Produktvorstellung: ITQ-Basisprüfung

Die Qualität, die Einhaltung geltender rechtlicher Bestimmungen und das Sicherheitsniveau ihrer IT können Unternehmen häufig für sich selbst nicht hinterfragen. Das hat mehrere Gründe: Zum einen macht niemand gerne freiwillig Fehler, zum anderen sind die gesetzlichen Vorgaben und Anforderungen so komplex, dass viele Mittelständler keine Zeit haben, sich damit zu beschäftigen – oder damit schlichtweg überfordert sind. Insbesondere die neue Datenschutzgrundverordnung (EU-DSGVO – 2016/679/EU), welche ab dem 25. Mai 2018 mit einem „Fallbeileffekt“ das neue europaweit weitgehend einheitlich geregelte Datenschutzrecht darstellen wird, stellt Unternehmen vor große Herausforderungen. Sie wird zum Startzeitpunkt ohne eine weitere Übergangsfrist uneingeschränkt ihre Wirkung entfalten und alle Unternehmen betreffen, die nicht ausschließlich „analog“ arbeiten. Dies gilt unabhängig von der Unternehmensgröße und Branche.

In der Praxis sprechen wir hier über zwei unterschiedliche Themen:

  • Datenschutz: Diese betrifft die Verarbeitung von Personenbezogenen Daten und kümmert sich um deren Schutz
  • Datensicherheit: Hier geht es um die technische Umsetzung von IT-Sicherheit die unabhängig des Datenschutzes Notwendig sind. Als Leitfaden dienen hier die IT-Grundschutzkataloge des BSI

 

Das Produkt

Die Vorgaben sind sehr komplex und für Laien schwer verständlich. Damit Unternehmen oder auch verantwortliche Personen in Unternehmen bei der Vorbereitung auf die EU-DSGVO nicht vollkommen bei Null beginnen müssen, hat sich das Institut für Technologiequalität (kurz: ITQ) etwas einfallen lassen:  ITQ-Basisprüfung. Diese Prüfung verschafft Firmen mit vergleichsweise geringen Aufwand einen Überblick über den aktuellen Stand im Unternehmen und gibt Handlungsempfehlungen zu Erfüllung der Anforderungen.

Das Ziel der Prüfung ist eine allgemeine Überprüfung des Sicherheitsniveaus und der Konfiguration des Netzwerkes zur Bestimmung der Ist-Situation. Auf dieser Grundlage sollen Handlungsempfehlungen ausgesprochen werden. Bei der Überprüfung wird eine allgemeine Inspektion des Netzwerkes vorgenommen und durch ein Audit-Gespräch eine Überprüfung auf Basis von Teilen des BSI-Grundschutz und einem von der ITQ GmbH erstellten Prüfkatalog durchgeführt. Die Ausarbeitung und der erstellte Katalog an Maßnahmenempfehlungen sollen der Geschäftsleitung als Werkzeug dienen, um notwendige Maßnahmen der IT zu erkennen, zu verstehen, zu steuern und zu überwachen.

Nach absolvierter Basisprüfung erhält das Unternehmen, unabhängig vom Ergebnis der Überprüfung, das ITQ-Basissiegel zur Verwendung z.B. auf der Unternehmenswebseite oder auf Geschäftspapieren. Mit dem ITQ-Basissiegel ausgezeichnete Unternehmen signalisieren Geschäftspartnern, Behörden, Ämtern und Mitarbeitern:

  • Zum im Siegel angegeben Datum hat sich das im Siegel genannte Unternehmen einer Basisprüfung ITQ der ITQ GmbH unterzogen
  • Diese wurde durch einen Kompetenzpartner des Instituts durchgeführt. Dabei wurde ein umfangreicher Fragenkatalog abgearbeitet und es wurden Sicht- und technische Prüfungen unternommen, um mögliche IT-Sicherheitsrisiken zu identifizieren
  • Das geprüfte Unternehmen hat damit den wichtigen ersten Schritt in Richtung IT-Sicherheit unternommen. Es kann klar identifizierte Risiken nun im Rahmen eines praxisnahen Risiko-Managements berücksichtigen und ist dazu in der Lage, durch das Umsetzen von Maßnahmenempfehlungen die IT-Sicherheit im Unternehmen stetig zu erhöhen

 

Schritt für Schritt auf dem richtigen Weg zu mehr IT-Sicherheit – wie verläuft so eine Prüfung im Detail? 

  • Ist Analyse gemäß BSI Grundschutz
  • Detaillierte Auswertung
  • Handlungsempfehlungen
  • Maßnahmenkatalog
  • Risikobewertung
  • Risikoanalyse

Welchen Nutzen bzw. welche Vorteile kann ein Unternehmen aus der ITQ-Basisprüfung ziehen?

  • Dokumentation wichtiger Grundlagen für die DS-GVO ab Mai 2018
  • Gesetzliche Anforderungen gemäß BSI Grundschutz erfüllen
  • Unternehmerische Sorgfaltspflicht nachweisen, private Haftung vermeiden
  • Maßgeschneidert für den deutschsprachigen Mittelstand
  • Hohes persönliches Sicherheitsempfinden schaffen
  • Praxistaugliche Vorbereitung für Zertifizierungs-Standards wie DIN oder ISO
  • Geringerer Aufwand für den Datenschutzbeauftragten bei der EU-DSGVO

 

Fazit

Ich selbst habe in den vergangenen Wochen mehrere Audits auf Basis der ITQ-Basisprüfung in Unternehmen unterschiedlichster Größe durchgeführt und bin sehr positiv überrascht. Der Umfang, die Detailtiefe und der Informationsgehalt, welcher dem Kunden nach Abschluss des Audits präsentiert werden kann, steht in keinem Verhältnis zum Preis. Gerade die Anlehnung an den BSI-Grundschutz macht es auch für Laien sehr einfach, entsprechende Maßnahmen und Vorkehrungen anhand der Empfehlungen aus der Basisprüfung zu verstehen, nachvollziehen zu können und umzusetzen oder umsetzen zu lassen. Im Grunde genommen kann der Prüfbericht als eine Art Pflichtenheft bei der Vergabe einer Umsetzungsleistung an externe Dienstleister verwendet werden. Andersherum betrachtet kann die Ableitung der Empfehlungen auch als Step-By-Step Anleitung für die Umsetzung von Maßnahmen in Eigenregie verwendet werden. Und last, but not least verdeutlicht der Prüfbericht Probleme im Unternehmen für alle beteiligten Personen in einer verständlichen Sprache, welche nicht nur von IT-Fachpersonal, sondern auch von Entscheidern verstanden werden kann. 

Kurz gesagt: Eine Runde Sache, die ich voll und ganz empfehlen kann!