08.08.2017

So sieht eine IT-Sicherheitsrichtlinie aus

Bei der Vorbereitung auf die Datenschutz-Grundverordnung (DSGVO) führt kein Weg daran vorbei, IT-Sicherheitsrichtlinien zu erarbeiten und umzusetzen. Denn nur verbindliche, dokumentierte Vorgaben gewährleisten eine sichere Verarbeitung und weisen sie nach. Wir zeigen Ihnen, worauf Sie dabei achten sollten.

IT-Sicherheitsrichtlinie

Datenschutz braucht IT-Sicherheitsrichtlinien

Die große Mehrzahl der Datenpannen passiert nicht aus bösem Willen oder mit kriminellen Absichten, sondern aus Unwissenheit und Sorglosigkeit. Deshalb sind Unterweisungen und Datenschutz-Schulungen so wichtig. Und deshalb sind auch IT-Sicherheitsrichtlinien entscheidend,  um Datenschutz und Datensicherheit zu steigern.

Nur wenn die Mitarbeiterinnen und Mitarbeiter verbindliche Vorgaben für die Nutzung und Sicherheit der Datenverarbeitung erhalten, sie verstehen und umsetzen, schützt das personenbezogene Daten.

IT-Sicherheitsrichtlinien brauchen auch Datenschutz

Nicht nur der Datenschutz braucht die IT-Sicherheitsrichtlinien. In jeder IT-Sicherheitsrichtlinie gilt es, Ziele des Datenschutzes und Vorgaben aus dem Datenschutz-Konzept zu beachten.

So kommen die Maßnahmen der IT-Sicherheit dort an ihre Grenzen, wo sie gegen den Schutz personenbezogener Daten verstoßen.

Ein klassisches Beispiel ist die Protokollierung der Nutzeraktivitäten und deren Auswertung.

DSB gehört in die Richtlinien-Gruppe

Deshalb sollten Sie als Datenschutzbeauftragter Teil der Gruppe sein, die die IT-Sicherheitsrichtlinien entwickelt, begutachtet und aktualisiert.

Geben Sie sich nicht damit zufrieden, an der IT-Sicherheitsrichtlinie „Datenschutz“ beteiligt zu werden: Sondern sorgen Sie für die richtigen Datenschutz-Aspekte in allen IT-Sicherheitsrichtlinien.

Das ist gerade mit Blick auf die Datenschutz-Grundverordnung wichtig. Denn sie sieht bei Verletzungen des Datenschutzes scharfe Konsequenzen vor.

Beraten Sie die Leitung

Beraten Sie die Geschäftsleitung ausführlich über die Datenschutz-Ziele. Denn die verantwortliche Leitung muss die IT-Sicherheitspolitik vorgeben, die Grundlage aller IT-Sicherheitsrichtlinien ist.

Fordert die IT-Sicherheitspolitik des Unternehmens den Datenschutz nur halbherzig ein, werden Sie es bei der weiteren Umsetzung der IT-Sicherheitsrichtlinien nicht leicht haben.

Deshalb sollte der Datenschutz konkreter Bestandteil der IT-Sicherheits-Rahmenrichtlinie sein. Sie bestimmt die Eckpunkte der IT-Sicherheitsorganisation ein und macht Vorgaben zu den einzelnen IT-Sicherheitsrichtlinien.

Typische Fehler bei IT-Sicherheitsrichtlinien vermeiden

Geht es darum, die einzelnen IT-Sicherheitsrichtlinien zu entwickeln, zu prüfen und zu aktualisieren, helfen Sie dabei, typische Fehler in den IT-Sicherheitsrichtlinien zu vermeiden.

Nur ein Unternehmen, das die IT-Sicherheitsrichtlinien erfolgreich umsetzt, hat etwas für den Datenschutz und die Datensicherheit gewonnen.

1) Sicherheitsrichtlinien individualisieren

Viele Unternehmen verweisen in ihren IT-Sicherheitsrichtlinien auf Sicherheitsstandards, ohne die Vorgaben auf die eigene Situation anzupassen.

Als Folge finden sich weder Unternehmensleitung noch Mitarbeiter in den Richtlinien wieder, und alle betrachten die Vorgaben als praxisfern. Die Aufsichtsbehörden für den Datenschutz werden sich damit genauso wenig zufrieden geben.

IT-Sicherheitsrichtlinien, die alle Beteiligten innerlich ablehnen, scheitern. Zudem bedeutet die Arbeit an den unternehmensspezifischen IT-Sicherheitsrichtlinien, dass sich alle mit dem Thema Datensicherheit und Datenschutz befassen und so stärker sensibilisiert sind.

Drängen Sie deswegen darauf, dass die IT-Sicherheitsrichtlinien individuell angepasst werden. Auch wenn es viel Mühe kostet.

2) IT- Sicherheitsrichtlinien müssen durchführbar sein

Wenig sinnvoll sind zudem IT-Sicherheitsrichtlinien,

  • die sich praktisch nicht durchführen lassen,
  • die zu Widersprüchen in Verbindung mit anderen Vorgaben und Richtlinien führen und
  • deren Einhaltung sich nicht überprüfen lässt.

Solche IT-Sicherheitsrichtlinien führen dazu, dass die Leitung glaubt, alles geregelt zu haben und sich in trügerischer Sicherheit wähnt, während die tägliche Praxis ganz anders aussieht.

3) Freigabe, Bekanntmachung und Zielgruppe sind bedacht

Weiterhin muss die verantwortliche Stelle (DSGVO: der für die Verarbeitung Verantwortliche), in der Regel die Unternehmensleitung,  jede IT-Sicherheitsrichtlinie freigeben. Damit ist es aber nicht getan. Die Anwender der Datenverarbeitung müssen ebenfalls davon wissen.

Denken Sie also bei allen Richtlinien mit Bezug zu personenbezogenen Daten daran, sie bekannt zu machen und zu schulen.

Und wie bei jeder Vorgabe und Anleitung darf auch bei einer IT-Sicherheitsrichtlinie nicht die Zielgruppe in den Hintergrund geraten: Die Zielgruppe muss die Beschreibungen verstehen.

4) Richtinie wird ständig aktualisiert

Schließlich bleibt festzuhalten, dass IT-Sicherheitsrichtlinien aktualisiert werden müssen. Denn gerade in der IT ändern sich die Systeme und Bedrohungen in kurzen Zeitabständen. IT-Sicherheitsrichtlinien zu entwickeln und zu prüfen, ist deshalb ein laufender Prozess.

Nutzen Sie bei der Überprüfung die Muster-Gliederung, die Ihnen wichtige Inhalte einer IT-Sicherheitsrichtlinie nennt.


Download: Gliederungspunkte einer IT-Sicherheitsrichtlinie


Autor*in: Oliver Schonschek (Diplom-Physiker, IT-Analyst und Fachjournalist)