Die DSGVO kann kommen – unser Weg zur ISO-Zertifizierung
Anfang 2014 wurde unsere Homepage gehackt. Unsere Anwendungen haben wir schon immer turnusmäßig Penetrationstests unterzogen, mit der Webseite hatte jedoch niemand gerechnet. Ein eingeschleuster Trojaner wurde erkannt und eliminiert. Wir waren aufgerüttelt. Die Richtung war nun klar: Über eine geordnete, standardisierte und strategische Herangehensweise sollten die Themen „Datenschutz und Datensicherheit“ gründlich und fundiert angegangen werden. Eine Zertifizierung nach der ISO/IEC 27001 war unser Leitbild. Wir haben unsere Prozessabläufe sämtlich dokumentiert und einen sehr großen Raum dabei den Themen „Notfall- und Business Continuity Management“ gegeben. So ist ein umfangreiches Informations-Sicherheits-Management-System (ISMS) entstanden. Dass es jedoch ein so langer Weg sein würde, hatten wir nicht gedacht. Und dass er durch die jetzt neue EU-Datenschutz-Grundverordnung (DSGVO) neue Bedeutung bekommt, ebenfalls nicht.
- Startschuss in ein ambitioniertes Projekt
- Der Aha-Effekt und unser ISMS
- Auditierung – Ärmel hoch
- Der Wehmutstropfen
- … und nun eine DSGVO-konforme Zertifizierung?
Startschuss in ein ambitioniertes Projekt
Die umfangreiche BSI-Grundschutzdokumentationen des Bundesamtes für Sicherheit in der Informationstechnik bot einen guten Einstieg. Glücksfall war, dass unser externer Datenschutzbeauftragte von DEUDAT zugleich auch Auditor zur ISO/IEC 27001 war und uns von Anfang an begleitet hat. Doch bei aller Unterstützung mussten wir feststellen, dass es leider kein „Kochbuch“ für die Einführung dieser Norm gab. Zu unserer Enttäuschung war die Norm sehr formalistisch.
Wir hätten es uns zwar einfach machen können, jedoch wollten wir weit mehr, wie die Norm vorgab. Viele Unternehmen steigen mit einem kleineren, begrenzten Geltungsbereich ein und erweitern ihn dann gegebenenfalls Schritt für Schritt. Für uns war jedoch von vornherein klar, dass die Zertifizierung nach der ISO/IEC 27001 für das gesamte Unternehmen gelten musste: Angefangen von der Produktplanung über den Entwicklungs- und Qualitätssicherungsprozess bis hin zum sicheren Betrieb der Cloud-basierten Lösungen im Rechenzentrum – also alles in allem ein ambitioniertes Projekt.
Der Aha-Effekt und unser ISMS
Der Aufbau unseres ISMS (Informations-Sicherheits-Management-System) war ein Schlüssel zum Erfolg. Dieses hatten wir in unser Dokumentenmanagementsystem implementiert und uns bei der Strukturierung an die Norm-Kapitel gehalten. Nun fehlte das Leben darin. Wie fangen wir es an? Wir studierten die BSI-Grundschutzdokumentationen – alles richtig dargestellt, nur sehr theoretisch. Wir führten mit verschiedenen Dienstleistern und Beratern mit unseren Fachabteilungen diverse Workshops durch. Das „Aha-Erlebnis“ ergab sich dann aber erst, als wir alle BSI-Grundschutzunterlagen zur Seite legten und uns selbst auf unsere Business Impacts besannen und uns damit auseinandersetzten. Der Business-Continuity-Prozess (oder weniger üblich „Betriebliches Kontinuitätsmanagement“) analysiert geschäftskritische Funktionen und identifiziert und quantifiziert die Auswirkungen, die ein Verlust dieser Funktionen für die Organisation haben würde.
Wir haben unser gesamtes Unternehmen durchleuchtet, jeden Geschäftsprozess untersucht, um festzustellen, welche Risiken bestanden und welche Auswirkung das Eintreffen auf unser Unternehmen hat. Damit war der Grundstein gelegt, die Herangehensweise klar. Es war sehr viel Aufwand, jedoch setzte sich das Puzzle Tag für Tag mehr zusammen, das spornte uns alle an, weil wir wussten: Wir sind auf dem richtigen Weg.
Bis dahin hatten wir fast 1 Jahr benötigt und es war Frühjahr 2015.
Auditierung – Ärmel hoch
Die Auditierung, so hatten wir es seit Langem festgelegt, sollte im 4. Quartal 2015 erfolgen. Wir hatten noch ein gutes Pensum vor Augen. An dem Ziel hatte sich jedoch nichts geändert, wir wollten die ISO/IEC 27001 in der aktuellen Fassung 2013 mit dem Geltungsbereich für das gesamte Unternehmen. Die ISO-Zertifizierung war für uns immer das Mittel zum Zweck, niemals Selbstzweck und der Anlass einer Selbstdarstellung. Unser Ansporn war immer der Lerneffekt und die stete Verbesserung.
Es war nun einiges an Dokumentationsaufwand zu erledigen und zudem musste sich jede Fachabteilung damit inhaltlich auseinandersetzen. So entstanden Richtlinien und Leitlinien, Konzepte, Verfahrens- und Arbeitsanweisungen. Eine IT-Dienstleister-Richtlinie rundete die Sache für fremdvergebene Leistungen ab.
Im November 2015 war es dann soweit. Für die Auditierung waren mehrere Tage vorgesehen. Durchgeführt wurde der Audit von einem Sachverständigen für Informationstechnologie von der TÜV Saarland Gruppe. Die ISO-Regelwerke sehen turnusmäßig einen jährlichen Überwachungsaudit vor, der im dritten Jahr nach der Erstzertifizierung in eine (umfangreichere) Re-Auditierung mündet. Unser 1. Überwachungsaudit fand entsprechend im November 2016 statt. Der Auditor stellte in seinem Bericht fest, dass die thematische Durchdringung der Norm und das Engagement aller handelnden Personen auf einem bemerkenswert hohem Niveau waren. Den 2. Überwachungsaudit haben wir im Oktober 2017 durchlaufen – erneut ohne Einwände. Sicher wäre es übertrieben, von einem Selbstläufer zu sprechen. Aber nun sehen wir, dass sich der Anfangskraftakt gelohnt hat.
Der Wehmutstropfen
Unsere Initiative alles regeln, vorsorgen und steuern zu wollen, fand überraschenderweise nicht die Resonanz, mit der wir gerechnet haben. Wir mussten feststellen, dass wir einen Teil unserer Kunden und auch Dienstleister abgehängt hatten. Die waren und sind zum großen Teil leider noch gar nicht soweit. Es fehlt an der Sensibilisierung auf dem Markt, so dass die Anbieter von Cloud-basierten Lösungen bislang nicht wirklich gefordert werden.
- Für viele ist Datenschutz und Datensicherheit eine Sache der Technik. Das sehen wir anders. In erster Linie ist die Organisation betroffen. Denn nur über die Organisation können die Business Impacts überhaupt analysiert und die strategischen Aufgaben und Anforderungen vorgegeben werden.
- Ein Zertifikat nach ISO 27001 ist nicht gleich Zertifikat nach ISO 27001. Denn die Statuten stellen es grundsätzlich frei, welcher Geltungsbereich für die Zertifizierung gewählt wird. Auch wer lediglich z. B. den Bereich der Hardware der Zertifizierung unterwirft, erhält das gleiche Siegel wie das Unternehmen mit dem größtmöglichen Scope. Aufschluss, was sich genau dahinter verbirgt, gibt nur ein genauer Blick auf den tatsächlichen Geltungsbereich.
- Bei der mittlerweile breiten Vielzahl an Zertifikaten im Bereich IT-Sicherheit fällt der Überblick und die Einschätzung der Relevanz nicht leicht. Der TÜV selber bringt eigene – zum Teil viel werbewirksamere – Siegel auf den Markt, die in unterschiedlichen Schwerpunkten Teile des Kriterienkataloges der ISO 27001 wie auch des BSI IT-Grundschutz beinhalten.
… und nun eine DSGVO-konforme Zertifizierung?
Auf Anfrage beim Hessischen Datenschutzbeauftragten wurde uns mitgeteilt, dass es derzeit noch keine akkreditierten Zertifizierungsstellen i.S.d. Art. 43 DS-GVO gibt. „Die Datenschutzkonferenz und die Deutsche Akkreditierungsstelle GmbH arbeiten mit Hochdruck an der Umsetzung der Voraussetzungen aus der DS-GVO und § 39 BDSG-neu“, heißt es in der E-Mail vom 15. Februar 2018. Die Deutsche Akkreditierungsstelle DAkks meldet am 10. April 2018, dass es vor dem 25. Mai 2018 keine Zertifikate gibt, die eine Konformität mit den Anforderungen der EU-DSGVO bestätigen.
Einen offiziellen Nachweis, dass die DSGVO eingehalten wird, gibt es also (noch) nicht. Die ISO-Zertifizierung ist aber ein guter Rahmen, um die Anforderungen nach DSGVO zu erfüllen. Mit unserem ISMS nach ISO 27001 haben wir jedoch bereits Datenschutz und IT-Security auf sichere Beine gestellt, das noch auf die personenbezogenen Daten ausgeweitet wurde.
