Zertifizierte Informationssicherheit ISO und andere Normen

Transkript

1 Zertifizierte Informationssicherheit ISO und andere Normen

2 Inhalt 1. Informationssicherheit und Stellenwert von Zertifikaten Management der Informationssicherheit Wichtige Rechtsnormen 05 KonTraG 05 IT-Sicherheitsgesetz 05 Energiewirtschaftsgesetz 06 Glücksspielstaatsvertrag 06 MaRisk 07 Sarbanes-Oxley Act Standards zur Informationssicherheit 07 ISO/IEC IT-Grundschutz 10 IS-Revision auf der Basis von IT-Grundschutz 12 ISO/IEC bzw. ITIL 13 ISO/IEC IDW PS Zertifikate zur Auftragsdatenverarbeitung 14 Zertifikate im Vergleich Wie können wir Sie hierbei unterstützen? 16 Einführung eines ISMS 16 Durchführung einer Risikoanalyse 17 Erstellung eines IT-Sicherheitskonzepts 17 Auditierung, Zertifizierung 17 Kosten 18 Vorwort Informationssicherheit ist für jedes Unternehmen wichtig, das IT-basierte Geschäftsprozesse hat. Dabei wird Informationssicherheit als Oberbegriff verwendet, der nicht nur die technische IT-Sicherheit, sondern auch die verschiedenen organisatorischen Aspekte berücksichtigt. Selbstverständlich hat jedes Unternehmen ein eigenes Interesse daran, sensible Unternehmensinformationen, personenbezogene Daten und IT-gestützte Prozesse vor Missbrauch zu schützen. Darüber hinaus gibt es aber auch gesetzliche Vorgaben, beispielsweise das IT-Sicherheitsgesetz oder das branchenspezifische Energiewirtschaftsgesetz. Diese machen Informationssicherheit als Bestandteil des betrieblichen Risikomanagements für Unternehmen, die kritische Infrastrukturen betreiben, verpflichtend. Möchten Sie Ihr Unternehmen im Bereich Informationssicherheit sicher aufstellen? Wir unterstützen Sie gern dabei! Bevor wir auf unsere Dienstleistungen in diesem Bereich ausführlicher eingehen, geben wir Ihnen einen Überblick über die rechtlichen Anforderungen und die wichtigsten Normen, stellen den Prozess der Auditierung und Zertifizierung dar und erläutern Ihnen die Prozesse in einem Informationssicherheits-Managementsystem (ISMS). Kontaktieren Sie uns gern! Ihr Team der datenschutz nord Gruppe 1. Informationssicherheit und Stellenwert von Zertifikaten Um die Sicherheit von Informationen gewährleisten zu können, ist es nicht ausreichend, ausschließlich technische Sicherheitsmaßnahmen umzusetzen. Voraussetzung für ein angemessenes Sicherheitsniveau ist eine kontinuierliche Planung, Lenkung und Kontrolle der Sicherheitsmaßnahmen. Dieser Prozess wird als Informationssicherheits-Managementsystem oder auch kurz als ISMS bezeichnet. Durch ein ISMS lässt sich Informationssicherheit in einer Institution so organisieren, dass Sicherheitsrisiken als solche identifiziert, zielgerichtete Maßnahmen geplant und wirksam umgesetzt werden. Damit kann letztlich auch das oberste Management seine Verantwortung wahrnehmen und Haftungsrisiken reduzieren. Die Erfahrung zeigt ferner, dass ein etabliertes ISMS die internen Prozesse und Verfahren verbessert und effizienter gestaltet. Entscheidend ist dabei der Geltungsbereich: Ein ISMS kann für die komplette Institution gelten, aber auch für einzelne Fachverfahren. Mit der Norm ISO/IEC und dem IT-Grundschutz- Ansatz des Bundesamts für Sicherheit in der Informationstechnik (BSI) gibt es seit Jahren zwei Standards für die Einrichtung und den Betrieb eines ISMS, die sich in Unternehmen und öffentlichen Stellen etabliert haben. Zudem gibt es Standards zur Informationssicherheit wie den Leitfaden IDW PS 330, der von Wirtschaftsprüfern seit Jahren verwendet wird. Cloud-spezifische Normen wie die 02 03

3 ISO/IEC oder branchenspezifische Normen wie die ISO/IEC und ISO/IEC ergänzen die Vielfalt an Normen. Auch haben die Bundesnetzagentur (BNetzA) für den Energiesektor oder der Verband der Automobilindustrie (VDA) nochmals eigene Sicherheitskataloge auf der Grundlage der ISO/IEC erstellt. Um den gesetzlichen Anforderungen zu genügen oder den Erwartungen seiner Kunden zu entsprechen, muss häufig ein objektiver Nachweis darüber erbracht werden, dass die Informationssicherheit tatsächlich einer Norm genügt. Aus diesem Grund sind ISO/IEC oder ISO auf der Basis von IT-Grundschutz als Zertifizierungsnormen ausgestaltet, die eine objektive Überprüfung durch einen Auditor und die Zertifizierung durch eine entsprechende Zertifizierungsstelle ermöglichen. 2. Management der Informationssicherheit Wie zuvor ausgeführt, sind Datenschutz und Informationssicherheit zwei zentrale Anforderungen der Informationsgesellschaft. Es hat sich gezeigt, dass für eine ganzheitliche Informationssicherheit eine strukturierte Herangehensweise in Form eines Informationssicherheits-Managementsystems (ISMS) erforderlich ist: Zunächst initiiert das Management Prozesse und definiert Sicherheitsziele und deren Bedeutung, setzt Verantwortliche bzw. IT-Sicherheitsbeauftragte ein, stellt angemessene Ressourcen zur Verfügung, übernimmt die Gesamtverantwortung und stellt die Integration der Informationssicherheit in die Organisation sicher. Anschließend startet der für das ISMS verantwortliche IT-Sicherheitsbeauftragte mit der Istaufnahme, in dem er eine Schutzbedarfsfeststellung und eine Risikoanalyse durchführt. Wichtig ist dabei, die Werte und Prozesse der Organisation zu erfassen, die einzuhaltenden Regularien zu identifizieren und daraus mögliche Bedrohungen abzuleiten. Im Check gegen die bereits etablierten Sicherheitsmaßnahmen wird ein Umsetzungsplan erstellt und mit deren Umsetzung begonnen. Zentrales Element eines ISMS ist die regelmäßige Kontrolle der umgesetzten Maßnahmen. In diesem Zusammenhang wird überprüft, ob die Ausgangssituation noch zutreffend ist, ob neue Bedrohungen, Risiken oder Rahmenbedingungen berücksichtigt werden müssen und ob damit die Risikoeinschätzung noch gültig ist. Ferner wird überprüft, ob die dokumentierten Sicherheitsmaßnahmen in der Realität umgesetzt werden und ob sie das Ziel angemessen erfüllen. Diese regelmäßigen Kontrollen werden zusammengefasst in einem internen ISMS-Audit, dessen Ergebnis als Feedback an das Management zurückfließt. Der kontinuierliche Verbesserungsprozess rundet das Managementsystem zur Informationssicherheit ab. Ein ISMS ist skalierbar und auch für größere Organisationen sinnvoll einzusetzen. Der ISMS-Prozess ist auch bekannt als PDCA-Zyklus: Plan Do Check Act. Ein ISMS basiert typischerweise auf folgenden Dokumenten: Sicherheitsleitlinie Sicherheitskonzept Risikoanalyse Statement of Applicability: Umsetzung der Norm ISO/ IEC im ISMS Richtlinien für Sicherheitsprozesse Protokolle interner Audits Protokolle durchgeführter Managementbewertungen Bei einem zertifizierten ISMS liegen ferner ein Auditreport und ein Zertifikat vor. 3. Wichtige Rechtsnormen Die Motivation von Unternehmen und öffentlichen Stellen, ihre Informationssicherheit konform zu einem Standard aufzustellen und zertifizieren zu lassen, ist sehr unterschiedlich. Neben datenschutzrechtlichen Vorgaben, externe Dienstleister regelmäßig gemäß 11 Bundesdatenschutzgesetz oder 80 Sozialgesetzbuch X zu auditieren, existieren zahlreiche Rechtsvorschriften, die für den Betrieb sicherheitskritischer Verfahren geeignete Zertifikate zur Informationssicherheit voraussetzen. Auf einige dieser Rechtsvorschriften wird im Folgenden kurz eingegangen. 3.1 KonTraG Das bereits 1998 in Kraft getretene Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) hat zahlreiche Änderungen in anderen Wirtschaftsgesetzen bewirkt. So sind Vorstände von Aktiengesellschaften oder Geschäftsführer einer GmbH und unter bestimmten Umständen auch Personalgesellschaften wie OHG und KG verpflichtet, geeignete Maßnahmen sowie ein Risikomanagement einzurichten, das Fehlentwicklungen frühzeitig erkennen lässt, die den Fortbestand des Unternehmens gefährden könnten. Das unternehmensweite Risikomanagement umfasst auch die gesamte Informationstechnik; hierbei sind geeignete Standards wie ISO/IEC oder IT-Grundschutz zu nutzen. 3.2 IT-Sicherheitsgesetz Das im Juni 2015 verabschiedete Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) definiert für Unternehmen aus dem Bereich der so genannten Kritischen Infrastrukturen (KRITIS) Anforderungen an die Informationssicherheit. Als kritische Infrastruktur werden die zentralen Bereiche der Gesellschaft betrachtet, die für die wirtschaftliche Entwicklung des Landes, für das Wohlergehen der Gesellschaft und für die politische Stabilität notwendig sind. Die Unternehmen, die KRITIS zugerechnet werden, sind Unternehmen aus den Sektoren Energie (Elektrizität, Gas, Mineralöl), Informationstechnik und Telekommunikation, Transport und Verkehr (Luftfahrt, Schifffahrt, Logistik), Gesundheit (Krankenhäuser, Pharmahersteller, Labore), Wasserversorgung und Abwasserentsorgung, Ernährung sowie Finanzund Versicherungswesen. Aber auch Bundesbehörden werden auf Mindeststandards verpflichtet. Das IT-Sicherheitsgesetz verpflichtet Unternehmen, organisatorische und technische Vorkehrungen zur Vermeidung von Störungen ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die 04 05

4 Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Diese Anforderung zielt ebenso wie die Vorgabe der Bundesnetzagentur auf den Betrieb eines Informationssicherheits-Managementsystems konform zu ISO ab. Für die Einführung der Maßnahmen gelten Übergangsfristen. Weiterhin werden die Unternehmen verpflichtet, die Umsetzung der Maßnahmen mindestens alle zwei Jahre durch geeignete Maßnahmen wie Audits oder Zertifizierungen nachzuweisen. Zum Schutz der kritischen Infrastrukturen in Deutschland gibt es den Umsetzungsplan KRITIS des Nationalen Plans zum Schutz der Informationsinfrastrukturen. Dieser sieht Maßnahmen zur Verbesserung der Informationssicherheit vor. 3.3 Energiewirtschaftsgesetz Um Telekommunikations- und IT-Systeme von Energieversorgungsunternehmen, die der Netzsteuerung dienen, ausreichend vor Bedrohungen zu schützen, hat die Bundesnetzagentur zusammen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemäß 11 Absatz 1a Energiewirtschaftsgesetz (EnWG) einen umfassenden Sicherheitskatalog erstellt. Als zentrale Maßnahme wird ein Informationssicherheits-Managementsystem konform zur Norm ISO/IEC gefordert, das durch externe Auditoren überprüft und möglichst durch eine bei der Deutschen Akkreditierungsstelle (DAkkS) zugelassene Zertifizierungsstelle zertifiziert werden sollte. Der Sicherheitskatalog nimmt ferner Bezug auf die ISO/IEC 27019, die spezielle Anforderungen an Unternehmen aus dem Energiesektor formuliert. An die Energieversorger werden zukünftig auch beim Betrieb der Infrastruktur für Smart Meter Anforderungen an die Informationssicherheit gestellt. Für die Smart Meter Gateway-Administratoren und die Betreiber der Smart Meter-CAs gilt u.a., dass ein zertifiziertes Informationssicherheitsmanagement-Managementsystem gemäß ISO/ IEC bzw. IT-Grundschutz vorliegen muss. 3.4 Glücksspielstaatsvertrag Der Glücksspielstaatsvertrag definiert als Voraussetzung für eine Konzession zum Glücksspiel, dass der Bewerber eine Darstellung der Maßnahmen zur Gewährleistung der öffentlichen Sicherheit und Ordnung und der sonstigen öffentlichen Belange unter besonderer Berücksichtigung der IT- und Datensicherheit vorlegt. Dies wird im Kontext von Online-Pferdewetten zurzeit so ausgelegt, dass eine Zertifizierung nach ISO gefordert wird. 3.5 MaRisk Unternehmen der Finanzbranche (u.a. Banken, Versicherungen, Leasing- und Factoring-Gesellschaften) unterliegen gemäß 25a Abs. 1 Kreditwesengesetz Mindestanforderungen der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) an das Risikomanagement (MaRisk). Diese beinhalten auch Vorgaben zur Informationssicherheit: So wird in AT 7.2 technisch-organisatorische Ausstattung klar definiert, dass IT-Systeme und IT-Prozesse die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen müssen. Dabei wird wiederum zur Umsetzung auf gängige Standards verwiesen. 3.6 Sarbanes-Oxley Act Der Sarbanes-Oxley Act (SOX) ist ein amerikanisches Gesetz, das weltweit alle Unternehmen, die an einer amerikanischen Wertpapierbörse notiert sind, sowie unter bestimmten Voraussetzungen auch deren Tochterunternehmen auf ein unternehmensinternes Kontrollsystem verpflichtet. Hierzu gehört gemäß Sektion 404 des Sarbanes-Oxley Act auch ein umfassendes IT-Risikomanagement, das sich an gängigen Standards ausrichtet und hauptsächlich die Verfügbarkeit und Integrität insbesondere von Finanzdaten gewährleistet. 4. Standards zur Informationssicherheit 4.1 ISO/IEC Die Normenreihe ISO/IEC hat sich international als Standard für Informationssicherheits-Managementsysteme in Unternehmen und Behörden etabliert, insbesondere die Norm Hierbei werden ganzheitlich alle Aspekte zur Informationssicherheit thematisiert, die zum Funktionieren eines Unternehmens oder einer Behörde notwendig sind. Zentraler Ansatzpunkt ist eine Risikoanalyse, in der die jeweils relevanten Bedrohungen bewertet und priorisiert werden und aus der die erforderlichen technischen und organisatorischen Maßnahmen abgeleitet werden. Zur Norm ISO/IEC gehören ergänzende Normen zur Umsetzung: In der einleitenden Norm ISO/IEC findet sich ein Glossar, der die verschiedenen Begriffe im Zusammenhang mit Informationssicherheit erklärt. Die für die Norm ISO/IEC umzusetzenden und zu überprüfenden Controls sind in der Norm ISO/IEC ausführlich erläutert. Einen Leitfaden zur Implementierung eines ISMS enthält die Norm ISO/IEC Die Messbarkeit eines ISMS wird in der Norm ISO/IEC 27004, die Durchführung von Risikoanalysen in der Norm ISO/IEC beschrieben. Branchenspezifische Anforderungen an die Informationssicherheit sind in weiteren Normen zur Normenreihe ISO/ IEC publiziert, etwa 06 07

5 ISO/IEC für Telekommunikationsunternehmen, ISO/IEC und ISO/IEC für Cloud-Dienste, ISO/IEC TR für die Energiewirtschaft, EN ISO/IEC für das Gesundheitswesen. Diese Normen erweitern und interpretieren Controls aus ISO/IEC derartig, dass spezifische Anforderungen in ein ISMS aufgenommen werden können. Somit kann ein Zertifikat nach ISO/IEC auch den Nachweis für die Erfüllung dieser sektorspezifischen Normen erbringen. Wichtig ist in diesem Zusammenhang, dass nach diesen Normen nicht direkt zertifiziert werden kann; zertifiziert wird ein ISMS stets nach ISO/IEC ISO/IEC als Basisnorm Im Fokus der Norm ISO/IEC steht ein sogenanntes Informationssicherheits-Managementsystem (ISMS). Ein nach ISO/IEC organisiertes ISMS ist vollständig kompatibel zu anderen Managementsystemen wie ISO/ IEC 9001 oder ISO/IEC und kann auch als Basis für Prüfungen nach dem Standard IDW PS 330 bzw. Sarbanes-Oxley Act (SOX) dienen. Das Informationssicherheits-Managementsystem (ISMS) wird als Prozess über einen PDCA (Plan, Do, Check, Act)- Zyklus organisiert, wie die Grafik oben rechts erläutert. Das ISMS sollte möglichst durch folgende Dokumente beschrieben sein: Prozessdarstellung einschließlich Darstellung des Geltungsbereichs IT-Infrastruktur (IT-Strukturanalyse) mit Schutzbedarfsfeststellung IT-Sicherheitsleitlinie/Security Policy Risikoanalyse Statement of Applicability (SOA): Umsetzung der Norm ISO/IEC im ISMS ACT Optimierung Verbesserung CHECK Planung des ISMS Erfolgskontrolle Überwachung der Zielsetzung PLAN DO ISO/IEC für Messbarkeit Umsetzung und Durchführung des ISMS Die Messung ausgewählter Parameter im Umfeld des ISMS soll Unternehmen dabei unterstützen, die Effektivität der umgesetzten Sicherheitsprozesse sowie der ergriffenen Maßnahmen zu beobachten, zu bewerten und ggf. Handlungsbedarf aufzuzeigen. Die ISO/IEC dient in diesem Zusammenhang der Definition von aussagekräftigen Messgrößen und der Festlegung geeigneter Auswertungsmethoden und Bewertungskriterien. Idealer Ausgangspunkt für die Etablierung eines Messsystems, das bei der kontinuierlichen Verbesserung des ISMS behilflich sein kann, ist ein klares Verständnis der Gefährdungen (Risikoanalyse), denen ein Unternehmen ausgesetzt ist. Das Messsystem sollte insbesondere dazu eingesetzt werden, Bereiche zu überwachen, in denen entweder der größte Handlungsbedarf gesehen wird oder die aus Sicht der Informationssicherheit besonders kritisch bzw. sensibel sind. Gleichzeitig soll mit dem Monitoring auch das grundsätzliche Funktionieren des ISMS sichergestellt werden. ISO/IEC für Risikomanagement Zentrale Aufgabe eines ISMS ist das Management von Risiken für die Informationssicherheit. Während in der Norm ISO/IEC der Stellenwert einer Risikoanalyse und -bewertung dargestellt wird, wird in der Norm ISO/IEC der Prozess des Risikomanagements einschließlich der Vorgehensweise beschrieben. Die ISO/IEC stellt somit den Nachfolger der veralteten Norm ISO dar und ist ein möglicher Ansatz, um die Vorgabe der ISO/IEC zu erfüllen. Die eigentliche Risikoanalyse unterteilt sich demnach in die Risikoermittlung und die Risikoabschätzung auf. Die Risikoermittlung hat dabei das Ziel festzustellen, welche Risiken für den Geltungsbereich bestehen, unabhängig von ihrer Ausprägung und Relevanz. In der Risikoabschätzung wird dann bewertet, wie stark sich das jeweilige Risiko auf den Geltungsbereich auswirkt. In der nachfolgenden Risikobewertung wird entschieden, wie mit den ermittelten und bewerteten Risiken verfahren werden soll. Dazu werden Risikoakzeptanzkriterien definiert und mögliche Ansätze zur Behandlung der Risiken festgelegt. Der übergreifende Prozess des Risikomanagements umfasst zusätzlich noch die Vermittlung und Präsentation der Risiken sowie die Risikoüberwachung. Diese beiden Tätigkeiten decken sich mit den Aufgaben des ISMS und können daher im Einklang mit der Norm ISO/IEC umgesetzt werden. Als übergreifende Norm, die eine Vielzahl von Ansätzen für Risikoanalysen und Risikoabschätzungen bietet, ist die Norm ISO (Risk management Risk assessment techniques) anzusehen. Diese Norm stellt eine umfangreiche Liste von Methoden zur Verfügung und bietet in Verbindung mit der Norm ISO (Risk management Principles and guidelines) einen noch allgemeineren Ansatz für das Risikomanagement. Gleichwohl ist es in vielen Fällen ausreichend, mit der ISMS-spezifischen Variante der Norm ISO/IEC zu arbeiten. ISO/IEC für Telekommunikationsunternehmen Die Norm ISO/IEC trägt der besonderen Situation von Telekommunikationsunternehmen Rechnung. Diese verarbeiten verfügbare und schutzwürdige Verbindungs- und Inhaltsdaten, die dem Fernmeldegeheimnis gemäß 88 Telekommunikationsgesetz unterliegen. Wie wird nun die ISO/IEC in ein ISO konformes ISMS eingebunden? Im Rahmen der Risikoanalyse werden die zutreffenden Controls aus den beiden ISO-Normen und ausgewählt. Die Auswahl von Controls wird im sogenannten Statement of Applicability (SOA) fixiert, das den Maßstab für das ISMS bildet und aus diesem Grund auch im Zertifikat explizit erwähnt wird. ISO/IEC und ISO/IEC für Cloud-Dienste Um die Informationssicherheit speziell auch für Cloud-Dienste nachweisen zu können, sind die Normen ISO/IEC und ISO/IEC erschienen. Die beiden Normen setzen auf ein Informationssicherheits-Managementsystem (ISMS) gemäß ISO/IEC auf und richten die Maßnahmen bzw. Controls aus ISO/IEC auf die spezifischen Anforderungen des Cloud-Computing aus. Nach ISO/IEC und ISO/IEC kann allerdings nicht zertifiziert werden; zertifiziert wird stets ein ISMS gemäß ISO/IEC 27001, allerdings mit dem Nachweis der Erfüllung Cloud-spezifischer Controls

6 Die ISO-Normen und setzen wiederum auf ein Informationssicherheits-Managementsystem (ISMS) konform zu ISO/IEC auf. Und ebenso spezialisieren beide Normen die Controls aus ISO/IEC derart, dass spezifische Anforderungen an Cloud-Dienste in ein ISMS aufgenommen werden können. Somit kann ein Zertifikat gemäß ISO/IEC auch den Nachweis zur Umsetzung Cloud-spezifischer Controls erbringen, was wiederum im Statement of Applicability (SOA) erläutert wird. ISO/IEC TR für die Energiewirtschaft Steuerungssysteme der Energieversorgung müssen sicher sein und vor allem verfügbar. Dies betrifft nicht nur die Energienetze, sondern auch die IT-Infrastruktur in der Energieversorgung. Um Informationssicherheit in der Energiewirtschaft nachweisen zu können, ist die Norm ISO/IEC TR Information security management guidelines based on ISO/IEC for process control systems specific to the energy utility industry erschienen. Der Standard ISO/IEC betrifft die folgenden Themengebiete: Prozesssteuerung und Automatisierungssysteme IT-Systeme in der Prozesskontrolle (Monitoring, Dokumentation) IT-Infrastruktur für Prozessleitsysteme (z.b. Netzwerke, Remote-Zugriffe) Schutz- und Sicherheitssysteme (z.b. Relais, SPS-Steuerungen) Komponenten von intelligenten Stromnetzen Als branchenspezifische Norm setzt die ISO/IEC auf der Norm ISO/IEC auf und erweitert die Vorgaben an ein Informations-Sicherheitsmanagement um typische Aspekte des Energiesektors. Zertifiziert wird wiederum nach der Norm ISO/IEC ISO/IEC für das Gesundheitswesen Das Sicherheitsmanagement im Gesundheitswesen wird durch die Norm ISO/IEC definiert. Für die ISO/IEC gilt das bereits für die Normen ISO/IEC 27011, ISO/ IEC 27017, ISO/IEC und ISO/IEC TR Gesagte: Die ISO/IEC setzt auf den Controls der Norm ISO/ IEC auf und ergänzt bzw. interpretiert die Vorgaben an ein Informationssicherheits-Managementsystem für Unternehmen aus dem Gesundheitssektor, insbesondere Kliniken, medizinische Versorgungszentren und Praxisgemeinschaften. 4.2 IT-Grundschutz IT-Grundschutz ist eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Methode, um Sicherheitsmaßnahmen zu identifizieren und umzusetzen. Teil der seitens des BSI zur Verfügung gestellten Werkzeuge sind die Standards BSI bis 100-4, die es ermöglichen, ein zu ISO auf der Basis von IT-Grundschutz konformes Informationssicherheits-Managementsystem (ISMS) zu etablieren: BSI 100-1: Managementsysteme für Informationssicherheit (ISMS) BSI 100-2: IT-Grundschutz-Vorgehensweise BSI 100-3: Risikoanalyse BSI 100-4: Notfall-Management Darüber hinaus bieten die sehr umfangreichen IT-Grundschutzkataloge einen umfänglichen Maßnahmenkatalog für die grundlegende Absicherung eines Informationsverbundes. Charakteristisch für ISO auf der Basis von IT-Grundschutz ist die Vorgehensweise: Zunächst wird im Rahmen einer Strukturanalyse, einer Schutzbedarfsfeststellung sowie einer Modellierung der IT-Grundschutz-Bausteine der zu betrachtende Informationsverbund umfangreich dokumentiert. Danach werden in einem Basis-Sicherheitscheck die Ist-Situation gegen die IT-Grundschutz-Kataloge geprüft und der über einen Grundschutz hinausgehende Schutzbedarf analysiert. IT-Strukturanalyse des IT-Verbunds Analyse des Istzustands Welche Systeme und Anwendungen? Feststellung des Schutzbedarfs IT-Grundschutzanalyse Modellierung des IT-Verbunds (Auswahl der Maßnahmen) Basis-Sicherheitscheck (Soll-Ist-Vergleich) Ergänzende Sicherheitsanalyse Ergänzende Risikoanalyse Konsolidierung der Maßnahmen Realisierung der Maßnahmen Strukturanalyse Im Rahmen der Strukturanalyse erfolgt zunächst eine genaue Definition des Informationsverbunds. Ein Informationsverbund muss eine sinnvolle Mindestgröße haben. Zwar ist es grundsätzlich empfehlenswert, das gesamte Unternehmen in die Analyse der IT-Sicherheit einzubeziehen. Gerade bei größeren Unternehmen empfiehlt es sich jedoch, sich zunächst nur auf Teilbereiche oder die IT-Infrastruktur zu konzentrieren. Die gewählten Teilbereiche sollten gut abgrenzbar und wesentliche Aufgaben und Geschäftsprozesse des Unternehmens abbilden. Ziel der Strukturanalyse ist es dann, genaue Kenntnis über den definierten Informationsverbund einschließlich der technischen Systeme zu bekommen: Beschreibung wichtiger Informationen, Geschäftsprozesse und Anwendungen Netzplan mit den eingesetzten IT-Systemen, Kommunikationsverbindungen und externen Schnittstellen Liste der vorhandenen IT-Systeme (Clients, Server, Netzkopplungselemente usw.) Beschreibung der räumlichen Gegebenheiten (Liegenschaften, Gebäude, Räume) Schutzbedarfsfeststellung Im Rahmen der Schutzbedarfsfeststellung werden zunächst für die Sicherheitsziele Verfügbarkeit, Vertraulichkeit und Integrität die Schutzbedarfskategorien normal, und sehr formuliert, wenn möglich werden Kennzahlen definiert. Auf der Grundlage dieser Schutzbedarfskategorien werden den Anwendungen Schutzbedarfe zugeordnet, die sich auf die beteiligten IT-Systeme und anschließend auf die Kommunikationsverbindungen und Räume auswirken

7 Modellierung der Grundschutzbausteine Im Rahmen der Modellierung wird der durch die Strukturanalyse definierte und im Detail beschriebene Informationsverbund mit Hilfe der Grundschutz-Bausteine nachgebildet ( modelliert ). Die Zusammenstellung der einzelnen Bausteine (einschließlich der zugeordneten Zielobjekte) richtet sich dabei auch nach dem jeweiligen Schutzbedarf. Basis-Sicherheitscheck Beim Basis-Sicherheitscheck wird der im Rahmen der Modellierung ermittelte Maßstab angewendet: Jede Maßnahme, die in den anzuwendenden Bausteinen empfohlen wird, wird dahingehend geprüft, ob sie auf das jeweilige Zielobjekt anwendbar ist und ob die Maßnahme vollständig, teilweise oder überhaupt nicht umgesetzt ist. IT-Grundschutz-Modell Empfohlene Maßnahmen Soll-Ist- Vergleich Informationsverbund Fehlende Sicherheitsmaßnahmen Ergänzende Sicherheits- und Risikoanalyse Umgesetzte Maßnahmen Die Grundschutz-Bausteine und die dort empfohlenen Maßnahmen sind auf ein Sicherheitsniveau ausgerichtet, das zumindest für den normalen Schutzbedarf angemessen ist daher auch der Begriff Grundschutz. Sind Zielobjekte mit hohem oder sehr hohem Schutzbedarf angegeben, muss im Rahmen der ergänzenden Sicherheitsanalyse geprüft werden, ob eine weitere Risikoanalyse durchgeführt werden muss. Weiterentwicklung des IT-Grundschutzes Während das strukturierte, wenn auch umfangreiche Vorgehen nach IT-Grundschutz von einigen Anwendern durchaus positiv bewertet wird, hat die Komplexität der Bausteine einen kaum noch zu verwaltenden Umfang erreicht. Dies führt zum einen dazu, dass einzelne Maßnahmen bis hin zu ganzen Bausteinen veraltet sind. Zum anderen müssen gewaltige Ressourcen bereitgestellt werden, um die Umsetzung der Maßnahmen dauerhaft und regelmäßig zu prüfen und zu dokumentieren. Aus diesem Grund wird vom BSI an einer grundlegenden Umstrukturierung des IT-Grundschutzes gearbeitet. Insbesondere sollen Bausteine auf wesentliche Maßnahmen beschränkt werden. Weiterhin werden Alternativen zum hier beschriebenen Vorgehen geprüft, die das klassische, aber umfangreiche Vorgehensmodell ersetzen oder ergänzen können. 4.3 IS-Revision auf der Basis von IT-Grundschutz Die IS-Revision auf der Basis von IT-Grundschutz verfolgt das Ziel, den Status der Informationssicherheit festzustellen und zu verbessern, und ist für Unternehmen und Stellen der Bundesverwaltung geeignet, für letztere sogar verbindlich vorgeschrieben. Dazu wurden von der Bundes- regierung der Nationale Plan zum Schutz der Informationsinfrastrukturen (NPSI) sowie der Umsetzungsplan für die Gewährleistung der IT-Sicherheit in der Bundesverwaltung (UP Bund) verabschiedet. Die IS-Revision auf der Basis von IT-Grundschutz wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in folgenden Ausprägungen vorgegeben: IS-Kurzrevision IS-Querschnittsrevision IS-Partialrevision 4.4 ISO/IEC bzw. ITIL ISO/IEC ist der internationale Standard für die Prüfung und Bewertung des IT-Service-Managements, d.h. die Zertifizierungsnorm zu ITIL. Die Norm hat sich insbesondere für Dienstleister durchgesetzt, die im regelmäßigen Kontakt mit ihren Kunden stehen was beispielsweise auch für interne IT-Abteilungen gilt. Auditiert und zertifiziert wird dabei ein sogenanntes IT-Service-Management-System (SMS). Erfahrungsgemäß werden allein durch das Etablieren eines Service-Management-Systems die internen Prozesse und Verfahren besser und effizienter. Aufgrund des Prozessansatzes der Norm sowie des Bezugs zur Informationssicherheit können umfangreiche Synergien zur ISO/IEC genutzt werden. Beispielsweise werden die integrierte Einführung eines ISMS nach ISO/IEC und eines SMS nach ISO/IEC in der eigenständigen Norm ISO/IEC beschrieben. Kompatibel zur Norm ISO/IEC ist auch der Best-Practice-Ansatz ITIL. Das Akronym ITIL steht für IT Infrastructure Library, integriert aber insbesondere Aspekte des Security Managements und Services Level Agreements. 4.5 ISO/IEC Die internationale Norm ISO/IEC Guidelines for Information and Communications Technology Disaster Recovery Services stellt eine Empfehlung für die Katastrophenvorsorge dar. In der ISO-Norm werden Anforderungen zu einem strukturierten Ansatz erörtert, der sicherstellt, dass die IT-Infrastruktur sowie die Telekommunikationseinrichtungen hinsichtlich des konkreten Schutzbedarfs adäquat darauf eingerichtet sind, einen Katastrophenfall zu überstehen und schnellstmöglich den Betrieb wieder aufnehmen zu können. Da typischerweise die IT-Infrastruktur für wesentliche Prozesse innerhalb eines Unternehmens oder einer Behörde essentiell ist, ist es wichtig, die Ausfallzeiten zu minimieren

8 ISO/IEC hat diverse Berührungspunkte zu einem Informationssicherheits-Managementsystem gemäß ISO/ IEC bzw. IT-Grundschutz und ergänzt dieses, kann aber auch eigenständig angewendet werden. Die Norm ist sowohl für die Betrachtung der internen Prozesse als auch als Anforderung an einen Outsourcing-Partner geeignet beispielsweise für ein Rechenzentrum, welches wichtige Serversysteme hostet. Aufgrund des empfehlenden Charakters der Norm ist keine Zertifizierung nach ISO/IEC vorgesehen. Gleichwohl kann geprüft werden, inwieweit die Empfehlungen aus ISO/IEC für ein Unternehmen oder eine Behörde umgesetzt sind. 4.6 IDW PS 330 Als Leitfaden für Wirtschaftsprüfer hat das Institut der Wirtschaftsprüfer (IDW) den IDW Standard 330 zur Prüfung rechnungsrelevanter IT-Systeme herausgegeben. Der Prüfstandard PS 330 bewertet das im Unternehmen umgesetzte IT-Risikomanagement, berücksichtigt das Outsourcing von IT-Komponenten, ist prozessorientiert ausgestaltet und stimmt somit inhaltlich weitgehend mit der ISO/IEC überein. Unternehmen, die nach ISO/IEC zertifiziert sind, decken somit den überwiegenden Teil der durch IDW PS 330 abgefragten Themenbereiche ab. 4.7 Zertifikate zur Auftragsdatenverarbeitung 11 Bundesdatenschutzgesetz (BDSG) und zahlreiche Landesdatenschutzgesetze sowie 80 Sozialgesetzbuch X verpflichten Unternehmen und öffentliche Stellen zur Kontrolle von Dienstleistern, die im Auftrag personenbezogene Daten verarbeiten oder darauf zugreifen können. Dabei muss sich der Auftraggeber nicht nur von der Einhaltung des Datenschutzes beim Dienstleister überzeugen, sondern auch die Prüfergebnisse nachweisbar dokumentieren. Eine Auftragsdatenverarbeitung liegt vor, wenn der Dienstleister die an ihn delegierte Datenverarbeitung als verlängerter Arm des Auftraggebers, streng weisungsgebunden und ohne eigene Entscheidungsbefugnis durchführt. Im Gegensatz dazu liegt eine Funktionsübertragung vor, wenn dem Dienstleister bei der Datenverarbeitung eine gewisse Eigenverantwortlichkeit und Entscheidungsbefugnis zukommt, die seine Tätigkeit über die reine Hilfsfunktion hinaushebt. Eine Auftragsdatenverarbeitung liegt typischerweise in folgenden Bereichen vor: Server Hosting, Cloud Computing Newsletterversand, Lettershop Callcenter, Service Help Desk IT-Support, Fernwartung Um Auftraggebern nicht einzelfallbezogen und sehr aufwändig im Rahmen eines Audits ein hohes Maß an IT-Sicherheit nachweisen zu müssen, greifen zahlreiche Dienstleister inzwischen auf Zertifikate zur Auftragsdatenverarbeitung zurück. Mit Hilfe derartiger Zertifikate kann ein Auftragsdatenverarbeiter generell aufzeigen, dass sämtliche Sicherheitsthemen, die ein Auftraggeber gemäß 11 BDSG überprüfen muss, bereits durch eine unabhängige Instanz erfolgreich auditiert wurden. Auch werden Zertifikate zur Auftragsdatenverarbeitung inzwischen von Datenschutz-Aufsichtsbehörden weitgehend akzeptiert. 4.8 Zertifikate im Vergleich Beim Vergleich der zuvor dargestellten Zertifikate stellt sich in aller Regel die Frage: Welche Normen eignen sich eigentlich für welchen Zweck? Hierbei ist zunächst zu unterscheiden zwischen Unternehmen und öffentlichen Stellen. Während sich der Standard ISO/IEC schwerpunktmäßig in Unternehmen durchgesetzt hat, kommt das IT-Grundschutzkonzept häufig in Behörden und öffentlichen Stellen zum Einsatz. Dies liegt zum einen daran, dass IT-Grundschutz vom BSI als Bundesbehörde zunächst für Bundesbehörden konzipiert wurde. Zum anderen wird IT-Grundschutz oftmals in Ausschreibungen von öffentlichen Stellen gefordert, wenn es um den Nachweis von Informationssicherheit geht. Ein Zertifikat gemäß ISO/IEC wird demgegenüber international anerkannt. Neben der Anerkennung und den Erwartungen der Kunden gibt es ferner inhaltliche Unterschiede: Obwohl beide Normen den Prozessansatz eines Informationssicherheits-Managementsystems beschreiben, wird dieser Ansatz in der internationalen Norm ISO/IEC deutlich stringenter verfolgt als bei IT-Grundschutz. Im Gegensatz dazu sind die Umsetzungsansätze in der ISO/IEC mit ihren 114 Controls deutlich abstrakter als Maßnahmen, die in den IT-Grundschutzkatalogen auf ca Seiten beschrieben werden. Der Prüfstandard IDW PS 330, der von Wirtschaftsprüfern seit Jahren in Deutschland verwendet wird, ist ähnlich prozessorientiert wie ISO/IEC 27001, hat jedoch den Schwerpunkt auf der Verfügbarkeit und Integrität von Finanzdaten. Außerdem wird der Prüfstandard nicht international anerkannt. ISO/IEC ist der internationale Standard für die Prüfung und Bewertung des IT-Service-Managements; ITIL stellt hierzu einen Best-Practice-Ansatz dar. ISO bzw. ITIL sind insbesondere für Service-Unternehmen geeignet, die nicht nur die Informationssicherheit auditieren und zertifizieren lassen möchten, sondern sämtliche Managementprozesse im Unternehmen. Wie sämtliche ISO-Normen ist auch die Norm ISO international verwendbar. Als weniger aufwändige Alternative zu IT-Grundschutz und ISO/IEC kommen Zertifikate zur Auftragsdatenverarbeitung in Betracht, wenn die Maßnahmen zum Schutz von personenbezogenen Daten attestiert werden sollen. Hierbei wird der Umsetzungsgrad der technisch- Prozesse ISO/IEC ISO/IEC ISO/IEC auf der Basis von IT-Grundschutz Auftragsdatenverarbeitung IDW PS 330 Maßnahmen ITIL ISO/IEC IT-Grundschutz- Katalog 14 15

9 organisatorischen Maßnahmen konform zu 9 Bundesdatenschutzgesetz überprüft. Diese Maßnahmen sind inhaltlich mit den Basis-Sicherheitschecks aus IT-Grundschutz sowie mit den Controls aus ISO/IEC vergleichbar, sind jedoch nicht so detailliert und ermöglichen Spielräume bei der Zertifizierung. Ferner haben die getroffenen Sicherheitsmaßnahmen das primäre Ziel, den Schutz personenbezogener Daten sicherzustellen; die allgemeine Informationssicherheit eines Unternehmens steht dabei nur mittelbar auf dem Prüfstand. Im Gegensatz zu ISO/IEC sind Zertifikate zur Auftragsdatenverarbeitung nicht international gültig. Prozessorientierung Komplexität Anerkennung Aufwand/ Kosten 5. Auftragskontrolle IT-Grundschutz x sehr national sehr ISO/IEC x international ISO/IEC x international IDW PS 330 national normal national normal Wie können wir Sie hierbei unterstützen? Wir die datenschutz nord Gruppe können Sie sowohl beim Aufbau eines ISMS und der Erstellung von IT-Sicherheitskonzepten als auch bei der Auditierung und Zertifizierung des ISMS nach ISO/IEC oder IT-Grundschutz umfassend unterstützen. Auch vergeben wir Zertifikate zur Auftragsdatenverarbeitung. Unser Anspruch ist es, Sie nicht nur umfassend zu allen Fragen der ISO zu informieren, sondern Sie auch partnerschaftlich durch die Auditierung und Zertifizierung zu begleiten. Mit Ihnen gemeinsam ein ISMS zu etablieren und geeignete IT-Sicherheitskonzepte zu erstellen, dies würde je nach geographischer Lage Ihres Unternehmens entweder von der datenschutz nord GmbH oder der datenschutz süd GmbH wahrgenommen. Hierbei gehen wir pragmatisch vor und beschränken uns auf die für Sie wesentlichen Aspekte der Informationssicherheit. Den Part der Auditierung und Zertifizierung übernimmt die datenschutz cert GmbH. 5.1 Einführung eines ISMS Zentraler Aspekt bei der Einführung eines ISMS ist der Aufbau einer geeigneten Organisationsstruktur im Unternehmen. Wir unterstützen Sie bei der Etablierung der Prozesse, der Definition der Rollen und der Erstellung der notwendigen Dokumentation. Wir helfen Ihnen dabei, die vielfältigen, abstrakten Anforderungen der Norm angemessen umzusetzen. Dazu unterstützen wir Sie nicht nur bei der Durchführung der Risikoanalyse und der Erstellung des daraus abgeleiteten Sicherheitskonzeptes, sondern begleiten Sie auch bei der Umsetzung der Maßnahmen. Weiterhin führen wir für Sie die in der Norm ISO vorgesehenen internen Audits durch und unterstützen Sie bei den notwendigen Berichten und Managementreviews. Auf diese Weise vermitteln wir Ihnen die verschiedenen Aspekte des PDCA-Zyklus im praktischen Vorgehen und versetzen Sie in die Lage, Ihr ISMS zukünftig selbstständig und effizient zu betreiben und zu nutzen. 5.2 Durchführung einer Risikoanalyse Im Rahmen einer Risikoanalyse werden die relevanten Risiken (u.a. Brand, Wassereinbruch, Diebstahl der Server, Hackerangriffe) ermittelt und bewertet. Zu diesem Zweck werden in der Strukturanalyse erfasst: die Infrastruktur (Gebäude, Serverräume) die Netzkomponenten (Firewall, Switches, Router) und Verbindungen (Ethernet, Backbone-Technik, Internetund Remote-Anbindung) die IT-Systeme (Client, Server, Laptop, Smartphones) und die Anwendungen Auf der Grundlage dieser Aufstellung werden dann die relevanten Gefährdungen festgestellt und eingeschätzt, welche Eintrittswahrscheinlichkeit die Gefährdung für den gegebenen Informationsverbund hat und wie geeignet die umgesetzten technisch-organisatorischen Sicherheitsmaßnahmen sind. Sofern bei der Risikobewertung festgestellt wird, dass weitere Maßnahmen zur Risikoreduktion notwendig sind oder für die bestehenden Maßnahmen Verbesserungspotential festgestellt wird, unterstützen wir Sie auch bei der Festlegung und Umsetzung der notwendigen Maßnahmen. Die durch die datenschutz nord GmbH bzw. datenschutz süd GmbH erstellte Risikoanalyse orientiert sich an der empfohlenen Vorgehensweise nach ISO/ IEC und am BSI Standard Erstellung eines IT-Sicherheitskonzepts Wir unterstützen Sie bei der Erstellung des IT-Sicherheitskonzeptes, welches die notwendigen Sicherheitsmaßnahmen, die sich aus der Risikoanalyse ergeben haben, definiert. Hierbei orientieren wir uns an ISO/IEC 27001/27002, ITIL und den IT-Grundschutzkatalogen des BSI. Für den definierten Informationsverbund werden die geeigneten Maßnahmen ausgewählt und priorisiert, um mit angemessenem Aufwand ein für Sie optimales Sicherheitsniveau zu erreichen und den erkannten Risiken in vernünftiger Weise zu begegnen. 5.4 Auditierung, Zertifizierung Bei der Auditierung und Zertifizierung nach ISO/IEC bzw. IT-Grundschutz unterstützt Sie die datenschutz cert GmbH, die bei der Deutschen Akkreditierungsstelle GmbH (DAkkS) gemäß ISO als Zertifizierungsstelle akkreditiert ist und deren Auditoren beim BSI als ISO Auditteamleiter lizenziert sind. Die Auditierung nach IT-Grundschutz bzw. ISO/IEC besteht im Wesentlichen aus der Sichtung von Referenzdokumenten und einem Site Visit vor Ort. Der Ablauf einer typischen Auditierung und Zertifizierung gestaltet sich wie folgt: 16 17

10 Zu Beginn führen wir ein Kick-Off-Meeting durch: Hierbei werden die weitere Vorgehensweise und der Zeitplan mit Ihnen abgestimmt. Anschließend übergeben Sie uns die Referenzdokumente. Wir prüfen die Referenzdokumente und dokumentieren die Prüfung. Nach der Dokumentationsprüfung erfolgen die Auditvorbereitung sowie der Site Visit vor Ort. Das gesamte Audit wird in einem Auditreport dokumentiert und der Zertifizierungsstelle vorgelegt. Mit der Abnahme des finalen Auditreports erfolgt die Erteilung des Zertifikats auf der Basis von IT-Grundschutz oder ISO/IEC Nachfolgend ist der Life-Cycle eines ISO/IEC Zertifikates dargestellt. Laufzeit des Zertifikats (i.d.r. 3 Jahre) Erst-Zertifizierung Auditierung Vorbereitung/Sichtung Referenzdokumente Preaudit Audit ausführlicher Report Zertifizierung Zertifizierungstätigkeit Ausstellung Zertifikat Übergabe des Zertifikats Listung im Internet über gesamte Laufzeit 1. Überwachungsaudit (nach einem Jahr) 2. Überwachungsaudit (nach zwei Jahren) Re-Zertifizierung Auditierung Zertifizierung 5.5 Kosten Auf welche Kosten/Gebühren müssen Sie sich einstellen? In aller Regel belaufen sich die Kosten für die Beratung, auch abhängig von dem Eigenanteil, den Sie übernehmen, zwischen und Euro. Der Aufwand für die Auditierung hängt wesentlich von der Anzahl der Mitarbeiter im Geltungsbereich ab. Richtwerte für die Audittage vor Ort finden sich wiederum in der Norm ISO/IEC 27006: Anzahl der Mitarbeiter im Geltungsbereich , Anzahl der Tage für die Auditierung vor Ort Da die Kosten für die Beratung einschließlich Dokumentenerstellung und Risikoanalyse sowie Auditierung und Zertifizierung allerdings auch stark von der Komplexität des Untersuchungsgegenstands abhängen, sprechen Sie uns bitte für ein konkretes Angebot einfach an! Falls Sie in Sachen ISO bereits ein Zertifikat des Bundesamtes für Sicherheit in der Informationstechnik (BSI) nach der IT-Grundschutz-Methodik erworben haben, nun aber ein international anerkanntes ISO/IEC Zertifikat wünschen, können wir Ihnen ebenfalls ein attraktives Angebot unterbreiten und das BSI-Zertifikat im Rahmen einer ISO/IEC Zertifizierung anerkennen. Diejenigen Aspekte, die bereits vollumfänglich durch IT-Grundschutz im Rahmen des IT-Grundschutz-Audits vor Ort überprüft wurden, würden dann nicht noch einmal geprüft werden müssen. Die Kosten für ein Zertifikat zur Auftragsdatenverarbeitung sind mit ca. 4-5 Manntagen deutlich geringer. datenschutz nord Gruppe Die datenschutz nord Gruppe, die sich aus der datenschutz nord GmbH, der datenschutz süd GmbH, der datenschutz cert GmbH und der FIRST PRIVACY GmbH zusammensetzt, hat sich auf Dienstleistungen im Bereich des Datenschutzes und der Informationssicherheit spezialisiert. Der Hauptfirmensitz befindet sich in der Überseestadt in Bremen, eigenständige Niederlassungen betreiben wir in Berlin und Würzburg. Den betrieblichen Datenschutzbeauftragten stellen wir in mehr als 300 Unternehmen, davon in mehr als 40 Konzernen. Als IT-Sicherheitsbeauftragter sind wir ebenso in vielen Unternehmen tätig. Wir sind beim Unabhängigen Landeszentrum für Datenschutz (ULD) Schleswig-Holstein, beim Bundesamt für Sicherheit in der Informationstechnik (BSI) und bei der Bundesnetzagentur anerkannt sowie bei der Deutschen Akkreditierungsstelle (DAkkS) als Zertifizierungsstelle akkreditiert. Unsere Geschäftsfelder Beratung & Konzeption Betrieblicher Datenschutzbeauftragter Datenschutzkonzepte Seminare IT-Sicherheitsbeauftragter ISO Penetrationstest Bremen, Würzburg, Berlin datenschutz nord Gruppe Datenschutz IT-Sicherheit Auditierung & Zertifizierung Online-Gütesiegel ips ULD-Gütesiegel, EuroPriSe Datenschutzaudits IT-Grundschutz ISO Common Criteria Bremen, Berlin 18 19

11 01/dsn datenschutz nord GmbH Hauptsitz Bremen Konsul-Smidt-Straße Bremen Niederlassung Berlin-Mitte Reinhardtstraße Berlin Tel.: office@datenschutz-nord.de datenschutz cert GmbH Hauptsitz Bremen Konsul-Smidt-Straße 88a Bremen Niederlassung Berlin-Mitte Reinhardtstraße Berlin Tel.: office@datenschutz-cert.de datenschutz süd GmbH Wörthstraße Würzburg Tel.: office@datenschutz-sued.de