Security is a process!

Das Standard-Datenschutzmodell (SDM)

Was ist das Standard-Datenschutzmodell (SDM)?

„Das SDM überführt die rechtlichen Anforderungen der DSGVO mit Hilfe der Gewährleistungsziele in technische und organisatorische Maßnahmen. Es unterstützt damit die Transformation abstrakter rechtlicher Anforderungen in konkrete technische und organisatorische Maßnahmen.“
Webseite des Bundesbeauftragten für den Datenschutz (BfDI)

So zumindest wird das Standard-Datenschutzmodell aus Sicht der Datenschutzaufsichtsbehörden gesehen. Zusammen mit dem BfDI empfiehlt die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder und der IT-Planungsrat (mit Beschluss vom 25.03.2020) seit vielen Jahren das Standard-Datenschutzmodell (SDM).

„Um die Anwendung des SDM zu erleichtern, nutzt die SDM-Methodik vergleichbare Modellierungsmechanismen wie die Grundschutzmethodik. BSI-Grundschutz und SDM basieren auf der gleichen Modellierung einer Verarbeitungstätigkeit.“
Standard-Datenschutzmodell, Version 3.1

Wir werden uns in den nächsten Monaten mit einer Reihe von Beiträgen in unserem Blog mit dem Standard-Datenschutzmodell (SDM) beschäftigen.

Die Herausforderung beim Standard-Datenschutzmodell

Insbesondere beim oben genannten zweiten Zitat besteht die Frage, wie man das SDM in ein konkretes ISMS auf der Basis von IT-Grundschutz einbinden kann. Weder die generischen Maßnahmen noch die Bausteine des SDM lassen sich ohne Anpassungen in einem IT-Grundschutz-Check prüfen. Das Vorgehen im SDM weicht dafür zu stark von den BSI-Vorgaben zur IT-Grundschutz-Methodik ab (insbesondere vom BSI-Standard 200-2 Abschnitt 6.2.1 Modellierung nach IT-Grundschutz sowie der Autorenrichtlinie zur Erstellung eines benutzerdefinierten Bausteins und der Vorlage für einen benutzerdefinierten Baustein). Eine Integration des SDM in ein bestehendes ISMS nach BSI IT-Grundschutz ist dadurch mit großem Aufwand verbunden – Missverständnisse und Doppelarbeit inklusive.

Die Lösungsansätze

Eine Integration des SDM in ein bestehendes ISMS nach BSI IT-Grundschutz kann grundsätzlich in zwei verschiedenen Ausprägungen durchgeführt werden:

1-zu-1-Ansatz:
Von einer 1-zu-1-Integration des SDM wird in den meisten Fällen abzuraten sein. Die Vorgehensweise des SDM und die in einem ISMS nach ISO/IEC 27001 (nativ oder auf Basis von IT-Grundschutz) weichen dazu aus unserer Sicht zu weit voneinander ab. Insbesondere fügt sich die SDM-Methodik nicht in die Gesamtheit der vorhandenen BSI-Bausteine ein. Wir werden in diesem und den folgenden Beiträgen nicht weiter auf diese Variante eingehen.

Schnittstellen-Ansatz:
Die Integration des SDM in einem bestehenden ISMS kann jedoch über eine Schnittstellendefinition in Form einer Abbildungsvorschrift erfolgen. Hierfür bietet sich in der IT-Grundschutz-Methodik die Möglichkeit zur Erstellung benutzerdefinierter Bausteine an. Der Zusammenhang zum SDM wird dann gegenüber Audit-Teams, Datenschutzbeauftragten und Aufsichtsbehörden in den benutzerdefinierten Bausteinen und den zugehörigen im IT-Grundschutz-Checks nachgewiesen.

In diesem Beitrag stellen wir den Schnittstellen-Ansatz näher vor. Für die im SDM aufgeführten generischen Maßnahmen stellen wir am Ende dieses Artikels unseren Entwurf für einen benutzerdefinierten Baustein CON.2.bd.1 Generische Maßnahmen im SDM zur Modellierung in einem ISMS nach BSI IT-Grundschutz zum Download an. Wir beabsichtigen den Baustein zukünftig für die BSI-Webseite (Benutzerdefinierte Bausteine) bereitzustellen und würden uns über Ihre Meinung und Hinweise zu unserem Entwurf sehr freuen.

Der Schnittstellen-Ansatz

Der Schnittstellen-Ansatz beginnt mit der Annahme, dass Sie zunächst im ISMS die Dokumentation der Erfüllung der folgenden Anforderungen sicherstellen müssen:

ISO/IEC 27001 Control A.5.31, Legal, statutory, regulatory and contractual requirements

ISO/IEC 27001 Control A.5.34 Privacy and protection of PII

ISO/IEC 27001Control A.5.36 Compliance with policies, rules and standards for information security

BSI IT-Grundschutz-Kompendium CON.2 Datenschutz

Erst im zweiten Schritt geht es um die Anwendung des SDM. Besonders wichtig ist es dabei zu erfahren, was bereits ohne SDM im ISMS verankert ist und was noch fehlt. Das SDM selbst liefert hierzu keine Anhaltspunkte, weil in der Beschreibung der Methodik und in allen SDM-Bausteinen auf einen Abschnitt Abgrenzung und Modellierung verzichtet wurde, wie er in der Vorlage für einen benutzerdefinierten Baustein beschrieben wird. Im der Schnittstellen-Ansatz muss also eine Abbildungsvorschrift vom SDM in bereits modellierte oder noch nicht modellierte BSI-Bausteine eines konkreten ISMS definiert werden.

Beispiel aus den generischen Maßnahmen im Standard-Datenschutzmodell

Das SDM definiert in Teil D: Praktische Umsetzung über 60 „generische technische und organisatorische Maßnahmen (…), die in der Datenschutzprüfpraxis vieler Datenschutzaufsichtsbehörden seit vielen Jahren erprobt sind“. Die folgende Maßnahme befasst sich zum Beispiel mit Anforderungen an das Personal:

„Eingrenzung der zulässigen Personalkräfte auf solche, die nachprüfbar zuständig (örtlich, fachlich), fachlich befähigt, zuverlässig (ggf. sicherheitsüberprüft) und formal zugelassen sind sowie keine Interessenskonflikte bei der Ausübung aufweisen (B1.7 Vertraulichkeit)“

SDM D1.3 Vertraulichkeit, 3. Strichaufzählung

Eine weitere Konkretisierung nimmt das SDM an dieser Stelle nicht vor. Wie bereits erwähnt, fehlt auch ein Abschnitt zur Abgrenzung und Modellierung, der hier weiterhelfen könnte. Es stellt sich für Ihr ISMS also die folgenden Frage:

Aus dieser Frage lassen sich unter Anwendung der Autorenrichtlinie zur Erstellung eines benutzerdefinierten Bausteins und der Vorlage für einen benutzerdefinierten Baustein die folgenden Anforderungen für einen benutzerdefinierten Baustein ableiten:

CON.2.bd.1.A__ Bestimmung von Interessenskonflikten (B)

Die Institution MUSS unvereinbare Aufgaben und Funktionen (Interessenskonflikte) für die Verarbeitungstätigkeit definieren (siehe ORP.4.A4 Aufgabenverteilung und Funktionstrennung).

CON.2.bd.1.A__ Modellierung von Bausteinen (B)

Die Bausteine

  • ORP.1 Organisation
  • ORP.2 Personal
  • ORP.4 Identitäts- und Berechtigungsmanagement

MÜSSEN einmal auf den gesamten Informationsverbund angewendet werden.

CON.2.bd.1.A__ Modellierung von Standard-Anforderungen (B)

Bei der Modellierung einer Verarbeitungstätigkeit MUSS neben den Basis-Anforderungen zusätzlich die folgende Standard-Anforderung angewendet werden:

  • ORP.2.A7 Überprüfung der Vertrauenswürdigkeit von Mitarbeitenden (S)

CON.2.bd.1.A__ Modellierung von Anforderungen für erhöhten Schutzbedarf (H)

Bei der Modellierung einer Verarbeitungstätigkeit SOLLTE neben den Basis-Anforderungen zusätzlich die folgende Anforderung für erhöhten Schutzbedarf angewendet werden:

  • ORP.2.A13 Sicherheitsüberprüfung (H)

Aus diesen benutzerdefinierten Anforderungen lässt sich jetzt eine Antwort auf unsere Frage formulieren:

Im Ergebnis bedeutet das: Falls der IT-Grundschutz-Check für die definierten benutzerdefinierten (Teil-)Anforderungen eine vollständige Erfüllung nachweist, so ist auch die zu Grunde liegende SDM-Anforderung erfüllt. Das ISMS muss also „nur“ die benutzerdefinierte Anforderung zu den Interessenkonflikten berücksichtigen und klären, was darunter zu verstehen ist. Der Rest der SDM-Anforderung kann bereits vollständig durch die Anwendung des IT-Grundschutz-Kompendiums abgebildet werden.

Einschränkungen

Es gibt mehrere Anforderungen, die auch nach der Formulierung einer BSI-konformen benutzerdefinierten Anforderung unklar bleiben. Für die teils schlagwortartig aufgezählten generischen Maßnahmen im SDM lassen sich zwar Anforderungen formulieren, was aber zum Beispiel für eine Erfüllung der folgenden Anforderung genau nötig ist, muss im Rahmen der Umsetzungsplanung geklärt werden:

CON.2.bd.1.A__ Umsetzung von institutionellen Vorgaben (B)

Die Institution MUSS Optionen für Betroffene bereitstellen, um Programme datenschutzgerecht einstellen zu können.

Die Abbildung auf das Standard-Datenschutzmodell in Zahlen

Von den 65 generischen Maßnahmen des SDM lassen sich rund ein Drittel (23) vollständig und weitere neun teilweise durch die Anwendung des IT-Grundschutz-Kompendiums erfüllen. Durch die teilweise entstehenden doppelten Verknüpfungen mit Bausteinen des IT-Grundschutz Kompendiums sind für die Abdeckung der 65 generischen Maßnahmen des SDM im benutzerdefinierten Baustein CON.2.bd.1 nur 24 benutzerdefinierte Anforderungen nötig:

65

Generische Maßnahmen im SDM

23

vollständig durch IT‑Grundschutz erfüllbar

9

teilweise durch IT‑Grundschutz erfüllbar

1

Benutzerdefinierter Baustein CON.2.bd.1

24

Benutzerdefinierte Anforderungen

In unseren CycleSEC ISMS-Frameworks verwenden wir diesen und weitere benutzerdefinierte Bausteine mit entsprechenden IT-Grundschutz-Checks als Schnittstelle zwischen SDM und ISMS.

Fazit und Ausblick

Dieses Vorgehen reduziert den Aufwand im ISMS erheblich und es lässt sich auf jedes BSI-konforme ISMS übertragen – unabhängig davon, ob Sie die CycleSEC ISMS-Frameworks verwenden oder ein anderes ISMS-Tool. So ist es möglich, die Strichpunktauflistung der generischen Maßnahmen im SDM mit einem benutzerdefinierten Baustein für alle Verarbeitungstätigkeiten im Informationsverbund zu modellieren.

Die hier dargestellten Überlegungen gelten nicht nur für die 65 generischen Maßnahmen, sondern auch für die 9 SDM-Bausteine im SDM-Referenzmaßnahmen-Katalog mit ihren über 400 Anforderungen. Wir werden diese SDM-Bausteine in den kommenden Teilen unserer Beitragsreihe thematisieren – bleiben Sie dran 😉

Download des Bausteins CON.2.bd.1 Generische Maßnahmen im SDM

Sie können unseren benutzerdefinierten Baustein CON.2.bd.1 Generische Maßnahmen im SDM unter dem folgenden Link herunterladen.

Benutzerdefinierter Baustein CON.2.bd.1 Generische Maßnahmen im SDM

Die CycleSEC GmbH hat diesen Baustein zur Umsetzung der generischen Maßnahmen im SDM erstellt.

Hinweis:
Wir beabsichtigen den Baustein nach einer angemessenen Testphase für die BSI Webseite (Benutzerdefinierte Bausteine) bereitzustellen. Wir würden uns über Ihre Meinung und Hinweise zu unserem Entwurf sehr freuen.

Herausgeber: CycleSEC GmbH, Hamburg
Versionsstand: 0.9.0 (ENTWURF)
Lizenz: CC BY-ND 4.0: Namensnennung-Keine Bearbeitungen 4.0 International (https://creativecommons.org/licenses/by-nd/4.0/)

Baustein CON.2.bd.1 herunterladen…

Durchstarten im Standard-Datenschutzmodell mit den CycleSEC ISMS-Frameworks

CycleSEC bietet seinen Kunden zur ISMS-Implementierung nach ISO/IEC 27001 und BSI IT-Grundschutz eine eigenentwickelte Struktur aus modularen ISMS-Frameworks und mehreren Compliance-Mappings zu wichtigen Anforderungen der Informationssicherheit. Die CycleSEC ISMS-Frameworks unterstützen auch den Schnittstellen-Ansatz zur Integration des SDM:

ISMS: ISO/IEC 27001:2022 – Information security management systems – Requirements

Risiko-Management: ISO/IEC 27005:2022 – Guidance on managing information security risks

ISMS-Prozesse: ISO/IEC 27022:2021 – Guidance on information security management system processes

ISO/IEC 27001 auf Basis von IT-Grundschutz: Die CycleSEC ISMS-Frameworks als Alternative zu Ihrem Grundschutz-Tool

Risiko-Management: Gefährdungen des BSI IT-Grundschutz-Kompendiums

Datenschutz-Grundverordnung: Anforderungen der europäischen Verordnung zum Schutz personenbezogener Daten nach Standard-Datenschutzmodell (SDM)

NIS 2: Gesetzes zur Umsetzung der NIS-2-Richtlinie (im Referentenentwurf vom 07.05.2024)

Staatlicher Geheimschutz: Anlage 4 zum Geheimschutzhandbuch – GHB: VS-NfD-Merkblatt mit Stand 07/2023

Branchen-Label: Mapping zum TeleTrusT Vertrauenszeichen IT Security made in Germany

Als Managed Service, zur eigenverantwortlichen Nutzung oder als Consulting-Projekt

Die CycleSEC ISMS-Frameworks stehen als Managed Service oder zur eigenverantwortlichen Nutzung zur Verfügung. Oder Sie starten Ihre ISMS-Implementierung wie gewohnt in einem Consulting-Projekt mit unserem erfahrenen Team und wir passen die ISMS-Frameworks auf Ihre individuellen Bedürfnisse an und unterstützen Sie bei allen Projektaktivitäten im Zusammenhang mit Ihrem ISMS.

Veröffentlicht am

Photo of author

Dieser Beitrag kommt von

CycleSEC Redaktion

Die CycleSEC GmbH wurde 2015 als wissenschaftliche Ausgründung der Fachhochschule Münster gegründet. Seit 2017 ist das Unternehmen im alleinigen Besitz des Gründers Sebastian Klipper. CycleSEC hat seinen Sitz in Hamburg. Aus dem Norden der Republik bietet die CycleSEC GmbH ihr Beratungsportfolio in ganz Deutschland und darüber hinaus an.

Sie haben noch Fragen?

Nehmen Sie Kontakt zu uns auf:

Hier geht's zum Kontaktformular

Bitte stimmen Sie der Benutzung von Cookies durch diese Webseite zu. Weitere Informationen

Informationen zu Coockies

Diese Webseite verwendet so genannte Cookies. Sie dienen dazu, die Webseite, insbesondere die Kommentarfunktion nutzerfreundlicher, effektiver und sicherer zu machen. Cookies sind kleine Textdateien, die auf Ihrem Rechner abgelegt werden und die Ihr Browser speichert. Cookies richten auf Ihrem Rechner keinen Schaden an und enthalten keine Viren.

Wenn Sie auf "Akzeptieren" klicken, erklären Sie sich mit der Nutzung von Cookies einverstanden.

Schließen