Allgemeines und Zielgruppe von ISIS12

ISIS12 ist ein sequenzielles Vorgehensmodell (bestehend aus Katalog und Handbuch) zur Implementierung eines Informationssicherheitsmanagementsystems (ISMS). Die im Katalog definierten Bausteine von ISIS12 enthalten Anforderungen aus der ISO/IEC 27000-Normenreihe, dem IT-Grundschutz und der Datenschutzgrundverordnung (DSGVO). So kann das mit Hilfe von ISIS12 aufgebaute ISMS auch als Grundlage für eine später angestrebte ISO/IEC 27001-Zertifizierung dienen. Das Vorgehen besteht aus zwölf Schritten, die sich in drei Phasen einteilen lassen:

  • Initialisierungsphase
  • Aufbau- und Ablauforganisation
  • Entwicklung und Umsetzung ISIS12Konzept

Die Zielgruppe von ISIS12 ist dabei klar definiert. Es richtet sich an kleine und mittlere Unternehmen (KMUs) sowie kommunale Verwaltungen und zeichnet sich durch Kompaktheit, Überschaubarkeit und Strukturierung aus.  

Neuerungen und Änderungen in ISIS12 2.0

Neuerungen ISIS12 2.0

In ISIS12 2.0 sind nicht alle zwölf Schritte von Änderungen betroffen. Schritt 9 und 10 werden zu „Planen und Umsetzen“ zusammengefasst. Darüber hinaus werden optionale Einstiegsmöglichkeiten für wichtige Anforderungen aus der ISO/IEC 27000-Normenreihe und IT-Grundschutz ergänzt. Das Thema Risikomanagement (BSI-Standard 200-3 bzw. ISO/IEC 27005) wird optional als neuer Schritt 8 hinzugenommen. Die Modellierung der Sicherheitsmaßnahmen (bis ISIS12 1.9 in Schritt 8) wird unter Schritt 6 mit der Identifikation kritischer Applikationen zusammengeführt. Auch in Schritt 11 wird mit dem internen Audit ein optionaler Pfad aufgenommen, was insbesondere im Rahmen der ISO/IEC 27000-Normenreihe ein wichtiger Punkt ist.

ISIS12 2.0 zeichnet sich insbesondere durch die Flexibilität hinsichtlich des möglichen Ausbaus hin zu IT-Grundschutz und/oder der ISO/IEC 27000-Normenreihe aus. Auch die Einbindung individueller Anforderungen wie eine alleinstehende Risikobetrachtung wird deutlich verbessert.

Vor allem die Einbindung optionaler Pfade wird es dem Anwender erleichtern, ISIS12 auf seine Bedürfnisse und perspektivischen Anforderungen hin anzupassen.

Sandra Wiesbeck, Vorstandsvorsitzende & Leiterin Bayerischer IT-Sicherheitscluster e.V.

Softwaregestützte Umsetzung von ISIS12 2.0 mit ibi systems iris

ISIS12 2.0 mit ibi systems iris

Die Software ibi systems iris unterstützt neben den gängigen Standards wie IT-Grundschutz und der ISO/IEC 27000-Normenreihe selbstverständlich auch ISIS12 2.0, welches einen sehr guten Einstieg in das Thema Informationssicherheit für KMUs darstellt. ibi systems iris findet dabei insbesondere für die Schritte 6 – 11 Anwendung:

Schritt 6, Kritische Applikationen identifizieren + Sicherheitsmaßnahmen modellieren:
In ibi systems iris können alle kritischen Applikationen als Assets angelegt, als kritisch gekennzeichnet und später danach gefiltert werden. Maßnahmen (inkl. Angabe der Verantwortlichkeiten) werden auf Basis von Maßnahmenkatalogen, Handlungsempfehlungen und/oder manuell definiert.

Schritt 7, IT-Struktur analysieren:
Die IT-Struktur wird in ibi systems iris unter dem Funktionsbereich Architektur abgebildet. Hier werden Assets und Prozesse erfasst und zueinander modelliert sowie eine Schutzbedarfsfeststellung durchgeführt. Auf Basis der Modellierung findet eine Vererbung des Schutzbedarfs nach dem Maximalprinzip statt.

Schritt 8, Risikomanagement (optional):
ibi systems iris ermöglicht ein umfassendes Risikomanagement. Bei der Beschreibung eines Risikos kann eine Vielzahl an Verknüpfungen (u. a. mit Bedrohungen/Gefährdungen, Schwachstellen, Assets) hinzugefügt werden. Das Risiko wird im Anschluss bewertet und eine Risikobehandlungsstrategie inkl. Maßnahmen zugewiesen. Nach der Risikobehandlung wird das Risiko neu bewertet. Dieser iterative Bewertungs- und Behandlungsprozess wird so lange durchlaufen, bis das Risiko akzeptiert werden kann und dann so im Unternehmen verbleibt. Die Dokumentation der Risikobehandlung (auch über den Zeitverlauf) kann jederzeit eingesehen und exportiert werden. Außerdem wird mit der Software ein schneller Überblick über den Status quo aller aktuellen Risiken ermöglicht.

Schritt 9, SOLL-IST vergleichen:
Ein SOLL-IST-Vergleich wird in ibi systems iris durch eine Prüfung ermöglicht. Bei den einzelnen Kontrollen wird festgehalten, ob eine Anforderung umgesetzt wurde oder ob Nachbesserung erforderlich ist. Allgemein können bei den Kontrollen einer Prüfung Feststellungen (z. B. Abweichungen, Schwachstellen, Verbesserungspotenziale) identifiziert und darauf wiederum Maßnahmen zugewiesen werden.

Schritt 10, Umsetzung planen + Umsetzung:
Die unter Schritt 6 definierten Maßnahmen werden in iris den Empfängern zur Umsetzung zugewiesen. Die Software unterstützt hierbei eine Rollentrennung zwischen Maßnahmenverantwortlichem und Maßnahmenumsetzer.

Schritt 11, Jährlicher Bericht des Informationssicherheitsbeauftragten + internes Audit (optional):
Durch Dashboards, Exportmöglichkeiten der Listenansichten und Generierung von Reports basierend auf Vorlagen sind die Berichtsmöglichkeiten durch ibi systems iris sehr umfangreich. Ein internes Audit inkl. Feststellungen und weiterem Follow-up durch Maßnahmen ist in Form von Prüfungen in ibi systems iris möglich.

Übergreifend zum Thema DSGVO
Hinsichtlich DSGVO unterstützt ibi systems iris bei der Erstellung eines Verfahrensverzeichnisses und der Risikofolgeabschätzung.

Fazit

Durch den Einsatz der Software ibi systems iris wird die Umsetzung von ISIS12 maßgeblich unterstützt. Mit der softwaregestützten ISIS12-Umsetzung als Einstiegspunkt zur Informationssicherheit schlagen Sie eine Brücke zur möglichen Zertifizierung z. B. nach ISO 27001. Mit ibi systems iris haben Sie von Anfang an ein verlässliches Tool zur Hand, welches Sie in allen Belangen der Informationssicherheit unterstützt.

Zurück zur Übersicht

____________________

Quellen:

Hintergrund und Vorteile von Cloud Vendor Assessments (CVA)

Auf dem aktuellen Markt existieren unzählige Cloud-Dienstleister mit unterschiedlichen Sicherheitskonzepten und -zertifizierungen. Unternehmen, die Cloud-Lösungen nutzen wollen, sind oftmals um die Sicherheit ihrer Daten besorgt. Durch Cloud Vendor Assessments wird das Sicherheitsniveau von Cloud-Dienstleistern beurteilt.

Mit einem individuellen Assessment kann das Sicherheitsniveau der Provider toolgestützt, nachvollziehbar und vergleichbar beurteilt werden. Die Ergebnisse des Assessments fließen u. a. in die unternehmenseigenen Risikobewertungen ein. Die Prüfung der Anbieter (Vendoren) sollte in regelmäßigen Abständen wiederholt werden. Der aktuelle Status eines bewerteten Cloud Vendors kann jederzeit eingesehen und die Entwicklung des Sicherheitsniveaus über den Zeitverlauf nachvollzogen werden. Darüber hinaus sollten für die im Rahmen des Assessments identifizierten Feststellungen geeignete Maßnahmen zu deren Behandlung definiert und umgesetzt werden.

Zu den Vorteilen von Cloud Vendor Assessments sind neben der aktuellen Information über den Status der Informationssicherheit die folgenden Punkte zu nennen:

  • Schutz des unternehmenseigenen geistigen Eigentums
  • Schutz von Kundendaten und damit Schaffung von Vertrauen bei eigenen Kunden
  • Erfüllung gesetzlicher Verpflichtungen
  • Größere Genauigkeit bei eigenen Risikobewertungen

Cloud Vendor Assessment (CVA) mit ibi systems iris

Durch den Einsatz der Software ibi systems iris, können Cloud Vendor Assessments für jeden Vendor zentral geplant und durchgeführt werden. Durch die Sammlung der Ergebnisse in nur einem Tool, ist die gesamtheitliche Übersicht über alle relevanten Informationen stets gewährleistet. Die Software ermöglicht eine zentrale Einsicht auf die Ergebnisse der Self-Assessments, identifizierte Feststellungen und durchgeführte (Gegen)Maßnahmen bei jedem Vendor.

Toolgestützte Cloud Vendor Assessments (CVA)
Cloud Vendor Assessments (CVA) mit ibi systems iris

Im Folgenden die Schritte für ein beispielhaftes Vorgehen mit der Software ibi systems iris:

  1. Zentrale Erstellung von Prüfvorlagen für die (Self-)Assessments
  2. Zentrale Planung und Zuweisung der (Self-)Assessments
  3. Durchführung der (Self-)Assessments bei bzw. durch die Vendoren
  4. Reporting der Assessment-Ergebnisse inkl. Feststellungen an zentrale Stelle
  5. Zentrale Definition und Verteilung von Maßnahmen als Reaktion auf identifizierten Feststellungen
  6. Umsetzung der zugewiesenen Maßnahmen durch die Vendoren
  7. Rückmeldung bzw. Reporting des Umsetzungsstatus der Maßnahmen an zentrale Stelle

Fazit

Ein Unternehmen sollte zur Verbesserung der Informationssicherheit in jedem Fall Cloud Vendor Assessments durchführen. Am besten werden diese durch ein Tool unterstützt, an zentraler Stelle geplant und die Ergebnisse gesammelt. Damit ist es möglich die Vendoren hinsichtlich des Status der Informationssicherheit schnell und einfach zu vergleichen sowie bei Mängeln mit angemessenen Maßnahmen bzw. Maßnahmenzuweisungen zu reagieren.

Die Webanwendung ibi systems iris unterstützt Sie bei der Planung, Steuerung und Kontrolle von Cloud Vendor Assessments. So kann zum Beispiel nach dem Anforderungskatalog Cloud Computing (C5) mit Hilfe der Software geprüft werden. Starten auch Sie mit ibi systems iris und optimieren Sie Ihr Vorgehen!

Zurück zur Übersicht

____________________

Warum ein ISMS-Tool eine sinnvolle Investition darstellt

Nach einer Umfrage von bitkom, die Ende 2018 durchgeführt wurde, gaben sieben von zehn befragten Unternehmen an, in den vergangenen beiden Jahren Opfer von Sabotage, Datendiebstahl oder Spionage gewesen zu sein. Dabei entstand ein Gesamtschaden von über 43 Milliarden Euro! Diese Zahl veranschaulicht die Dringlichkeit, in die Verbesserung der IT-Sicherheit zu investieren und angemessene Maßnahmen zu ergreifen.

„Ein Information Security Management System (ISMS) definiert Regeln und Methoden, um die Informationssicherheit in einem Unternehmen oder in einer Organisation zu gewährleisten. Das ISMS ist prozessorientiert und verfolgt einen Top-Down-Ansatz ausgehend von der Unternehmensführung.“

www.security-insider.de

Eine toolgestützte ISMS-Implementierung etwa auf Basis der ISO 27001 ist dabei aus folgenden Gründen sinnvoll:

Generierung eines Wettbewerbsvorteils
Einem Unternehmen, das seine sensiblen Daten schützt, wird in der Regel mehr Vertrauen entgegengebracht. Häufig wird auch darauf geachtet, dass Zulieferer ein bestimmtes Niveau an IT-Sicherheit einhalten. Wer nachweisen kann, dass Informationssicherheitsmaßnahmen umgesetzt werden, sichert nicht nur die Zukunft des Unternehmens, sondern schafft dafür auch einen Wettbewerbsvorteil.

Vermeidung teurer IT-Vorfälle
Maßnahmen zu ergreifen und damit Vorsorge zu leisten, ist grundsätzlich immer besser als nichts zu tun. Dies sollte natürlich in einem angemessenen Kosten-Nutzen-Verhältnis stehen und die Umsetzung dokumentiert sein.

Erhöhung der Transparenz
Darstellung des Status der Informationssicherheit eines Unternehmens in übersichtlicher Art und Weise, um so einen regelmäßigen Management-Review zu ermöglichen.

Erhöhung der Qualität
Verfolgung eines bewährten und nachvollziehbaren Vorgehens bei der Implementierung eines ISMS nach dem PDCA-Zyklus. Das ISMS kann dadurch kontinuierlich überwacht und verbessert werden.

Senkung von Kosten
Vermeidung von Redundanzen und Doppelarbeiten durch die einheitliche Erfassung der ISMS-Aktivitäten in einem einzigen Tool.

Welche Anforderungen sollte ein ISMS-Tool erfüllen

Bei der Auswahl eines ISMS-Tools sind die Anforderungen abhängig von der Unternehmensgröße, dem bereits definierten Prozessen als auch von bevorzugter Technik und Betriebsform (Webanwendung? SaaS? On Premises?). Welche Anforderungen erfüllt sein sollten, sind im Folgenden aufgeführt:

Dashboards und Report-Generierung
Grafischer Überblick über alle relevanten Informationen und umfassende Exportmöglichkeiten in Form von Reports.

Integrierte Regelwerke, Standards und Richtlinien
Möglichkeit der Abbildung bzw. Unterstützung verschiedener Standards (z. B. ISO 27001, ISO 27019, IT-Sicherheitskatalog, TISAX, VDA etc.) sowie deren Verknüpfung zu anderen Datensätzen in der Software (Risiken, Schwachstellen, Maßnahmen etc.).

Durchführung von Audits
Softwareunterstützung beim gesamten Audit inklusive Follow-Up (Zuweisung von Aufgaben und Verantwortlichkeiten, Durchführung von Kontrollen, Erstellung des Statement of Applicability, Schwachstellenmanagement, Maßnahmendefinition etc.)

Management von Risiken
Beschreibung, Bewertung und Behandlung des Risikos sollten unbedingt Bestandteil eines ISMS-Tools sein. Am Ende sollten die aktuellen Bewertungen der Risiken in einer Risikomatrix visualisiert werden und der Umgang mit den Risiken über den Zeitverlauf einsehbar bzw. nachvollziehbar sein.

Workflowfähigkeit
Um die Vorgehensweise z. B. bei der Anlage von Datensätzen genauer einzugrenzen und den Benutzer an die Hand zu nehmen (User Guidance), sollten individuelle Workflows vorgegeben werden können.

Mandantenfähigkeit
Basierend auf einem Berechtigungskonzept sollte die Trennung von Datensätzen für verschiedene Mandanten möglich sein. Darüber hinaus wäre es sinnvoll, wenn die Möglichkeit bestünde, individuelle Berechtigungen auf Datensatzebene (zeitlich befristet oder dauerhaft) anzupassen.

Flexibilität
Es sollte möglich sein, die Datensätze und die Verknüpfungen untereinander in beliebiger Reihenfolge anzulegen.

Konfigurierbarkeit
Die Software sollte umfangreiche Konfigurationsmöglichkeiten aufweisen, um den Kunden eine bestmögliche Anpassung der Software an deren individuelle Anforderungen und Wünsche zu ermöglichen.

Fazit

Im Rahmen der erwähnten Umfrage von bitkom gaben zwei Drittel der befragten Unternehmen als künftige Bedrohung den Mangel an IT-Sicherheitskräften an. Um diesem Mangel an IT Sicherheitskräften mit Effizienzsteigerungen entgegenzuwirken, sollte unbedingt ein ISMS-Tool wie die ibi systems iris genutzt werden. Damit lassen sich die ISMS-Prozesse nicht nur effizienter durchführen, sondern auch der Überblick über den Status quo bleibt erhalten und es können jederzeit und bequem Reports für das Management generiert werden. Eine toolgestützte ISMS-Implementierung ist also sehr zu empfehlen.

Die Wichtigkeit der erwähnten Anforderungen an ein ISMS-Tool ergibt sich aus den individuellen Präferenzen der Anwender. Die Auflistung hat keinen Anspruch auf Vollständigkeit, stellt aber eine gute Basis für eine erfolgversprechende Auswahl eines ISMS-Tools dar.

Zurück zur Übersicht

____________________

Quellen:

Bußgeldregelungen bei Verletzung der Pflichten des Verantwortlichen

Regelungen zu den Bußgeldern sind in Artikel 83 der DSGVO zu finden. Geldbußen müssen demnach wirksam, verhältnismäßig, aber auch abschreckend sein.

  • Bei Verstößen gegen die Pflichten des Verantwortlichen oder des Auftragsverarbeiters werden Bußgelder von bis zu 10 Millionen Euro fällig oder bei Unternehmen von bis zu zwei Prozent des weltweiten Umsatzes des Vorjahres. Der jeweils höhere Betrag zählt.
  • Das Gleiche gilt, wenn Zertifizierungsstellen oder Überwachungsstellen ihre Pflichten verletzen.
  • In diesen Bereich fällt auch die Einhaltung der Vorschrift, dass Kinder erst ab 16 Jahren selbst in die Datenverarbeitung einwilligen dürfen. Das hatte übrigens auch Auswirkungen auf die Nutzung von Facebook und WhatsApp.
  • Beispiele: fehlendes Vorhandensein eines Verzeichnisses der Verarbeitungstätigkeiten, unzureichende Sicherheitsvorkehrungen bei der Datenverarbeitung oder nicht ordnungsgemäße Erfüllung der Aufgaben durch den betrieblichen Datenschutzbeauftragten.

Ausgangslage

Die im Jahr 2016 verabschiedete europäische Datenschutzgrundverordnung (DSGVO) schafft einen gemeinsamen rechtlichen Rahmen für das Datenschutzrecht innerhalb der Europäischen Union (EU). Dabei ergeben sich für viele Unternehmen Veränderungen und neue Pflichten. Ein besonderes Augenmerk sollte auf den verfolgten risikobasierten Ansatz hinsichtlich technisch-organisatorischer Maßnahmen gelegt werden.

Seit dem 25. Mai 2018 ist die neue DSGVO direkt anwendbar. Damit löst das neue EU-Recht das bisherige Bundesdatenschutzgesetz (BDSG) und die Datenschutzrichtlinie (Richtlinie 95/46/EG) ab. Gleichzeitig zur neuen DSGVO tritt eine neue Fassung des BDSG in Kraft, welches die DSGVO konkretisiert. Weitere Neuerungen sind mit der EU-e-Privacy- Verordnung abzusehen. Dabei sorgte die neue Regelung nicht nur für eine einheitliche Datenschutzregelung innerhalb der EU, sondern auch für Furore und Verängstigungen, denn die Regelungen erscheinen kompliziert und die Strafmaßnahmen im Fall von Verstößen sind empfindlich.

Bußgeldregelungen bei Verstößen gegen Grundsätze der Datenverarbeitung

Härter sind die Strafen im Falle eines Verstoßes gegen die Grundsätze der Datenverarbeitung. Der Fokus liegt hierbei auf der Frage ob Daten überhaupt erhoben bzw. verarbeitet werden dürfen und hierfür die entsprechenden Bestimmungen eingehalten wurden.

  • Wer Daten verarbeitet, obwohl er es eigentlich gar nicht darf, muss mit Geldbußen von bis zu 20 Millionen Euro rechnen oder bis zu vier Prozent des Unternehmensumsatzes des Vorjahres. Auch hier gilt der Betrag, der höher ist.
  • Wer sich einer Anweisung der Aufsichtsbehörde widersetzt, muss mit denselben Bußgeldern rechnen.
  • Vergehen in dieser Kategorie liegen beispielsweise vor, wenn Daten ohne vorherige Einwilligung des Betroffenen verarbeitet werden oder die Rechte des Betroffenen verletzt werden.
  • Das kann schon der Fall sein, wenn ein Unternehmen seiner Informationspflicht gegenüber den Betroffenen über die Datenverarbeitung nicht nachkommt oder es kein Löschkonzept gibt. Betroffene haben das Recht auf Vergessenwerden, wenn der Zweck für die Datenverarbeitung weggefallen ist.
  • Dieselben Strafen werden verhängt, wenn personenbezogene Daten in Drittländer oder internationale Organisationen übermittelt werden und die extra dafür vorgesehenen Paragrafen der DSGVO missachtet werden.

Die Schonfrist ist vorbei

Die erste Zeit der Zurückhaltung ist vorbei. Das erste höhere Bußgeld in Europa kam von der Datenschutzbehörde in Portugal. Aufgrund mangelhafter Zugriffsbeschränkungen wurde ein Bußgeld von 400.000 Euro gegen ein Krankenhaus verhängt. Im November 2018 wurde in Baden-Württemberg das erste Bußgeld nach Art 83. DSGVO verhängt. Und auch gegen den Internetriesen Google wurde in Frankreich eine Rekordstrafe in Höhe von 50 Millionen Euro verhängt.

Zahlreiche Verfahren laufen noch – allein in Bayern sind es über 80. Dabei wurde der Großteil der Verfahren durch Beschwerden Betroffener ausgelöst. Bußgelder, Schadenersatzforderungen bis hin zu Freiheitsstrafen bei Vorsatz.

Werden Sie aktiv!

Das Risiko infolge mangelhafter Datenverarbeitung oder suboptimaler Datensicherheit zur Rechenschaft gezogen zu werden, ist deutlich gestiegen. Folgende strategische Überlegungen sollten Unternehmen treffen:

Effektive Umsetzung der DSGVO
„Angriff ist die beste Verteidigung“. Um Strafen zu vermeiden sollten die Anforderung der DSGVO und der jeweiligen nationalen Vorschriften erfolgreich umgesetzt werden. Nicht nur belastbare Strukturen und Prozesse, sondern auch ein effektives Datenschutz- bzw. Compliance-Managementsystem sind unerlässlich.

Schwachstellen identifizieren
Wie bereits erwähnt entsteht der Großteil der Bußgeldverfahren durch die Beschwerde betroffener Personen. Es ist daher ratsam gerade in besonders gefährdeten Bereichen, bspw. Beschwerden von Beschäftigten, besonders genau hinzusehen. Ein besonderes Konfliktpotential bergen Kontrollmechanismen.

Prozessorientierte Dokumentation
Mit der neuen DSGVO wurde das sogenannte Rechenschaftsprinzip, Art. 5 Abs. 2 DSGVO, eingeführt. Die verantwortliche Person, häufig die Unternehmensleitung, muss durch eine umfangreiche Dokumentation nachweisen, dass die Datenschutzregel eingehalten werden. Neben Verfahrensverzeichnisses bis hin zu Checklisten für eventuelle Datenschutzpannen- die Liste ist lang und die Dokumentation daher unübersichtlich. Medienbrüche, Informationsverluste und ein damit einhergehendes steigendes Risikopotential sind die Folge.

Fazit

Unternehmen sollten daher nicht tatenlos abwarten, sondern auf professionelle Unterstützung bauen. Die Anforderungen hieran sollten nicht zu niedrig liegen, denn die Verantwortung für die korrekte Umsetzung des Datenschutzes liegt ausschließlich beim Unternehmen selbst.

ibi systems iris ist eine ISMS- und GRC-Software durch die Sie nicht nur die Einhaltung der DSGVO mittels Audits überprüfen, sondern gleichzeitig Schwachstellen und Risiken erkennen und mittels geeigneter Maßnahmen beseitigen. ibi systems iris unterstützt damit nachgewiesen die Einhaltung der Anforderungen der DSGVO.

Zurück zur Übersicht

____________________

Quellen:

  • Art. 82 DSGVO: Allgemeine Bedingungen für die Verhängung von Geldbußen, Online im Internet: https://dsgvo-gesetz.de/art-83-dsgvo/, Abfrage: 04.02.2018, 15:49 Uhr.
  • IHK Osnabrück, Emsland, Grafschaft Bentheim: Stichtag 25. Mai 2018: EU-Datenschutzrecht, Online im Internet: https://www.osnabrueck.ihk24.de/blob/osihk24/recht_und_fair_play/recht/Downloads/3936174/8b15a20815b682588d036e5076d51a72/Ueberblick-EU-DSGVO-data.pdf, Abfrage: 05.02.2018, 15:07 Uhr.
  • ePrivacy-Verordnung: Die Ergänzung zur EU-Datenschutzverordnung, Online im Internet: https://www.datenschutz.org/eprivacy-verordnung/, Abfrage: 13.02.2019, 10:44 Uhr.
  • DSGVO-Verstoß: Krankenhaus in Portugal soll 400.000 Euro zahlen, Online im Internet: https://www.heise.de/newsticker/meldung/DSGVO-Verstoss-Krankenhaus-in-Portugal-soll-400-000-Euro-zahlen-4198972.html, Abfrage: 13.02.2019, 10:36 Uhr.

Inhalte der BAIT

Die BaFin veröffentlichte am 3.11.2017 ein verbindliches Regelwerk über die Bankaufsichtlichen Anforderungen an die IT (BAIT). Darin werden KWG und MaRisk konkretisiert bzw. ergänzt. In dem 20-seitigen Schreiben spezifiziert die BaFin Anforderungen an IT-Strategie, IT-Governance, Informationsrisikomanagement, Informationssicherheitsmanagement, Benutzerberechtigungsmanagement, IT-Projekte, Anwendungsentwicklung, IT-Betrieb (inkl. Datensicherung) und Auslagerungen von IT-Dienstleistungen. Grundsätzlich sollen bei der Ausgestaltung der IT-Systeme und der dazugehörigen Prozesse auch gängige Standards wie die IT-Grundschutzkataloge oder ISO/IEC 2700X herangezogen werden.

Nach der BAIT ist eine Informationssicherheitsleitlinie durch die Geschäftsleitung zu definieren. Zu deren Unterstützung und zur Vermeidung von Interessenskonflikten ist verbindlich, die organisatorisch und prozessual unabhängige Funktion eines Informationssicherheitsbeauftragten einzurichten. Zudem verfasst der Informationssicherheitsbeauftragte quartalsweise Berichte an die Geschäftsleitung über alle Probleme und besonderen Vorkommnisse, die die IT-Sicherheit betreffen.

Zentrale Aspekte der BAIT sind ein sicheres und nachvollziehbares IT-Management und ein konkretisiertes IT-Risikomanagement. So sind konsistente Prozesse für die Vergabe von Benutzerberechtigungen zu definieren und das Vorgehen soll dabei nach dem Sparsamkeitsgrundsatz (Need-to-know-Prinzip) erfolgen. Im Rahmen des Informationsrisikomanagements sollen Informationsverbünde mit gegenseitigen Abhängigkeiten modelliert werden und Schutzziele für die einzelnen Bestandteile festgehalten werden. Die Geschäftsleitung ist quartalsweise über die Ergebnisse der Risikoanalyse und Veränderungen an der Risikosituation zu unterrichten.

Unterstützung durch ibi systems iris

In ibi systems iris können viele Teilbereiche einzeln, aber auch in Verbindung mit anderen Bereichen und somit gesamtheitlich betrachtet werden. ibi systems iris unterstützt bei der Umsetzung der Anforderungen aus den BAIT und gewährleistet stets einen umfassenden Überblick über alle Aspekte der Informationssicherheit.

Die BAIT – aber auch KWG, MaRisk, ISO/IEC 2700X und die IT-Grundschutzkataloge des BSI – können in ibi systems iris unter den Regelwerken hinterlegt und mit anderen relevanten Elementen in Verbindung gebracht werden.

Der Informationsverbund eines Unternehmens kann mittels Assets und Prozessen abgebildet und deren Abhängigkeiten zueinander modelliert werden. Für jedes Asset und jeden Prozess ist es möglich, den Schutzbedarf für die vier Schutzziele „Integrität“, „Verfügbarkeit“, „Vertraulichkeit“ und „Authentizität“ festzustellen. Dabei kann der Schutzbedarf manuell eingegeben werden und/oder sich durch Vererbung basierend auf der Modellierung ergeben. Des Weiteren können Dokumente, Feststellungen (z.B. Schwachstellen), Prüfungen und Kennzahlen in der Software angelegt werden.

Der Informationssicherheitsbeauftragte kann mit dem Tool alle Belange der Informationssicherheit managen und z.B. Maßnahmen definieren sowie ein effektives Informationsrisikomanagement für das Unternehmen etablieren. Die Risiken werden dabei angelegt, mit den relevanten Elementen verknüpft (u.a. bestimmte Kapitel eines Regelwerks wie den BAIT, betroffene Assets und/oder Prozesse, Schwachstellen), in einem iterativen Vorgehen bewertet und mit geeigneten Maßnahmen zur Risikobehandlung in Verbindung gebracht.

Ein umfangreiches Reporting mit individueller Berichtserstellung gewährleistet stets einen gesamtheitlichen Überblick über alle Belange der Informationssicherheit. So können etwa die quartalsweisen Berichte an die Geschäftsleitung im Handumdrehen und mit nur wenigen Klicks erstellt werden.

Zurück zur Übersicht

____________________

Quellen:

  • Bundesanstalt für Finanzdienstleistungsaufsicht (2017): Bankaufsichtliche Anforderungen an die IT (BAIT), Online im Internet: https://www.bafin.de/SharedDocs/Downloads/DE/Rundschreiben/dl_rs_1710_ba_BAIT.pdf?__blob=publicationFile&v=6, Abfrage: 11.01.2018, 14:43 Uhr.

Problemstellung

Die Betreiber kritischer Anlagen müssen nach dem IT-Sicherheitsgesetz ein Mindestniveau an IT-Sicherheit einhalten und erhebliche Störungen an das BSI melden. Im Juni 2017 ist die zweite Tranche der Verordnung zu kritischen Infrastrukturen (KRITIS) in Kraft getreten. Damit werden die Sektoren Finanz- und Versicherungswesen, Gesundheit sowie Transport und Verkehr ergänzt. Im Gesundheitswesen bringt das nicht nur große Kliniken in Zugzwang, sondern auch Hersteller lebenswichtiger Medizinprodukte, medizinische Labors und große Arzneihändler.

Das Thema IT-Sicherheit genießt bei Investitionsvorhaben in Krankenhäusern bislang nicht den höchsten Stellenwert. Die Digitalisierung der Prozesse schreitet jedoch auch im Gesundheitswesen und insbesondere im Klinikumfeld unaufhaltsam voran. Daher ist es wenig überraschend, dass viele deutsche Kliniken bereits Lehrgeld bezahlen mussten. Laut einer Studie von Roland Berger waren bereits zwei von drei Kliniken Opfer von Cyber-Angriffen. Demnach führen mangelhafte IT-Infrastrukturen und fehlendes Fachpersonal nicht selten zu Sicherheitslücken.

„[…] für eine bessere und sichere IT-Infrastruktur benötigen Krankenhäuser weitere Investitionsmittel. Eine optimale Digitalisierung können klinische Einrichtungen nur im Rahmen einer breiteren Geschäftsstrategie stemmen. Kosteneinsparungen und Investitionen in relevante Bereiche müssen Hand in Hand gehen, damit Krankenhäuser wirtschaftlich bleiben.“

Peter Magunia, Leiter der Roland Berger Healthcare Practice Deutschland

Lösung

Damit die Digitalisierung im Klinikumfeld nicht durch eine mangelnde IT-Sicherheit gestoppt wird, ist für einen effektiven Umgang mit IT-Risiken eine strukturierte Vorgehensweise dringend erforderlich. Wichtige Aspekte sind dabei die Identifikation relevanter Risiken und eine umfassende Sicherheitskonzeption nach gängigen Standards.

Ein ISMS-Tool zur Unterstützung des Informationssicherheitsmanagements ist dabei ein nützliches und effektives Werkzeug bei der Implementierung von Standards (z.B. ISO 27001) und zur Verbesserung der Informationssicherheit der Kliniken. Idealerweise unterstützt das Tool in möglichst vielen Bereichen und deckt auch den Lösungsbereich Risiko-Management umfangreich ab.

Vorgehen mit ibi systems iris

Im Folgenden soll ein möglicher Informationssicherheitsmanagementprozesses mit der Software ibi systems iris und dem Fokus auf Risiko-Management skizziert und erläutert werden:

1. Integration von relevanten Gefährdungen
2. Identifikation und Erfassung aller kritischen Assets und Prozesse
3. Identifikation und Anlage von Schwachstellen (z.B. Identifikation im Rahmen von Prüfungen, die mit ibi systems iris durchgeführt wurden)
4. Anlage von Risiken und Verknüpfung mit anderen relevanten Elementen (u.a. Verknüpfung mit: Gefährdungen, Schwachstellen, Assets und Prozessen)
5. Durchführung einer Risikobewertung (IST-Bewertung)
6. Auswahl einer Risikobehandlungsstrategie (inkl. Definition von Maßnahmen)
7. Angabe einer angestrebten Risikobewertung nach durchgeführter Risikobehandlung (SOLL-Bewertung)
8. Wiederholung der Schritte 5 bis 7, bis ein akzeptables Restrisiko verbleibt

Haben wir Ihr Interesse geweckt? Bitte kommen Sie für eine Vorstellung und/oder einen kostenfreien Test gerne auf uns zu (info@ibi-systems.de; +49 (0)941-462939-0).

Zurück zur Übersicht

____________________

Quellen:

  • Bundesamt für Sicherheit in der Informationstechnik – BSI (2013): Schutz Kritischer Infrastrukturen: Risikoanalyse Krankenhaus-IT: Management-Kurzfassung, Online im Internet: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/RisikoanalyseKrankenhaus.pdf?__blob=publicationFile&v=4, Abfrage: 13.12.2017, 15:01 Uhr.
  • Bundesamt für Sicherheit in der Informationstechnik – BSI (2016): Das IT-Sicherheitsgesetz: Kritische Infrastrukturen schützen, Online im Internet: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/IT-Sicherheitsgesetz.pdf?__blob=publicationFile&v=5, Abfrage: 13.12.2017, 14:02 Uhr.
  • Hauke, Gerlof (2017): Kliniken in Zugzwang, Online im Internet: https://www.aerztezeitung.de/praxis_wirtschaft/klinikmanagement/article/937004/kritis-kliniken-zugzwang.html, Abfrage: 04.12.2017, 16:58 Uhr.
  • Liedtke, Dirk (2017): Diagnose Hackerangriff: Wie Cyberattacken deutsche Kliniken lahmlegen, Online im Internet: https://www.stern.de/gesundheit/krankenhaus/hackerangriff–wie-cyberattacken-deutsche-kliniken-lahmlegen-7762362.html, Abfrage: 13.12.2017, 15:37 Uhr.
  • Roland Berger (2017): Deutsche Krankenhäuser in der Zwickmühle: Kliniken wollen digitaler werden, aber die Investitionsmittel für eine moderne und sichere IT-Infrastruktur fehlen, Online im Internet: http://www.tagesspiegel.de/advertorials/ots/roland-berger-deutsche-krankenhaeuser-in-der-zwickmuehle-kliniken-wollen-digitaler-werden-aber-die-investitionsmittel-fuer-eine-moderne-und-sichere-it-infrastruktur-fehlen/20044632.html, Abfrage: 13.12.2017, 16:15 Uhr.
  • UPKRITIS Branchenarbeitskreis medizinische Versorgung (2017): Handlungsempfehlungen zur Verbesserung der Informationssicherheit an Kliniken, Online im Internet: http://www.kritis.bund.de/SharedDocs/Downloads/Kritis/DE/Handlungsempfehlungen_Kliniken.pdf?__blob=publicationFile, Abfrage: 04.12.2017, 14:35 Uhr.