Geschrieben am 24.01.2017 von:
Zum Nachweis eines angemessenen Niveaus an Informationssicherheit haben sich in der Praxis verschiedene Zertifizierungsmodelle entwickelt. Unternehmen sollten jedoch beachten, dass die Vorschriften in Bezug auf IT-Sicherheit und Datenschutz nicht immer identisch sind. Es kann daher notwendig sein, 2 verschiedene Zertifizierungen durchführen zu lassen.
Etablierte Verfahren im Bereich IT-Sicherheit
Im Bereich der Zertifizierung eines bestimmten Niveaus an IT-Sicherheit haben sich im Wesentlichen zwei Verfahren etabliert.
Der „ISO 27001 (nativ)“ Standard ist ein eher prozessorientierter Ansatz zur Zertifizierung eines Informationssicherheits-Managementsystem (ISMS). Hierbei findet zunächst eine umfassende Risikoanalyse statt. Außerdem müssen Unternehmen Stellungnahmen zu den ca. 150 Maßnahmen dieser ISO Norm abgeben. Bei dieser Zertifizierung müssen keine starren Vorgaben eingehalten werden. Es ist den Unternehmen vielmehr erlaubt, die notwendigen Sicherheitsmaßnahmen (relativ) frei in die internen Prozesse zu integrieren.
Der Standard „ISO 27001 auf der Basis von IT-Grundschutz“ ist ein eher maßnahmenorientierter Ansatz. Eine Risikoanalyse wird dabei nicht durchgeführt, stattdessen wird auf die Einschätzungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) zurückgegriffen. Dieses hat bereits typische Gefahren für die IT-Sicherheit analysiert und bewertet. Nur wenn ausnahmsweise ein besonders hoher Schutzbedarf bejaht wird, muss eine zusätzliche Risikoanalyse durchgeführt werden. Bei diesem Verfahren muss eine Vielzahl konkreter Maßnahmen umgesetzt werden(ca. 1100). Es werden hierbei konkrete Handlungsvorgaben gemacht, auf die man sich im Falle einer Sicherheitslücke gegenüber den Aufsichtsbehörden berufen kann. Die Umsetzung kann allerdings sehr zeit- und kostenintensiv sein.
Die Vorteile der beiden Standards sind zugleich auch ihre Nachteile. Die Möglichkeit zur freien Interpretation von Sicherheitsmaßnahmen birgt das Risiko von späteren Lücken und die Umsetzung von vorgegebenen Maßnahmen kann zu einer unüberwindbaren Aufgabe werden. Je nachdem, welche Ziele konkret verfolgt werden, muss man sich also bereits bei der Auswahl des richtigen Standards viele Gedanken machen.
Zertifikate im Datenschutz
Art. 42 DS-GVO sieht datenschutzspezifische Zertifikate vor. Diese sollen bescheinigen, dass die in Art. 42 DS-GVO genannten datenschutzrechtlichen Vorgaben über die Auftragsdatenverarbeitung in einem Unternehmen eingehalten werden. Wie genau die Zertifizierung erfolgen soll, ist noch nicht geregelt. Klar ist aber, dass entsprechende Zertifikate nur von den Aufsichtsbehörden oder akkreditierten Zertifizierungsstellen ausgestellt werden dürfen.
Neben den Vorgaben zur Auftragsdatenverarbeitung müssen natürlich auch alle anderen datenschutzrechtlichen Vorschriften der DS-GVO eingehalten werden. Durch die Zertifizierung wird leidglich der Einsatz externer Dienstleister im Rahmen der Auftragsdatenverarbeitung erleichtert.
Das Bayerische Landesamt für Datenschutzaufsicht fordert in einem Leitfaden zudem die Entwicklung neuer länderübergreifender Zertifizierungsverfahren mit einheitlicher Bewertung.
Zertifizierungen nicht identisch
Unternehmen sollten beachten, dass die genannten Zertifizierungen nicht identisch sind. Wenn eine Zertifizierung nach den ISO Standards vorliegt, bedeutet dies nicht gleichzeitig, dass auch die Einhaltung datenschutzrechtlicher Vorschriften ausreichend nachgewiesen wird. Die genannten Zertifizierungen verfolgen nämlich unterschiedliche Schutzrichtungen.
Gerade für kleinere Unternehmen kann es sinnvoll sein, zunächst eine Zertifizierung für die Einhaltung von datenschutzrechtlichen Vorschriften anzustreben und erst im Anschluss daran die aufwendige und teure Zertifizierung nach ISO Standards in Angriff zu nehmen.