Bereit für den Ernstfall? Richtig handeln: Leitfaden «Incident Response Prozess»
Seit dem 1. September 2023 ist das neue Datenschutzgesetz in der Schweiz in Kraft, das gemäss Artikel 24 die zwingende Meldung von Datenschutzverletzungen mit hohem Risiko für die Persönlichkeitsrechte an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) erfordert. Dies führt zu neuen Anforderungen für den bestehenden Incident Response Prozess. Die Arbeit kombiniert Literatur und Empfehlungen zum Incident Response Prozess mit den Anforderungen im Zusammenhang mit Datenschutzverletzungen, um einen optimierten Prozess zu empfehlen. Das Hauptziel ist der Schutz der Grundrechte und Persönlichkeitsrechte der Menschen, sowie die Einhaltung der gesetzlichen Anforderungen. Der neue Prozess wurde auf Grundlage von Normen, Fachliteratur und Experteninterviews entwickelt und durch Evaluation validiert, wobei ein unstrukturiertes Interview mit einem Experten zur Anwendung kam, der den Ansatz positiv bewertete.
Schützt mich mein bestehender Incident Response Prozess gut genug?
Prozessvergleiche sind eine wichtige Methode, um die Effizienz und Effektivität von Abläufen in einem Unternehmen oder einer Organisation zu bewerten. Indem man die Prozesse miteinander vergleicht, können Schwachstellen und Verbesserungsmöglichkeiten identifiziert werden.
Incident Repsonse Prozesse sind jedoch streng vertraulich und nicht öffentlich zugänglich. Wenn Details eines solchen Prozesses bekannt werden, könnten Angreifer Schwachstellen im Prozess ausnutzen, um den Incident Response Plan zu umgehen oder zu untergraben. Darüber hinaus kann ein solcher Prozess auch vertrauliche Informationen enthalten, wie z.B. interne Abläufe, Verantwortlichkeiten und auch Kommunikationswege.
Auf Basis von ISO/IEC 27001 und dem NIST Framework habe ich einen Incident Response Prozess in BPMN modelliert, der nun diesen Vergleich zulässt.
Die BPMN stellt eine Notation zur Verfügung, die von allen Geschäftsanwendern leicht verstanden werden kann: Von den Geschäftsanalytikerinnen, die die ersten Prozessdesigns erstellen, über die technischen Entwickler, die für die Implementierung der Technologie zur Ausführung dieser Prozesse verantwortlich sind, bis hin zu den Geschäftsanwenderinnen, die diese Prozesse verwalten und überwachen.
Welche Anforderungen beinhaltet das neuen Datenschutzgesetz?
Wird eine Datenschutzverletzung festgestellt, die voraussichtlich ein hohes Risiko für die betroffenen Personen zur Folge hat, so muss das verantwortliche Unternehmen den EDÖB und gegebenenfalls die betroffenen Personen so rasch wie möglich benachrichtigen Art. 24 (SR 235.1 – Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG), o. J.).
Zu Datenschutzverletzungen gehören auch die Entwendung oder der Diebstahl von Daten durch interne oder externe Personen. Aber auch die Zerstörung von Informationen durch Benutzerfehler, technische Probleme, Viren oder Hackangriff.
Die neuen Anforderungen des Datenschutzgesetzes habe ich in den bestehenden Incident Response Prozess integriert und dies durch einen ausgewiesenen Experten prüfen lassen. Dieser hat meinen Ansatz für sehr gut befunden.
Sind Sie interessiert an den Ergebnissen?
Die gesamte Arbeit wurde als E-Books veröffentlicht: Cybersecurity für KMU – Incident Response Strategien.
Entstanden aus dem CAS Business Process Management FHNW
In diesem E-Book finden Sie Informationen zu den Anforderungen der ISO/IEC 27001 und NIST finden sowie detaillierte Einblicke in die betreffenden Prozesse erhalten. Darüber hinaus werden Empfehlungen für eine verbesserte Zusammenarbeit zwischen den Datenschutz- und Datensicherheitsabteilungen präsentieren.
Autor: Fabian Wipf | LinkedIn
CAS Business Process Management
Geschäftsprozesse analysieren, innovieren, gestalten und digitalisieren.
Grosse und kleine Unternehmen müssen sich ständig veränderten Situationen anpassen. Neue Informationssysteme, Digital Business und Qualitätsmanagement erfordern neue Abläufe und innovative Prozesse, oft auch über Unternehmensgrenzen hinweg. Das Management und die Gestaltung von Geschäftsprozessen sind heute und in Zukunft für eine erfolgreiche Unternehmensführung zentral.
Im Zertifikatskurs «Business Process Management» lernen Sie, Geschäfts- und Produktionsprozesse in Ihrem Unternehmen zu analysieren, innovieren, gestalten, digitalisieren und kontinuierlich an neue Gegebenheiten anzupassen. Das seit Jahren erfolgreiche und laufend dem aktuellen Stand der Technik angepasste CAS Business Process Management kann unabhängig oder als Teil des MAS Information Systems Management besucht werden.
Programmleitung: Prof. Dr. Andreas Martin
CAS Weiterbildungsprogramme an der FHNW passend zu dem obigen Thema
CAS Business Process Management | FHNW
CAS Cybersecurity und Information Risk Management mit ISO 27001 Zertifizierung | FHNW