4. Fehler
Ich möchte es einmal ganz deutlich sagen:
Das Gesetz fordert im Schritt 1, sich mit dem Thema IT- Sicherheit angemessen auseinanderzusetzen. Und die Befassung mit diesem Thema muss angemessen dokumentiert werden.
Was also nicht passieren darf, ist, sich mit dem Thema nicht auseinanderzusetzen oder das „Auseinandersetzen“ nicht zu dokumentieren.
Genau deshalb mache ich einmal pro Jahr als DSB für die von mir betreuten Unternehmen ein Audit, welches das ISMS betrifft. Das Audit dient gegenüber Auftraggebern (also den Kunden meiner Kunden), den Versicherungen und ggf. auch noch den Behörden als Nachweis darüber, dass wir uns mit dem Thema IT- Sicherheit beschäftigt haben.
5. Beispiele für Prozesse
Was das Gesetz nicht sagt, ist, welcher ISMS- Prozess anzuwenden ist oder welches Risiko im Einzelfall eingegangen werden darf.
In der Praxis kommt dem BSI die Bedeutung einer Autorität zu.
5.1 IT- Grundschutz
Das IT- Grundschutz Kompendium des BSI ist besonders auf Behörden und KMUs ausgerichtet und soll helfen, dort ein ISMS einzurichten und zu betreiben. Es zeigt Methode wie Anleitung zur Etablierung eines IT- Sicherheits- Systems für Unternehmen, die ohne weitere Berater eine Absicherung von Services und Daten betreiben wollen.
5.2 C5- Kriterienkatalog
Der C5- Kriterienkatalog ist auf die Absicherung von Cloud- Services ausgerichtet und umfasst in Teilen den IT- Grundschutz- Katalog.
5.3 ISO 27001
Die ISO 27001 ist eine internationale Norm für ein ISMS. Ihre Stärke liegt zweifelsohne in der Akzeptanz. Selbst wenn die ISO nicht vorgeschrieben ist, verlangen viele größere Unternehmen die Einhaltung der ISO.
5.4 Bewertung
Der Art. 32 Abs. 3 DSGVO beispielsweise verweist auf den Art. 40 DSGVO. Es gibt aber weder eine europäische Behörde, die dazu befugt wäre, eine andere europäische oder nationale Behörde dazu zu ermächtigen, über die Anwendung eines ISMS zu entscheiden, noch gibt es eine nationale Behörde, die das in Sachen Datenschutz von sich behauptet. Es gibt kein Gesetz auf der europäischen Ebene, dass eine Autorität in die Lage versetzt, einen bestimmten Zertifizierungsprozess zu fordern.
Praktisch aber wirkt der Markt.
Bund und Länder fordern, dass bestimmte Cloud- Verträge der öffentlichen Hand nur unter Verwendung der EVB- IT- Cloud abgeschlossen werden können. Die EVB- IT- Cloud verweist auf den C5- Kriterienkatalog, der angewendet werden muss, wenn der Auftraggeber davon ausgeht, dass der Prozess kritisch ist.
Viele große Unternehmen geben Aufträge an Subunternehmer nur noch dann, wenn diese ISO zertifiziert sind. Dieser Weg spart dem Auftraggeber Kosten. Der Auftraggeber muss nachweisen, den Auftragnehmer sorgfältig ausgesucht zu haben und die Leistungen des Auftragnehmers auch regelmäßig zu kontrollieren.
Der Auftragnehmer kann selbst sein nicht standardisiertes ISMS etablieren und pflegen. Aber weil es eben kein Standard ist, muss nun der Auftraggeber dieses ISMS auf seine Geeignetheit überprüfen. Das bedeutet höhere Kosten einzugehen, als es der Fall wäre, wenn der Auftraggeber den Auftragnehmer einfach anruft und danach fragt, ob man bitte schnell die ISO- Zertifizierung für das betreffende Jahr übersenden kann.
Wir (also Kramer und Partner) haben anhand des C5- Kriterienkatalogs und der ISO 27001 einen eigenen Kriterienkatalog für unsere Kunden als eine „light- Version“ erstellt. Wir haben viele Kunden, denen eine ISO- Zertifizierung schlicht zu teuer war und ist, und für die der C5- Katalog zu viele Punkte beinhaltete, die schlicht nicht relevant sind. Viele unserer Kunden arbeiten nur noch auf Clients in den Büroräumen und die serverbasierten Prozesse und Daten werden in einem ISO- zertifizierten RZ betrieben und gespeichert. Nur noch eine Minderheit arbeitet mit eigenen Servern, wenn keine ISO für das Unternehmen selbst besteht.
In diesen Fällen gibt es dann Verarbeitungsverzeichnisse und Audits, die die betreffenden Prozesse außerhalb des Rechenzentrums abbilden und deren Einhaltung auch ohne große Kosten gegenüber dem Kunden nachgewiesen werden kann.
5.5 Fazit
Was als ISMS funktioniert und angemessen ist, ist eine Frage des Einzelfalls.
Zu beachten sind einerseits die genannten Bedingungen, zum anderen auch unterschiedliche die Vorgaben der speziellen IT- Sicherheitsgesetze, die anders ausfallen können, als es hier am Beispiel der DSGVO aufgezeigt wurde (das Beispiel der DORA sei ausdrücklich genannt, die ja in großer Deutlichkeit nicht nur sagt, dass angemessene Maßnahmen ergriffen werden müssen, sondern vor allem welche Maßnahmen zu ergreifen sind).
