21. März 2016 - Bedrohungsanalysen und Wirkungsklassen

So entwickeln Sie ein Datensicherheitskonzept

Viele Unternehmen haben ein Datensicherheitskonzept, das die Risiken nicht genau genug berücksichtigt, sondern nur allgemeine Aussagen zum Datenschutz trifft. Der Grund ist häufig mangelnde Erfahrung, wie sich Datensicherheit optimal gestalten lässt. Leitlinien zu Schutzbedarf und Wirkungsklassen helfen Ihnen hierbei.

Leitlinien wie die Wirkungsklassen helfen dabei, ein Datensicherheitskonzept zu erstellen (Bild: Sergey Nivens/iStock/Thinkstock) Leitlinien wie die Wirkungsklassen helfen dabei, ein Datensicherheitskonzept zu erstellen (Bild: Sergey Nivens / iStock/ Thinkstock)

Datensicherheitskonzept muss dynamisch sein

Wann haben Sie sich zuletzt das Datensicherheitskonzept Ihres Unternehmens angesehen? Wenn Sie nun länger überlegen müssen, wird schon ein Problem sichtbar: Das Sicherheitskonzept Ihres Unternehmens lebt nicht. Es muss jedoch dynamisch sein, sich mit der Risikolage entwickeln. Dazu gehört zum Beispiel, dass es neue Angriffsverfahren, aber auch neue IT-Technologien berücksichtigt.

Wie die Aufsichtsbehörden bei Kontrollen feststellen mussten, sind viele Konzepte für die IT-Sicherheit und die Datensicherheit gefüllt mit allgemeinen Aussagen zum Datenschutz. Sind genaue Vorgaben und Richtlinien enthalten, aktualisieren die Unternehmen sie häufig nicht. Das ist ein großes Problem, das zu einer lückenhaften IT-Sicherheitsinfrastruktur führen kann und Datenpannen begünstigt.

Datensicherheit nach Leitlinien entwickeln

Es ist nicht einfach, ein aktuelles Konzept für die technisch-organisatorischen Maßnahmen des Datenschutzes zu erstellen: Entweder die geplanten Maßnahmen reichen nicht aus oder sie sind übertrieben aufwändig. Das Bundesdatenschutzgesetz (BDSG) fordert einen verhältnismäßigen Datenschutz – nicht mehr, aber auch nicht weniger. Einen verhältnismäßigen Datenschutz erreichen Sie, wenn die Maßnahmen zum Schutzbedarf der Daten passen.

Der Schutzbedarf hängt nicht nur von der jeweiligen Datenkategorie ab, also davon, ob es sich zum Beispiel um besondere Arten personenbezogener Daten handelt oder nicht. Auch die aktuelle Gefahrenlage spielt eine Rolle. So ist der Schutzbedarf höher, wenn Angreifer gegenwärtig massiv bestimmte Arten von Daten stehlen.

ENISA Threat Taxonom

Mit der Bewertung der Gefahrenlage aber tun sich viele Unternehmen schwer. Deshalb sind Instrumente wie ENISA Threat Taxonom hilfreich. Das ist ein Tool der EU-Agentur für Netz- und Informationssicherheit zur Klassifizierung und Strukturierung von Informationssicherheit und Cyber-Bedrohungen.

Ebenfalls hilfreich sind Auswertungen wie ENISA Threat Landscape 2015, als die Bewertung aktueller Bedrohungen durch ENISA.

Mögliche Auswirkungen für Betroffene abschätzen

Wichtig für das Sicherheitskonzept ist es zudem, den möglichen Schaden für Betroffene zu berücksichtigen. Er ist bei den besonderen Arten personenbezogener Daten natürlich als hoch anzusehen.

Für die Bewertung möglicher IT-Sicherheitsvorfälle hat ENISA außerdem eine Untersuchung zu Indikatoren gemacht, mit denen sich die Folgen besser bewerten lassen. Als Indikatoren für einen möglichen Schaden nennt ENISA insbesondere:

  • Zeitpunkt und Dauer des Vorfalls, der dazu führt, dass die Verfügbarkeit der Daten nicht gewährleistet ist
  • Art der betroffenen Dienste und IT-Infrastrukturen
  • wirtschaftliche Auswirkungen
  • Auswirkungen auf die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit

Konzept der Wirkungsklassen kann helfen

Passend zum jeweiligen Schutzbedarf müssen Sie die technischen und organisatorischen Maßnahmen definieren. Woher aber wissen Sie, welche IT-Sicherheitslösung bei einem bestimmten Schutzbedarf nötig ist?

Ein interessantes Konzept für die Auswahl notwendiger IT-Sicherheitslösungen kommt von TeleTrusT, dem Bundesverband IT-Sicherheit e.V. So definiert TeleTrusT sogenannte Wirkungsklassen von IT-Sicherheitsmaßnahmen für unterschiedliche Schutzbedarfe und setzt sie in Bezug zu den Nutzerkreisen. Die Wirkungsklassen erlauben eine strukturierte Analyse und zweckorientierte Umsetzung der erforderlichen Maßnahmen, so TeleTrusT.

Mit den Wirkungsklassen, zu denen bestimmte Schutzmaßnahmen gehören, sind jeweils der Schutzbedarf, die Gefahren und die Kosten für Datensicherheit verbunden. Bewerten Sie daher die individuelle Situation:

  • Ermitteln Sie den Schutzbedarf,
  • bewerten Sie die Gefahren und
  • klären Sie die finanziellen Fragen.

Die Zuordnung zu bestimmten IT-Sicherheitsmaßnahmen in den Wirkungsklassen hilft dabei, das Datensicherheitskonzept zu konkretisieren. Zudem erleichtert es die dynamische Weiterentwicklung des Konzepts.

Die Checkliste hilft Ihnen ebenfalls, die Arbeit an Ihrem Datensicherheitskonzept zu optimieren.


Download:


Oliver Schonschek
Oliver Schonschek, Diplom-Physiker, ist IT-Fachjournalist und IT-Analyst.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln