Für viele Unternehmen steht die Datenschutz-Grundverordnung (DSGVO / GDPR) weit oben auf der Agenda. So wichtig und drängend die neue EU-Datenschutzverordnung auch ist, es sollte nicht vergessen werden, dass es weitere externe und interne Anforderungen an die IT-Sicherheit des Unternehmens gibt, die ebenfalls zu erfüllen sind.
Dieser Umstand sollte nicht als zusätzliche Belastung gesehen werden, sondern als Chance, so der Datenschutzkoordinator von Bechtle. Die gegenwärtig laufenden Projekte zur Umstellung auf die Datenschutz-Grundverordnung können zu Synergien führen, wenn das Unternehmen den richtigen Ansatz bei der Anpassung des IT-Sicherheitskonzeptes wählt.
DSGVO mit anderen Compliance-Forderungen abgleichen
Abhängig von der Branche und der individuellen vertraglichen Verpflichtungen unterliegt jedes Unternehmen neben der DSGVO weiteren Anforderungen, zum Beispiel KRITIS bei Betreibern kritischer Infrastrukturen, PSD2 im Zahlungsverkehrsmarkt oder GMP (Good Manufacturing Practice) in der Pharmazeutischen Industrie. Jeder dieser Standards und Compliance-Regelwerke enthält Vorgaben zur IT-Sicherheit. Anstatt nun Standard für Standard zu bearbeiten und die IT-Sicherheitsvorgaben getrennt voneinander anzugehen, empfiehlt es sich, die IT-Sicherheitsanforderungen der verschiedenen Standards miteinander abzugleichen.
Achtung: Gleiche Anforderungen haben verschiedene Bezeichnungen
Wie die Erfahrung des Bechtle-Datenschutzkoordinators zeigt, muss zuerst eine gemeinsame Begrifflichkeit für die Anforderungen gefunden werden, um Übereinstimmungen und mögliche Synergien zu erkennen. Dafür ist es hilfreich, einen erfahrenen Moderator zu haben, der die verschiedenen Branchen und Standards kennt, die Bezeichnungen fachlich übersetzen und so die Überlappungen zwischen den Anforderungen sichtbar machen kann.
Das Resultat des Abgleichs und damit die Summe der IT-Sicherheitsanforderungen finden dann Eingang in eine IT-Sicherheitsleitlinie, die das oberste Dokument für die Organisation der IT-Sicherheit darstellt. Alle weiteren IT-Sicherheitsrichtlinien beziehen sich auf diese Leitlinie und werden daraus abgeleitet.
Wichtig: Die jeweils höchste Sicherheitsanforderung zählt
Wenn zum Beispiel ein Standard eine Zugangskontrolle fordert und ein anderer eine starke Zugangskontrolle mittels Zwei-Faktor-Authentifizierung verlangt, dann wird in der Sicherheitsleitlinie die höhere Sicherheitsanforderung festgeschrieben. Dadurch wird die schärfere Anforderung genauso erfüllt wie die normale. Durch diese Konsolidierung lassen sich Widersprüche in den Sicherheitsrichtlinien vermeiden.
Der Weg zur einheitlichen Sicherheitsleitlinie
Zusammenfassend empfehlen sich folgende Schritte:
Externe und interne Anforderungen sammeln: Alle IT-Sicherheitsanforderungen aus den für das Unternehmen relevanten Standards, Regelwerken und Verträgen werden in eine Übersicht eingetragen.
Übersetzung und Abgleich der Anforderungen: Erfahrene Moderatoren bringen Transparenz in die verschiedenen Bezeichnungen für gleiche Anforderungen und sorgen für den Abgleich, wodurch Synergien entstehen und Mehrfachaufwände sowie Missverständnisse vermieden werden.
Ist-Zustand ermitteln und Anpassungsbedarf bestimmen: Alle gesammelten Anforderungen fließen in die zentrale Sicherheitsleitlinie des Unternehmens. Der aktuelle Stand der Umsetzung wird bestimmt, weiterer Bedarf an Anpassung ermittelt.
Gesamtprojekt zusammen mit DSGVO durchführen: Die Anpassung der IT-Sicherheit zur Einhaltung aller externen und internen Compliance-Forderungen sorgt für die Umsetzung der IT-Sicherheit nach DSGVO und gleichzeitig für die Umsetzung aller weiteren IT-Sicherheitsanforderungen. Lücken im IT-Sicherheitskonzept werden ebenso verhindert wie Widersprüche darin, die durch die verschiedenen Standards entstehen können.
Dieses Vorgehen macht aus dem DSGVO-Projekt ein umfassendes Compliance-Projekt, das sich durch die Synergien weitaus leichter stemmen lässt als viele, teils widersprüchliche Einzelprojekte.