Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 11/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
30. Januar 2019

Was gehört in eine IT-Sicherheitsrichtlinie?

Was gehört in eine IT-Sicherheitsrichtlinie?
Bild: KrulUA / iStock / Thinkstock
3,40 (5)
drucken
Inhalte in diesem Beitrag
Dokumentation und Regeln im Datenschutz
Um die Datenschutz-Grundverordnung (DSGVO) umzusetzen, führt kein Weg daran vorbei, IT-Sicherheitsrichtlinien zu erarbeiten und umzusetzen. Denn nur verbindliche, dokumentierte Vorgaben gewährleisten eine sichere Verarbeitung und weisen sie nach. Lesen Sie, worauf Sie dabei achten sollten.

Warum IT-Sicherheitsrichtlinien so wichtig sind

Die große Mehrzahl der Datenpannen passiert nicht aus bösem Willen oder kriminellen Absichten, sondern aus Unwissenheit und Sorglosigkeit. Deshalb sind Unterweisungen und Datenschutzschulungen so wichtig – und genauso IT-Sicherheitsrichtlinien. Die IT-Sicherheit muss integraler Bestandteil der Organisation aufseiten der Leitung, der IT-Anwender und der IT-Administratoren sein. Gleiches gilt für den Datenschutz. So gilt es in jeder IT-Sicherheitsrichtlinie, Ziele des Datenschutzes und Vorgaben aus dem Datenschutz-Konzept zu beachten. Denn Maßnahmen der IT-Sicherheit kommen dort an ihre Grenzen, wo sie gegen den Schutz personenbezogener Daten verstoßen. Ein klassisches Beispiel hierfür ist die Protokollierung der Nutzeraktivitäten und ihre Auswertung.

Was muss ins IT-Sicherheitskonzept?

Neben Artikel 32 (Sicherheit der Verarbeitung), Artikel 33 (Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde) und Artikel 34 (Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person) müssen auch die sicherheitsrelevanten Grundsätze für die Verarbeitung personenbezogener Daten nach Artikel 5 DSGVO im IT-Sicherheitskonzept verankert werden. Es ist demnach wesentlich, Verantwortlichkeiten und Schutzziele in der IT-Sicherheitsordnung festzulegen sowie die Maßnahmen in der IT-Sicherheitsrahmenrichtlinie zu konkretisieren. Denn nur so lassen sich Verfügbarkeit, Integrität und Vertraulichkeit der Applikationen, Dienste und Daten sowie weitere sicherheitsrelevante Ziele der DSGVO wie die Belastbarkeit gewährleisten.

So überprüfen Sie Ihr IT-Sicherheitskonzept

Das Sicherheitskonzept darf aber nicht dabei stehen bleiben, Zuständigkeiten, Rollen und Ziele festzulegen. Um die Verarbeitung personenbezogener Daten wirksam abzusichern, ist ein stufenweises Vorgehen erforderlich:

  1. IT-Sicherheitsordnung erstellen und als Organisationsrichtlinie verabschieden, die sich auch auf die sicherheitsrelevanten Vorgaben der DSGVO bezieht.
  2. IT-Sicherheitsrahmenrichtlinie erstellen und auf Basis der Schutzziele – auch die der DSGVO – in Kraft setzen.
  3. Einzelne Sicherheitsrichtlinien erstellen und unter Bezugnahme auf die Rahmenrichtlinie umsetzen.
  4. Einen IT-Sicherheitsprozess initiieren, der die Organisations-, Rahmen- und Einzel-Richtlinien laufend im Hinblick auf aktuelle Anforderungen und Bedrohungen sowie der Vorgaben der DSGVO und weiterer Datenschutzgesetze hin überprüft und dafür sorgt, dass die Richtlinien bei Bedarf überarbeitet werden.

Der Prozess ist nötig, da die DSGVO selbst ein Verfahren fordert, das die Wirksamkeit der technischen und organisatorischen Maßnahmen regelmäßig überprüft, bewertet und evaluiert. Nur so lässt sich die Sicherheit der Verarbeitung auf Dauer gewährleisten.

Wie Sie Verständnis für die Notwendigkeit der Richtlinien wecken

Der Aufwand, der damit verbunden ist, eine IT-Sicherheitsrahmenrichtlinie und Einzelrichtlinien zu erstellen und umzusetzen, kann dazu führen, dass Kritik laut wird. Es finden sich jedoch zahlreiche Argumente dafür:

  • Das Sicherheits- und Datenschutz-Bewusstsein bei den IT-Anwendern ist immer noch nicht ausgeprägt genug.
  • Ohne definierte Zuständigkeiten und Rollen fühlt sich niemand wirklich verantwortlich.
  • Ohne Richtlinien lassen sich IT-Verstöße und Datenschutz-Verletzungen schwieriger feststellen und verfolgen.
  • Kommt neue Hard- und Software zum Einsatz, steigert das den Schulungsbedarf bei allen Beteiligten.
  • Eine IT-Sicherheitsrahmenrichtlinie schafft ein Sicherheitsbewusstsein.
  • Sie macht auf die Bedrohungslage aufmerksam.
  • Sie sorgt für den notwendigen Überblick, ob für alle Teilbereiche Sicherheitsrichtlinien vorhanden sind.

Als Datenschutzbeauftragter IT-Sicherheitsrichtlinien mitentwickeln

Sie als Datenschutzbeauftragte oder Datenschutzbeauftragter (DSB) sollten deshalb Teil der Gruppe sein, die die IT-Sicherheitsrichtlinien entwickelt, begutachtet und aktualisiert. Geben Sie sich nicht damit zufrieden, an der IT-Sicherheitsrichtlinie „Datenschutz“ beteiligt zu werden, sondern sorgen Sie für die richtigen Datenschutz-Aspekte in allen IT-Sicherheitsrichtlinien.

Das ist gerade mit Blick auf die Datenschutz-Grundverordnung wichtig, die bei Verletzungen des Datenschutzes scharfe Konsequenzen vorsieht. Beraten Sie die Geschäftsleitung ausführlich über die Datenschutz-Ziele. Denn die verantwortliche Leitung muss die IT-Sicherheitspolitik vorgeben, die Grundlage aller IT-Sicherheitsrichtlinien ist.

Füllen Sie den Inhalt von IT-Sicherheitsrichtlinien

Vorgaben zu den einzelnen IT-Sicherheitsrichtlinien macht die IT-Sicherheitsrahmenrichtlinie, die bestimmte Bestandteile enthalten muss, unter anderem:

  • aktuelle IT-Sicherheit und Anforderungen aus der DSGVO und weiterer Datenschutzvorgaben mit IT-Sicherheitsbezug
  • Verantwortlichkeiten, Stellenwert und Ziele der IT-Sicherheit sowie der Datensicherheit nach DSGVO
  • Bezug auf anzuwendende nationale und internationale Standards (wie BSI, ISO, ITSEC) sowie auf Compliance-Vorgaben wie der DSGVO
  • Begriffsdefinitionen als gemeinsame Basis
  • Erläuterung der vorhandenen IT-Sicherheitsmaßnahmen
  • Hinweise zur Analyse der Risiken und des Schutzbedarfs, auch mit Bezug auf die DSGVO
  • Darstellung des IT-Sicherheitsprozesses, der die Pflege und Kontrolle der Sicherheitsrichtlinien sicherstellt

Definieren Sie einzelne Schutzmaßnahmen

Je nach identifizierten Risiken und Schutzbedarf führt die IT-Sicherheitsrahmenrichtlinie Maßnahmen aufseiten der IT-Anwender und IT-Administratoren auf, um die Schutzziele, die die Leitung vorgibt, auf einzelne Bereiche anzuwenden.

Für den Datenschutz und die Sicherheit der Verarbeitung gilt nach DSGVO hierbei, dass der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen treffen, um ein Schutzniveau zu gewährleisten, das dem Risiko angemessen ist. Dabei berücksichtigen sie jeweils den Stand der Technik, die Implementierungskosten und die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedlichen Eintrittswahrscheinlichkeit und Schweren des Risikos für die Rechte und Freiheiten natürlicher Personen.

Um zu beurteilen, wann ein Schutzniveau angemessen ist, sind nach DSGVO die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind. Das betrifft insbesondere die – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, den Verlust, die Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die der Verantwortliche übermittelt, speichert oder auf andere Weise verarbeitet. Diese Vorgaben aus der DSGVO müssen in die Entwicklung der Richtlinien einfließen, um eine Umsetzung der Datensicherheit nach DSGVO sicherzustellen.

Typische Fehler bei IT-Sicherheitsrichtlinien umgehen

Helfen Sie dabei, typische Fehler in den IT-Sicherheitsrichtlinien zu vermeiden. Nur ein Unternehmen, das die IT-Sicherheitsrichtlinien erfolgreich umsetzt, hat etwas für den Datenschutz und die Datensicherheit gewonnen. Beachten Sie die folgenden Punkte:

1) Individualisieren Sie Ihre IT-Sicherheitsrichtlinien

Viele Unternehmen verweisen in ihren IT-Sicherheitsrichtlinien auf Sicherheitsstandards, ohne die Vorgaben auf die eigene Situation anzupassen. Als Folge finden sich weder Unternehmensleitung noch Mitarbeiter in den Richtlinien wieder, und alle betrachten die Vorgaben als praxisfern. Die Aufsichtsbehörden für den Datenschutz werden sich damit genauso wenig zufriedengeben.

IT-Sicherheitsrichtlinien, die alle Beteiligten innerlich ablehnen, scheitern. Zudem bedeutet die Arbeit an den unternehmensspezifischen IT-Sicherheitsrichtlinien, dass sich alle mit dem Thema Datensicherheit und Datenschutz befassen und so stärker sensibilisiert sind.

Drängen Sie deswegen darauf, dass die IT-Sicherheitsrichtlinien individuell angepasst werden. Auch wenn es viel Mühe kostet.

2) Achten Sie auf durchführbare IT- Sicherheitsrichtlinien

Wenig sinnvoll sind zudem IT-Sicherheitsrichtlinien,

  • die sich praktisch nicht durchführen lassen,
  • die zu Widersprüchen in Verbindung mit anderen Vorgaben und Richtlinien führen und
  • deren Einhaltung sich nicht überprüfen lässt.

Solche IT-Sicherheitsrichtlinien führen dazu, dass die Leitung glaubt, alles geregelt zu haben und sich in trügerischer Sicherheit wähnt, während die tägliche Praxis ganz anders aussieht.

3) Beachten Sie die Freigabe, Bekanntmachung und Zielgruppe

Weiterhin muss der für die Verarbeitung Verantwortliche, in der Regel die Unternehmensleitung, jede IT-Sicherheitsrichtlinie freigeben. Damit ist es aber nicht getan. Die Anwender der Datenverarbeitung müssen ebenfalls davon wissen. Denken Sie also bei allen Richtlinien mit Bezug zu personenbezogenen Daten daran, sie bekannt zu machen und zu schulen.

Und wie bei jeder Vorgabe und Anleitung darf auch bei einer IT-Sicherheitsrichtlinie nicht die Zielgruppe in den Hintergrund geraten: Die Zielgruppe muss die Beschreibungen verstehen.

4) Aktualisieren Sie Ihre Richtlinien

Schließlich bleibt festzuhalten, dass IT-Sicherheitsrichtlinien aktualisiert werden müssen. Denn gerade in der IT ändern sich die Systeme und Bedrohungen in kurzen Zeitabständen. IT-Sicherheitsrichtlinien zu entwickeln und zu prüfen, ist deshalb ein laufender Prozess.

Inhalte einer IT-Sicherheitsrichtlinie

Machen Sie deutlich, dass nicht zwingend alle Maßnahmen in jedem Fall zur Anwendung kommen. Vielmehr ist ein risikobasierter Ansatz richtig.

Ist es in Einzelfällen nötig, von den verbindlich vorgegebenen Schutzmaßnahmen abzuweichen, so geht das nicht, ohne dies genau zu begründen, zu dokumentieren und mit den für IT-Sicherheit und für Datenschutz Verantwortlichen abzustimmen.

Nutzen Sie bei der Überprüfung die Muster-Gliederung, die Ihnen wichtige Inhalte einer IT-Sicherheitsrichtlinie nennt. Hier geht’s zum Gratis-Download: https://www.datenschutz-praxis.de/tom/muster-gliederung-it-sicherheitsrichtlinie/

 

Oliver Schonschek

Oliver Schonschek

Oliver Schonschek
zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
IT-Sicherheit
drucken
Verfasst von
Oliver Schonschek
Oliver Schonschek
Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.
Verwandte Beiträge
25. Oktober 2024
DP+
Die neue EU-Verordnung DORA bringt zahlreiche neue Sicherheits- und Berichtspflichten für Finanzunternehmen. Dabei gibt es viele Schnittstellen zum Datenschutz.
Bild: iStock.com/dem10

Achtung, DSB: DORA für Finanzunternehmen kommt!

Ratgeber
Cybersicherheit IT-Sicherheit
24. Oktober 2024
DP+
Die IT-Sicherheitslage erfordert es heute, Netzwerkaktivitäten umfassend zu überwachen (XDR). Dies birgt Risiken für den Datenschutz der Belegschaft.
Bild: iStock.com/gorodenkoff

Umfassende IT-Sicht versus gläserner User

Ratgeber
Cybersicherheit IT-Sicherheit KI
23. Oktober 2024
DP+
NIS
Bild: iStock.com/posteriori

NIS 2: Was gilt wann?

Ratgeber
Cybersicherheit IT-Sicherheit
26. September 2024
DP+
Phishing-Tests sind ein wichtiges Hilfsmittel, um Unternehmen resilienter gegen Cyberbedrohungen zu machen. Doch sie bergen Tücken im Hinblick auf den Datenschutz.
Bild: iStock.com/Baris-Ozer

Phishing-Tests: Richtig gemacht, Daten geschützt

Ratgeber
Betriebsrat Checklisten IT-Sicherheit
20. August 2024

Download Checkliste: Sicherheit von USB-Sticks testen

Downloads
IT-Sicherheit
weitere Beiträge laden
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.