Скачать книгу

Detection Systems). Für TK-Betreiber mit erhöhtem Gefährdungspotenzial werden Systeme zur Angriffserkennung ab dem 1. Dezember 2022 zwingend vorgeschrieben (§ 165 Abs. 3 in Verbindung mit § 230 Abs. 12 TKG).

      Welche Unternehmen TK-Betreiber mit erhöhtem Gefährdungspotenzial sind, wird von der Bundesnetzagentur durch eine Allgemeinverfügung festgelegt. Die Tatsache, dass in einem Gesetz derart konkrete Sicherheitsmaßnahmen vorgeschrieben werden, ist ungeschickt. Die konkreten Vorgaben sollten durch Verordnungen oder Allgemeinverfügungen geregelt werden. Das Gesetz sollte nur die Ermächtigung zum Erlass der konkreten Regeln enthalten. Je konkreter eine Vorgabe ist, je häufiger muss sie an technische Entwicklungen angepasst werden. Dieser Anpassungsprozess ist bei Gesetzen zu aufwendig und zu langwierig.

      Trotzdem müssen Sie sich, wenn Sie in den entsprechenden Branchen tätig sind, mit der rechtlichen Situation arrangieren.

      Bei einem Audit unterziehen ein oder mehrere Prüfer den Prüfgegenstand einer systematischen Prüfung. Der Prüfer muss für diesen Prüfvorgang zugelassen (zertifiziert) sein. Die Zertifizierung des Prüfers setzt den Nachweis des erforderlichen Fachwissens voraus, das durch eine Ausbildung und praktische Erfahrung erworben wird. Die Details für die Ausbildung und Prüfung sowie die Zulassung sind detailliert geregelt.

      Wenn Sie sich als Auditor zertifizieren lassen wollen, müssen Sie zuerst ein Verfahren zur Überprüfung Ihrer Fachkunde (Kompetenzfeststellung) erfolgreich durchlaufen. Danach folgt die dreijährige Zertifizierungsphase. Das BSI beobachtet Sie bei der Ausübung Ihrer Tätigkeit. Bei Kompetenzmängeln oder Verstößen gegen Auditregeln kann das BSI Ihr Zertifikat vorzeitig widerrufen. Nach Ablauf der Zertifizierungsphase ist eine Rezertifizierung möglich und üblich. Ähnlich wie Piloten, die zum Erhalt ihrer Fluglizenz regelmäßig Flugstunden absolvieren müssen, müssen Sie als Auditor während der Zertifizierungsphase auch regelmäßig Audits durchführen. [BSI19b]

      Im BSI-Gesetz ist geregelt, dass das BSI die »Ausgestaltung des Verfahrens der Sicherheitsaudits, Prüfungen und Zertifizierungen« und die »Anforderungen an die Art und Weise der Durchführung, an die hierüber auszustellenden Nachweise sowie fachliche und organisatorische Anforderungen an die prüfende Stelle nach Anhörung von Vertretern der betroffenen Betreiber und der betroffenen Wirtschaftsverbände« festlegt (§ 8a Abs. 5). In der DS-GVO erfolgt die Zulassung der Zertifizierungsstellen durch die Datenschutz-Aufsichtsbehörden. In anderen Bereichen gibt es entsprechende Regelungen.

      Die in den Anwendungsbereich des BSI-Gesetzes fallenden Unternehmen müssen alle zwei Jahre durch Audits nachweisen, dass sie die IT-Sicherheitsvorgaben einhalten. Hierzu müssen die Audit-Berichte externer zertifizierter Prüfer dem BSI vorgelegt werden.

      Bei der Anerkennung der Zertifizierung ist die DS-GVO sehr vorsichtig. »Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.« Muss ein Unternehmen die Einhaltung der Sicherheit der Verarbeitung nach Art. 32 DS-GVO der Aufsichtsbehörde nachwiesen, ist die Zertifizierung ein Anhaltspunkt für die Einhaltung der Vorgaben.

      Theoretisch kann sich ein Unternehmen auch freiwillig auditieren lassen. Dies ist aber wegen des damit verbundenen Aufwands nur üblich, wenn damit gegenüber den Kunden wettbewerbliche Vorteile möglich sind, also letztendlich die Vorteile den Aufwand rechtfertigen.

      Ein Audit läuft in vier wesentlichen Stufen ab:

       Festlegung des räumlichen und sachlichen Prüfgegenstands,

       Prüfung der Dokumentation (Soll-Zustand),

       Vor-Ort Prüfung der Umsetzung (Ist-Zustand) durch Interviews und Begehungen,

       Präsentation der Ergebnisse und Maßnahmenempfehlungen.

      Sie wählen einen IT-Sicherheits-Dienstleister, der für den Audit-Zweck, den Sie anstreben, zugelassen ist. Wenn Sie als Unternehmen des KRITIS-Bereichs regelmäßig ein Audit machen müssen, wählen Sie einen Dienstleister, der hierzu zugelassen und anerkannt ist. Das dafür erforderliche Verfahren ist seitens des BSI detailliert geregelt und dokumentiert.

      Der Zweck eines Audits wird zu Beginn des Audits vom Auftraggeber definiert. Dazu legen Sie fest, welcher Teil des Unternehmens auditiert werden soll. Es macht keinen Sinn das gesamte Unternehmen zu auditieren, da das viel zu aufwendig ist. Je nach Zweck des Audits lassen Sie die Kundendatenverarbeitung, den Forschungs- und Entwicklungsbereich oder einen anderen Unternehmensbereich auditieren. Das entscheiden Sie auf Basis Ihres Bedarfs oder der externen Anforderungen.

      Die Auditoren werden zuerst die Dokumentation zur IT-Sicherheit, also den Soll-Zustand prüfen. Dabei wird die Dokumentation auch auf Vollständigkeit und Sinnhaftigkeit geprüft. Wenn die Auditoren die IT-Sicherheitsorganisation und die technischen IT-Sicherheitsstrukturen in Ihrem Unternehmen verstanden haben, werden die Auditoren vor Ort durch Begehungen und Interviews mit den Beteiligten überprüfen, ob die Papierform mit der tatsächlichen Situation übereinstimmt. Sie wissen ja, Papier ist geduldig.

      Aus alle Erkenntnissen wird dann ein Abschlussbericht erstellt, der mit dem Unternehmen besprochen wird. Dabei geht es aber nicht nur um Kritik im Sinne einer Aufzählung, was alles falsch läuft. Es geht auch um eine Strategie zur Verbesserung der IT-Sicherheit. Welche Maßnahmen sind jetzt erforderlich? Bis wann sollten diese umgesetzt sein? Was ist eine sinnvolle Priorisierung für die Umsetzung der verschiedenen Maßnahmen? Gute Auditoren helfen Ihnen mit ihren Hinweisen und Empfehlungen, besser zu werden.

      Bei der Präsentation des Abschlussberichts und der daraus folgenden Diskussion der zu ergreifenden Maßnahmen muss die Geschäftsleitung dabei sein. Auch wenn Sie der Meinung sind, die Geschäftsleitung kennt das alles, weil Sie es schon oft genauso gesagt haben. Denken Sie daran, in der Regel gilt der Prophet nichts im eigenen Land. Wenn das Ergebnis von einem externen Experten vorgestellt wird, hört Ihre Geschäftsführung höchstwahrscheinlich eher darauf. Und dann haben Sie etwas erreicht.

      

Damit Sie im Unternehmen einen möglichst vorurteilsfreien Blick auf die IT-Sicherheit erhalten, empfiehlt es sich, von Zeit zu Zeit das (interne) Auditoren-Team zu wechseln. Irgendwann werden die Auditoren betriebsblind, weil sie nur noch die Umsetzung ihrer eigenen Empfehlungen aus dem letzten Audit prüfen. Ein neues Auditoren-Team bringt neue Blickwinkel und frischen Wind in das Audit. Das wird zu Ihrem Vorteil sein. Schließlich wollen Sie ja die IT-Sicherheit verbessern.

      Datenschutz und technisch-organisatorische Maßnahmen

      IN DIESEM KAPITEL

       Die Vorgaben von Artikel 32 DS-GVO

       Schutzziele der DS-GVO

       Die Betroffenen stehen

Скачать книгу