Compliance in der Informationssicherheit (nach ISO 27001)

Compliance spielt für die Informationssicherheit im Unternehmen eine wichtige Rolle. Ziel ist es, Verstöße gegen gesetzliche, regulatorische, vertragliche oder selbstauferlegte Verpflichtungen im Kontext der Informationssicherheit zu vermeiden. Solche Rechtsverstöße können nicht nur empfindliche Strafzahlungen für Unternehmen bedeuten, sondern schlimmstenfalls zu irreversiblen Reputationsschäden führen.

Ein praktikablen Ansatz zur Erreichung von Compliance liefert die Sicherheitsnorm ISO 27001 in Annex A, Kapitel 18. Wir erklären Ihnen die wichtigsten Aspekte und zeigen einen praktischen Zugang für die Umsetzung in Ihrem Unternehmen.

Erfassung der Anforderungen in einem Rechtskataster

Keine Compliance ohne Rechtskataster! Zunächst müssen Unternehmen alle für sie relevanten Anforderungen aus Gesetz, Vertrag und unternehmensinternen Regelungen identifizieren. Verschiedene Informationssysteme erfordern unter Umständen andere Anforderungen. Oft spielen im Bereich der Informationssicherheit Anforderungen, die sich unmittelbar aus dem Gesetz ergeben (etwa Datenschutzrecht, Geschäftsgeheimnisgesetz oder Arbeitsrecht), oder aber vertragliche Vorgaben, die sich zum Beispiel aus Geheimhaltungsverpflichtungen ergeben, eine übergeordnete Rolle.

Hierneben wird es in jedem Unternehmen bestimmte Transparenzverpflichtungen geben, sei es für die ordentliche Buchführung oder für weitreichendere Anforderungen aus dem Finanzsektor.

Für international tätige Unternehmen ist darüber hinaus die Identifizierung auch internationaler Compliance-Anforderungen essenziell. Welche Einzelheiten in einem Rechtskataster aufgenommen werden müssen, ist nicht vorgegeben. Ein Ausschnitt eines möglichen Rechtskatasters kann so aussehen:

Datenschutz Telekommunikation
Gesetz der entsprechenden Anforderung Datenschutzgrundverordnung, Bundesdatenschutzgesetz, Telekommunikationsgesetz Telekommunikationsgesetz
Vertrag der entsprechenden Anforderung Arbeitsvertrag, Geheimhaltungsvereinbarung, Verpflichtungserklärung, Auftragsverarbeitungsvertrag Arbeitsvertrag, Verpflichtung Fernmeldegeheimnis
Kürzel DSGVO, BDSG, TMG TKG
Paragraph / Absatz Art. 5, 24, 32 DSGVO § 88 TKG
Relevanter Inhalt / Regelungsschwerpunkt Gewährleistung Schutzziele Verfügbbarkeit, Vertraulichkeit und Widerherstellbarkeit Wahrung des Fernmeldegeheimnisse
zu berücksichtigen bei Verarbeitung personenbezogener Daten Zugang Inhalt Telekommunikation
Verantwortlich
Zielgruppe der Maßnahme / interessierte Partei Mitarbeiter, Geschäftsleistung, Aufsichtsbehörden, Lieferanten Mitarbeiter, Geschäftsleitung, Aufsichtsbehörde, Lieferanten

Umsetzung der Compliance-Anforderungen

Sind die einschlägigen Anforderungen identifiziert, müssen Regelungen her. Alle Adressaten der Vorgaben müssen die sie betreffenden Vorgaben kennen und einhalten. Beispielsweise sind vertragliche Zusagen, die gegenüber Geschäftspartnern gemacht werden, an die Mitarbeiter weiterzugeben.

Neben internen Leitlinien, die den groben Umgang festlegen, wird es ebenfalls notwendig sein, konkrete Pflichten zu regeln. Diese können sowohl in einer aktiven Handlung als auch in einem Unterlassen bestehen. In der Praxis wird neben internen Unternehmensregeln auch das Bedürfnis bestehen, Regelungen im Arbeitsvertrag oder mittels Verpflichtungserklärungen aufzustellen. Worauf jeweils zurückgegriffen wird, hängt auch mit den beabsichtigten Rechtsfolgen zusammen, die man an einen Verstoß knüpft.

Compliance-Anforderungen der ISO 27001

Unternehmen, die ein Managementsystem nach ISO 27001 im Unternehmen etabliert haben oder etablieren wollen, haben oft im engeren oder weiteren Sinne geschäftsmäßig mit Softwareprodukten zu tun. Unabhängig davon, ob sie Software selbst entwickeln oder verwenden, ergeben sich hieraus spezielle Anforderungen an den Schutz der geistigen Eigentumsrechte wie dem Urheberrecht.

Eine entsprechende Richtlinie hilft, die legale Nutzung von Software- und Informationsprodukten zu gewährleisten. Ein solches Dokument enthält hierbei nicht nur den Umgang mit ideellen Werten, sondern auch disziplinarische Konsequenzen für die Mitarbeiter. Um die rechtlichen Vorgaben entsprechend im Unternehmen kommunizieren zu können, bedarf es einer Auseinandersetzung unter anderem mit Lizenzvereinbarungen, Quellcode-Nutzung und kommerzieller Nutzung urheberrechtlich geschützter Software.

Regulatorische Anforderungen im Bereich der Informationssicherheit ergeben sich insbesondere auch aus dem Schutz von Aufzeichnungen. Neben den datenschutzrechtlichen Verpflichtungen setzt auch das Gesetz zum Schutz von Geschäftsgeheimnissen entsprechende Schutzanforderungen an den Umgang mit Aufzeichnungen. Diese durch ein Informationssicherheits-Management nach ISO 27001 zu schützen, hat viele Vorteile.

Geschützt werden sollen Aufzeichnungen vor Verlust, Zerstörung, Fälschung, Veränderung, unbefugtem Zugriff oder unbefugter Veröffentlichung. Klassisches Beispiel wären die Vorgaben aus Art. 32 Datenschutz-Grundverordnung (DSGVO), wonach das verantwortliche Unternehmen technische und organisatorische Maßnahmen treffen muss, um die datenschutzrechtlichen Grundprinzipien wie Verfügbarkeit, Integrität und Vertraulichkeit gewährleisten zu können.

Doch wie setzen Sie das in die Praxis um? Die im Unternehmen für Aufzeichnungen eingesetzten Speichermedien sollten entsprechend ihrer Verwendung kategorisiert und ausgewählt werden. Hierzu müssen im Vorfeld Fragen eruiert werden. Beispielsweise ob die Möglichkeit einer Verschlechterung der Datenträgerqualität für den festgelegten Zeitraum der Aufbewahrung möglich ist, die Kapazität ausreicht und oder eine Applikation kryptografische Maßnahmen via Design ermöglicht, um die Aufzeichnungen angemessen zu schützen.

Eine der Compliance immanente Frage ist die nach einer entsprechenden Vernichtung bzw. Löschung. Sie sollte stets am Beginn der Auseinandersetzung stehen. Denn sollte das Unternehmen erst im Nachgang feststellen, dass beispielsweise eine Löschung einzelner Datensätze softwareseitig nur manuell oder gar nicht erfolgen kann, rückt eine praktikable Lösung in weite Ferne. Um dies zu umgehen, verlagert man diese Fragen im Zuge eines Anforderungsmanagements in den Auswahlprozess vor. Zur Umsetzung empfiehlt es sich, identifizierte Compliance-Anforderungen bereits bei Anschaffung mit zu beachten. Oft helfen hierbei aufgestellte Leitfäden, die mithilfe der Herstellerinformationen für die Aufbewahrung, Lagerung, Handhabung und Entsorgung ausgearbeitet werden können.

Während die Informationssicherheit perspektivisch den Schutz von Unternehmenswerten im Blick hat, beschäftigt sich der Datenschutz mit den Rechten der Betroffenen, soll also Persönlichkeitsrechte schützen. Dieser Schutz, zum Beispiel vor Offenlegung sensibler Informationen die Privatsphäre betreffend, wird zunehmend technisch, zum Beispiel durch Verschlüsselung, realisiert. Hier lassen sich Brücken zur Informationssicherheit schlagen und Synergien nutzen.

Sobald zu schützende Informationen personalisierbar sind, bedarf es auch der Einhaltung datenschutzrechtlicher Anforderungen. Sie spielen demnach für die Compliance eine erhebliche Rolle. Erfahrungsgemäß wird ein Großteil der ISO-27001-Compliance-Vorgaben also immer auch den Datenschutz zum Gegenstand haben. Erfüllt ein Unternehmen die Datenschutzanforderungen, erfüllt es gleichzeitig auch einen Großteil der ISO-27001-Anforderungen aus dem Kapitel 18.

Für größere Unternehmen sollte hierfür ein eigenes Datenschutz-Managementsystem umgesetzt werden. Baut man dieses ebenfalls nach dem ISO-Leitfaden für Compliance-Managementsysteme (ISO 19600) auf, lassen sich die beiden Systeme gut im Rahmen eines integrierten Managementsystems vereinen und Redundanzen vermeiden.

Regulatorische Anforderungen sind ohne Kryptografie nicht mehr einzuhalten. Auch in Hinblick auf technische Maßnahmen zur rechtskonformen Verarbeitung personenbezogener Daten (Stichwort: Vertraulichkeit) ist Verschlüsselung das Mittel der Wahl. Aber auch die sichere Übertragung von wertvollen betrieblichen Informationen, die sich zum Beispiel aus vertraglichen Anforderungen gegenüber Lieferanten ergeben, kann mit Verschlüsselungstechnologie begegnet werden.

Um einen gesteuerten Einsatz und bedarfsgerechten Umgang mit kryptografischen Maßnahmen zu gewährleisten, sollte ein Kryptografiekonzept in jedem Unternehmen Standard sein. Beugen Sie im Unternehmen Compliance-Verstößen vor, indem Sie technische Maßnahmen erzwingen. Sind beispielweise die Festplatten aller Clients der Mitarbeiter bei Nichtnutzung verschlüsselt, brauchen Sie sich bei Verlust selbiger nur mit vorhandenen Redundanzen herumschlagen, nicht aber mit einem Datenschutzverstoß. Zudem brauchen Unternehmen für alle Schutzmaßnahmen, die technisch realisiert werden können, keine organisatorischen Vorgaben mehr treffen.

Fazit: Mehr Compliance durch die ISO 27001

Setzt ein Unternehmen auf eine Zertifizierung nach ISO 27001, kommt es an der Auseinandersetzung mit Compliance nicht vorbei. Hier zeigt sich, dass solche Unternehmen im Gegensatz zu anderen in Sachen Compliance nicht blank sind. Denn die Identifizierung von rechtlichen und vertraglichen Vorgaben im Bereich Informationssicherheit geht immer mit Synergien zugunsten einer allgemein höheren Rechtskonformität einher.

Hat ein Unternehmen bisher nur auf den Standard ISO 27001 gesetzt, sind beispielsweise Datenschutzanforderungen nicht gänzlich unbekannt. Maßnahmen zu Verfügbarkeit, Integrität und Vertraulichkeit sind meist hinreichend getroffen. Andersherum wird man auch aus einem etablierten Datenschutzmanagementsystem heraus leichter zur ISO-27001-Compliance kommen als wenn man komplettes Neuland betritt.

Wo Sie derzeit auch stehen, nutzen Sie diesen Vorteil und schützen Sie Ihre organisationseigenen Werte mit Hilfe der dargestellten Compliance-Vorgaben!

Sie wollen Ihr Unternehmen nach ISO 27001 zertifizieren lassen? Dann bestellen Sie jetzt einen unserer Experten als externen Informationssicherheitsbeauftragten! Wir führen Sie bis zum erfolgreichen Audit.

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.