In diesem Artikel möchten wir die unterschiedlichen Zertifizierungen in der Informationssicherheit und nach der Datenschutz-Grundverordnung (DSGVO) kurz vorstellen und vergleichen. Bei der Zertifizierung eines Informationssicherheits-Managementsystem (ISMS) haben sich zwei wesentliche Zertifizierungen etabliert. Auch die DSGVO regelt nun datenschutzspezifische Zertifizierungen, die die Einhaltung bestimmter Anforderungen nachweisen sollen.
Der Inhalt im Überblick
Zertifizierung der Informationssicherheit
Bei der Zertifizierung in der Informationssicherheit gibt es verschiedene Verfahren. Bekannt sind die beiden folgenden Standards:
- ISO 27001 (nativ)
Dieser Standard ist eher prozessorientiert, da hier die Prozesse der Informationssicherheit betrachtet werden. Ein wichtiger Bestandteil des ISMS ist eine Risikoanalyse zur Identifikation von Risiken und deren Behandlung. Zudem muss sich das Unternehmen zu den ca. 150 allgemein gefassten Maßnahmen der ISO Norm erklären. Dabei bietet die Norm keine konkreten Handlungsempfehlungen, so dass das Unternehmen bei der Umsetzung der Maßnahmen zwar relativ frei ist, die Details aber selbst erarbeiten muss (eine Orientierung an ISO 27002 oder BSI IT-Grundschutz kann dabei behilflich sein). Zu beachten ist, dass es eine ISO 27000ff Normenreihe gibt, wobei Grundlage einer Zertifizierung immer nur ISO 27001 ist. Die übrigen Standards wie z.B. ISO 27018 für Cloud Computing bieten u.a. eine Hilfestellung an. Unternehmen können diesem Standard entsprechen, nicht aber danach zertifiziert werden.
- ISO 27001 auf der Basis von IT-Grundschutz
Dieser Standard ist eher maßnahmenorientiert. Das BSI nimmt den Unternehmen die Arbeit ab und bewertet typische Gefährdungen selbst, so dass eine umfassende Risikoanalyse entfallen kann. Um diesen umfassenden Grundschutz zu realisieren, muss das Unternehmen jedoch eine Vielzahl von konkreten Maßnahmen tatsächlich umsetzen, was sehr aufwendig sein kann. Eine Risikoanalyse ist dann nur bei Systemen mit höheren Schutzbedarf durchzuführen, was an hier wiederum Arbeit erspart. Der Grundschutz wird zurzeit vom BSI modernisiert.
Bei beiden Standards wird aber das ISMS überprüft (also die Dokumente und die praktische Umsetzung). Dabei muss das Unternehmen nachweisen, dass es Verfahren und Regeln aufgestellt hat (Richtlinien, Prozesse usw.), die die Informationssicherheit dauerhaft definiert, steuert, überwacht und verbessert (als kontinuierlichen Prozess).
Daneben gibt es noch andere Anbieter wie der „Bayerischer IT-Sicherheitscluster e.V.“ (ISIS12) sowie VdS Schadenverhütung GmbH (Vds), die ihren eigenen Standard zur ISMS anbieten und sich hauptsächlich an kleine und mittelständische Unternehmen richten. Diese können ebenfalls zertifiziert werden und werden oft als Vorstufe zu einer ISO 27001 Zertifizierung angesehen.
Zertifizierung nach Art. 42 DSGVO
Auch die DSGVO setzt auf Zertifikate. In Art. 42 DSGVO ist die Einführung von datenschutzspezifischen Zertifizierungen geregelt. Das Zertifikat soll bescheinigen, dass datenschutzrechtliche Anforderungen im Unternehmen eingehalten werden. Gleichzeitig stellt Art. 42 Abs. 4 aber klar, dass selbstverständlich trotz der Zertifizierung das Unternehmen die übrigen Anforderungen der DSGVO Bestimmungen einhalten muss. Zertifikate dürfen gemäß Art. 42 Abs. 5 DSGVO nur von den Aufsichtsbehörden oder akkreditierten Zertifizierungsstellen ausgestellt werden.
Eine Zertifizierung kann damit als Nachweis herangezogen werden, dass bestimmte Anforderungen des DSGVO eingehalten werden. Damit wird die Kontrolle (z.B. Bei Einsatz von Dienstleister) erleichtert.
Wie die Zertifizierung aussehen wird, ist noch nicht konkret. Das „Bayerisches Landesamt für Datenschutzaufsicht“ fordert in seinem Leitfaden die Entwicklung neuer länderübergreifender Zertifizierungsverfahren mit einheitlicher Bewertung.
ISO-Zertifizierung und DSGVO
Wenn ein Unternehmen im Besitz einer ISO-Zertifizierung ist, darf nicht automatisch der Schluss gezogen werden, dass die Zertifizierung auch nach der DSGVO ausreicht. Denn ein erstelltes und zertifiziertes Managementsystem kann eventuell einen anderen Umfang haben und personenbezogene Daten gar nicht berücksichtigen. Bei einer ISO 27001 Zertifizierung kann nämlich der Anwendungsbereich frei gewählt werden und muss sich nicht auf das ganze Unternehmen erstrecken.
Die ISO-Zertifizierung ist aber ein guter Rahmen, um die Anforderungen nach DSGVO zu erfüllen. Wenn ein ISMS aufgebaut und zertifiziert ist, so hat man bereits ein Management etabliert und sollte es auf die personenbezogenen Daten ausweiten. Aufbauend auf einer ISO Zertifizierung sollte dann analysiert werden, was man schon hat und was eventuell noch zusätzlich gemäß DSGVO gemacht werden muss.
Unternehmensinterne Entscheidung
Jedes Unternehmen ist anders und sollte für sich entscheiden, welchen Weg es gehen möchte. Ob es sinnvoll ist, gleich eine ISO-Zertifizierung anzustreben wird wohl bei kleineren Unternehmen fraglich sein. Sinnvoller kann es auch sein, erstmal die Anforderungen nach der DSGVO umzusetzen und dann zu einem ISMS überzugehen, indem man die Anforderungen nach DSGVO entsprechend dem Standard nach ISO 27001 ausbaut.
Mir fehlt hier eine Einordnung des DS-BvD-GDD-01 (http://www.dsz-audit.de/datenschutzstandard/).
Hallo Dr. D! Wie steht die ISO27001 Zertifizierung zum SOC 2 Standard? WAs kann man als Hauptunterschiede ausmachen?
Leider sind uns die Kriterien des AICPA Assurance Services Executive Committee, die die Standards erstellt hat, nicht bekannt. Sicherlich umfassen diese Kriterien wie Sicherheit, Datenschutz, Verfügbarkeit, Integrität der Verarbeitung, Vertraulichkeit. Microsoft informiert seine Kunden über dies Zertifizierung, die sie selbst haben unter dem Link:
https://www.microsoft.com/de-de/TrustCenter/Compliance/SOC
Ich finde es bemerkenswert, dass ohne Scope-Definition solche Aussagen zu BSI IT-Grundschutz publiziert werden: „Das Unternehmen muss jedoch eine Vielzahl von konkreten Maßnahmen (ca. 1.100) tatsächlich umsetzen. „
Sie haben recht. Eine genaue Anzahl der durchzuführenden Massnahmen lässt sich erst nach Festlegung des Untersuchungsgegenstandes mit nachfolgender Strukturanalyse feststellen. Da aber erfahrungsgemäss selbst bei mittelgrossen Umgebungen schnell zwei dutzend und mehr Zielobjekte identifiziert werden und dazu teilweise zwei Bausteine angewendet werden müssen, schnellt die Zahl der Massnahmen entsprechend nach oben. Die 5.000 Seiten IT-Grundschutzkatalog der EL 15 geben da ja einiges her. Wir werden den Text entsprechend anpassen und dabei auf den neuen Grundschutz verweisen, der einiges vereinfachen wird.
Alter nachweisen mit Kopie des Personalausweises