3. Oktober 2008 - Datenschutz – effizient und zielführend

Überblick dank den IT-Grundschutz-Katalogen

Es gehört zu Ihren Aufgaben als Datenschutzbeauftragter, sich regelmäßig mit neuer Technik sowie neuen Regularien und Verfahren auseinanderzusetzen. Um den Überblick zu behalten, ist es wichtig, verlässliche Hilfsmittel wie die IT-Grundschutz-Kataloge zu nutzen. So können Sie zielgerichtet darauf hinwirken, dass während des gesamten Lebenszyklus von Systemen oder Prozeduren angemessene technische und organisatorische Maßnahmen implementiert sind.

uberblick-dank-den-it-grundschutz-katalogen.jpeg
Übersicht der Bausteine im Grundschutzkatalog, Stand: 9. Ergänzungslieferung, 2007 (Auszug).

Die Pflicht des Datenschutzbeauftragten (DSB) ist, darauf hinzuwirken, dass personenbezogene Daten im zulässigen Rahmen verarbeitet werden.

Daher muss der DSB kontinuierlich Änderungen aus unterschiedlichsten Richtungen beachten.

Spannungsfeld zwischen Gesetzen, Technik, Organisation und Verfahren

Die Fragestellungen lauten für ihn: Wo kann etwas passieren? Was kann passieren? Wie groß ist das Risiko? Was ist das Schutzziel? Welche Zusammenhänge und Abhängigkeiten sind zu beachten?

Daher benötigt er geeignete Materialien, um ein Verfahren oder eine Technik besser und schneller beurteilen zu können.

Beschreibungen für passende und angemessene technische und organisatorische Maßnahmen sind hilfreich und aufgrund der Vielfalt der Themen und neuen Techniken sogar notwendig.

Die IT-Grundschutzkataloge sind solide Hilfsmittel

Seit mehr als zehn Jahren nutzen nicht nur IT-Verantwortliche und -Administratoren, sondern auch Datenschützer die IT-Grundschutzkataloge.

Herausgeber der Kataloge ist das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Als wahrer Schatz an Wissen stellt sich diese solide, anerkannte – und mittlerweile mehr als 3.500 Seiten starke – Sammlung von Empfehlungen dar.

Effizient und zielgerichtet die richtigen Informationen finden

Wer weiß, wie er in dem Almanach genau das findet, wonach er sucht, kann ihn wirksam einsetzen. Dafür benötigt man zunächst einen groben Überblick über die einzelnen Teile und deren Inhalte.

Die IT-Grundschutzkataloge setzen sich zusammen aus

  • dem Gefährdungs-,
  • dem Maßnahmen- und
  • dem Bausteinkatalog.

Konzentrieren Sie sich auf den Bausteinkatalog

Um zielgerichtet Informationen zu einem Thema zu finden, reicht es, mit dem Bausteinkatalog zu arbeiten. Er speist sich nämlich aus den Informationen der beiden anderen Kataloge.

Die Bausteine sind fünf Bereichen – vom BSI „Schichten“ genannt – zugeordnet:

  • Übergreifende IT-Sicherheitsaspekte
  • Sicherheit der baulich-technischen Gegebenheiten
  • Sicherheit der IT-Systeme
  • Sicherheit im Netz
  • Sicherheit in Anwendungen

Überblick dank einheitlichem Aufbau

Alle Bausteine sind nach einen einheitlichen Schema aufgebaut:

  • kurze Beschreibung, welche Technik oder welches Verfahren der Baustein behandelt, sowie eine Abgrenzung
  • mögliche Gefährdungen, die diese Technik oder dieses Verfahren betreffen
  • empfohlene Maßnahmen, um die Technik oder das Verfahren angemessen abzusichern. Zur besseren Orientierung sind die aufgelisteten Maßnahmen dabei Phasen zugeordnet: „Planung und Konzeption“, „Beschaffung“‚ „Umsetzung“, „Betrieb“, „Aussonderung“ oder „Notfallvorsorge“.

Praxisbeispiel Netzwerkdrucker

Das Unternehmen, für das Sie als Datenschutzbeauftragter tätig sind, hat einen neuen Kopierer angeschafft, der ins interne Netz eingebunden ist.

Scanning- und Fax-Funktionen sind integriert. Der Zugriff auf einzelne Funktionen lässt sich per PIN schützen. Diverse Daten der Kopier-, Fax-und Scan-Vorgänge werden auf einer im Gerät eingebauten Platte abspeichert. Der Hersteller bietet zudem eine Fernwartung an.

Technische und organisatorische Aspekte sind zu beachten

Unter diesen Umständen müssen Sie davon ausgehen, dass personenbezogene Daten verarbeitet werden. Somit müssen Sie sowohl technische als auch organisatorische Aspekte betrachten und dafür sorgen, dass die Nutzung konform zu den rechtlichen Anforderungen gestaltet ist.

Wie können Ihnen dabei die IT-Grundschutzkataloge helfen?

Treffer im Bausteinkatalog suchen

Ein Blick auf die Liste der Bausteine (fünf Seiten aus den über 3.500 Seiten der IT-Grundschutzkataloge) zeigt schnell, dass es einen Baustein „Drucker, Kopierer, Multifunktionsgeräte“ gibt.

Ihre Thematik betrifft ein anderes Gebiet? Prüfen Sie, ob es einen oder ggf. auch mehrere Bausteine gibt, die passen könnten. Wenn Sie nicht ganz sicher sind, werfen Sie einen kurzen Blick in die Beschreibung, die direkt am Beginn des Bausteins steht.

Gebündelte Information

In einem Baustein sind jeweils die Informationen gebündelt, die für diesen Baustein relevant sind, also die möglichen Gefährdungen und die empfohlenen Maßnahmen. Im Baustein „Drucker“ sind also nur Gefährdungen aufgelistet, die für dieses Thema bedeutsam sind.

Über Fragestellungen wie z.B.

  • Trifft das auf unsere Gegebenheiten zu?
  • Wo kann etwas passieren?
  • Welche der aufgelisteten Gefährdungen birgt für unser Unternehmen das größte Risiko?

können Sie dann noch gezielter Schwachstellen, die Ihre spezifische Umgebung betrifft, erkennen und darauf reagieren.

Maßnahmen auffinden und eingrenzen

Analog zur Liste der Gefährdungen finden Sie in dem Baustein eine Liste mit empfohlenen Maßnahmen, um die Technik oder das Verfahren abzusichern und den zuvor aufgelisteten Gefährdungen entgegenzuwirken.

Die Anzahl der zu betrachtenden Maßnahmen lässt sich manchmal noch eingrenzen, wenn aktuell nur eine bestimmte Phase relevant ist.

Ist das Gerät oder Verfahren z.B. schon im Einsatz, sind primär die Maßnahmen von Bedeutung, die den Betrieb und die Notfallvorsorge betreffen.

Planung, Beschaffung oder Entsorgung sind dann sekundär.

Der Baustein Datenschutz

Der Baustein „Datenschutz“ bietet im Vergleich zu allen anderen Bausteinen eine Besonderheit.

Als einziger Baustein enthält er eine Zuordnungstabelle der Maßnahmen der IT-Grundschutz-Kataloge zu den datenschutzrechtlichen Kontrollzielen (Anhang zu § 9 BDSG).

25 Prozent aller Maßnahmen im Katalog haben Datenschutzbezug

Die Tabelle listet rund 250 Maßnahmen auf. Aus den mehr als 1.100 Maßnahmen im IT-Grundschutz-Katalog haben also etwa 25 Prozent Bezug zu datenschutzrechtlichen Kontrollzielen.

Filtern mit der Kreuzreferenztabelle

Nun gleichen Sie die Liste der empfohlenen Maßnahmen eines Bausteins mit dieser Kreuzreferenztabelle ab.

Filtern Sie die Maßnahmen heraus, die mit dem Schutz personenbezogener Daten verknüpft sind, und entscheiden Sie, ob sie umgesetzt sind oder die Umsetzung optimiert werden sollte.

Die Technik ist aber immer schneller als die IT- Grundschutzkataloge

Aufgrund der enormen Dynamik bei den Entwicklungen im IT-Umfeld ist es nicht möglich, die Trends und Techniken immer aktuell in den IT-Grundschutzkatalogen zu berücksichtigen.

Die IT-Grundschutzkataloge werden kontinuierlich weiterentwickelt. Jährlich kommen Ergänzungen und Aktualisierungen hinzu. Für den Herbst 2008 hat das BSI eine neue Version angekündigt.

Ingrid Dubois

Ingrid Dubois ist Geschäftsführerin von dubois it-consulting gmbh. Sie arbeitet zudem als lizenzierte Auditorin für Informationssicherheit und Business Continuity.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln