Der Baye­ri­sche Lan­des­be­auf­trag­te für den Daten­schutz (BayLfD) und das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (BayL­DA) haben im ver­gan­ge­nen Monat einen gemein­sa­men Best-Practice-Prüfkatalog zur Cyber­si­cher­heit vor­ge­stellt. Und obwohl die vor­ge­schla­ge­nen Prüf­kri­te­ri­en auf medi­zi­ni­sche Ein­rich­tun­gen fokus­sie­ren, kann die Ver­öf­fent­li­chung auch von übri­gen Unter­neh­men, Ein­rich­tun­gen, Selbst­stän­di­gen und Frei­be­ruf­lern gut zu Prüf­zwe­cken und zur IT-technischen Stand­ort­be­stim­mung genutzt werden.

Obwohl der Selbst-Check wohl auch für »ambi­tio­nier­te Lai­en« ein­setz­bar ist, wird die Prü­fung in der Pra­xis wohl kaum ohne die fach­li­che Unter­stüt­zung der IT-Sicherheitsfachkräfte und des Daten­schutz­be­auf­trag­te durch­führ­bar sein.” – Mat­thi­as Herkert

Mit ihrer Check­lis­te zie­len die Her­aus­ge­ber nach eige­nen Aus­sa­gen inner­halb medi­zi­ni­scher Ein­rich­tun­gen auf eine gestei­ger­te Sen­si­bi­li­sie­rung für sicher­heits­re­le­van­te The­men und auf eine Unter­stüt­zung beim stö­rungs­frei­en Betrieb. Die Prüf­lis­te (hier geht es zum PDF-Dokument auf der Sei­te des BayLfD bezie­hungs­wei­se des BayL­DA) zielt hier­bei auf das IT-Gewährleistungsziel der Ver­füg­bar­keit, ins­be­son­de­re bei Cyber­an­grif­fen aus dem Inter­net. Mit über 100 Check­punk­ten, unter ande­rem aus den Berei­chen Patch Manage­ment, Malware-Schutz, Ransomware-Schutz, Authen­ti­fi­zie­rung, Passwort-Schutz und E‑Mail-Sicherheit, unter­stützt der Prüf­ka­ta­log Ver­ant­wort­li­che bei der Über­prü­fung der Daten­si­cher­heit  hin­sicht­lich der Daten­ver­ar­bei­tung im Sin­ne von Art. 32 DSGVO.

Anpas­sung der Prüf­kri­te­ri­en auf den kon­kre­ten Fall erforderlich

Aus­drück­lich wei­sen der BayLfD und das BayL­DA dar­auf hin, dass wegen der indi­vi­du­el­len Gege­ben­hei­ten jedes Betriebs nicht zwin­gend alle im Selbst-Check genann­ten Maß­nah­men ein­ge­hal­ten oder umge­setzt wer­den müss­ten. So mag der Bereich »Home Office« zwar durch die Coro­na Pan­de­mie aktu­ell einen hohen Auf­merk­sam­keits­wert haben, den­noch wird es zahl­rei­che Unter­neh­men und Ein­rich­tun­gen geben, für die mobi­le Arbeits­plät­ze nach wie vor kei­ne daten­schutz­recht­li­che Rele­vanz haben. Zudem kön­ne auch jeder­zeit geprüft wer­den, wie durch Umset­zung ande­rer als der in der Prüf­lis­te beschrie­be­nen Maß­nah­men ein ver­gleich­ba­res ange­mes­se­nes Schutz­ni­veau erreicht wer­den könne.

Selbst-Check rich­tet sich an IT-Sicherheitsfachkräfte

Obwohl der Selbst-Check wohl auch für »ambi­tio­nier­te Lai­en« ein­setz­bar ist, wird die Prü­fung in der betrieb­li­chen Pra­xis wohl kaum ohne die fach­li­che Unter­stüt­zung der IT-Sicherheitsfachkräfte und des Daten­schutz­be­auf­trag­te durch­führ­bar sein, da vie­le der ange­spro­che­nen The­men wie etwa die Ein­schät­zung zur kryp­to­gra­phisch »ange­mes­se­nen« Absi­che­rung der Fern­war­tungs­zu­grif­fe ohne ent­spre­chen­de IT-Sicherheitskenntnisse kaum getrof­fen wer­den können.

Prüf­ver­fah­ren inner­be­trieb­lich als Team­ar­beit anlagen

Ganz aus­drück­lich soll der Selbst-Check eine Hil­fe­stel­lung zur schnel­len Über­prü­fung der Cyber­si­cher­heit in den Betrie­ben die­nen. In den meis­ten Fäl­len wird die­se »schnel­le« Stand­ort­be­stim­mung jedoch im Anschluss zahl­rei­che Maß­nah­men und Anpas­sun­gen aus­lö­sen. Ob nun tat­säch­lich not­wen­di­ge Maß­nah­men nicht umge­setzt wer­den oder ob die Fra­gen über das bestehen­de Sicher­heits­ni­veau hin­aus Anre­gun­gen und Ideen zur Wei­ter­ent­wick­lung lie­fern – in fast jedem Fall wird es sinn­voll sein, den Selbst-Check inner­be­trieb­lich an ein inter­dis­zi­pli­nä­res Prüf-Team zu geben. In einem ers­ten Schritt soll­ten die Fra­gen des Kata­logs auf die indi­vi­du­el­le Situa­ti­on im Betrieb ange­passt und anschlie­ßend um zusätz­lich rele­van­te Punk­te ange­rei­chert wer­den. Die Prü­fung soll­te um eine sys­te­ma­ti­sche Prüf­do­ku­men­ta­ti­on erwei­tert wer­den, um zum Bei­spiel neben der vor­ge­se­he­nen »ja/nein«-Logik des Prüf­ka­ta­logs auch Ziel­er­rei­chungs­gra­de erfas­sen zu können.

Fazit

Mit den Best-Practice-Prüfkriterien zur Cyber­si­cher­heit für medi­zi­ni­sche Ein­rich­tun­gen haben der Baye­ri­sche Lan­des­be­auf­trag­te für den Daten­schutz und das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht einen sehr umfas­sen­den Kata­log der Pra­xis­maß­nah­men zur Cyber­si­cher­heit vor­ge­legt. Ohne gro­ße Mühe kön­nen die Prüf­kri­te­ri­en aus dem medi­zi­ni­schen Bereich auf ande­re Unter­neh­men und Ein­rich­tun­gen über­tra­gen wer­den und bie­ten hier­durch einen wert­vol­len Ansatz zur Stand­ort­be­stim­mung und Dis­kus­si­on. Es wäre zu wün­schen, dass die Her­aus­ge­ber den begon­ne­nen Ansatz zukünf­tig auch auf die Gewähr­leis­tungs­zie­le der Ver­trau­lich­keit und Inte­gri­tät aus­deh­ne —  ein Gewinn für den Daten­schutz und die Daten­si­cher­heit ist der Selbst-Check aber bereits auch so.

Was Sie noch interessieren könnte:

 

Autor des Artikels:

Matthias Herkert

Leiter Fachbereich Consulting und externer Datenschutzbeauftragter