2. April 2009 - Was ist das ISMS?

ISMS: Das Informations-Sicherheits-Management-System des BSI

Ein Informations-Sicherheits-Management-System (ISMS) wie das des Bundesamts für Sicherheit in der Informationstechnik (BSI) soll die Informationen in allen Bereichen der Organisation sichern. Dazu gehören natürlich auch die personenbezogenen Daten. Insofern sollte es eigentlich selbstverständlich sein, dass ein so brisantes Thema wie der Datenschutz in ein ISMS eingebunden wird. Dennoch fristete der Datenschutz im ISMS des BSI in der Vergangenheit eher ein Schattendasein – und das nicht ohne Grund.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Das BSI hat im Jahr 1991 seine Arbeit aufgenommen, um unter anderem die Einstiegshürde zur IT-Sicherheit niedrig zu halten. Es liefert Anleitungen, um ein mittleres Sicherheitsniveau – den sogenannten IT-Grundschutz – zu erreichen.

Der BSI-Grundschutz ist Standard

Das Konzept hat sich bewährt und als Standard der IT-Sicherheit etabliert. Inzwischen ist es zu einem umfassenden ISMS gereift und sichert die Vertraulichkeit, Verfügbarkeit und Integrität der Informationen in sämtlichen Bereichen einer Organisation über die Sicherheit in IT-Systemen hinaus.

Daten sind das Unternehmenskapital

Ein Unternehmen lebt von Informationen, die in allen Abteilungen des Betriebs auftauchen, seien es Einkaufsbedingungen, Quellcodes, Rezepturen, technische Zeichnungen, Kundenkontakte, Vertriebszahlen oder Zugangsberechtigungen.

Ein ISMS stellt Vertraulichkeit, Verfügbarkeit und Integrität der Daten sicher

Diese und alle weiteren vorkommenden Informationen soll das ISMS bezüglich der zuvor genannten Informationskriterien Vertraulichkeit, Verfügbarkeit und Integrität sichern.

Dazu gehören auch die Anforderungen der Befolgung von Richtlinien und Gesetzen, auch Compliance genannt, wie die Einhaltung des Bundesdatenschutzgesetzes (BDSG).

Konkurrierende Entwicklung des Datenschutzes vermeiden

Wie das Bundesdatenschutzgesetz ist auch das Produkt des BSI eine staatlich gesteuerte Maßnahme.

Der DSB hat mit dem Bundesdatenschutzbeauftragten aber einen anderen öffentlichen Ansprechpartner als der Verantwortliche für das ISMS mit dem BSI. Eine konkurrierende Entwicklung war und ist zu vermeiden!

Der Datenschutz blieb daher zunächst unabhängig und wurde im IT-Grundschutz nur nachrangig behandelt.

IT-Grundschutz betrachtet auch den Datenschutz, …

Im Jahre 2005/2006 hat sich der IT-Grundschutz allerdings die ISO 27001 als Rahmenmantel umgeworfen.

Seitdem ist die Compliance im IT-Grundschutz ein zentrales Thema. Die Einhaltung und entsprechende Behandlung des Datenschutzes ist somit nun auch für den Verantwortlichen des IT-Grundschutzes erforderlich.

… jedoch erst seit 2007

Der Baustein „Datenschutz“ des IT-Grundschutzes war lange vom Bundesdatenschutzbeauftragten ausgeschrieben worden, blieb aber zunächst ohne wesentlichen Inhalt.

Erst Ende 2007 konnten sich die Aufsichtsbehörden mit den Landes- und dem Bundesdatenschutzbeauftragten auf die Absegnung eines entsprechenden Bausteins einigen.

Dieser Baustein soll nun mithilfe der IT-Grundschutz-Auditoren weiterentwickelt und aktuell gehalten werden.

Datenschutz ist nicht Teil des IT-Grundschutz-Zertifikats

Dem geübten Auditor der ISO 27001 auf Basis IT-Grundschutz werden die sonst üblichen Kontrollfragen am Ende des Bausteins „Datenschutz“ fehlen. Das liegt daran, dass dieser Baustein nicht zum zertifizierbaren Inhalt des IT-Grundschutzes gehört.

Das BDSG und seine Länder-Pendants sind zu komplex

Der Datenschutz wird auch weiterhin nicht zum Zertifizierungs-Umfang der ISO 27001 auf Basis IT-Grundschutz zählen.

Damit soll weiterhin die konkurrierende Entwicklung vermieden werden. Zum anderen wäre der Anpassungsprozess der länderspezifischen BDSG-Abwandlungen äußerst komplex.

Datenschutz sichert das Grundgesetz – ein ISMS sichert Unternehmensdaten
Bundesdatenschutzgesetz, Landesdatenschutzbeauftragte, Bundesdatenschutzbeauftragter und jeder einzelne Datenschutzbeauftrage sichern die informationelle Selbstbestimmung über die personenbezogenen Daten.
Sie stellen somit in allen Bereichen des öffentlichen Lebens die Einhaltung verschiedener Artikel des Grundgesetzes sicher.
Ein ISMS hat ein anderes Ziel. Es soll die Informationen in einer Organisation bezüglich ihrer Vertraulichkeit, Verfügbarkeit und Integrität sichern.

Datenschutz-Gütesiegel einführen!

Sinnvoll für ein umfassendes ISMS wäre die Einbeziehung eines einheitlichen Datenschutz-Gütesiegels, wie es der Entwurf des Bundesdatenschutz-Audit-Gesetzes (BDSAuditG) fordert.

Ein solches Siegel könnte zum einen dem IT-Grundschutz-Auditor als Nachweis gelten. Der Verantwortliche des ISMS würde so zum anderen in diesem komplexen Thema entlastet.

Der BSI-Baustein „Datenschutz“ bietet hilfreiche Hinweise zur Umsetzung des Datenschutzes im Unternehmen

Der Baustein 1.5 „Datenschutz“ erläutert die wesentlichsten Inhalte in kurzer Form. Zusätzlich bietet er diverse Links zu entsprechenden Maßnahmen und Gefährdungen im Datenschutz.

Insgesamt werden diesem Baustein 16 Maßnahmen im Bereich Planung, Umsetzung und Betrieb zugewiesen. Diese sind nicht immer detailliert ausgestaltet.

Dennoch liefern sie für den DSB eine hervorragende Ergänzung zum Bundesdatenschutzgesetz.

Der Datenschutzbeauftragte muss auch für Informationssicherheit sorgen

Ohnehin hat auch der Datenschutzbeauftragte mit dem BDSG-Anhang zu § 9 „Technische und organisatorische Maßnahmen“ erhebliche Anforderungen der Informationssicherheit zu erfüllen.

Diese Anforderungen kann er durch die Inhalte des IT-Grundschutzes ausgezeichnet umsetzen.

Die Verknüpfung hilft DSB und ISMS-Beauftragtem

Damit ist die Einbeziehung des Datenschutzes nicht nur aus Sicht der Anforderungen eines ISMS sinnvoll.

Eine Verknüpfung hilft zudem den Verantwortlichen des Informations-Sicherheits-Management-Systems ebenso wie den Datenschutzbeauftragten.

Datenschutz nicht nebenbei betreiben!

Dass das komplexe und mit dem hohen Stellenwert des Grundrechts versehene Thema Datenschutz nicht beiläufig mit einem ISMS „abgefrühstückt“ wird, sollte selbstverständlich sein.

Der ISMS-Verantwortliche, in der Regel der IT-Sicherheitsbeauftragte, kann sich nicht mal eben um den Datenschutz kümmern.

Thomas Ili
Thomas Ili ist Inhaber der Unternehmensberatung Abakus-IT, Berater und Auditor der ISO-27001/IT-Grundschutz und Cobit sowie geprüfter Datenschutzbeauftragter.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln