Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) und das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) haben im vergangenen Monat einen gemeinsamen Best-Practice-Prüfkatalog zur Cybersicherheit vorgestellt. Und obwohl die vorgeschlagenen Prüfkriterien auf medizinische Einrichtungen fokussieren, kann die Veröffentlichung auch von übrigen Unternehmen, Einrichtungen, Selbstständigen und Freiberuflern gut zu Prüfzwecken und zur IT-technischen Standortbestimmung genutzt werden.
“Obwohl der Selbst-Check wohl auch für »ambitionierte Laien« einsetzbar ist, wird die Prüfung in der Praxis wohl kaum ohne die fachliche Unterstützung der IT-Sicherheitsfachkräfte und des Datenschutzbeauftragte durchführbar sein.” – Matthias Herkert
Mit ihrer Checkliste zielen die Herausgeber nach eigenen Aussagen innerhalb medizinischer Einrichtungen auf eine gesteigerte Sensibilisierung für sicherheitsrelevante Themen und auf eine Unterstützung beim störungsfreien Betrieb. Die Prüfliste (hier geht es zum PDF-Dokument auf der Seite des BayLfD beziehungsweise des BayLDA) zielt hierbei auf das IT-Gewährleistungsziel der Verfügbarkeit, insbesondere bei Cyberangriffen aus dem Internet. Mit über 100 Checkpunkten, unter anderem aus den Bereichen Patch Management, Malware-Schutz, Ransomware-Schutz, Authentifizierung, Passwort-Schutz und E‑Mail-Sicherheit, unterstützt der Prüfkatalog Verantwortliche bei der Überprüfung der Datensicherheit hinsichtlich der Datenverarbeitung im Sinne von Art. 32 DSGVO.
Anpassung der Prüfkriterien auf den konkreten Fall erforderlich
Ausdrücklich weisen der BayLfD und das BayLDA darauf hin, dass wegen der individuellen Gegebenheiten jedes Betriebs nicht zwingend alle im Selbst-Check genannten Maßnahmen eingehalten oder umgesetzt werden müssten. So mag der Bereich »Home Office« zwar durch die Corona Pandemie aktuell einen hohen Aufmerksamkeitswert haben, dennoch wird es zahlreiche Unternehmen und Einrichtungen geben, für die mobile Arbeitsplätze nach wie vor keine datenschutzrechtliche Relevanz haben. Zudem könne auch jederzeit geprüft werden, wie durch Umsetzung anderer als der in der Prüfliste beschriebenen Maßnahmen ein vergleichbares angemessenes Schutzniveau erreicht werden könne.
Selbst-Check richtet sich an IT-Sicherheitsfachkräfte
Obwohl der Selbst-Check wohl auch für »ambitionierte Laien« einsetzbar ist, wird die Prüfung in der betrieblichen Praxis wohl kaum ohne die fachliche Unterstützung der IT-Sicherheitsfachkräfte und des Datenschutzbeauftragte durchführbar sein, da viele der angesprochenen Themen wie etwa die Einschätzung zur kryptographisch »angemessenen« Absicherung der Fernwartungszugriffe ohne entsprechende IT-Sicherheitskenntnisse kaum getroffen werden können.
Prüfverfahren innerbetrieblich als Teamarbeit anlagen
Ganz ausdrücklich soll der Selbst-Check eine Hilfestellung zur schnellen Überprüfung der Cybersicherheit in den Betrieben dienen. In den meisten Fällen wird diese »schnelle« Standortbestimmung jedoch im Anschluss zahlreiche Maßnahmen und Anpassungen auslösen. Ob nun tatsächlich notwendige Maßnahmen nicht umgesetzt werden oder ob die Fragen über das bestehende Sicherheitsniveau hinaus Anregungen und Ideen zur Weiterentwicklung liefern – in fast jedem Fall wird es sinnvoll sein, den Selbst-Check innerbetrieblich an ein interdisziplinäres Prüf-Team zu geben. In einem ersten Schritt sollten die Fragen des Katalogs auf die individuelle Situation im Betrieb angepasst und anschließend um zusätzlich relevante Punkte angereichert werden. Die Prüfung sollte um eine systematische Prüfdokumentation erweitert werden, um zum Beispiel neben der vorgesehenen »ja/nein«-Logik des Prüfkatalogs auch Zielerreichungsgrade erfassen zu können.
Fazit
Mit den Best-Practice-Prüfkriterien zur Cybersicherheit für medizinische Einrichtungen haben der Bayerische Landesbeauftragte für den Datenschutz und das Bayerische Landesamt für Datenschutzaufsicht einen sehr umfassenden Katalog der Praxismaßnahmen zur Cybersicherheit vorgelegt. Ohne große Mühe können die Prüfkriterien aus dem medizinischen Bereich auf andere Unternehmen und Einrichtungen übertragen werden und bieten hierdurch einen wertvollen Ansatz zur Standortbestimmung und Diskussion. Es wäre zu wünschen, dass die Herausgeber den begonnenen Ansatz zukünftig auch auf die Gewährleistungsziele der Vertraulichkeit und Integrität ausdehne — ein Gewinn für den Datenschutz und die Datensicherheit ist der Selbst-Check aber bereits auch so.
Was Sie noch interessieren könnte:
Einwilligung – Drahtseilakt zwischen rechtlicher Ausgestaltung und praktischer Handhabung
Es begegnet uns nahezu alltäglich – das Erfordernis der Einwilligung. Im beruflichen wie auch im privaten Kontext. In der datenschutzrechtlichen […]
Interne Mitteilungen über Beschäftigte
Manche Dinge sind so trivial, man macht sie einfach. Aus Nettigkeit, aus Rücksicht, aus Freude, weil man eben muss […]
EU-US Data Privacy Framework – was lange währt wird endlich gut?
Am 10.07.2023 verabschiedete die EU-Kommission den neuen Angemessenheitsbeschluss für die USA – das Transatlantic Data Privacy Framework, kurz TADPF. […]