreit per Art. 33 Abs. 1 DSGVO von der Mel­de­pflicht, wenn „die Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten vor­aus­sicht­lich nicht zu einem Risi­ko für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen führt.“ Reich­lich unprä­zi­se wird hier ein ein­zel­fall­be­zo­ge­ner Ermes­sens­spiel­raum eröff­net. Das heißt für harm­lo­se (=nicht mel­de­pflich­ti­ge) Fäl­le: Das Ereig­nis wird intern doku­men­tiert und man stimmt sich mit sei­nem Daten­schutz­be­auf­trag­ten über eine fall­ge­rech­te Abgren­zung ab und das war´s. 

Für mel­de­pflich­ti­ge Fäl­le ste­hen übli­cher­wei­se Online-For­mu­la­re auf den Web­sei­ten der Auf­sichts­be­hör­den zur Verfügung. 

Daten­schutz-Bericht 2020 der Lan­des­da­ten­schutz­be­hör­de Schles­wig-Hol­stein — Teil 2

Anwen­dung der DSGVO

Daten­schutz /​ IT-Sicher­heit — All­ge­mei­nes 

Bei der Anwen­dung der DSGVO warnt das Unab­hän­gi­ge Lan­des­zen­trum für Daten­schutz Schles­wig-Hol­stein vor „Schnell­schüs­sen“. Viel­mehr sei hier­bei sorg­fäl­tig zu eva­lu­ie­ren. Bei der ger­ne dis­ku­tier­ten Fin­dung der rich­ti­gen Rechts­grund­la­ge für eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten läge das Augen­merk ins­be­son­de­re auf Art. 6 Abs. 1 b und f DSGVO — (vor)vertragliche Maß­ga­ben und berech­tig­te Inter­es­sen — sowie wei­ter­füh­ren die Ein­wil­li­gung nach Buch­sta­ben a der zitier­ten Vorschrift. 

Daten­schutz­be­auf­trag­ten einer Ein­rich­tung kämen ins­be­son­de­re Beratungs‑, Unterrichtungs‑, Über­wa­chungs- und Prüf­auf­ga­ben zu. Die den Ver­ant­wort­li­chen per Gesetz oblie­gen­den Daten­schutz-Pflich­ten dürf­ten jenen nicht über­ge­hol­fen werden. 

Poli­ti­sche Ansich­ten sind nach EU-Daten­schutz­recht beson­ders sen­si­ble Infor­ma­tio­nen, die „immer einer spe­zi­fi­schen Rechts­grund­la­ge“ bedürf­ten. Eben­so geschützt sei­en pri­va­te Adressdaten. 

Ein zwin­gend zu beach­ten­des Pos­tu­lat ange­sichts der fort­schrei­ten­den Digi­ta­li­sie­rung einer­seits und der teils recht ein­sei­tig ergrif­fe­nen Schutz­maß­nah­men von Privatdaten. 

Bei jed­we­der Her­stel­lung von Ton­auf­zeich­nun­gen müs­sen Rechtsgrundlage(n) und ange­mes­se­ne Trans­pa­renz für die Betrof­fe­nen impli­zit sein. 

Im Rah­men der Ver­ar­bei­tung zur werb­li­chen Anspra­che sind die Maß­ga­ben von Treu und Glau­ben ein­schlä­gig und der Adres­sat muss den werb­li­chen Cha­rak­ter leicht erken­nen können. 

Daten­schutz in Online-Prä­sen­zen 

Die Lan­des­da­ten­schutz­be­hör­de Schles­wig-Hol­stein hat an sämt­li­che Web­sei­ten­be­trei­ber in Form einer Pres­se­mit­tei­lung appel­liert, genutz­te Ana­ly­se­diens­te wie Goog­le Ana­ly­tics u.ä. sowie deren im Daten­schutz rechts­kon­for­men Ein­satz zu prüfen. 

Zu Face­book Fan­page Betrei­bern und Face­book selbst wur­de klar­ge­stellt, dass bei­de Grup­pen die Anfor­de­run­gen der Gemein­sa­men Ver­ant­wort­lich­keit nach Art. 26 DSGVO nicht erfül­len. Die Pflicht zum Abschluss einer ent­spre­chen­den Ver­ar­bei­tungs­ver­ein­ba­rung betref­fe sowohl Face­book als auch die hie­si­gen Fan­page Betreiber. 

Künst­li­che Intel­li­genz = Arti­fi­ci­al Intel­li­gence 

Bei Ent­wick­lung, Imple­men­tie­rung und Anwen­dung von KI sol­le auf eine ange­mes­se­ne Imple­men­tie­rung von grund­rechts- und wer­te-rele­van­ten Momen­ten geach­tet wer­den. Ent­spre­chen­de Anrei­ze könn­ten bei­spiels­wei­se durch För­der­ge­ber gesetzt werden. 

TOM — tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men 

  • ver­trau­li­che Infor­ma­ti­on sei im Fax­ver­sand nur bedingt geschützt. Bei Trans­port und Emp­fang wer­den „erheb­li­che Risi­ken für die Ver­trau­lich­keit der Inhal­te“ gese­hen. In jedem Fall muss der kon­kre­te und rich­ti­ge Emp­fän­ger sicher­ge­stellt werden 
  • Ver­ant­wort­li­che sei­en dar­auf ver­wie­sen, „peni­bel“ zu beach­ten, dass per­so­nen­be­zo­ge­ne Daten von Beschäf­tig­ten aus­schließ­lich auf Basis von und in den Gren­zen der Erfül­lung ihrer Auf­ga­ben erfolgt. Ein pas­sen­des und detail­lier­tes Berech­ti­gungs­kon­zept sind der Grund­stein für rich­ti­gen Beschäf­tig­ten­da­ten­schutz — u.a. Bestand­teil des Daten­scchutz Quick-Checks 
  • auch der Trans­port von Daten im Wagen soll­te durch ein gewis­ses Maß an tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOM) gesi­chert sein 
  • Kre­dit­in­sti­tu­te rief das ULD auf, bei der Wei­ter­ga­be per­so­nen­be­zo­ge­ner Bank­da­ten Trans­port- sowie Inhalts­ver­schlüs­se­lung zu implementieren 

Daten­schutz bei Gesund­heits­in­for­ma­tio­nen 

Das ULD kon­sta­tier­te, dass 

  • Kran­ken­häu­ser und Kliniken 
  • Arzt‑, Zahn­arzt­pra­xen 
  • Pfle­ge­ein­rich­tun­gen, ‑diens­te 
  • Apo­the­ken und ver­gleich­ba­re Einrichtungen 

durch ihren Umgang mit beson­de­re Kate­go­rien per­so­nen­be­zo­ge­ner Daten die­se gene­rell zu ver­schlüs­seln haben — ins­be­son­de­re bei mobi­len Devices und Speichermedien. 

Exter­nen Dienst­leis­tern zur Ver­nich­tung von Pati­en­ten­un­ter­la­gen sind mit­tels einer AVV „detail­lier­te Vor­ga­ben zur beab­sich­tig­ten Daten­ver­ar­bei­tung“ auf­zu­er­le­gen und eine schrift­li­che Ver­pflich­tung auf das Daten­ge­heim­nis mit Durch­griff auf den Auf­trags­ver­ar­bei­ter der ärzt­li­chen Schwei­ge­pflicht nach § 203 StGB durchzuführen. 

Video­über­wa­chung und Daten­schutz 

Video­über­wa­chung soll­te nur in den Gren­zen der recht­li­chen Zuläs­sig­keit und auf der Grund­la­ge einer ange­mes­se­nen Sach­kennt­nis erfol­gen. Die Daten­schutz­be­auf­trag­ten und Lan­des­da­ten­schutz­be­hör­den kön­nen hier­zu beraten. 

Die Video­über­wa­chung muss in Umklei­de­be­rei­chen grund­sätz­lich aus­blei­ben. Auch für Berei­che, in denen das Ver­hal­ten von Per­so­nen über län­ge­re Zeit auf­ge­zeich­net wird, wie in Trai­nings­be­rei­chen, schloss das ULD eine Zuläs­sig­keit aus. 

Aller­dings dürf­te es aller Vor­aus­sicht nach auch für die­se Fall­ge­stal­tun­gen Schran­ken geben, die eine Video­über­wa­chung im Rah­men einer stren­gen Rechts­gü­ter­ab­wä­gung erlauben. 

AV — Daten­schutz bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im Auf­trag 

Die Wei­ter­ga­be per­so­nen­be­zo­ge­ner Daten an Auf­trags­ver­ar­bei­ter ist dem Betrof­fe­nen zum Zeit­punkt der Erhe­bung sei­ner per­so­nen­be­zo­ge­nen Daten mit­zu­tei­len — sie­he auch das The­ma Informationspflichten. 

Die Ein­hal­tung der Mel­de­pflich­ten obliegt regel­mä­ßig dem Ver­ant­wort­li­chen. Die­ser kann den Auf­trags­ver­ar­bei­ter aller­dings zu den ent­spre­chen­den Mel­dun­gen zuläs­si­ger­wei­se auto­ri­sie­ren, sofern die Auto­ri­sie­rung aus der Mel­dung für Auf­sichts­be­hör­de „klar und beweis­bar“ nach­voll­zieh­bar ist. 

Es emp­fiehlt sich, Dienst­leis­ter und deren TOM regel­mä­ßig zu kon­trol­lie­ren oder nach­prü­fen zu lassen. 

Web­site des ULD 

Die­se und vie­le wei­te­re sehr auf­schluss­reich gestal­te­te The­men zum Daten­schutz, der IT-Sicher­heit und Poli­tik hat das Unab­hän­gi­ge Lan­des­zen­trum für Daten­schutz Schles­wig-Hol­stein mit dem vor­lie­gen­den Bericht veröffentlicht. 

Für die wei­ter­füh­ren­de Lek­tü­re des Ori­gi­nals bit­te hier klicken. 

Infor­ma­ti­ons­si­cher­heit im Fokus: Gemein­de Haar ist ISIS12-zertifiziert

Nach einem knapp zwei­jäh­ri­gen Pro­zeß hat die Gemein­de Haar im Mai 2019 die ISIS12-Zer­ti­fi­zie­rung erreicht. ISIS12 ist ein Stan­dard für ein Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tem (kurz ISMS) und bil­det in 12 anschau­li­chen Schrit­ten auf Basis des bekann­ten IT-Grund­schutz des BSI (Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik) ein Infor­ma­ti­ons­si­cher­heits­kon­zept ab. ISIS12 wur­de expli­zit für klei­ne und mitt­le­re Unter­neh­men (KMU) und kom­mu­na­le Ein­rich­tun­gen ent­wi­ckelt, für die auf­grund per­so­nel­ler Anfor­de­run­gen der “gro­ße” IT-Grund­schutz nicht durch­führ­bar ist.

In den 24 Mona­ten der Ein­füh­rung des Infor­ma­ti­ons­si­cher­heits­kon­zepts hat die Gemein­de Haar unter ande­rem Schu­lun­gen und Mit­ar­bei­ter­sen­si­bi­li­sie­run­gen in Sachen Infor­ma­ti­ons­si­cher­heit durch­ge­führt. Denn nicht nur das (tech­ni­sche) Sys­tem an sich muss in alle Rich­tun­gen sicher gemacht wer­den, son­dern auch die Men­schen, die mit den Daten umge­hen, müs­sen für das The­ma sen­si­bi­li­siert und geschult wer­den. Das reicht von der Akti­vie­rung der Bild­schirm­sper­re auch bei kür­zes­ter Abwe­sen­heit vom Arbeits­platz bis hin zur unacht­sa­men Frei­ga­be von Daten, wie etwa Pass­wör­ter offen am Schreib­tisch lie­gen zu lassen.
Zeit­gleich wur­den Pro­zes­se im Haus ver­bes­sert und Kon­zep­te erar­bei­tet, die IT-Struk­tur unter die Lupe genom­men und ein Not­fall­ma­nage­ment auf die Bei­ne gestellt. Denn Daten­schutz und Infor­ma­ti­ons­si­cher­heit müs­sen nicht nur im All­tag funk­tio­nie­ren – auch ech­te Not­fall-Sze­na­ri­en wur­den durch­ge­spielt und behan­delt: Was, wenn das Rat­haus mit all sei­nen Ser­vern abbrennt? Selbst dafür gibt es Lösungen.

Feder­füh­rend waren bei der Ein­füh­rung von ISIS12 die Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te der Gemein­de Haar Andrea Schmer­ber und die a.s.k. Daten­schutz Bera­tung unter Lei­tung von Sascha Kuhr­au. Sie waren es auch, die den Audi­tor Andre­as Mann bei der Erst­zer­ti­fi­zie­rung des Zer­ti­fi­zie­rungs­ver­bun­des – Rat­haus mit Bür­ger­haus und die Kita Casi­no­st­ra­ße – durch die Doku­men­te, Kon­zep­te und die Gebäu­de beglei­te­ten. Mit Erfolg, denn die Erst­zer­ti­fi­zie­rung hat geklappt.

Jetzt gilt es, das Infor­ma­ti­ons­si­cher­heits­kon­zept aktu­ell und am Lau­fen zu hal­ten. Daher wird jähr­lich über­prüft, ob die Infor­ma­ti­ons­si­cher­heits­richt­li­ni­en ein­ge­hal­ten wer­den – denn die Tech­nik ist schnel­le­big und auch im Per­so­nal gibt es von Zeit zu Zeit einen Wech­sel. Außer­dem wer­den nach und nach immer mehr der gemeind­li­chen Ein­rich­tun­gen in den Zer­ti­fi­zie­rungs­ver­bund inte­griert. In der Öffent­lich­keit wird der zeit­in­ten­si­ve und arbeits­auf­wen­di­ge Pro­zess kaum wahr­ge­nom­men – und den­noch ist er für jede ein­zel­ne Bür­ge­rin und jeden ein­zel­nen Bür­ger von hoher Wich­tig­keit. Denn es sind ihre Daten, die damit geschützt wer­den. Anlass für die Ein­füh­rung von ISIS12 in der Gemein­de Haar war das Baye­ri­sche E‑Go­vern­ment-Gesetz von 2016. Die­ses ver­pflich­tet aus­nahms­los alle kom­mu­na­len Ver­wal­tungs­ein­rich­tun­gen zur Ein­füh­rung und zum Betrieb eines Infor­ma­ti­ons­si­cher­heits­kon­zepts. Die Gemein­de Haar, allen vor­an deren Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te Andrea Schmer­ber haben sich die­ser Her­aus­for­de­rung gestellt und das Ziel erreicht.

Übri­gens ist ein Infor­ma­ti­ons­si­cher­heits­kon­zept (ein­ge­führt und in Betrieb natür­lich) auch für das The­ma Daten­schutz inter­es­sant. Betrach­tet man Art. 32 DSVGO Sicher­heit der Ver­ar­bei­tung (exter­ner Link) genau­er, so fin­det man dar­in im Absatz 1 fol­gen­de Aussagen:

Unter Berück­sich­ti­gung des Stands der Tech­nik, der Imple­men­tie­rungs­kos­ten und der Art, des Umfangs, der Umstän­de und der Zwe­cke der Ver­ar­bei­tung sowie der unter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwe­re des Risi­kos für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen tref­fen der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, um ein dem Risi­ko ange­mes­se­nes Schutz­ni­veau zu gewähr­leis­ten; die­se Maß­nah­men schlie­ßen gege­be­nen­falls unter ande­rem Fol­gen­des ein:
- die Pseud­ony­mi­sie­rung und Ver­schlüs­se­lung per­so­nen­be­zo­ge­ner Daten;
- die Fähig­keit, die Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Belast­bar­keit der Sys­te­me und Diens­te im Zusam­men­hang mit der Ver­ar­bei­tung auf Dau­er sicherzustellen;
- die Fähig­keit, die Ver­füg­bar­keit der per­so­nen­be­zo­ge­nen Daten und den Zugang zu ihnen bei einem phy­si­schen oder tech­ni­schen Zwi­schen­fall rasch wiederherzustellen;
- ein Ver­fah­ren zur regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Eva­lu­ie­rung der Wirk­sam­keit der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Gewähr­leis­tung der Sicher­heit der Verarbeitung.

Und genau das stellt ein funk­tio­nie­ren­des Infor­ma­ti­ons­si­cher­heits­kon­zept sicher. Dabei beschränkt sich der Schutz eines sol­chen Kon­zepts nicht nur auf per­so­nen­be­zo­ge­ne Daten, son­dern schließt alle schüt­zens­wer­ten Daten Ihrer Orga­ni­sa­ti­on mit ein. Geni­al, oder?

Sie wol­len in Ihrer Orga­ni­sa­ti­on eben­falls ein Infor­ma­ti­ons­si­cher­heits­kon­zept ein­füh­ren? BSI IT-Grund­schutz und ISO 27001 sind unpas­send? Spre­chen Sie uns an.

Zur Mel­dung der Gemein­de Haar (exter­ner Link)

a.s.k. Daten­schutz und GKDS Mün­chen — Ihre star­ken kom­mu­na­len Part­ner für Daten­schutz und Informationssicherheit

Gera­de klei­ne­re Kom­mu­nen wün­schen ger­ne die The­men Infor­ma­ti­ons­si­cher­heit und Daten­schutz aus einer Hand. Dabei wird ger­ne über­se­hen, dass hier­bei ein klas­si­scher Inter­es­sens­kon­flikt ent­steht. Die­ser ist nicht nur auf­grund recht­li­cher Vor­schrif­ten zu vermeiden.

Durch unse­re Zusam­men­ar­beit mit der GKDS in Mün­chen haben wir für Kom­mu­nen die opti­ma­le Lösung im Angebot.

a.s.k. Daten­schutz und GKDS Mün­chen — Ihre star­ken kom­mu­na­len Part­ner für Daten­schutz und Informationssicherheit

  • Daten­schutz und Informations­sicherheit aus einer Hand
  • Qua­li­fi­zier­tes Per­so­nal mit jah­re­lan­ger Kommunalerfahrung
  • Zer­ti­fi­zier­te Kom­mu­ni­ka­ti­ons­- und Dokumentationsplattform
  • Struk­tu­rier­te Doku­men­ta­ti­on im vir­tu­el­len Aktenschrank
  • Fach­li­cher Informationsaustausch
  • Per­sön­li­che Ansprechpartner
  • Infor­ma­ti­ons­si­cher­heits­kon­zept Arbeits­hil­fe Inno­va­ti­ons­stif­tung Baye­ri­sche Kommune
  • ISMS ISIS12 mit Zertifizierung
  • BSI IT­-Grund­schutz 200x

Die GKDS unter­stützt Sie mit

  • Datenschutz­analyse
  • Umset­zung der DSGVO
  • Exter­ne Daten­ schutzbeauf­tragte
  • Datenschutz­beratung

a.s.k. Daten­schutz steht Ihnen zur Sei­te mit

  • Schwach­stellenanalyse Informationssicherheit
  • Informations­sicherheits­konzept
  • Kom­mu­na­le Informationssicherheitsbeauftragte

Und das alles auf einer Platt­form und mit direk­tem Aus­tausch der Betei­lig­ten unter­ein­an­der. Kei­ne Inter­es­sens­kon­flik­te, kei­ne lee­ren Ver­spre­chun­gen, son­dern genau die benö­tig­te Unter­stüt­zung im kom­mu­na­len Bereich — gera­de für klei­ne­re Kommunen.

Unser gemein­sa­mer Fly­er zum Download

[wpfi­le­ba­se tag=file path=‘flyer/1902ask-GKDS_Flyer_DIN-A4_DD.pdf’ tpl=simple /​]

Die mobile Version verlassen