.
Чтение книги онлайн.

Читать онлайн книгу - страница 19

Название:

Автор:

Издательство:

Жанр:

Серия:

isbn:

isbn:

СКАЧАТЬ als »wertlos« oder »minderwertig« einstufen.

       gering: 1 bis 2

       mittel: 3 bis 6

       hoch: 7 bis 10

       sehr hoch: 11 bis 16

      In § 8a Abs. 1 BSI-Gesetz heißt es »Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.« Der Betreiber einer kritischen Infrastruktur muss also die Folgen eines IT-Sicherheitsvorfalls und den daraus folgenden Schaden betrachten. Das Risiko ergibt sich aus dem Schaden multipliziert mit der Wahrscheinlichkeit, dass das Schadensereignis eintritt. Der Schaden wird aus der Sichtweise des Unternehmens beziehungsweise der Behörde ermittelt. Es ist sowohl der finanzielle als auch der ideelle Schaden, zum Beispiel eine Rufschädigung, zu betrachten.

Sie müssen eine wichtige vertrauliche Arbeit erstellen. Sie erwarten, dass Sie etwa drei Monate daran arbeiten werden. Als sicherheitsbewusster Mensch haben Sie schon länger Bitlocker zur Festplattenverschlüsselung auf Ihrem Windows-Rechner installiert. Für Sie sind Vertraulichkeit und Verfügbarkeit die dominanten Schutzziele. Sie schätzen die Gefährdung, dass Sie Ihr Notebook verlieren oder dass es Ihnen gestohlen wird, als selten ein (Wert: 2). Schließlich ist es schon sechs Jahre alt. Der Schaden bezüglich der Vertraulichkeit ist bei Verlust geringfügig (Wert: 1), da Sie ja die Festplatte verschlüsselt haben. Das Risiko ist math gering. Bei der Verfügbarkeit sieht es etwas anders aus. Die Wahrscheinlichkeit bleibt gleich, den Schaden stufen Sie aber in der höchsten Stufe (Wert: 4) ein, da dann alle Arbeit verloren ist. Hier ist das Risiko dann mittel (Wert: 4).

      Anders sieht es bezüglich der Verfügbarkeit bei einem Hardwaredefekt aus. Die Wahrscheinlichkeit dafür ist bei Ihrem sechs Jahre alten Notebook häufig. Der Schaden bleibt in der höchsten Stufe. Das Risiko ist math, also ist das Risiko sehr hoch. Als Maßnahme zur Reduktion des Risikos entscheiden Sie sich doch schlussendlich für ein Backup. Dadurch sinkt der mögliche Schaden bei Verlust oder Defekt auf geringfügig (Wert: 1) und damit sinkt das Risiko der Verfügbarkeit bei Verlust auf gering (Wert: 1) beziehungsweise bei Defekt auf mittel (Wert: 3). Und mit so einem Risiko können Sie leben.

      Die DS-GVO gibt Ihnen in den Art. 25 und 32 eine völlig andere Perspektive der Risikobetrachtung vor: Es sind hier die »Risiken für die Rechte und Freiheiten natürlicher Personen« zu betrachten. Dies ist eine völlig andere Perspektive als in der Informationssicherheit: die Risikobetrachtung erfolgt ausschließlich aus der Sicht der Betroffenen und auf keinen Fall aus der Sicht des Unternehmens. Die falsche Perspektive der Risikobetrachtung ist ein häufiger Fehler, den Verantwortliche begehen und der regelmäßig von Aufsichtsbehörden beanstandet wird.

      

Die Landesbeauftragte für den Datenschutz in Niedersachsen führte 2019 eine branchenübergreifende Prüfung zur Umsetzung der DS-GVO bei 20 großen und 30 mittelgroßen niedersächsischen Unternehmen durch. Am Ende der Prüfung erhielten neun Unternehmen das Prädikat Grün, 32 Unternehmen das Prädikat Gelb und neun Unternehmen das Prädikat Rot. Bei allen neun Unternehmen mit dem Prädikat Rot wurden fehlende oder unzureichende technisch-organisatorische Maßnahmen, also unzureichende Informationssicherheit, beanstandet. Besonders gravierend fand die Landesbeauftragte auch die Tatsache, dass zum Teil bei der Risikobeurteilung der Fokus auf die Risiken für das Unternehmen und nicht, wie in der DS-GVO gefordert, auf die Risiken für die Rechte und Freiheiten der Betroffenen gelegt wurde. [LfDN19]

      Eine Betrachtung der Risiken müssen Sie regelmäßig wiederholen, um eventuelle zwischenzeitlich veränderte Aspekte berücksichtigen zu können. Außerdem müssen Sie alle Überlegungen zu den Risiken dokumentieren, damit die Klassifizierungen und die daraus folgenden Entscheidungen jederzeit nachvollzogen werden können.

      Kommt es zu einem Datenschutz- oder IT-Sicherheitsvorfall, müssen Sie ab einer gewissen Schwelle die Vorfälle an die zuständigen Behörden melden. Im Bereich der kritischen Infrastruktur müssen Sie Sicherheitsvorfälle an das BSI melden. Bei Datenschutzvorfällen müssen Sie in Abhängigkeit vom Risiko die Datenschutzaufsichtsbehörden und bei einem hohen Risiko sogar die betroffenen Personen informieren.

Durch eine Unachtsamkeit beim Bearbeiten von eingehenden E-Mails kommt es in einer Arztpraxis zu einer Schadsoftware-Infektion. Alle Patientendaten werden durch die Schadsoftware verschlüsselt, um ein Lösegeld zu erpressen. Auch wenn die Schadsoftware keine Daten kopiert hat, handelt es sich um einen Datenschutzvorfall, da die Verfügbarkeit der Patientendaten nicht mehr gegeben ist. Sie müssen prüfen, ob der Vorfall meldepflichtig ist. Wenn es ein Backup gibt und die Praxis nach kurzer Zeit wieder voll funktionsfähig ist, besteht kein Risiko für die Patienten. Also muss der Vorfall zwar dokumentiert, aber nicht gemeldet werden. Wenn es kein Backup gibt, und alle Patientendaten damit verloren sind, entstünde СКАЧАТЬ