Vergleich von ISO/IEC 27001 und BSI-Grundschutz

Sowohl die internationale Norm ISO/IEC 27001 (nativ) als auch die deutsche ISO 27001 auf Basis IT-Grundschutz (BSI-Grundschutz) erlauben die Beurteilung und ggf. Zertifizierung eines Informationssicherheits-Managementsystems (ISMS). Beide Normen zur Informationssicherheit haben größere inhaltliche Schnittmengen, unterscheiden sich jedoch in der Methodik.

Gemeinsamkeiten von ISO/IEC 27001 (nativ) und ISO 27001 auf Basis IT-Grundschutz

Erwartet werden von Unternehmen jeweils geplante, dokumentierte und funktionierende Prozesse, die es erlauben, die Informationssicherheit aufzubauen, zu kontrollieren und laufend zu verbessern. Sind die Voraussetzungen erfüllt und nach Prüfung durch einen Auditor gegenüber der Zertifizierungsstelle bestätigt, kann ein offizielles Zertifikat ausgestellt werden. Diese Zertifikate haben grundsätzlich eine Gültigkeit von drei Jahren bevor sie erneuert werden müssen. Während der Gültigkeitsdauer erfolgen jährliche Überwachungsaudits.

Unterschiede von ISO IEC 27001 und BSI-Grundschutz

Der wesentliche Unterschied beider Normen für Informationssicherheit liegt darin, wie sie formal aufgebaut sind bzw. wie eine Zertifizierung erreicht werden kann.

ISO/IEC27001

Die ISO/IEC27001 konzentriert sich auf den Informationssicherheits-Prozess an sich. Die relevanten Regelungen sind mit nicht einmal 50 Seiten Text eher knapp. Entscheidend ist es für das Unternehmen, selbst geeignete Verfahren und Maßnahmen zu finden und umzusetzen, um die identifizierten und analysierten Risiken auf ein akzeptables Niveau zu senken. Die Norm gibt hierfür 114 Maßnahmen vor, die allerdings eher allgemein gehalten sind.

Das Vorgehen bietet damit zwar größeren Spielraum bei der Erreichung eines den eigenen Bedürfnissen tatsächlich angemessenen Schutzniveaus. Gefordert ist aber, die recht abstrakten Vorgaben der Norm selbst im Detail auszuarbeiten und mit angemessenem Inhalt zu füllen. Zentral ist die ausführliche Analyse der Risiken und deren Behandlung. Der hierfür erforderliche Aufwand und Ressourcenbedarf ist erheblich.

BSI-Grundschutz

Die ISO 27001 auf Basis IT-Grundschutz betrachtet die Informationssicherheits-Prozesse selbstverständlich auch, jedoch werden in den mehrere tausend Seiten starken Grundschutz-Katalogen typische Gefährdungen bereits bewertet und eine Vielzahl konkreter Maßnahmen empfohlen, um diesen angemessen entgegenzuwirken, solange ein „normaler“ Schutzbedarf nicht überschritten wird. Lediglich soweit es um Bereiche geht, in denen höherer Schutzbedarf besteht, wird noch eine eigene Analyse von Gefährdungen und Risiken und die Auseinandersetzung mit zusätzlichen oder anderen Schutzmaßnahmen erwartet.

In der Vorgabe bereits definierter Maßnahmen liegt Einsparungspotential, entfällt doch der Zwang zur vollumfänglichen Risikoanalyse und der Entwicklung eigener Maßnahmen. Durch die Schematisierung der Vorgehensweise werden Fehler bei der Umsetzung vermieden. Zudem wird eine objektive Vergleichbarkeit des tatsächlich erreichten Sicherheitsniveaus erreicht. Der gesamte Umfang an zu prüfenden Fragestellungen ist jedoch deutlich höher als bei der ISO 27001 nativ.

Überblick: Unterschiede ISO/IEC27001 vs. BSI-Grundschutz

ISO/IEC 27001

  • Relevante Normen weniger als 50 Seiten

  • Generischer Ansatz

  • Abstrakte Rahmenbedingungen

  • Vollständige Risikoanalyse nötig

ISO 27001 auf Basis IT-Grundschutz

  • GS-Kataloge mehr als 4000 Seiten

  • Maßnahmenorientierter Ansatz

  • Konkrete Vorgaben

  • Risikoanalyse nur bei erhöhtem Schutzbedarf

Bestellen Sie jetzt einen unserer Experten als externen Informationssicherheitsbeauftragten für Ihr Unternehmen und profitieren von Datensicherheit zum Flatratepreis!

Überprüfung von Website-Verschlüsselung in Bayern?

Unternehmen mit Sitz in Bayern, die eine Website betreiben, könnte kurzfristig eine Überprüfung des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) ins Haus stehen. Konkretes Prüfinteresse der Datenschützer ist dieses Mal die Verschlüsselung von Websites. Auf welche Fragen Unternehmen sich vorbereiten sollten und was die technischen Hintergründe sind, erklärt unser Beitrag.

Prüffragen: Was könnte die Datenschutzbehörde wissen wollen?

Wie die activeMind AG erfuhr, könnten in etwa folgende Fragen an bayerische Unternehmen mit einer Website gestellt werden. Wenn Sie auf die jeweilige Frage klicken, erhalten Sie in aller gebotenen Kürze einige wichtige Hintergrundinformationen:

Wenn auf einer Website personenbezogene Daten übermittelt werden können, etwa durch ein Kontaktformular, eine Newsletter-Anmeldung oder eine Online-Bewerbung, muss die Übertragung der Daten verschlüsselt werden. Ein gültiges und funktionierendes SSL-Zertifikat ist Pflicht. Oder noch einfacher ausgedrückt: In der Adresszeile muss ein „https“ auftauchen!

Wird die Website im Webbrowser des Nutzers auf diese Weise verschlüsselt ausgegeben, werden auch alle Daten, die vom Webbrowser an den Server zurückgeschickt werden, verschlüsselt  – also datenschutzkonform – übertragen.

SSL 2.0 und SSL 3.0 sind Versionen der Transportverschlüsselung (Transport Layer Security). Bis zum Jahr 1999 hieß dies noch SSL (Secure Sockets Layer). SSL 2.0 stammt aus 1995 und SSL 3.0 aus 1996 und wurde von Netscape entwickelt. Beide Versionen werden nicht mehr unterstützt. Die aktuelle Version heißt TLS 1.2.

TLS 1.2 ist die aktuelle Version der Transportverschlüsselung (Transport Layer Security).

Hierbei handelt es sich um die Stärke des Schlüssels. 2048 Bit sind die Mindestvoraussetzung, weil der Einsatz von 1024 Bit-Schlüsseln als nicht mehr sicher gilt.

SSL-Zertifikate werden von Zertifizierungsstellen herausgegeben. Damit diese die Echtheit bzw. Vertrauenswürdigkeit einer Quelle bestätigen (d. h. zertifizieren) können, müssen sie selbst Vertrauen „genießen“. Dieses erwerben sie, indem sie die Anforderungen von Betriebssystemen, Browsern oder auch Herstellern mobiler Endgeräte erfüllen und in deren Programme aufgenommen werden. Je länger eine Zertifizierungsstelle schon am Markt ist, desto mehr Browser und Geräte akzeptieren die von der Stelle ausgestellten Zertifikate. Besondere Herausforderung für die Zertifizierungsstelle ist eine umfassende Abwärtskompatibilität zu älteren Browsern etc.

PFS (Perfect Forward Secrecy oder Forward Secrecy) ist ein Schlüsselaustauschprotokoll, welches unter anderem die Rekonstruktion eines Schlüssels durch Unbefugte verhindern soll. Unter Verwendung von PFS steigt die Sicherheit des Schlüsselaustauschverfahrens, da hierbei sogennante Man-in-the-middle-Attacken nicht möglich sind und der Sitzungsschlüssel nach der Sitzung gelöscht wird.

RC4 ist eine Art der Verschlüsselung innerhalb von TLS – diese ist aber seit 2015 als offiziell unsicher eingestuft und darf nicht mehr verwendet werden.

SHA-1 ist ein Hashing-Verfahren, welches auch nicht mehr als sicher gilt, da es relativ leicht durch eine  Brute-Force-Attacke zurückgerechnet werden kann.

Bei Heartbleed handelt es sich um einen 2011 gefundenen Fehler in der SSL-Verschlüsselungstechnologie. Software, die diesbezüglich noch anfällig ist, darf nicht mehr eingesetzt werden. Durch diese sogenannten Heartbleed-Schwachstelle ist es möglich, bestimmte Speicherbereiche des Servers auszulesen, die möglicherweise geheimes Schlüsselmaterial enthalten.

HTTP Strict Transport Security (HSTS) zwingt den Webbrowser dazu, Verbindungen ausschließlich über verschlüsselte Verbindungen herzustellen. Selbst der Klick auf einen http-Link wird autormatisch auf https umgeleitet. Dies setzt natürlich voraus, dass ein gültiges SSL-Zertifikat installiert ist und dass der Webbrowser die HSTS-Technologie beherrscht.

Was Unternehmen jetzt für Ihre Website-Sicherheit tun sollten

Unternehmen sind gut beraten, den möglicher Weise bald eintreffenden Fragebogen des BayLDA von Ihrer IT-Abteilung jetzt schon überprüfen zu lassen.

Mithilfe des folgenden kostenlosen Online-Tests ist es zudem möglich, die SSL-Zertifikatskette von Webseiten zu überprüfen: https://www.ssllabs.com/ssltest/

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Rechtskonforme Löschung der Daten von Mietinteressenten

Wer eine Wohnung oder Immobilie mieten möchte, muss nach der Besichtigung in aller Regel eine Selbstauskunft bei der Hausverwaltung bzw. dem Makler einreichen. Diese Selbstauskunft enthält zahlreiche personenbezogene Daten, wodurch das Datenschutzrecht anzuwenden ist. Nachdem der Vermieter einen passenden Bewerber ausgewählt hat, stellt sich die Frage, wie mit den Daten der abgelehnten Mietinteressenten umzugehen ist. Hierbei können sich Datenschutz und andere Vorschriften widersprechen. Zumindest ein Weg ist jedoch juristisch zu empfehlen.

Datenschutz-Löschpflichten bei Mietinteressenten

Grundsätzlich gilt für den Umgang mit personenbezogenen Daten, dass diese zu löschen sind, sobald keine Rechtsgrundlage für deren Nutzung mehr besteht. Das ist regelmäßig der Fall, wenn der im Zeitpunkt ihrer Erhebung festgelegte Zweck nicht mehr gegeben ist, erreicht wurde oder nicht mehr erreicht werden kann.

Konkret bedeutet dies für den Umgang mit Mietinteressenten, dass deren Daten unter dem Gesichtspunkt des Datenschutzes zu löschen sind, sobald den Interessenten eine Absage erteilt wurde und auch kein nachweisbares Interesse an der Anmietung an einer anderen Wohnung besteht.

Dieser Grundsatz gilt aber nur dann, wenn keine Pflicht zur Aufbewahrung entgegensteht.

Aufbewahrungspflichten aus anderen Gesetzen

Eine Pflicht zur Aufbewahrung von Daten kann sich insbesondere aus dem Allgemeinen Gleichbehandlungsgesetz (AGG) ergeben. Zunächst gilt, dass nach § 2 Abs. 1 Nr. 8 AGG das Verbot der Diskriminierung auch für die Vergabe von Wohnraum greift. Das Gesetz schreibt hierzu:

„Benachteiligungen aus einem in § 1 genannten Grund sind nach Maßgabe dieses Gesetzes unzulässig in Bezug auf den Zugang zu und die Versorgung mit Gütern und Dienstleistungen, die der Öffentlichkeit zur Verfügung stehen, einschließlich von Wohnraum.“

Mietinteressenten dürfen demnach nicht nach folgenden Gesichtspunkten benachteiligt werden:

  • Rasse
  • ethnische Herkunft
  • Geschlecht
  • Religion oder Weltanschauung
  • Behinderung
  • Alter
  • sexuelle Identität.

Geschieht dies doch, können abgelehnte Mietbewerber unter anderem Schadensersatz verlangen. Dies richtet sich nach der Vorschrift des § 21 AGG. Darin enthalten ist auch eine Frist für die Geltendmachung von Ansprüchen durch die Mietinteressenten. Demnach muss ein Anspruch innerhalb von zwei Monaten geltend gemacht werden (§ 21 Abs. 5 AGG).

Um sich als Vermieter angemessen gegen solche Ansprüche verteidigen zu können, ist es gestattet, die Unterlagen von abgelehnten Mietinteressenten für einen Zeitraum von 3 Monaten aufzubewahren. So kann nachgewiesen werden, dass keine Benachteiligung nach obigen Gesichtspunkten stattgefunden hat.

Allerdings kann sich auch eine längere Frist von 3 Jahren für Ansprüche von Mietinteressenten ergeben. Dies ergibt sich aus § 21 Abs. 3 AGG, welcher auf Ansprüche aus unerlaubter Handlung verweist. Ein Beispiel wäre, wenn ein Mietinteressent behauptet, er wäre (bei der Besichtigung) beleidigt worden. Ansprüche hieraus könnte er noch innerhalb von 3 Jahren geltend machen, da sie erst dann verjähren. Dies ist aber nicht der Regelfall, weswegen eine grundsätzliche Speicherung der Daten von Mietinteressenten für 3 Jahre nicht zulässig sein dürfte.

Fazit: Saubere Dokumentation und rechtzeitige Löschung

Da davon auszugehen sein dürfte, dass die Mehrzahl von Wohnungsbesichtigungen reibungslos abläuft, kann folgendes Vorgehen juristisch empfohlen werden:

  1. Vermieter bzw. deren Verwalter sollten auf der Selbstauskunft des Interessenten die jeweiligen Ablehnungsgründe dokumentieren.
  2. Die Unterlagen von allen Mietinteressenten werden 3 Monate lang aufbewahrt – gerechnet ab dem Zeitpunkt der Ablehnung des Interessenten.
  3. Anschließend erfolgt die (im besten Fall dokumentierte) Vernichtung der Selbstauskünfte, wenn keiner der Interessenten Ansprüche nach dem AGG geltend gemacht hat.

Kommt es mit einem Mietinteressenten doch einmal zu Streitigkeiten oder Unregelmäßigkeiten, sollten Vermieter die im Haus bzw. Mietobjekt anwesenden Personen ansprechen und bitten, sich Notizen zu diesem Vorfall zu machen. Auf diesem Wege lägen für einen möglichen Prozess (z. B. wegen Beleidigung) Beweismittel bzw. Zeugenaussagen vor.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!