IT-Grundschutzmodule – Handwerk / KMU

Als Ergebnis einer vom HPI und dem BSI Anfang 2018 initiierten Workshop-Reihe wurde im März 2019 ein IT-Grundschutz-Profil für Handwerksbetriebe vom ZDH veröffentlicht.

Die Basis dieses IT-Grundschutz-Profils bilden ausgewählte Bausteine und Anforderungen aus dem IT-Grundschutz-Kompendium des BSI (Edition 2018), die von den im Workshop beteiligten Experten/innen aus Handwerksorganisationen als handwerksrelevant bewertet wurden. Durch die Umsetzung dieser Anforderungen soll das Informations-Sicherheitsniveau eines Betriebes signifikant erhöht werden.
Die Handwerkorganisationen HPI , KOMZET IT-Sicherheit  und ZDH-ZERT , einigten sich darauf, dass die Prüfung und Nachweisführung des IT-Grundschutzes im Handwerksbetrieb in verschiedenen Anforderungsstufen erfolgen kann (Fundament, Stufe 1: Einsteiger, Stufe 2: Fortgeschrittene und Stufe 3: Profi).

Durch die aufeinander aufbauenden Stufen mit Prüfung und Nachweisführung erhalten die Handwerksbetriebe eine praktikable Möglichkeit, den IT-Grundschutz Schritt für Schritt umzusetzen und in der letzten Stufe die Basis-Absicherung nach IT-Grundschutz zu erreichen.

Zur Umsetzung dieses Stufenmodells haben die Vertreter der Handwerksorganisation im ersten Schritt den Anforderungskatalog (Bausteine und Anforderungen) der Stufe 1 Einsteiger auf Basis des IT-Grundschutzkompendiums des BSI (Edition 2020) definiert und ein Programm zur Prüfung und Nachweisführung des IT-Grundschutz-Profils für Handwerksbetriebe entworfen. Dieses Programm beinhaltet den Ablauf des Prozesses von der Anfrage eines Betriebes für eine Konformitätsbescheinigung nach dem IT-Grundschutz-Profil für Handwerksbetriebe bis hin zur Erstellung und Aufrechterhaltung des Nachweises. Die notwendigen Dokumente zur Beantragung der Konformitätsbescheinigung sind Gegenstand dieser Broschüre.
Basierend auf der Konformitätsbescheinigung kann nach Durchlaufen aller vier Stufen eine Testierung der Basisabsicherung nach IT-Grundschutz und darauf aufbauend eine ISO 27001 Zertifizierung auf Basis von IT-Grundschutz erlangt werden.

Facebook Fanpage bis Ende diesen Jahres abschalten – Der Bundesdatenschutzbeauftragte Prof. Ulrich Kelber nimmt Stellung zu Facebook-Auftritten

Aus Sicht der Datenschutzbehörden von Bund und Ländern ist Facebook zu keinen Änderungen an seiner Datenverarbeitung bereit ist. Mit dem Betreiben einer Fanpages kann man der Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO nicht nachkommen, so Kelber. Auch ein Verweis der Nutzer in Bezug auf Informationen zur Verarbeitung ihrer personenbezogenen Daten im Rahmen einer Facebook-Fanpage allein pauschal auf Facebook ist nicht ausreichend.

Er empfiehlt angesichts der fortdauernden Verletzung des Schutzes personenbezogener Daten der Nutzerinnen und Nutzer  die Fanpage nachdrücklich, diese bis Ende diesen Jahres abzuschalten. Ab Januar 2022 beabsichtige er – im Interesse der betroffenen Bürgerinnen und Bürger – schrittweise von den ihm nach Art. 58 DSGVO zur Verfügung stehenden Abhilfemaßnahmen Gebrauch zu machen.

Ebenfalls empfiehlt er die Apps von Instagram, Tiktok und Clubhouse einstweilen nicht auf dienstlichen Geräten einzusetzen.
Quelle:
BfDI – Bürgerinnen und Bürger – Facebook-Auftritte von öffentlichen Stellen des Bundes

Start der Modularisierung des IT-Grundschutz-Profils für Handwerksbetriebe – Stufe 1: Einsteiger

Die fortschreitende Globalisierung und die damit verbundene Digitalisierung erreichen zunehmend handwerkliche Kleinstunternehmen. Gleichzeitig nehmen potenzielle Risiken und die Gefahr von Hackerangriffen zu. Um die Digitalisierung des Handwerks zukunftsfähig und sicher zu gestalten, muss Informationssicherheit von Beginn an mitgedacht werden.

Für größere Unternehmen haben IT-Sicherheitsbotschafter der Handwerkskammern sowie das Heinz-Piest-Institut für Handwerkstechnik (HPI), der BFE und der ZDH-ZERT ein Muster-Sicherheitskonzept entwickelt, das nun als Schablone für Handwerksbetriebe mit vergleichbaren Rahmenbedingungen dienen kann. Das IT-Grundschutzprofil Basisabsicherung ist jedoch ein langjähriger Prozess dessen Ende nur wenige Betriebe erreichen wollen oder können.

IT-Sicherheitsbotschafter, HPI und ZDH-ZERT und BSI haben sich daher entschlossen den Gesamtprozess zu modularisieren.  Das erste Modul (Einstiger) betrachtet grundlegende Sicherheitsanforderungen, wie z.B. Datensicherung, Software-Aktualisierung und Browserschutz,  die auch in den kleinsten Betrieben umgesetzt werden können.

ZDH-ZERT wird als Konformitätsbewertungsstelle nach erfolgter positiver Prüfung eine Bescheinigung für die Umsetzung eines Moduls ausstellen. Mit dem Konformitätsnachweis – geplant sind drei Stufen – können die Handwerksbetriebe Ihr erreichtes IT-Sicherheitsniveau gegenüber Kunden, industriellen Auftraggebern und Versicherungen nachweisen.

Für Unternehmen wurden Vorlagen wie IT-Sicherheitsleitlinie, Strukturanalyse und Checklisten erstellt. Die aufeinander aufbauenden Module gewährleisten den Betrieben eine signifikante Steigerung der IT-Sicherheit.

Das erste Modul für Einsteiger wurde nun von dem Arbeitskreis der IT-Sicherheitsbotschafter „Modularisierung IT-Grundschutz“ fertiggestellt. Wir hoffen, dass zahlreiche Unternehmen die kostenlosen Beratungsdienstleistungen der Sicherheitsbotschafter in Anspruch nehmen.