Berg Anstieg Hilfe

Wer benö­tigt ein Informationssicherheitskonzept?

Jede Orga­ni­sa­ti­on ist gefor­dert, die Anfor­de­run­gen aus Art. 32 DSGVO zu erfül­len. Da steht in Absatz 1:

Unter Berück­sich­ti­gung des Stands der Tech­nik, der Imple­men­tie­rungs­kos­ten und der Art, des Umfangs, der Umstän­de und der Zwe­cke der Ver­ar­bei­tung sowie der unter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwe­re des Risi­kos für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen tref­fen der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, um ein dem Risi­ko ange­mes­se­nes Schutz­ni­veau zu gewähr­leis­ten; die­se Maß­nah­men schlie­ßen gege­be­nen­falls unter ande­rem Fol­gen­des ein:

a) die Pseud­ony­mi­sie­rung und Ver­schlüs­se­lung per­so­nen­be­zo­ge­ner Daten;
b) die Fähig­keit, die Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Belast­bar­keit der Sys­te­me und Diens­te im Zusam­men­hang mit der Ver­ar­bei­tung auf Dau­er sicherzustellen;
c) die Fähig­keit, die Ver­füg­bar­keit der per­so­nen­be­zo­ge­nen Daten und den Zugang zu ihnen bei einem phy­si­schen oder tech­ni­schen Zwi­schen­fall rasch wiederherzustellen;
d) ein Ver­fah­ren zur regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Eva­lu­ie­rung der Wirk­sam­keit der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Gewähr­leis­tung der Sicher­heit der Verarbeitung.

Unter b) sind die Grund­wer­te der Infor­ma­ti­ons­si­cher­heit Ver­trau­lich­keit, Ver­füg­bar­keit und Inte­gri­tät genannt. Betrach­ten wir die Kurz­de­fi­ni­tio­nen aus der Infor­ma­ti­ons­si­cher­heit hierzu.

Ver­trau­lich­keit: Kei­ne unbe­rech­tig­te Kennt­nis­nah­me (bis hin zum Miß­brauch) der Infor­ma­tio­nen, weder durch Mit­ar­bei­ter noch durch Externe.

Inte­gri­tät: Die Infor­ma­tio­nen sind kor­rekt, voll­stän­dig und unver­fälscht. Ände­run­gen sind nach­voll­zieh­bar und rück­gän­gig zu machen.

Ver­füg­bar­keit: Die Infor­ma­tio­nen ste­hen zur rich­ti­gen Zeit am rich­ti­gen Ort zur Ver­fü­gung (nicht beschränkt auf IT-Ver­füg­bar­keit). [Ver­füg­bar­keit ist in der Tat erst an drit­ter Stel­le, auch wenn in der Pra­xis um das The­ma Aus­fall­zei­ten ger­ne der Tanz um das gol­de­ne Kalb stattfindet.]

Die­se Grund­wer­te der Infor­ma­ti­ons­si­cher­heit sicher­zu­stel­len, ist das Ziel eines jeden Infor­ma­ti­ons­si­cher­heits­kon­zepts, auch des Stan­dards der sog. “Arbeits­hil­fe”.

Unter­punkt d) ver­langt von Ihrer Orga­ni­sa­ti­on, die Wirk­sam­keit der im Hin­blick auf Ver­trau­lich­keit, Inte­gri­tät und Ver­füg­bar­keit ergrif­fe­nen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men regel­mä­ßig zu prü­fen und bei Bedarf nach­zu­jus­tie­ren oder geeig­ne­te zusätz­li­che bzw. ergän­zen­de Schutz­maß­nah­men ein­zu­füh­ren. Auch dies ist eine der Kern­funk­tio­nen eines funk­tio­nie­ren­den Informationssicherheitskonzepts.

Salopp gesagt, ver­langt die DSGVO von Orga­ni­sa­tio­nen in die­sem Fall nicht weni­ger als die Ein­füh­rung eines Infor­ma­ti­ons­si­cher­heits­kon­zepts und des­sen kon­ti­nu­ier­li­chen Betrieb. Klar kann man ver­su­chen, sich auch selbst ein Kon­zept zu “bas­teln”, bleibt nur die Fra­ge “Wie­so soll­te man das tun?”

Baye­ri­sche Kom­mu­nen sind per Gesetz (Bay­E­GovG) sogar dazu ver­pflich­tet, bis zum 01.01.2020 ein Infor­ma­ti­ons­si­cher­heits­kon­zept ein­ge­führt und im lau­fen­den Betrieb zu haben.

Bewähr­te Stan­dards wie die ISO 27001, der BSI IT-Grund­schutz, ISIS12 (als Ablei­tung aus dem IT-Grund­schutz) sind seit vie­len Jah­ren bewähr­te Stan­dards, um ein Infor­ma­ti­ons­si­cher­heits­kon­zept ein­zu­füh­ren, zu betrei­ben und damit auch die Anfor­de­run­gen aus Art. 32 DSGVO zu erfül­len. Die­se Stan­dards ska­lie­ren zwar auch für klei­ne­re Orga­ni­sa­tio­nen, sind den­noch sehr res­sour­cen­in­ten­siv. Hier hat für den kom­mu­na­len Bereich die Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne im Auf­trag der Baye­ri­schen Kom­mu­na­len Spit­zen­ver­bän­de ange­setzt und gera­de für klei­ne­re kom­mu­na­le Ein­rich­tun­gen durch a.s.k. Daten­schutz die “Arbeits­hil­fe zur Ein­füh­rung eines Infor­ma­ti­ons­si­cher­heits­kon­zepts nach Art. 11 Bay­E­GovG” ent­wi­ckeln las­sen. Die­ser Stan­dard basiert auf den Erkennt­nis­sen und Vor­ge­hens­wei­sen aus zahl­rei­chen IT-Grund­schutz-Pro­jek­ten sowie dem frü­he­ren “Quick Check Daten­schutz + Daten­si­cher­heit”. Ent­ge­gen der Bezeich­nung und ursprüng­li­chen Aus­rich­tung auf den kom­mu­na­len Bereich ist die “Arbeits­hil­fe” uni­ver­sell ein­setz­bar und natür­lich auch in Unter­neh­men ein­setz­bar. Hier­zu sind ledig­lich Begriff­lich­kei­ten anzu­pas­sen, statt Bür­ger­meis­ter heißt es dann eben Geschäftsführer.

Stan­dard für Infor­ma­ti­ons­si­cher­heit Arbeits­hil­fe Ver­si­on 3.0 erschienen

Am 26. Sep­tem­ber 2019 ist die Arbeits­hil­fe mitt­ler­wei­le in Ver­si­on 3.0 erschie­nen. Die Wei­ter­ent­wick­lung und Anpas­sung oblag erneut uns von der a.s.k. Daten­schutz. Neben Aktua­li­sie­run­gen z.B. bei Links zum gera­de auf­ge­frisch­ten BSI IT-Grund­schutz stand neben der Feh­ler­kor­rek­tur die Anpas­sung an das Sie­gel “Kom­mu­na­le IT-Sicher­heit” des Lan­des­amts für Sicher­heit in der Infor­ma­ti­ons­tech­nik — kurz LSI — in Nürn­berg im Vor­der­grund. Wenn Sie mehr über das LSI Sie­gel erfah­ren wol­len, fin­den Sie Details hier­zu in einem wei­te­ren Blog­bei­trag.

Kom­mu­na­le Ein­rich­tun­gen, die sich zur Ein­füh­rung eines Infor­ma­ti­ons­si­cher­heits­kon­zepts auf Basis der Arbeits­hil­fe ent­schei­den, erfül­len mit der Umset­zung die Anfor­de­run­gen des LSI zum Erhalt des Sie­gels “Kom­mu­na­le IT-Sicher­heit”. Das setzt natür­lich eine ernst­haf­te und ehr­li­che Bear­bei­tung der 9 Kapi­tel der Arbeits­hil­fe zur Infor­ma­ti­ons­si­cher­heit in der Kom­mu­ne voraus.

Hier geht es direkt zum Down­load der Arbeits­hil­fe V 3.0. Soll­te der Link nicht mehr funk­tio­nie­ren, nut­zen Sie bit­te die Start­sei­te der Inno­va­ti­ons­stif­tung und suchen die Ver­öf­fent­li­chung vom 28.09.2019.

Mit a.s.k. Daten­schutz und der Arbeits­hil­fe zum Sie­gel “Kom­mu­na­le IT-Sicherheit”

Wenn Sie sich bei der Ein­füh­rung der Arbeits­hil­fe in Ihrer Ver­wal­tung durch das Team von a.s.k. Daten­schutz unter­stüt­zen las­sen, dann über­neh­men wir am Ende die For­ma­li­tä­ten der not­wen­di­gen Anga­ben und Aus­künf­te gegen­über des LSI. Einem Erhalt des Sie­gels soll­te dann nichts mehr im Wege stehen.

Soll­ten wir Sie im Anschluß auch als exter­ne Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te betreu­en, küm­mern wir uns mit Ihnen gemein­sam auch um die Ver­län­ge­rung des Sie­gels nach Ablauf der 2 Jah­re Gül­tig­keits­dau­er. Dazu muss dem LSI der Wei­ter­be­trieb Ihres Infor­ma­ti­ons­si­cher­heits­kon­zepts belegt bzw. nach­ge­wie­sen wer­den. Auch dies wür­den wir von a.s.k. Daten­schutz übernehmen.

Übri­gens nut­zen wir zur Ein­füh­rung und zum Betrieb Ihres Infor­ma­ti­ons­si­cher­heits­kon­zepts auf Basis der Arbeits­hil­fe eine hoch­mo­der­ne und voll­ver­schlüs­sel­te Pro­jekt­platt­form. Damit wird die Bear­bei­tung der Punk­te zwar kein Kin­der­spiel, aber die Doku­men­ta­ti­on dazu erle­digt sich fast von selbst. Gleich­zei­tig ver­säu­men Sie und wir kei­ne Revi­si­ons­ter­mi­ne und Wie­der­vor­la­gen. Mehr Infos in die­sem Blog­bei­trag. Unse­re Platt­form ist bereits für Ver­si­on 3.0 der Arbeits­hil­fe aktua­li­siert und angepasst.

Unter­neh­men und die Arbeits­hil­fe als Informationssicherheitskonzept

Wie ein­gangs schon beschrie­ben, ist auch dies kein Pro­blem. In der Wort­wahl wer­den zwar kom­mu­na­le Funk­tio­nen adres­siert, aber die inhalt­li­chen Anfor­de­run­gen an Infor­ma­ti­ons­si­cher­heit sind zwi­schen Unter­neh­men und Behör­den iden­tisch. Erset­zen Sie in Gedan­ken ein­fach Begrif­fe wie “Bür­ger­meis­ter” mit “Geschäfts­füh­rer” und schon sind Sie in der Unter­neh­mens­welt angekommen.

Das ein­zi­ge Man­ko: Das LSI Sie­gel “Kom­mu­na­le IT-Sicher­heit” kann nur von kom­mu­na­len Ein­rich­tun­gen erwor­ben wer­den. Als Unter­neh­men sind Sie hier außen vor. Ger­ne unter­stüt­zen wir auch Ihr Unter­neh­men bei der Ein­füh­rung eines Informationssicherheitskonzepts.

Ange­bot Infor­ma­ti­ons­si­cher­heits­kon­zept für Kom­mu­nen bzw. Behörden

Sie wün­schen ein unver­bind­li­ches Ange­bot? Dann nut­zen Sie ein­fach unser ver­schlüs­sel­tes Anfra­ge-For­mu­lar. Wir mel­den uns zeit­nah bei Ihnen.

Unver­bind­li­ches Ange­bot anfordern

 

 

 

 

Daten­schutz © N-Media-Images — Fotolia.com

DIE EU-DSGVO macht es mög­lich – der exter­ne Daten­schutz­be­auf­trag­te für baye­ri­sche Kommunen

Die EU-Daten­schutz­grund­ver­ord­nung (EU-DSGVO) macht es für baye­ri­sche Kom­mu­nen mög­lich, was in ande­ren Bun­des­län­dern schon län­ger geüb­te Pra­xis ist: Die Bestel­lung eines exter­nen behörd­li­chen Daten­schutz­be­auf­trag­ten. Sah das Baye­ri­sche Lan­des­da­ten­schutz­ge­setz (BayDSG) bis­her eine exter­ne Bestell­mög­lich­keit eines Daten­schutz­be­auf­trag­ten für baye­ri­sche Kom­mu­nal­ein­rich­tun­gen nicht vor, so ändert sich dies zum 25.05.2018 ein­heit­lich. Ab die­sem Zeit­punkt kön­nen und dür­fen baye­ri­sche Kom­mu­nen end­lich einen exter­nen Daten­schutz­be­auf­trag­ten zum behörd­li­chen Daten­schutz­be­auf­trag­ten bestellen.

Ent­las­tung für klei­ne­re Kommunen

Gera­de klei­ne­re Kom­mu­nen haben sich mit der Bestel­lung eines Daten­schutz­be­auf­trag­ten stets schwer getan. Neben den viel­fäl­ti­gen Auf­ga­ben einer Ver­wal­tung und den nicht gera­de üppig vor­han­de­nen Per­so­nal­res­sour­cen war meist wenig „Luft“ für die Bestel­lung eines inter­nen Daten­schutz­be­auf­trag­ten. Und selbst wenn es zu einer inter­nen Bestel­lung kam, so wur­de die Funk­ti­on nicht sel­ten mit wenig bis kei­nem Leben erfüllt. Hin­zu kamen gra­vie­ren­de Nach­tei­le eines mit wenig Zeit und Res­sour­cen aus­ge­stat­te­ten inter­nen Daten­schutz­be­auf­trag­ten. Näm­lich der viel zu gerin­ge zeit­li­che Spiel­raum zur Aus­übung der Tätig­keit, das feh­len­de Know-How (meist kei­ne Aus­bil­dung zum DSB vor­han­den) und damit ein­her­ge­hend die feh­len­de Übung im Umgang mit den all­täg­li­chen Datenschutzfragen.

Doch mit der EU-DSGVO kommt Ent­las­tung und Unter­stüt­zung für baye­ri­sche Kom­mu­nen. Ab dem 25.05.2018 kön­nen die­se nun einen Daten­schutz­be­auf­trag­ten auch extern bestellen.

Vor­tei­le der exter­nen Bestel­lung eines Daten­schutz­be­auf­trag­ten für baye­ri­sche Kommunen

Die Vor­tei­le eines exter­nen Daten­schutz­be­auf­trag­ten für Kom­mu­nen lie­gen klar auf der Hand

  • Trans­pa­renz in Zeit und Kosten
  • Stets aktu­el­les Know-How durch Grund­aus­bil­dung, Fort- und Wei­ter­bil­dung des exter­nen Daten­schutz­be­auf­trag­ten (nicht zu Las­ten der Kommune)
  • Sofort im The­ma: Der exter­ne Daten­schutz­be­auf­trag­te kennt sich mit Theo­rie und Pra­xis im Daten­schutz­recht und Daten­schutz­all­tag bes­tens aus und kann sofort loslegen
  • Gemein­sa­me Bestel­lung mög­lich: Meh­re­re Kom­mu­nen im Land­kreis kön­nen sich im Rah­men der Inter­kom­mu­na­len Zusam­men­ar­beit zeit und Kos­ten für einen exter­nen Daten­schutz­be­auf­trag­ten teilen

Über­gangs­lö­sung durch exter­ne Bera­tung zum 25.05.2018

Nichts ist schlim­mer, als nichts zu tun. Daher emp­feh­len wir, nicht bis zum 25.05.2018 abzu­war­ten. Holen Sie bereits heu­te einen ver­sier­ten Daten­schutz­be­ra­ter an Bord, der Ihre Kom­mu­ne fit für den Daten­schutz und die Anfor­de­run­gen der EU-Daten­schutz­grund­ver­ord­nung macht. Damit legen Sie erfolg­reich den Grund­stein für die erfolg­rei­che Tätig­keit des exter­nen Daten­schutz­be­auf­trag­ten für (baye­ri­sche) Kom­mu­nen ab dem 25.05.2018.

Die exter­nen Daten­schutz­be­auf­trag­ten von a.s.k. Daten­schutz für baye­ri­sche Kommunen

Spe­zi­ell für baye­ri­sche Kom­mu­nen ste­hen die aus­ge­bil­de­ten Bera­ter und spä­te­ren exter­nen Daten­schutz­be­auf­trag­ten von a.s.k. Daten­schutz bereit. Mit dem The­ma Daten­schutz zumeist bereits seit Jah­ren befasst, haben unse­re Mit­ar­bei­ter die Daten­schutz-Kur­se der Baye­ri­schen Ver­wal­tungs­schu­le (BVS) erfolg­reich absol­viert oder sich in ande­ren geeig­ne­ten Maß­nah­men für den Ein­satz in öffent­li­chen und nicht-öffent­li­chen Stel­len qua­li­fi­ziert. Zusätz­lich sind unse­re Mit­ar­bei­ter zer­ti­fi­zier­te Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te (BVS) und kön­nen Ihren Bezirk, Ihr  Land­rats­amt, Ihre Stadt oder Ihre Gemein­de voll­um­fäng­lich unter­stüt­zen. Soll­ten Sie einen exter­nen Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten für baye­ri­sche Kom­mu­nen benö­ti­gen, ste­hen wir Ihnen damit eben­falls zur Verfügung.

Ange­bot für einen exter­nen behörd­li­chen Daten­schutz­be­auf­trag­ten für baye­ri­sche Kom­mu­nen anfordern

Sie wün­schen ein Ange­bot für einen exter­nen behörd­li­chen Daten­schutz­be­auf­trag­ten für Ihre Kom­mu­ne? Nut­zen Sie ein­fach das For­mu­lar aus unse­rem Fly­er (Down­load am Ende des Bei­trags) oder schrei­ben Sie uns eine Email.

[wpfi­le­ba­se tag=file path=‘flyer/1703ask_Flyer_Ext_DSB_DIN-A4_DD.pdf’ /​]
AKDB Logo

Wir durf­ten zu Gast sein auf der jüngs­ten AKDB Haus­mes­se in Würz­burg am 09.07.2015. Unter dem Mot­to “Zukunft gestal­ten” infor­mier­ten sich knapp 350 Besu­cher zu aktu­el­len kom­mu­na­len IT-The­men. Im Rah­men unse­res Gast­vor­tra­ges stell­ten wir die aktu­el­le Bedro­hungs­la­ge in der IT-Sicher­heit dar, sowie das not­wen­di­ge Umden­ken bei der Bekämp­fung die­ser Risi­ken für kom­mu­na­le IT-Infra­struk­tu­ren dar. Auch in den anschlie­ßen­den Gesprä­chen waren sich die Betei­lig­ten einig: es ist kei­ne Fra­ge mehr des Ob, son­dern nur noch des Wann es zu einem (erfolg­rei­chen) Angriff auf die eige­nen IT-Sys­te­me kommt.

AKDB Hausmesse Würzburg 2015 (c) AKDB
AKDB Haus­mes­se Würz­burg 2015 © AKDB