Cyber Curriculum unterstützt Sie bei der organisatorischen sowie technischen Absicherung Ihres Unternehmens.
Unser Leistungsspektrum im Bereich Cyber Security umfasst die Themenfelder Informationssicherheit / IT-Sicherheit, Cloud Security, Notfallmanagement sowie Datenschutz:
Cyber Curriculum® - Cyber Security, IT-Consulting (Beratung) & IT-Sicherheit
Das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Vorgehen „IT-Grundschutz“ zielt im Kern auf eine Absicherung der in einem Unternehmen zum Einsatz kommenden Informationstechnologie ab. Abhängig von den zugrunde liegenden Gefährdungen und Schäden, die im Rahmen einer Verletzung der Schutzziele (Vertraulichkeit, Integrität und Verfügbarkeit) der in der IT verarbeiteten Informationen entstehen können, werden Schutzniveaus definiert und darauf aufbauend technische und organisatorische Sicherheitsmaßnahmen umgesetzt, um das entsprechende Schutzniveau ausreichend zu gewährleisten.
Zielgruppe des BSI IT-Grundschutzes können unabhängig von Branche bspw. Behörden, Unternehmen als Finanzdienstleister sein. Durch eine entsprechende Zertifizierung nach ISO/IEC 27001 auf Basis von IT-Grundschutz kann ein Unternehmen die ordnungsgemäße Ausgestaltung eines Informationssicherheitsmanagementsystems (ISMS) nachweisen.
Insgesamt umfasst die Vorgehensweise des BSI IT-Grundschutz vier Standards:
Der IT-Grundschutz-Katalog kann als eine Sammlung von Dokumenten (Modulen, Gefährdungen, Sicherheitsmaßnahmen) verstanden werden, die einem Unternehmen die schrittweise Implementierung und Aufrechterhaltung eines ordnungsgemäßen ISMS erleichtern.
Insgesamt sind nachfolgende Schritte in der Durchführung des BSI IT-Grundschutzes enthalten:
Im Zuge des Informationssicherheitsmanagementsystems (ISMS) eines Unternehmens muss gewährleistet werden, dass Risiken die sich aus der Verletzung der klassischen Schutzziele der Informationssicherheit (Vertraulichkeit, Integrität und Verfügbarkeit) ergeben, identifiziert sowie ordnungsgemäß bewertet und behandelt werden.
Beispielsweise fordert auch die international anerkannte Norm ISO 27001 – bzgl. eines Informationssicherheitssystems – die regelmäßige Erfassung und Analyse von Risiken, die mit der Informationssicherheit in Verbindung stehen. Darauf aufbauend müssen die zugehörigen Eintrittswahrscheinlichkeiten und möglichen Schäden analysiert und eine Bewertung der identifizierten Risiken vorgenommen werden, um angemessene Sicherheitsmaßnahmen zu konzipieren und umzusetzen.
Grundsätzlich kann ein Risiko als negative Abweichung von einem erwarteten Ergebnis bzw. Ereignis definiert werden. Im Rahmen eines ISMS werden insbesondere IT-Risiken adressiert, die in Verbindung mit der Sicherheit in einem Unternehmen verarbeiteten Informationen stehen. Die Risiken können sich demnach aus der Verletzung der klassischen Schutzziele (Vertraulichkeit, Integrität und Verfügbarkeit) ergeben.
Ausgangslange für die Identifizierung von Informationssicherheitsrisiken für einen betrachteten Unternehmenswert (z.B. Anwendung, IT-System, Kommunikationsverbindung) sind die anwendbaren Gefährdungen bzw. Bedrohungen, die sich auf das betrachtete Zielobjekt auswirken. Darauf aufbauend muss eine Bewertung der zugehörigen Risiken anhand der Eintrittswahrscheinlichkeit und maximal anwendbaren Schadenshöhe erfolgen, um eine Klassifikation der Risiken zu ermöglichen. Die Risikoklassifikation stellt dabei die Grundlage für eine anschließende Auswahl einer Behandlungsoption dar, um die Planung von umzusetzenden Sicherheitsmaßnahmen zu ermöglichen.
Aufgrund der kontinuierlich steigenden Relevanz der IT sowie deren zunehmende Ausführung von Geschäftsprozessen, stellen IT-Risiken einen wesentlichen Bestandteil eines ordnungsgemäßen Risikomanagements dar. Im Rahmen der Geschäftstätigkeiten sowie über die regelmäßige und anlassbezogene Durchführung der Risikoanalyse werden Risiken identifiziert, die sich bspw. durch eine nicht angemessene Umsetzung von technischen und organisatorischen Maßnahmen oder neuen Gefährdungen bzw. Bedrohungen auf einen Unternehmenswert ergeben. Neben den genannten IT-Risiken stellen bspw. auch externe Cyber-Angriffe auf die IT-Systeme eines Unternehmens oder der Diebstahl von sensiblen Informationen ein wesentliches IT-Risiko dar.
Weiterhin kommt auch dem Cyber-Risiko eine wesentliche Bedeutung im Rahmen des Risikomanagements zu. Dies adressiert Risiken, die sich aus sicherheitsrelevanten Aspekten der Netzwerke und Kommunikationsverbindungen eines Unternehmens ergeben.
Grundsätzlich muss eine Risikoanalyse für alle Unternehmenswerte durchgeführt werden, für die ein Schutzbedarf der Kategorie „Hoch“ oder „Sehr hoch“ bzgl. der Vertraulichkeit, Integrität oder Verfügbarkeit festgestellt worden ist. Die identifizierten Risiken müssen in einem Risikoinventar erfasst und regelmäßig sowie anlassbezogen überprüft werden, um die Einhaltung der Vorgaben des ISMS zu gewährleisten.
Bei der ISO/IEC 27001 „Information technology – Security techniques – Information security management systems – Requirements“ handelt es sich um eine international anerkannte Norm, die es Unternehmen ermöglicht die Anforderungen für den Aufbau, den Betrieb sowie die kontinuierliche Verbesserung eines Informationssicherheitsmanagementsystems (ISMS) zu identifizieren. Weiterhin wurde die ISO/IEC 27001 Norm auch über das Deutsche Institut der Normung (DIN) als DIN-Norm veröffentlicht.
Die Anforderungen adressieren insbesondere die ordnungsgemäße Einführung von Sicherheitsmaßnahmen, die u.a. die folgenden Bereiche abdecken:
Über den Anhang A der ISO/IEC 27001 werden Maßnahmenziele und Maßnahmen aufgeführt, die eine Erfüllung der grundlegenden Anforderungen ermöglichen. Unternehmen können sich hierbei nach ISO27001 zertifizieren lassen, um neben der Minimierung von IT-Risiken und der Etablierung eines ISMS auch die Qualität der Systeme nach außen zu kommunizieren.
Zum Beginn des Jahres 2022 startete die Bundesregierung den zweiten Entwurf des Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme, das sogenannte IT-Sicherheitsgesetz 2.0. Ziel dieser Gesetzesänderung ist die zunehmende Bedeutung der Informations- und Cyber-Sicherheit in Deutschland. Insbesondere soll hiermit der Schutz der Bundesverwaltung, Kritische Infrastrukturen (KRITIS) sowie Organisationen im besonderen öffentlichen Interesse geregelt werden. Die erste Fassung des IT-Sicherheitsgesetz wurde erweitert und angepasst, um die Angemessenheit von organisatorischen und technischen Vorkehrungen zu schärfen sowie Störungen im Informationsverbund und der darin betriebenen IT-gestützten Systeme, -Komponenten und/oder -Prozesse zu reduzieren.
Die Betreiber kritischer Infrastrukturen werden im BSI-Gesetz (BSIG) definiert. Zu den aktuell geregelten kritischen Infrastrukturen gehören Einrichtungen, Systeme und Komponenten, die in den Sektoren Energie, Informations- und Telekommunikationstechnik, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angesiedelt sind. Die im BSIG verdeutlichte Kritikalität in den soeben genannten Sektoren begründet sich aus den resultierenden Schäden auf das Gemeinwesen, der durch den Ausfall oder Beeinträchtigung hervorgerufen wird. Es sollen damit Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eingedämmt werden. Der Adressatenkreis des IT-Sicherheitsgesetzes 2.0 hat mindestens alle zwei Jahre die ordnungsgemäße Erfüllung der entsprechenden Anforderungen nachzuweisen. Sämtliche Störungen der Schutzziele (Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit) der im Informationsverbund betriebenen IT-Systeme, Anwendungen und -Prozesse sind unverzüglich bei der Vermutung sowie beim Eintreten unverzüglich an die Kontaktstelle des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu melden. Das Unterlassen der verpflichtenden Umsetzung der Anforderungen sowie das ausbleibende Melden von Informationssicherheitsvorfällen ist bußgeldbewehrt.
In erster Linie wurde der Umfang an Pflichten für die als KRITIS festgestellten Betreiber signifikant ausgebaut. So wurden diese beispielsweise um die umfassenderen Meldepflichten bei erheblichen Störungen, Inventarisierung von kritischen Komponenten und Registrierungspflicht beim BSI erweitert. Des Weiteren wurde mit dem IT-SIG 2.0 der Adressatenkreis erweitert, indem die Schwellenwerte zur Identifizierung einer KRITIS-Relevanz niedriger angesetzt worden sind und zeitgleich mit der “Siedlungsabfallentsorgung” und “Unternehmen im besonderen öffentlichen Interesse” neue KRITIS-Sektoren aufgenommen worden sind. Für den Bund impliziert das IT-SIG 2.0 insbesondere erweiterte Befugnisse, sodass bspw. für das BSI neue Aufgabenbereiche und zugleich intensivere Untersuchungsmöglichkeiten hinzukommen. Letztendlich müssen KRITIS-Betreiber mit dem IT-SIG 2.0 im Falle von Ordnungswidrigkeiten auch mit höheren Sanktionen und Bußgeldern rechnen.
Das IT-SIG 2.0 impliziert erweiterte Befugnisse und neue Aufgabenbereiche für das BSI. Konkret heißt dies, dass im Rahmen von Untersuchungen nun auch IT-Systeme genauer geprüft werden und Auskünfte von den zugehörigen Herstellern verlangt werden können. Weiterhin werden die Möglichkeiten der forensischen Prüfungshandlungen erweitert, indem z.B. nun auch Scans an den Schnittstellen (APIs) der IT-Systeme von KRITIS-Betreibern und des Bundes durchgeführt werden können. Weiterhin ermöglicht das IT-SIG 2.0 dem BSI die Erlassung bzw. Anordnung von konkreten Maßnahmen für Anbieter von Telekommunikations-Netzen, wenn dies im Kontext der Beseitigung von Störungen notwendig ist.
KRITIS-Betreiber müssen im Zuge des IT-SIG 2.0 spätestens ab Mai 2023 spezifisch aus Angriffserkennung ausgerichtete Systeme, wie beispielsweise im Kontext eines Security Incident and Event Management Systems (SIEM), betreiben, um kontinuierliche Gefährdungen für die KRITIS-Komponenten zu identifizieren und rechtzeitig gegensteuern zu können. Weiterhin müssen von Herstellern eingesetzte kritische Komponenten KRITIS-Betreibers Mindestanforderungen erfüllen, die mit einer entsprechenden Garantieerklärung oder Zertifizierung versehen ist. Darüber hinaus unterliegen die KRITIS-Betreiber, wie bereits angesprochen, verschärften Meldepflichten, die u.a. Informationen rund um die Behebung des Sicherheitsvorfalls bzw. der Störung umfassen, als auch ggf. betroffene personenbezogene Daten.
Im Rahmen des Informationssicherheitsmanagementsystems (ISMS) muss gewährleistet werden, dass für alle Unternehmenswerte (z.B. Informationen, (Geschäfts-)Prozesse, Anwendungen und IT-Systeme) der zugehörige Schutzbedarf bewertet wird und eine darauf aufbauende Ergreifung angemessener Maßnahmen erfolgen kann. Demnach muss der Schutzbedarf für folgende Schutzziele der Informationssicherheit erfasst werden:
Bspw. fordert die international anerkannte Norm ISO 27001 – bzgl. eines Informationssicherheitssystems – die Identifizierung eines angemessenen Schutzniveaus in Bezug auf die Risiken im Zusammenhang mit dem Verlust der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen.
Dies Schutzbedarfsfeststellung umfasst in einem ersten Schritt die Feststellung des Schutzbedarfs auf Ebene der (Geschäfts-)Prozesse. Darauf aufbauend wird der Schutzbedarf anhand der in einer Strukturanalyse identifizierten Abhängigkeiten auf die weiteren Unternehmenswerte (z.B. Anwendungen, IT-Systeme) vererbt.
Grundsätzlich verfolgt die Schutzbedarfsfeststellung das Ziel das Informationssicherheits- und Risikomanagement bei der Erfassung von Risiken zu unterstützen und eine Identifizierung von technischen und organisatorischen Anforderungen an die Unternehmenswerte zu ermöglichen. Ein Schutzbedarf eines Unternehmenswertes stellt demnach eine Bewertung eines maximal potentiell denkbaren Schadens dar und bildet die Grundlage für eine Ableitung von Sicherheitsanforderungen sowie Ergreifung notwendiger Maßnahmen.
Grundlage für die Feststellung eines Schutzbedarfs eines Unternehmenswertes sind die Schutzbedarfskriterien, die eine einheitliche und vergleichbare Bewertung von Informationssicherheitsrisiken ermöglichen. Diese bewerten die potenziell möglichen Extremschäden, die sich in Verbindung mit der Verletzung eines Schutzziels (Vertraulichkeit, Integrität, Verfügbarkeit) ergeben können. Im Rahmen der Schutzbedarfsfeststellung werden bspw. die folgenden Schutzbedarfskriterien berücksichtigt:
Anhand der Schutzbedarfskriterien werden verschiedene Schadensszenarien dargestellt, die eine Einordnung des Schutzbedarfs in Kategorien (z.B. „Niedrig“, „Mittel“, „Hoch“) ermöglicht.
Gemäß Art. 30 der Datenschutz-Grundverordnung (DSGVO), muss ein Unternehmen eine Auflistung aller Verarbeitungsverfahren bzw. -prozesse von personenbezogenen Daten erstellen und pflegen. Zwar wurde der Begriff „Verzeichnis der Verarbeitungstätigkeiten“ (in der Praxis oft mit „VVT“ abgekürzt“) mit der Veröffentlichung der DSGVO am 25. Mai 2018 eingeführt, dennoch bestand auch zuvor schon die Pflicht zur Führung eines „Verfahrensverzeichnisses“, die sich auf den gesetzlichen Anforderungen des Bundesdatenschutzgesetzes (BDSG) begründete.
Gemäß Art. 30 Abs. 1 DSGVO, muss der Verantwortliche der personenbezogenen Daten – bspw. ein Unternehmen, das gemäß Art. 4 Abs. 7 DSGVO allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet – das Verzeichnis der Verarbeitungstätigkeiten führen und mindestens folgende Inhalte dokumentieren:
Handelt es sich bei dem zu betrachtenden Unternehmen nicht um die Verantwortlichen der Datenverarbeitung, sondern gemäß Art. 4 Abs. 8 DSGVO einem im Auftrag des Verantwortlichen tätigen Auftragsverarbeiter, so muss dieser ebenfalls ein Verzeichnis der Verarbeitungstätigkeiten führen und folgende Mindestinhalte berücksichtigen:
Die Datenschutzerklärung informiert darüber, wie die personenbezogenen Daten der natürlichen Personen (bspw. Nutzer, Kunden, Mitarbeiter), die von dem betrachteten Verarbeitungsverfahren betroffen sind, verarbeitet werden. Die Verarbeitung umfasst bspw. die Aufnahme, Speicherung, Übermittlung oder Nutzung der Daten sowie ggf. die Weiterleitung an dritte Parteien. Weiterhin können in der Datenschutzerklärung technische und organisatorische Maßnahmen (TOMs) definiert werden, die durch den Verantwortlichen der Datenverarbeitung ergriffen werden, um das informationelle Selbstbestimmungsrecht der betroffenen Personen zu wahren und bspw. Schäden aus der Verletzung der Vertraulichkeit der Daten für die natürliche Person zu verhindern.
Die Datenschutzerklärung ist von der Einwilligung zur Datenschutzverarbeitung gemäß Art. 7 DSGVO zu unterscheiden. Letztere stellt eine Voraussetzungsmöglichkeit dar, die gemäß Art. 6 Abs. 1 DSGVO erfüllt sein muss, damit eine Verarbeitung der personenbezogenen Daten erfolgen kann. Diese erfolgt durch die natürliche Person selbst und dient als rechtliche Grundlage, um eine Datenverarbeitung durch den Verantwortlichen zu rechtfertigen. Demgegenüber schildert der Verantwortliche in der Datenschutzerklärung die Rahmenbedingungen der Verarbeitung und zielt demzufolge auf eine datenschutzrechtliche Aufklärung der natürlichen Person ab.
Die Europäische Datenschutz-Grundverordnung (DSGVO) liefert diverse Anforderungen, die zum Schutz der in einer Organisation verarbeiteten personenbezogenen Daten erfüllt werden müssen. Ein entsprechendes Datenschutzmanagementsystem (DSMS) hilft dabei sämtliche Anforderungen, Verarbeitungsprozesse sowie technischen und organisatorischen Maßnahmen, die über die schriftlich fixierte Ordnung der Organisation geregelt sind, zu steuern, kontrollieren und kontinuierlich zu verbessern.
Das zentrale Ziel eines DSMS ist demnach die Sicherstellung des Schutzes der verarbeiteten personenbezogenen Daten sowie die frühzeitige Identifikation und Behebung von datenschutzrechtlichen Risiken. Wesentliche Inhalte und Kernaufgaben eines DSMS sind die
Als Beispiel für eine bekannte und in der Praxis anerkannte Methode zur Erfüllung der datenschutzrechtlichen Anforderungen ist das Standarddatenschutzmodell (SDM), das bspw. vom IT-Planungsrat für öffentliche Verwaltungen bzw. Behörden empfohlen wird. Weiterhin wird das SDM über den Baustein CON2 des IT-Grundschutzes als Basis-Anforderungen aufgeführt, wodurch dieses auch im Rahmen einer IT-Grundschutz Zertifizierung erforderlich ist.
Ein Datenschutzkonzept dient der Aufklärung und Unterrichtung der Mitarbeiter einer Organisation mit Hinblick auf die Verarbeitung der personenbezogenen Daten und der Erfüllung datenschutzrechtlicher Vorgaben, insbesondere der Europäischen Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG). Im Fokus steht dabei das Ziel, das Recht auf informationelle Selbstbestimmung jeder von der Datenverarbeitung der Organisation betroffenen natürlichen Person zu gewährleisten. Darunter fallen neben den Mitarbeitern der Organisation selbst auch alle Kunden sowie Kontaktpersonen von kooperierenden Unternehmen.
Sobald die Organisation die Daten einer natürlichen Person verarbeitet (z.B. Speicherung, Übermittlung, Verwendung, etc.) sind die in einem Datenschutzkonzept definierten Vorgaben und Empfehlungen streng zu befolgen. Die Mitarbeiter werden so auf die Einhaltung der organisationsweiten datenschutzrechtlichen Prozesse hingewiesen und eine Einhaltung der zentralen gesetzgeberischen Regularien sichergestellt.
Beispielhafte Bestandteile eines Datenschutzkonzeptes sind nachfolgend aufgeführt:
In Anlehnung an Art. 4 Ziffer 12 der Datenschutz-Grundverordnung (DSGVO) kann unter einem Datenschutzvorfall eine Verletzung des Schutzes personenbezogener Daten verstanden werden, die zur Vernichtung, zum Verlust oder zur Veränderung oder zur unbefugten Offenlegung von Daten führt.
Liegt ein derartiger Vorfall vor, muss i.d.R. eine Meldung des Vorfalls erfolgen. Eine Meldung an die zuständige Datenschutzaufsichtsbehörde muss erfolgen, wenn der Vorfall zu einem Risiko für die Rechte und Freiheiten der betroffenen Person führt. An die betroffene Person selbst muss der Datenschutzvorfall wiederum nur gemeldet werden, wenn ein hohes Risiko besteht.
Die Ermittlung des Risikos ergibt sich wiederum aus der Evaluierung der Eintrittswahrscheinlichkeit und des Schadensszenarios unter Berücksichtigung der Art der betroffenen personenbezogenen Daten. Beispielsweise können Verletzungen Daten, die gemäß Art. 9 DSGVO der besonderen Kategorien personenbezogenen Daten zuzuordnen sind, wie bspw. Gesundheitsdaten, zu schweren Schäden für die natürliche Person führen.
Um eine angemessene Reaktion auf Datenschutzvorfällen in einem Unternehmen zu ermöglichen, sollten grundsätzliche alle Mitarbeiter entsprechend sensibilisiert werden, sodass bspw. im Falle der Identifizierung eines Vorfalls eine rechtzeitige Meldung an den betrieblichen Datenschutzbeauftragten stattfinden kann. Weiterhin muss eine ordnungsgemäße Dokumentation der Risikoeinschätzung sowie der ggf. ergriffenen Maßnahmen erfolgen.
Liegt ein Risiko für die betroffene Person vor, so muss gemäß Art. 33 DSGVO eine Meldung an die zuständige Aufsichtsbehörde erfolgen. Dabei sind die Mindestinhalte der Meldung gemäß Art. 33 Absatz 3 DSGVO zu berücksichtigen:
Weiterhin muss gemäß Art. 34 DSGVO im Falle eines hohen Risikos für die persönlichen Rechte und Freiheiten natürlicher Personen, auch eine Meldung an die betroffene Person erfolgen, die mindestens die unter b., c. und d. der in Art. 33 Absatz 3 DSGVO aufgeführten Punkte beinhaltet.
