Zum Inhalt springen

ISMS

Wel­che tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOM) schreibt der Gesetz­ge­ber vor?

Wel­che tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOM) schreibt der Gesetz­ge­ber vor?

In den letz­ten Mona­ten und Jah­ren neh­men erfolg­rei­che Angrif­fe, unab­hän­gig ob ziel­ge­rich­tet oder Kate­go­rie “Mit­ar­bei­ter zu wenig sen­si­bi­li­siert” oder bei­des, auf Unter­neh­men und Ver­wal­tun­gen ste­tig zu. Sind dabei (zwangs­läu­fig) per­so­nen­be­zo­ge­ne Daten betrof­fen, kom­men ganz schnell die Arti­kel 32, 33 und 34 der Daten­schutz­grund­ver­ord­nung (DSGVO) ins Spiel.

Wäh­rend Arti­kel 33 DSGVO für den Fall des Fal­les die zeit­na­he Ein­bin­dung der zustän­di­gen Lan­des­da­ten­schutz­be­hör­de bin­nen einer Frist von 72 Stun­den vor­sieht, schreibt Arti­kel 34 DSGVO die unver­züg­li­che Infor­ma­ti­on der sog. Betrof­fe­nen bei einem vor­aus­sicht­lich hohen Risi­ko vor. Die bei­den Arti­kel befas­sen sich u.a. also mit der REAKTION auf einen Sicher­heits­vor­fall mit per­so­nen­be­zo­ge­nen Daten.

Aus der Infor­ma­ti­ons­si­cher­heit und dem Busi­ness Con­ti­nui­ty Manage­ment wis­sen wir aber nun, dass VORBEUGEN deut­lich effi­zi­en­ter und effek­ti­ver ist, als hin­ter­her den Schla­mas­sel auf­räu­men und aus­ba­den zu müs­sen. Das hat auch der Gesetz­ge­ber erkannt und schreibt in Arti­kel 32 DSGVO etwas zur sog. “Sicher­heit der Ver­ar­bei­tung”:

Abs. 1: Unter Berück­sich­ti­gung des Stands der Tech­nik, der Imple­men­tie­rungs­kos­ten und der Art, des Umfangs, der Umstän­de und der Zwe­cke der Ver­ar­bei­tung sowie der unter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwe­re des Risi­kos für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen tref­fen der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, um ein dem Risi­ko ange­mes­se­nes Schutz­ni­veau zu gewähr­leis­ten; die­se Maß­nah­men schlie­ßen gege­be­nen­falls unter ande­rem Fol­gen­des ein:

a) die Pseud­ony­mi­sie­rung und Ver­schlüs­se­lung per­so­nen­be­zo­ge­ner Daten;
b) die Fähig­keit, die Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Belast­bar­keit der Sys­te­me und Diens­te im Zusam­men­hang mit der Ver­ar­bei­tung auf Dau­er sicherzustellen;
c) die Fähig­keit, die Ver­füg­bar­keit der per­so­nen­be­zo­ge­nen Daten und den Zugang zu ihnen bei einem phy­si­schen oder tech­ni­schen Zwi­schen­fall rasch wiederherzustellen;
d) ein Ver­fah­ren zur regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Eva­lu­ie­rung der Wirk­sam­keit der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Gewähr­leis­tung der Sicher­heit der Verarbeitung.

Abs. 2: Bei der Beur­tei­lung des ange­mes­se­nen Schutz­ni­veaus sind ins­be­son­de­re die Risi­ken zu berück­sich­ti­gen, die mit der Ver­ar­bei­tung ver­bun­den sind, ins­be­son­de­re durch – ob unbe­ab­sich­tigt oder unrecht­mä­ßig – Ver­nich­tung, Ver­lust, Ver­än­de­rung oder unbe­fug­te Offen­le­gung von bezie­hungs­wei­se unbe­fug­ten Zugang zu per­so­nen­be­zo­ge­nen Daten, die über­mit­telt, gespei­chert oder auf ande­re Wei­se ver­ar­bei­tet wurden.

Wer sich mit dem The­ma Infor­ma­ti­ons­si­cher­heit bereits näher befasst hat, wird in Absatz 1 b, c und d alte Bekann­te wie­der­tref­fen. Dort wer­den die Grund­wer­te der Infor­ma­ti­ons­si­cher­heit vor­ge­schrie­ben, sowie die rasche Wie­der­her­stell­bar­keit von Daten und Sys­te­men und ein kon­ti­nu­ier­li­ches Ver­bes­se­rungs­ma­nage­ment der Schutz­maß­nah­men gefor­dert. Also alles das, was moder­ne Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­te­me (ISMS) wie die ISO 27001, der BSI IT-Grund­schutz mit sei­nen 3 Absi­che­rungs­stu­fen, ein CISIS12 oder auch klei­ne­re Sys­te­me wie die sog. Arbeits­hil­fe mit sich bringen.

Schnell kommt natür­lich dann die Fra­ge auf “Wel­che tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOM) schreibt der Gesetz­ge­ber vor?”. Kon­kret? Meist gar kei­ne. Und das hat auch einen trif­ti­gen Grund.

Wie­so Geset­ze zumeist kei­ne kon­kre­ten tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men im Detail vorschreiben?

Ganz ein­fach: Weil es für gewöhn­lich kei­nen Sinn macht. Bedro­hun­gen tech­ni­scher und orga­ni­sa­to­ri­scher Natur ver­än­dern sich im Lau­fe der Zeit, mal schnel­ler, mal lang­sa­mer. Die­se Ver­än­de­run­gen erfor­dern zumeist auch eine Anpas­sung vor­han­de­ner Schutz­maß­nah­men bzw. deren Weg­fall und Ersatz durch ande­re, bes­ser wir­ken­de Schutz­maß­nah­men. Und da Geset­ze für gewöhn­lich eine lang­fris­ti­ge Gül­tig­keit haben, eine Ände­rung bzw. Anpas­sung einen nicht uner­heb­li­chen Auf­wand mit sich bringt, ver­zich­tet man auf die kon­kre­te Nen­nung von Schutz­maß­nah­men. Erst recht auf die Nen­nung kon­kre­ter Pro­duk­te oder Her­stel­ler. Eigent­lich logisch.

Statt­des­sen gibt der Gesetz­ge­ber hier im Arti­kel 32 DSGVO einen Ange­mes­sen­heits­rah­men vor mit “Unter Berück­sich­ti­gung des Stands der Tech­nik, der Imple­men­tie­rungs­kos­ten und der Art, des Umfangs, der Umstän­de und der Zwe­cke der Ver­ar­bei­tung sowie der unter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwe­re des Risi­kos für die Rech­te und Frei­hei­ten natür­li­cher Personen .…”

Die­sen Rah­men gilt es nun für die eige­nen Ver­ar­bei­tun­gen oder auch Dienst­leis­tun­gen, die für ande­re erbracht wer­den (Auf­trags­ver­ar­bei­tung), zu prü­fen und zu bewer­ten. Erst mal sei vor­an­ge­stellt, es muss nicht alles an Schutz­maß­nah­men ein­ge­führt oder imple­men­tiert wer­den, was tech­nisch oder orga­ni­sa­to­risch maxi­mal mög­lich ist. Das sind schon mal gute Nach­rich­ten. Ande­rer­seits kann man aller­dings auch nicht unter Ver­weis auf “Kein Geld”, “Kei­ne Mit­ar­bei­ter”, “Kei­ne Lust” oder “Wir haben Wich­ti­ge­res zu tun” das Ange­mes­sen­heits­prin­zip unter den Tisch fal­len las­sen und sich tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men spa­ren. Immer­hin muss man ja laut Gesetz fol­gen­de Din­ge berücksichtigen:

  • Das not­wen­di­ge Schutz­ni­veau der zu schüt­zen­den Daten.
  • Den sog. Stand der Technik.
  • Die Ein­tritts­wahr­schein­lich­keit von Risi­ken für schüt­zens­wer­te Daten (die eige­nen oder die von Kunden).
  • Das Scha­dens­aus­maß, soll­te den schüt­zens­wer­ten Daten doch etwas “zusto­ßen”.

Wür­de der Gesetz­ge­ber nun kon­kret eine Video­über­wa­chung per Gesetz vor­schrei­ben, wäre das sicher eine gute Schutz­maß­nah­me zur Absi­che­rung der Außen­haut eines Rechen­zen­trums. Ist man jedoch ein Dienst­leis­ter, der War­tungs­ar­bei­ten remo­te bei einem Kun­den durch­führt, wür­de eine Video­über­wa­chung nicht spür­bar zu einer Erhö­hung des Schutz­ni­veaus sei­tens des Dienst­leis­ters für die­se Ver­ar­bei­tung bei­tra­gen. Die zu tref­fen­den Schutz­maß­nah­men müs­sen also geeig­net sein, die Ein­tritts­wahr­schein­lich­keit und das Scha­dens­aus­maß eines Risi­kos für die jewei­li­ge Ver­ar­bei­tung zu begren­zen. Tun sie das nicht, sind die­se Schut­zß­nah­me nicht zwin­gend obso­let, tra­gen aber zur Absi­che­rung der kon­kre­ten Ver­ar­bei­tung nichts oder nur sehr wenig bei.

Dem Gesetz­ge­ber kommt es also auf die Aus­wahl von Schutz­maß­nah­men an, die geeig­net sind, das Risi­ko für die jewei­li­gen Ver­ar­bei­tun­gen zu begren­zen UND dem sog. Stand der Tech­nik ent­spre­chen. In Spe­zi­al­ge­set­zen kann es zu Aus­nah­men von die­ser Vor­ge­hens­wei­se kom­men. Die­se gel­ten dann jedoch zumeist nur für ganz spe­zi­el­le Bran­chen und Tätigkeiten.

Was hat es mit die­sem “Stand der Tech­nik” auf sich?

Stand der Tech­nik ist ein unbe­stimm­ter Rechts­be­griff, der eine inhalt­li­che und zeit­li­che Dehn­bar­keit mit sich bringt. Wer sich die Mühe macht und sich im Rah­men einer Web­re­cher­che zu dem Begriff schlau­er machen will, wird am Ende auch kei­ne kon­kre­ten Schut­zß­nah­men zur Absi­che­run­gen sei­ner eige­nen Ver­ar­bei­tung emp­foh­len bekom­men. Ver­su­chen wir es mal mit ein paar Beispielen.

Seit Jah­ren gibt es einen Trend zu Online-Back­ups, sei es auf gro­ße Sto­rages im eige­nen Netz­werk oder sogar ganz raus aus dem eige­nen Netz­werk zu Cloud-Anbie­tern. Eine sol­che Art der Daten­si­che­rung kann sicher als Stand der Tech­nik ein­ge­ord­net wer­den. Ersetzt die­se jetzt jedoch auto­ma­tisch die klas­si­sche Band­si­che­rung? Und ent­spricht die Band­si­che­rung damit nicht mehr dem Stand der Tech­nik? Um das zu bewer­ten, muss man sich die Bedro­hungs­la­ge für Daten­si­che­run­gen anschau­en. Ein Back­up, das im eige­nen Netz­werk oder bei einem exter­nen Cloud-Anbie­ter gene­rell zugreif­bar ist, kann jeder­zeit zer­stört oder kom­pro­mit­tiert wer­den. Hier besteht also ein Risi­ko, im Fal­le des Fal­les not­wen­di­ge Daten nicht mehr wie­der­her­stel­len zu kön­nen. Ande­rer­seits sind die­se Daten­si­che­run­gen zumeist sehr schnell wie­der­her­zu­stel­len, was ein Vor­teil ist. Und aus die­sen Grund ergänzt eine Band­si­che­rung bzw. jede Art von Off­line-Back­up eine gute Daten­si­che­rungs­stra­te­gie, um genau die­ses ver­blei­ben­de Risi­ko beherrsch­bar zu machen. Band­si­che­rung mag daher old school erschei­nen, ist aber nach Stand der Tech­nik wei­ter­hin eine geeig­ne­te Schutzmaßnahme.

Der klas­si­sche Log­in bei inter­nen und exter­nen Diens­ten geschieht zumeist mit­tels Benut­zer­na­me und Kenn­wort. Für die Gestal­tung von Kenn­wör­tern gibt es ergän­zend mehr oder weni­ge sinn­vol­le Rege­lun­gen zu Län­ge und Kom­ple­xi­tät und Wech­sel­in­ter­val­len. Feh­len wei­te­re Schutz­maß­nah­men wie die Begren­zung der Anmel­de­ver­su­che, so wird die Luft schnell dünn. Dazu gibt es das nicht uner­heb­li­che Risi­ko des erfolg­rei­chen Phis­hings, also des Abgriffs und Aus­nut­zens von gül­ti­gen Zugangs­da­ten. Somit ist eine Beschrän­kung auf Benut­zer­na­me und Kenn­wort zur Absi­che­rung von Zugän­gen in vie­len Fäl­len allei­ne nicht mehr aus­rei­chend. Die­se ist je nach Ein­satz­si­tua­ti­on nicht mehr zeit­ge­mäß und ent­spricht daher wohl nur noch sel­ten dem sog. Stand der Tech­nik. Ergänzt man jedoch den Log­in mit Benut­zer­na­me und Pass­wort bei­spiels­wei­se um eine Mul­ti- oder Zwei-Fak­tor-Authen­ti­sie­rung (MFA /​ 2FA), hebt man das Schutz­ni­veau mit einer aktu­el­len tech­ni­schen Schutz­maß­nah­me wie­der auf ein ange­mes­se­nes Level an und ent­spricht damit der­zeit wie­der dem sog. Stand der Tech­nik. Dies gilt auch für neue­re Absi­che­rungs­me­tho­den wie Pass­keys etc. 2FA ist also kei­ne Rake­ten­wis­sen­schaft, son­dern der­zeit aner­kann­ter Stand der Technik.

Oft hilft auch ein Blick in die ver­schie­de­nen Nor­men für Infor­ma­ti­ons­si­cher­heit. Wer­den dort kon­kre­te­re Schutz­maß­nah­men genannt, kann man davon aus­ge­hen, dass die­se dem sog. Stand der Tech­nik ent­spre­chen. Sie hät­ten sonst kei­ne Auf­nah­me in die­se Nor­men gefun­den. So fin­det sich 2FA /​ MFA bei­spiels­wei­se unter ande­rem im Kapi­tel 8.5 Siche­re Authen­ti­fi­zie­rung der ISO 27002, aber auch im Grund­schutz-Bau­stein ORP.4 Iden­ti­täts- und Berech­ti­gungs­ma­nage­ment in der Anfor­de­rung A.10. Auch wenn der Grund­schutz-Bau­stein CON.3 Daten­si­che­rungs­kon­zept die Band­si­che­rung nicht nament­lich erwähnt, so sind die Anfor­de­run­gen aus A.14 und A.12 mit einer sol­chen rela­tiv ein­fach zu erfüllen.

Hil­fe­stel­lung zum Stand der Technik

Eine sehr hilf­rei­che Über­sicht über gän­gi­ge tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, die dem sog. Stand der Tech­nik ent­spre­chen, stellt der Bun­des­ver­band IT-Sicher­heit e.V. (Tele­TrusT) regel­mä­ßig zur Ver­fü­gung. Die­se ist in aktu­el­ler Ver­si­on jeweils hier zu fin­den. Zum Zeit­punkt die­ses Bei­trags ist dies die Ver­si­on 2023-05. In die­ser Über­sicht fin­det sich bei­spiels­wei­se dann auch die MFA /​ 2FA unter Punkt 3.2.3 auf Sei­te 22.

Die dar­in ange­führ­ten Schutz­maß­nah­men sind nicht abschlie­ßend. Es gibt dar­über­hin­aus vie­le wei­te­re Maß­nah­men, die als Stand der Tech­nik ein­ge­ord­net wer­den kön­nen. Anhand die­ser Über­sicht kann man jedoch gut prü­fen, ob die eige­ne Orga­ni­sa­ti­on zumin­dest ansatz­wei­se auf einem aktu­el­len Stand der Schutz­maß­nah­men unter­wegs ist. Wenn nicht, heißt es handeln.

Auch die von uns unse­ren Kun­den zur Ver­fü­gung gestell­ten Check­lis­ten für die sog. TOM-Checks berück­sich­ti­gen übli­cher­wei­se den sog. Stand der Tech­nik. Abwei­chun­gen oder Lücken soll­ten durch­aus als Risi­ko­fak­to­ren begrif­fen und ide­al­wei­se unter Berück­sich­ti­gung von Ein­tritts­wahr­schein­lich­keit und Scha­dens­aus­maß besei­tigt werden.

Fazit

Der Gesetz­ge­ber schreibt für gewöhn­lich kei­ne kon­kre­ten tech­ni­schen und orga­ni­sa­to­ri­schen Schutz­maß­nah­men für Unter­neh­men und Ver­wal­tung vor. Schutz­maß­nah­men kön­nen einer­seits schnell altern und ande­rer­seits pas­sen bestimm­te Schutz­maß­nah­men nicht auf jede Orga­ni­sa­ti­on und deren Risi­ken bei der Ver­ar­bei­tung. Von daher gilt es, sich der Risi­ken für die eige­nen Ver­ar­bei­tun­gen im Hin­blick auf Ein­tritts­wahr­schein­lich­keit und Scha­dens­aus­maß (für die eige­ne Orga­ni­sa­ti­on, aber auch für die Betrof­fe­nen) bewußt zu wer­den bzw. die­se zu iden­ti­fi­zie­ren und zu bewer­ten. Dann sind im Rah­men der Ange­mes­sen­heit geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men ein­zu­füh­ren bzw. wei­ter­zu­ent­wi­ckeln, die dem sog. Stand der Tech­nik ent­spre­chend und dabei hel­fen, die zuvor iden­ti­fi­zier­ten Risi­ken beherrsch­bar zu machen. Dies ist kei­ne ein­ma­li­ge Tätig­keit, son­dern ein wie­der­keh­ren­der Pro­zess, der idea­ler­wei­se — je nach Risi­ko — min­des­tens jähr­lich zu durch­lau­fen ist. Dann klappt es auch mit Arti­kel 32 DSGVO. Und vor den Arti­keln 33 und 34 DSGVO muss man sich weni­ger fürch­ten bzw. wird die­se sel­te­ner durch­füh­ren müssen.

Gutes Gelin­gen. Sie wün­schen Unter­stüt­zung? Spre­chen Sie uns an.

 

ISMS-För­der­mit­tel­pro­gramm für baye­ri­sche Kom­mu­nen endet 31.12.2023

Die aktu­el­le ISMS-För­der­mit­tel­richt­li­nie zur finan­zi­el­len Unter­süt­zung der Ein­füh­rung eines Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tems im Sin­ne von Art. 43 Bay­DiG läuft zum 31.12.2023 aus. Eine Ver­län­ge­rung wur­de vom zustän­di­gen Staats­mi­nis­te­ri­um ver­neint. Eben­so eine abseh­ba­re Neuauflage.

Wenn Sie als baye­ri­sche Kom­mu­ne die Neu­ein­füh­rung eines ISMS auf Basis

  • Arbeits­hil­fe
  • CISIS12
  • VDS 10000
  • BSI IT-Grund­schutz (Kom­mu­nal­pro­fil, Basis‑, Stan­dard- oder Kernabsicherung)
  • ISO 27001

oder ein Upgrade eines klei­ne­ren vor­han­de­nen Stan­dards auf einen der höhe­ren Stan­dards pla­nen, dann soll­ten Sie sich mit der Bean­tra­gung von För­der­mit­teln beei­len. (Ach­tung: Dif­fe­renz­för­de­rung von ISIS12 zu CISIS12 ist nicht möglich.)

Laut Aus­sa­ge der För­der­mit­tel­stel­le auf der Web­sei­te soll­te Ihr Antrag spä­tes­tens am 15. Novem­ber 2023 ein­ge­gan­gen sein. Das hat meh­re­re Gründe:

  • Bei spä­te­rem Ein­gang kann eine För­der­zu­sa­ge recht­zei­tig vor Ablauf des Pro­gramms auf­grund des erhöh­ten Antrag­vo­lu­mens in der Schluß­pha­se nicht mehr garan­tiert werden.
  • Der För­der­mit­tel­topf war zwar groß, neigt sich aber den­noch dem Ende zu. Und wenn kei­ne För­der­mit­tel zur Ver­ga­be frei sind, ist es egal, wann der Antrag eingeht.

Sie brau­chen mit dem Pro­jekt jedoch nicht mehr in 2023 begin­nen. Ledig­lich der Antrag und die Bewil­li­gung müs­sen in 2023 über die Büh­ne sein. Der Beginn der Umset­zung kann in 2024 lie­gen. Sie kön­nen sich daher die­ses Jahr noch die För­der­mit­tel für die Jah­re 2024 ff. sichern.

Sie benö­ti­gen ein Ange­bot für die Unter­stüt­zung durch Bera­tung und Schu­lung von einem qua­li­fi­zier­ten Dienst­leis­ter. Qua­li­fi­ziert heißt, der Dienst­leis­ter muss sei­ne Eig­nung gegen­über der För­der­stel­le bele­gen kön­nen. Das kön­nen je nach gewähl­ter Norm sein:

  • Zer­ti­fi­kat CISIS12 Pro­fes­sio­nal /​ Offi­cer
  • Zer­ti­fi­kat BSI IT-Grund­schutz Prak­ti­ker /​ Bera­ter
  • Zer­ti­fi­kat ISO 27001 Officer

Das ist unab­hän­gig davon, ob Sie das ISMS neu ein­füh­ren oder ein bestehen­des ISMS upgraden. Unse­re Mit­ar­bei­ter sind selbst­ver­ständ­lich für alle Stan­dards zuge­las­sen. Bit­te beach­ten Sie: Das neue ISMS oder Upgrade soll­te zu Ihrer Orga­ni­sa­ti­on pas­sen. Da wir in allen oben genann­ten Nor­men zuhau­se sind, kön­nen wir Sie hier­zu orga­ni­sa­ti­ons­in­di­vi­du­ell bera­ten und müs­sen Ihnen nicht auf Gedeih und Ver­derb ledig­lich einen Stan­dard als den ein­zig rich­ti­gen Weg “ver­kau­fen”.

Zustän­dig ist die Regie­rung Ober­fran­ken. Alle Details und das Online-Antrags­for­mu­lar fin­den Sie unter https://​www​.regie​rung​.ober​bay​ern​.bay​ern​.de/​a​u​f​g​a​b​e​n​/​l​e​i​s​t​u​n​g​/​l​e​i​s​t​u​n​g​_​3​5​0​0​4​/​i​n​d​e​x​.​h​tml

Auch unse­re Res­sour­cen sind end­lich. Aber der­zeit könn­ten wir noch gut orga­ni­sier­te ISMS-Pro­jek­te in 2024 im Lau­fe des Jah­res unter­brin­gen. Anfra­gen bit­te an info@​ask-​informationssicherheit.​de oder über unse­ren Zen­tral­ruf 09155–263 99 70. Alter­na­tiv direkt über unser For­mu­lar (exter­ner Link).

Wir mel­den uns dann wegen wei­te­rer Details zur Ange­bots­er­stel­lung bei Ihnen.

För­der­mit­tel­au­dit Kom­mu­nal­pro­fil und Basis-Absi­che­rung BSI IT-Grund­schutz für baye­ri­sche Kommunen

Sie sind eine baye­ri­sche Kom­mu­ne? Haben För­der­mit­tel im Rah­men der Richt­li­nie zur För­de­rung von Infor­ma­ti­ons­si­cher­heit des Frei­staats Bay­ern bean­tragt? Sie ste­hen jetzt kurz vor dem Abschluss der Ein­füh­rung eines ISMS auf Basis des sog. Kom­mu­nal­pro­fils oder der Basis-Absi­che­rung des BSI IT-Grund­schutz? Und Sie brau­chen bald als Nach­weis zur Bean­tra­gung der Aus­schüt­tung der För­der­mit­tel den not­wen­di­gen Prüf­nach­weis für die För­der­mit­tel­stel­le? Dann spre­chen Sie uns früh­zei­tig an.

Wir freu­en uns, dass wir baye­ri­schen Kom­mu­nen den not­wen­di­gen Audi­tor bie­ten und das För­der­mit­tel­au­dit auf Basis eines belast­ba­ren und nach­voll­zieh­ba­ren Prüf­sche­mas durch­füh­ren kön­nen. Unter­stützt wird das Audit und die Audit-Doku­men­ta­ti­on durch unser haus­in­ter­nes Audit-Tool, das am Ende einen belast­ba­ren und nach­voll­zieh­ba­ren Audit-Bericht erstellt.

Dabei gibt es jedoch eine klas­si­sche Audit-Regel zu beach­ten: Wer berät, audi­tiert nicht. Wenn Sie also durch uns bei der Ein­füh­rung Ihres ISMS auf Basis des BSI IT-Grund­schutz beglei­tet wur­den, kön­nen wir Sie nicht audi­tie­ren. Das ver­steht sich eigent­lich von selbst. Ger­ne stel­len wir Ihnen aber in die­sem Fall den Kon­takt zu qua­li­fi­zier­ten Audi­to­ren her. Aus­wäh­len müs­sen Sie dann jedoch selbst 🙂

Mehr Infos hier.

Arti­kel 32 DSGVO — Sicher­heit der Verarbeitung

Es dürf­te sich rum­ge­spro­chen haben: Per­so­nen­be­zo­ge­ne Daten sind zu schüt­zen. Das es dabei nur sekun­där um die per­so­nen­be­zo­ge­nen Daten an sich geht, son­dern pri­mär die Per­son vor Scha­den bewahrt wer­den soll, auf die sich die­se Daten bezie­hen (der sog. “Betrof­fe­ne”), wird den meis­ten Anwen­dern der DSGVO eben­falls klar sein. Doch was will der Gesetz­ge­ber hier eigent­lich von den sog. “Ver­ant­wort­li­chen”, also all den Unter­neh­men, Ver­ei­nen, Bun­des- und Lan­des­be­hör­den sowie Kom­mu­nal­ver­wal­tun­gen? Wer­fen wir mal einen Blick auf Arti­kel 32 DSGVO.

So steht es in Arti­kel 32 DSGVO

  1. Unter Berück­sich­ti­gung des Stands der Tech­nik, der Imple­men­tie­rungs­kos­ten und der Art, des Umfangs, der Umstän­de und der Zwe­cke der Ver­ar­bei­tung sowie der unter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwe­re des Risi­kos für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen tref­fen der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, um ein dem Risi­ko ange­mes­se­nes Schutz­ni­veau zu gewähr­leis­ten; die­se Maß­nah­men schlie­ßen gege­be­nen­falls unter ande­rem Fol­gen­des ein: a) die Pseud­ony­mi­sie­rung und Ver­schlüs­se­lung per­so­nen­be­zo­ge­ner Daten; b) die Fähig­keit, die Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Belast­bar­keit der Sys­te­me und Diens­te im Zusam­men­hang mit der Ver­ar­bei­tung auf Dau­er sicher­zu­stel­len; c) die Fähig­keit, die Ver­füg­bar­keit der per­so­nen­be­zo­ge­nen Daten und den Zugang zu ihnen bei einem phy­si­schen oder tech­ni­schen Zwi­schen­fall rasch wie­der­her­zu­stel­len; d) ein Ver­fah­ren zur regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Eva­lu­ie­rung der Wirk­sam­keit der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Gewähr­leis­tung der Sicher­heit der Verarbeitung.

  2. Bei der Beur­tei­lung des ange­mes­se­nen Schutz­ni­veaus sind ins­be­son­de­re die Risi­ken zu berück­sich­ti­gen, die mit der Ver­ar­bei­tung ver­bun­den sind, ins­be­son­de­re durch – ob unbe­ab­sich­tigt oder unrecht­mä­ßig – Ver­nich­tung, Ver­lust, Ver­än­de­rung oder unbe­fug­te Offen­le­gung von bezie­hungs­wei­se unbe­fug­ten Zugang zu per­so­nen­be­zo­ge­nen Daten, die über­mit­telt, gespei­chert oder auf ande­re Wei­se ver­ar­bei­tet wurden.

  3. Die Ein­hal­tung geneh­mig­ter Ver­hal­tens­re­geln gemäß Arti­kel 40 oder eines geneh­mig­ten Zer­ti­fi­zie­rungs­ver­fah­rens gemäß Arti­kel 42 kann als Fak­tor her­an­ge­zo­gen wer­den, um die Erfül­lung der in Absatz 1 des vor­lie­gen­den Arti­kels genann­ten Anfor­de­run­gen nachzuweisen.

  4. Der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter unter­neh­men Schrit­te, um sicher­zu­stel­len, dass ihnen unter­stell­te natür­li­che Per­so­nen, die Zugang zu per­so­nen­be­zo­ge­nen Daten haben, die­se nur auf Anwei­sung des Ver­ant­wort­li­chen ver­ar­bei­ten, es sei denn, sie sind nach dem Recht der Uni­on oder der Mit­glied­staa­ten zur Ver­ar­bei­tung verpflichtet.

Was will Arti­kel 32 DSGVO in der Praxis?

Dreh- und Angel­punkt sind die tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men, auch kurz TOM genannt. Mit­tels einer geeig­ne­ten Aus­wahl und Anwen­dung die­ser Schutz­maß­nah­men (qua­si eine Art Werk­zeug­kas­ten) sol­len per­so­nen­be­zo­ge­ne Daten vor den all­täg­li­chen Risi­ken bei deren Ver­ar­bei­tung (also Erhe­bung, Spei­che­rung, Nut­zung, aber auch beab­sich­tig­ter Löschung und Ver­nich­tung) geschützt wer­den. Dabei soll nicht alles an Schutz­maß­nah­men ergrif­fen wer­den, was irgend­wie geht, son­dern der Gesetz­ge­ber spricht von einer Ange­mes­sen­heit. Die Schutz­maß­nah­men müs­sen also zum Schutz­wert der betrof­fe­nen per­so­nen­be­zo­ge­nen Daten pas­sen. Dabei sol­len dann auch Fak­to­ren wie die Ein­tritts­wahr­schein­lich­keit und das zu erwar­ten­de Scha­dens­aus­maß für den Betrof­fe­nen — ganz wich­tig: nicht für die eige­ne Orga­ni­sa­ti­on — berück­sich­tigt werden.

Inter­es­san­ter­wei­se erfin­det “der Daten­schutz” hier das Rad mal nicht neu.  Wir fin­den Punk­te wie

  • Ver­trau­lich­keit,
  • Inte­gri­tät und
  • Ver­füg­bar­keit,
  • die Sicher­stel­lung der Wie­der­her­stell­bar­keit von Daten z.B. im Rah­men von Busi­ness Con­ti­nui­ty Manage­ment und Not­fall­ma­nage­ment, aber auch
  • Revi­si­ons­zy­klen (PDCA) zur Über­prü­fung der Wirk­sam­keit vor­han­de­ner Schutz­maß­nah­men sowie zur
  • Iden­ti­fi­ka­ti­on von mög­li­cher­wei­se zusätz­li­chen oder anzu­pas­sen­den Schutz­maß­nah­men auf­grund neu­er Risi­ken oder Ver­än­de­run­gen an bestehen­den Risiken.

Und ganz egal, ob man das hören mag oder nicht: Am Ende beschrei­ben die­se Punk­te und Begriff­lich­kei­ten ein klas­si­sches Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tem, kurz ISMS. Wer sich mit dem The­ma Infor­ma­ti­ons­si­cher­heit schon näher befasst hat, wird fest­stel­len: Per­so­nen­be­zo­ge­ne Daten sind eine Unter­men­ge der schüt­zens­wer­ten Infor­ma­tio­nen einer Orga­ni­sa­ti­on. Na, schau mal einer an.

Schreibt Arti­kel 32 DSGVO nun ein ISMS vor?

Die Begrif­fe Infor­ma­ti­ons­si­cher­heit oder ISMS fal­len zwar nicht wört­lich, aber gera­de die in Arti­kel 32 Absatz 1 DSGVO genann­ten Punk­te, beschrei­ben dem Sinn nach nichts ande­res als ein Infor­ma­ti­ons­si­cher­heits­kon­zept bzw. ISMS. Das bedeu­tet nun nicht, dass man ein sol­ches ISMS zur Ein­hal­tung von Art. 32 DSGVO ein­füh­ren muss, um rechts­kon­form unter­wegs zu sein. Aber es wird halt müh­se­lig. Gut, es gibt immer Men­schen und Orga­ni­sa­tio­nen, die mögen es umständlich 🙂

Was liegt also näher, als sich die­sen Anfor­de­run­gen sys­te­ma­tisch zu nähern, statt ein­fach wild ein paar mög­li­cher­wei­se geeig­ne­te Schutz­maß­nah­men zusam­men­zu­schus­tern? Und sobald man ein Infor­ma­ti­ons­si­cher­heits­kon­zept ein­ge­führt hat, geht es ja nicht nur den per­so­nen­be­zo­ge­nen Daten gut. Auch alle ande­ren “Kron­ju­we­len” einer Orga­ni­sa­ti­on füh­len sich behü­tet und beschützt. Also gleich meh­re­re Flie­gen mit einer Klap­pe erschla­gen. Grü­ße vom tap­fe­ren Schneiderlein.

Dabei soll­te man jedoch im Hin­ter­kopf behal­ten, dass Infor­ma­ti­ons­si­cher­heit sich im Rah­men der sog. Risi­ko­ana­ly­se vor­ran­gig mit den Aus­wir­kun­gen auf die Orga­ni­sa­ti­on befasst. Die Fra­ge­stel­lung lau­tet zu Beginn: Was für Aus­wir­kun­gen haben die Ver­let­zung der Ver­trau­lich­keit, Inte­gri­tät oder Ver­füg­bar­keit von schüt­zens­wer­ten Infor­ma­tio­nen (und damit sind per­so­nen­be­zo­ge­ne Daten ein­ge­schlo­sen) für mei­ne Orga­ni­sa­ti­on im Hin­blick auf

  • mög­li­che Ver­trags­ver­let­zun­gen und Rechtsverstöße,
  • finan­zi­el­le Schä­den wie Ver­trags­stra­fen, Buß­gel­der oder auch Schadenersatz,
  • nega­ti­ve Aus­wir­kun­gen auf Repu­ta­ti­on /​ Image,
  • mög­li­che Beein­träch­ti­gung der Aufgabenerfüllung,
  • mög­li­che Beein­träch­ti­gun­gen der infor­ma­tio­nel­len Selbst­be­stim­mung (Daten­schutz) und
  • bei einem Side­kick in Rich­tung Not­fall­ma­nage­ment auch Gefahr für Leib und Leben.

Die Risi­ken im Bereich Daten­schutz wer­den zwar schon grob erfasst, aber im Hin­blick auf die Aus­wir­kun­gen für die Orga­ni­sa­ti­on. Der Trick besteht dar­in, mög­li­che Risi­ken für den Betrof­fe­nen wie Iden­ti­täts­dieb­stahl oder Ver­lust sei­ner Betrof­fe­nen­rech­te und noch wei­te­rer Punk­te zu inklu­die­ren. Kein Hexen­werk. Und vor allem muss man das Rad nicht neu erfinden.

Wel­che Sys­te­ma­tik für ein Infor­ma­ti­ons­si­cher­heits­kon­zept darf es denn sein?

Das Schö­ne ist, es gibt auf dem Markt seit Jahr­zehn­ten bewähr­te und kon­ti­nu­ier­lich wei­ter­ent­wi­ckel­te Stan­dards für Infor­ma­ti­ons­si­cher­heit. Und selbst wenn die­se die Aus­wir­kun­gen im Daten­schutz für den Betrof­fe­nen nicht bereits inklu­diert haben, sind die­se in der Risi­ko­be­trach­tung mit weni­gen Hand­grif­fen inte­griert und berück­sich­tigt. “That’s no rocket science!”

Sicher ken­nen vie­le Leser eine ISO 27001 als welt­wei­te Norm für Infor­ma­ti­ons­si­cher­heit oder auch den IT-Grund­schutz des Bun­des­amts für Sicher­heit in der Infor­ma­ti­ons­tech­nik (kurz BSI). Es hält sich das Gerücht hart­nä­ckig, die­se sei­en für klei­ne und kleins­te Orga­ni­sa­tio­nen viel zu groß und auf­wän­dig. Die Pra­xis zeigt, dem ist nicht so. Aber selbst, wenn man die­ser Argu­men­ta­ti­on folgt, so gibt es Alter­na­ti­ven wie (Rei­hen­fol­ge nicht wertend)

  • ISIS12 /​ CISIS12 — ein Infor­ma­ti­ons­si­cher­heits­kon­zept in 12 Schritten
  • SiKo­SH — in 7 Schrit­ten zu einem ISMS
  • VDS 10000 — ehe­mals 3473, ursprüng­lich ein Fra­ge­bo­gen für Risi­ken im Bereich Cybersicherheit
  • TISAX — im Kon­text von Auto­mo­bil­zu­lie­fe­rern weit ver­brei­tet oder
  • das unter dem Titel “Arbeits­hil­fe” bekann­te Kon­zept zu Ein­füh­rung und Betrieb eines ISMS der Inno­va­ti­ons­stif­tung Bay­ri­sche Kommune.

Dar­über­hin­aus gibt es auch noch wei­te­re Sys­te­ma­ti­ken und Vor­ge­hens­wei­sen, aber wir beschrän­ken uns mal auf die oben genann­ten Ver­tre­ter. Unse­re Emp­feh­lung lau­tet stets: Nut­zen Sie eine der vor­han­de­nen Vor­ge­hens­wei­sen und erfin­den Sie das Rad bit­te nicht neu. War­um? Die­se Vor­ge­hens­wei­sen /​ Ver­tre­ter für ein ISMS

  • haben sich über lan­ge Zeit in der Pra­xis bewährt,
  • sind für jede Art von Orga­ni­sa­ti­on anwend­bar, da — welch’ Über­ra­schung — Infor­ma­ti­ons­si­cher­heit uni­ver­sell ist,
  • decken alle­samt stets die Min­dest­an­for­de­run­gen an Infor­ma­ti­ons­si­cher­heit ab,
  • sind ska­lier­bar im Hin­blick auf Orga­ni­sa­ti­ons­grö­ßen aber auch auf das zu errei­chen­de Sicherheitsniveau,
  • spa­ren Ihnen Zeit und Nerven,
  • hel­fen, gern gemach­te Feh­ler bei Ein­füh­rung und Betrieb eines ISMS von vorn­her­ein zu ver­mei­den (RTFM).

Die “Arbeits­hil­fe” — der idea­le Ein­stieg in Arti­kel 32 DSGVO für klei­ne und gro­ße Einrichtungen

Wes­sen Orga­ni­sa­ti­on noch so gar kei­ne Erfah­rung hat mit dem The­ma Infor­ma­ti­ons­si­cher­heit oder die ISO 27001 und dem IT-Grund­schutz für zu wuch­tig hält, steigt idea­ler­wei­se über die “Arbeits­hil­fe” in das The­ma ein. Damit kön­nen grö­ße­re Orga­ni­sa­tio­nen ers­te Erfah­run­gen sam­meln, bevor es danach mit “grö­ße­ren” Stan­dards ans Ein­ge­mach­te geht. Und bei klei­ne­ren Ein­rich­tun­gen kommt man bei kon­se­quen­ter Anwen­dung des Stan­dards “Arbeits­hil­fe” bereits zu einem funk­tio­nie­ren­den ISMS mit dazu­ge­hö­ri­gen PDCA-Zyklus.

Die­ser Stan­dard wur­de 2016 im Auf­trag der Bay­ri­schen Kom­mu­na­len Spit­zen­ver­bän­de von uns für die Inno­va­ti­ons­stif­tung Bay­ri­sche Kom­mu­ne ent­wi­ckelt. Mitt­ler­wei­le ist Ver­si­on 4.0 aktu­ell. Ein Update auf Ver­si­on 5.0 wird vor­aus­sicht­lich in 2023 erschei­nen. Ist der Stan­dard dann über­haupt für Unter­neh­men und Ver­ei­ne geeig­net, wenn er doch aus dem kom­mu­na­len Bereich stammt? Ja klar. Wie zuvor schon geschrie­ben, ist Infor­ma­ti­ons­si­cher­heit eine uni­ver­sel­le Ange­le­gen­heit, die vom anzu­stre­ben­den Schutz­wert für schüt­zens­wer­te Infor­ma­tio­nen aus­geht. Dabei ist es uner­heb­lich, ob eine Fir­ma oder eine Ver­wal­tung Infor­ma­ti­ons­si­cher­heit betreibt. Der ein­zi­ge Knack­punkt bei Nut­zung der Arbeits­hil­fe: Gele­gent­lich muss man Begriff­lich­kei­ten wie Bür­ger­meis­ter, Land­rat oder Ver­wal­tung gegen die Pen­dants aus der frei­en Wirt­schaft tau­schen. Aber das bekom­men Sie hin 🙂

In 9 Kapi­teln führt die “Arbeits­hil­fe” eine Orga­ni­sa­ti­on in die not­wen­di­gen Anfor­de­run­gen für ein ISMS ein und legt die Grund­la­gen für den spä­te­ren Betrieb im Hin­blick auf “ein Ver­fah­ren zur regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Eva­lu­ie­rung der Wirk­sam­keit der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Gewähr­leis­tung der Sicher­heit der Ver­ar­bei­tung.” Gleich­zei­tig unter­stützt die Sys­te­ma­tik bei der Ent­de­ckung mög­li­cher Schwach­stel­len und zeigt Lösungs­we­ge auf, die­se zeit­nah zu beseitigen.

Die Sys­te­ma­tik, Anlei­tung und Doku­men­te zur Bear­bei­tung der “Arbeits­hil­fe” ste­hen kos­ten­frei zum Down­load zur Ver­fü­gung. Im ers­ten Durch­lauf wer­den auch kei­ne Inves­ti­tio­nen in eine ISMS-Soft­ware not­wen­dig. Im lau­fen­den Betrieb emp­fiehlt sich die­se dann spä­ter jedoch, um die Doku­men­ta­ti­on und regel­mä­ßi­ge Nach­prü­fung, aber auch das Berichts­we­sen zu erleich­tern. Bei Inter­es­se an einer sol­chen Lösung spre­chen Sie uns bit­te an.

Klei­nes Schman­kerl: Je nach Bun­des­land kön­nen För­der­mit­tel aus diver­sen Töp­fen zur Erhö­hung der Infor­ma­ti­ons­si­cher­heit oder IT-Sicher­heit oder Digi­ta­li­sie­rung ange­zapft wer­den. Wenn Sie sich also zur Unter­stüt­zung und Beglei­tung der Ein­füh­rung oder auch für Mit­ar­bei­ter­schu­lun­gen exter­ne Hil­fe her­an­ho­len, kön­nen die Aus­ga­ben hier­für geför­dert werden.

Wei­te­re Infos zur Arbeits­hil­fe fin­den Sie hier auf unse­rem Blog.

Wenn man ein sol­ches ISMS dann auch noch mit einem funk­tio­nie­ren­den Daten­schutz­ma­nage­ment­sys­tem (DSMS) ver­knüpft, dann hat man eini­ge Sor­gen weni­ger bzw. sich unnö­ti­ge Umstän­de und Mühen auf­grund unsys­te­ma­ti­scher Vor­ge­hens­wei­sen erfasst. Gleich­zei­tig hat man, den akti­ven Betrieb bei­der Sys­te­me vor­aus­ge­setzt, auch nicht ban­ge zu sein, soll­te die Lan­des­da­ten­schutz­be­hör­de mal klin­geln. Und das ist viel wert. Das wis­sen zumin­dest die Orga­ni­sa­tio­nen, bei denen das schon der Fall war 😉

 

a.s.k. Daten­schutz erfolg­reich Infor­ma­ti­ons­si­cher­heit (ISMS) nach ISIS12 zertifiziert

Nach nur knapp 6 Mona­ten Ein­füh­rung eines Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tems, kurz ISMS wur­de das Team von a.s.k. Daten­schutz für die inves­tier­te Zeit und Ner­ven belohnt. Nach einem erfolg­rei­chen Vor-Ort-Audit Mit­te Okto­ber durch die DQS GmbH haben wir zum 31.10.2020 das Zer­ti­fi­kat über die erfolg­rei­che Ein­füh­rung und den nach­weis­li­chen Betrieb unse­res ISMS auf Basis des Stan­dards ISIS12 2.0 erhal­ten. Damit sind wir die ers­te Orga­ni­sa­ti­on, die im neu­en Kata­log 2.0 zer­ti­fi­ziert wur­de. Das freut uns natür­lich gleich noch etwas mehr.

Neben den rein for­ma­len Anfor­de­run­gen haben die­se 6 Mona­te auch eini­ge Ver­än­de­run­gen an Arbeits­pro­zes­sen und ein­ge­setz­ten Soft­ware­lö­sun­gen z.B. für den Bereich Mobi­le Device Manage­ment und Hard­ware-Ver­wal­tung mit sich gebracht. So konn­ten wir bereits die Pha­se der Ein­füh­rung zur wei­te­ren Ver­bes­se­rung der tech­ni­schen und orga­ni­sa­to­ri­schen Schutz­maß­nah­men nut­zen. Wei­te­rer Vor­teil: Der Nach­weis geeig­ne­ter tech­ni­scher und orga­ni­sa­to­ri­scher Maß­nah­men im Sin­ne von Art. 32 DSGVO wird durch die Zer­ti­fi­zie­rung deut­lich erleichtert.

ISIS12 (Infor­ma­ti­ons­si­cher­heit in 12 Schrit­ten) ist eine aus dem BSI IT-Grund­schutz abge­lei­te­te Vor­ge­hens­wei­se, wel­che es klei­nen und mitt­le­ren Orga­ni­sa­tio­nen ermög­licht, ein Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tem (ISMS) ein­zu­füh­ren und zu betrei­ben. a.s.k. Daten­schutz berät und unter­stützt seit vie­len Jah­ren zahl­rei­che Kom­mu­nen und Unter­neh­men bei Ein­füh­rung und Betrieb eines ISMS auf Basis von ISIS12, aber auch ande­rer Stan­dards wie dem BSI IT-Grund­schutz selbst. Für uns war es daher ein logi­scher Schritt, unse­ren Kun­den nicht nur gute Rat­schlä­ge zur Ein­füh­rung und Betrieb von ISIS12 zu geben und sie dabei zu beglei­ten, son­dern uns selbst die­sen Regu­la­ri­en zu unter­wer­fen und das Gan­ze auch mit Zer­ti­fi­zie­rung abzuschließen.

Nach­dem die ISIS12-Kata­log­rei­he 1.x  zu April 2022 abge­kün­digt wur­de, war es für uns selbst­ver­ständ­lich, den Nach­fol­ge-Kata­log 2.0 ein­zu­füh­ren. Die über­ar­bei­te­te Struk­tur sowie deut­li­che Aktua­li­sie­rung der Bau­stei­ne und Maß­nah­men im Kata­log 2.0 gegen­über den frü­her aus dem IT-Grund­schutz-Kata­log ent­nom­me­nen Ele­men­ten haben eine zügi­ge, nach­voll­zieh­ba­re und trans­pa­ren­te Ein­füh­rung sehr unterstützt.

Wir kön­nen daher aus eige­ner Erfah­rung nur emp­feh­len, neue Pro­jek­te gene­rell nur noch im Kata­log 2.0 zu star­ten bzw. vor­han­de­ne ISMS auf Basis der 1.x Kata­lo­ge bei nächs­ter pas­sen­der Gele­gen­heit umzu­stel­len. Die Upgrade-Pfa­de sind gut doku­men­tiert und für unse­re Kun­den haben wir wei­te­re Sys­te­ma­ti­ken zur ein­fa­chen Kon­ver­tie­rung entwickelt.

Wie sag­te unser Audi­tor so schön: “Nach dem Audit ist vor dem Audit!” Und so haben wir die letz­ten Tage bereits genutzt, um uns wei­ter­zu­ent­wi­ckeln. Denn in 12 Mona­ten müs­sen wir uns dem ers­ten Über­wa­chungs­au­dit (Ü1) stel­len und auch das wol­len wir mit einem sehr guten Ergeb­nis abschließen.

Das ISIS12 Zer­ti­fi­kat hat eine Gül­tig­keit von 3 Jah­ren und kann hier ein­ge­se­hen bzw. als PDF abge­ru­fen wer­den. Wenn Sie mehr über den Stan­dard ISIS12 erfah­ren wol­len, kön­nen Sie hier in unse­rem Blog oder auf der Web­sei­te des IT-Sicher­heits­clus­ters Regens­burg wei­te­re Details nachlesen.

Infor­ma­ti­ons­si­cher­heit — IT-Sicher­heits­lü­cken und Daten­pan­nen 2019 und 2020 — Teil 2

Nach­fol­gend die Fort­set­zung des Bei­trags vom 18.04.2020 zu Cyber-Angrif­fen und Pan­nen in der Infor­ma­ti­ons­si­cher­heit /​ im Daten­schutz der letz­ten 12 Monate. 

Ober­lan­des­ge­richt Ber­lin wird gehackt - Infor­ma­ti­ons­si­cher­heit frag­lich 

Wer im Begriff war, ein Anlie­gen vor dem Ober­lan­des­ge­richt von Ber­lin (=Kam­mer­ge­richt Ber­lin) ver­han­deln zu las­sen, hat hof­fent­lich recht­zei­tig davon Abstand neh­men kön­nen. Denn damit konn­te er ver­hin­dern, dass sen­si­bels­te per­so­nen­be­zo­ge­ne und juris­ti­sche Infor­ma­tio­nen bei die­ser his­to­ri­schen Daten­pan­ne kom­pro­mit­tiert wur­den. Hier­mit wird nicht gesagt, dass es in ande­ren Berei­chen der Ber­li­ner Ver­wal­tung  bes­ser um die Infor­ma­ti­ons­si­cher­heit bestellt ist. Gene­rell ist in man­gel­haft gesi­cher­ten Berei­chen meis­tens nur die Stär­ke des Ver­mark­tungs- /​ Sabo­tag­einter­es­ses poten­zi­el­ler Hacker das maß­geb­li­che Kri­te­ri­um der tat­säch­li­chen Informationssicherheit. 

Im Sep­tem­ber 2019 wur­de fest­ge­stellt, dass von Sys­te­men des Kam­mer­ge­richts mit Ser­vern ver­bun­den war, die für die Fern­steue­rung schäd­li­cher Soft­ware typisch sind. 7 Tage spä­ter erfolg­te eine Vor­ort­prü­fung durch den IT-Dienst­leis­ter T‑Systems, der Emo­tet-Infek­tio­nen in diver­sen Sys­tem­be­rei­chen fest­stell­te und wei­te­re 14 Tage spä­ter wur­de der mut­maß­li­che Erst­in­fek­ti­ons-PC unter­sucht. Ursprung des Angriffs, wie vie­le Daten abge­flos­sen sind und seit wann, konn­te nicht fest­ge­stellt wer­den. Lücken in der Ermitt­lung wur­den mit Zeit- und finan­zi­el­len Aspek­ten begrün­det. Die Schad­soft­ware könn­te über einen USB-Stick auf die Sys­te­me gelangt sein. Die Sicher­heits­rou­ti­nen des Kam­mer­ge­richts erkann­ten die Emo­tet-Infil­trie­rung nicht. Eine Seg­men­tie­rung des Netz­werks hat­te man nicht vor­ge­nom­men, sodass sich die Schad­soft­ware unge­hin­dert aus­brei­ten und über eine Fern­steue­rung Daten expor­tie­ren konn­te. Fer­ner hat­te man die Datei­grö­ße des Event­logs der­ge­stalt limi­tiert, dass die rele­van­ten Pha­sen der Ereig­nis­do­ku­men­ta­ti­on bereits über­schrie­ben waren, als mit den Unter­su­chun­gen begon­nen wur­de. Wie­der­holt wur­de auf die beson­de­re Raf­fi­nes­se des Hackings hin­ge­wie­sen und „Sicher­heits­krei­se“ ver­mu­ten hin­ter dem Angriff orga­ni­sier­te Kri­mi­na­li­tät unter Feder­füh­rung des Nach­rich­ten­diens­tes der rus­si­schen Regie­rung. Wenn James Bond das wüsste … 

Der Bericht über den Vor­fall und die Unter­su­chun­gen vom Sep­tem­ber 2019 wur­de auf den 23.12.2019 datiert und Ende Janu­ar 2020 der Ber­li­ner Daten­schutz­be­auf­trag­ten zeit­gleich mit der Ver­öf­fent­li­chung vor­ge­legt. Die­se war hier­über „not amu­sed“ und for­der­te, dass „aus­schließ­lich mit dienst­li­chen Gerä­ten über eine zen­tral zur Ver­fü­gung gestell­te und aus­rei­chend abge­si­cher­te Infra­struk­tur“ Daten­ver­ar­bei­tun­gen zu erfol­gen haben. 

Es ist abzu­war­ten, ob Kon­se­quen­zen aus dem Vor­fall gezo­gen und die Stan­dards der Infor­ma­ti­ons­si­cher­heit in den Ver­wal­tungs­ein­rich­tun­gen der Haupt­stadt einer pro­fes­sio­nel­len Prü­fung unter­zo­gen wer­den oder ob wei­ter­hin Sicher­heits­vor­fäl­le fest­ge­stellt /​ öffent­lich gemacht werden. 

Bereits 2017/​2018 waren Sys­te­me des Bun­des­tags gehackt wor­den, wodurch die per­sön­li­chen Twit­ter­da­ten hun­der­ter Poli­ti­ker, Schau­spie­ler und Fern­seh­mo­de­ra­to­ren erbeu­tet wurden. 

2019-11 — Sicher­heits­lü­cke bei chi­ne­si­schem Smart­phone-Her­stel­ler 

Bereits zum zwei­ten Mal inner­halb von 2 Jah­ren kam es zu einer Daten­pan­ne bei dem chi­ne­si­schen Smart­phone-Her­stel­ler One­Plus. Über einen nicht bekann­ten Zeit­raum hin­weg war der Zugriff auf Kun­den­da­ten für Unbe­fug­te mög­lich. Betrof­fen sei­en Stamm- und Kon­takt­da­ten der Käu­fer gewe­sen. Eine Benach­rich­ti­gung der betrof­fe­nen Per­so­nen sei erfolgt. 

2019-12 — Daten­pan­ne bei der Luft­hansa

Für Kun­den der Miles & More GmbH, Toch­ter der Luft­han­sa, war es auf Grund eines mut­maß­li­chen tech­ni­schen Pro­blems für 40 Minu­ten mög­lich, auf per­so­nen­be­zo­ge­nen Daten ande­rer ein­ge­logg­ter Nut­zer der Online-Platt­form zuzu­grei­fen. Laut Luft­han­sa sei­en höchs­tens die Daten von 9.885 Miles & More-Kun­den betrof­fen. Betrof­fe­ne Daten waren: Stamm‑, Kon­takt- Kun­den- und Transaktionsdaten. 

2020-02 — Vor­fall in der Infor­ma­ti­ons­si­cher­heit bei Sam­sung 

Über den Dienst „Find My Mobi­le“, womit Smart­phones über eine Platt­form des Her­stel­lers geor­tet wer­den, ver­sand­te Sam­sung an „einen klei­nen Kreis“ von Nut­zern eine unver­ständ­li­che Nach­richt. Als sich die Betrof­fe­nen in ihrem Online-Kon­to bei Sam­sung ein­logg­ten, um Ihre Log­in-Daten zu ändern, erhiel­ten sie auf Grund eines Ser­ver­pro­blems Zugriff auf Daten ande­rer Nut­zer. Dies umfass­te Stamm- und Kon­takt­da­ten sowie die letz­ten 4 Zif­fern der Kre­dit­kar­ten waren sicht­bar. Bei Fest­stel­lung des Pro­blems wur­de der Log­in vor­über­ge­hend gesperrt. 

Fra­gen wirft aller­dings der Umstand auf, dass die Nach­richt auch von Nut­zern emp­fan­gen wur­de, die das Ortungs-Fea­ture deak­ti­viert hatten. 

Die­sen Monat wur­de fer­ner bekannt, dass eine Kon­takt­ver­fol­gungs-Funk­tio­na­li­tät bereits Mit­te Mai als ver­bind­li­ches Update von iPho­nes, iPads ab iOS 13 und Android-Gerä­ten ab Ver­si­on 6 instal­liert wird. Im Fall von Apple vor­aus­sicht­lich als gän­gi­ges Firm­ware-Update, bei Android vor­aus­sicht­lich als Update der Goog­le Play Services. 

Mit Instal­la­ti­on die­ser Funk­ti­on und Erlaub­nis von Apple /​ Goog­le wird es Behör­den künf­tig mög­lich sein, Daten aus den Kon­takt­pro­fi­len der Tablet- und Han­dy­nut­zer auszuwerten. 

2020-03 — Mas­si­ve Pan­ne in der Infor­ma­ti­ons­si­cher­heit bei der Inves­ti­ti­ons­bank Ber­lin 

Durch Mit­tei­lung der Ber­li­ner Daten­schutz­be­auf­trag­ten wur­de Ende März 2020 eine gra­vie­ren­de Daten­pan­ne der IBB bekannt. Bei der Ver­ar­bei­tung der 150.000 ein­ge­gan­ge­nen Anträ­ge auf Coro­na-Unter­stüt­zung trat ein Pro­gram­mier­feh­ler auf, durch den Antrag­stel­lern per­so­nen­be­zo­ge­ne /​ Ergeb­nis­da­ten ande­rer Antrag­stel­ler ange­zeigt wur­den. Betrof­fen waren Ausweis‑, Bank‑, Steu­er- und Unternehmensdaten. 

Bei Fest­stel­lung der Daten­pan­ne wur­de das Antrags­ver­fah­ren bis zur Besei­ti­gung des Pro­gram­mier­feh­lers pausiert. 

Hack­ing, Sicher­heits­lü­cken und pro­mi­nen­te Daten­pan­nen aus 2019 und 2020 — Teil 1

Im vori­gen Post haben wir über das Image von und den Umgang mit Daten­pan­nen berich­tet. Dabei haben wir ver­sucht, dem durch­schnitt­li­chen Daten­pan­nen-Ver­ur­sa­cher ein Stück weit die Angst davor zu neh­men, sol­che Ereig­nis­se pro­fes­sio­nell fest­zu­stel­len und an die Auf­sichts­be­hör­den zu mel­den. Aller­dings tra­ten und tre­ten Sicher­heits­lü­cken, Hack­ing und Daten­pan­nen welt­weit und hier­zu­lan­de auf, die kei­nes­wegs amü­sant oder hin­nehm­bar sind. Betrach­tet wer­den hier­bei die letz­ten zwölf Monate. 

2019-04 - 540 Mil­lio­nen Face­book-Kun­den­da­ten auf öffent­lich zugäng­li­chen Ser­vern 

Zwei Koope­ra­ti­ons­part­ner des bekann­tes­ten Online Social Media Netz­werks haben Daten von Face­book auf offen zugäng­li­chen Ama­zon-Ser­vern gespei­chert. Dabei han­delt es sich um 

  • das Unter­neh­men Cul­tu­ra Colec­ti­va, das Account­na­men, Kom­men­ta­re und Likes frei zugäng­lich im AWS Cloud Dienst speicherte 
  • die Ent­wick­ler­fir­ma der Face­book App «At the Pool», die Pass­wör­ter im Klar­text von 22 000 Face­book Nut­zern auf öffent­lich zugäng­li­chen Ser­ver­be­rei­chen speicherte. 

Im Lich­te des Cam­bridge Ana­ly­ti­ca Skan­dals, bei dem Infor­ma­tio­nen über Mil­lio­nen Face­book-Nut­zer an das gleich­na­mi­ge Unter­neh­men zwecks Ana­ly­sen wei­ter­ge­ge­ben wur­den, war Face­book bereits unter Daten­schutz-Druck gera­ten. Die Zukunft wird zei­gen, ob aus den Ereig­nis­sen Lern­erfol­ge gezo­gen wer­den konn­ten. Ein gewis­ser Trost dürf­te mög­li­cher­wei­se dar­in bestehen, dass Face­book Pro­fi­le ohne­hin über­wie­gend zur Ver­öf­fent­li­chung geschön­ter und damit allen­falls bedingt rea­ler per­so­nen­be­zo­ge­ner Infor­ma­tio­nen genutzt wer­den 🙂 Das schmä­lert jedoch nicht die Bri­sanz die­ser Datenpanne. 

2019-05 — Hack­ing und Daten­pan­nen im Arztbereich 

Der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Baden-Würt­tem­berg (LfDI) beklagt die hohe Anzahl von daten­schutz­be­zo­ge­nen Sicher­heits­vor­fäl­len in Arzt­pra­xen. Hack­ing wie Ver­schlüs­se­lungs­tro­ja­ner und Fehl­ver­sand von Pati­en­ten­be­rich­ten, Rezep­ten und Rönt­gen­bil­dern bil­de­ten dabei die Spit­ze des Eis­bergs. Ins­be­son­de­re bei der Ver­ar­bei­tung solch sen­si­bler Pati­en­ten­da­ten sei­en star­ke tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men (TOM) „wie Daten­si­che­rung, Ver­schlüs­se­lung, Schu­lung und Sen­si­bi­li­sie­rung“ unabdingbar. 

2019-08 — Hack­ing — Daten von 106 Mil­lio­nen Bank­kun­den der Capi­tal One erbeu­tet 

Einer Hacke­rin, die in der Ent­wick­lungs­ab­tei­lung des genutz­ten Ama­zon Cloud Ser­vices AWS der US-Bank Capi­tal One gear­bei­tet hat­te, gelang es, von den Sys­te­men der Bank per­so­nen­be­zo­ge­ne Daten zu Kre­dit­kar­ten und ‑anträ­gen zu erbeu­ten. Betrof­fen waren nebst Stamm- und Kon­takt­da­ten die ange­ge­be­nen Ein­kom­men, Infor­ma­tio­nen zur Kre­dit­wür­dig­keit und Ver­fü­gungs­rah­men. Laut Aus­sa­ge der Bank soll nicht an einer Schwach­stel­le des Cloud Ser­vices, son­dern die man­gel­haf­te Kon­fi­gu­ra­ti­on eine Fire­wall gehan­delt haben. 

2019-08 — Daten­pan­ne im Hau­se Twit­ter 

Twit­ter teil­te mit, dass mehr als zwölf Mona­te lang Daten von ca 300 Mil­lio­nen Twit­ter Usern mit Wer­be­kun­den ohne ent­spre­chen­de Ein­wil­li­gung geteilt wur­den. Ver­bots­wid­rig wur­den somit Daten an exter­ne Emp­fän­ger wei­ter­ge­ge­ben. Betrof­fen gewe­sen sei­en laut Twit­ter Daten über Kon­sum­dau­er von Wer­be­an­zei­gen. Mail­kon­ten und Pass­wör­ter waren lt. Twit­ter nicht betroffen. 

2019-09 — Hack­ing nicht not­wen­dig — Fahr­läs­sig­keit bei Mil­lio­nen von Pati­en­ten­da­ten 

Hoch­sen­si­ble Daten­sät­ze von welt­weit meh­re­ren Mil­lio­nen Pati­en­ten, davon mehr als 13.000 Daten­sät­ze aus Deutsch­land, online unver­schlüs­selt und frei ver­füg­bar auf hun­der­ten von unge­si­cher­ten Ser­vern. Der Bun­des­da­ten­schutz­be­auf­trag­te Ulrich Kel­ber hat­te einen “ver­hee­ren­den ers­ten Ein­druck” von dem Skan­dal. Eine Kol­la­bo­ra­ti­on des Baye­ri­schen Rund­funks und Pro­Pu­bli­ca deck­ten die­sen inter­na­tio­nal bestehen­den, und bis heu­te nicht besei­tig­ten bei­na­he nicht fass­ba­ren Miss­stand auf. Laut BR sei­en u.a. Daten wie Brust­krebs­scree­nings, Wir­bel­säu­len­bil­der, Rönt­gen­auf­nah­men eines Brust­korbs etc., ein­schließ­lich zuge­hö­ri­ger Behand­lungs­in­for­ma­tio­nen betrof­fen. Eine 2016 ver­öf­fent­lich­te Stu­die des Har­vard-Pro­fes­sors Oleg Pia­nykh wur­de in Fach­krei­sen zu Kennt­nis genom­men, führ­ten jedoch zu kei­ner Ver­bes­se­rung der Zustän­de. Für die­je­ni­gen Daten­sät­ze, die trotz des bis heu­te akut bestehen Pro­blems nicht in die Hän­de von Unbe­fug­ten /​ Hackern gelangt sind, gilt, dass sich dies dem rela­ti­ven Des­in­ter­es­se von Hackern auf Grund der nur sehr beding­ten Ver­wert­bar­keit pri­va­ter Gesund­heits­da­ten verdankt. 

Ver­schlüs­se­lung — eine kur­ze Geschichte

Ver­schlüs­se­lung ist ein span­nen­des und in der Infor­ma­ti­ons­si­cher­heit grund­le­gen­des The­ma. Die Not­wen­dig­keit, unbe­rech­tig­ten Per­so­nen Infor­ma­tio­nen und Güter vor­zu­ent­hal­ten und gleich­zei­tig die posi­ti­ve Berech­ti­gung über ein (über)tragbares, erlern­ba­res Medi­um zu defi­nie­ren, ist so alt wie die Erfin­dung der Schur­ke­rei selbst.

κρυπτός, nein hier han­delt es sich nicht um ein Bei­spiel für Ver­schlüs­se­lung, son­dern nur um Grie­chisch :). Kryp­tos bezeich­net das Gehei­me. Falls Sie bei die­sem Begriff einen nega­ti­ven Bei­geschmack haben soll­ten, liegt das wahr­schein­lich dar­an, dass Inha­bern von Geheim­nis­sen ten­den­zi­ell nega­ti­ve Absich­ten zuge­spro­chen wer­den. Grund dazu gibt es aller­dings nicht. Denn die Gewin­nung von — ins­be­son­de­re per­so­nen­be­zo­ge­nen — Infor­ma­tio­nen wird zuneh­mend zur wert­volls­ten und lukra­tivs­ten Res­sour­ce. Und die gilt es mit einer ange­mes­se­nen Sorg­falt zu wah­ren. Was mit ein­mal offen­ge­leg­ten oder kom­pro­mit­tier­ten Infor­ma­tio­nen geschieht, ist dann meist nur noch eine Fra­ge der Nach­sor­ge. Eine siche­re Ver­schlüs­se­lung ist somit zu einem der wich­tigs­ten Weg­be­glei­ter unse­rer beruf­li­chen und pri­va­ten Per­sön­lich­keits­ent­fal­tung geworden.

Anfän­ge der Verschlüsselung

Altes chi­ne­si­sches Vor­hän­ge­schloss — Wiki­me­dia Commons

Schlüs­sel sind die ältes­te Form der Berech­ti­gungs­ver­ga­be. Bis heu­te wer­den sie zur phy­si­schen Zugangs- und Zutritts­kon­trol­le ein­ge­setzt. Häu­fig wer­den sie kom­bi­niert mit digi­ta­len Kodie­run­gen, die über eine Draht­losab­fra­ge vali­diert wer­den. Auch Maschinen(-funktionen) wie in Kraft­wer­ken und Schif­fen wer­den mit phy­si­schen Schlüs­seln frei­ge­schal­tet. Die Abbil­dung zeigt Schlüs­sel mit Schloss wie sie vor eini­gen tau­send Jah­ren in Chi­na ein­ge­führt wur­den. Für die ver­ba­le Infor­ma­ti­ons­si­cher­heit — ein­schließ­lich der Über­win­dung gro­ßer Distan­zen — wur­den Dazu gehö­ren Insi­der- und Geheim­spra­chen. Die­se datie­ren mit­un­ter bis zu 2000 Jah­re zurück. Wie etwa Gelehr­ten-Dia­lek­te und Kauf­manns­spra­chen, bei denen ein­zel­ne Lau­te, Sil­ben und Phra­sen ent­we­der nach Sys­tem oder durch grup­pen­spe­zi­fi­sche Gewohn­hei­ten ersetzt wurden.

Kodie­run­gen und Kryptographie

Rotor-Schlüs­sel­ma­schi­ne

Mit zuneh­men­der Bedeu­tung des geschrie­be­nen Wor­tes stieg der Bedarf, die­se Infor­ma­ti­on zu schüt­zen. Zei­chen durch ande­re zu erset­zen nach einem spe­zi­fi­schen, für Ein­ge­weih­te nach­voll­zieh­ba­ren Sys­tem, wur­de in ver­schie­de­nen For­men kul­ti­viert. Jedem bekannt in unse­rem digi­ta­len Zeit­al­ter, fan­den Kodie­run­gen ins­be­son­de­re Ihre Anfän­ge in der stra­te­gi­schen Anwen­dung. Um dem Geg­ner kei­nen Ein­blick in die Pla­nun­gen zu geben und über wei­te Stre­cken Ent­schei­dun­gen mit­zu­tei­len, wur­den Code­sys­te­me wie etwa die Cäsar-Chif­fre im 1. Jahr­hun­dert v. Chr. ent­wi­ckelt. Chif­frier­schei­ben ab 1467 und Chif­frier­ma­schi­nen wie die abge­bil­de­te aus dem 20. Jahr­hun­dert ermög­lich­ten die ein­fach nach­voll­zieh­ba­re mecha­ni­sche Chif­frie­rung geschrie­be­ner Inhalte.

Tipp - In die­sem Kon­text sei eine nicht beson­ders bekann­te und den­noch geni­al ein­fa­che Ver­si­on der manu­el­len Ver­schlüs­se­lungs­hil­fe zu nen­nen. Die Pass­wort­kar­te. Die­se Lässt sich mit weni­gen Klicks selbst erstel­len und auch online gene­rie­ren. Anstel­le der Zei­chen des gewünsch­ten Pass­worts als sol­che müs­sen Sie sich ledig­lich Start­punkt, ggf. belie­big vie­le Abzwei­gun­gen und End­punkt mer­ken. Wenn Sie eine indi­vi­du­el­le Pass­wort­kar­te bei­spiels­wei­se zwei­mal aus­dru­cken und ein Exem­plar einem weit ent­fern­ten Gesprächs­part­ner über­mit­teln, kön­nen Sie mit die­sem sehr siche­re Pass­wort­ab­spra­chen für gemein­sa­me Pro­jek­te abspre­chen und müs­sen dabei nur opti­sche Ori­en­tie­rung erläutern.

Moder­ne Verschlüsselungen

Im Zuge der flä­chen­de­cken­den Wei­ter­ent­wick­lung der digi­ta­len Kom­mu­ni­ka­ti­on wur­de der erwar­tungs­ge­mä­ßen Nach­fra­ge der Ver­schlüs­se­lung im behörd­li­chen und cor­po­ra­te Bereich Rech­nung getra­gen. IBM grün­de­te Ende der 1960er Jah­re eine Arbeits­grup­pe, die sich erfolg­reich mit der Ent­wick­lung einer stan­dar­di­sier­ten Ver­schlüs­se­lungs­lo­gik befass­te. Die­se wur­de in den DES wei­ter­ent­wi­ckelt, eine sym­me­tri­sche Ver­schlüs­se­lungs­me­tho­de und Vor­läu­fer des heu­ti­gen AES. Die­se Block­chif­fre AES ist trotz eini­ger erfolg­reich durch­ge­führ­ter spe­zia­li­sier­ter Angriffs­ver­su­che bis heu­te einer der maß­geb­li­chen, tech­nisch und behörd­lich aner­kann­ten Verschlüsselungsstandards.

Der AES-Stan­dard wird auf Grund von Sicher­heits­ni­veau und Effi­zi­enz welt­weit ein­ge­setzt. Er gilt außer in Bezug auf volu­mi­nö­se bru­te force Angrif­fe als prak­tisch unknack­bar in Kom­bi­na­ti­on mit einem ent­spre­chend star­ken Pass­wort. Es wur­den sowohl diver­se auf die­ses Prin­zip auf­bau­en­de als auch unab­hän­gi­ge Ver­schlüs­se­lungs­al­go­rith­men ent­wi­ckelt wie RSA, MD5, IDEA, Tri­ple­DES und Blow­fi­sh sowie zahl­rei­che inzwi­schen offi­zi­ell kom­pro­mit­tier­te und unsi­che­re Stan­dards wie SHA.

Zwei zen­tra­le Aspek­te bil­den bei der Wis­sen­schaft der Ver­schlüs­se­lung wei­test­ge­hend gemein­sa­me Spe­zi­fi­ka: Die Zer­stü­cke­lung der Infor­ma­ti­on (wie zB. in Hash­funk­tio­nen), die dann einer sepa­ra­ten, seg­ment­wei­sen wie­der­hol­ten Chif­rie­rung zuge­führt wer­den kann. Und die Anrei­che­rung mit Mis­in­for­ma­ti­on wie zB. bei Salts, um die Iden­ti­fi­zie­rung der eigent­li­chen Infor­ma­ti­on zu erschweren.

Tipp — Sie kön­nen auch mit ein­fachs­ten Mit­teln AES-256 Ver­schlüs­se­lung auf Ihre zu schüt­zen­den Daten anwen­den. Hier­zu gibt es eini­ge soft­ware Lösun­gen wie das pro­mi­nen­tes­te Bei­spiel win­rar, das pri­vat im Rah­men einer kos­ten­freie Test­ver­si­on genutzt wer­den kann und auch im Fir­men­ein­satz über­schau­bar lizen­ziert wer­den kann. Zusam­men mit einem guten Pass­wort­kön­nen Sie sehr siche­re Datei­con­tai­ner her­stel­len und die­se dann per her­kömm­li­chem = unsi­che­rem mail Weg ver­sen­den. Das Pass­wort selbst natür­lich auf einem sepa­ra­ten Weg mit­tei­len wie tele­fo­nisch etc. 

Aus­blick der künf­ti­gen Verschlüsselung

Mit der zu erwar­ten­den Markt­er­schlie­ßung durch den kom­mer­zi­el­len Quan­ten­com­pu­ter, der vor gut einem Jahr offi­zi­ell prä­sen­tiert wur­de, gewinnt die Infor­ma­ti­ons­streu­ung in Aus­ga­be­wer­ten bei der Infor­ma­ti­ons­si­che­rung ins­be­son­de­re gegen bru­te force Angrif­fe eine essen­zi­el­le Rol­le. Statt ein­fach die Aus­gangs­in­for­ma­ti­on mit Algo­rith­men zu chif­frie­ren muss auch die Aus­ga­be­lo­gik inten­siv wei­ter­ent­wi­ckelt wer­den, die bei­spiels­wei­se bei jedem ein­zel­nen Angriffs­ver­such ver­meint­lich ent­schlüs­selt und dabei fake Daten im exakt erwar­te­ten For­mat liefert.

Auch Mehr­fak­torau­then­ti­fi­zie­run­gen und auto­ma­ti­sche Sper­ren wer­den wei­ter an Gewicht im behörd­li­chen, cor­po­ra­te und pri­va­ten Bereich gewin­nen und soll­ten selbst­ver­ständ­lich bereits heu­te nach tech­ni­schen Mög­lich­kei­ten ein­ge­setzt wer­den, was unse­res Erach­tens in der Pra­xis noch statt­li­ches Aus­bau­po­ten­zi­al hat 🙂

Infor­ma­ti­ons­si­cher­heits­kon­zept Arbeits­hil­fe V 3.0 erschie­nen — jetzt mit LSI Siegel

Wer benö­tigt ein Informationssicherheitskonzept?

Jede Orga­ni­sa­ti­on ist gefor­dert, die Anfor­de­run­gen aus Art. 32 DSGVO zu erfül­len. Da steht in Absatz 1:

Unter Berück­sich­ti­gung des Stands der Tech­nik, der Imple­men­tie­rungs­kos­ten und der Art, des Umfangs, der Umstän­de und der Zwe­cke der Ver­ar­bei­tung sowie der unter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwe­re des Risi­kos für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen tref­fen der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, um ein dem Risi­ko ange­mes­se­nes Schutz­ni­veau zu gewähr­leis­ten; die­se Maß­nah­men schlie­ßen gege­be­nen­falls unter ande­rem Fol­gen­des ein:

a) die Pseud­ony­mi­sie­rung und Ver­schlüs­se­lung per­so­nen­be­zo­ge­ner Daten;
b) die Fähig­keit, die Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Belast­bar­keit der Sys­te­me und Diens­te im Zusam­men­hang mit der Ver­ar­bei­tung auf Dau­er sicherzustellen;
c) die Fähig­keit, die Ver­füg­bar­keit der per­so­nen­be­zo­ge­nen Daten und den Zugang zu ihnen bei einem phy­si­schen oder tech­ni­schen Zwi­schen­fall rasch wiederherzustellen;
d) ein Ver­fah­ren zur regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Eva­lu­ie­rung der Wirk­sam­keit der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Gewähr­leis­tung der Sicher­heit der Verarbeitung.

Unter b) sind die Grund­wer­te der Infor­ma­ti­ons­si­cher­heit Ver­trau­lich­keit, Ver­füg­bar­keit und Inte­gri­tät genannt. Betrach­ten wir die Kurz­de­fi­ni­tio­nen aus der Infor­ma­ti­ons­si­cher­heit hierzu.

Ver­trau­lich­keit: Kei­ne unbe­rech­tig­te Kennt­nis­nah­me (bis hin zum Miß­brauch) der Infor­ma­tio­nen, weder durch Mit­ar­bei­ter noch durch Externe.

Inte­gri­tät: Die Infor­ma­tio­nen sind kor­rekt, voll­stän­dig und unver­fälscht. Ände­run­gen sind nach­voll­zieh­bar und rück­gän­gig zu machen.

Ver­füg­bar­keit: Die Infor­ma­tio­nen ste­hen zur rich­ti­gen Zeit am rich­ti­gen Ort zur Ver­fü­gung (nicht beschränkt auf IT-Ver­füg­bar­keit). [Ver­füg­bar­keit ist in der Tat erst an drit­ter Stel­le, auch wenn in der Pra­xis um das The­ma Aus­fall­zei­ten ger­ne der Tanz um das gol­de­ne Kalb stattfindet.]

Die­se Grund­wer­te der Infor­ma­ti­ons­si­cher­heit sicher­zu­stel­len, ist das Ziel eines jeden Infor­ma­ti­ons­si­cher­heits­kon­zepts, auch des Stan­dards der sog. “Arbeits­hil­fe”.

Unter­punkt d) ver­langt von Ihrer Orga­ni­sa­ti­on, die Wirk­sam­keit der im Hin­blick auf Ver­trau­lich­keit, Inte­gri­tät und Ver­füg­bar­keit ergrif­fe­nen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men regel­mä­ßig zu prü­fen und bei Bedarf nach­zu­jus­tie­ren oder geeig­ne­te zusätz­li­che bzw. ergän­zen­de Schutz­maß­nah­men ein­zu­füh­ren. Auch dies ist eine der Kern­funk­tio­nen eines funk­tio­nie­ren­den Informationssicherheitskonzepts.

Salopp gesagt, ver­langt die DSGVO von Orga­ni­sa­tio­nen in die­sem Fall nicht weni­ger als die Ein­füh­rung eines Infor­ma­ti­ons­si­cher­heits­kon­zepts und des­sen kon­ti­nu­ier­li­chen Betrieb. Klar kann man ver­su­chen, sich auch selbst ein Kon­zept zu “bas­teln”, bleibt nur die Fra­ge “Wie­so soll­te man das tun?”

Baye­ri­sche Kom­mu­nen sind per Gesetz (BayE­GovG) sogar dazu ver­pflich­tet, bis zum 01.01.2020 ein Infor­ma­ti­ons­si­cher­heits­kon­zept ein­ge­führt und im lau­fen­den Betrieb zu haben.

Bewähr­te Stan­dards wie die ISO 27001, der BSI IT-Grund­schutz, ISIS12 (als Ablei­tung aus dem IT-Grund­schutz) sind seit vie­len Jah­ren bewähr­te Stan­dards, um ein Infor­ma­ti­ons­si­cher­heits­kon­zept ein­zu­füh­ren, zu betrei­ben und damit auch die Anfor­de­run­gen aus Art. 32 DSGVO zu erfül­len. Die­se Stan­dards ska­lie­ren zwar auch für klei­ne­re Orga­ni­sa­tio­nen, sind den­noch sehr res­sour­cen­in­ten­siv. Hier hat für den kom­mu­na­len Bereich die Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne im Auf­trag der Baye­ri­schen Kom­mu­na­len Spit­zen­ver­bän­de ange­setzt und gera­de für klei­ne­re kom­mu­na­le Ein­rich­tun­gen durch a.s.k. Daten­schutz die “Arbeits­hil­fe zur Ein­füh­rung eines Infor­ma­ti­ons­si­cher­heits­kon­zepts nach Art. 11 BayE­GovG” ent­wi­ckeln las­sen. Die­ser Stan­dard basiert auf den Erkennt­nis­sen und Vor­ge­hens­wei­sen aus zahl­rei­chen IT-Grund­schutz-Pro­jek­ten sowie dem frü­he­ren “Quick Check Daten­schutz + Daten­si­cher­heit”. Ent­ge­gen der Bezeich­nung und ursprüng­li­chen Aus­rich­tung auf den kom­mu­na­len Bereich ist die “Arbeits­hil­fe” uni­ver­sell ein­setz­bar und natür­lich auch in Unter­neh­men ein­setz­bar. Hier­zu sind ledig­lich Begriff­lich­kei­ten anzu­pas­sen, statt Bür­ger­meis­ter heißt es dann eben Geschäftsführer.

Stan­dard für Infor­ma­ti­ons­si­cher­heit Arbeits­hil­fe Ver­si­on 3.0 erschienen

Am 26. Sep­tem­ber 2019 ist die Arbeits­hil­fe mitt­ler­wei­le in Ver­si­on 3.0 erschie­nen. Die Wei­ter­ent­wick­lung und Anpas­sung oblag erneut uns von der a.s.k. Daten­schutz. Neben Aktua­li­sie­run­gen z.B. bei Links zum gera­de auf­ge­frisch­ten BSI IT-Grund­schutz stand neben der Feh­ler­kor­rek­tur die Anpas­sung an das Sie­gel “Kom­mu­na­le IT-Sicher­heit” des Lan­des­amts für Sicher­heit in der Infor­ma­ti­ons­tech­nik — kurz LSI — in Nürn­berg im Vor­der­grund. Wenn Sie mehr über das LSI Sie­gel erfah­ren wol­len, fin­den Sie Details hier­zu in einem wei­te­ren Blog­bei­trag.

Kom­mu­na­le Ein­rich­tun­gen, die sich zur Ein­füh­rung eines Infor­ma­ti­ons­si­cher­heits­kon­zepts auf Basis der Arbeits­hil­fe ent­schei­den, erfül­len mit der Umset­zung die Anfor­de­run­gen des LSI zum Erhalt des Sie­gels “Kom­mu­na­le IT-Sicher­heit”. Das setzt natür­lich eine ernst­haf­te und ehr­li­che Bear­bei­tung der 9 Kapi­tel der Arbeits­hil­fe zur Infor­ma­ti­ons­si­cher­heit in der Kom­mu­ne voraus.

Hier geht es direkt zum Down­load der Arbeits­hil­fe V 3.0. Soll­te der Link nicht mehr funk­tio­nie­ren, nut­zen Sie bit­te die Start­sei­te der Inno­va­ti­ons­stif­tung und suchen die Ver­öf­fent­li­chung vom 28.09.2019.

Mit a.s.k. Daten­schutz und der Arbeits­hil­fe zum Sie­gel “Kom­mu­na­le IT-Sicherheit”

Wenn Sie sich bei der Ein­füh­rung der Arbeits­hil­fe in Ihrer Ver­wal­tung durch das Team von a.s.k. Daten­schutz unter­stüt­zen las­sen, dann über­neh­men wir am Ende die For­ma­li­tä­ten der not­wen­di­gen Anga­ben und Aus­künf­te gegen­über des LSI. Einem Erhalt des Sie­gels soll­te dann nichts mehr im Wege stehen.

Soll­ten wir Sie im Anschluß auch als exter­ne Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te betreu­en, küm­mern wir uns mit Ihnen gemein­sam auch um die Ver­län­ge­rung des Sie­gels nach Ablauf der 2 Jah­re Gül­tig­keits­dau­er. Dazu muss dem LSI der Wei­ter­be­trieb Ihres Infor­ma­ti­ons­si­cher­heits­kon­zepts belegt bzw. nach­ge­wie­sen wer­den. Auch dies wür­den wir von a.s.k. Daten­schutz übernehmen.

Übri­gens nut­zen wir zur Ein­füh­rung und zum Betrieb Ihres Infor­ma­ti­ons­si­cher­heits­kon­zepts auf Basis der Arbeits­hil­fe eine hoch­mo­der­ne und voll­ver­schlüs­sel­te Pro­jekt­platt­form. Damit wird die Bear­bei­tung der Punk­te zwar kein Kin­der­spiel, aber die Doku­men­ta­ti­on dazu erle­digt sich fast von selbst. Gleich­zei­tig ver­säu­men Sie und wir kei­ne Revi­si­ons­ter­mi­ne und Wie­der­vor­la­gen. Mehr Infos in die­sem Blog­bei­trag. Unse­re Platt­form ist bereits für Ver­si­on 3.0 der Arbeits­hil­fe aktua­li­siert und angepasst.

Unter­neh­men und die Arbeits­hil­fe als Informationssicherheitskonzept

Wie ein­gangs schon beschrie­ben, ist auch dies kein Pro­blem. In der Wort­wahl wer­den zwar kom­mu­na­le Funk­tio­nen adres­siert, aber die inhalt­li­chen Anfor­de­run­gen an Infor­ma­ti­ons­si­cher­heit sind zwi­schen Unter­neh­men und Behör­den iden­tisch. Erset­zen Sie in Gedan­ken ein­fach Begrif­fe wie “Bür­ger­meis­ter” mit “Geschäfts­füh­rer” und schon sind Sie in der Unter­neh­mens­welt angekommen.

Das ein­zi­ge Man­ko: Das LSI Sie­gel “Kom­mu­na­le IT-Sicher­heit” kann nur von kom­mu­na­len Ein­rich­tun­gen erwor­ben wer­den. Als Unter­neh­men sind Sie hier außen vor. Ger­ne unter­stüt­zen wir auch Ihr Unter­neh­men bei der Ein­füh­rung eines Informationssicherheitskonzepts.

Ange­bot Infor­ma­ti­ons­si­cher­heits­kon­zept für Kom­mu­nen bzw. Behörden

Sie wün­schen ein unver­bind­li­ches Ange­bot? Dann nut­zen Sie ein­fach unser ver­schlüs­sel­tes Anfra­ge-For­mu­lar. Wir mel­den uns zeit­nah bei Ihnen.

Unver­bind­li­ches Ange­bot anfordern

 

 

 

 

Arbeits­hil­fe der Inno­va­ti­ons­stif­tung und Baye­ri­sches Sie­gel “Kom­mu­na­le IT-Sicherheit”

Baye­ri­sches Sie­gel “Kom­mu­na­le IT-Sicherheit”

Das Baye­ri­sche Lan­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (kurz LSI) bie­tet seit Mai 2019 ein Prüf­sie­gel für den Umset­zungs­stand der Infor­ma­ti­ons­si­cher­heit in baye­ri­schen Kom­mu­nen an. Auf Basis einer Selbst-Aus­kunft kann die Kom­mu­ne damit eine Min­dest­ab­si­che­rung in der Infor­ma­ti­ons­si­cher­heit nach­wei­sen. Das Sie­gel ist unab­hän­gig vom ver­wen­de­ten ISMS-Stan­dard. Das Sie­gel hat eine Gül­tig­keits­dau­er von 2 Jah­ren. Eine Ver­län­ge­rung kann bean­tragt wer­den. Dazu muss die Kom­mu­ne jedoch die akti­ve Beschäf­ti­gung mit dem The­ma Infor­ma­ti­ons­si­cher­heit und den Betrieb des Infor­ma­ti­ons­si­cher­heits­kon­zepts nach­wei­sen. Wie bei “ech­ten” Zer­ti­fi­zie­run­gen kann ein erst­ma­lig erteil­tes Sie­gel also auch wie­der ent­zo­gen werden.

Kann mit dem Infor­ma­ti­ons­si­cher­heits­kon­zept “Arbeits­hil­fe” der Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne das Sie­gel erreicht werden?

Das Infor­ma­ti­ons­si­cher­heits­kon­zept “Arbeits­hil­fe” der Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne (Autor: Sascha Kuhr­au) ist selbst­ver­ständ­lich für den Erhalt des Sie­gels gerüs­tet. Jede Kom­mu­ne, die ihr Infor­ma­ti­ons­si­cher­heits­kon­zept auf Basis der Arbeits­hil­fe ein­ge­führt hat, kann bei ent­spre­chend kor­rek­ter Umset­zung die Vor­aus­set­zun­gen für den Erhalt des LSI Sie­gels erfüllen.

Als Autor der Arbeits­hil­fe und Lei­ter zahl­rei­cher kom­mu­na­ler Infor­ma­ti­ons­si­cher­heits­pro­jek­te sowie kom­mu­na­ler exter­ner Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ter unter­stüt­zen wir von a.s.k. Daten­schutz Sascha Kuhr­au Sie ger­ne bei der Ein­füh­rung und dem Betrieb eines kom­mu­na­len Infor­ma­ti­ons­si­cher­heits­kon­zepts und dem Erhalt des LSI Siegels.

Wo fin­de ich Infor­ma­tio­nen zum Baye­ri­schen Sie­gel “Kom­mu­na­le IT-Sicherheit”?

Das LSI stellt auf sei­ner Web­sei­te aus­führ­li­che Infor­ma­tio­nen bereit (exter­ner Link).

Was hat es mit der “Arbeits­hil­fe” auf sich und wo kann ich die­se beziehen?

Die Arbeits­hil­fe ist eine aus dem IT-Grund­schutz des BSI abge­lei­te­te Sys­te­ma­tik, um klei­ne kom­mu­na­le Ein­rich­tun­gen (aber auch klei­ne Fir­men) bei der Ein­füh­rung und dem Betrieb eines Infor­ma­ti­ons­si­cher­heits­kon­zepts zu unter­stüt­zen und zu beglei­ten. Sie wur­de im Auf­trag der Baye­ri­schen Kom­mu­na­len Spit­zen­ver­bän­de für die Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne durch die a.s.k. Daten­schutz Bera­tung Sascha Kuhr­au ent­wi­ckelt. Die Arbeits­hil­fe steht inter­es­sier­ten Orga­ni­sa­tio­nen kos­ten­frei zur Ver­fü­gung. Wei­te­re Infor­ma­tio­nen fin­den Sie auf der Web­sei­te der Inno­va­ti­ons­stif­tung (exter­ner Link).

Im Lau­fe des Jah­res 2019 wird die Arbeits­hil­fe in einer Ver­si­on 3.o erschei­nen, in der kon­kre­te Anpas­sun­gen für das LSI Sie­gel ent­hal­ten sind.

Bis­her gab es ledig­lich für die “gro­ßen” ISMS wie ISO 27001, BSI IT-Grund­schutz oder ISIS12 die Mög­lich­keit im Rah­men einer Zer­ti­fi­zie­rung einen Nach­weis über eine kor­rek­te Umset­zung des ISMS zu erhal­ten. Mit­tels des LSI Sie­gels kann nun auch die Arbeits­hil­fe mit einer sol­chen Art Nach­weis aufwarten.

Ihr Unter­neh­men benö­tigt einen exter­nen Datenschutzbeauftragten?

Kom­pe­ten­te Bera­tung, prag­ma­ti­sche Ein­füh­rung eines DSMS und anschlie­ßen­de Betreu­ung als exter­ner Daten­schutz­be­auf­trag­ter erhal­ten Sie selbst­ver­ständ­lich vom Team von a.s.k. Daten­schutz. For­dern Sie Ihr unver­bind­li­ches Ange­bot über unser For­mu­lar an. Wir mel­den uns bei Ihnen zeitnah.

Die mobile Version verlassen