Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

06. April 2021

BSI-Standard 200-4: Was Notfall-Management & Datenschutz gemeinsam haben

Der BSI-Standard 200-4 gibt Tipps zum Notfall-Management und zum BCM
Bild: iStock.com / designer491
4,40 (5)
Wiederherstellbarkeit
Die DSGVO fordert die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen rasch wiederherzustellen. Hinweise zur Umsetzung liefert sie aber nicht. Deshalb sind Hilfestellungen wie der neue BSI-Standard 200-4 mehr als willkommen.

Der BSI-Standard 200-4: Notfall-Management aufbauen

Der neue BSI-Standard 200-4 gibt eine praxisnahe Anleitung, um ein Business Continuity Management System (BCMS) aufzubauen. Denn tritt in einer Organisation eine Krise oder ein Notfall auf, ist schnelles Handeln notwendig. Jeder Handgriff muss sitzen, so das Bundesamt für Sicherheit in der Informationstechnik (BSI). Durch klare Prozess- und Aufgabenfestlegung kann das gelingen.

Der BSI-Standard 200-4 als Weiterentwicklung des etablierten BSI-Standards 100-4 enthält zahlreiche Neuerungen. Sie basieren auf aktuellen Erkenntnissen im Bereich Business Continuity sowie auf den jüngsten Erfahrungen aus der Corona-Pandemie.

Empfehlungen des BSI

Der als Community-Draft vorliegende BSI-Standard 200-4 liefert auf knapp 300 Seiten viele Hinweise und Empfehlungen, wie Betriebe und Behörden ein Notfall-Management oder Business Continuity Management (BCM) aufbauen.

Darin finden sich unter anderem:

  • ein Stufenmodell mit vereinfachten Einstiegstufen (Reaktiv-BCMS und Aufbau-BCMS) und einer Stufe, die mit der internationalen Norm ISO 22301:2019 kompatibel ist (Standard-BCMS)
  • mögliche Synergien innerhalb des IT-Grundschutzes zwischen dem Managementsystem für Informationssicherheit und dem Business Continuity Management System
  • eine Ausarbeitung von Teilen der Methodik mit umfangreichen Hilfestellungen, etwa um eine besondere Aufbauorganisation (Stabsstruktur) zu etablieren, im Soll-Ist-Vergleich, in der Geschäftsfortführungs-Planung oder in der Wiederanlauf-Planung usw.
  • Bereitstellung vieler Hilfsmittel, zum Teil mit Beispieltexten.

Was hat das mit Datenschutz und der DSGVO zu tun?

Notfälle, die es zu managen gilt, kennt der Datenschutz auch: die Datenschutz-Verletzungen. Zudem fordert die Datenschutz-Grundverordnung (DSGVO) konkret unter den Maßnahmen für die Sicherheit der Verarbeitung (Artikel 32 DSGVO) „die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen“.

Diese Wiederherstellbarkeit personenbezogener Daten umfasst mehr als Datensicherungen (Backups). Denn auch der Zugang zu den Daten muss sich bei einem Zwischenfall rasch wiederherstellen lassen. Sonst sind die Daten nicht wirklich „verfügbar“, sondern nur „vorhanden“.

Für den Zugang sind neben den Daten auch technische Systeme und organisatorische Abläufe erforderlich. Wie Unternehmen und Behörden diese aufbauen und implementieren, können IT-Sicherheitsvorgaben wie der BSI-Standard 200-4 erklären und empfehlen. Das Notfallmanagement oder BCM hat somit Synergien mit dem Datenschutz.

Berührungspunkte zur IT-Sicherheit

IT-Sicherheit und Datenschutz haben nicht die gleichen Ziele. Sie nutzen aber vielfach verwandte oder sogar die gleichen technischen Schutzmaßnahmen.

Es gibt viele Beispiele, die die Synergien von IT-Sicherheit und Datenschutz sichtbar machen. So haben sich der Präsident des Bundesamts für Sicherheit in der Informationstechnik Arne Schönbohm und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Professor Ulrich Kelber über die EU-weite Zertifizierung von Cloud-Diensten und den vom BSI entwickelten „Cloud Computing Compliance Criteria Catalogue“ (C5) ausgetauscht.

Der BSI-Präsident Arne Schönbohm sagte dazu: „In Zeiten der Digitalisierung ist Datensicherheit eine wesentliche Voraussetzung für erfolgreichen Datenschutz. Insbesondere beim Cloud Computing ist die Einhaltung des Datenschutzes immer noch eine Herausforderung. Der C5 deckt viele technische und organisatorische Maßnahmen ab, die auch für den Datenschutz eine notwendige Voraussetzung sind.“

Praxis-Tipp
Aktiv Synergien mit der IT-Sicherheit suchen

Nicht nur in Fragen des Cloud-Datenschutzes sind BSI-Standards und -Richtlinien eine Hilfe für den Datenschutz, auch in Fragen des Notfall-Managements.

Suchen Sie deshalb als Datenschutzbeauftragte oder Datenschutzbeauftragter in Unternehmen oder in Behörden aktiv den Austausch mit den IT-Sicherheitsbeauftragten und nutzen Sie die Synergien.

Das reduziert Aufwände und liefert Argumente für neue Maßnahmen, die dem Datenschutz, der IT-Sicherheit und dem Schutz von Geschäftsgeheimnissen dienen können.

Produktabbildung IT-Know-how für den Datenschutzbeauftragten

Umfassendes IT-Wissen für Datenschutzbeauftragte

Die DSGVO fordert Sicherheitsmaßnahmen nach dem Stand der Technik. Doch woher wissen Sie, was Stand der Technik ist? Bleiben Sie mit „IT-Know-how für Datenschutzbeauftragte“, Ihrem zuverlässigen, stets aktuell informierten und gut verständlichen Berater in allen Fragen der IT-Sicherheit jetzt am Ball.

 

Oliver Schonschek

Oliver Schonschek
Verfasst von
Oliver Schonschek
Oliver Schonschek
Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.