ISO 27001

Crashkurs: Schlanke Umsetzung von Datensicherheit (DSGVO) auf Basis der ISO 27001 (Webinar)

Die Datenschutz-Grundverordnung (DSGVO) ist ja bekanntlich in aller Datenschutzmunde. Vieles bleibt zwar ähnlich, aber einiges ändert sich doch. Und zwar gewaltig. Und ich habe ein bisschen das Gefühl, dass viele das noch gar nicht richtig verstanden haben. Denn in Art. 32 DSGVO steckt gewissermaßen Sprengstoff und auch Arbeit. Letztlich geht es hier um Compliance in „Reinkultur“.

Nach meiner Überzeugung verlangen die Datensicherheitsvorschriften – insbesondere auch mit Berücksichtigung des Accountability-Prinzips in Art. 5 Abs. 2 DSGVO die Einführung eines Datenschutzmanagementsystems. Nur: In der Praxis ist damit kaum einem Unternehmen geholfen. Denn die Kapitalgesellschaften sind heute schon wegen Compliance-Anforderungen gehalten, im Bereich der Informationssicherheit Risikovorsorge zu treffen, um Schäden für die (Kapital-) Gesellschaft erkennen und vermeiden zu können. Wie machen wir das? Mit einem ISMS – einem Informationssicherheitsmanagementsystem. Hier bietet sich die ISO 27001 an bzw. drängt sich förmlich auf.

Wie das Ganze nun aber in der Praxis geht und was das im Hinblick auf Qualitätsmanagement, ISMS und Datenschutzmanagement bedeutet…damit habe ich mich in diesem Webinar beschäftigt. Diesmal nicht alleine, sondern mit meinem lieben Kollegen Andreas Bethke, mit dem ich seit 2002 zusammen an Sachverständigengutachten für Datenschutzgütesiegel arbeite.

Das Video des Webinars könnt ihr euch hier ansehen:


Es lohnt sich auf jeden Fall. Insbesondere der Praxis-Part mit Andreas Bethke am Ende.

Wer Bedarf an Beratung im Bereich der Einführung und Umsetzung der ISO 27001 hat, kann sich hier mit Andreas Bethke in Verbindung setzen. Dort findet ihr ein Kontaktformular für Anfragen an Andreas Bethke.

Umsetzung einer unternehmensinternen SSL/TLS-Entschlüsselung auf Basis einer Einwilligung (Best Practice)

Zugleich eine kleine Einführung in das Fernmeldegeheimnis und dessen Geltung in Unternehmen

Es kommt immer häufiger vor, dass Mandanten sich an mich wenden, weil sie planen, den unternehmensinternen Internettraffic im Hinblick auf Schadinhalte besser zu „untersuchen“. Da Schadinhalte sich immer öfter auch in Verbindungen mit einer Transportverschlüsselung (SSL/TLS) finden, liegt es nahe, zum Schutz von Unternehmenswerten auch insoweit eine bessere Kontrolle der Inhalte vorzunehmen, um Schadinhalte wie Viren, Trojaner und vor allem jetzt auch Ransomware wirksamer abzuwehren. Der Wunsch der Unternehmen: Wir möchten die SSL/TLS-Verschlüsselung „aufbrechen“, um auf Schadinhalte zu prüfen. Technisch gibt es dafür Lösungen, die häufig im Zusammenhang mit sog. Data Loss Prevention Software angeboten wird. Aber: Ist das datenschutzrechtlich möglich und zulässig? Und: Was ist, wenn es nicht nur um Schadinhalte geht, sondern auch verhindert werden soll, dass Beschäftigte Betriebs- und Geschäftsgeheimnisse an Unbefugte senden?

Lassen Sie uns der Frage mal auf den Grund gehen. Aber nur den datenschutzrechtlichen „Grund“ – im Sinne von Boden. Lassen wir arbeitsrechtliche Erwägungen mal beiseite. Nicht ganz beiseite, sondern wir lassen diese mal am Rand „liegen“.

Vorweg nehmen möchte ich, dass es durchaus gute Gründe für ein Aufbrechen der Verschlüsselung gibt. Auch wenn ich dies nicht zwingend für jedes Unternehmen empfehlen würde, kann ich doch gut nachvollziehen, dass ein Unternehmen ein Interesse an diesem Aufbrechen der Verschlüsselung hat. Dies gilt insbesondere dann, wenn der Schutzbedarf von Informationen im Unternehmen als sehr hoch zu klassifizieren ist. Insbesondere bei Unternehmen im Technologie-Bereich kann es häufig Sinn machen, ein „Data Leakage Control“- oder „Data Loss Prevention“-System einzuführen. In den Fällen, mit denen ich befasst war, wollten meine Mandanten entsprechende Systeme zum Schutz von Betriebs- und Geschäftsgeheimnissen einführen, weil es entsprechende vertragliche Verpflichtungen gegenüber Vertragspartnern gab, die erhebliche Vertragstrafen im Falle einer Verletzung von Geheimhaltungspflichten vorsahen.

In dem Zusammenhang ist auch abzuwarten, ob und inwieweit die Umsetzung der sog. „Know-How-Richtlinie“ der EU durch die BRD eine weitere Häufung der Einführung von entsprechenden Systemen zur Entschlüsselung von betriebsinternem Internetverkehr bringen wird. Ich sehe aktuell zwar nicht, dass hierdurch entsprechende Pflichten im Hinblick auf eine aktive Durchleuchtung des Internetverkehrs in Unternehmen entstehen werden; aber die wirtschaftliche Dynamik in Unternehmen funktioniert ja im Bereich der IT-Sicherheit manchmal durchaus ein wenig anders. Apropos Dynamik & IT-Sicherheit in Unternehmen: Seit den Enthüllungen von Edward Snowden ist das Thema IT-Sicherheit in vielen deutschen Unternehmen sprichwörtlich zur Chefsache gemacht worden. Gerade im Bereich der Banken, Versicherungen und auch im Bereich Automotive sind hier die Daumenschrauben gerade für Zulieferer deutlich angezogen worden. Abhängig von der jeweiligen Klassifizierung des Schutzbedarfes der Informationen müssen Dienstleister umfangreiche Maßnahmen im Bereich der Informationssicherheit vorweisen. Der Maßstab hier kann ganz allgemein als der Stand der Technik bezeichnet werden. Und im Bereich der Informationssicherheit wird der Stand der Technik aktuell maßgeblich durch das Normenwerk ISO 27001/27002 geprägt. Der Verlust der Vertraulichkeit von Informationen – besser gesagt dessen Verhinderung ist eine der wesentlichen Grundsäulen der Schutzziele der ISO 27001. Und die ISO 27002 sieht an mehreren Stellen Maßnahmen vor, die das Verhindern des Abflusses von Daten betreffen.