Das Sicherheitskonzept: der mühsame Weg zur Existenzsicherung
Im Frühjahr wurde von einem Einbruch in die Arztpraxis von Dr. K Min Yi im kalifornischen San Jose berichtet. Dabei sollen zwei Festplatten gestohlen worden sein. Nach Angaben der Ärztin stammte die eine aus einem Rechner, die andere aus einer abgeschlossenen Schublade. Das Ereignis im fernen Kalifornien ist auch für deutsche Unternehmen ein Lehrstück, welche Folgen mangelndes Sicherheitsbewusstsein haben kann.
Schenkt man nämlich der ‘Polizeilichen Kriminalprävention des Bundes und der Länder’ Glauben, ist der Diebstahl von Hardware auch hierzulande nichts Ungewöhnliches, sondern “hat den Charakter eines Massendelikts angenommen”. Das war bereits 2005 der Fall. Die Strafverfolger wiesen in einem Infoblatt weiter darauf hin, dass die geklaute Hardware nicht zwingend das eigentliche Ziel, sondern nur das Mittel zu einem noch viel bedrohlicheren Verbrechen sein kann: “Besonders schlimm kann es dann werden, wenn ein Dieb in der Lage ist, auf leicht zugängliche persönliche Daten und/oder Bankdaten zuzugreifen und mit dem ‘guten Namen’ anderer Missbrauch zu treiben (Identitätsdiebstahl).”
In San Jose haben jetzt jedenfalls 4676 Patienten von Dr. Yi Anlass zur Sorge – allein der Schäden wegen, die auch mal bis in fünfstellige Beträge gehen können.. Diese Sorge ist auch deshalb berechtigt, weil die Täter offenbar kein Interesse an dem Computer, sondern nur an den Datenträgern hatten. Und womöglich sind die Täter noch dazu sehr strategisch vorgegangen: Ein Einfamilienhaus kostet in San Jose durchschnittlich 680.000 Dollar, die Lebenshaltungskosten zählen zu den höchsten des Landes. So wäre es aus Sicht der Täter nur konsequent, sich an eine ‘kleine’ Arztpraxis zu halten, um auf einen Schlag an die Daten vieler vermögender Patienten zu kommen.
Der Identitätsdiebstahl ist nur einer von vielen möglichen Delikten – außerdem könnten die Täter Yi damit drohen, die Patientendaten im Internet zu veröffentlichen, falls kein “Schutzgeld” bezahlt werde, oder sie könnten den Patienten im Namen der Ärztin personalisiert Schadsoftware per Mail unterschieben.
Die Liste ließe sich sicher fortsetzen. Die Sicherheitsberater von Veriphyr behaupten, eine Krankenakte könnte dem (kriminellen) Anbieter 50 Dollar einbringen. Bei 4676 Patienten wären das 233.800 Dollar. Ob dieser Durchschnittspreis auch auf für die Daten mutmaßlich vermögender Patienten gilt, ist nicht bekannt. Angesichts der Umstände scheint es zumindest auf den ersten Blick fahrlässig, Daten von solchem Wert in einer ‘Schublade’ aufzubewahren – auch wenn diese ‘verschlossen’ ist.
IT-Sicherheit ist Chefsache
Gefahren drohen also on- wie offline gleichermaßen – der Mittelstand hat aber trotz der wiederholten Warnungen in den vergangenen Jahren nicht in die eigene Sicherheit investiert. Eine Studie der Result Group aus dem oberbayerischen Seeshaupt bescheinigt den Unternehmen Mitte Mai “stark bedroht und schlecht gerüstet” zu sein. Was aber sollten die Dienstleister – nicht nur für die Ärzte und andere Freiberufler, sondern auch Gewerbetreibende Immobilienmakler, fünf-Sterne-Hoteliers und Vermögensberater jetzt tun?
Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) meint, die Sicherheit werde maßgeblich vom Bewußtsein des Chefs bestimmt und betont [PDF, vgl S. 16]:
“Die oberste Leitungsebene jeder Behörde und jedes Unternehmens ist dafür verantwortlich, dass alle Geschäftsbereiche zielgerichtet und ordnungsgemäß funktionieren und dass Risiken frühzeitig erkannt und minimiert werden.”
Damit die Aufgabe “Informationssicherheit” im Alltag nicht untergeht, sollte der Chef nach Meinung der Behörde einen “IT-Sicherheitsbeauftragten” benennen, dessen Hauptaufgabe darin besteht, “die Behörden- bzw. Unternehmensleitung bei deren Aufgabenwahrnehmung bezüglich der Informationssicherheit zu beraten und diese bei der Umsetzung zu unterstützen.” (Vgl S. 26 f.). Je nach Größe des Unternehmens müsste ein ‘Informationssicherheitsmanagement-Team’ aus Datenschutzbeauftragten, IT-Verantwortlichen und Vertreter der Anwender – den IT-Sicherheitsbeauftragten unterstützen. Das Team sollte das Sicherheitskonzept wie einen Maßanzug anfertigen – das BSI verlangt [PDF, vgl Seite 27]:
“Um die Informationssicherheitsziele zu erfüllen und das angestrebte Sicherheitsniveau zu erreichen, muss zunächst verstanden werden, wie die Erfüllung von Aufgaben und Geschäftsprozessen von der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen abhängt. Dazu muss auch betrachtet werden, durch welche Schadensursachen wie höhere Gewalt, organisatorische Mängel, menschliche Fehlhandlungen oder auch IT-Risiken Geschäftsprozesse bedroht werden. Danach muss entschieden werden, wie mit diesen Risiken umgegangen werden soll.”
Dazu müssten die Risiken analysiert und nach Eintrittswahrscheinlichkeit und Schadenspotential bewertet werden. Das darauf aufbauende Sicherheitskonzept müsse das Ergebnis dieser Risikobewertung berücksichtigen. Der Risikoanalyse muss der Schutzbedarf gegenübergestellt werden [Vgl S. 37 ff]:
“Zweck der Schutzbedarfsfeststellung ist es, zu ermitteln, welcher Schutz für die Geschäftsprozesse, die dabei verarbeiteten Informationen und die eingesetzte Informationstechnik ausreichend und angemessen ist. Hierzu werden für jede Anwendung und die verarbeiteten Informationen die zu erwartenden Schäden betrachtet, die bei einer Beeinträchtigung von Vertraulichkeit, Integrität oder Verfügbarkeit entstehen können. Wichtig ist es dabei auch, die möglichen Folgeschäden realistisch einzuschätzen. Bewährt hat sich eine Einteilung in die drei Schutzbedarfskategorien “normal”, “hoch” und “sehr hoch”.
Was ein das IT-Sicherheitskonzept leisten sollte
Dann wird das IT-Sicherheitskonzept erstellt. Nach Ansicht des Unabhängigen Landeszentrums für Datenschutz in Schleswig Holstein [PDF, vgl. S. 26] sollte es diese Aspekte berücksichtigen:
- Zielrichtung
- allgemeiner Grundschutz
- Arbeitsplatzebene
- Zentralrechnerebene
- Verfahren
- Administration
- Revision/Kontrolle
- Notfallvorsorg
- Schwachstellen/Risikoanalyse sowie
- Fortschreibung
In der “Zielrichtung” sollten die Autoren des unternehmensinternen Sicherheitskonzepts den Zweck definieren: Gewährleistet werden soll etwa:
- die Verfügbarkeit der Systeme (z. B. Schutz vor Diebstahl, Zerstörung, Ausfallzeiten, Verlust von Datenträgern)
- die Integrität der Software und der Daten
Nach der Vollendung des Konzepts sollte ein Projektplan zur Realisierung der Maßnahmen erstellt werden. Dieser sollte die Maßnahmen, die verantwortliche Person und das zu erzielende Ergebnis benennen. Damit der Punkt nicht in Vergessenheit gerät, sollte ein Zeitpunkt genannt sein, bis zu dem die Maßnahme umzusetzen ist. Das Sicherheitskonzept könnte dann etwa so aussehen:
Beispiel für ein Sicherheitskonzept |
||||||
| Physische Sicherheit | Verantwortlich | Maßnahme | Termin | |||
|---|---|---|---|---|---|---|
| Einbruchschutz gem. EN 1627 herstellen | Müller-Lüdenscheid | Fenster und Türen auf Einbruchsicherheit prüfen und ggf neue beschaffen. | 1.11.14 | |||
| Diebstahlsicherheit unternehmenskritischer Akten und IT-Geräte gem. EN 1143-1 herstellen | Müller-Lüdenscheid | Unternehmenskritische Akten und IT Geräte identifizieren und Tresore beschaffen | 1.10.14 | |||
Wichtig bei allen Maßnahmen ist, die Mitarbeiter “mitzunehmen”: Mitarbeiter wollen einbezogen sein. Wer sich nicht integriert fühlt oder nicht über die Konzepte informiert ist, wird Mittel und Wege finden, diese zu umgehen. Der Betriebsrat sollte unbedingt bei diesem Prozess beteiligt sein, denn seine Meinung hat mitunter mehr Gewicht als die des Chefs. Zum notwendigen Verständnis tragen rollenspezifische Schulungen für Alle bei. Schriftliche Erklärungen zur Geheimhaltungspflicht der Mitarbeiter können das Verantwortungsbewusstsein zusätzlich fördern. Die Dienstleister des Unternehmens sollten gleichwertige Vereinbarungen unterzeichnen.
Um eine finanzielle Überforderung des Unternehmens zu vermeiden, sollten die Kosten von Beginn an realistisch geschätzt und ihre Einhaltung kontrolliert werden. Alle Maßnahmen und Konzepte müssen regelmäßig und vor allem dann überprüft werden, wenn organisatorische oder informationstechnische Neuerungen anstehen. Angesichts des Aufwands könnte mancher – so wie die Ärztin K Min Yi – geneigt sein, auf das ganze Bohei zu verzichten. Was wären aber die Rechtsfolgen falls in Deutschland ähnliches passieren würde?
Die Rechtslage in Deutschland
Die sind nämlich zahlreich – der Anwalt Sebastian Kraska fürchtet zunächst, dass Yi in Deutschland in diesem Fall gegen ihre Informationspflicht verstoßen haben könnte: So wäre sie nach hiesigem Recht verpflichtet, ihre Patienten “unverzüglich” über den Verlust der Patientendaten zu informieren. Tatsächlich hat sie sich damit aber ein dreiviertel Jahr Zeit gelassen. Dafür könnte ein Richter ein Bußgeld bis 300.000 Euro verhängen (Vgl § 43 (2) Nr. 7 BDSG).
Vor allem aber zählen Ärzte zu den “Geheimnisträgern” und müssen mit einem Jahr Haft oder Geldstrafe rechnen, wenn sie unbefugt Geheimnisse “offenbaren”. Ob die Ärztin vor einem Deutschen Gericht um eine Freiheitsstrafe herumgekommen wäre, würde wohl davon abhängen, ob sie überzeugend darlegen könnte, dass sie die vom Gesetzgeber verlangten “technischen und organisatorischen Maßnahmen” getroffen hat. Außerdem käme für den Anwalt eine Untersagungsverfügung sowie Schadenersatz und Unterlassungsansprüche durch die Betroffenen in Betracht. Angesichts der drastischen Sanktionen ist der der Sicherheitsaufwand für die Dienstleister wohl das kleinere Übel.
Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.
