Verwenden Sie für die Schadenshöhe die Begriffe »geringfügig«, »begrenzt«, »erheblich« und »existenzbedrohend« und für die Eintrittswahrscheinlichkeit die Begriffe »unwahrscheinlich«, »selten«, »häufig« und »sehr häufig«. Hinterlegt man die Begriffe jeweils mit den Werten 1 bis 4, so berechnen Sie das Risiko zu einem Wert zwischen 1 und 16. Teilen Sie die Werte in
gering: 1 bis 2
mittel: 3 bis 6
hoch: 7 bis 10
sehr hoch: 11 bis 16
ein, erhalten Sie die Risikokarte in Abbildung 3.1. In dieser Risikokarte können Sie jetzt für Systeme aus Gefährdungen der Schutzziele die Risikoklasse bestimmen.
Abbildung 3.1: Das Risiko wird häufig als das Produkt aus Schadenshöhe und Eintrittswahrscheinlichkeit betrachtet.
In § 8a Abs. 1 BSI-Gesetz heißt es »Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.« Der Betreiber einer kritischen Infrastruktur muss also die Folgen eines IT-Sicherheitsvorfalls und den daraus folgenden Schaden betrachten. Das Risiko ergibt sich aus dem Schaden multipliziert mit der Wahrscheinlichkeit, dass das Schadensereignis eintritt. Der Schaden wird aus der Sichtweise des Unternehmens beziehungsweise der Behörde ermittelt. Es ist sowohl der finanzielle als auch der ideelle Schaden, zum Beispiel eine Rufschädigung, zu betrachten.
Sie müssen eine wichtige vertrauliche Arbeit erstellen. Sie erwarten, dass Sie etwa drei Monate daran arbeiten werden. Als sicherheitsbewusster Mensch haben Sie schon länger Bitlocker zur Festplattenverschlüsselung auf Ihrem Windows-Rechner installiert. Für Sie sind Vertraulichkeit und Verfügbarkeit die dominanten Schutzziele. Sie schätzen die Gefährdung, dass Sie Ihr Notebook verlieren oder dass es Ihnen gestohlen wird, als selten ein (Wert: 2). Schließlich ist es schon sechs Jahre alt. Der Schaden bezüglich der Vertraulichkeit ist bei Verlust geringfügig (Wert: 1), da Sie ja die Festplatte verschlüsselt haben. Das Risiko ist Anders sieht es bezüglich der Verfügbarkeit bei einem Hardwaredefekt aus. Die Wahrscheinlichkeit dafür ist bei Ihrem sechs Jahre alten Notebook häufig. Der Schaden bleibt in der höchsten Stufe. Das Risiko ist
Die DS-GVO gibt Ihnen in den Art. 25 und 32 eine völlig andere Perspektive der Risikobetrachtung vor: Es sind hier die »Risiken für die Rechte und Freiheiten natürlicher Personen« zu betrachten. Dies ist eine völlig andere Perspektive als in der Informationssicherheit: die Risikobetrachtung erfolgt ausschließlich aus der Sicht der Betroffenen und auf keinen Fall aus der Sicht des Unternehmens. Die falsche Perspektive der Risikobetrachtung ist ein häufiger Fehler, den Verantwortliche begehen und der regelmäßig von Aufsichtsbehörden beanstandet wird.
Die Landesbeauftragte für den Datenschutz in Niedersachsen führte 2019 eine branchenübergreifende Prüfung zur Umsetzung der DS-GVO bei 20 großen und 30 mittelgroßen niedersächsischen Unternehmen durch. Am Ende der Prüfung erhielten neun Unternehmen das Prädikat Grün, 32 Unternehmen das Prädikat Gelb und neun Unternehmen das Prädikat Rot. Bei allen neun Unternehmen mit dem Prädikat Rot wurden fehlende oder unzureichende technisch-organisatorische Maßnahmen, also unzureichende Informationssicherheit, beanstandet. Besonders gravierend fand die Landesbeauftragte auch die Tatsache, dass zum Teil bei der Risikobeurteilung der Fokus auf die Risiken für das Unternehmen und nicht, wie in der DS-GVO gefordert, auf die Risiken für die Rechte und Freiheiten der Betroffenen gelegt wurde. [LfDN19]
Die Vorgaben zur Meldepflicht in Art. 33 f. der DS-GVO schreiben Ihnen für die Risikobewertung konkret drei Risikoklassen vor: »kein Risiko«, ein »Risiko« und ein »hohes Risiko«. In der Informationssicherheit wird dagegen, wie Sie gesehen haben, aus guten Gründen häufig mit vier Risikoklassen gearbeitet: »geringes Risiko«, »mittleres Risiko«, »hohes Risiko«und »sehr hohes Risiko«. Wenn Sie die gleichen Schemata bei der Risikobetrachtung in der Informationssicherheit und im Datenschutz verwenden wollen, bleibt Ihnen nichts anderes übrig, als in der Informationssicherheit mit drei Risikoklassen zu arbeiten. Für die Höhe und für die Häufigkeit des Eintritts eines Schadens können Sie aber weiterhin vier Kategorien verwenden.
Die Bereiche mit einem sehr hohen Risiko müssen vorrangig behandelt werden. Durch geeignete Maßnahmen wird das Risiko vermindert. Vorrangig sollten Risiken vermieden werden. Unvermeidbare Risiken, die sich nicht durch technisch-organistorsiche Maßnahmen reduzieren lassen, müssen delegiert (zum Beispiel an eine Versicherung) oder als Restrisiko getragen werden (siehe Abbildung 3.2). Die Entscheidung, welche Risiken delegiert und welche getragen werden, trifft letztendlich die Geschäftsleitung.
Abbildung 3.2: Durch die Risikostrategien Vermeiden, Reduzieren und Delegieren kann das Gesamtrisiko auf ein tragbares Restrisiko vermindert werden.
Eine Betrachtung der Risiken müssen Sie regelmäßig wiederholen, um eventuelle zwischenzeitlich veränderte Aspekte berücksichtigen zu können. Außerdem müssen Sie alle Überlegungen zu den Risiken dokumentieren, damit die Klassifizierungen und die daraus folgenden Entscheidungen jederzeit nachvollzogen werden können.
Meldepflichten bei Vorfällen
Kommt es zu einem Datenschutz- oder IT-Sicherheitsvorfall, müssen Sie ab einer gewissen Schwelle die Vorfälle an die zuständigen Behörden melden. Im Bereich der kritischen Infrastruktur müssen Sie Sicherheitsvorfälle an das BSI melden. Bei Datenschutzvorfällen müssen Sie in Abhängigkeit vom Risiko die Datenschutzaufsichtsbehörden und bei einem hohen Risiko sogar die betroffenen Personen informieren.
Durch eine Unachtsamkeit beim Bearbeiten von eingehenden E-Mails kommt es in einer Arztpraxis zu einer Schadsoftware-Infektion. Alle Patientendaten werden durch die Schadsoftware verschlüsselt, um ein Lösegeld zu erpressen. Auch wenn die Schadsoftware keine Daten kopiert hat, handelt es sich um einen Datenschutzvorfall, da die Verfügbarkeit der Patientendaten nicht mehr gegeben ist. Sie müssen prüfen, ob der Vorfall meldepflichtig ist. Wenn es ein Backup gibt und die Praxis nach kurzer Zeit wieder voll funktionsfähig ist, besteht kein Risiko für die Patienten. Also muss der Vorfall zwar dokumentiert, aber nicht gemeldet werden. Wenn es kein Backup gibt, und alle Patientendaten damit verloren sind, entstünde СКАЧАТЬ