In den bisherigen Blogbeiträgen wurden einige technische und organisatorische Aspekte betrachtet, die bei der sicheren Gestaltung von Home Office zu beachten sind. In den meisten der Artikel fanden sich Hinweise auf zu regelnde Fragestellungen, wie z.B. die dienstliche Nutzung privater Peripherie oder Gedanken zur Datensicherung. Dies zeigt: man kann den „menschlichen Faktor“ nicht hoch genug bewerten, wenn es um die Etablierung eines angemessenen Niveaus von Informationssicherheit geht, auch und gerade beim Arbeiten im Home Office!

Man kann nicht erwarten, dass sich alle Mitarbeiter von sich aus sicher verhalten, wenn es von Seiten des Unternehmens keine Vorgaben und Handreichungen gibt, was genau zu einem sicheren Verhalten gehört. Diese Art von Vorgaben und Regeln gibt es für das Arbeiten im Unternehmen selber, wo ihre Einhaltung vom Vorgesetzen, vielleicht auch von den Kollegen, nachverfolgt und gegebenenfalls angemahnt wird. Es sollte an die Mitarbeiter klar kommuniziert werden, dass es eine vergleichbare Erwartungshaltung auch für die Tätigkeit im Home Office gibt.

Einige der bisherigen Vorgaben gelten sicher genauso wie im Büro (z.B. das Verhalten am Telefon), einige Regeln müssen vielleicht für die Arbeit im Home Office ergänzt oder präzisiert werden (z.B. bezüglich des Speicherns von neuen Dokumenten), und wieder andere Regeln sind hauptsächlich für das Arbeiten außerhalb des Unternehmens gedacht (z.B. die Möglichkeit des Einsehens von Bildschirminhalten), oder müssen für das Arbeiten im Home Office überhaupt erst getroffen werden, wie z.B. Vorgaben zur Nutzung von privater Peripherie am Firmenrechner.

Erster Schritt: Regelungen treffen!

Eine erste Aufgabe des Unternehmens besteht also darin, diese Regelungen überhaupt erst einmal zu treffen, und sie dann natürlich auch zu kommunizieren. Zum Kommunizieren kann auch gehören, Abläufe oder neue Tools zu erklären, Unterschiede zwischen Büro und Home Office aufzuzeigen oder Hilfestellungen zu geben, z.B. durch Checklisten, Unterstützung bei der Einrichtung des häuslichen Arbeitsplatzes oder der Möglichkeit für Rückfragen und Klarstellungen.

Dieses Herangehen erzeugt nicht nur ein für beide Seiten klar geregeltes Umfeld, sondern ermöglicht es auch dem Mitarbeiter, sich bewusst sicher zu verhalten. Schließlich gibt es im privaten Umfeld Umstände, die das sichere Arbeiten durchaus beeinflussen können, wie z.B. kleine Kinder, die dem Elternteil gerne mal über die Schulter schauen, fehlende Vernichtungsmöglichkeiten für Papier und vieles mehr … Und man ist im Home Office ohne Kollegen oder Vorgesetzte, die auf die Einhaltung der Vorgaben hinweisen …

Doch dazu mehr im kommenden Blogartikel.

Was Sie auch interessieren könnte:

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

In den bisherigen Artikeln (Teil1 und Teil2) hatten wir gezeigt, wieso es einer Behandlung der „Schwachstelle Mensch“ bedarf und warum es notwendig ist, diese Behandlung nicht als einzelne Maßnahme zu sehen, sondern vielmehr als langfristiges und systematisches Konzept, mit dem eine Änderung im Verhalten hin zu einem nachhaltig sicheren Agieren erreicht werden soll.

Solch ein Konzept benötigt einige Ressourcen – der zeitliche Aufwand für die Organisation einer einzelnen Veranstaltung ist dabei die offensichtlichste, aber bei weitem nicht die einzige Komponente. Hinzu kommen Überlegungen zu den Inhalten der Veranstaltung: Welche Ziele hinsichtlich Informationssicherheit sollen erreicht werden? Welche Darbietungsform ist hierfür optimal? Und wie soll die gewählte Darbietungsform mit den konkreten Inhalten gefüllt werden? Weiterhin muss natürlich auch der Zeitaufwand der Teilnehmer mit eingeplant werden. Kleine Erinnerung an Teil 1: eLearning kann den Zeitrahmen für die Teilnehmer deutlich entzerren, wenn es denn inhaltlich zum Thema passt!

Zu der Formulierung von Zielen für Awareness-Maßnahmen gehört ebenso die Überlegung, wie die Erreichung dieser Ziele überprüft werden soll. Die Überprüfung kann dabei auf sehr verschiedene Arten erfolgen – so könnte z.B. das eLearning mit einem kleinen Online-Test abgeschlossen werden. Aber auch andere Messverfahren sind denkbar, wie die Auswertung von Kennzahlen (z.B. ein Vergleich von gemeldeten Spammails vor und nach der Schulung), Umfragen, Quiz …

Unterlagen und Redner

Zur Ressourcenplanung gehören noch weitere Fragestellungen, wie z.B. die Auswahl von passenden Schulungsunterlagen. Hier gibt es grundsätzlich zwei Möglichkeiten: selber anfertigen oder von externen Anbietern einkaufen. Beide Varianten haben dabei ihre spezifischen Vor- und Nachteile. So hat man bei selbst erstellten Unterlagen einen größeren Einfluss auf Gestaltung, Inhalte, unternehmensspezifisches Aussehen und die ganz speziellen, eigenen Abläufe. Andererseits fehlt bei diesem Vorgehen oftmals der hilfreiche, zusätzliche Blick eines Außenstehenden, der sowohl in die Gestaltung als auch bei den Inhalten eine frische, neue Sichtweise liefern kann.

Und noch eine Frage stellt sich: Wer soll es machen? Auch hier können beide Varianten gut funktionieren – der kompetente, interessante externe Experte oder Trainer, der ein Sachthema spannend darbieten kann, oder ein interner Mitarbeiter, der vielleicht das Thema Awareness langfristig betreut und die konkreten Prozesse im Unternehmen gut kennt. Auch der Informationssicherheitsbeauftragte (ISB) kann oftmals in den Veranstaltungen als Vortragender agieren – schließlich ist die Informationssicherheit Kerntätigkeit des ISB, d.h. er wird auch inhaltlichen Rückfragen gut beantworten können. Genaugenommen muss man sich nur eine Frage beantworten: Kann und will ich in solchen Veranstaltungen als Vortragender auftreten?

Was Sie auch interessieren könnte:

Seminar:

„Security Awareness – Führungsaufgabe und Konzept“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

In den bisherigen Artikeln zum sicheren Arbeiten im Home Office wurde deutlich, dass die breite Nutzung von Home Office auch als Türöffner für die Digitalisierung und Weiterentwicklung von betrieblichen Prozessen gesehen werden kann. Wichtig ist hierbei, dass die Regelungen und Vorgaben aus dem betrieblichen Umfeld nicht immer 1-zu-1 direkt auf das Arbeiten im häuslichen Umfeld übertragen werden können. Sicher soll das Home Office sein, aber auch praktikabel und mit überschaubarem Aufwand zu gestalten.

Eine häufig auftretende Fragestellung in diesem Themengebiet ist die nach der Privatnutzung: Ist es statthaft, private Geräte (oder private Peripherie) für dienstliche Zwecke zu nutzen? In Diskussionen hierzu findet sich oft die Abkürzung BYOD – „Bring Your Own Device“. Aber auch die entgegengesetzte Fragestellung sollte beantwortet werden: Ist die private Nutzung von dienstlicher Ausstattung zulässig? Die eigentliche Schwierigkeit bei der Beantwortung entsteht durch die Vermischung von dienstlichen und privaten Inhalten. So ist es ohne zusätzliche Maßnahmen kaum möglich, die privaten Fotos auf dem Mobiltelefon von den dienstlichen zu unterscheiden, ebenso wie die gespeicherten Kontakte oder die versendeten Emails. Es zeigt sich somit der Konflikt zwischen Arbeitnehmerrechten und Datenschutz auf der einen Seite und dem berechtigten Interesse des Unternehmens an dem Schutz sensibler Informationen auf der anderen Seite.

Ansatz 1: Strikte Trennung

Als sinnvoll haben sich hier nur zwei Lösungsansätze erwiesen. Da wäre als erster Ansatz die strikte Trennung von dienstlicher und privater Nutzung – dienstliche Informationen dürfen ausschließlich auf dienstlichen Geräten verarbeitet werden. Dieser Ansatz ist einfach zu verstehen, erfordert aber Konsequenz und auch einigen Aufwand in der Umsetzung: externer Monitor, Maus und Tastatur für ein ergonomisches Arbeiten, vielleicht noch einen Drucker oder weitere Peripherie … Was oft vergessen wird: wenn hier nicht die im Unternehmen übliche Standardperipherie gestellt wird, neigen Nutzer dazu, ersatzweise bereits vorhandene private Peripherie zu nutzen, die nicht immer sicher ist (z.B. nicht durchgeführte Firmwareaktualisierung beim privaten Drucker oder Nutzung des Smart-TV als Monitor), oder die durch notwendige Treiberinstallationen einen erhöhten Supportaufwand in der IT-Abteilung erzeugen.

Ansatz 2: MDM

Insbesondere für Mobilgeräte bietet sich als Lösung für das angesprochene Problem der Vermengung privater und dienstlicher Daten ein „Mobile Device Management“ (MDM) an. Diese Art von Software dient der zentralen Verwaltung der dienstlichen Mobilgeräte und ermöglicht – zumeist durch Containerisierung – die vollständige Trennung von dienstlichen und privaten Inhalten. Dadurch ist es beispielsweise möglich, den dienstlichen Container mitsamt den dienstlichen Inhalten komplett aus der Ferne zu löschen, ohne dass die privaten Inhalte außerhalb des dienstlichen Containers betroffen wären.

Es zeigt sich im Verlauf dieser Artikelserie deutlich, dass es für ein sicheres Arbeiten im Home Office in hohem Maße auf organisatorische Regelungen und Überlegungen ankommt, um nicht nur das Arbeiten sicher zu machen, sondern um auch für die Weiterentwicklung und Verbesserung der betrieblichen Abläufe einen Nutzen zu generieren.

Was Sie auch interessieren könnte:

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Die Identifizierung der eigenen geschäftskritischen Prozesse ist der erste Start für ein BCM -Management und die daraus resultierenden notwendigen Maßnahmen zur Aufrechterhaltung der kritischen Prozesse. Für die einzelnen Prozesse werden abhängig von der Kritikalität maximal tolerierbare Ausfallzeiten und mögliche Wiederanlaufprozeduren definiert.

Notfallkonzepte sehen in der Regel koordinierte Vorgehensweisen vor:

  • Sofortmaßnahmen (Ausrufen des Notfalls – aktivieren der Notfallkette)
  • Notfallprozesse anlaufen lassen (Umschaltung auf Notbetrieb)
  • Durchführung des Notbetriebs (Notfallumsetzung)
  • Rückführung des Notfallbetriebs in den Normalbetrieb (Wiederanlaufplanung)
  • Nachbearbeitung des Vorfalls (Forensik)

Für alle fünf diese verschiedenen Phasen sollten dann entsprechende Pläne existieren, die die erfolgreiche Durchführung beschreiben und unterstützen. Neben diesen Notfallplänen ist auch das Krisenmanagement Bestandteil der Business Continuity.
Für Krisenfälle sind ebenfalls entsprechende Konzepte zu etablieren, um schnell und effizient zu reagieren. Die Strukturen definieren Rollen, Verantwortlichkeiten und Meldewege im Krisenfall und ermöglichen die Steuerung und Überwachung.
Regelmäßige Tests und Notfallübungen sind dann zu planen und durchzuführen, um die eigenen Pläne und Konzepte auf ihre Wirksamkeit zu überprüfen und ggf. erkannte Schwachstellen und Defizite zu erkennen. Die Erkenntnisse der Übungen werden anschließend zur Optimierung in die Notfallpläne integriert.

Mögliche Szenarien für den Business-Continuity-Krisenfall

Ein BCM Notfall kann durch unterschiedliche Ereignisse ausgelöst oder auch eine Verkettung mehrerer zuerst voneinander unabhängige Vorkommnisse ausgelöst werden. Solche Störungen oder Notfälle lassen sich in verschiedene Kategorien aufgliedern.

  • Ausfall von Hardware oder von Software
  • Ausfall von IT-Prozessen oder Störungen/Ausfall des Netzwerks
  • Stromausfall oder sogar Ausfall eines oder mehrerer Standorte
  • Hackerangriff oder Malwareinfektion
  • Naturkatastrophen
  • usw.

Je nach Ereignis sind sinnvolle Maßnahmen für die Business Continuity erforderlich. Technische Ereignisse wie der Ausfall von Hardware, Netzwerken oder des Stroms lassen sich beispielsweise durch redundante Anlagen und Systeme abfangen.

Was Sie auch interessieren könnte:

Seminar:

“Business Continuity Management (BCM) nach ISO 22301”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

In einem vorgehenden Beitrag habe ich einen kurzen Überblick über die beiden Ebenen der Wirksamkeitsmessung im Informationssicherheits-Managementsystem (ISMS) gegeben: Wirksamkeit des Managementsystems und Wirksamkeit der Maßnahmen der Informationssicherheit. Dieser Artikel vertieft den Aspekt der Wirksamkeit des Managementsystems.

Wirksamkeit des Managementsystems

Jedes bedeutende Rahmenwerk zur Informationssicherheit, gleich ob ISO 27001, BSI IT-Grundschutz oder ein anderes Regelwerk, beschreibt ein Managementsystem. Sollen die gesteckten Ziele erreicht werden, muss das Managementsystem als System funktionieren. Dieses Funktionieren muss also sichergestellt und daher überprüft werden. Am Beispiel der ISO 27001:2013 möchte ich dies illustrieren.

Die ISO 27001:2013 nennt in Kapitel 9 drei verpflichtende Handlungsfelder zur Bewertung der Leistung:

  1. Überwachung, Messung, Analyse und Bewertung
  2. Interne Audits
  3. Managementbewertung

Den Punkten “Interne Audits” und “Managementbewertung” werden wir uns in einem späteren Artikel widmen. Hier soll es um den ersten Punkt “Überwachung, Messung, Analyse und Bewertung” gehen.

Die ISO 27001:2013 fordert: “Die Organisation muss … die Wirksamkeit des Informationssicherheits-Managementsystems bewerten.” Dazu muss überwacht und gemessen werden. An zwei Beispielen für zu überwachende und zu messende Teile des ISMS soll das dargestellt werden:

  1. Ressourcenverbrauch
  2. Reviews von Richtlinien

Ressourcenverbrauch

Gemessen werden kann in regelmäßigen Abständen, z.B. monatlich, der Verbrauch bestimmter Ressourcen wie beispielsweise Arbeitszeit oder Budget für externe Beratung. In der Analyse können diese gemessenen Werte ins Verhältnis zu den jeweiligen Plandaten gesetzt und dann entsprechend bewertet werden. Ist zur Jahresmitte beispielsweise erst ein Viertel der für das Jahr geplanten Arbeitszeit verschrieben, kann dies ein Indiz sein, dass zu wenig im und am ISMS gearbeitet wird. Eine solche Bewertung versetzt das Unternehmen dann in die Lage, rechtzeitig gegenzusteuern. Ein im Verhältnis zur abgelaufen Zeit zu hoher Arbeitszeiteinsatz kann ein Indiz für unzureichend eingeplante Ressourcen sein. Diese Information kann für den nächsten Planungszeitraum nützlich sein.

Die Bewertung muss dabei immer vor dem vorhandenen Hintergrundwissen “mit Verstand” erfolgen. Möglicherweise ist ja wegen eines größeren Projektes im zweiten Halbjahr kein gleichmäßiger Ressourcenverbrauch zu erwarten. Entscheidend bleibt daher immer die Bewertung der von Messung und Analyse durch den Menschen.

Reviews von Richtlinien

Viele Organisationen führen die notwendigen Reviews ihrer Richtlinien und sonstigen Dokumente über das Jahr verteilt durch. Zweck ist dabei eine kontinuierliche Beschäftigung mit den Dokumenten sowie die Vermeidung von “Review-Wochen”. Auch in diesem Fall liefert die Messung überfälliger Dokumente einen Hinweis auf bestehende Probleme und gibt so die Möglichkeit, rechtzeitig nachzusteuern. Die Ursachenanalyse könnte beispielsweise auf einen Ressourcenmangel hinweisen. Vielleicht haben die Verantwortlichen für das Review diese einfach vergessen. Der Einsatz eines Werkzeugs zur Erinnerung könnte hier hilfreich sein und das Funktionieren des ISMS an dieser Stelle unterstützen. Möglicherweise liegt es auch nur an mangelnder Motivation für eine ungeliebte Aufgabe ;-).

In einem späteren Artikel werde ich mich näher mit ausgesuchten Maßnahmen zur Informationssicherheit und der Möglichkeit ihrer Überwachung und Überprüfung beschäftigen.

Was Sie auch interessieren könnte:

Seminar:

„Wirksamkeitsmessung nach ISO 27004“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Im vorherigen Blogartikel “AWARENESS – MASSNAHME ODER KONZEPT?” hatten wir bereits angerissen, warum neben der Betrachtung von technischen Aspekten auch das Einbinden der Mitarbeiter zwingend notwendig ist, um ein hohes Maß an Informationssicherheit zu erreichen. Dieser Ansatz, den Menschen in den Mittelpunkt der Betrachtung zu stellen, spiegelt sich in der Fragestellung „Maßnahme oder Konzept?“ wider. Es sollte das Ziel von Awarenesskonzepten sein, die Befähigung der Mitarbeiter zu sicherem Handeln zu entwickeln und zu fördern.

Dabei sind drei Aspekte gleichermaßen bedeutsam: Wissen, Wollen und Können. „Wissen“ meint hier das reine fachliche Wissen des Einzelnen, z.B. wie ein Programm bedient wird oder welche Regelungen und Vorgaben es für Besucher oder für das Arbeiten im Homeoffice gibt. „Wollen“ adressiert die innere Bereitschaft, dieses Wissen auch anwenden zu wollen, die Vorschriften zu beachten, weil sie sinnvoll, einleuchtend und notwendig sind und einem akzeptierten Zweck dienen. „Können“ hinterfragt schließlich die objektiven, alltäglichen Situationen – ob es den Mitarbeitern möglich ist, das „Wissen“ auch wirklich anwenden, ob der Alltag es bei allem „Wollen“ eben auch zulässt, passend zu handeln. Probleme wie eine schlechte Softwareergonomie, Stresssituationen durch Überlastung oder andere Ausnahmesituationen oder aber der Rückfall in alte Gewohnheiten können das „Wollen“, trotz allem „Wissens“, stark behindern.

Der Aspekt „Wissen“ wird in den meisten Awarenessmaßnahmen zuvorderst bearbeitet. Das Beispiel eLearning aus dem vorherigen Artikel ist hier nur eine von vielen Möglichkeiten, zeigt aber genaugenommen lediglich die Methode der Darbietung, nicht zwingend einen bestimmten Inhalt. So könnte ein eLearning genauso gut Informationen über Unternehmensvorgaben zur Informationssicherheit oder eine Schulung zu einem Tool enthalten. (Falls sich ein Leser darüber wundert – die Fehlbedienung von Software kann durchaus zu Informationssicherheitsvorfällen führen. Man denke nur an die Klassiker „E-Mail weiterleiten an Alle“, oder an „Natürlich will ich alles löschen“ … )

Neben den allgegenwärtigen Powerpoint-Präsentationen und dem angesprochenen eLearning gibt es viele weitere Methoden zur Vermittlung von „Wissen“. Checklisten (z.B. zum Verhalten auf Dienstreisen, zum Arbeiten im Homeoffice oder beim Verlust von Geräten) unterstützen die Mitarbeiter in ungewohnten Situationen, und in Mitarbeitergesprächen könnte an die Verpflichtungen aus dem Arbeitsvertrag erinnert werden.

Was Sie auch interessieren könnte:

Seminar:

„Security Awareness – Führungsaufgabe und Konzept“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wie wir in dem vorherigen Artikel beschrieben hatten, bietet die Einführung und dauerhafte sichere Nutzung des Arbeitens im Home Office vielfach Anlass oder sind Auslöser, um Abläufe und Prozesse im eigenen Unternehmen zu überdenken und zu digitalisieren. Dazu gehören natürlich auch Prozesse zum Support und zur Infrastruktur.

Internetbasierte Lösungen

In der Zeit des ersten Lockdowns war es für die IT-Abteilungen oftmals eine große Herausforderung, ausreichend Geräte und Einwahlverbindungen für alle Mitarbeiter für die mobile Nutzung von zu Hause zur Verfügung zu stellen. Andererseits zeigt sich an dieser Stelle deutlich ein Vorteil von internetbasierten Lösungen: man benötigt eben keine Einwahlverbindung für das Speichern der soeben frisch erstellten Dokumente oder zum Starten einer Videokonferenz mit den Kollegen, wenn auf diese Dienste per Internet zugegriffen werden kann.

Ein weiterer Sicherheitsaspekt ist die zentrale Ablage – es gibt keinen Grund mehr, Dateien lokal auf dem Rechner abzulegen, um sie „später“ hochzuladen, d.h. man führt die Dateien auch nicht mehr mit sich, ein Verlust (im Sinne von: ich kann die Inhalte nicht wiederherstellen) ist ausgeschlossen. Voraussetzung ist natürlich ein zuverlässiger Betrieb einer solchen Lösung, damit sie von den Mitarbeitern auch angenommen und akzeptiert wird. Zugleich ergibt sich in einer solchen Konstellation die Möglichkeit, das Backup von Endanwendergeräten komplett zu überdenken – warum sollten diese Geräte gesichert werden, wenn alle relevanten Daten zentral abgelegt sind und sowohl vom Firmengelände aus als auch im Home Office jederzeit genutzt werden können? Die dargestellte Konstellation erleichtert also auch für die IT-Abteilungen das Anfertigen von Datensicherungen, da sich alle relevanten Dateien nur in einigen wenigen, bekannten Systemen befinden.

Turnschuhadministration vs Fernwartung

Dafür kommt auf die IT-Abteilungen eine andere Herausforderung zu: Wie erfolgt der Support der Mitarbeiter im Home Office? Während in großen Unternehmen häufig schon vor der Pandemie Lösungen zur Fernwartung umgesetzt waren, findet man in kleineren Unternehmen solche Konzepte nicht so oft – schließlich hat man ja kurze Wege, und „Turnschuhadministration“ funktioniert im Büro sehr zuverlässig. Man wird also kaum umhinkommen, für die Sicherstellung der technischen Unterstützung im Home Office eine Lösung zur Fernwartung zu etablieren.

Datensicherung, Patchmanagement und technischer Support sind neben den in einem vorherigen Artikel angesprochenen organisatorischen Fragestellungen Punkte, die für ein sicheres Arbeiten im Home Office in technischer Hinsicht unbedingt betrachtet werden sollten.

Wünschen Sie sich, sich mit Anderen darüber auszutauschen? Dann ist eventuell unser eintägiges Seminar für Sie interessant. In dem zeigen wir thematisch breit, aber trotzdem praxisorientiert, wie das Arbeiten im Home-Office sinnvoll, sicher und datenschutzkonform organisiert werden kann!

Was Sie auch interessieren könnte:

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Beurteilung von Risiken

Im ersten Teil unserer Serie zum Risikomanagement im ISMS haben wir uns allgemein über den Stellenwert des Risikomanagements im ISMS nach ISO 27001 unterhalten. Im zweiten Teil ging es um die Risikoidentifikation. In diesem dritten Teil soll es um die Informationssicherheitsrisikobeurteilung gehen.

Zunächst muss man feststellen, dass die Begrifflichkeiten im Risikomanagement nicht einheitlich verwendet werden. In der ISO 27001:2013 finden sich unter dem Kapitel 6.1.2 “Informationssicherheitsbeurteilung” die Aspekte

  • Identifikation von Informationssicherheitsrisiken,
  • Analyse von Informationssicherheitsrisiken und
  • Bewertung von Informationssicherheitsrisiken.

Im deutschen Sprachraum werden diese Punkte häufig zusammen als Risikoanalyse bezeichnet, so etwa in den Standards des BSI IT-Grundschutzes. In diesem Text wollen wir uns an den Sprachgebrauch der ISO 27001:2013 halten. Nachdem wir die Identifikation von Informationssicherheitsrisiken bereits im letzten Artikel betrachtet haben, soll es nun also um die Analyse und Bewertung der identifizierten Risiken gehen.

Analyse von Informationssicherheitsrisiken

In der Analyse werden die Eintrittswahrscheinlichkeit und die potenzielle Schadenshöhe eines Risikos betrachtet.

Bei der Eintrittswahrscheinlichkeit fehlen uns meist belastbare Zahlen. Entweder gibt es keine Statistiken, sie sind nicht frei zugänglich oder nicht auf das eigene Unternehmen übertragbar. Daher müssen wir uns mit qualitativen Abschätzungen begnügen. Drei bis fünf Stufen sind dabei in der Praxis üblich, beispielsweise “sehr unwahrscheinlich”, “eher unwahrscheinlich”, “eher wahrscheinlich”, “sehr wahrscheinlich”. Eine gerade Anzahl von Kategorien beugt bei der Einschätzung dem “Tendenz-zur-Mitte-Effekt” vor.

Zur Schadenshöhe können oft bessere Angaben gemacht werden. Produktionsausfälle, Kosten zur Wiederbeschaffung oder Wiederinbetriebnahme eines Unternehmenswertes etc. sind einigermaßen gut abzuschätzen. Neben rein monetären Aspekten können weitere Aspekte (Schadensszenarien im BSI IT-Grundschutz) einbezogen werden. Dies können beispielsweise sein:

  • Verstöße gegen rechtliche Anforderungen (gesetzliche, regulatorische oder vertragliche)
  • Beeinträchtigung des informationellen Selbstbestimmungsrechts
  • Beeinträchtigung der persönlichen Unversehrtheit (physisch oder psychisch)
  • Beeinträchtigung der Aufgabenerfüllung (z.B. bei Non-Profit-Organisationen oder Unternehmen mit Versorgungsauftrag und Kritischen Infrastrukturen / Kritis)
  • Reputation

Dabei kann es Überschneidungen geben, z.B. bei Datenschutzverstößen. Das kann zu einer unbeabsichtigten Übergewichtung einzelner Risiken führen. Dies ist bei der Definition der Aspekte und der Beschreibung, wie der “Gesamtschaden” hieraus gebildet wird, zu berücksichtigen.

Anschließend werden die Risiken den Risikoniveaus (Risikokategorien im BSI IT-Grundschutz) zugeordnet. Dieses ergibt sich aus den ermittelten Werten für die potenzielle Schadenshöhe und die Eintrittswahrscheinlichkeit. Das wird oft in einer Matrix dargestellt und die Niveaus farblich, meist in Ampelfarben gekennzeichnet. In der Praxis üblich sind wiederum drei bis fünf Niveaus. Sie beschreiben die Anzahl der Reaktionsmuster, die im Unternehmen zur weiteren Behandlung der Risiken festgelegt wurden.

Bewertung von Informationssicherheitsrisiken

Nach der Analyse der Risiken werden diese mit den im Vorwege festgelegten Kriterien verglichen. Das Wichtigste hierbei dürfte das Kriterium der Risikoakzeptanz sein. Die Risikoakzeptanzschwelle bezeichnet das Niveau, unterhalb dessen keine Risikobehandlung notwendig ist. Hierbei handelt es sich um eine willkürliche Entscheidung des Unternehmens, die den unternehmenseigenen Risikoappetit reflektiert.

Ein weiteres Kriterium könnte die “Quick-Win-Schwelle” sein. Risiken unterhalb dieser Schwelle sollen auf alle Fälle und möglichst früh bearbeitet werden, weil bei ihnen eine zügige Verbesserung der Risikosituation mit sehr geringen Aufwand erwartet wird.

Das Ergebnis des Abgleichs ist eine priorisierte Risikoliste. Die Priorisierung erfolgt dabei in Hinblick auf die Behandlung. Der Informationssicherheitsrisikobehandlung widmen wir uns dann in der nächsten Folge dieser Reihe.

Was Sie auch interessieren könnte:

Seminar:

„Risikomanagement im ISMS“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Durch einen Fernsehbericht über einen Freizeitpark bin ich ins Grübeln gekommen… Was passiert eigentlich, wenn im Zoo das Licht ausgeht, natürlich nicht am Abend, sondern weil der Strom ausfällt…?

Auch in einem Zoo gibt es große Abhängigkeiten zu IT-gesteuerter Infrastruktur, das fängt bei den Käfigklappen an die z.B. über Tastschalter bedient werden und hört beim Bergungsplan für den Besucheraufzug bei den Giraffen auf, dazwischen liegen jede Menge Prozesse und Infrastruktur.

Welcher Zoo-Betreiber möchte schon riskieren, dass sich Elefanten aus ihrem Gehege befreien, weil der Stromzaun ausgefallen ist und panisch zwischen den Besuchern umherrennen? Oder dass im Zuchtprogramm der Nachwuchs einer seltenen Tierart an Unterkühlung eingeht?

Fans von Dinosaurier-Filmen erinnern sich sicher an den Blockbuster Jurassic-Park und was dort passiert, nachdem alle Sicherheitssysteme durch einen eingeschleusten Virus ausgeschaltet wurden.

Also auch wenn der eigentliche Geschäftszweck wenig mit IT zu tun hat, sollte man diese immer im Auge behalten. Die Vorsorge für die unterschiedlichsten Notfall-Szenarien ist  in erster Linie Eigeninteresse. Der Schutz von Leib und Leben, wertvoller Geschäftsausstattung, den eigenen Produkten und Erfindungen und natürlich die Aufrechterhaltung bzw. schnelle Wiederherstellung des Geschäftsbetriebs sind für das Überleben eines Unternehmens essentiell.

Ein Workshop zum Thema Notfall-Vorsorge und Krisenmanagement zeigt auf wo Schwachstellen liegen und wie Sie diese absichern können. Informationen über Notfallübungen, Weiterentwicklung des BCM und Zertifizierungsmöglichkeiten geben einen umfangreichen Einblick in das Thema Business Continuity Management.

Was Sie auch interessieren könnte:

Seminar:

“Business Continuity Management (BCM) nach ISO 22301”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Im ersten Teil dieser Artikel-Serie haben wir uns mit dem risikobasierten Ansatz beschäftigt, der der Informationssicherheit und dem Datenschutz gemein ist. In diesem Artikel soll es um die Referenzmaßnahmenziele und -Maßnahmen zu den Pflichten des Verantwortlichen gehen.

Im Anhang A der ISO 27701:2021 werden die Referenzmaßnahmenziele und -Maßnahmen (Controls) definiert, die speziell für Verantwortliche im Sinne des Datenschutzes gedacht sind. Sie dienen der Erfüllung der Pflichten des Verantwortlichen. Der Anhang B, dem ich mich in einem späteren Blog-Artikel widmen werde, spezifiziert Controls für Auftragsverarbeiter.

Die Nummerierung der Controls funktioniert analog zur ISO 27001. Das bedeutet, dass sich die Nummerierung auf die entsprechenden Norm-Kapitel der ISO 27701 bezieht. In der ISO 27701 sind die Normkapitel 7 und 8 ähnlich aufgebaut wie die Kapitel der ISO 27002:2013. Es gibt Zielsetzungen, Maßnahmen und Leitlinien zur Umsetzung. Die Anhänge A.7 und A.8 beziehen sich dann auf die entsprechenden Abschnitte der Kapitel 7 und 8.

Pflichten des Verantwortlichen

Die Tabelle im Anhang A der ISO 27701 gliedert sich in vier Abschnitte – A.7.2 bis A.7.5. Alle Controls müssen vor dem Hintergrund der anwendbaren Datenschutzgesetzgebung betrachtet werden. Ähnlich wie in der ISO 27001 wird nicht vorgeschrieben, wie etwas umzusetzen ist, sondern vielmehr, um welche Themenbereiche man sich zu kümmern hat. Dabei dürfen die Controls im Datenschutz nicht ausschließlich nach eigenen Vorstellungen umgesetzt werden, sondern so, dass die für die eigene Organisation zutreffenden gesetzlichen Bestimmungen erfüllt werden. Die Umsetzungshinweise in Kapitel 7 sind dabei oftmals notwendige, aber keine hinreichenden Bedingungen.

Pflichten des Verantwortlichen zu Bedingungen für die Erhebung und Verarbeitung

A.7.2 beschreibt 8 Controls zu den Bedingungen für die Erhebung und Verarbeitung personenbezogener Daten. Hier werden datenschutzrechtliche Grundsätze wie die Zweckbindung und Rechtmäßigkeit der Verarbeitung adressiert. Darüber hinaus beschäftigt sich der Abschnitt mit Verfahren zur Einholung von Einwilligungen, zur Datenschutzfolgeabschätzung, zu Verträgen mit Auftragsverarbeitern und gemeinsame Verantwortlichkeiten (Joint Controllership). Zum Schluss werden Aufzeichnungen und Nachweise thematisiert.

Verpflichtungen gegenüber betroffenen Personen

A.7.3 beschreibt 10 Controls: Von der Bestimmung der eigenen Pflichten gegenüber Betroffenen bis zum Definieren und Umsetzen entsprechender Prozesse sind hier alle entscheidenden Pflichten des Verantwortlichen gegenüber Betroffenen adressiert.

Verantwortlichen zum Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

A.7.4 beschreibt 9 Controls zum Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen. Dieser Abschnitt beschäftigt sich mit den Themen Privacy by Default und Privacy by Design.

Pflichten des Verantwortlichen zur Weitergabe, Übertragung und Offenlegung von personenbezogenen Daten

A.7.5 beschreibt 4 Controls zur Weitergabe, Übertragung und Offenlegung von personenbezogenen Daten. Dabei wird insbesondere der Bereich der Übermittlung in Drittstaaten adressiert.

Was Sie auch interessieren könnte:

Seminar:

“ISO 27701 – Den Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!