3. ISMS- Prozesse
3.1 Grundlagen des Risikomanagements
ISMS ist wieder ein Buzzword und steht im Grunde für ein Risikomanagement System für IT- Sicherheit. Pflichten zum Risikomanagement gab es schon lange, und zwar im Gesellschaftsrecht, Banken- und Versicherungsrecht, etc.. Risiko wird verstanden als die Vorsorge vor zukünftigen Gefahren vor negativen Einflüssen. Gefahr wird im öffentlichen Recht definiert als „die Möglichkeit eines zukünftigen Schadenseintritts“. Um also den zukünftigen Schadenseintritt zu vermeiden oder dessen Auswirkungen zu mindern, muss man muss man technische und organisatorische Maßnahmen ergreifen, um diese Gefahren zu erkennen, zu bewerten und zu beherrschen.
Das Risikomanagement besteht nicht in dem Abarbeiten von Checklisten allein, sondern vor allem in der Bewertung von Risiken. Wie weit der Compliance Prozess betrieben wird und wie tief die einzelnen Punkte bewertet werden, hängt also immer auch von einer Bewertung ab. Der Gesetzgeber macht hier z.B. Vorgaben, in dem er im Bereich der KI Hochrisikosysteme ganz andere Anforderungen an das Risikomanagement stellt als an normale Modelle. Blöd gesagt sind Produkte, die im Flug oder Medizinbereich eingesetzt werden anders zu bewerten als Tools für die Erlernung einer Fremdsprache. Wer viele besonders sensible pbzD verarbeitet hat andere Sicherheitsanforderungen zu erfüllen und ein anderes Risikomanagement zu betreiben als ein Unternehmen, dass eben nur mit geschäftlichen Daten der Mitarbeiter der Kunden umgeht.
Auch die Größe des Unternehmens spielt eine Rolle. In einem großen Unternehmen mit vielen Abteilungen sind mehr Anstrengungen erforderlich. Je größer das Unternehmen, desto eher sind Zuständigkeiten, Prozesse und Kommunikationswege zu klären.
Im ersten Schritt sind die Rechtsgüter (was?) und die Verarbeitungswege zu analysieren, also die Frage zu beantworten: Was macht die Software mit welchen Daten und welche Dinge können durch die Verarbeitung gefährdet werden. Wer genauer wissen will, wie das funktioniert, schaue sich insbesondere das Modul 200-3 des BSI und das IT Grundschutzkompendium an. Aus der juristischen Warte geht es immer um die Frage: Welche Rechtsgüter (also personenbezogene Daten, Geschäftsgeheimnisse, etc.) können durch die Verarbeitung (auch wenn sie missbraucht wird) gefährdet werden. Sofern sich einmal mit einem Verarbeitungsverzeichnis im Datenschutz befasst haben, werden Sie feststellen, dass in einer Spalte die Rechtsgüter (welche Daten) und in einer anderen die Verarbeitungswege bezeichnet werden.
Dann kommt die Erfassung der Quellen der Gefährdung. Das sind nicht nur die Hersteller oder Programmierer, die Dinge falsch machen (Software nicht verfügbar), sondern auch die Nutzer oder Kriminelle, die die Datenverarbeitung ausnutzen wollen oder Naturkatastrophen.
Die Risikobewertung hat zielgruppenorientiert zu erfolgen. Der Art. 9 KI- VO spricht insofern von der Bewertung der technischen Kenntnisse, der Erfahrungsstand und der Bildung die von dem Betreiber erwartet werden kann sowie von dem Kontext in dem das System eingesetzt wird.
Man kann also Vernunft walten lassen und auch erwarten, dass sich die Zielgruppe vernünftig verhält und muss nicht immer vom Schlimmsten ausgehen.
Und im Anschluss ist darzulegen, dass man die bestehenden Gefahren auf ein vertretbares Maß reduziert hat oder ganz ausschließen kann.
