Inhalt

    Nr. 2.1 – Datensicherheitskonzept
    (Art. 24, 25, 28, 32, 35 i.V.m. Art. 5 Abs. 1 lit. f DSGVO)

    Kriterium

    (1) Der Cloud-Anbieter führt eine Risikoanalyse in Bezug auf die Datensicherheit durch und verfügt über ein Datensicherheitskonzept entsprechend seiner Schutzklasse, das den spezifischen Risiken seiner Datenverarbeitungsvorgänge angemessen ist.
    (2) Die in Nr. 2 geforderten Angaben können außer im Datensicherheitskonzept auch in sonstigen Dokumenten getroffen werden, solange diese als rechtsverbindlich für die Auftragsverarbeitung zwischen Cloud-Anbieter und Cloud-Nutzer vereinbart worden sind. Die Anforderungen an das Datensicherheitskonzept gelten auch für diese sonstigen Dokumente.
    (3) Im Datensicherheitskonzept stellt der Cloud-Anbieter dar, welche Datensicherheitsmaßnahmen er er-griffen hat, um die bestehenden Risiken abzustellen oder einzudämmen. Der Cloud-Anbieter schildert auch die Abwägungen, die er vorgenommen hat, um zu diesen Maßnahmen zu gelangen.
    (4) Das Datensicherheitskonzept ist schriftlich oder in einem elektronischen Format zu dokumentieren.
    (5) Das Datensicherheitskonzept ist in regelmäßigen Abständen auf Aktualität und Angemessenheit zu überprüfen und bei Bedarf zu aktualisieren.
    (6) Das Datensicherheitskonzept beschreibt, welche Datenverarbeitungsvorgänge in der Verantwortung des Cloud-Anbieters liegen und für welche Datenverarbeitungsvorgänge eingebundene Subauftragsverarbeiter verantwortlich sind.
    (7) Das Datensicherheitskonzept beschreibt, welche Datenverarbeitungsvorgänge in der Verantwortung des Cloud-Anbieters liegen und welche der Verantwortung des Cloud-Nutzers unterliegen.
    (8) Soweit das Datensicherheitskonzept Sicherheitsmaßnahmen des Cloud-Nutzers verlangt, sind diese dem Cloud-Nutzer schriftlich oder in einem elektronischen Format mitzuteilen.

    Erläuterung

    Der Cloud-Anbieter hat risikoangemessene TOM festzulegen, um Risiken einer Verletzung der Rechte und Freiheiten von natürlichen Personen zu verhindern. Insbesondere hat er Risiken gegen unbeabsichtigte und unrechtmäßige Vernichtung, Verlust, Veränderung, unbefugte Offenlegung oder unbefugten Zugang zu personenbezogenen Daten auszuschließen oder zu minimieren. Bei der Festlegung der konkreten Maßnahmen berücksichtigt er nicht nur die Modalitäten der Verarbeitung und die Eintrittswahrscheinlichkeit und Schwere des Schadens, sondern auch den Stand der Technik sowie die Implementierungskosten der Maßnahmen. Die dabei getroffenen Abwägungen müssen aus dem Datensicherheitskonzept ersichtlich sein. Der Cloud-Anbieter legt für seinen angebotenen Dienst die Schutzanforderungsklasse fest. Der Cloud-Nutzer wählt einen Cloud-Dienst aus, der eine zu seiner Schutzbedarfsklasse passende Schutzanforderungsklasse bietet.

    Umsetzungshinweis

    Das Datensicherheitskonzept soll die sich aus den spezifischen Umständen des Cloud-Dienstes, seiner Datenverarbeitungsvorgänge und Räumlichkeiten ergebenden Risiken abdecken und zu jedem Risiko eine oder gegebenenfalls mehrere Richtlinien und Schutzmaßnahmen beinhalten sowie Ressourcen, Verantwortlichkeiten und Priorisierungen für den Umgang mit Datensicherheitsrisiken spezifizieren. Mitarbeiter des Cloud-Anbieters sollten über diese Richtlinien und Schutzmaßnahmen zur Datensicherheit fortlaufend informiert werden. Alle identifizierten Restrisiken des Cloud-Dienstes, die nicht vollständig behandelt werden können, sollten von der Geschäftsleitung des Cloud-Anbieters zur Kenntnis genommen werden. Der Risikobewertungsansatz und die Risikobewertungsmethodik des Cloud-Anbieters sollten dokumentiert werden.
    Bei der Analyse von Risiken können folgende Merkmale analysiert und evaluiert werden:
    1) Evaluierung der Auswirkungen auf die Organisation, Technik oder Dienstbereitstellung aufgrund eines Sicherheitsausfalls und Berücksichtigung der Konsequenzen des Verlusts von Vertraulichkeit, Integrität oder Verfügbarkeit;
    2) Evaluierung der realistischen Wahrscheinlichkeit eines solchen Sicherheitsausfalls unter Berücksichtigung denkbarer Bedrohungen und Sicherheitslücken;
    3) Abschätzung des möglichen Schadensausmaßes für die Grundrechte und Freiheiten der betroffenen Personen;
    4) Prüfung, ob alle möglichen Optionen für die Behandlung der Risiken identifiziert und evaluiert sind;
    5) Bewertung, ob das verbleibende Risiko akzeptierbar oder eine Gegenmaßnahme erforderlich ist.
    Das Datensicherheitskonzept sollte unter Berücksichtigung neu auftretender Sicherheitsherausforderungen kontinuierlich (mindestens jährlich) aktualisiert und verbessert werden. Dabei sollten Risikobewertungen, das mögliche Schadensausmaß und die identifizierten akzeptablen Risiken regelmäßig unter Berücksichtigung des technischen und organisatorischen Wandels, erkannten Bedrohungen, der Auswirkung der implementierten Schutzmaßnahmen und externen Ereignisse überprüft werden. Zudem sollten angemessene und für den Cloud-Anbieter relevante Kontakte zu Behörden und Interessenverbänden hergestellt werden, um stets über aktuelle Risiken, Bedrohungslagen und mögliche Gegenmaßnahmen informiert zu sein.
    Auf die Umsetzungshinweise im BSI C5 Anf. OIS-03, OIS-05, OIS-06, OIS-07, SA-01, SA-02, SA-03, RB-17, SIM-01 wird hingewiesen.
    Auf die Richtlinien zum Risikomanagement in der ISO 31000, die Risikobewertungstechniken in der IEC 31010, und auf die Richtlinien zur Erfassung von Gefahren für die Privatsphäre in der ISO/IEC 29134 wird hingewiesen.
    Auf die Umsetzungshinweise der ISO/IEC 27002 Ziff. 5.1.1, 5.1.2, 8.2, 12.1 bis 12.6, 18.1, 18.2, ISO/IEC 27018 Ziff. 5.1.1, 5.4.1 und 27701 Ziff. 5.2.1, 5.2.2, 5.4.1, 6.3.1, 6.5.2.1, 6.5.2.2, 6.12 und 6.15.1 wird hingewiesen.

    Nachweis

    Der Cloud-Anbieter legt das Datensicherheitskonzept sowie ggf. alle sonstigen Dokumente vor, welche ausführliche Informationen über das Verfahren zur Risikobeurteilung enthalten. Diese Dokumente führen alle identifizierten Risiken mit Angabe ihrer jeweiligen Schwere und Eintrittswahrscheinlichkeit auf. Die Dokumente enthalten auch die Abwägungen, die der Cloud-Anbieter bei der Wahl der Datensicherheitsmaßnahmen vor-genommen hat und beschreiben die Datensicherheitsmaßnahmen zur Adressierung der Risiken (beispielsweise Dokumentation von geplanten Maßnahmen im internen Ticketsystem des Unternehmens und Verweis auf durch diese Maßnahmen adressierte Risiken). Der Cloud-Anbieter kann insbesondere auch Dokumente über Prozesse im Falle der Risikorealisierung (z.B. in Form von Unternehmensrichtlinien) vorlegen. Zudem sollten Dokumentationen über die Trennung des Verantwortungsbereichs zwischen Cloud-Anbieter und Sub-auftragsverarbeiter und Cloud-Anbieter und Cloud-Nutzer vorgelegt werden.
    Soweit das Datensicherheitskonzept Sicherheitsmaßnahmen des Cloud-Nutzers verlangt, kann der Cloud-Anbieter bspw. vorhandene Protokolle, Verträge, Prozessspezifikationen zur Mitteilung an den Cloud-Nutzer vorlegen. Wird der Cloud-Nutzer elektronisch informiert, bspw. während des Online-Registrierungsprozesses für den Cloud-Dienst, kann der Cloud-Anbieter ebenfalls die konforme Mitteilung des Cloud-Nutzers durch eine testweise Dienstnutzung nachweisen.
    Der Cloud-Anbieter muss sicherstellen, dass aus den vorgelegten Dokumenten die Aktualität des Datensicherheitskonzepts hervorgeht und dass es fortlaufend weiterentwickelt wird (bspw. durch Zeitstempel, Versionierungshistorie oder Protokolle der Weiterentwicklung).
    Unterstützend kann der Cloud-Anbieter eine Befragung von Mitarbeitern ermöglichen, um die oben genannten Punkte auf Vollständigkeit und Umsetzung im Unternehmen nachzuweisen.

    Ist dieses Kriterium relevant für Sie?

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert


    Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.