Eine gute Verbindung: Informationssicherheit nach ISO 27001 und Datenschutz.

Das Bundesdatenschutzgesetz (BDSG) regelt den Umgang mit personenbezogenen Daten innerhalb eines Unternehmens oder einer Bundesbehörde. Hierbei steht der Schutz des Persönlichkeitsrechts eines Betroffenen im Mittelpunkt. Vorgaben zum technischen Datenschutz enthält das Bundesdatenschutzgesetz (BDSG) in § 9 und dessen Anlage. Hier werden die technischen und organisatorischen Maßnahmen zum Datenschutz beschrieben, die bei der Datenverarbeitung einzuhalten sind. Es wird detailliert auf die Zutrittskontrolle, die Zugangskontrolle, die Zugriffskontrolle, die Eingabekontrolle, die Weitergabekontrolle, die Auftragskontrolle, die Verfügbarkeitskontrolle und die Trennungskontrolle abgestellt.

§ 9 BDSG lässt dem Datenverarbeiter einen Spielraum bei der Umsetzung der erforderlichen Schutzmaßnahmen, indem er auf den erforderlichen Schutzweck bei der Datenverarbeitung abstellt und nur die Maßnahmen fordert, die für den angestrebten Schutzzweck erforderlich sind.

Die Informationssicherheit ist nicht gesetzlich geregelt, ihre Vorgaben und Empfehlungen finden sich regelmäßig in verschiedenen Normen. Eine wesentliche Norm ist die DIN ISO/IEC 27001.

Sie beschreibt die Rahmenbedingungen zur Einführung, Aufrechterhaltung und Weiterentwicklung eines Informationssicherheits-Managementsystems und bildet die Grundlage für eine nach internationalem Standard anerkannte Zertifizierung. Die daran anknüpfende ISO/IEC 27002 spezifiziert die Anforderungen der DIN ISO/IEC 27001 und beschreibt geeignete Maßnahmen zur Einführung und Aufrechterhaltung eines Informationssicherheits-Managementsystems. Weitere spezifische Themen der Informationssicherheit und der damit einhergehenden Spezialthemen werden in weiterem Normen der ISO 27000-Reihe spezifiziert und beschrieben.

  • die Vertraulichkeit
  • die Integrität
  • die Informationsverfügbarkeit
  • die Authentizität
  • die Zurechenbarkeit
  • die Verbindlichkeit
  • die Zuverlässigkeit.

 

Die Vertraulichkeit stellt den Schutz von Informationen während der elektronischen Übertragung und der Speicherung sicher. Elektronisch übermittelte Informationen können nur vom Sender und vom Empfänger gelesen werden. Gespeicherte Daten können nur von hierfür berechtigten Personen gelesen werden. Die Integrität schützt Informationen vor einer unberechtigten Veränderung während der Übertragung. Sie stellt sicher, dass die beim Empfänger eintreffende Information mit der beim Sender ausgegebenen Information übereinstimmt.

Die Informationsverfügbarkeit stellt die jederzeitige Zugänglichkeit und Nutzbarkeit der Informationen für die berechtigten Benutzer sicher. Die Authentizität stellt die Echtheit und Überprüfbarkeit einer Information sicher. Das bedeutet, eine Information kann einem eindeutigen Eigentümer oder Sender zugeordnet werden. Die Zurechenbarkeit stellt sicher, dass die Verantwortung für eine Information klar und eindeutig einer Person oder Funktion zugeordnet werden kann. Die Verbindlichkeit stellt sicher, dass Informationen und die damit einhergehenden Verarbeitungen auch nachträglich eindeutig einer ausführenden Person zugeordnet werden können. Die Zuverlässigkeit stellt sicher, dass Ergebnisse durch konsistentes Verhalten und Lieferung richtig und reproduzierbar sind.

Die Praxis zeigt, dass Informationssicherheit unabhängig von der Art der Informationen zunehmend an Bedeutung in Unternehmen und Behörden gewinnen wird. So unterfallen im Gegensatz zum Datenschutz nach dem BDSG jegliche Informationen beispielsweise über die wirtschaftliche Entwicklung des Unternehmens oder technische Daten zu Kundenprojekten und Kalkulationen dem Gebiet der Informationssicherheit.

Bei der Informationssicherheit sind neben dem Menschen auch die Systeme und die Prozesse von wesentlicher Bedeutung. Nur wenn der Mensch, das System und der Prozess in einem zueinander abgestimmten Verhältnis stehen, kann die Informationssicherheit überhaupt gewährt werden. Der Einsatz von hochtechnologischen und automatisierten Datenverarbeitungssystemen erfordert zur Sicherstellung der Informationssicherheit neben der Qualifizierung, Schulung und Sensibilisierung der Mitarbeiter auch transparente und verbindliche Prozesse, die klare Aufgaben, Kompetenzen und Verantwortungen beinhalten.

Der Aufbau eines Informationssicherheits-Managementsystems

In einem Informationssicherheits-Managementsystem werden die unternehmensinternen Rahmenbedingungen zur Sicherstellung der Informationssicherheit dokumentiert. Hierzu bietet es sich an, die Managementdokumentation so zu strukturierten, dass sie alle Inhalte der DIN ISO/IEC 27001 berücksichtigt. Besonders hervorzuheben ist der prozessorientierte Ansatz zur Sicherstellung der kontinuierlichen Verbesserung und Weiterentwicklung nach dem von Deming definierten pdca-Regelkreis (plan-do-check-act).

Die Informationssicherheitsleitlinie gibt Orientierung

Die Informationssicherheitsleitlinie ist ein wesentlicher Bestandteil des Informationssicherheits-Managementsystems, werden hier doch die unternehmensinternen Vorgaben und Richtlinien zur Sicherstellung der Informationssicherheit festgelegt. Neben den allgemeinen unternehmensinternen und rechtlichen Anforderungen sollten hier auch die Kundenanforderungen sowie die sich aus dem Tätigkeitsumfeld des Unternehmens im speziellen ergebenden Anforderungen zur Sicherheit der Daten- und Informationsverarbeitung berücksichtigt werden. Das Management muss die Verantwortung für die Informationssicherheit übernehmen und die Informationssicherheitsleitlinie im Unternehmen für verbindlich erklären. In diesem Zusammenhang müssen die Verantwortung und die Befugnisse sowie die Zuständigkeiten für die Informationssicherheit den Betroffenen zugewiesen und im Unternehmen bekannt gemacht werden. Das Bewusstsein für die Informationssicherheit muss bei allen Beteiligten durch geeignete Maßnahmen herbeiführt werden.

Die Schulung und Sensibilisierung der an den Informationsprozessen Beteiligten stellt ein wesentliches Kernkriterium zur Sicherstellung der Informationssicherheit dar. Hierzu nutzen wir unsere webbasierte Schulungsplattform, welche wir bereits im Rahmen unserer Datenschutzschulungen erfolgreich einsetzen.

Der Mensch als Risikofaktor

Der Mensch ist ein wesentlicher Risikofaktor wenn es um Daten- und Informationsverarbeitung geht. So kann neben einer wissentlichen Falschhandlung auch eine unwissentliche Falschhandlung bei der Daten- und Informationsverarbeitung zu erheblichen und teilweise existenzbedrohenden Risiken für das Unternehmen werden. Der Personalsicherheit kommt somit eine wesentliche Bedeutung bei der Einführung und Aufrechterhaltung eines Informationssicherheits-Managementsystems zu. So sollte bereits vor der Einstellung durch geeignete Maßnahmen geprüft werden, ob Mitarbeiter entsprechend ihres geplanten Einsatzes die Vorgaben der Informationssicherheit erfüllen können. Auch externe Dienstleister sollten vor Beauftragung entsprechend überprüft werden. Mittels vertraglichen Vereinbarungen und regelmäßiger Schulung und Sensibilisierung kann ein wesentlicher Beitrag zur Informationssicherheit geleistet werden. Aber auch die Beendigung eines Beschäftigungsverhältnisses oder der Wechsel des Aufgabengebiets stellen in Sachen Informationssicherheit große Herausforderungen an die Verantwortlichen.

Informationswerte im Unternehmen

Das Management von informationseigenen Werten stellt für viele Unternehmen eine besondere Herausforderung dar. Unter informationseigenen Werten wird nicht nur die rein finanziell oder bilanziell betrachtete Werteaufstellung (der Hardware und Software) verstanden sondern sämtliche Informationswerte, die in irgendeiner Form wichtig für das Unternehmen und dessen Fortbestand sein können, beispielsweise die Datenbanken über Kunden, die Datenbanken über Produkte oder Daten zu neuen Entwicklungen.

Schutz durch Verschlüsselung

Auch die Kryptographie kann sich zu einem existenziell wichtigen Thema in der Informationssicherheit entwickeln. Beispielsweise kann nur durch eine „Ende zu Ende Verschlüsselung“ der Schutz von Informationen beim Versand von E-Mails sicher garantiert werden. Die verschlüsselte Ablage von geheimen oder vertraulichen Informationen ist in der Mehrzahl der Unternehmen Stand heute nicht sichergestellt. Selbst die Risiken und Chancen in Sachen Informationssicherheit bei Einsatz von cloud-basierten Speichern werden regelmäßig unzureichend geprüft und berücksichtigt.

Sicheres und überwachtes IT-Management

Die interne Kommunikationssicherheit kann nur durch ein restriktives Netzwerk-Sicherheitsmanagement und eine protokollierte Informationsübertragung gewährleistet werden. Hier sind die IT-Verantwortlichen in der Pflicht, dies durch geeignete Maßnahmen sicherzustellen. Allgemein stellt die ständige Verfügbarkeit der Informationen die Unternehmen vor große Herausforderungen, so wurden in den letzten Jahren die vermehrt auftretenden Unwetter und topographische Einwirkungen als Risiken für die Informationssicherheit unterschätzt. In Folge der zunehmenden Globalisierung und digitalen Vernetzung haben Angriffe durch Hacker und der Befall durch Malware eine sehr große Bedeutung. Hier ist die Protokollierung und Überwachung der IT Systeme ein wichtiges Instrument zur Gewährleistung der Informationssicherheit, denn nur durch ständige Überwachung können Angriffe und Ungereimtheiten im Netzwerk frühzeitig erkannt und analysiert werden.

Informationssicherheit und Datenschutz bei neuen Systemen

Es ist unerlässlich, dass bereits bei der Anschaffung oder Entwicklung von Systemen sowie bei deren Instandhaltung die Informationssicherheit und natürlich auch die gesetzlichen Vorgaben zum Datenschutz gemäß dem Bundesdatenschutzgesetz in ausreichendem Maß berücksichtigt werden. Dies vor allem auch vor dem Hintergrund, dass nachträgliche Anpassungen zur Sicherstellung der Informationssicherheit und des Datenschutzes die Kosten regelmäßig in die Höhe treiben.

Informationssicherheitsvorfälle verursachen hohe Kosten

Dem Management von Informationssicherheitsvorfällen wird in den kommenden Jahren mehr Bedeutung zukommen. So regelt die EU-Datenschutz-Grundverordnung (EU-DSGVO) in Artikel 33, dass Unternehmen zukünftig bereits das Abhandenkommen von personenbezogenen Daten an die zuständige Aufsichtsbehörde melden müssen. Auch hier wird die Implementierung eines Informationssicherheits-Managementsystems für den Prozess des Erkennens eines Vorfalls und dessen strukturierte Bearbeitung hilfreich sein.

Das IITR unterstützt gemeinsam mit dem Regionalpartner Ralf Zlamal Unternehmen bei der Einführung von Informationssicherheits-Managementsystemen und der Zertifizierung des ISMS gemäß ISO 27001. Hierzu bieten wir den von uns betreuten Unternehmen verschiedene Alternativen an, die individuell auf die jeweilige Unternehmensgröße und die Komplexität der Daten- und Informationsverarbeitung abgestimmt sind. Sprechen Sie uns dazu gerne an.

Autor: Ralf Zlamal

„Zeigen Sie Ihren Kunden und Mitarbeitern, dass Sie Datenschutz betreiben.
Nutzen Sie den Datenschutz als Ihre positive Botschaft.“

IITR - qualifizierter Datenschutz

Kontakt

Sie erreichen uns unter folgender Adresse:

IITR Datenschutz GmbH - Institut für IT-Recht

Marienplatz 2
80331 München

Tel.: +49 (0)89 1891 7360

E-Mail: email@iitr.de

 

Kontakt zum Datenschutz:

Dr. Sebastian Kraska Rechtsanwalt, Diplom-Kaufmann Spezialisiert auf DatenschutzrechtDr. Sebastian Kraska
Rechtsanwalt, Diplom-Kaufmann
Spezialisiert auf das Datenschutzrecht

Tel.: +49 (0)89 1891 7360

E-Mail: email@iitr.de

IITR Datenschutz
GmbH ist zertifiziert
DIN EN ISO 9001

Wir sind zertifiziert nach DIN EN ISO 9001-2015Mitglied DIN