Infor­ma­ti­ons­si­cher­heits­kon­zept “Arbeits­hil­fe”

a.s.k. Daten­schutz wur­de 2016 von der Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne wie­der­um im Auf­trag der Baye­ri­schen Kom­mu­na­len Spit­zen­ver­bän­de mit der Erstel­lung des Infor­ma­ti­ons­si­cher­heits­kon­zept “Arbeits­hil­fe” beauf­tragt. Seit­her steht die­ses Infor­ma­ti­ons­si­cher­heits­kon­zept für kom­mu­na­le Ein­rich­tun­gen, aber auch Unter­neh­men kos­ten­frei zum Down­load zur Ver­fü­gung. Im Mai 2018 erfolg­te die Ver­öf­fent­li­chung der Arbeits­hil­fe 2.0, wel­che neben Updates und Ergän­zun­gen auch not­wen­di­ge Anpas­sun­gen des Kapi­tels 2 Daten­schutz im Hin­blick auf die Anfor­de­run­gen und Schnitt­men­gen der DSGVO ent­hält. Im Zuge der Ent­wick­lung des Sie­gels “Kom­mu­na­le IT-Sicher­heit” des Baye­ri­schen Lan­des­amts für Sicher­heit in der Infor­ma­ti­onsstech­nik (kurz LSI) wur­de 2019 in enger Abstim­mung mit dem LSI die Ver­si­on 3.0 der Arbeits­hil­fe her­aus­ge­bracht.

Arbeits­hil­fe nur für Kom­mu­nen?

Ent­ge­gen der weit­läu­fi­gen Mei­nung wen­det sich die “Arbeits­hil­fe” nicht aus­schließ­lich an kom­mu­na­le Ein­rich­tun­gen. Da Infor­ma­ti­ons­si­cher­heit ein uni­ver­sa­les The­ma ist, kann die “Arbeits­hil­fe” auch von Unter­neh­men zur Ein­füh­rung und zum Betrieb eines Infor­ma­ti­ons­si­cher­heits­kon­zepts genutzt wer­den. Aus die­sem Grund sind die Umset­zungs­an­for­de­run­gen aus der Arbeits­hil­fe jeder­zeit auch für klei­ne­re Unter­neh­men anwend­bar. Aber auch grö­ße­re Unter­neh­men kön­nen sich dem The­ma Infor­ma­ti­ons­si­cher­heit nähern, in dem sie über die 9 Kapi­tel der Arbeits­hil­fe einen ers­ten Über­blick über den Sta­tus Quo zur Infor­ma­ti­ons­si­cher­heit in der eige­nen Orga­ni­sa­ti­on erhal­ten.

Infor­ma­ti­ons­si­cher­heits­kon­zep­te von der Stan­ge?

Infor­ma­ti­ons­si­cher­heits­kon­zep­te (kurz ISK) gibt es nicht von der Stan­ge. Im Gegen­teil bestehen ISM aus Ver­fah­rens­wei­sen und Regeln, die orga­ni­sa­ti­ons­in­di­vi­du­ell lang­fris­tig Infor­ma­ti­ons­si­cher­heit sicher­stel­len sol­len. Auch wenn sich für baye­ri­sche Kom­mu­nen die recht­li­che Ver­pflich­tung aus Art. 11 Bay­E­GovG im enge­ren Sinn pri­mär auf den Schutz infor­ma­ti­ons­tech­ni­scher Sys­te­me beschränkt, macht es in der Pra­xis mehr als Sinn, Infor­ma­ti­ons­si­cher­heit nicht hier­auf ein­zu­gren­zen, son­dern unter Ein­be­zie­hung der soge­nann­ten tech­ni­schen UND orga­ni­sa­to­ri­schen Maß­nah­men im Sin­ne der Art. 32 DSGVO und 32 BayDSG den Schutz aller ana­lo­gen und digi­ta­len Infor­ma­tio­nen einer Orga­ni­sa­ti­on in den Blick zu neh­men. Das beginnt beim The­ma Gebäu­de­si­cher­heit, setzt sich über The­men wie Daten­schutz, Schu­lun­gen, Richt­li­ni­en, exter­ne Dienst­leis­ter fort und endet nicht zwin­gend beim The­ma IT-Sicher­heit.

Plan – Do – Check – Act

Die hier vor­lie­gen­de Arbeits­hil­fe zur Erstel­lung bzw. Ein­füh­rung und Betrieb eines Infor­ma­ti­ons­si­cher­heits­kon­zepts (nach Arti­kel 11 Bay­E­GovG) stellt eine Hil­fe zur Selbst­hil­fe für (kom­mu­na­le) Ein­rich­tun­gen dar, die nicht über aus­rei­chen­de Mög­lich­kei­ten zur Ein­füh­rung und Umset­zung von ande­ren Stan­dards zur Infor­ma­ti­ons­si­cher­heit wie ISIS12, dem BSI IT-Grund­schutz oder der ISO 27001. ver­fü­gen. In 4 ange­lei­te­ten Schrit­ten wird damit ein mini­ma­les Infor­ma­ti­ons­si­cher­heits­kon­zept ein­ge­führt und betrie­ben:

Arbeitshilfe Informationssicherheitskonzept Plan Do Check Act

Was eta­bliert die Arbeits­hil­fe als Infor­ma­ti­ons­si­cher­heits­kon­zept in einer Orga­ni­sa­ti­on?

  • Vor­ge­hens­wei­sen zur Iden­ti­fi­ka­ti­on von (neu­en und bestehen­den) Risi­ken,
  • Vor­ge­hens­wei­sen zur Pla­nung von Maß­nah­men zur Besei­ti­gung oder Mini­mie­rung die­ser Risi­ken,
  • Vor­ge­hens­wei­sen zur kon­ti­nu­ier­li­chen Beschäf­ti­gung mit dem The­ma in der Orga­ni­sa­ti­on („Sicher­heits­kul­tur“),
  • Ver­ant­wort­li­che Per­so­nen mit aus­rei­chend Zeit und Mit­teln zum Betrieb des Sicher­heits­kon­zepts,
  • Regeln, Richt­li­ni­en und Anwei­sun­gen für die Orga­ni­sa­ti­on und die Mit­ar­bei­ter zur Umset­zung und zum Betrieb des Kon­zepts,
  • Maß­nah­men zur kon­ti­nu­ier­li­chen Schu­lung und Sen­si­bi­li­sie­rung für Infor­ma­ti­ons­si­cher­heit.

In 9 Schrit­ten zur Infor­ma­ti­ons­si­cher­heit mit­tels “Arbeits­hil­fe”

  1. Infor­ma­ti­ons­si­cher­heit – Grund­la­gen zur Ein­füh­rung und zur Auf­recht­erhal­tung von Infor­ma­ti­ons­si­cher­heit
  2. Daten­schutz – Grund­le­gen­de Umset­zun­gen im Daten­schutz (auf Basis der DSGVO) als ele­men­ta­rer Bestand­teil der Infor­ma­ti­ons­si­cher­heit
  3. Gebäu­de­si­cher­heit
  4. IT-Sys­te­me
  5. Berech­ti­gungs­kon­zep­te und Pro­to­kol­lie­rung
  6. Not­fall­ma­nage­ment (Vor­sor­ge und Not­fall­plan)
  7. Richt­li­ni­en und Dienst­an­wei­sun­gen
  8. Schu­lun­gen und Sen­si­bi­li­sie­rung – Mit­ar­bei­ter als ele­men­ta­rer Bestand­teil der Infor­ma­ti­ons­si­cher­heit
  9. Exter­ne Dienst­leis­ter – Anfor­de­run­gen an exter­ne Dienst­leis­ter, nicht nur im Rah­men einer Auf­trags­da­ten­ver­ar­bei­tung

Für jedes The­ma ste­hen aus­führ­li­che Check­lis­ten zur Selbst­über­prü­fung, Mus­ter­vor­la­gen sowie Ver­wei­se auf wei­ter­füh­ren­de Infor­ma­tio­nen und Doku­men­te zur Ver­fü­gung. Ein Fra­gen-und-Anwor­ten-Kata­log führt durch die Anwen­dung der Arbeits­hil­fe und erklärt aus­führ­lich die Hin­ter­grün­de.

Durch­weg posi­ti­ves Feed­back der Orga­ni­sa­tio­nen, die sich mit­tels der Arbeits­hil­fe ein Infor­ma­ti­ons­si­cher­heits­kon­zept ein­ge­führt haben und nun betrei­ben

„Geeig­ne­tes Mit­tel für klei­ne­re Kom­mu­nen, um ein Infor­ma­ti­ons­si­cher­heits­kon­zept einzu­füh­ren.“
„Kla­re und struk­tu­rier­te Glie­de­rung“
„Ver­ständ­lich for­mu­liert, auch für Nicht-IT-Pro­fis“
„Über­sicht­li­che Dar­stel­lung der Schwach­stel­len und Bewer­tung“
„Gelun­ge­ner Ein­stieg über Leit­li­nie Infor­ma­ti­ons­si­cher­heit in Ver­bin­dung mit IuK- Richt­li­nie“
„Bear­bei­tung / Umset­zung im Team hilft unge­mein“
„Bei Bedarf exter­ne Dienst­leis­ter z.B. bei IT-The­men hin­zu­zie­hen“
„Ver­tret­ba­rer Auf­wand“
„Kla­re Wei­ter­emp­feh­lung“

Mit der Arbeits­hil­fe Arti­kel 32 Absatz 1 DSGVO erfül­len

Unter Berück­sich­ti­gung des Stands der Tech­nik, der Imple­men­tie­rungs­kos­ten und der Art, des Umfangs, der Umstän­de und der Zwe­cke der Ver­ar­bei­tung sowie der unter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwe­re des Risi­kos für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen tref­fen der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, um ein dem Risi­ko ange­mes­se­nes Schutz­ni­veau zu gewähr­leis­ten; die­se Maß­nah­men schlie­ßen gege­be­nen­falls unter ande­rem Fol­gen­des ein:

a) die Pseud­ony­mi­sie­rung und Ver­schlüs­se­lung per­so­nen­be­zo­ge­ner Daten;
b) die Fähig­keit, die Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Belast­bar­keit der Sys­te­me und Diens­te im Zusam­men­hang mit der Ver­ar­bei­tung auf Dau­er sicher­zu­stel­len;
c) die Fähig­keit, die Ver­füg­bar­keit der per­so­nen­be­zo­ge­nen Daten und den Zugang zu ihnen bei einem phy­si­schen oder tech­ni­schen Zwi­schen­fall rasch wie­der­her­zu­stel­len;
d) ein Ver­fah­ren zur regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Eva­lu­ie­rung der Wirk­sam­keit der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Gewähr­leis­tung der Sicher­heit der Ver­ar­bei­tung.

Unter b) sind die Grund­wer­te der Infor­ma­ti­ons­si­cher­heit Ver­trau­lich­keit, Ver­füg­bar­keit und Inte­gri­tät genannt. Betrach­ten wir die Kurz­de­fi­ni­tio­nen aus der Infor­ma­ti­ons­si­cher­heit hier­zu.

Ver­trau­lich­keit: Kei­ne unbe­rech­tig­te Kennt­nis­nah­me (bis hin zum Miß­brauch) der Infor­ma­tio­nen, weder durch Mit­ar­bei­ter noch durch Exter­ne.

Inte­gri­tät: Die Infor­ma­tio­nen sind kor­rekt, voll­stän­dig und unver­fälscht. Ände­run­gen sind nach­voll­zieh­bar und rück­gän­gig zu machen.

Ver­füg­bar­keit: Die Infor­ma­tio­nen ste­hen zur rich­ti­gen Zeit am rich­ti­gen Ort zur Ver­fü­gung (nicht beschränkt auf IT-Ver­füg­bar­keit). [Ver­füg­bar­keit ist in der Tat erst an drit­ter Stel­le, auch wenn in der Pra­xis um das The­ma Aus­fall­zei­ten ger­ne der Tanz um das gol­de­ne Kalb statt­fin­det.]

Die­se Grund­wer­te der Infor­ma­ti­ons­si­cher­heit sicher­zu­stel­len, ist das Ziel eines jeden Infor­ma­ti­ons­si­cher­heits­kon­zepts, auch des Stan­dards “Arbeits­hil­fe”.

Unter­punkt d) ver­langt von Ihrer Orga­ni­sa­ti­on, die Wirk­sam­keit der im Hin­blick auf Ver­trau­lich­keit, Inte­gri­tät und Ver­füg­bar­keit ergrif­fe­nen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men regel­mä­ßig zu prü­fen und bei Bedarf nach­zu­jus­tie­ren oder geeig­ne­te zusätz­li­che bzw. ergän­zen­de Schutz­maß­nah­men ein­zu­füh­ren. Auch dies ist eine der Kern­funk­tio­nen eines funk­tio­nie­ren­den Infor­ma­ti­ons­si­cher­heits­kon­zepts.

Salopp gesagt, ver­langt die DSGVO von Orga­ni­sa­tio­nen in die­sem Fall nicht weni­ger als die Ein­füh­rung eines Infor­ma­ti­ons­si­cher­heits­kon­zepts und des­sen kon­ti­nu­ier­li­chen Betrieb. Klar kann man ver­su­chen, sich auch selbst ein Kon­zept zu “bas­teln”, bleibt nur die Fra­ge “Wie­so soll­te man das tun?”

Das Infor­ma­ti­ons­si­cher­heits­kon­zept Arbeits­hil­fe zum Her­un­ter­la­den

Die jeweils aktu­el­le Ver­si­on der Arbeits­hil­fe steht Kom­mu­nen und Unter­neh­men kos­ten­frei auf der Web­sei­te der Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne im Bereich “Pro­jek­te” zur Ver­fü­gung. Ob Sie die Ein­füh­rung aus­schließ­lich intern oder mit exter­ner Unter­stüt­zung wie z.B. von a.s.k. Daten­schutz betrei­ben, steht jeder Orga­ni­sa­ti­on frei. Wenn es um den unver­sperr­ten Blick auf die eige­ne Orga­ni­sa­ti­on zur Ver­mei­dung der Betriebs­blind­heit geht, emp­fiehlt sich die Hin­zu­nah­me eines qua­li­fi­zier­ten exter­nen Bera­ters auf jeden Fall. Die­ser kann durch sei­nen Erfah­rungs­schatz eben­falls bei der Ent­wick­lung geeig­ne­ter tech­ni­scher und orga­ni­sa­to­ri­scher Maß­nah­men zur Ver­mei­dung von Risi­ken durch Sicher­heits­lü­cken und Schwach­stel­len hel­fen.