Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

30. Januar 2019

So sieht eine IT-Sicherheitsrichtlinie aus

So sieht eine IT-Sicherheitsrichtlinie aus
Bild: KrulUA / iStock / Thinkstock
2,60 (5)
Dokumentation und Regeln im Datenschutz
Um die Datenschutz-Grundverordnung (DSGVO) umzusetzen, führt kein Weg daran vorbei, IT-Sicherheitsrichtlinien zu erarbeiten und umzusetzen. Denn nur verbindliche, dokumentierte Vorgaben gewährleisten eine sichere Verarbeitung und weisen sie nach. Lesen Sie, worauf Sie dabei achten sollten.

Datenschutz braucht IT-Sicherheitsrichtlinien

Die große Mehrzahl der Datenpannen passiert nicht aus bösem Willen oder mit kriminellen Absichten. Sondern aus Unwissenheit und Sorglosigkeit. Deshalb sind Unterweisungen und Datenschutz-Schulungen so wichtig. Und deshalb sind auch IT-Sicherheitsrichtlinien entscheidend,  um Datenschutz und Datensicherheit zu steigern.

Nur wenn die Mitarbeiterinnen und Mitarbeiter verbindliche Vorgaben für die Nutzung und Sicherheit der Datenverarbeitung erhalten, sie verstehen und umsetzen, schützt das personenbezogene Daten.

IT-Sicherheitsrichtlinien brauchen auch Datenschutz

Nicht nur der Datenschutz braucht die IT-Sicherheitsrichtlinien. In jeder IT-Sicherheitsrichtlinie gilt es, Ziele des Datenschutzes und Vorgaben aus dem Datenschutz-Konzept zu beachten.

So kommen die Maßnahmen der IT-Sicherheit dort an ihre Grenzen, wo sie gegen den Schutz personenbezogener Daten verstoßen.

Ein klassisches Beispiel ist die Protokollierung der Nutzeraktivitäten und ihre Auswertung.

DSB gehört in die Richtlinien-Gruppe

Deshalb sollten Sie als Datenschutzbeauftragte oder Datenschutzbeauftragter Teil der Gruppe sein, die die IT-Sicherheitsrichtlinien entwickelt, begutachtet und aktualisiert.

Geben Sie sich nicht damit zufrieden, an der IT-Sicherheitsrichtlinie „Datenschutz“ beteiligt zu werden: Sondern sorgen Sie für die richtigen Datenschutz-Aspekte in allen IT-Sicherheitsrichtlinien.

Das ist gerade mit Blick auf die Datenschutz-Grundverordnung wichtig. Denn sie sieht bei Verletzungen des Datenschutzes scharfe Konsequenzen vor.

Beraten Sie die Leitung

Beraten Sie die Geschäftsleitung ausführlich über die Datenschutz-Ziele. Denn die verantwortliche Leitung muss die IT-Sicherheitspolitik vorgeben, die Grundlage aller IT-Sicherheitsrichtlinien ist.

Fordert die IT-Sicherheitspolitik des Unternehmens den Datenschutz nur halbherzig ein, werden Sie es bei der weiteren Umsetzung der IT-Sicherheitsrichtlinien nicht leicht haben.

Deshalb sollte der Datenschutz konkreter Bestandteil der IT-Sicherheits-Rahmenrichtlinie sein. Sie bestimmt die Eckpunkte der IT-Sicherheitsorganisation ein und macht Vorgaben zu den einzelnen IT-Sicherheitsrichtlinien.

Typische Fehler bei IT-Sicherheitsrichtlinien vermeiden

Geht es darum, die einzelnen IT-Sicherheitsrichtlinien zu entwickeln, zu prüfen und zu aktualisieren, helfen Sie dabei, typische Fehler in den IT-Sicherheitsrichtlinien zu vermeiden.

Nur ein Unternehmen, das die IT-Sicherheitsrichtlinien erfolgreich umsetzt, hat etwas für den Datenschutz und die Datensicherheit gewonnen.

1) Sicherheitsrichtlinien individualisieren

Viele Unternehmen verweisen in ihren IT-Sicherheitsrichtlinien auf Sicherheitsstandards, ohne die Vorgaben auf die eigene Situation anzupassen.

Als Folge finden sich weder Unternehmensleitung noch Mitarbeiter in den Richtlinien wieder, und alle betrachten die Vorgaben als praxisfern. Die Aufsichtsbehörden für den Datenschutz werden sich damit genauso wenig zufrieden geben.

IT-Sicherheitsrichtlinien, die alle Beteiligten innerlich ablehnen, scheitern. Zudem bedeutet die Arbeit an den unternehmensspezifischen IT-Sicherheitsrichtlinien, dass sich alle mit dem Thema Datensicherheit und Datenschutz befassen und so stärker sensibilisiert sind.

Drängen Sie deswegen darauf, dass die IT-Sicherheitsrichtlinien individuell angepasst werden. Auch wenn es viel Mühe kostet.

2) IT- Sicherheitsrichtlinien müssen durchführbar sein

Wenig sinnvoll sind zudem IT-Sicherheitsrichtlinien,

  • die sich praktisch nicht durchführen lassen,
  • die zu Widersprüchen in Verbindung mit anderen Vorgaben und Richtlinien führen und
  • deren Einhaltung sich nicht überprüfen lässt.

Solche IT-Sicherheitsrichtlinien führen dazu, dass die Leitung glaubt, alles geregelt zu haben und sich in trügerischer Sicherheit wähnt, während die tägliche Praxis ganz anders aussieht.

3) Freigabe, Bekanntmachung und Zielgruppe sind bedacht

Weiterhin muss der für die Verarbeitung Verantwortliche, in der Regel die Unternehmensleitung,  jede IT-Sicherheitsrichtlinie freigeben. Damit ist es aber nicht getan. Die Anwender der Datenverarbeitung müssen ebenfalls davon wissen.

Denken Sie also bei allen Richtlinien mit Bezug zu personenbezogenen Daten daran, sie bekannt zu machen und zu schulen.

Und wie bei jeder Vorgabe und Anleitung darf auch bei einer IT-Sicherheitsrichtlinie nicht die Zielgruppe in den Hintergrund geraten: Die Zielgruppe muss die Beschreibungen verstehen.

4) Richtinie wird ständig aktualisiert

Schließlich bleibt festzuhalten, dass IT-Sicherheitsrichtlinien aktualisiert werden müssen. Denn gerade in der IT ändern sich die Systeme und Bedrohungen in kurzen Zeitabständen. IT-Sicherheitsrichtlinien zu entwickeln und zu prüfen, ist deshalb ein laufender Prozess.

Nutzen Sie bei der Überprüfung die Muster-Gliederung, die Ihnen wichtige Inhalte einer IT-Sicherheitsrichtlinie nennt.


Download: Gliederungspunkte einer IT-Sicherheitsrichtlinie


Oliver Schonschek

Oliver Schonschek
Verfasst von
Oliver Schonschek
Oliver Schonschek
Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.