BSI-Standard 200-4: Was Notfall-Management & Datenschutz gemeinsam haben
Die DSGVO fordert die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen rasch wiederherzustellen. Hinweise zur Umsetzung liefert sie aber nicht. Deshalb sind Hilfestellungen wie der neue BSI-Standard 200-4 mehr als willkommen.
Der BSI-Standard 200-4: Notfall-Management aufbauen
Der neue BSI-Standard 200-4 gibt eine praxisnahe Anleitung, um ein Business Continuity Management System (BCMS) aufzubauen. Denn tritt in einer Organisation eine Krise oder ein Notfall auf, ist schnelles Handeln notwendig. Jeder Handgriff muss sitzen, so das Bundesamt für Sicherheit in der Informationstechnik (BSI). Durch klare Prozess- und Aufgabenfestlegung kann das gelingen.
Der BSI-Standard 200-4 als Weiterentwicklung des etablierten BSI-Standards 100-4 enthält zahlreiche Neuerungen. Sie basieren auf aktuellen Erkenntnissen im Bereich Business Continuity sowie auf den jüngsten Erfahrungen aus der Corona-Pandemie.
Empfehlungen des BSI
Der als Community-Draft vorliegende BSI-Standard 200-4 liefert auf knapp 300 Seiten viele Hinweise und Empfehlungen, wie Betriebe und Behörden ein Notfall-Management oder Business Continuity Management (BCM) aufbauen.
Darin finden sich unter anderem:
- ein Stufenmodell mit vereinfachten Einstiegstufen (Reaktiv-BCMS und Aufbau-BCMS) und einer Stufe, die mit der internationalen Norm ISO 22301:2019 kompatibel ist (Standard-BCMS)
- mögliche Synergien innerhalb des IT-Grundschutzes zwischen dem Managementsystem für Informationssicherheit und dem Business Continuity Management System
- eine Ausarbeitung von Teilen der Methodik mit umfangreichen Hilfestellungen, etwa um eine besondere Aufbauorganisation (Stabsstruktur) zu etablieren, im Soll-Ist-Vergleich, in der Geschäftsfortführungs-Planung oder in der Wiederanlauf-Planung usw.
- Bereitstellung vieler Hilfsmittel, zum Teil mit Beispieltexten.
Was hat das mit Datenschutz und der DSGVO zu tun?
Notfälle, die es zu managen gilt, kennt der Datenschutz auch: die Datenschutz-Verletzungen. Zudem fordert die Datenschutz-Grundverordnung (DSGVO) konkret unter den Maßnahmen für die Sicherheit der Verarbeitung (Artikel 32 DSGVO) „die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen“.
Diese Wiederherstellbarkeit personenbezogener Daten umfasst mehr als Datensicherungen (Backups). Denn auch der Zugang zu den Daten muss sich bei einem Zwischenfall rasch wiederherstellen lassen. Sonst sind die Daten nicht wirklich „verfügbar“, sondern nur „vorhanden“.
Für den Zugang sind neben den Daten auch technische Systeme und organisatorische Abläufe erforderlich. Wie Unternehmen und Behörden diese aufbauen und implementieren, können IT-Sicherheitsvorgaben wie der BSI-Standard 200-4 erklären und empfehlen. Das Notfallmanagement oder BCM hat somit Synergien mit dem Datenschutz.
Berührungspunkte zur IT-Sicherheit
IT-Sicherheit und Datenschutz haben nicht die gleichen Ziele. Sie nutzen aber vielfach verwandte oder sogar die gleichen technischen Schutzmaßnahmen.
Es gibt viele Beispiele, die die Synergien von IT-Sicherheit und Datenschutz sichtbar machen. So haben sich der Präsident des Bundesamts für Sicherheit in der Informationstechnik Arne Schönbohm und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Professor Ulrich Kelber über die EU-weite Zertifizierung von Cloud-Diensten und den vom BSI entwickelten „Cloud Computing Compliance Criteria Catalogue“ (C5) ausgetauscht.
Der BSI-Präsident Arne Schönbohm sagte dazu: „In Zeiten der Digitalisierung ist Datensicherheit eine wesentliche Voraussetzung für erfolgreichen Datenschutz. Insbesondere beim Cloud Computing ist die Einhaltung des Datenschutzes immer noch eine Herausforderung. Der C5 deckt viele technische und organisatorische Maßnahmen ab, die auch für den Datenschutz eine notwendige Voraussetzung sind.“
Praxis-Tipp Aktiv Synergien mit der IT-Sicherheit suchen Nicht nur in Fragen des Cloud-Datenschutzes sind BSI-Standards und -Richtlinien eine Hilfe für den Datenschutz, auch in Fragen des Notfall-Managements. Suchen Sie deshalb als Datenschutzbeauftragte oder Datenschutzbeauftragter in Unternehmen oder in Behörden aktiv den Austausch mit den IT-Sicherheitsbeauftragten und nutzen Sie die Synergien. Das reduziert Aufwände und liefert Argumente für neue Maßnahmen, die dem Datenschutz, der IT-Sicherheit und dem Schutz von Geschäftsgeheimnissen dienen können. |