Pra­xis­na­he Umset­zung seit 2013

Ihr Exper­te für Daten­schutz und Informationssicherheit

Sicher­heit der Daten­ver­ar­bei­tung in der DSGVO

Sicher­heit in der Daten­ver­ar­bei­tung: Kön­nen Sie die­se 10 Fra­gen zu den tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men beantworten?

Sicher­heit der Ver­ar­bei­tung: Der Überblick

Ein­lei­tung

Für Unter­neh­men ist die Infor­ma­ti­ons­si­cher­heit in der heu­ti­gen Zeit ein unver­zicht­ba­res Instru­ment zur Erfül­lung von Auf­ga­ben. Sie umfasst die Sicher­heit der gesam­ten IT-Sys­te­me (IT-Sicher­heit), aber auch die nicht-tech­ni­schen Sys­te­me, wie zum Bei­spiel die Sicher­heit von Gebäu­den oder die Gefah­ren, die von den Beschäf­tig­ten selbst ausgehen. 

Um die Sicher­heit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zu gewähr­leis­ten, ist es zunächst wich­tig zu ver­ste­hen, dass der Daten­schutz für ana­lo­ge und digi­ta­le Ver­ar­bei­tun­gen gilt. Neben den tech­ni­schen IT-Sys­te­men, wie zum Bei­spiel Ser­ver, Fire­wall, Desk­top oder Smart­phone kann auch ein Aus­druck am Schwar­zen Brett zu einer Ver­let­zung der Rech­te und Frei­hei­ten von Per­so­nen führen.

Was die Sicher­heit der Ver­ar­bei­tung eigent­lich genau ist und wie man die­se im Unter­neh­men umsetzt, doku­men­tiert und was die Begrif­fe „Ange­mes­sen­heit“, „Wirk­sam­keit“ und „Stand der Tech­nik“ bedeu­tet — auf die­ser Sei­te fin­den Sie Ant­wor­ten auf (fast) alle Fragen.

Hin­weis: Die­se Infor­ma­tio­nen stel­len kei­ne Rechts­be­ra­tung dar, son­dern geben Anre­gun­gen zur Umset­zung. Für eine kon­kre­te Umset­zung neh­men Sie ger­ne Kon­takt auf.

Inhalte 

Sicher­heit der Verarbeitung: 

Um die Sicher­heit der Daten­ver­ar­bei­tung im Daten­schutz (aber natür­lich auch die ande­ren Infor­ma­tio­nen in Ihrem Unter­neh­men) zu gewähr­leis­ten, müs­sen geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men eta­bliert wer­den. Dabei ist ein risi­ko­ba­sier­ter Ansatz zu wäh­len. Die Schwe­re der ver­bun­de­nen Risi­ken für betrof­fe­ne Per­so­nen (oder das Unter­neh­men) und die Ein­tritts­wahr­schein­lich­keit sind dabei mit ein­zu­be­zie­hen. Ein Risi­ko­ma­nage­ment ist zwin­gend erfor­der­lich, um die gesetz­li­chen Vor­ga­ben fach­ge­recht und ziel­ge­rich­tet umzusetzen.

Fol­gen­de Schutz­zie­le sind zu erfül­len, die sich aus dem IT-Grun­d­­schutz  und dem SDM-Modell der Auf­sichts­be­hör­den ableiten.

Das Schutz­ziel „Ver­füg­bar­keit“ sorgt dafür, dass die Daten zum rich­ti­gen Zeit­punkt, aktu­ell und in der benö­tig­ten Form zur Ver­fü­gung ste­hen, um den Zweck der Daten­ver­ar­bei­tung zu erfüllen.

Bei der Ver­trau­lich­keit geht es dar­um, dass kei­ne unbe­fug­ten Per­so­nen oder Sys­te­me auf per­so­nen­be­zo­ge­ne Daten zugrei­fen kön­nen. Dazu gehö­ren nicht nur Drit­te außer­halb des Unter­neh­mens, son­dern auch inter­ne Beschäf­tig­te, die kei­nen inhalt­li­chen Bezug zu der Ver­ar­bei­tungs­tä­tig­keit haben. Maß­nah­men zur Ver­hin­de­rung und (bei einem Ver­lust der Ver­trau­lich­keit) zur Behe­bung oder Abmil­de­rung der Ver­let­zung sind zu pla­nen und umzusetzen.

Bei der Inte­gri­tät soll sicher­ge­stellt wer­den, dass unbe­fug­te Ver­än­de­run­gen von Infor­ma­tio­nen aus­ge­schlos­sen wer­den. Jeg­li­che Ver­än­de­run­gen an den gespei­cher­ten Daten sind durch unbe­rech­tig­te Per­so­nen und Sys­te­me aus­zu­schlie­ßen. Erfolgt trotz­dem eine Ver­let­zung der Sicher­heit, sind Maß­nah­men zu eta­blie­ren, dass Daten­ver­än­de­run­gen zeit­nah erkannt und kor­ri­giert werden.

Unter dem Schutz­ziel Trans­pa­renz bezeich­net man die Erkenn­bar­keit der Daten­ver­ar­bei­tung. Dabei ist – je nach Ziel­grup­pe – z. B. Nut­zer, IT-Ver­ant­wort­li­che oder der jewei­li­ge Fach­be­reich entscheidend, 

  • - wel­che Daten wann und für
  • - wel­chen Zweck ver­ar­bei­tet werden,
  • - wel­che Sys­te­me und Pro­zes­se dafür genutzt werden,
  • - an wen wel­che Daten für wel­chen Zweck über­mit­telt wer­den und
  • - wer die recht­li­che Ver­ant­wor­tung für die Daten und Sys­te­me
    in den ver­schie­de­nen Pha­sen einer Daten­ver­ar­bei­tung besitzt. 

Not­wen­dig sind dabei die Beob­ach­tung und Steuerung 

  • - der Daten, 
  • - der Pro­zes­se und 
  • - der betei­lig­ten Sys­te­me von der Ent­ste­hung bis
    zu ihrer Löschung bzw. Vernichtung.

Um die Daten­ver­ar­bei­tung sicher und recht­mä­ßig zu gestal­ten, ist es not­wen­dig, dass per­so­nen­be­zo­ge­ne Daten nicht zusam­men­ge­führt wer­den. Das gilt beson­ders dann, wenn Daten für ver­schie­de­ne Zwe­cke erho­ben wurden. 

Ein gro­ßer Daten­pool erzeugt Begehr­lich­kei­ten, um Daten für wei­te­re Zwe­cke zu nutzen.

Maß­nah­men zur Pseud­ony­mi­sie­rung und orga­ni­sa­ti­ons- bzw. sys­tem­sei­ti­ge Tren­nung unter­stützt die Errei­chung des Schutzzieles.

Das Schutz­ziel „Inter­venierbarkeit“ bezeich­net die Anfor­de­rung, dass den betrof­fe­nen Per­so­nen die ihnen zuste­hen­den Rech­te auf Benach­richtigung, Aus­kunft, Berich­ti­gung, Löschung, Ein­schrän­kung, Datenüber­tragbarkeit, Wider­spruch und Erwir­kung des Ein­griffs in auto­ma­ti­sier­te Einzel­entscheidungen bei Bestehen der gesetz­lichen Vor­aus­set­zun­gen unver­züg­lich und wirk­sam gewährt wer­den. Der Verantwort­liche ist ver­pflich­tet ist, die ent­spre­chen­den Maß­nah­men umzu­set­zen. Soweit der Ver­ant­wort­li­che über Infor­ma­tio­nen ver­fügt, die es ihm erlau­ben, die betrof­fe­nen Per­so­nen zu iden­ti­fi­zie­ren, muss er auch Maß­nah­men zur Identi­fizierung und Authen­ti­fi­zie­rung der betrof­fe­nen Per­so­nen, die ihre Rech­te wahr­neh­men möch­ten, treffen.

Beach­ten Sie mög­li­che Sanktionen!

Was ist, wenn die Daten­ver­ar­bei­tung durch eine Auf­sichts­be­hör­de Ihre Geschäfts­pro­zes­se unter­sagt oder Geld­bu­ßen auf­er­legt werden?

Die Höhe vari­iert sicher­lich von Unter­neh­men und dem Risi­ko der Ver­ar­bei­tung, aber Ver­feh­lun­gen kön­nen schnell recht teu­er wer­den (2% vom Vorjahres­umsatz oder 10.000.000 Euro, je nach­dem was höher ist). So weit wird es hof­fent­lich nicht kommen.

Sicher­heit der Ver­ar­bei­tung: Wel­che Gefähr­dun­gen haben Ein­fluss auf den Daten­schutz und die Informationssicherheit

Fol­gen­de Gefähr­dun­gen haben Ein­fluss auf die per­so­nen­be­zo­ge­nen Daten oder Geschäfts­daten, Vertrau­lichkeit, Inte­gri­tät und Ver­füg­bar­keit von Informationswerten:

Den­ken Sie an die Folgeaufgaben!

Ohne die Erstel­lung von Sicherheits­konzepten kön­nen die Nachweis­pflichten der DSGVO nicht erfüllt wer­den. Die Prü­fung, ob die eta­blier­ten Maß­nah­men durch die IT-Abtei­lung oder die exter­nen IT-Dienst­leis­ter auch wirk­sam umge­setzt wor­den sind, ist eine wich­ti­ge Fol­ge­auf­ga­be. Die meis­ten Unter­neh­men ver­trau­en dar­auf, dass der IT-Dienst­leis­ter alles rich­tig macht. In den meis­ten Fäl­len gibt es aber weder eine Doku­men­ta­ti­on noch eine Anleh­nung an Stan­dards, wie zum Bei­spiel IT-Grund­schutz oder ISO 27001. Suchen Sie sich einen Exper­ten, der die Maß­nah­men zur Sicher­heit der Ver­ar­bei­tung Stück für Stück voranbringt.

10 Prüf­fra­gen für die Geschäftsleitung

Fra­gen Sie sich als Ver­tre­tung der Geschäfts­lei­tung: Machen wir im Daten­schutz alles rich­tig? Dann stel­len Sie Ihrem Per­so­nal oder dem Datenschutz­beauftragten die fol­gen­den Fra­gen und las­sen sich ent­spre­chen­de Nach­wei­se vorlegen. 
compliance-im-datenschutz

Sie ken­nen das The­ma bereits und wol­len mehr Details? Hier erhal­ten Sie wei­te­re Infor­ma­tio­nen zur Sicher­heit der Verarbeitung. 

Sie wol­len in 4 Schrit­ten die Sicher­heit der Ver­ar­bei­tung in Ihrem Unter­neh­men umset­zen? Fin­den Sie hier wei­te­re Informationen.

Sie wün­schen eine direk­te Kontakt­aufnahme und haben Fra­gen zum Sicher­heit der Verar­beitung, die ggf. schnell beant­wortet wer­den können?

In 4 Schrit­ten zur Sicher­heit der VErarbeitung

Nach­fol­gend zei­ge ich Ihnen in 4 Schrit­ten, wie Sie das The­ma „Sicher­heit der Ver­ar­bei­tung“ im Unter­neh­men umset­zen und aktu­ell hal­ten können.

Schritt 1: Holen Sie einen Spe­zia­lis­ten an Bord — schnel­ler geht es nicht.

Vor­weg: Das The­ma Sicher­heit der Ver­ar­bei­tung ist je nach Unter­neh­men sehr umfang­reich. Die DSGVO gibt nur tech­nik-neu­tra­le Hin­wei­se, was Unter­neh­men in die­sem Bereich beach­ten müs­sen. Das ist auch nach­voll­zieh­bar, weil sich die Tech­nik stän­dig weiterentwickelt.

Zunächst holen Sie sich einen Spe­zia­lis­ten, der sich seit vie­len Jah­ren per­ma­nent mit der Sicher­heit im Daten­schutz und in der Informations­technik beschäf­tigt. Mit einem gerin­gen Zeit­auf­wand bei Ihren inter­nen Fach­bereichen und exter­nen Dienst­leis­tern wer­den die erforder­lichen Infor­ma­tio­nen abge­fragt, um einen ers­ten Über­blick zu erstellen.

Eine Bestands­auf­nah­me ist dann erfor­der­lich, um die unter­schied­li­chen Daten­ver­ar­bei­tun­gen im Unter­neh­men zu erhe­ben. Die ver­wen­de­ten ana­lo­gen und digi­ta­len Infor­ma­ti­ons­sys­te­me, exter­ne Dienst­leis­ter sowie die jewei­li­gen Ansprech­part­ner wer­den dann den Ver­ar­bei­tungs­tä­tig­kei­ten zugeordnet.

Beach­ten Sie das Risi­ko für die betrof­fe­nen Personen!

Die Anzahl der zu erstel­len­den Kon­zep­te sind abhän­gig von der Kom­ple­xi­tät der Ver­ar­bei­tung und dem Risi­ko für die Rech­te und Frei­heiten der betrof­fe­nen Per­so­nen. Das Wis­sen für die Erstel­lung von fachge­recht erstell­ten Kon­zep­ten soll­ten Sie nicht durch inter­ne Beschäf­tig­te oder durch exter­ne Dienst­leister ohne Unter­stützung erstel­len. Die­se Erfah­rung ist neben­beruflich nur schwer zu erlangen.

Schritt 2: Fest­le­gung der Struk­tur für die Sicher­heit der Verarbeitung.

Legen Sie fest, in wel­cher Form die Doku­men­te in Ihrem Unter­neh­men erstellt und abge­legt wer­den sol­len. Für wel­che The­men­ge­bie­te benö­ti­gen Sie kon­kre­te Maß­nah­men und Anweisungen?

Am Anfang steht übli­cher­wei­se eine Leit­li­nie der Geschäfts­lei­tung, in der zum Aus­druck gebracht wird, wel­chen Stel­len­wert der Daten­schutz und die Infor­ma­ti­ons­si­cher­heit im Unter­neh­men hat. Die Zie­le sind zu defi­nie­ren und rich­ten sich nach den stra­te­gi­schen Unter­neh­mens­zie­len. Dar­auf auf­bau­end wer­den Richt­li­ni­en oder Anwei­sun­gen defi­niert, in der sich kon­kre­te Vor­ga­ben für den Umgang mit Infor­ma­tio­nen in Ihrem Unter­neh­men wiederfinden.

Sie nut­zen ein inter­nes Dokument­ations­system, zum Bei­spiel ein inter­nes Wiki­pe­dia, ein Dokumenten­management­system, Goog­le Dri­ve, eine Next­Cloud, ein Qualitäts­management­system, Micro­soft Teams / Share­Point oder den klas­si­schen Aktenordner?

Ver­wen­den Sie einen ein­heit­li­chen Auf­bau der Doku­men­te, ein Versions­management, eine Kom­mu­ni­ka­ti­ons- und Freigabe­prozedur und stel­len sicher, dass die jewei­li­gen Ziel­grup­pen auf die Doku­men­te zugrei­fen können. 

Abschlie­ßend wer­den Doku­men­te dar­ge­stellt, die für die meis­ten Unter­neh­men zu erstel­len sind.

Typi­sche Doku­men­te im Bereich Sicher­heit der Verarbeitung

Die fol­gen­de Aus­wahl zeigt ver­schie­de­ne Doku­men­te auf, die typi­scher­wei­se not­wen­dig sind, um nach­wei­sen zu kön­nen, dass Sie sich mit dem The­ma „Sicher­heit der Ver­ar­bei­tung“ aus­ein­an­der­ge­setzt haben.

Schritt 3: Erstel­len Sie die Doku­men­te zur Sicher­heit der Verarbeitung

Nach der Inven­tur der Geschäfts­prozesse, Informations­systeme und Betei­lig­ten wird die Vorgehens­weise prio­ri­siert. Dabei ist dar­auf zu ach­ten, dass zuerst die Informations­systeme gemäß dem poten­zi­el­len Risi­ko für das Unter­neh­men und die betrof­fe­nen Per­so­nen betrach­tet werden.

Wäh­rend der Doku­men­ta­ti­on wer­den Sie fest­stel­len, dass Sie (noch) nicht alle Maß­nah­men erfül­len, die zum Bei­spiel von den Bau­stei­nen des IT-Grund­schut­zes erwar­tet wer­den. Pro The­men­ge­biet müs­sen Sie dann schau­en, ob Sie die Maß­nah­men erfül­len kön­nen. Ggf. gibt es auch alter­na­ti­ve Schutz­maß­nah­men, die ergän­zend zur Sicher­heit der Ver­ar­bei­tung beitragen.

Gehen Sie schritt­wei­se vor.

Es kann sein, dass Sie die Fül­le der Anfor­de­run­gen, die heu­te im Bereich Daten­schutz und Informations­sicherheit erwar­tet wer­den, über­for­dert. Kon­zen­trie­ren Sie sich jedoch auf die wesent­li­chen Maß­nah­men zum Schutz Ihrer Daten.

Wenn Sie Maß­nah­men nicht sofort umset­zen kön­nen, sam­meln Sie offe­ne  und auch mög­li­che The­men, schät­zen Sie grob den Umset­zungs­auf­wand für eine inter­ne bzw. exter­ne Umset­zung und füh­ren Sie eine Prio­ri­sie­rung durch.

Für die Umset­zung der Maß­nah­men mit der höchs­ten Prio­ri­sie­rung legen Sie rea­lis­ti­sche Ter­mi­ne und Zustän­dig­kei­ten fest.

Schritt 4: regel­mäßige Aktual­isierung der Sicher­heit der Verarbeitung

Sie müs­sen jetzt noch einen Pro­zess ein­rich­ten, um nach­zu­wei­sen, dass die Maß­nah­men aktu­ell blei­ben. Legen Sie sich das The­ma ein­mal im Jahr auf Wie­der­vor­la­ge. Je nach Risi­ko der Ver­ar­bei­tung für die betrof­fe­nen Per­so­nen kön­nen Sie auch fest­le­gen, dass eine Aktua­li­sie­rung für bestimm­te Berei­che nur alle zwei Jah­re erfolgt. 

Ver­än­de­run­gen inner­halb des Kalenderjahres

Sofern sich unter­jäh­rig Infor­ma­ti­ons­sys­te­me, inter­ne und exter­ne Betei­lig­te, Risi­ken oder Unter­neh­mens­zie­le, der Stand der Tech­nik oder sons­ti­ge Rah­men­be­din­gun­gen ändern, spricht vie­les für eine unter­jäh­ri­ge Aktualisierung.

Die meis­ten Unter­neh­men, die ich betreue, sam­meln jedoch Ver­än­de­run­gen wäh­rend der Lauf­zeit und aktua­li­sie­ren die Doku­men­te ein­mal im Jahr, um nicht zu häu­fig Anpas­sun­gen durch­füh­ren zu müssen.

Sie haben einen Bedarf an einer Unter­stüt­zung im The­ma „Sicher­heit der Ver­ar­bei­tung“? Neh­men Sie ein­fach Kon­takt auf oder buchen Sie einen Beratungstermin.

Wei­te­re Details zur Sicher­heit der Verarbeitung

Schüt­zen Sie von Anfang an die Sicher­heit Ihrer Daten

Schon bevor Sie per­so­nen­be­zo­ge­ne Daten oder sons­ti­ge Infor­ma­tio­nen ver­ar­bei­ten oder ver­ar­bei­ten las­sen, soll­ten Sie sich fra­gen, ob alle geplan­ten Maß­nah­men zum Schutz der Daten ange­mes­sen und wirk­sam sind und dem Stand der Tech­nik ent­spre­chen. Aber was bedeu­ten die­se Begriffe?

Der Begriff der Ver­ar­bei­tung in der DSGVO ist sehr umfang­reich und erstreckt sich von der Quel­le (personen­bezogene Daten wer­den erho­ben) über jeg­li­che Nut­zung der Daten bis hin zur Löschung bzw. Ver­nich­tung. Der Begriff umfasst also den gesam­ten Lebens­zyklus der Daten.

Ange­mes­sen­heit: Sie müs­sen als Unter­neh­men selbst fest­le­gen, wel­che Maß­nah­men getrof­fen wer­den und dabei den erfor­der­li­chen wirt­schaft­li­chen Auf­wand, wie zum Bei­spiel die Rea­li­sie­rungs­kos­ten und den Schutz­be­darf der Daten­ver­ar­bei­tung berücksichtigen.

Wirk­sam­keit: Wenn Maß­nah­men zum Schutz der Daten eta­bliert wer­den, muss auch sicher­ge­stellt wer­den, dass die Maß­nah­men wir­ken, also funk­tio­nie­ren. So ist zum Bei­spiel eine täg­lich durch­ge­führ­te Daten­si­che­rung aller Daten nicht wirk­sam, wenn im Ernst­fall das Ein­spie­len des Back­ups nicht funk­tio­niert. Eine regel­mä­ßi­ge Prü­fung des Ein­spie­lens der Daten­si­che­rung ist daher zu tes­ten, um die Wirk­sam­keit fest­zu­stel­len. Die Wirk­sam­keits­prü­fung ist zu dokumentieren.

Stand der Tech­nik: Eine gesetz­li­che Defi­ni­ti­on zum Stand der Tech­nik gibt es nicht. Bei Maß­nah­men, die dem Stand der Tech­nik ent­spre­chen, geht man davon aus, dass die­se fort­schritt­lich sind und den Schutz der Infor­ma­tio­nen wir­kungs­voll gewähr­leis­ten kön­nen. Die Maß­nah­men wei­sen einen hohen Sicher­heits­stan­dard auf, sind dabei wis­sen­schaft­lich aner­kannt oder haben sich in der täg­li­chen Pra­xis bereits bewährt und durch­ge­setzt. Eine recht umfang­rei­che Doku­men­ta­ti­on fin­det man unter fol­gen­dem Link.

Mein Tipp: Um mög­lichst zeit­nah zu einem Ergeb­nis im Bereich Sicher­heit der Ver­ar­bei­tung zu kom­men, nut­zen Sie ein­fach den IT-Grund­schutz­stan­dard. Bei einem nor­ma­len Schutz­be­darf Ihrer Daten iden­ti­fi­zie­ren Sie die Bau­stei­ne, die Sie selbst ein­set­zen (Bei­spiel: Fire­wall). Set­zen und doku­men­tie­ren Sie zunächst die Basis­ab­si­che­rung. Aus­führ­li­che Umset­zungs­hin­wei­se des BSI sind eben­falls zu nut­zen. So kön­nen Sie nach­wei­sen, dass Sie sich an einem aner­kann­ten Stan­dard ori­en­tie­ren. Der Vor­teil am IT-Grund­schutz liegt dabei an der Pra­xis­nä­he der Maß­nah­men. Aber auch Umset­zun­gen nach der ISO 27001-Norm sind denkbar.

Sie haben Ver­ar­bei­tun­gen mit einem höhe­ren Schutz­be­darf? Ergän­zen Sie dann die Stan­dard­ab­si­che­rung und ggf. sogar Maß­nah­men für Daten­ver­ar­bei­tun­gen mit einem erhöh­ten Schutzbedarf.

Maß­nah­men aus dem Stan­dard-Daten­schutz­mo­dell (SDM)

Auch die Maß­nah­men der Daten­schutz­kon­fe­renz, die sich aus dem SDM-Modell erge­ben, erhö­hen die Sicher­heit der Ver­ar­bei­tung im Daten­schutz-Umfeld. Der Vor­teil in dem Modell liegt dar­in, dass die Maß­nah­men von den Auf­sichts­be­hör­den erstellt wor­den sind. Bei Ver­feh­lun­gen wir­ken die Umset­zungs­maß­nah­men straf­mil­dernd, wenn die­se fach­ge­recht umge­setzt wor­den sind.

Die­se Infor­ma­tio­nen sind eine her­vor­ra­gen­de Ergän­zung zu den Bau­stei­nen des IT-Grund­schut­zes. Ins­ge­samt kön­nen damit die Vor­ga­ben der Sicher­heit nach ange­mes­se­nen und wirk­sa­men Maß­nah­men nach dem Stand der Tech­nik umge­setzt und nach­ge­wie­sen werden.

Da sämt­li­che Doku­men­te frei ver­füg­bar sind, fal­len kei­ne wei­te­ren Kos­ten für das Unter­neh­men an, wie zum Bei­spiel für Doku­men­te der ISO 27001.

Bau­stei­ne aus dem IT-Grund­schutz

Die fol­gen­de Aus­wahl der Bau­stei­ne des Bun­des­am­tes für Sicher­heit in der Infor­ma­ti­ons­tech­nik ent­hal­ten diver­se Maß­nah­men zum Schutz von Informationen. 

Zunächst soll­ten Sie die Bau­stei­ne mit über­ge­ord­ne­ten Aus­wir­kun­gen auf die Sicher­heit der Ver­ar­bei­tung umset­zen. Kon­zen­trie­ren Sie sich dann auf kon­kre­te IT-Sys­te­me und ande­re The­men­ge­bie­te, wie zum Bei­spiel Ihre Fire­wall oder Ihre End­ge­rä­te. Hier fin­den Sie einen Über­blick über die Bau­stei­ne des IT-Grund­schut­zes in der Rei­hen­fol­ge der Umsetzung.

Mein Tipp: Kon­zen­trie­ren Sie sich dabei zunächst auf die Basis­ab­si­che­rung, um die Daten zu schüt­zen, für die Sie ver­ant­wort­lich sind.

Maß­nah­men aus Bau­stein »Fire­wall«

Inner­halb des jewei­li­gen Bau­stei­nes wer­den Maß­nah­men im Bereich der Basis- und Stand­ab­si­che­rung defi­niert. Set­zen Sie also auf der nächs­ten Ebe­ne die Maß­nah­men der Basis­ab­si­che­rung einer Fire­wall um. Die­se sind oft­mals sehr pra­xis­nah und daher für die Umset­zung im Unter­neh­men geeignet.

Je Maß­nah­me gibt es Vor­ga­ben, wie zum Bei­spiel der Not­fall­zu­griff auf die Fire­wall zu erfol­gen hat. Aus­zug (Quel­le BSI).

NET.3.2.A7: „Es MUSS immer mög­lich sein, direkt auf die Fire­wall zugrei­fen zu kön­nen, sodass sie im Not­fall auch dann lokal admi­nis­triert wer­den kann, wenn das gesam­te Netz ausfällt.“

Set­zen Sie die­se Maß­nah­me im Unter­neh­men um und doku­men­tie­ren Sie die­se in der Über­sicht der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men. Holen Sie Ihren exter­nen IT-Dienst­leis­ter hin­zu, wenn Sie Unter­stüt­zung benö­ti­gen. Abwei­chun­gen von den Maß­nah­men sind zu begründen.

Sie möch­ten mehr erfah­ren, um mehr für die Sicher­heit in Ihrem Unter­neh­men tun? Neh­men Sie ger­ne Kon­takt auf.

PFLICHT ZUR DOKU­MEN­TA­TI­ON FÜR JEDES UNTERNEHMEN

Um die Nach­weis­pflich­ten der Daten­schutz-Grund­ver­ord­nung umzu­set­zen, müs­sen Sie nach­wei­sen kön­nen, wie Sie die Daten in Ihrem Unter­neh­men pro Ver­ar­bei­tungs­tä­tig­keit sichern. Typi­scher­wei­se sind im Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten die „all­ge­mei­nen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men“ zu beschrei­ben. Dies sind typi­sche Sicher­heits­maß­nah­men, die maß­geb­lich für den Schutz der Daten sor­gen sol­len. Bei der Ver­wen­dung von IT-Sys­te­men sind dies Rege­lun­gen, wie zum Bei­spiel für den Zugang oder den Zugriff auf die IT-Sys­te­me und die dort gespei­cher­ten Infor­ma­tio­nen. Aber auch abge­schlos­se­ne Schrän­ke, Ver­schlüs­se­lungs­maß­nah­men und Maß­nah­men zur Daten­si­che­rung spie­len dort eine Rolle.

Um dar­zu­stel­len, wie die Maß­nah­men kon­kret geplant und umge­setzt wor­den sind, müs­sen Sie die­se doku­men­tie­ren. Bei einer Prü­fung müs­sen Sie dar­stel­len, dass die Sicher­heit der Ver­ar­bei­tung ange­mes­sen ist. Die Ange­mes­sen­heit wird dabei von Grö­ße und Art des Unter­neh­mens und dem Risi­ko der Ver­ar­bei­tung aus Sicht der betrof­fe­nen Per­so­nen fest­ge­macht. Wei­ter­hin muss jede Maß­nah­me auch geeig­net und wirk­sam sein, um die Daten zu schützen. 

Sor­gen Sie für ein soli­des Fundament!

Das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik hat mit dem IT-Grund­schutz eine her­vor­ra­gen­de und welt­weit ein­zig­ar­ti­ge Doku­men­ta­ti­on geschaf­fen, um den Stand der Tech­nik im Unter­neh­men zu eta­blie­ren. Zunächst erschlägt die Fül­le der Doku­men­ta­ti­on Unternehmen.

Mit etwas Übung oder unter Zuhil­fe­nah­me eines Exper­ten, der in die­sem Bereich schon diver­se Pro­jek­te umge­setzt hat, kann Stück für Stück ein soli­des Fun­da­ment für die Sicher­heit der Ver­ar­bei­tung geschaf­fen wer­den. Die Maß­nah­men sind in den meis­ten Fäl­len über­wie­gend pra­xis­nah und gut umsetzbar. 

details-verzeichnis-der-verarbeitungstaetigkeiten

Kon­ti­nu­ier­li­che Verbesserung

Ver­bes­sern bedeu­tet vor­ran­gig Pro­ble­me lösen. Pro­ble­me lösen wie­der­um heißt, ler­nen und anpas­sen. Das PDCA-Modell (Plan – Do – Check – Act) stellt die Ist-Situa­ti­on des Unter­nehmens per­ma­nent infra­ge und star­tet im Unter­neh­men einen wieder­kehrenden Regel­kreis zur Verbess­erung der Abläu­fe und Prozesse.

Auch beim Sicher­heit der Ver­ar­bei­tung gibt es einen ste­ti­gen Ver­bes­se­rungs­pro­zess durch regel­mäßige Aktua­li­sie­run­gen und fes­te Ein­bin­dung im Gestal­tungs­pro­zess von Geschäftsprozessen.

Blei­ben SIe aktuell!

Erstel­len auch Sie einen Regel­kreis, damit Ihre eta­blier­ten tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOMs) kor­rekt geplant und umge­setzt wer­den, den rich­ti­gen Detail­grad haben und aktu­ell gehal­ten werden.

Sie benö­ti­gen Unter­stüt­zung bei Ihren TOMs?

Plan

Fest­le­gung von Art, Umfang und Form der Sicherheitsmaßnahmen

Do

Umset­zung und Doku­men­ta­ti­on der Maß­nah­men, Pla­nung und Prio­ri­sie­rung offe­ner Themen 

Act

Aktua­li­sie­rung und Anpas­sung der tech­ni­schen und orga­ni­sa­to­ri­schen Maßnahmen

Check

Prü­fung auf Ange­mes­sen­heit, Wirk­sam­keit und dem Stand der Technik

Leis­tun­gen

Bei den meis­ten Geschäfts­pro­zes­sen wer­den per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet. Fin­den Sie hier mei­ne Dienst­leis­tun­gen, die ich Unter­neh­men auch in Nord­deutsch­land seit vie­len Jah­ren zur Ver­fü­gung stelle. 

Cle­ver sein – Tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men effi­zi­ent und pra­xis­nah umsetzen

Ich unter­stüt­ze Sie bei der Erstel­lung Ihrer Sicher­heits­maß­nah­men. Nut­zen Sie mei­ne mehr­jäh­ri­ge Exper­ti­se, um zügig eine ers­te Doku­men­ta­ti­on zu erstel­len. Set­zen Sie Maß­nah­men um, die ange­mes­sen und wirk­sam sind und dem Stand der Tech­nik entsprechen.

Buchen Sie ein ent­spre­chen­des Modul oder eine punk­tu­el­le Unter­stüt­zung. Ich bie­te Ihnen die Doku­men­ta­ti­on in Ihrem Ziel­sys­tem. Nach mei­ner Erfah­rung ist die Inter­view­tech­nik die effi­zi­en­tes­te Metho­de, um zügig zu der ers­ten Ver­si­on zu kom­men. Die Bera­tung kann bei Ihnen vor Ort oder per Video­kon­fe­renz erfol­gen. 

Als Daten­schutz­be­auf­trag­ter ist die Unter­stüt­zung bei der Erstel­lung der Sicher­heit der Ver­ar­bei­tung fes­ter Bestandteil.

10 Fra­gen zur Sicher­heit der Ver­ar­bei­tung im Daten­schutz und IT-Grundschutz

Jedes Unter­nehmen, wel­ches per­so­nen­be­zo­ge­ne Daten regel­mä­ßig ver­ar­bei­tet, hat die gesetz­li­che Pflicht, Maß­nah­men zur Sicher­heit der Ver­ar­bei­tung zu erstel­len. Da immer noch viel Unsi­cher­heit in die­sem The­ma besteht, fin­den Sie hier ein paar Ant­wor­ten auf die häu­figs­ten Fra­gen:

Der Ver­ant­wort­li­che des Unter­neh­mens ist für die Umset­zung der Daten­ver­ar­bei­tung und damit auch für die Sicher­heits­maß­nah­men ver­ant­wort­lich. Art. 24 DSGVO beschreibt dabei:

 

“Der Ver­ant­wort­li­che setzt unter Berück­sich­ti­gung der Art, des Umfangs, der Umstän­de und der Zwe­cke der Ver­ar­bei­tung sowie der unter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwe­re der Risi­ken für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men um, um sicher­zu­stel­len und den Nach­weis dafür erbrin­gen zu kön­nen, dass die Ver­ar­bei­tung gemäß die­ser Ver­ord­nung erfolgt. Die­se Maß­nah­men wer­den erfor­der­li­chen­falls über­prüft und aktualisiert.”

Tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men sind Sicher­heits­maß­nah­men, die unter der Berück­sich­ti­gung von diver­sen Fak­to­ren ein­zu­rich­ten sind: Hier­zu gehö­ren der aktu­el­le Stand der Tech­nik, die Imple­men­tie­rungs­kos­ten und die Art, der Umfang, die Umstän­de und die Zwe­cke der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten.

Die Schutz­zie­le, die oben im Text beschrie­ben wer­den, sol­len dabei gewahrt blei­ben, damit betrof­fe­ne Per­so­nen kei­ne Nach­tei­le erlangen.

Im Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten sind die all­ge­mei­nen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zu doku­men­tie­ren. Pro Ver­ar­bei­tungs­tä­tig­keit wer­den hier die wesent­li­chen Maß­nah­men zum Schutz der Daten dar­ge­stellt. Auf­sichts­be­hör­den ver­schaf­fen sich einen ers­ten Über­blick über die Schutz­maß­nah­men. Der Ver­ant­wort­li­che soll dar­stel­len, wel­che wesent­li­chen Maß­nah­men zum Schutz der Daten er ergrif­fen  hat. Meist fin­det man hier Ver­wei­se auf das Kon­zept zur Infor­ma­ti­ons­si­cher­heit oder IT-Sicher­heits­kon­zep­te, um kei­ne dop­pel­te Doku­men­ta­ti­on durchzuführen.

 

Mein Tipp: Doku­men­tie­ren Sie die wesent­li­chen Maß­nah­men und ver­wei­sen Sie dann auf kon­kre­te Kon­zep­te, wie z. B. das Iden­ti­täts- und Berech­ti­gungs­ma­nage­ment. Hier soll­ten dann pro IT-Sys­tem kon­kre­te wei­ter­füh­ren­de Maß­nah­men zur Sicher­heit der Ver­ar­bei­tung zu fin­den sein.

Es gibt tau­sen­de von Maß­nah­men, um Daten zu schüt­zen. Meist wer­den die­se in tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men unterschieden. 

Tech­ni­sche Maß­nah­men sind übli­cher­wei­se phy­si­sche Schutz­ver­su­che, wie z. B. 

  • - Umzäu­nung des Unternehmens
  • - Fens­ter- und Türen­si­che­run­gen (z. B. WK3)
  • - bau­li­che Maß­nah­men, wie z. B. Brandschutztüren
  • - Alarm­an­la­gen 
  • - Video­über­wa­chung

Bei IT-Sys­te­men (Soft- und Hard­ware) gibt es wei­te­re tech­ni­sche Maß­nah­men, wie z. B: 

  • - Per­so­na­li­sier­tes Benutzerkonto
  • - Pass­wort­re­ge­lung jeg­li­cher Art
  • - Pro­to­kol­lie­rung
  • - bio­me­tri­sche Benut­zer­iden­ti­fi­ka­ti­on, wie z. B. Fingerabdruck

Orga­ni­sa­to­ri­sche Maß­nah­men sind übli­cher­wei­se Dienst- oder Hand­lungs­an­wei­sun­gen oder Leit- und Richt­li­ni­en, wie z. B. 

  • - Besu­cher­an­mel­dung
  • - Arbeits­an­wei­sung zum Umgang mit der Ver­nich­tung von Papier
  • - Nut­zung eines Vier-Augen-Prinzips
  • - Stich­pro­ben­ar­ti­ge Prü­fun­gen von Pro­zes­sen oder IT-Sys­te­men auf Wirksamkeit

Unab­hän­gig davon, ob per­so­nen­be­zo­ge­ne Daten oder Daten des Unter­neh­mens ver­ar­bei­tet wer­den: Jede Schutz­maß­nah­me, die dafür sorgt, dass die Schutz­zie­le Ver­trau­lich­keit, Inte­gri­tät oder Ver­füg­bar­keit gewahrt blei­ben, sind auch für den Daten­schutz geeignet.

 

Sofern die Maß­nah­men auch geeig­net sind, die Schutz­zie­le Zweck­bin­dung, Inter­ve­nier­bar­keit, Daten­mi­ni­mie­rung und Nicht­ver­ket­tung zu erfül­len, soll­ten auch die­se Maß­nah­men eta­bliert und doku­men­tiert werden.

Unter „Infor­ma­ti­ons­si­cher­heit“ wird der Schutz von Infor­ma­tio­nen vor Gefah­ren ver­stan­den. Wird die Informations­sicherheit ver­letzt, kön­nen schwe­re Schä­den für das Unter­neh­men oder auch Per­so­nen ent­ste­hen. Dazu gehört z. B. der unbe­fug­te Zugriff, der unwie­der­bring­li­che Ver­lust oder die unbe­fug­te Ver­än­de­rung der Informationen.

 

Im Mit­tel­punkt der Infor­ma­ti­ons­si­cher­heit ste­hen vor allem die digi­ta­len Infor­ma­tio­nen auf Com­pu­tern, Ser­vern oder mobi­len End­ge­rä­ten.

 

Die IT-Sicher­heit ist ein Teil­be­reich der Infor­ma­ti­ons­si­cher­heit. Hier kon­zen­triert sich das Unter­neh­men auf den Schutz von Daten, die digi­tal in IT-Sys­te­men ver­ar­bei­tet werden.

Um Infor­ma­tio­nen sicher im Unter­neh­men zu ver­ar­bei­te­ten, ist es jedoch auch erfor­der­lich, nicht nur rei­ne IT-Aspek­te zu betrach­ten.  Dazu gehö­ren auch diver­se sons­ti­ge Maß­nah­men, wie z. B. zur siche­ren Auf­be­wah­rung und Ver­nich­tung von Akten, dem Schutz des Betriebs­ge­län­des oder der ord­nungs­ge­mä­ßen Ein­ar­bei­tung von Beschäftigten.

Durch die Infor­ma­ti­ons­si­cher­heit sol­len Infor­ma­tio­nen geschützt wer­den. Dafür wer­den Schutz­zie­le defi­niert (Ver­füg­bar­keit, Ver­trau­lich­keit und Inte­gri­tät) und die­se durch sinn­vol­le Maß­nah­men geschützt.

Bei dem Schutz­ziel „Ver­trau­lich­keit“ dür­fen Infor­ma­tio­nen nur befug­ten Per­so­nen und IT-Sys­te­men ver­ar­bei­tet werden.

Bei dem Schutz­ziel „Inte­gri­tät“ dür­fen Infor­ma­tio­nen nicht unbe­merkt ver­än­dert und mani­pu­liert werden.

Das Schutz­ziel „Ver­füg­bar­keit“ sorgt dafür, dass Infor­ma­tio­nen immer gemäß der vor­ab fest­ge­leg­ten Art und Wei­se ver­füg­bar sind.

Wei­te­re Schutz­zie­le, die sich z. B. aus dem Daten­schutz erge­ben, wer­den nicht beschrieben.

Ein IT-Bau­stein ist ein Teil der IT -Grund­schutz-Metho­dik. Er ent­hält Anfor­de­run­gen und Emp­feh­lun­gen zur Absi­che­rung ein­zel­ner oder kom­ple­xer Sys­te­me und Pro­zes­se. Im IT-Grund­schutz gibt es ca. 100 Bau­stei­ne, die ste­tig wei­ter­ent­wi­ckelt werden.

Dabei unter­schei­det das Bun­des­amt für Sicher­heit der Ver­ar­bei­tung eige­ne und benut­zer­de­fi­nier­te Bau­stei­ne, die von Anwen­dern des IT-Grund­schut­zes ein­ge­bracht wer­den können.

Der IT Grund­schutz wur­de absicht­lich so gestal­tet, dass sogar tech­nisch weni­ger ver­sier­te Per­so­nen die benö­tig­ten Maß­nah­men iden­ti­fi­zie­ren und umset­zen können.

 

Mit dem IT-Grund­schutz wird der Schutz­be­darf von IT-Anwen­dun­gen und ‑Sys­te­men beschrie­ben und Best-Prac­ti­ce-Bei­spie­le zur Ver­fü­gung gestellt. 

Die Umset­zung der IT-Grund­schutz-Maß­nah­men ist für die meis­ten Unter­neh­men nicht ver­pflich­tend, son­dern stellt eine Art Hil­fe zur Selbst­hil­fe dar.

Unter­neh­men, die für kri­ti­sche Infra­struk­tu­ren zustän­dig sind, müs­sen ein Manage­ment-Sys­tem für die Infor­ma­ti­ons­si­cher­heit eta­blie­ren, um Risi­ken für die Bevöl­ke­rung zu ver­mei­den oder zu mindern.

 

Vor­ga­ben gibt es hier nicht, jedoch müs­sen Metho­den wie z. B. ISO 27001, BSI-IT-Grund­schutz oder Bran­chen­stan­dards ver­wen­den, um die Anfor­de­run­gen zu erfüllen.

 

Auf­grund der hohen Pra­xis­nä­he ori­en­tie­ren sich vie­le Unter­neh­men am IT-Grund­schutz, weil die Pra­xis­re­le­vanz deut­lich höher ist, also z. B. bei der ISO 27001, wo der Ver­ant­wort­li­che wesent­lich mehr Eigen­in­itia­ti­ve und Kennt­nis­se ein­brin­gen muss.

Der Bau­stein Daten­schutz ent­hält nur eine Maß­nah­me, die dann auf das SDM-Modell (Stan­dard-Daten­schut­z­­mo­dell) der deut­schen Daten­schutz-Auf­sichts­­be­hör­den ver­weist. Hier wer­den diver­se tech­nisch und organi­satorische Maß­nah­men auf­ge­führt einschl. einer Vorgehens­weise zur Umsetzung.

Die recht­lichen Anfor­de­run­gen der DSGVO wer­den erfasst und den Gewähr­leistungs­zielen Daten­minimierung,
Verfügbar­keit, Inte­gri­tät, Vertraul­ichkeit, Trans­parenz, Nicht­ver­ket­tung und
Inter­venier­barkeit zuge­ord­net. Es ist somit als Ergän­zung gedacht, sinn­vol­le Maß­nah­men zu eta­blie­ren, um die Gewähr­leistungs­ziele erfül­len zu kön­nen. Alle ande­re Pflich­ten für Unter­nehmen wer­den dort nicht hinterlegt.

Kon­takt

Buchen Sie ein kos­ten­frei­es Erst­ge­spräch und las­sen Sie uns über Ihre Sicher­heit der Ver­ar­bei­tung sprechen.

kontakt-niehoff-systemberatung

Aktu­el­le News zum The­ma Daten­schutz und Informationssicherheit

In die­sem Bereich fin­den Sie Nach­rich­ten und Hin­ter­grund­in­for­ma­tio­nen zum The­ma Daten­schutz und Infor­ma­ti­ons­si­cher­heit. Sie haben ein The­ma, was einen Bei­trag wert wäre? Mel­den Sie sich gerne.