Bundesamt für Sicherheit in der Informationstechnik

ORP.5 Compliance Management (Anforderungsmanagement)

Schnell zum Abschnitt

1 Beschreibung

1.1 Einleitung

In jeder Institution gibt es aus den verschiedensten Richtungen gesetzliche, vertragliche, strukturelle und interne Richtlinien und Vorgaben, die beachtet werden müssen. Viele davon haben direkte oder indirekte Auswirkungen auf das Informationssicherheitsmanagement.

Die Anforderungen sind je nach Branche, Land und anderen Rahmenbedingungen unterschied­lich. Weiterhin unterliegt beispielsweise eine Behörde anderen externen Regelungen als eine Aktiengesellschaft. Die Leitungsebene der Institution muss die Einhaltung der Anforderungen (neudeutsch: Compliance) sicherstellen und ein Compliance Management System betreiben.

Je nach Größe einer Institution kann diese verschiedene Managementprozesse haben, die sich mit unterschiedlichen Aspekten des Risikomanagements beschäftigen, z. B. Sicherheitsmanage­ment, Datenschutzmanagement, Compliance Management, Controlling. Diese sollten ver­trauensvoll zusammenarbeiten, um Synergieeffekte zu nutzen und Konflikte frühzeitig aus­zuräumen.

1.2 Zielsetzung

Ziel des Bausteins Compliance Management ist es, aufzuzeigen, wie jederzeit ein Überblick über die verschiedenen Anforderungen an die einzelnen Bereiche einer Institution geschaffen werden kann. Dazu wird beschrieben, wie aus gesetzlichen, vertraglichen, strukturellen und internen Richtlinien und Vorgaben Sicherheitsanforderungen abgeleitet werden können.

1.3 Abgrenzung

In diesem Baustein werden ausgewählte Anforderungen betrachtet, die sich aus gesetzlichen oder vertraglichen Vorgaben ergeben und die Auswirkungen auf die Gestaltung der Informa­tionssicherheit in der Institution haben. Es wird nicht auf bereichsspezifische Gesetze einge­gangen.

2 Gefährdungslage

Folgende spezifische Bedrohungen und Schwachstellen sind im Bereich Compliance Management von besonderer Bedeutung:

2 1 Verstoß gegen rechtliche Vorgaben

Die unzureichende Umsetzung von Informationssicherheit kann dazu führen, dass gegen gesetzliche Regelungen oder vertragliche Vereinbarungen verstoßen wird. Institution müssen außerdem eine Viel­zahl branchenspezifischer, nationaler und internationaler rechtlicher Rahmenbedingungen beachten. Da dies sehr komplex werden kann, kann es passieren, dass unabsichtlich gegen rechtliche Vorgaben verstoßen wird oder dies sogar vorsätzlich in Kauf genommen wird. Beispiel:

  • Viele Cloud-Dienstleister bieten ihre Services in einem internationalen Umfeld an. Damit unterliegen die Anbieter oft anderen nationalen Gesetzgebungen. Häufig sehen Cloud-Anwender nur auf niedrige Kosten und schätzen die zu beachtenden rechtlichen Rah­menbedingungen wie Datenschutz, Informationspflichten, Insolvenzrecht, Haftung, Informa­tionszugriff für Dritte falsch ein.

2 2 Unzulässige Weitergabe von Informationen

Durch das Fehlverhalten von Personen kann es dazu kommen, dass schützenswerte Informationen un­zulässig weitergegeben werden. Beispiele hierfür sind:

  • Vertrauliche Informationen werden in Hörweite fremder Personen diskutiert, beispielsweise in Pausengesprächen von Besprechungen oder über Mobiltelefonate in öffentlichen Umgebungen.
  • Der Vorgesetzte einer Fachabteilung verdächtigt einen Mitarbeiter, mit der Konkurrenz zu­sammenzuarbeiten. Um ihm dies nachzuweisen, bittet er den Leiter des IT-Betriebs, ihm "auf dem kleinen Dienstweg" Einblick in die E-Mails dieses Mitarbeiters zu geben. Der Leiter IT-Betrieb weist den Mail-Administrator an, hierfür einen Zugriff einzurichten, ohne die hierfür notwendigen Zustimmungen einzuholen.

2 3 Unzureichende Identifikationsprüfung von Kommunikationspartnern

In persönlichen Gesprächen, am Telefon oder auch in E-Mails sind viele Personen bereit, weit mehr In­formationen preiszugeben, als sie das in schriftlicher Form oder in größerer Runde tun würden. Hierbei wird häufig vom Kommunikationspartner stillschweigend erwartet, dass die Gesprächs- oder E-Mail-Inhalte vertraulich behandelt werden. Darüber hinaus besteht die Neigung, die Identität des Kommunikationspartners nicht zu hinterfragen, da dies als unhöflich empfunden wird. Ebenso werden häufig Berechtigungen nicht ausreichend geprüft, sondern aus der (behaupteten) Rolle implizit abge­leitet. Typische Beispiele hierfür sind:

  • Ein Mitarbeiter erhält eine E-Mail von einem angeblichen Bekannten seiner Vorgesetzten, mit der angeblich die schnelle Überweisung eines ausstehenden Betrages vereinbart wurde.
  • Ein Mann im Blaumann mit Montagekoffer erhält Zugang zum Rechenzentrum, nachdem er etwas von "Wasserrohren" murmelt.

2 4 Unbeabsichtigte Weitergabe interner Informationen

Bei der Weitergabe von Informationen kommt es immer wieder vor, dass neben den gewünschten Informationen versehentlich auch andere Informationen übermittelt werden. Dadurch können ver­trauliche geeignete Informationen in die falschen Hände geraten. Beispiele hierfür sind

  • alte Dateien oder Restinformationen auf weitergegebenen Datenträgern, Übermittlung anderer als der vorgesehenen Daten oder Versand an falsche Empfänger.
  • 2015 konnte ein französischer Fernsehsender stundenlang kein Programm ausstrahlen, nach­dem Hacker sich Zugriff auf interne IT-Systeme verschafft hatten. In einer Pressekonferenz, nachdem der Sender wieder arbeiten konnte, wurde im Hintergrund eine Notizwand in alle Welt übertragen, an der Passwörter für alle möglichen internen und externen Kennungen hingen.

3 Anforderungen

Im Folgenden sind spezifische Anforderungen für den Bereich Compliance Management aufgeführt. Grundsätzlich ist der Änderungsmanager (Compliance Manager) für die Erfüllung der Anforderungen zuständig. Abweichungen hiervon werden in den entsprechenden Anforderungen gesondert erwähnt. Der Informationssicherheitsbeauftragte (ISB) ist bei strategischen Entscheidungen stets einzubeziehen. Außerdem ist der ISB dafür verantwortlich, dass alle Anforderungen gemäß dem festlegten Sicherheitskonzept erfüllt und überprüft werden.

BausteinverantwortlicherAnforderungsmanager (Compliance Manager)
Weitere VerantwortlicheBenutzer, IT-Betrieb, Informationssicherheitsbeauftragter (ISB), Institutionsleitung, Leiter Organisation, Personalabteilung, Verantwortliche der einzelnen Anwendungen, Vorgesetzte

3.1 Basis-Anforderungen

Die folgenden Anforderungen MÜSSEN vorrangig umgesetzt werden:

ORP.5.A1 Identifikation der rechtlichen Rahmenbedingungen [Leiter Organisation, Institutionsleitung]

In der Institution MUSS ein Prozess aufgebaut sein, um alle relevanten gesetzlichen, vertraglichen und sonstigen Vorgaben zu identifizieren. Alle rechtlichen Rahmenbedingungen mit Auswirkungen auf das Sicherheitsmanagement MÜSSEN identifiziert und dokumentiert werden.

Die für die einzelnen Bereiche der Institution relevanten gesetzlichen und vertraglichen Vorgaben SOLLTEN in einer strukturierten Übersicht herausgearbeitet werden. Die Dokumentation MUSS auf dem aktuellen Stand gehalten werden. Die als sicherheitsrelevant identifizierten Anforderungen MÜSSEN bei der Planung und Konzeption von Geschäftsprozessen, Anwendungen und IT-Systemen oder bei der Beschaffung neuer Komponenten einfließen.

ORP.5.A2 Beachtung rechtlicher Rahmenbedingungen [Vorgesetzte, Leiter Organisation, Institutionsleitung]

Führungskräfte, welche die rechtliche Verantwortung für die Institution vor Ort tragen, MÜSSEN für die Einhaltung der rechtlichen Vorgaben sorgen. Die Verantwortlichkeiten und Zuständigkeiten für die Einhaltung rechtlicher Vorgaben MÜSSEN festgelegt sein.

Es MÜSSEN geeignete Maßnahmen identifiziert und umgesetzt werden, um Verstöße gegen relevante Anforderungen zu vermeiden. Wenn Verstöße gegen relevante Anforderungen erkannt werden, MÜSSEN sachgerechte Korrekturmaßnahmen ergriffen werden, um die Abweichungen zu beheben.

ORP.5.A3 Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen [Vorgesetzte, Personalabteilung]

Alle Mitarbeiter MÜSSEN in einschlägige Gesetze (z. B. zum Datenschutz), Vorschriften und interne Regelungen eingewiesen und verpflichtet werden, diese einzuhalten. Den Mitarbeitern MUSS bekannt sein, welcher rechtliche Rahmen ihre Tätigkeit bestimmt.

Gemeinsam mit den Basisanforderungen entsprechen die folgenden Anforderungen dem Stand der Technik im Bereich Compliance Management. Sie SOLLTEN grundsätzlich umgesetzt werden.

3.2 Standard-Anforderungen

Gemeinsam mit den Basis-Anforderungen entsprechen die folgenden Anforderungen dem Stand der Technik im Bereich Compliance Management (Anforderungsmanagement). Sie SOLLTEN grundsätzlich umgesetzt werden.

ORP.5.A4 Konzeption und Organisation des Compliance Managements [Institutionsleitung]

Es SOLLTEN geeignete Prozesse und Organisationsstrukturen aufgebaut werden, um den Überblick über die verschiedenen rechtlichen Anforderungen an die einzelnen Bereiche der Institution zu gewährleisten. Dafür SOLLTEN Verantwortliche benannt und deren Aufgaben in Bezug auf das Compliance Management festgelegt werden.

Compliance Manager und ISB SOLLTEN regelmäßig zusammenarbeiten. Sie SOLLTEN gemeinsam Sicherheitsanforderungen ins Compliance Management integrieren, sicherheitsrelevante Anforderungen in Sicherheitsmaßnahmen überführen und deren Umsetzung kontrollieren.

ORP.5.A5 Ausnahmegenehmigungen [Vorgesetzte, Informationssicherheitsbeauftragter (ISB)]

In Einzelfällen kann es erforderlich sein, von getroffenen Regelungen abzuweichen. Begründete Ausnahmen SOLLTEN aber in jedem Fall durch eine autorisierte Stelle nach einer Risikoabschätzung genehmigt werden. Es SOLLTE ein Genehmigungsverfahren für Ausnahmegenehmigungen geben. Es SOLLTE eine Übersicht über alle erteilten Ausnahmegenehmigungen geben. Ein entsprechendes Verfahren für die Dokumentation und ein Überprüfungsprozess SOLLTE etabliert werden. Alle Ausnahmegenehmigungen SOLLTEN befristet sein.

ORP.5.A6 Einweisung des Personals in den sicheren Umgang mit IT [Vorgesetzte, Personalabteilung]

Alle Mitarbeiter und alle externen IT-Benutzer SOLLTEN in den sicheren Umgang mit der IT der Institution eingewiesen werden. Dazu SOLLTE ihnen eine verbindliche, verständliche, aktuelle und verfügbare Richtlinie zur IT-Nutzung an die Hand gegeben werden. Diese Richtlinie SOLLTE beschreiben, welche Rechte und Pflichten sie bei der IT-Nutzung haben und welche Sicherheitsmaßnahmen zu ergreifen sind. Veränderungen SOLLTEN den Mitarbeitern rechtzeitig bekannt gegeben werden.

ORP.5.A7 Aufrechterhaltung der Informationssicherheit [Informationssicherheitsbeauftragter (ISB)]

Um das bestehende Sicherheitsniveau aufrechtzuerhalten und fortlaufend zu verbessern, SOLLTEN alle Sicherheitsmaßnahmen des Sicherheitskonzeptes regelmäßig auf Einhaltung und Verbesserungsbedarf überprüft werden. Die Prüfungen SOLLTEN durch unabhängige, fachlich qualifizierte, interne oder externe Personen durchgeführt werden. Die Ergebnisse der Überprüfungen SOLLTEN nachvollziehbar dokumentiert und der Leitung bekannt gegeben werden. Gefundene Mängel SOLLTEN zeitnah behoben werden.

ORP.5.A8 Regelmäßige Überprüfungen des Compliance Managements

Es SOLLTE ein Verfahren etabliert sein, wie das Compliance Management und die sich aus diesem ergebenden Anforderungen und Maßnahmen regelmäßig auf Effizienz und Effektivität überprüft werden (siehe auch DER.1.3 Audits und Revisionen). Es SOLLTE regelmäßig geprüft werden, ob die Organisationsstruktur und die Prozesse des Compliance Managements noch angemessen sind.

3.3 Anforderungen bei erhöhtem Schutzbedarf

Im Folgenden sind exemplarische Vorschläge für Anforderungen aufgeführt, die über das dem Stand der Technik entsprechende Schutzniveau hinausgehen und BEI ERHÖHTEM SCHUTZBEDARF in Betracht gezogen werden SOLLTEN. Die konkrete Festlegung erfolgt im Rahmen einer Risikoanalyse. Die jeweils in Klammern angegebenen Buchstaben zeigen an, welche Grundwerte durch die Anforderung vorrangig geschützt werden (C = Vertraulichkeit, I = Integrität, A = Verfügbarkeit).

ORP.5.A9 Schutz gegen nachträgliche Veränderungen von Informationen [Informationssicherheitsbeauftragter (ISB), Benutzer](I)

Damit Dateien nicht unbemerkt verändert werden können, SOLLTEN ausreichende Sicherheitsmaßnahmen ergriffen werden. Je nach Datenformat und Schutzbedarf SOLLTEN dafür geeignete Methoden ausgewählt werden. Dazu gehören beispielsweise digitale Signaturen und andere kryptographische Verfahren, Copyright-Vermerke oder die Verwendung von Dateiformaten, die nachträgliche Änderungen bzw. auszugsweise Weiterverarbeitung erschweren. Die Mitarbeiter SOLLTEN informiert werden, welche Sicherheitsmechanismen hierfür eingesetzt werden sollen und wie diese zu benutzen sind.

ORP.5.A10 Klassifizierung von Informationen(CIA)

Es gibt in vielen Bereichen einer Institution Informationen, die einen höheren Schutzbedarf haben oder besonderen Restriktionen unterliegen, z. B. personenbezogene, finanzrelevante, vertrauliche oder Copyright-geschützte Daten. Für diese gelten je nach ihrer Kategorisierung unterschiedliche Beschränkungen im Umgang mit ihnen. Daher SOLLTEN möglichst alle Informationen entsprechend ihrem Schutzbedarf klassifiziert und, falls möglich, gekennzeichnet werden. Die Mitarbeiter SOLLTEN regelmäßig auf den sorgfältigen Umgang mit Informationen hingewiesen sowie über die Restriktionen beim Umgang mit klassifizierten Daten informiert werden.

ORP.5.A11 Erhebung der rechtlichen Rahmenbedingungen für kryptographische Verfahren und Produkte [IT-Betrieb, Verantwortliche der einzelnen Anwendungen](CI)

Beim Einsatz kryptographischer Produkte sind diverse gesetzliche Rahmenbedingungen zu beachten. Die rechtlichen Rahmenbedingungen für den Einsatz kryptographischer Verfahren und Produkte SOLLTEN für alle Länder ermittelt und dokumentiert werden, in denen diese genutzt werden sollen.

4 Weiterführende Informationen

4.1 Literatur

Weiterführende Informationen zu Gefährdungen und Sicherheitsmaßnahmen im Bereich "Compliance Management (Anforderungsmanagement)" finden sich unter anderem in folgenden Veröffentlichungen:

  • [19600] ISO 19600:2014

    ISO, Compliance management systems, 2014

  • [27002K18] ISO/IEC 27002:2013 Kapitel 18 Compliance

    ISO, Information technology-security technique- Code of practice for information on security controls, insbesondere Kapitel 18 "Compliance", 2013

5 Anlage: Kreuzreferenztabelle zu elementaren Gefährdungen

Die folgenden elementaren Gefährdungen sind für den Baustein "Compliance Management (Anforderungsmanagement)" von Bedeutung.

  • G 0.29 Verstoß gegen Gesetze oder Regelungen

Die Kreuzreferenztabellen finden Sie aufgrund ihres Umfangs im Downloadbereich.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK