Covid-19 (Coronavirus) und IT: Wenn der Chief Information Security Officer, zentrale Security Engineers und das Datenschutzteam ausfallen

PrintMailRate-it

veröffentlicht am 9. März 2020 | Lesedauer ca. 3 Minuten

 

Die Rolle eines Sicherheitsbeauftragten oder jene Rolle von wesentlichen zentralen Sicherheitstechnikern und auch das für den Datenschutz zuständige Team ist gemeinhin so schon nicht ausreichend besetzt und mit genügend Aufgaben belegt. Was bedeutet ein Ausfall einer dieser zentralen Funktionen für ein Unternehmen?

 

 

Man könnte meinen, das man aufgrund der Verteilung von Aufgaben innerhalb eines IT-Teams eine gewisse Zeit auf diese zentralen Sicherheits- und Datenschutzrollen verzichten kann. Stellt doch der Vertretungsplan den Ausfall eines Funktionsträgers i.d.R. sicher. Aber wie es Murphys Gesetz so will, bleibt es nicht bei einer Katastrophe. Und gerade diese zentralen Rollen im Unternehmen haben oftmals auch ein wenig verteiltes Wissen über die Sicherheits- und Schutzmechanismen innerhalb und in Bezug auf Dritte im Unternehmen. Ist mit Teil- bis Komplettausfällen zu rechnen, so gilt es, einen Notbetrieb auch hier sicherzustellen. Da gilt es, sich in Bezug auf drei Phasen konkret vorzubereiten:

  • Vorbereitungsphase »

  • Phase im Krisenfalle »

  • Nachbearbeitungsphase »

  •  

    Im Nachfolgenden wollen wir wertvolle Hinweise darauf geben, wie sich das Unternehmen verhalten sollte.

     

    Vorbereitungsphase

    Je nach Größe eines Unternehmens sind die obigen Rollen unterschiedlich inhaltlich und kapazitativ ausgeprägt. In nicht wenigen Unternehmen sind die Rollen in Teilzeit realisiert. In Konzernen gibt es ggf. auch verteilt mehrere Zuständigkeiten, was wiederum eine einheitliche und zentrale Gewährleistung der Aufgaben nicht erleichtert.

     

    Konkret heißt das, dass innerhalb der Vorbereitungsphase auch der Teil- oder Komplettausfall dieser Rollen mit in die Risikobewertung einbezogen werden müssen. Ist dies bislang nicht der Fall, sollte die Risikoanalyse um diese Dimensionen erweitert bzw. korrigiert werden.

     

    Daraus folgert, dass bei einer Anpassung der Risikobewertung auch die im Unternehmen existierenden Notfallpläne einen Teil- oder Komplettausfall dieser Rollen adäquat berücksichtigen oder auch hier eine Anpassung erforderlich ist.

     

    Konkret bedeutet das in jedem Fall:

    • Einordnung der Funktionsträger ggf. verteilt im Unternehmen/im Konzern in Risikoklassen je nach Bedeutung für die einzelnen IT-Services im eigenen Unternehmen;
    • Bewertung von Teil- und Komplettausfällen im Hinblick auf die definierten oder noch zu definierenden Vertretungs- und Notfallpläne;
    • Bestimmung und Integration einer Zuständigkeit in Bezug auf diese Rollen im Unternehmenskrisenstab;
    • Bestimmung des Eintritts eines Notfalls (also bei Ausfall auch der überwiegenden Anzahl der Vertreter).

     

    Je nach Aufgabenstellung der obigen Rollen im Notfall (inkl. Ausfall der Vertretung) und in Kombination mit einem Sicherheits- oder Datenschutzvorfall bedeutet das weiter:

    • Aufbau eines stimmigen Vertretungsplans insbesondere bei der notwendiger Weise sinnvollen räumlichen Trennung des Funktionsträgers zum Vertreter.
    • Klärung, wie mit Sicherheits- und Datenschutzvorfällen in der Zuständigkeit bei Ausfall der Personen umgegangen werden muss, damit der Schutz als solches sichergestellt ist und insbesondere beim Datenschutz keine Bußgelder zu erwarten sind.
    • Umgang bei Auswahl, Steuerung und Überwachung Dritter im Umfeld von Sicherheit und Datenschutz im Zeitraum der Krise/des Notfall.
    • Umgang der Klärung von innerhalb des Zeitraum der Krise aufkommenden technischen Sicherheitsvorfällen.
    • Klärung zur Sicherstellung der Betroffenenrechte im Rahmen des Datenschutzes im Zeitraum der Krise / des Notfalls.

     

    Sollten im Unternehmen die Kapazität und das Know-how für die Vorbereitungsphase bzw. für die Vertretung fehlen, empfiehlt sich die Einbindung des Krisenteams von Rödl & Partner.

      
    Phase im Krisenfalle

    Tritt nach Definition aus der Vorbereitung der Notfall bzw. die Krise ein und sind ein oder mehrere Funktionsträger sowie Vertreter betroffen, werden analog der definierten Notfallpläne die Maßnahmen eingeleitet.

     

    Je nach Ausmaß des Ausfalls der Funktionsträger und deren Vertretung ist seitens des Krisenstabs Einzelfallentscheidungen notwendig. Das könnten sein:

    • Einbezug eines Dritten als Fremdleister zur Überwachung der Sicherheitsmaßnahmen (sogenannte Managed Security);
    • Beauftragung eines Rechtsanwalts im Rahmen eines Datenschutzvorfalls;
    • Sicherheitstechnische Beurteilung einer Notfalllösung aus dem Ausfall eines IT-Services durch Fachspezialisten;
    • Etc.

     

    Auch hier könnte bei multiplen Notfällen die eigenen Leistungsfähigkeit zur Umsetzung der Aufgaben im Krisenstab gefährdet sein.

     
    Nachbearbeitungsphase

    Es ist davon auszugehen, dass im Rahmen des Ausfalls der Funktionsträger und Vertretung einige Überwachungs- und Kontrollaufgaben nicht mehr weiter umgesetzt wurden. Daher gilt es

    • auch hier die individuelle Krisen-Situation in die Konzepte als lesson-learned-Lösung wieder einzubetten,
    • die wesentlichen Kontrollen in Bezug auf den Notfallzeitraum nachzuholen (Prüfung von Rechtevergaben, Admin-Rechte-Verwendung, Ungewöhnliche Netzwerkaktivitäten, etc.),
    • analog zur Überwachung der Geschäftspartner auch für die Ordnungsmäßigkeit im Hinblick auf das interne Kontrollsystem, die Rechtezuweisungen durch den Notbetrieb, etc. wieder herzustellen und die erfolgreiche Herstellung zu prüfen sowie
    • eine Prüfung vorzunehmen, ob durch die Notfallmaßnahmen das Niveau im Hinblick auf Daten- und Informationssicherheit wieder optimal hergestellt wurde.

     

    Da die Ressourcen innerhalb der Funktionsträger in der Regel nicht üppig ausgestattet sind, stellt sich die Frage nach der Einbindung Dritter. In dem Fall empfiehlt es sich ebenso, dass Krisenteam von Rödl & Partner einzubeziehen.

 Aus der Artikelserie

Kontakt

Contact Person Picture

Frank Reutter

Dipl.-Wirtschaftsinformatiker, Wirtschaftsprüfer, Steuerberater, CISA

Partner

+49 221 949 909 316

Anfrage senden

Contact Person Picture

Hannes Hahn

CISA - CSP - DSB, IT-Auditor IDW

Partner, Rödl IT Secure GmbH

+49 221 9499 092 00

Anfrage senden

 Mehr lesen?

Deutschland Weltweit Search Menu