Zum Inhalt springen

ISMS

a.s.k. Daten­schutz erfolg­reich Infor­ma­ti­ons­si­cher­heit (ISMS) nach ISIS12 zertifiziert

Nach nur knapp 6 Mona­ten Ein­füh­rung eines Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tems, kurz ISMS wur­de das Team von a.s.k. Daten­schutz für die inves­tier­te Zeit und Ner­ven belohnt. Nach einem erfolg­rei­chen Vor-Ort-Audit Mit­te Okto­ber durch die DQS GmbH haben wir zum 31.10.2020 das Zer­ti­fi­kat über die erfolg­rei­che Ein­füh­rung und den nach­weis­li­chen Betrieb unse­res ISMS auf Basis des Stan­dards ISIS12 2.0 erhal­ten. Damit sind wir die ers­te Orga­ni­sa­ti­on, die im neu­en Kata­log 2.0 zer­ti­fi­ziert wur­de. Das freut uns natür­lich gleich noch etwas mehr.

Neben den rein for­ma­len Anfor­de­run­gen haben die­se 6 Mona­te auch eini­ge Ver­än­de­run­gen an Arbeits­pro­zes­sen und ein­ge­setz­ten Soft­ware­lö­sun­gen z.B. für den Bereich Mobi­le Device Manage­ment und Hard­ware-Ver­wal­tung mit sich gebracht. So konn­ten wir bereits die Pha­se der Ein­füh­rung zur wei­te­ren Ver­bes­se­rung der tech­ni­schen und orga­ni­sa­to­ri­schen Schutz­maß­nah­men nut­zen. Wei­te­rer Vor­teil: Der Nach­weis geeig­ne­ter tech­ni­scher und orga­ni­sa­to­ri­scher Maß­nah­men im Sin­ne von Art. 32 DSGVO wird durch die Zer­ti­fi­zie­rung deut­lich erleichtert.

ISIS12 (Infor­ma­ti­ons­si­cher­heit in 12 Schrit­ten) ist eine aus dem BSI IT-Grund­schutz abge­lei­te­te Vor­ge­hens­wei­se, wel­che es klei­nen und mitt­le­ren Orga­ni­sa­tio­nen ermög­licht, ein Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tem (ISMS) ein­zu­füh­ren und zu betrei­ben. a.s.k. Daten­schutz berät und unter­stützt seit vie­len Jah­ren zahl­rei­che Kom­mu­nen und Unter­neh­men bei Ein­füh­rung und Betrieb eines ISMS auf Basis von ISIS12, aber auch ande­rer Stan­dards wie dem BSI IT-Grund­schutz selbst. Für uns war es daher ein logi­scher Schritt, unse­ren Kun­den nicht nur gute Rat­schlä­ge zur Ein­füh­rung und Betrieb von ISIS12 zu geben und sie dabei zu beglei­ten, son­dern uns selbst die­sen Regu­la­ri­en zu unter­wer­fen und das Gan­ze auch mit Zer­ti­fi­zie­rung abzuschließen.

Nach­dem die ISIS12-Kata­log­rei­he 1.x  zu April 2022 abge­kün­digt wur­de, war es für uns selbst­ver­ständ­lich, den Nach­fol­ge-Kata­log 2.0 ein­zu­füh­ren. Die über­ar­bei­te­te Struk­tur sowie deut­li­che Aktua­li­sie­rung der Bau­stei­ne und Maß­nah­men im Kata­log 2.0 gegen­über den frü­her aus dem IT-Grund­schutz-Kata­log ent­nom­me­nen Ele­men­ten haben eine zügi­ge, nach­voll­zieh­ba­re und trans­pa­ren­te Ein­füh­rung sehr unterstützt.

Wir kön­nen daher aus eige­ner Erfah­rung nur emp­feh­len, neue Pro­jek­te gene­rell nur noch im Kata­log 2.0 zu star­ten bzw. vor­han­de­ne ISMS auf Basis der 1.x Kata­lo­ge bei nächs­ter pas­sen­der Gele­gen­heit umzu­stel­len. Die Upgrade-Pfa­de sind gut doku­men­tiert und für unse­re Kun­den haben wir wei­te­re Sys­te­ma­ti­ken zur ein­fa­chen Kon­ver­tie­rung entwickelt.

Wie sag­te unser Audi­tor so schön: “Nach dem Audit ist vor dem Audit!” Und so haben wir die letz­ten Tage bereits genutzt, um uns wei­ter­zu­ent­wi­ckeln. Denn in 12 Mona­ten müs­sen wir uns dem ers­ten Über­wa­chungs­au­dit (Ü1) stel­len und auch das wol­len wir mit einem sehr guten Ergeb­nis abschließen.

Das ISIS12 Zer­ti­fi­kat hat eine Gül­tig­keit von 3 Jah­ren und kann hier ein­ge­se­hen bzw. als PDF abge­ru­fen wer­den. Wenn Sie mehr über den Stan­dard ISIS12 erfah­ren wol­len, kön­nen Sie hier in unse­rem Blog oder auf der Web­sei­te des IT-Sicher­heits­clus­ters Regens­burg wei­te­re Details nachlesen.

Infor­ma­ti­ons­si­cher­heit — IT-Sicher­heits­lü­cken und Daten­pan­nen 2019 und 2020 — Teil 2

Nach­fol­gend die Fort­set­zung des Bei­trags vom 18.04.2020 zu Cyber-Angrif­fen und Pan­nen in der Infor­ma­ti­ons­si­cher­heit /​ im Daten­schutz der letz­ten 12 Monate. 

Ober­lan­des­ge­richt Ber­lin wird gehackt - Infor­ma­ti­ons­si­cher­heit frag­lich 

Wer im Begriff war, ein Anlie­gen vor dem Ober­lan­des­ge­richt von Ber­lin (=Kam­mer­ge­richt Ber­lin) ver­han­deln zu las­sen, hat hof­fent­lich recht­zei­tig davon Abstand neh­men kön­nen. Denn damit konn­te er ver­hin­dern, dass sen­si­bels­te per­so­nen­be­zo­ge­ne und juris­ti­sche Infor­ma­tio­nen bei die­ser his­to­ri­schen Daten­pan­ne kom­pro­mit­tiert wur­den. Hier­mit wird nicht gesagt, dass es in ande­ren Berei­chen der Ber­li­ner Ver­wal­tung  bes­ser um die Infor­ma­ti­ons­si­cher­heit bestellt ist. Gene­rell ist in man­gel­haft gesi­cher­ten Berei­chen meis­tens nur die Stär­ke des Ver­mark­tungs- /​ Sabo­tag­einter­es­ses poten­zi­el­ler Hacker das maß­geb­li­che Kri­te­ri­um der tat­säch­li­chen Informationssicherheit. 

Im Sep­tem­ber 2019 wur­de fest­ge­stellt, dass von Sys­te­men des Kam­mer­ge­richts mit Ser­vern ver­bun­den war, die für die Fern­steue­rung schäd­li­cher Soft­ware typisch sind. 7 Tage spä­ter erfolg­te eine Vor­ort­prü­fung durch den IT-Dienst­leis­ter T‑Systems, der Emo­tet-Infek­tio­nen in diver­sen Sys­tem­be­rei­chen fest­stell­te und wei­te­re 14 Tage spä­ter wur­de der mut­maß­li­che Erst­in­fek­ti­ons-PC unter­sucht. Ursprung des Angriffs, wie vie­le Daten abge­flos­sen sind und seit wann, konn­te nicht fest­ge­stellt wer­den. Lücken in der Ermitt­lung wur­den mit Zeit- und finan­zi­el­len Aspek­ten begrün­det. Die Schad­soft­ware könn­te über einen USB-Stick auf die Sys­te­me gelangt sein. Die Sicher­heits­rou­ti­nen des Kam­mer­ge­richts erkann­ten die Emo­tet-Infil­trie­rung nicht. Eine Seg­men­tie­rung des Netz­werks hat­te man nicht vor­ge­nom­men, sodass sich die Schad­soft­ware unge­hin­dert aus­brei­ten und über eine Fern­steue­rung Daten expor­tie­ren konn­te. Fer­ner hat­te man die Datei­grö­ße des Event­logs der­ge­stalt limi­tiert, dass die rele­van­ten Pha­sen der Ereig­nis­do­ku­men­ta­ti­on bereits über­schrie­ben waren, als mit den Unter­su­chun­gen begon­nen wur­de. Wie­der­holt wur­de auf die beson­de­re Raf­fi­nes­se des Hackings hin­ge­wie­sen und „Sicher­heits­krei­se“ ver­mu­ten hin­ter dem Angriff orga­ni­sier­te Kri­mi­na­li­tät unter Feder­füh­rung des Nach­rich­ten­diens­tes der rus­si­schen Regie­rung. Wenn James Bond das wüsste … 

Der Bericht über den Vor­fall und die Unter­su­chun­gen vom Sep­tem­ber 2019 wur­de auf den 23.12.2019 datiert und Ende Janu­ar 2020 der Ber­li­ner Daten­schutz­be­auf­trag­ten zeit­gleich mit der Ver­öf­fent­li­chung vor­ge­legt. Die­se war hier­über „not amu­sed“ und for­der­te, dass „aus­schließ­lich mit dienst­li­chen Gerä­ten über eine zen­tral zur Ver­fü­gung gestell­te und aus­rei­chend abge­si­cher­te Infra­struk­tur“ Daten­ver­ar­bei­tun­gen zu erfol­gen haben. 

Es ist abzu­war­ten, ob Kon­se­quen­zen aus dem Vor­fall gezo­gen und die Stan­dards der Infor­ma­ti­ons­si­cher­heit in den Ver­wal­tungs­ein­rich­tun­gen der Haupt­stadt einer pro­fes­sio­nel­len Prü­fung unter­zo­gen wer­den oder ob wei­ter­hin Sicher­heits­vor­fäl­le fest­ge­stellt /​ öffent­lich gemacht werden. 

Bereits 2017/​2018 waren Sys­te­me des Bun­des­tags gehackt wor­den, wodurch die per­sön­li­chen Twit­ter­da­ten hun­der­ter Poli­ti­ker, Schau­spie­ler und Fern­seh­mo­de­ra­to­ren erbeu­tet wurden. 

2019-11 — Sicher­heits­lü­cke bei chi­ne­si­schem Smart­phone-Her­stel­ler 

Bereits zum zwei­ten Mal inner­halb von 2 Jah­ren kam es zu einer Daten­pan­ne bei dem chi­ne­si­schen Smart­phone-Her­stel­ler One­Plus. Über einen nicht bekann­ten Zeit­raum hin­weg war der Zugriff auf Kun­den­da­ten für Unbe­fug­te mög­lich. Betrof­fen sei­en Stamm- und Kon­takt­da­ten der Käu­fer gewe­sen. Eine Benach­rich­ti­gung der betrof­fe­nen Per­so­nen sei erfolgt. 

2019-12 — Daten­pan­ne bei der Luft­hansa

Für Kun­den der Miles & More GmbH, Toch­ter der Luft­han­sa, war es auf Grund eines mut­maß­li­chen tech­ni­schen Pro­blems für 40 Minu­ten mög­lich, auf per­so­nen­be­zo­ge­nen Daten ande­rer ein­ge­logg­ter Nut­zer der Online-Platt­form zuzu­grei­fen. Laut Luft­han­sa sei­en höchs­tens die Daten von 9.885 Miles & More-Kun­den betrof­fen. Betrof­fe­ne Daten waren: Stamm‑, Kon­takt- Kun­den- und Transaktionsdaten. 

2020-02 — Vor­fall in der Infor­ma­ti­ons­si­cher­heit bei Sam­sung 

Über den Dienst „Find My Mobi­le“, womit Smart­phones über eine Platt­form des Her­stel­lers geor­tet wer­den, ver­sand­te Sam­sung an „einen klei­nen Kreis“ von Nut­zern eine unver­ständ­li­che Nach­richt. Als sich die Betrof­fe­nen in ihrem Online-Kon­to bei Sam­sung ein­logg­ten, um Ihre Log­in-Daten zu ändern, erhiel­ten sie auf Grund eines Ser­ver­pro­blems Zugriff auf Daten ande­rer Nut­zer. Dies umfass­te Stamm- und Kon­takt­da­ten sowie die letz­ten 4 Zif­fern der Kre­dit­kar­ten waren sicht­bar. Bei Fest­stel­lung des Pro­blems wur­de der Log­in vor­über­ge­hend gesperrt. 

Fra­gen wirft aller­dings der Umstand auf, dass die Nach­richt auch von Nut­zern emp­fan­gen wur­de, die das Ortungs-Fea­ture deak­ti­viert hatten. 

Die­sen Monat wur­de fer­ner bekannt, dass eine Kon­takt­ver­fol­gungs-Funk­tio­na­li­tät bereits Mit­te Mai als ver­bind­li­ches Update von iPho­nes, iPads ab iOS 13 und Android-Gerä­ten ab Ver­si­on 6 instal­liert wird. Im Fall von Apple vor­aus­sicht­lich als gän­gi­ges Firm­ware-Update, bei Android vor­aus­sicht­lich als Update der Goog­le Play Services. 

Mit Instal­la­ti­on die­ser Funk­ti­on und Erlaub­nis von Apple /​ Goog­le wird es Behör­den künf­tig mög­lich sein, Daten aus den Kon­takt­pro­fi­len der Tablet- und Han­dy­nut­zer auszuwerten. 

2020-03 — Mas­si­ve Pan­ne in der Infor­ma­ti­ons­si­cher­heit bei der Inves­ti­ti­ons­bank Ber­lin 

Durch Mit­tei­lung der Ber­li­ner Daten­schutz­be­auf­trag­ten wur­de Ende März 2020 eine gra­vie­ren­de Daten­pan­ne der IBB bekannt. Bei der Ver­ar­bei­tung der 150.000 ein­ge­gan­ge­nen Anträ­ge auf Coro­na-Unter­stüt­zung trat ein Pro­gram­mier­feh­ler auf, durch den Antrag­stel­lern per­so­nen­be­zo­ge­ne /​ Ergeb­nis­da­ten ande­rer Antrag­stel­ler ange­zeigt wur­den. Betrof­fen waren Ausweis‑, Bank‑, Steu­er- und Unternehmensdaten. 

Bei Fest­stel­lung der Daten­pan­ne wur­de das Antrags­ver­fah­ren bis zur Besei­ti­gung des Pro­gram­mier­feh­lers pausiert. 

Hack­ing, Sicher­heits­lü­cken und pro­mi­nen­te Daten­pan­nen aus 2019 und 2020 — Teil 1

Im vori­gen Post haben wir über das Image von und den Umgang mit Daten­pan­nen berich­tet. Dabei haben wir ver­sucht, dem durch­schnitt­li­chen Daten­pan­nen-Ver­ur­sa­cher ein Stück weit die Angst davor zu neh­men, sol­che Ereig­nis­se pro­fes­sio­nell fest­zu­stel­len und an die Auf­sichts­be­hör­den zu mel­den. Aller­dings tra­ten und tre­ten Sicher­heits­lü­cken, Hack­ing und Daten­pan­nen welt­weit und hier­zu­lan­de auf, die kei­nes­wegs amü­sant oder hin­nehm­bar sind. Betrach­tet wer­den hier­bei die letz­ten zwölf Monate. 

2019-04 - 540 Mil­lio­nen Face­book-Kun­den­da­ten auf öffent­lich zugäng­li­chen Ser­vern 

Zwei Koope­ra­ti­ons­part­ner des bekann­tes­ten Online Social Media Netz­werks haben Daten von Face­book auf offen zugäng­li­chen Ama­zon-Ser­vern gespei­chert. Dabei han­delt es sich um 

  • das Unter­neh­men Cul­tu­ra Colec­ti­va, das Account­na­men, Kom­men­ta­re und Likes frei zugäng­lich im AWS Cloud Dienst speicherte 
  • die Ent­wick­ler­fir­ma der Face­book App «At the Pool», die Pass­wör­ter im Klar­text von 22 000 Face­book Nut­zern auf öffent­lich zugäng­li­chen Ser­ver­be­rei­chen speicherte. 

Im Lich­te des Cam­bridge Ana­ly­ti­ca Skan­dals, bei dem Infor­ma­tio­nen über Mil­lio­nen Face­book-Nut­zer an das gleich­na­mi­ge Unter­neh­men zwecks Ana­ly­sen wei­ter­ge­ge­ben wur­den, war Face­book bereits unter Daten­schutz-Druck gera­ten. Die Zukunft wird zei­gen, ob aus den Ereig­nis­sen Lern­erfol­ge gezo­gen wer­den konn­ten. Ein gewis­ser Trost dürf­te mög­li­cher­wei­se dar­in bestehen, dass Face­book Pro­fi­le ohne­hin über­wie­gend zur Ver­öf­fent­li­chung geschön­ter und damit allen­falls bedingt rea­ler per­so­nen­be­zo­ge­ner Infor­ma­tio­nen genutzt wer­den 🙂 Das schmä­lert jedoch nicht die Bri­sanz die­ser Datenpanne. 

2019-05 — Hack­ing und Daten­pan­nen im Arztbereich 

Der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Baden-Würt­tem­berg (LfDI) beklagt die hohe Anzahl von daten­schutz­be­zo­ge­nen Sicher­heits­vor­fäl­len in Arzt­pra­xen. Hack­ing wie Ver­schlüs­se­lungs­tro­ja­ner und Fehl­ver­sand von Pati­en­ten­be­rich­ten, Rezep­ten und Rönt­gen­bil­dern bil­de­ten dabei die Spit­ze des Eis­bergs. Ins­be­son­de­re bei der Ver­ar­bei­tung solch sen­si­bler Pati­en­ten­da­ten sei­en star­ke tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men (TOM) „wie Daten­si­che­rung, Ver­schlüs­se­lung, Schu­lung und Sen­si­bi­li­sie­rung“ unabdingbar. 

2019-08 — Hack­ing — Daten von 106 Mil­lio­nen Bank­kun­den der Capi­tal One erbeu­tet 

Einer Hacke­rin, die in der Ent­wick­lungs­ab­tei­lung des genutz­ten Ama­zon Cloud Ser­vices AWS der US-Bank Capi­tal One gear­bei­tet hat­te, gelang es, von den Sys­te­men der Bank per­so­nen­be­zo­ge­ne Daten zu Kre­dit­kar­ten und ‑anträ­gen zu erbeu­ten. Betrof­fen waren nebst Stamm- und Kon­takt­da­ten die ange­ge­be­nen Ein­kom­men, Infor­ma­tio­nen zur Kre­dit­wür­dig­keit und Ver­fü­gungs­rah­men. Laut Aus­sa­ge der Bank soll nicht an einer Schwach­stel­le des Cloud Ser­vices, son­dern die man­gel­haf­te Kon­fi­gu­ra­ti­on eine Fire­wall gehan­delt haben. 

2019-08 — Daten­pan­ne im Hau­se Twit­ter 

Twit­ter teil­te mit, dass mehr als zwölf Mona­te lang Daten von ca 300 Mil­lio­nen Twit­ter Usern mit Wer­be­kun­den ohne ent­spre­chen­de Ein­wil­li­gung geteilt wur­den. Ver­bots­wid­rig wur­den somit Daten an exter­ne Emp­fän­ger wei­ter­ge­ge­ben. Betrof­fen gewe­sen sei­en laut Twit­ter Daten über Kon­sum­dau­er von Wer­be­an­zei­gen. Mail­kon­ten und Pass­wör­ter waren lt. Twit­ter nicht betroffen. 

2019-09 — Hack­ing nicht not­wen­dig — Fahr­läs­sig­keit bei Mil­lio­nen von Pati­en­ten­da­ten 

Hoch­sen­si­ble Daten­sät­ze von welt­weit meh­re­ren Mil­lio­nen Pati­en­ten, davon mehr als 13.000 Daten­sät­ze aus Deutsch­land, online unver­schlüs­selt und frei ver­füg­bar auf hun­der­ten von unge­si­cher­ten Ser­vern. Der Bun­des­da­ten­schutz­be­auf­trag­te Ulrich Kel­ber hat­te einen “ver­hee­ren­den ers­ten Ein­druck” von dem Skan­dal. Eine Kol­la­bo­ra­ti­on des Baye­ri­schen Rund­funks und Pro­Pu­bli­ca deck­ten die­sen inter­na­tio­nal bestehen­den, und bis heu­te nicht besei­tig­ten bei­na­he nicht fass­ba­ren Miss­stand auf. Laut BR sei­en u.a. Daten wie Brust­krebs­scree­nings, Wir­bel­säu­len­bil­der, Rönt­gen­auf­nah­men eines Brust­korbs etc., ein­schließ­lich zuge­hö­ri­ger Behand­lungs­in­for­ma­tio­nen betrof­fen. Eine 2016 ver­öf­fent­lich­te Stu­die des Har­vard-Pro­fes­sors Oleg Pia­nykh wur­de in Fach­krei­sen zu Kennt­nis genom­men, führ­ten jedoch zu kei­ner Ver­bes­se­rung der Zustän­de. Für die­je­ni­gen Daten­sät­ze, die trotz des bis heu­te akut bestehen Pro­blems nicht in die Hän­de von Unbe­fug­ten /​ Hackern gelangt sind, gilt, dass sich dies dem rela­ti­ven Des­in­ter­es­se von Hackern auf Grund der nur sehr beding­ten Ver­wert­bar­keit pri­va­ter Gesund­heits­da­ten verdankt. 

Ver­schlüs­se­lung — eine kur­ze Geschichte

Ver­schlüs­se­lung ist ein span­nen­des und in der Infor­ma­ti­ons­si­cher­heit grund­le­gen­des The­ma. Die Not­wen­dig­keit, unbe­rech­tig­ten Per­so­nen Infor­ma­tio­nen und Güter vor­zu­ent­hal­ten und gleich­zei­tig die posi­ti­ve Berech­ti­gung über ein (über)tragbares, erlern­ba­res Medi­um zu defi­nie­ren, ist so alt wie die Erfin­dung der Schur­ke­rei selbst.

κρυπτός, nein hier han­delt es sich nicht um ein Bei­spiel für Ver­schlüs­se­lung, son­dern nur um Grie­chisch :). Kryp­tos bezeich­net das Gehei­me. Falls Sie bei die­sem Begriff einen nega­ti­ven Bei­geschmack haben soll­ten, liegt das wahr­schein­lich dar­an, dass Inha­bern von Geheim­nis­sen ten­den­zi­ell nega­ti­ve Absich­ten zuge­spro­chen wer­den. Grund dazu gibt es aller­dings nicht. Denn die Gewin­nung von — ins­be­son­de­re per­so­nen­be­zo­ge­nen — Infor­ma­tio­nen wird zuneh­mend zur wert­volls­ten und lukra­tivs­ten Res­sour­ce. Und die gilt es mit einer ange­mes­se­nen Sorg­falt zu wah­ren. Was mit ein­mal offen­ge­leg­ten oder kom­pro­mit­tier­ten Infor­ma­tio­nen geschieht, ist dann meist nur noch eine Fra­ge der Nach­sor­ge. Eine siche­re Ver­schlüs­se­lung ist somit zu einem der wich­tigs­ten Weg­be­glei­ter unse­rer beruf­li­chen und pri­va­ten Per­sön­lich­keits­ent­fal­tung geworden.

Anfän­ge der Verschlüsselung

Altes chi­ne­si­sches Vor­hän­ge­schloss — Wiki­me­dia Commons

Schlüs­sel sind die ältes­te Form der Berech­ti­gungs­ver­ga­be. Bis heu­te wer­den sie zur phy­si­schen Zugangs- und Zutritts­kon­trol­le ein­ge­setzt. Häu­fig wer­den sie kom­bi­niert mit digi­ta­len Kodie­run­gen, die über eine Draht­losab­fra­ge vali­diert wer­den. Auch Maschinen(-funktionen) wie in Kraft­wer­ken und Schif­fen wer­den mit phy­si­schen Schlüs­seln frei­ge­schal­tet. Die Abbil­dung zeigt Schlüs­sel mit Schloss wie sie vor eini­gen tau­send Jah­ren in Chi­na ein­ge­führt wur­den. Für die ver­ba­le Infor­ma­ti­ons­si­cher­heit — ein­schließ­lich der Über­win­dung gro­ßer Distan­zen — wur­den Dazu gehö­ren Insi­der- und Geheim­spra­chen. Die­se datie­ren mit­un­ter bis zu 2000 Jah­re zurück. Wie etwa Gelehr­ten-Dia­lek­te und Kauf­manns­spra­chen, bei denen ein­zel­ne Lau­te, Sil­ben und Phra­sen ent­we­der nach Sys­tem oder durch grup­pen­spe­zi­fi­sche Gewohn­hei­ten ersetzt wurden.

Kodie­run­gen und Kryptographie

Rotor-Schlüs­sel­ma­schi­ne

Mit zuneh­men­der Bedeu­tung des geschrie­be­nen Wor­tes stieg der Bedarf, die­se Infor­ma­ti­on zu schüt­zen. Zei­chen durch ande­re zu erset­zen nach einem spe­zi­fi­schen, für Ein­ge­weih­te nach­voll­zieh­ba­ren Sys­tem, wur­de in ver­schie­de­nen For­men kul­ti­viert. Jedem bekannt in unse­rem digi­ta­len Zeit­al­ter, fan­den Kodie­run­gen ins­be­son­de­re Ihre Anfän­ge in der stra­te­gi­schen Anwen­dung. Um dem Geg­ner kei­nen Ein­blick in die Pla­nun­gen zu geben und über wei­te Stre­cken Ent­schei­dun­gen mit­zu­tei­len, wur­den Code­sys­te­me wie etwa die Cäsar-Chif­fre im 1. Jahr­hun­dert v. Chr. ent­wi­ckelt. Chif­frier­schei­ben ab 1467 und Chif­frier­ma­schi­nen wie die abge­bil­de­te aus dem 20. Jahr­hun­dert ermög­lich­ten die ein­fach nach­voll­zieh­ba­re mecha­ni­sche Chif­frie­rung geschrie­be­ner Inhalte.

Tipp - In die­sem Kon­text sei eine nicht beson­ders bekann­te und den­noch geni­al ein­fa­che Ver­si­on der manu­el­len Ver­schlüs­se­lungs­hil­fe zu nen­nen. Die Pass­wort­kar­te. Die­se Lässt sich mit weni­gen Klicks selbst erstel­len und auch online gene­rie­ren. Anstel­le der Zei­chen des gewünsch­ten Pass­worts als sol­che müs­sen Sie sich ledig­lich Start­punkt, ggf. belie­big vie­le Abzwei­gun­gen und End­punkt mer­ken. Wenn Sie eine indi­vi­du­el­le Pass­wort­kar­te bei­spiels­wei­se zwei­mal aus­dru­cken und ein Exem­plar einem weit ent­fern­ten Gesprächs­part­ner über­mit­teln, kön­nen Sie mit die­sem sehr siche­re Pass­wort­ab­spra­chen für gemein­sa­me Pro­jek­te abspre­chen und müs­sen dabei nur opti­sche Ori­en­tie­rung erläutern.

Moder­ne Verschlüsselungen

Im Zuge der flä­chen­de­cken­den Wei­ter­ent­wick­lung der digi­ta­len Kom­mu­ni­ka­ti­on wur­de der erwar­tungs­ge­mä­ßen Nach­fra­ge der Ver­schlüs­se­lung im behörd­li­chen und cor­po­ra­te Bereich Rech­nung getra­gen. IBM grün­de­te Ende der 1960er Jah­re eine Arbeits­grup­pe, die sich erfolg­reich mit der Ent­wick­lung einer stan­dar­di­sier­ten Ver­schlüs­se­lungs­lo­gik befass­te. Die­se wur­de in den DES wei­ter­ent­wi­ckelt, eine sym­me­tri­sche Ver­schlüs­se­lungs­me­tho­de und Vor­läu­fer des heu­ti­gen AES. Die­se Block­chif­fre AES ist trotz eini­ger erfolg­reich durch­ge­führ­ter spe­zia­li­sier­ter Angriffs­ver­su­che bis heu­te einer der maß­geb­li­chen, tech­nisch und behörd­lich aner­kann­ten Verschlüsselungsstandards.

Der AES-Stan­dard wird auf Grund von Sicher­heits­ni­veau und Effi­zi­enz welt­weit ein­ge­setzt. Er gilt außer in Bezug auf volu­mi­nö­se bru­te force Angrif­fe als prak­tisch unknack­bar in Kom­bi­na­ti­on mit einem ent­spre­chend star­ken Pass­wort. Es wur­den sowohl diver­se auf die­ses Prin­zip auf­bau­en­de als auch unab­hän­gi­ge Ver­schlüs­se­lungs­al­go­rith­men ent­wi­ckelt wie RSA, MD5, IDEA, Tri­ple­DES und Blow­fi­sh sowie zahl­rei­che inzwi­schen offi­zi­ell kom­pro­mit­tier­te und unsi­che­re Stan­dards wie SHA.

Zwei zen­tra­le Aspek­te bil­den bei der Wis­sen­schaft der Ver­schlüs­se­lung wei­test­ge­hend gemein­sa­me Spe­zi­fi­ka: Die Zer­stü­cke­lung der Infor­ma­ti­on (wie zB. in Hash­funk­tio­nen), die dann einer sepa­ra­ten, seg­ment­wei­sen wie­der­hol­ten Chif­rie­rung zuge­führt wer­den kann. Und die Anrei­che­rung mit Mis­in­for­ma­ti­on wie zB. bei Salts, um die Iden­ti­fi­zie­rung der eigent­li­chen Infor­ma­ti­on zu erschweren.

Tipp — Sie kön­nen auch mit ein­fachs­ten Mit­teln AES-256 Ver­schlüs­se­lung auf Ihre zu schüt­zen­den Daten anwen­den. Hier­zu gibt es eini­ge soft­ware Lösun­gen wie das pro­mi­nen­tes­te Bei­spiel win­rar, das pri­vat im Rah­men einer kos­ten­freie Test­ver­si­on genutzt wer­den kann und auch im Fir­men­ein­satz über­schau­bar lizen­ziert wer­den kann. Zusam­men mit einem guten Pass­wort­kön­nen Sie sehr siche­re Datei­con­tai­ner her­stel­len und die­se dann per her­kömm­li­chem = unsi­che­rem mail Weg ver­sen­den. Das Pass­wort selbst natür­lich auf einem sepa­ra­ten Weg mit­tei­len wie tele­fo­nisch etc. 

Aus­blick der künf­ti­gen Verschlüsselung

Mit der zu erwar­ten­den Markt­er­schlie­ßung durch den kom­mer­zi­el­len Quan­ten­com­pu­ter, der vor gut einem Jahr offi­zi­ell prä­sen­tiert wur­de, gewinnt die Infor­ma­ti­ons­streu­ung in Aus­ga­be­wer­ten bei der Infor­ma­ti­ons­si­che­rung ins­be­son­de­re gegen bru­te force Angrif­fe eine essen­zi­el­le Rol­le. Statt ein­fach die Aus­gangs­in­for­ma­ti­on mit Algo­rith­men zu chif­frie­ren muss auch die Aus­ga­be­lo­gik inten­siv wei­ter­ent­wi­ckelt wer­den, die bei­spiels­wei­se bei jedem ein­zel­nen Angriffs­ver­such ver­meint­lich ent­schlüs­selt und dabei fake Daten im exakt erwar­te­ten For­mat liefert.

Auch Mehr­fak­torau­then­ti­fi­zie­run­gen und auto­ma­ti­sche Sper­ren wer­den wei­ter an Gewicht im behörd­li­chen, cor­po­ra­te und pri­va­ten Bereich gewin­nen und soll­ten selbst­ver­ständ­lich bereits heu­te nach tech­ni­schen Mög­lich­kei­ten ein­ge­setzt wer­den, was unse­res Erach­tens in der Pra­xis noch statt­li­ches Aus­bau­po­ten­zi­al hat 🙂

Infor­ma­ti­ons­si­cher­heits­kon­zept Arbeits­hil­fe V 3.0 erschie­nen — jetzt mit LSI Siegel

Wer benö­tigt ein Informationssicherheitskonzept?

Jede Orga­ni­sa­ti­on ist gefor­dert, die Anfor­de­run­gen aus Art. 32 DSGVO zu erfül­len. Da steht in Absatz 1:

Unter Berück­sich­ti­gung des Stands der Tech­nik, der Imple­men­tie­rungs­kos­ten und der Art, des Umfangs, der Umstän­de und der Zwe­cke der Ver­ar­bei­tung sowie der unter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwe­re des Risi­kos für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen tref­fen der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, um ein dem Risi­ko ange­mes­se­nes Schutz­ni­veau zu gewähr­leis­ten; die­se Maß­nah­men schlie­ßen gege­be­nen­falls unter ande­rem Fol­gen­des ein:

a) die Pseud­ony­mi­sie­rung und Ver­schlüs­se­lung per­so­nen­be­zo­ge­ner Daten;
b) die Fähig­keit, die Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Belast­bar­keit der Sys­te­me und Diens­te im Zusam­men­hang mit der Ver­ar­bei­tung auf Dau­er sicherzustellen;
c) die Fähig­keit, die Ver­füg­bar­keit der per­so­nen­be­zo­ge­nen Daten und den Zugang zu ihnen bei einem phy­si­schen oder tech­ni­schen Zwi­schen­fall rasch wiederherzustellen;
d) ein Ver­fah­ren zur regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Eva­lu­ie­rung der Wirk­sam­keit der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Gewähr­leis­tung der Sicher­heit der Verarbeitung.

Unter b) sind die Grund­wer­te der Infor­ma­ti­ons­si­cher­heit Ver­trau­lich­keit, Ver­füg­bar­keit und Inte­gri­tät genannt. Betrach­ten wir die Kurz­de­fi­ni­tio­nen aus der Infor­ma­ti­ons­si­cher­heit hierzu.

Ver­trau­lich­keit: Kei­ne unbe­rech­tig­te Kennt­nis­nah­me (bis hin zum Miß­brauch) der Infor­ma­tio­nen, weder durch Mit­ar­bei­ter noch durch Externe.

Inte­gri­tät: Die Infor­ma­tio­nen sind kor­rekt, voll­stän­dig und unver­fälscht. Ände­run­gen sind nach­voll­zieh­bar und rück­gän­gig zu machen.

Ver­füg­bar­keit: Die Infor­ma­tio­nen ste­hen zur rich­ti­gen Zeit am rich­ti­gen Ort zur Ver­fü­gung (nicht beschränkt auf IT-Ver­füg­bar­keit). [Ver­füg­bar­keit ist in der Tat erst an drit­ter Stel­le, auch wenn in der Pra­xis um das The­ma Aus­fall­zei­ten ger­ne der Tanz um das gol­de­ne Kalb stattfindet.]

Die­se Grund­wer­te der Infor­ma­ti­ons­si­cher­heit sicher­zu­stel­len, ist das Ziel eines jeden Infor­ma­ti­ons­si­cher­heits­kon­zepts, auch des Stan­dards der sog. “Arbeits­hil­fe”.

Unter­punkt d) ver­langt von Ihrer Orga­ni­sa­ti­on, die Wirk­sam­keit der im Hin­blick auf Ver­trau­lich­keit, Inte­gri­tät und Ver­füg­bar­keit ergrif­fe­nen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men regel­mä­ßig zu prü­fen und bei Bedarf nach­zu­jus­tie­ren oder geeig­ne­te zusätz­li­che bzw. ergän­zen­de Schutz­maß­nah­men ein­zu­füh­ren. Auch dies ist eine der Kern­funk­tio­nen eines funk­tio­nie­ren­den Informationssicherheitskonzepts.

Salopp gesagt, ver­langt die DSGVO von Orga­ni­sa­tio­nen in die­sem Fall nicht weni­ger als die Ein­füh­rung eines Infor­ma­ti­ons­si­cher­heits­kon­zepts und des­sen kon­ti­nu­ier­li­chen Betrieb. Klar kann man ver­su­chen, sich auch selbst ein Kon­zept zu “bas­teln”, bleibt nur die Fra­ge “Wie­so soll­te man das tun?”

Baye­ri­sche Kom­mu­nen sind per Gesetz (BayE­GovG) sogar dazu ver­pflich­tet, bis zum 01.01.2020 ein Infor­ma­ti­ons­si­cher­heits­kon­zept ein­ge­führt und im lau­fen­den Betrieb zu haben.

Bewähr­te Stan­dards wie die ISO 27001, der BSI IT-Grund­schutz, ISIS12 (als Ablei­tung aus dem IT-Grund­schutz) sind seit vie­len Jah­ren bewähr­te Stan­dards, um ein Infor­ma­ti­ons­si­cher­heits­kon­zept ein­zu­füh­ren, zu betrei­ben und damit auch die Anfor­de­run­gen aus Art. 32 DSGVO zu erfül­len. Die­se Stan­dards ska­lie­ren zwar auch für klei­ne­re Orga­ni­sa­tio­nen, sind den­noch sehr res­sour­cen­in­ten­siv. Hier hat für den kom­mu­na­len Bereich die Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne im Auf­trag der Baye­ri­schen Kom­mu­na­len Spit­zen­ver­bän­de ange­setzt und gera­de für klei­ne­re kom­mu­na­le Ein­rich­tun­gen durch a.s.k. Daten­schutz die “Arbeits­hil­fe zur Ein­füh­rung eines Infor­ma­ti­ons­si­cher­heits­kon­zepts nach Art. 11 BayE­GovG” ent­wi­ckeln las­sen. Die­ser Stan­dard basiert auf den Erkennt­nis­sen und Vor­ge­hens­wei­sen aus zahl­rei­chen IT-Grund­schutz-Pro­jek­ten sowie dem frü­he­ren “Quick Check Daten­schutz + Daten­si­cher­heit”. Ent­ge­gen der Bezeich­nung und ursprüng­li­chen Aus­rich­tung auf den kom­mu­na­len Bereich ist die “Arbeits­hil­fe” uni­ver­sell ein­setz­bar und natür­lich auch in Unter­neh­men ein­setz­bar. Hier­zu sind ledig­lich Begriff­lich­kei­ten anzu­pas­sen, statt Bür­ger­meis­ter heißt es dann eben Geschäftsführer.

Stan­dard für Infor­ma­ti­ons­si­cher­heit Arbeits­hil­fe Ver­si­on 3.0 erschienen

Am 26. Sep­tem­ber 2019 ist die Arbeits­hil­fe mitt­ler­wei­le in Ver­si­on 3.0 erschie­nen. Die Wei­ter­ent­wick­lung und Anpas­sung oblag erneut uns von der a.s.k. Daten­schutz. Neben Aktua­li­sie­run­gen z.B. bei Links zum gera­de auf­ge­frisch­ten BSI IT-Grund­schutz stand neben der Feh­ler­kor­rek­tur die Anpas­sung an das Sie­gel “Kom­mu­na­le IT-Sicher­heit” des Lan­des­amts für Sicher­heit in der Infor­ma­ti­ons­tech­nik — kurz LSI — in Nürn­berg im Vor­der­grund. Wenn Sie mehr über das LSI Sie­gel erfah­ren wol­len, fin­den Sie Details hier­zu in einem wei­te­ren Blog­bei­trag.

Kom­mu­na­le Ein­rich­tun­gen, die sich zur Ein­füh­rung eines Infor­ma­ti­ons­si­cher­heits­kon­zepts auf Basis der Arbeits­hil­fe ent­schei­den, erfül­len mit der Umset­zung die Anfor­de­run­gen des LSI zum Erhalt des Sie­gels “Kom­mu­na­le IT-Sicher­heit”. Das setzt natür­lich eine ernst­haf­te und ehr­li­che Bear­bei­tung der 9 Kapi­tel der Arbeits­hil­fe zur Infor­ma­ti­ons­si­cher­heit in der Kom­mu­ne voraus.

Hier geht es direkt zum Down­load der Arbeits­hil­fe V 3.0. Soll­te der Link nicht mehr funk­tio­nie­ren, nut­zen Sie bit­te die Start­sei­te der Inno­va­ti­ons­stif­tung und suchen die Ver­öf­fent­li­chung vom 28.09.2019.

Mit a.s.k. Daten­schutz und der Arbeits­hil­fe zum Sie­gel “Kom­mu­na­le IT-Sicherheit”

Wenn Sie sich bei der Ein­füh­rung der Arbeits­hil­fe in Ihrer Ver­wal­tung durch das Team von a.s.k. Daten­schutz unter­stüt­zen las­sen, dann über­neh­men wir am Ende die For­ma­li­tä­ten der not­wen­di­gen Anga­ben und Aus­künf­te gegen­über des LSI. Einem Erhalt des Sie­gels soll­te dann nichts mehr im Wege stehen.

Soll­ten wir Sie im Anschluß auch als exter­ne Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te betreu­en, küm­mern wir uns mit Ihnen gemein­sam auch um die Ver­län­ge­rung des Sie­gels nach Ablauf der 2 Jah­re Gül­tig­keits­dau­er. Dazu muss dem LSI der Wei­ter­be­trieb Ihres Infor­ma­ti­ons­si­cher­heits­kon­zepts belegt bzw. nach­ge­wie­sen wer­den. Auch dies wür­den wir von a.s.k. Daten­schutz übernehmen.

Übri­gens nut­zen wir zur Ein­füh­rung und zum Betrieb Ihres Infor­ma­ti­ons­si­cher­heits­kon­zepts auf Basis der Arbeits­hil­fe eine hoch­mo­der­ne und voll­ver­schlüs­sel­te Pro­jekt­platt­form. Damit wird die Bear­bei­tung der Punk­te zwar kein Kin­der­spiel, aber die Doku­men­ta­ti­on dazu erle­digt sich fast von selbst. Gleich­zei­tig ver­säu­men Sie und wir kei­ne Revi­si­ons­ter­mi­ne und Wie­der­vor­la­gen. Mehr Infos in die­sem Blog­bei­trag. Unse­re Platt­form ist bereits für Ver­si­on 3.0 der Arbeits­hil­fe aktua­li­siert und angepasst.

Unter­neh­men und die Arbeits­hil­fe als Informationssicherheitskonzept

Wie ein­gangs schon beschrie­ben, ist auch dies kein Pro­blem. In der Wort­wahl wer­den zwar kom­mu­na­le Funk­tio­nen adres­siert, aber die inhalt­li­chen Anfor­de­run­gen an Infor­ma­ti­ons­si­cher­heit sind zwi­schen Unter­neh­men und Behör­den iden­tisch. Erset­zen Sie in Gedan­ken ein­fach Begrif­fe wie “Bür­ger­meis­ter” mit “Geschäfts­füh­rer” und schon sind Sie in der Unter­neh­mens­welt angekommen.

Das ein­zi­ge Man­ko: Das LSI Sie­gel “Kom­mu­na­le IT-Sicher­heit” kann nur von kom­mu­na­len Ein­rich­tun­gen erwor­ben wer­den. Als Unter­neh­men sind Sie hier außen vor. Ger­ne unter­stüt­zen wir auch Ihr Unter­neh­men bei der Ein­füh­rung eines Informationssicherheitskonzepts.

Ange­bot Infor­ma­ti­ons­si­cher­heits­kon­zept für Kom­mu­nen bzw. Behörden

Sie wün­schen ein unver­bind­li­ches Ange­bot? Dann nut­zen Sie ein­fach unser ver­schlüs­sel­tes Anfra­ge-For­mu­lar. Wir mel­den uns zeit­nah bei Ihnen.

Unver­bind­li­ches Ange­bot anfordern

 

 

 

 

Arbeits­hil­fe der Inno­va­ti­ons­stif­tung und Baye­ri­sches Sie­gel “Kom­mu­na­le IT-Sicherheit”

Baye­ri­sches Sie­gel “Kom­mu­na­le IT-Sicherheit”

Das Baye­ri­sche Lan­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (kurz LSI) bie­tet seit Mai 2019 ein Prüf­sie­gel für den Umset­zungs­stand der Infor­ma­ti­ons­si­cher­heit in baye­ri­schen Kom­mu­nen an. Auf Basis einer Selbst-Aus­kunft kann die Kom­mu­ne damit eine Min­dest­ab­si­che­rung in der Infor­ma­ti­ons­si­cher­heit nach­wei­sen. Das Sie­gel ist unab­hän­gig vom ver­wen­de­ten ISMS-Stan­dard. Das Sie­gel hat eine Gül­tig­keits­dau­er von 2 Jah­ren. Eine Ver­län­ge­rung kann bean­tragt wer­den. Dazu muss die Kom­mu­ne jedoch die akti­ve Beschäf­ti­gung mit dem The­ma Infor­ma­ti­ons­si­cher­heit und den Betrieb des Infor­ma­ti­ons­si­cher­heits­kon­zepts nach­wei­sen. Wie bei “ech­ten” Zer­ti­fi­zie­run­gen kann ein erst­ma­lig erteil­tes Sie­gel also auch wie­der ent­zo­gen werden.

Kann mit dem Infor­ma­ti­ons­si­cher­heits­kon­zept “Arbeits­hil­fe” der Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne das Sie­gel erreicht werden?

Das Infor­ma­ti­ons­si­cher­heits­kon­zept “Arbeits­hil­fe” der Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne (Autor: Sascha Kuhr­au) ist selbst­ver­ständ­lich für den Erhalt des Sie­gels gerüs­tet. Jede Kom­mu­ne, die ihr Infor­ma­ti­ons­si­cher­heits­kon­zept auf Basis der Arbeits­hil­fe ein­ge­führt hat, kann bei ent­spre­chend kor­rek­ter Umset­zung die Vor­aus­set­zun­gen für den Erhalt des LSI Sie­gels erfüllen.

Als Autor der Arbeits­hil­fe und Lei­ter zahl­rei­cher kom­mu­na­ler Infor­ma­ti­ons­si­cher­heits­pro­jek­te sowie kom­mu­na­ler exter­ner Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ter unter­stüt­zen wir von a.s.k. Daten­schutz Sascha Kuhr­au Sie ger­ne bei der Ein­füh­rung und dem Betrieb eines kom­mu­na­len Infor­ma­ti­ons­si­cher­heits­kon­zepts und dem Erhalt des LSI Siegels.

Wo fin­de ich Infor­ma­tio­nen zum Baye­ri­schen Sie­gel “Kom­mu­na­le IT-Sicherheit”?

Das LSI stellt auf sei­ner Web­sei­te aus­führ­li­che Infor­ma­tio­nen bereit (exter­ner Link).

Was hat es mit der “Arbeits­hil­fe” auf sich und wo kann ich die­se beziehen?

Die Arbeits­hil­fe ist eine aus dem IT-Grund­schutz des BSI abge­lei­te­te Sys­te­ma­tik, um klei­ne kom­mu­na­le Ein­rich­tun­gen (aber auch klei­ne Fir­men) bei der Ein­füh­rung und dem Betrieb eines Infor­ma­ti­ons­si­cher­heits­kon­zepts zu unter­stüt­zen und zu beglei­ten. Sie wur­de im Auf­trag der Baye­ri­schen Kom­mu­na­len Spit­zen­ver­bän­de für die Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne durch die a.s.k. Daten­schutz Bera­tung Sascha Kuhr­au ent­wi­ckelt. Die Arbeits­hil­fe steht inter­es­sier­ten Orga­ni­sa­tio­nen kos­ten­frei zur Ver­fü­gung. Wei­te­re Infor­ma­tio­nen fin­den Sie auf der Web­sei­te der Inno­va­ti­ons­stif­tung (exter­ner Link).

Im Lau­fe des Jah­res 2019 wird die Arbeits­hil­fe in einer Ver­si­on 3.o erschei­nen, in der kon­kre­te Anpas­sun­gen für das LSI Sie­gel ent­hal­ten sind.

Bis­her gab es ledig­lich für die “gro­ßen” ISMS wie ISO 27001, BSI IT-Grund­schutz oder ISIS12 die Mög­lich­keit im Rah­men einer Zer­ti­fi­zie­rung einen Nach­weis über eine kor­rek­te Umset­zung des ISMS zu erhal­ten. Mit­tels des LSI Sie­gels kann nun auch die Arbeits­hil­fe mit einer sol­chen Art Nach­weis aufwarten.

Ihr Unter­neh­men benö­tigt einen exter­nen Datenschutzbeauftragten?

Kom­pe­ten­te Bera­tung, prag­ma­ti­sche Ein­füh­rung eines DSMS und anschlie­ßen­de Betreu­ung als exter­ner Daten­schutz­be­auf­trag­ter erhal­ten Sie selbst­ver­ständ­lich vom Team von a.s.k. Daten­schutz. For­dern Sie Ihr unver­bind­li­ches Ange­bot über unser For­mu­lar an. Wir mel­den uns bei Ihnen zeitnah.

Infor­ma­ti­ons­si­cher­heit im Fokus: Gemein­de Haar ist ISIS12-zertifiziert

Nach einem knapp zwei­jäh­ri­gen Pro­zeß hat die Gemein­de Haar im Mai 2019 die ISIS12-Zer­ti­fi­zie­rung erreicht. ISIS12 ist ein Stan­dard für ein Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tem (kurz ISMS) und bil­det in 12 anschau­li­chen Schrit­ten auf Basis des bekann­ten IT-Grund­schutz des BSI (Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik) ein Infor­ma­ti­ons­si­cher­heits­kon­zept ab. ISIS12 wur­de expli­zit für klei­ne und mitt­le­re Unter­neh­men (KMU) und kom­mu­na­le Ein­rich­tun­gen ent­wi­ckelt, für die auf­grund per­so­nel­ler Anfor­de­run­gen der “gro­ße” IT-Grund­schutz nicht durch­führ­bar ist.

In den 24 Mona­ten der Ein­füh­rung des Infor­ma­ti­ons­si­cher­heits­kon­zepts hat die Gemein­de Haar unter ande­rem Schu­lun­gen und Mit­ar­bei­ter­sen­si­bi­li­sie­run­gen in Sachen Infor­ma­ti­ons­si­cher­heit durch­ge­führt. Denn nicht nur das (tech­ni­sche) Sys­tem an sich muss in alle Rich­tun­gen sicher gemacht wer­den, son­dern auch die Men­schen, die mit den Daten umge­hen, müs­sen für das The­ma sen­si­bi­li­siert und geschult wer­den. Das reicht von der Akti­vie­rung der Bild­schirm­sper­re auch bei kür­zes­ter Abwe­sen­heit vom Arbeits­platz bis hin zur unacht­sa­men Frei­ga­be von Daten, wie etwa Pass­wör­ter offen am Schreib­tisch lie­gen zu lassen.
Zeit­gleich wur­den Pro­zes­se im Haus ver­bes­sert und Kon­zep­te erar­bei­tet, die IT-Struk­tur unter die Lupe genom­men und ein Not­fall­ma­nage­ment auf die Bei­ne gestellt. Denn Daten­schutz und Infor­ma­ti­ons­si­cher­heit müs­sen nicht nur im All­tag funk­tio­nie­ren – auch ech­te Not­fall-Sze­na­ri­en wur­den durch­ge­spielt und behan­delt: Was, wenn das Rat­haus mit all sei­nen Ser­vern abbrennt? Selbst dafür gibt es Lösungen.

Feder­füh­rend waren bei der Ein­füh­rung von ISIS12 die Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te der Gemein­de Haar Andrea Schmer­ber und die a.s.k. Daten­schutz Bera­tung unter Lei­tung von Sascha Kuhr­au. Sie waren es auch, die den Audi­tor Andre­as Mann bei der Erst­zer­ti­fi­zie­rung des Zer­ti­fi­zie­rungs­ver­bun­des – Rat­haus mit Bür­ger­haus und die Kita Casi­no­st­ra­ße – durch die Doku­men­te, Kon­zep­te und die Gebäu­de beglei­te­ten. Mit Erfolg, denn die Erst­zer­ti­fi­zie­rung hat geklappt.

Jetzt gilt es, das Infor­ma­ti­ons­si­cher­heits­kon­zept aktu­ell und am Lau­fen zu hal­ten. Daher wird jähr­lich über­prüft, ob die Infor­ma­ti­ons­si­cher­heits­richt­li­ni­en ein­ge­hal­ten wer­den – denn die Tech­nik ist schnel­le­big und auch im Per­so­nal gibt es von Zeit zu Zeit einen Wech­sel. Außer­dem wer­den nach und nach immer mehr der gemeind­li­chen Ein­rich­tun­gen in den Zer­ti­fi­zie­rungs­ver­bund inte­griert. In der Öffent­lich­keit wird der zeit­in­ten­si­ve und arbeits­auf­wen­di­ge Pro­zess kaum wahr­ge­nom­men – und den­noch ist er für jede ein­zel­ne Bür­ge­rin und jeden ein­zel­nen Bür­ger von hoher Wich­tig­keit. Denn es sind ihre Daten, die damit geschützt wer­den. Anlass für die Ein­füh­rung von ISIS12 in der Gemein­de Haar war das Baye­ri­sche E‑Go­vern­ment-Gesetz von 2016. Die­ses ver­pflich­tet aus­nahms­los alle kom­mu­na­len Ver­wal­tungs­ein­rich­tun­gen zur Ein­füh­rung und zum Betrieb eines Infor­ma­ti­ons­si­cher­heits­kon­zepts. Die Gemein­de Haar, allen vor­an deren Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te Andrea Schmer­ber haben sich die­ser Her­aus­for­de­rung gestellt und das Ziel erreicht.

Übri­gens ist ein Infor­ma­ti­ons­si­cher­heits­kon­zept (ein­ge­führt und in Betrieb natür­lich) auch für das The­ma Daten­schutz inter­es­sant. Betrach­tet man Art. 32 DSVGO Sicher­heit der Ver­ar­bei­tung (exter­ner Link) genau­er, so fin­det man dar­in im Absatz 1 fol­gen­de Aussagen:

Unter Berück­sich­ti­gung des Stands der Tech­nik, der Imple­men­tie­rungs­kos­ten und der Art, des Umfangs, der Umstän­de und der Zwe­cke der Ver­ar­bei­tung sowie der unter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwe­re des Risi­kos für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen tref­fen der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, um ein dem Risi­ko ange­mes­se­nes Schutz­ni­veau zu gewähr­leis­ten; die­se Maß­nah­men schlie­ßen gege­be­nen­falls unter ande­rem Fol­gen­des ein:
- die Pseud­ony­mi­sie­rung und Ver­schlüs­se­lung per­so­nen­be­zo­ge­ner Daten;
- die Fähig­keit, die Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Belast­bar­keit der Sys­te­me und Diens­te im Zusam­men­hang mit der Ver­ar­bei­tung auf Dau­er sicherzustellen;
- die Fähig­keit, die Ver­füg­bar­keit der per­so­nen­be­zo­ge­nen Daten und den Zugang zu ihnen bei einem phy­si­schen oder tech­ni­schen Zwi­schen­fall rasch wiederherzustellen;
- ein Ver­fah­ren zur regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Eva­lu­ie­rung der Wirk­sam­keit der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Gewähr­leis­tung der Sicher­heit der Verarbeitung.

Und genau das stellt ein funk­tio­nie­ren­des Infor­ma­ti­ons­si­cher­heits­kon­zept sicher. Dabei beschränkt sich der Schutz eines sol­chen Kon­zepts nicht nur auf per­so­nen­be­zo­ge­ne Daten, son­dern schließt alle schüt­zens­wer­ten Daten Ihrer Orga­ni­sa­ti­on mit ein. Geni­al, oder?

Sie wol­len in Ihrer Orga­ni­sa­ti­on eben­falls ein Infor­ma­ti­ons­si­cher­heits­kon­zept ein­füh­ren? BSI IT-Grund­schutz und ISO 27001 sind unpas­send? Spre­chen Sie uns an.

Zur Mel­dung der Gemein­de Haar (exter­ner Link)

a.s.k. Daten­schutz zu Gast auf der AKDB Haus­mes­se in Würz­burg am 09.07.2015

Wir durf­ten zu Gast sein auf der jüngs­ten AKDB Haus­mes­se in Würz­burg am 09.07.2015. Unter dem Mot­to “Zukunft gestal­ten” infor­mier­ten sich knapp 350 Besu­cher zu aktu­el­len kom­mu­na­len IT-The­men. Im Rah­men unse­res Gast­vor­tra­ges stell­ten wir die aktu­el­le Bedro­hungs­la­ge in der IT-Sicher­heit dar, sowie das not­wen­di­ge Umden­ken bei der Bekämp­fung die­ser Risi­ken für kom­mu­na­le IT-Infra­struk­tu­ren dar. Auch in den anschlie­ßen­den Gesprä­chen waren sich die Betei­lig­ten einig: es ist kei­ne Fra­ge mehr des Ob, son­dern nur noch des Wann es zu einem (erfolg­rei­chen) Angriff auf die eige­nen IT-Sys­te­me kommt.

AKDB Haus­mes­se Würz­burg 2015 © AKDB

För­der­mit­tel zur Ein­füh­rung ISIS12 für baye­ri­sche Kommunen

Infor­ma­ti­ons­si­cher­heit wird immer wich­ti­ger. Die­se kann heu­te eigent­lich nur noch durch eta­blier­te, funk­tio­nie­ren­de Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­te­me (kurz ISMS) und IT-Ser­vice­ma­nage­ment­pro­zes­se gewähr­leis­tet wer­den. Wünscht man sich dabei noch ein Zer­ti­fi­kat am Ende des Weges, wird schnell der Ruf nach BSI IT Grund­schutz oder der ISO 27001 laut. Doch sind die­se für KMU oder auch Kom­mu­nal­ver­wal­tun­gen wirk­lich leist­bar und geeig­net? Gera­de bei klei­ne­ren Mitarbeiterzahlen?

Sei­en wir ehr­lich! Der BSI IT Grund­schutz ist ein tol­ler Werk­zeug­kas­ten, aber für eine Zer­tif­zie­rung mit 4.800 Sei­ten Mate­ri­al in 5 dicken Ord­nern kaum zu bewäl­ti­gen. Greift man daher zur inter­na­tio­nal bekann­te­ren ISO 27001 reibt man sich ob des hohen Abs­trak­ti­ons­le­vels irri­tiert die Augen. Alter­na­ti­ven? Aber sicher.

Der IT-Pla­nungs­rat hat in einem Beschluss vom 18. März 2015 ISIS12 als ein pra­xis­taug­li­ches Vor­ge­hen zur Ein­füh­rung eines ISMS emp­foh­len. Die­ses ent­sprä­che den Leit­li­ni­en für Infor­ma­ti­ons­si­cher­heit des Pla­nungs­rats. Vor­aus­ge­gan­gen war ein ent­spre­chen­des Gut­ach­ten von Fraun­ho­fer AISEC zu ISIS12 zur Anwend­bar­keit von ISIS12 in der öffent­li­chen Ver­wal­tung. In die­sem wur­de die Taug­lich­keit für Ver­wal­tun­gen mit bis zu 500 Mit­ar­bei­tern bestätigt.

a.s.k. Daten­schutz, Sascha Kuhr­au ist vom Baye­ri­schen IT-Sicher­heits­clus­ter e.V. (dem Anbie­ter von ISIS12) für die Durch­füh­rung von Bera­tungs­leis­tun­gen zur Ein­füh­rung von ISIS12 in KMU und öffent­li­chen Ver­wal­tun­gen zertifiziert.

ISIS12?

  • ISIS12 ist ein Ver­fah­ren, das die Ein­füh­rung eines ISMS mit ver­gleichs­wei­se gerin­ge­rem Auf­wand ermöglicht..
  • ISIS12 kann als Vor­stu­fe zur Zer­ti­fi­zie­rung nach BSI IT-Grund­schutz bzw. ISO/​IEC 27001 dienen.
  • ISIS12 ist ein Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tem (ISMS), das über die Dau­er eines Zyklus in 12 Ver­fah­rens­schrit­ten ein­ge­führt wird.
  • ISIS12 wur­de spe­zi­ell für klei­ne­re Orga­ni­sa­tio­nen entwickelt.
  • Wäh­rend des gesam­ten Pro­zes­ses ste­hen die spe­zi­ell geschul­ten und zer­tif­zier­ten ISIS12-Dienst­leis­ter bera­tend zur Seite.
  • Das leicht anwend­ba­re und auto­ma­ti­sier­te ISIS12-Soft­ware­tool unter­stützt bei der Implementierung.
  • Ein spe­zi­el­les ISIS12-Hand­buch beschreibt alle Schrit­te expli­zit und klar verständlich.
  • Der ISIS12-Kata­log wur­de durch die radi­ka­le Redu­zie­rung des BSI IT-Grund­schutz­ka­ta­lo­ges der Ziel­grup­pe — klei­ne und mit­tel­stän­di­sche Unter­neh­men und nun auch kom­mu­na­le Ver­wal­tun­gen — angepasst.

ISIS12 ist ein ISMS, spe­zi­ell für klei­ne­re Orga­ni­sa­tio­nen ent­wi­ckelt, für die die Ein­füh­rung der ver­brei­te­ten ISMS zu auf­wän­dig wäre.

Quel­le: https://​www​.bsp​-secu​ri​ty​.de/​i​s​i​s​1​2​/​i​s​i​s12

Und was ist mit Zertifizierung?

Wer den Weg zur Ein­füh­rung eines ISMS beschrit­ten und erfolg­reich absol­viert hat, kann sich am Ende mit einer Zer­ti­fi­zie­rung beloh­nen. Die­se wird von der DQS GmbH ISIS12 Deut­sche Gesell­schaft zur Zer­ti­fi­zie­rung von Manage­ment­sys­te­men durch­ge­führt. Die Mühe soll sich ja gelohnt haben für alle Beteiligten.

För­der­mit­tel für baye­ri­sche Kommunen

Baye­ri­sche Kom­mu­nen kön­nen für die Ein­füh­rung eines ISMS nach ISIS12 För­der­mit­tel erhal­ten. In einem ers­ten Pro­gramm wer­den fol­gen­de Leis­tun­gen gefördert:

  • Bera­tungs­dienst­leis­tun­gen bei der Imple­men­tie­rung von ISIS12
  • Schu­lun­gen und Sen­si­bi­li­sie­rungs­maß­nah­men für Mitarbeiter
  • Erst­zer­ti­fi­zie­rung des Manage­ment­sys­tems zur Informationssicherheit

För­der­fä­hig sind nur sol­che Leis­tun­gen, die von fach­kun­di­gen, lizen­sier­ten IT-Dienst­leis­tern wie a.s.k. Daten­schutz erfol­gen. Von der För­de­rung aus­ge­schlos­sen sind Aus­ga­ben für den Erwerb von Hard- und Soft­ware, Betriebs­kos­ten sowie tech­ni­sche und bau­li­che Schutzmaßnahmen.

Geför­dert wer­den bis zu 50% der för­der­fä­hi­gen Aus­ga­ben, bis zu einer Sum­me von maxi­mal 15.000 Euro (brut­to inkl. MwSt.).

Alle wei­te­ren Infor­ma­tio­nen zur För­de­rung von ISIS12 für baye­ri­sche Kom­mu­nen kön­nen Sie auf den ISIS12-Sei­ten des Baye­ri­schen IT-Sicher­heits­clus­ters e.V. abrufen.

Wenn Sie sich zur Umset­zung ent­schie­den haben, unter­stüt­zen wir Sie ger­ne bei der Antrag­stel­lung (die­se muss vor der Auf­trags­ver­ga­be erfol­gen!) und selbst­ver­ständ­lich bei der erfolg­rei­chen Ein­füh­rung von ISIS12 in Ihrer Organisation.

Infor­ma­ti­on Secu­ri­ty Manage­ment Sys­tem (ISMS) Ver­inice in neu­er Ver­si­on verfügbar

Das bewähr­te ISMS Tool ist in neu­er Ver­si­on 1.1 unter der LGPL v3 Lizenz als Open Source Soft­ware vom Her­stel­ler kos­ten­frei erschie­nen. Ein Manage­ment­sys­tem für Infor­ma­ti­ons­si­cher­heit (oder eben Infor­ma­ti­on Secu­ri­ty Manage­ment Sys­tem — ISMS) unter­stützt bei der Auf­stel­lung von Ver­fah­ren und Regeln inner­halb eines Unter­neh­mens, wel­che dazu die­nen, die Infor­ma­ti­ons­si­cher­heit im Unter­neh­men zu defi­nie­ren, dau­er­haft zu steu­ern und zu kon­trol­lie­ren und fort­lau­fend zu verbessern.

Für gewöhn­lich wer­den durch das obers­te Manage­ment in Zusam­men­ar­beit mit dem Daten­schutz- und IT-Sicher­heits­be­auf­trag­ten ent­spre­chen­de Richt­li­ni­en erar­bei­tet und umge­setzt. Wer selbst in die­se Pro­zes­se invol­viert war /​ ist, kennt a) die Umfäng­lich­keit die­ses Unter­fan­gens und b) die Schwie­rig­kei­ten, die eine nach­hal­ti­ge Umset­zung und Sicher­stel­lung mit sich brin­gen. Kon­se­quen­ter­wei­se kommt hier ein ISMS zum Einsatz.

Neben der Ver­füg­bar­keit von Ver­inice 1.1. als Open Source Soft­ware ist die Lizen­zi­se­rung der Grund­schutz­ka­ta­lo­ge des BSI ein wei­te­rer Vor­teil der Soft­ware. Zusätz­lich unter­stützt die Soft­ware den Stan­dard ISO 27001. Ver­inice ist in einer Ein­zel­platz­lö­sung und in einer Ser­ver­va­ri­an­te verfügbar.

Update 08.10.2010:

In der aktu­el­len Ver­si­on läßt sich eben­falls die 11. Ergän­zungs­lie­fe­rung der IT-Grund­schutz­ka­ta­lo­ge impor­tie­ren. Emp­feh­lens­wert ist wei­ter­hin die Nut­zung des BfDI Daten­schutz­bau­steins -> zum Down­load

Update 25.11.2010:

Dan­ke für den Hin­weis: Seit dem 11.11.2010 steht Ver­si­on 1.2 zum Down­load bereit. Funk­tio­na­le Erwei­te­run­gen bring der Ver­si­ons­sprung mit sich. “Dazu gehö­ren bes­se­re Unter­stüt­zung für ISO 27001, Risi­ko­ana­ly­sen nach ISO 27005, inte­grier­te Secu­ri­ty Assess­ments anhand des VDA “ISA” Fra­ge­bo­gens, inte­grier­tes Report­ing mit direk­ter Aus­ga­be von Berich­ten als PDF oder HTML, Spei­chern und Laden von ange­leg­ten Objek­ten zum Daten­aus­tausch, Import­mög­lich­keit von exter­nen Daten­quel­len und vie­les mehr. ”

Zum Down­load

Die mobile Version verlassen