Welche technischen und organisatorischen Maßnahmen (TOM) schreibt der Gesetzgeber vor?

Wel­che tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOM) schreibt der Gesetz­ge­ber vor?

In den letz­ten Mona­ten und Jah­ren neh­men erfolg­rei­che Angrif­fe, unab­hän­gig ob ziel­ge­rich­tet oder Kate­go­rie “Mit­ar­bei­ter zu wenig sen­si­bi­li­siert” oder bei­des, auf Unter­neh­men und Ver­wal­tun­gen ste­tig zu. Sind dabei (zwangs­läu­fig) per­so­nen­be­zo­ge­ne Daten betrof­fen, kom­men ganz schnell die Arti­kel 32, 33 und 34 der Daten­schutz­grund­ver­ord­nung (DSGVO) ins Spiel.

Wäh­rend Arti­kel 33 DSGVO für den Fall des Fal­les die zeit­na­he Ein­bin­dung der zustän­di­gen Lan­des­da­ten­schutz­be­hör­de bin­nen einer Frist von 72 Stun­den vor­sieht, schreibt Arti­kel 34 DSGVO die unver­züg­li­che Infor­ma­ti­on der sog. Betrof­fe­nen bei einem vor­aus­sicht­lich hohen Risi­ko vor. Die bei­den Arti­kel befas­sen sich u.a. also mit der REAKTION auf einen Sicher­heits­vor­fall mit per­so­nen­be­zo­ge­nen Daten.

Aus der Infor­ma­ti­ons­si­cher­heit und dem Busi­ness Con­ti­nui­ty Manage­ment wis­sen wir aber nun, dass VORBEUGEN deut­lich effi­zi­en­ter und effek­ti­ver ist, als hin­ter­her den Schla­mas­sel auf­räu­men und aus­ba­den zu müs­sen. Das hat auch der Gesetz­ge­ber erkannt und schreibt in Arti­kel 32 DSGVO etwas zur sog. “Sicher­heit der Ver­ar­bei­tung”:

Abs. 1: Unter Berück­sich­ti­gung des Stands der Tech­nik, der Imple­men­tie­rungs­kos­ten und der Art, des Umfangs, der Umstän­de und der Zwe­cke der Ver­ar­bei­tung sowie der unter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwe­re des Risi­kos für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen tref­fen der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, um ein dem Risi­ko ange­mes­se­nes Schutz­ni­veau zu gewähr­leis­ten; die­se Maß­nah­men schlie­ßen gege­be­nen­falls unter ande­rem Fol­gen­des ein:

a) die Pseud­ony­mi­sie­rung und Ver­schlüs­se­lung per­so­nen­be­zo­ge­ner Daten;
b) die Fähig­keit, die Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Belast­bar­keit der Sys­te­me und Diens­te im Zusam­men­hang mit der Ver­ar­bei­tung auf Dau­er sicherzustellen;
c) die Fähig­keit, die Ver­füg­bar­keit der per­so­nen­be­zo­ge­nen Daten und den Zugang zu ihnen bei einem phy­si­schen oder tech­ni­schen Zwi­schen­fall rasch wiederherzustellen;
d) ein Ver­fah­ren zur regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Eva­lu­ie­rung der Wirk­sam­keit der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Gewähr­leis­tung der Sicher­heit der Verarbeitung.

Abs. 2: Bei der Beur­tei­lung des ange­mes­se­nen Schutz­ni­veaus sind ins­be­son­de­re die Risi­ken zu berück­sich­ti­gen, die mit der Ver­ar­bei­tung ver­bun­den sind, ins­be­son­de­re durch – ob unbe­ab­sich­tigt oder unrecht­mä­ßig – Ver­nich­tung, Ver­lust, Ver­än­de­rung oder unbe­fug­te Offen­le­gung von bezie­hungs­wei­se unbe­fug­ten Zugang zu per­so­nen­be­zo­ge­nen Daten, die über­mit­telt, gespei­chert oder auf ande­re Wei­se ver­ar­bei­tet wurden.

Wer sich mit dem The­ma Infor­ma­ti­ons­si­cher­heit bereits näher befasst hat, wird in Absatz 1 b, c und d alte Bekann­te wie­der­tref­fen. Dort wer­den die Grund­wer­te der Infor­ma­ti­ons­si­cher­heit vor­ge­schrie­ben, sowie die rasche Wie­der­her­stell­bar­keit von Daten und Sys­te­men und ein kon­ti­nu­ier­li­ches Ver­bes­se­rungs­ma­nage­ment der Schutz­maß­nah­men gefor­dert. Also alles das, was moder­ne Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­te­me (ISMS) wie die ISO 27001, der BSI IT-Grund­schutz mit sei­nen 3 Absi­che­rungs­stu­fen, ein CISIS12 oder auch klei­ne­re Sys­te­me wie die sog. Arbeits­hil­fe mit sich bringen.

Schnell kommt natür­lich dann die Fra­ge auf “Wel­che tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOM) schreibt der Gesetz­ge­ber vor?”. Kon­kret? Meist gar kei­ne. Und das hat auch einen trif­ti­gen Grund.

Wie­so Geset­ze zumeist kei­ne kon­kre­ten tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men im Detail vorschreiben?

Ganz ein­fach: Weil es für gewöhn­lich kei­nen Sinn macht. Bedro­hun­gen tech­ni­scher und orga­ni­sa­to­ri­scher Natur ver­än­dern sich im Lau­fe der Zeit, mal schnel­ler, mal lang­sa­mer. Die­se Ver­än­de­run­gen erfor­dern zumeist auch eine Anpas­sung vor­han­de­ner Schutz­maß­nah­men bzw. deren Weg­fall und Ersatz durch ande­re, bes­ser wir­ken­de Schutz­maß­nah­men. Und da Geset­ze für gewöhn­lich eine lang­fris­ti­ge Gül­tig­keit haben, eine Ände­rung bzw. Anpas­sung einen nicht uner­heb­li­chen Auf­wand mit sich bringt, ver­zich­tet man auf die kon­kre­te Nen­nung von Schutz­maß­nah­men. Erst recht auf die Nen­nung kon­kre­ter Pro­duk­te oder Her­stel­ler. Eigent­lich logisch.

Statt­des­sen gibt der Gesetz­ge­ber hier im Arti­kel 32 DSGVO einen Ange­mes­sen­heits­rah­men vor mit “Unter Berück­sich­ti­gung des Stands der Tech­nik, der Imple­men­tie­rungs­kos­ten und der Art, des Umfangs, der Umstän­de und der Zwe­cke der Ver­ar­bei­tung sowie der unter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwe­re des Risi­kos für die Rech­te und Frei­hei­ten natür­li­cher Personen .…”

Die­sen Rah­men gilt es nun für die eige­nen Ver­ar­bei­tun­gen oder auch Dienst­leis­tun­gen, die für ande­re erbracht wer­den (Auf­trags­ver­ar­bei­tung), zu prü­fen und zu bewer­ten. Erst mal sei vor­an­ge­stellt, es muss nicht alles an Schutz­maß­nah­men ein­ge­führt oder imple­men­tiert wer­den, was tech­nisch oder orga­ni­sa­to­risch maxi­mal mög­lich ist. Das sind schon mal gute Nach­rich­ten. Ande­rer­seits kann man aller­dings auch nicht unter Ver­weis auf “Kein Geld”, “Kei­ne Mit­ar­bei­ter”, “Kei­ne Lust” oder “Wir haben Wich­ti­ge­res zu tun” das Ange­mes­sen­heits­prin­zip unter den Tisch fal­len las­sen und sich tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men spa­ren. Immer­hin muss man ja laut Gesetz fol­gen­de Din­ge berücksichtigen:

• Das not­wen­di­ge Schutz­ni­veau der zu schüt­zen­den Daten.
• Den sog. Stand der Technik.
• Die Ein­tritts­wahr­schein­lich­keit von Risi­ken für schüt­zens­wer­te Daten (die eige­nen oder die von Kunden).
• Das Scha­dens­aus­maß, soll­te den schüt­zens­wer­ten Daten doch etwas “zusto­ßen”.

Wür­de der Gesetz­ge­ber nun kon­kret eine Video­über­wa­chung per Gesetz vor­schrei­ben, wäre das sicher eine gute Schutz­maß­nah­me zur Absi­che­rung der Außen­haut eines Rechen­zen­trums. Ist man jedoch ein Dienst­leis­ter, der War­tungs­ar­bei­ten remo­te bei einem Kun­den durch­führt, wür­de eine Video­über­wa­chung nicht spür­bar zu einer Erhö­hung des Schutz­ni­veaus sei­tens des Dienst­leis­ters für die­se Ver­ar­bei­tung bei­tra­gen. Die zu tref­fen­den Schutz­maß­nah­men müs­sen also geeig­net sein, die Ein­tritts­wahr­schein­lich­keit und das Scha­dens­aus­maß eines Risi­kos für die jewei­li­ge Ver­ar­bei­tung zu begren­zen. Tun sie das nicht, sind die­se Schut­zß­nah­me nicht zwin­gend obso­let, tra­gen aber zur Absi­che­rung der kon­kre­ten Ver­ar­bei­tung nichts oder nur sehr wenig bei.

Dem Gesetz­ge­ber kommt es also auf die Aus­wahl von Schutz­maß­nah­men an, die geeig­net sind, das Risi­ko für die jewei­li­gen Ver­ar­bei­tun­gen zu begren­zen UND dem sog. Stand der Tech­nik ent­spre­chen. In Spe­zi­al­ge­set­zen kann es zu Aus­nah­men von die­ser Vor­ge­hens­wei­se kom­men. Die­se gel­ten dann jedoch zumeist nur für ganz spe­zi­el­le Bran­chen und Tätigkeiten.

Was hat es mit die­sem “Stand der Tech­nik” auf sich?

Stand der Tech­nik ist ein unbe­stimm­ter Rechts­be­griff, der eine inhalt­li­che und zeit­li­che Dehn­bar­keit mit sich bringt. Wer sich die Mühe macht und sich im Rah­men einer Web­re­cher­che zu dem Begriff schlau­er machen will, wird am Ende auch kei­ne kon­kre­ten Schut­zß­nah­men zur Absi­che­run­gen sei­ner eige­nen Ver­ar­bei­tung emp­foh­len bekom­men. Ver­su­chen wir es mal mit ein paar Beispielen.

Seit Jah­ren gibt es einen Trend zu Online-Back­ups, sei es auf gro­ße Sto­rages im eige­nen Netz­werk oder sogar ganz raus aus dem eige­nen Netz­werk zu Cloud-Anbie­tern. Eine sol­che Art der Daten­si­che­rung kann sicher als Stand der Tech­nik ein­ge­ord­net wer­den. Ersetzt die­se jetzt jedoch auto­ma­tisch die klas­si­sche Band­si­che­rung? Und ent­spricht die Band­si­che­rung damit nicht mehr dem Stand der Tech­nik? Um das zu bewer­ten, muss man sich die Bedro­hungs­la­ge für Daten­si­che­run­gen anschau­en. Ein Back­up, das im eige­nen Netz­werk oder bei einem exter­nen Cloud-Anbie­ter gene­rell zugreif­bar ist, kann jeder­zeit zer­stört oder kom­pro­mit­tiert wer­den. Hier besteht also ein Risi­ko, im Fal­le des Fal­les not­wen­di­ge Daten nicht mehr wie­der­her­stel­len zu kön­nen. Ande­rer­seits sind die­se Daten­si­che­run­gen zumeist sehr schnell wie­der­her­zu­stel­len, was ein Vor­teil ist. Und aus die­sen Grund ergänzt eine Band­si­che­rung bzw. jede Art von Off­line-Back­up eine gute Daten­si­che­rungs­stra­te­gie, um genau die­ses ver­blei­ben­de Risi­ko beherrsch­bar zu machen. Band­si­che­rung mag daher old school erschei­nen, ist aber nach Stand der Tech­nik wei­ter­hin eine geeig­ne­te Schutzmaßnahme.

Der klas­si­sche Log­in bei inter­nen und exter­nen Diens­ten geschieht zumeist mit­tels Benut­zer­na­me und Kenn­wort. Für die Gestal­tung von Kenn­wör­tern gibt es ergän­zend mehr oder weni­ge sinn­vol­le Rege­lun­gen zu Län­ge und Kom­ple­xi­tät und Wech­sel­in­ter­val­len. Feh­len wei­te­re Schutz­maß­nah­men wie die Begren­zung der Anmel­de­ver­su­che, so wird die Luft schnell dünn. Dazu gibt es das nicht uner­heb­li­che Risi­ko des erfolg­rei­chen Phis­hings, also des Abgriffs und Aus­nut­zens von gül­ti­gen Zugangs­da­ten. Somit ist eine Beschrän­kung auf Benut­zer­na­me und Kenn­wort zur Absi­che­rung von Zugän­gen in vie­len Fäl­len allei­ne nicht mehr aus­rei­chend. Die­se ist je nach Ein­satz­si­tua­ti­on nicht mehr zeit­ge­mäß und ent­spricht daher wohl nur noch sel­ten dem sog. Stand der Tech­nik. Ergänzt man jedoch den Log­in mit Benut­zer­na­me und Pass­wort bei­spiels­wei­se um eine Mul­ti- oder Zwei-Fak­tor-Authen­ti­sie­rung (MFA /​ 2FA), hebt man das Schutz­ni­veau mit einer aktu­el­len tech­ni­schen Schutz­maß­nah­me wie­der auf ein ange­mes­se­nes Level an und ent­spricht damit der­zeit wie­der dem sog. Stand der Tech­nik. Dies gilt auch für neue­re Absi­che­rungs­me­tho­den wie Pass­keys etc. 2FA ist also kei­ne Rake­ten­wis­sen­schaft, son­dern der­zeit aner­kann­ter Stand der Technik.

Oft hilft auch ein Blick in die ver­schie­de­nen Nor­men für Infor­ma­ti­ons­si­cher­heit. Wer­den dort kon­kre­te­re Schutz­maß­nah­men genannt, kann man davon aus­ge­hen, dass die­se dem sog. Stand der Tech­nik ent­spre­chen. Sie hät­ten sonst kei­ne Auf­nah­me in die­se Nor­men gefun­den. So fin­det sich 2FA /​ MFA bei­spiels­wei­se unter ande­rem im Kapi­tel 8.5 Siche­re Authen­ti­fi­zie­rung der ISO 27002, aber auch im Grund­schutz-Bau­stein ORP.4 Iden­ti­täts- und Berech­ti­gungs­ma­nage­ment in der Anfor­de­rung A.10. Auch wenn der Grund­schutz-Bau­stein CON.3 Daten­si­che­rungs­kon­zept die Band­si­che­rung nicht nament­lich erwähnt, so sind die Anfor­de­run­gen aus A.14 und A.12 mit einer sol­chen rela­tiv ein­fach zu erfüllen.

Hil­fe­stel­lung zum Stand der Technik

Eine sehr hilf­rei­che Über­sicht über gän­gi­ge tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, die dem sog. Stand der Tech­nik ent­spre­chen, stellt der Bun­des­ver­band IT-Sicher­heit e.V. (Tele­TrusT) regel­mä­ßig zur Ver­fü­gung. Die­se ist in aktu­el­ler Ver­si­on jeweils hier zu fin­den. Zum Zeit­punkt die­ses Bei­trags ist dies die Ver­si­on 2023-05. In die­ser Über­sicht fin­det sich bei­spiels­wei­se dann auch die MFA /​ 2FA unter Punkt 3.2.3 auf Sei­te 22.

Die dar­in ange­führ­ten Schutz­maß­nah­men sind nicht abschlie­ßend. Es gibt dar­über­hin­aus vie­le wei­te­re Maß­nah­men, die als Stand der Tech­nik ein­ge­ord­net wer­den kön­nen. Anhand die­ser Über­sicht kann man jedoch gut prü­fen, ob die eige­ne Orga­ni­sa­ti­on zumin­dest ansatz­wei­se auf einem aktu­el­len Stand der Schutz­maß­nah­men unter­wegs ist. Wenn nicht, heißt es handeln.

Auch die von uns unse­ren Kun­den zur Ver­fü­gung gestell­ten Check­lis­ten für die sog. TOM-Checks berück­sich­ti­gen übli­cher­wei­se den sog. Stand der Tech­nik. Abwei­chun­gen oder Lücken soll­ten durch­aus als Risi­ko­fak­to­ren begrif­fen und ide­al­wei­se unter Berück­sich­ti­gung von Ein­tritts­wahr­schein­lich­keit und Scha­dens­aus­maß besei­tigt werden.

Fazit

Der Gesetz­ge­ber schreibt für gewöhn­lich kei­ne kon­kre­ten tech­ni­schen und orga­ni­sa­to­ri­schen Schutz­maß­nah­men für Unter­neh­men und Ver­wal­tung vor. Schutz­maß­nah­men kön­nen einer­seits schnell altern und ande­rer­seits pas­sen bestimm­te Schutz­maß­nah­men nicht auf jede Orga­ni­sa­ti­on und deren Risi­ken bei der Ver­ar­bei­tung. Von daher gilt es, sich der Risi­ken für die eige­nen Ver­ar­bei­tun­gen im Hin­blick auf Ein­tritts­wahr­schein­lich­keit und Scha­dens­aus­maß (für die eige­ne Orga­ni­sa­ti­on, aber auch für die Betrof­fe­nen) bewußt zu wer­den bzw. die­se zu iden­ti­fi­zie­ren und zu bewer­ten. Dann sind im Rah­men der Ange­mes­sen­heit geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men ein­zu­füh­ren bzw. wei­ter­zu­ent­wi­ckeln, die dem sog. Stand der Tech­nik ent­spre­chend und dabei hel­fen, die zuvor iden­ti­fi­zier­ten Risi­ken beherrsch­bar zu machen. Dies ist kei­ne ein­ma­li­ge Tätig­keit, son­dern ein wie­der­keh­ren­der Pro­zess, der idea­ler­wei­se — je nach Risi­ko — min­des­tens jähr­lich zu durch­lau­fen ist. Dann klappt es auch mit Arti­kel 32 DSGVO. Und vor den Arti­keln 33 und 34 DSGVO muss man sich weni­ger fürch­ten bzw. wird die­se sel­te­ner durch­füh­ren müssen.

Gutes Gelin­gen. Sie wün­schen Unter­stüt­zung? Spre­chen Sie uns an.