Berg Anstieg Hilfe

Wer benötigt ein Informationssicherheitskonzept?

Jede Organisation ist gefordert, die Anforderungen aus Art. 32 DSGVO zu erfüllen. Da steht in Absatz 1:

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Unter b) sind die Grundwerte der Informationssicherheit Vertraulichkeit, Verfügbarkeit und Integrität genannt. Betrachten wir die Kurzdefinitionen aus der Informationssicherheit hierzu.

Vertraulichkeit: Keine unberechtigte Kenntnisnahme (bis hin zum Mißbrauch) der Informationen, weder durch Mitarbeiter noch durch Externe.

Integrität: Die Informationen sind korrekt, vollständig und unverfälscht. Änderungen sind nachvollziehbar und rückgängig zu machen.

Verfügbarkeit: Die Informationen stehen zur richtigen Zeit am richtigen Ort zur Verfügung (nicht beschränkt auf IT-Verfügbarkeit). [Verfügbarkeit ist in der Tat erst an dritter Stelle, auch wenn in der Praxis um das Thema Ausfallzeiten gerne der Tanz um das goldene Kalb stattfindet.]

Diese Grundwerte der Informationssicherheit sicherzustellen, ist das Ziel eines jeden Informationssicherheitskonzepts, auch des Standards der sog. „Arbeitshilfe“.

Unterpunkt d) verlangt von Ihrer Organisation, die Wirksamkeit der im Hinblick auf Vertraulichkeit, Integrität und Verfügbarkeit ergriffenen technischen und organisatorischen Maßnahmen regelmäßig zu prüfen und bei Bedarf nachzujustieren oder geeignete zusätzliche bzw. ergänzende Schutzmaßnahmen einzuführen. Auch dies ist eine der Kernfunktionen eines funktionierenden Informationssicherheitskonzepts.

Salopp gesagt, verlangt die DSGVO von Organisationen in diesem Fall nicht weniger als die Einführung eines Informationssicherheitskonzepts und dessen kontinuierlichen Betrieb. Klar kann man versuchen, sich auch selbst ein Konzept zu „basteln“, bleibt nur die Frage „Wieso sollte man das tun?“

Bayerische Kommunen sind per Gesetz (BayEGovG) sogar dazu verpflichtet, bis zum 01.01.2020 ein Informationssicherheitskonzept eingeführt und im laufenden Betrieb zu haben.

Bewährte Standards wie die ISO 27001, der BSI IT-Grundschutz, ISIS12 (als Ableitung aus dem IT-Grundschutz) sind seit vielen Jahren bewährte Standards, um ein Informationssicherheitskonzept einzuführen, zu betreiben und damit auch die Anforderungen aus Art. 32 DSGVO zu erfüllen. Diese Standards skalieren zwar auch für kleinere Organisationen, sind dennoch sehr ressourcenintensiv. Hier hat für den kommunalen Bereich die Innovationsstiftung Bayerische Kommune im Auftrag der Bayerischen Kommunalen Spitzenverbände angesetzt und gerade für kleinere kommunale Einrichtungen durch a.s.k. Datenschutz die „Arbeitshilfe zur Einführung eines Informationssicherheitskonzepts nach Art. 11 BayEGovG“ entwickeln lassen. Dieser Standard basiert auf den Erkenntnissen und Vorgehensweisen aus zahlreichen IT-Grundschutz-Projekten sowie dem früheren „Quick Check Datenschutz + Datensicherheit“. Entgegen der Bezeichnung und ursprünglichen Ausrichtung auf den kommunalen Bereich ist die „Arbeitshilfe“ universell einsetzbar und natürlich auch in Unternehmen einsetzbar. Hierzu sind lediglich Begrifflichkeiten anzupassen, statt Bürgermeister heißt es dann eben Geschäftsführer.

Standard für Informationssicherheit Arbeitshilfe Version 3.0 erschienen

Am 26. September 2019 ist die Arbeitshilfe mittlerweile in Version 3.0 erschienen. Die Weiterentwicklung und Anpassung oblag erneut uns von der a.s.k. Datenschutz. Neben Aktualisierungen z.B. bei Links zum gerade aufgefrischten BSI IT-Grundschutz stand neben der Fehlerkorrektur die Anpassung an das Siegel „Kommunale IT-Sicherheit“ des Landesamts für Sicherheit in der Informationstechnik – kurz LSI – in Nürnberg im Vordergrund. Wenn Sie mehr über das LSI Siegel erfahren wollen, finden Sie Details hierzu in einem weiteren Blogbeitrag.

Kommunale Einrichtungen, die sich zur Einführung eines Informationssicherheitskonzepts auf Basis der Arbeitshilfe entscheiden, erfüllen mit der Umsetzung die Anforderungen des LSI zum Erhalt des Siegels „Kommunale IT-Sicherheit“. Das setzt natürlich eine ernsthafte und ehrliche Bearbeitung der 9 Kapitel der Arbeitshilfe zur Informationssicherheit in der Kommune voraus.

Hier geht es direkt zum Download der Arbeitshilfe V 3.0. Sollte der Link nicht mehr funktionieren, nutzen Sie bitte die Startseite der Innovationsstiftung und suchen die Veröffentlichung vom 28.09.2019.

Mit a.s.k. Datenschutz und der Arbeitshilfe zum Siegel „Kommunale IT-Sicherheit“

Wenn Sie sich bei der Einführung der Arbeitshilfe in Ihrer Verwaltung durch das Team von a.s.k. Datenschutz unterstützen lassen, dann übernehmen wir am Ende die Formalitäten der notwendigen Angaben und Auskünfte gegenüber des LSI. Einem Erhalt des Siegels sollte dann nichts mehr im Wege stehen.

Sollten wir Sie im Anschluß auch als externe Informationssicherheitsbeauftragte betreuen, kümmern wir uns mit Ihnen gemeinsam auch um die Verlängerung des Siegels nach Ablauf der 2 Jahre Gültigkeitsdauer. Dazu muss dem LSI der Weiterbetrieb Ihres Informationssicherheitskonzepts belegt bzw. nachgewiesen werden. Auch dies würden wir von a.s.k. Datenschutz übernehmen.

Übrigens nutzen wir zur Einführung und zum Betrieb Ihres Informationssicherheitskonzepts auf Basis der Arbeitshilfe eine hochmoderne und vollverschlüsselte Projektplattform. Damit wird die Bearbeitung der Punkte zwar kein Kinderspiel, aber die Dokumentation dazu erledigt sich fast von selbst. Gleichzeitig versäumen Sie und wir keine Revisionstermine und Wiedervorlagen. Mehr Infos in diesem Blogbeitrag. Unsere Plattform ist bereits für Version 3.0 der Arbeitshilfe aktualisiert und angepasst.

Unternehmen und die Arbeitshilfe als Informationssicherheitskonzept

Wie eingangs schon beschrieben, ist auch dies kein Problem. In der Wortwahl werden zwar kommunale Funktionen adressiert, aber die inhaltlichen Anforderungen an Informationssicherheit sind zwischen Unternehmen und Behörden identisch. Ersetzen Sie in Gedanken einfach Begriffe wie „Bürgermeister“ mit „Geschäftsführer“ und schon sind Sie in der Unternehmenswelt angekommen.

Das einzige Manko: Das LSI Siegel „Kommunale IT-Sicherheit“ kann nur von kommunalen Einrichtungen erworben werden. Als Unternehmen sind Sie hier außen vor. Gerne unterstützen wir auch Ihr Unternehmen bei der Einführung eines Informationssicherheitskonzepts.

Angebot Informationssicherheitskonzept für Kommunen bzw. Behörden

Sie wünschen ein unverbindliches Angebot? Dann nutzen Sie einfach unser verschlüsseltes Anfrage-Formular. Wir melden uns zeitnah bei Ihnen.

Unverbindliches Angebot anfordern

 

 

 

 

Help Button

Notfallbehandlung – ein wichtiges Element in der Informationssicherheit und im Datenschutz

Im Zuge der Diskussion um Informationssicherheitskonzepte und technische Maßnahmen im Sinne der DSGVO stößt man unweigerlich auf das Thema Notfallmanagement. Vorrangig zielen die ergriffenen technischen und organisatorischen Schutzmaßnahmen einer Organisation ja darauf ab, Sicherheitsvorfälle und Notfälle möglichst zu vermeiden. Die Eintrittswahrscheinlichkeit soll möglichst nahe Null liegen. Das dies für jede Art von Vorfall nicht immer gelingt, liegt auf der Hand. Umso wichtiger ist, von solchen Vorfällen frühzeitig Kenntnis zu erlangen, diese korrekt zu bewerten und angemessen zu reagieren.

Dies setzt jedoch sensibilisierte Mitarbeiter voraus, die im Falle eines Sicherheitsvorfalls oder eines Notfalls wissen, was zu tun ist. Die Allianz für Cyber-Sicherheit hat sich zusammen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und einigen anderen Einrichtungen im Hinblick auf IT-Sicherheitsvorfälle Gedanken gemacht.

Die IT-Notfallkarte „Verhalten bei IT-Notfällen“ für Mitarbeiter

Sie kennen das sicher noch aus der Erste-Hilfe-Ausbildung. Die 5 „W“ für den richtigen Notruf:

  1. Wo ist das Ereignis?
  2. Wer ruft an?
  3. Was ist geschehen?
  4. Wie viele Betroffene?
  5. Warten auf Rückfragen

Analog zu dieser Vorgehensweise gibt es nun die IT-Notfallkarte zum kostenfreien Download und zur Verteilung an Mitarbeiter bzw. Aushang der Karte. Nach Eintrag der internen Rufnummer für IT-Notfälle kommen die 5 „W“ für die Notfallmeldung:

  1. Wer meldet?
  2. Welches IT-System ist betroffen?
  3. Wie haben Sie mit dem IT-System gearbeitet bzw. was haben Sie beobachtet?
  4. Wann ist das Ereignis eingetreten?
  5. Wo befindet sich das betroffene IT-System (Gebäude, Raum, Arbeitsplatz)?

Darunter finden sich einige Verhaltenshinweise für den oder die betroffenen Mitarbeiter. Für den Fall eines Befalls mit Kryptotrojanern wäre möglicherweise die Empfehlung „Netzwerkkabel ziehen“ noch recht hilfreich gewesen.

Sehr gut hat uns die Aussage gefallen „Ruhe bewahren & IT-Notfall melden. Lieber einmal mehr als einmal zu wenig anrufen!“, die sich als zweite Überschrift auf der Karte oben findet.

Top 12 Maßnahmen bei Cyber-Angriffen

Da es nach der Meldung eines IT-Notfalls mit der Bearbeitung weitergehen muss, liefert die Allianz für Cybersicherheit zur weiteren „Bewältigung des Notfalls“ eine Top 12 Liste mit. Auf dieser finden sich die wichtigsten Maßnahmen zur Schadensbegrenzung und auch der Nachbearbeitung des hoffentlich glimpflich verlaufenen Angriffs.

Diese Top 12 Maßnahmen bei Cyber-Angriffen richten sich an IT-Verantwortliche und Administratoren und sollten an keinem Arbeitsplatz als Hilfestellung fehlen.

Doch damit nicht genug, professionelles Notfallmanagement ist gefragt

Diese beiden Hilfestellungen sind ein erster Schritt in die richtige Richtung. Doch ohne professionelles Notfallmanagement wird keine Organisation zukünftig auskommen. Wurden die Themen Datenschutz und Informationssicherheit in der Vergangenheit meist schon sehr stiefmütterlich behandelt, haben gerade kleine Organisationen das Thema Notfallmanagement gar nicht oder nur weit am Ende des Erfassungsbereichs auf dem Radar.

Hier verweist die Allianz für Cybersicherheit auf den Standard 100-4 des BSI IT-Grundschutzes. 100-4 beschreibt eine professionelle und systematische Vorgehensweise zur Einführung und Weiterentwicklung eines Notfallmanagements in Organisationen jeglicher Größe und Branche. Bei erster Durchsicht mag das dem einen oder anderen Leser etwas sperrig oder zu aufgebauscht wirken. Und sicher empfiehlt es sich, in Abhängigkeit von der Organisationsgröße den Standard 100-4 angemessen und zweckdienlich umzusetzen. Eine stoische 1:1 Umsetzung ist eher suboptimal.

Sinn und Notwendigkeit für ein Notfallmanagement sollten jedoch schnell klar werden. Ein Notfall ist etwas anderes als „Kein Papier im Drucker“. Ok, der betroffene Mitarbeiter mag das kurzzeitig so empfinden 🙂 In einem Notfall oder auch bei der Verkettung mehrerer Arten von Notfällen ist keine große Zeit, sich über die Notfallbehandlung Gedanken zu machen oder wichtige Informationen für die Beseitigung des Notfalls zu beschaffen.

Wenn Sie mit dem Thema liebäugeln, können wir Ihnen den Kurs „Notfallmanagement“ der Bayerischen Verwaltungsschule wärmstens an Herz legen. Dieser ist nicht auf bayerische Verwaltungen beschränkt, sondern steht interessierten Teilnehmern aus Behörden und Unternehmen aus ganz Deutschland offen.

Im Rahmen von Informationssicherheitskonzepten wird die Entwicklung eines Notfallvorsorgekonzepts und eines Notfallplans (erst die Vermeidung, dann die Reaktion, wenn es mit dem Vermeiden nicht geklappt hat) gefordert. Wer sich also mit den Standards wie IT-Grundschutz, ISIS12 oder auch der Arbeitshilfe (für kleinere Einrichtungen) und deren Einführung befasst, wird um das Thema nicht herumkommen.

Was kann a.s.k. Datenschutz für Sie tun?

Vorausgeschickt: a.s.k. Datenschutz ist der Dozent an der Bayerischen Verwaltungsschule u.a. für das Thema Notfallmanagement und die Ausbildung von zertifizierten Informationssicherheitsbeauftragten. Im Zuge von zahlreichen Sicherheitskonzepten begleiten wir die Einführung von Notfallvorsorgekonzepten und die Erstellung von Notfallplänen. Selbstverständlich bieten wir diese Dienstleistung im Rahmen der Einführung und Begleitung von Informationssicherheitskonzepten, aber auch flankierend zur Tätigkeit als externe Informationssicherheitsbeauftragte an. Sprechen Sie uns einfach an. Ihren Datenschutzbeauftragten wird das sicher auch freuen.

Apropos Datenschutzbeauftragter: Verfügt Ihre Organisation über einen Datenschutzbeauftragten? Öffentliche Stellen sind zur Bestellung ungeachtet der Mitarbeiterzahl generell verpflichtet. Unternehmen benötigen einen Datenschutzbeauftragten ab 10 Mitarbeitern (sollte das 2. DsAnpG den Bundesrat passieren erhöht sich die Zahl auf 20), die regelmäßig mit der Verarbeitung von personenbezogenen Daten befasst sind. Und lassen Sie sich keinen Sand in die Augen streuen. Ob mit oder ohne Datenschutzbeauftragten müssen alle anderen datenschutzrechtlichen Anforderungen in Ihrer Organisation erfüllt sein. Wenn es keinen DSB gibt, muss sich jemand anderes um die meist bürokratischen Aufgaben kümmern. Einfacher und pragmatischer geht es mit a.s.k. Datenschutz als externe Datenschutzbeauftragte. Fordern Sie noch heute Ihr unverbindliches Angebot an.

Unverbindliches Angebot anfordern