Bereit für den Ernstfall? Richtig handeln: Leitfaden «Incident Response Prozess»

Seit dem 1. September 2023 ist das neue Datenschutzgesetz in der Schweiz in Kraft, das gemäss Artikel 24 die zwingende Meldung von Datenschutzverletzungen mit hohem Risiko für die Persönlichkeitsrechte an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) erfordert. Dies führt zu neuen Anforderungen für den bestehenden Incident Response Prozess. Die Arbeit kombiniert Literatur und Empfehlungen zum Incident Response Prozess mit den Anforderungen im Zusammenhang mit Datenschutzverletzungen, um einen optimierten Prozess zu empfehlen. Das Hauptziel ist der Schutz der Grundrechte und Persönlichkeitsrechte der Menschen, sowie die Einhaltung der gesetzlichen Anforderungen. Der neue Prozess wurde auf Grundlage von Normen, Fachliteratur und Experteninterviews entwickelt und durch Evaluation validiert, wobei ein unstrukturiertes Interview mit einem Experten zur Anwendung kam, der den Ansatz positiv bewertete.

Schützt mich mein bestehender Incident Response Prozess gut genug?

Prozessvergleiche sind eine wichtige Methode, um die Effizienz und Effektivität von Abläufen in einem Unternehmen oder einer Organisation zu bewerten. Indem man die Prozesse miteinander vergleicht, können Schwachstellen und Verbesserungsmöglichkeiten identifiziert werden.

Incident Repsonse Prozesse sind jedoch streng vertraulich und nicht öffentlich zugänglich. Wenn Details eines solchen Prozesses bekannt werden, könnten Angreifer Schwachstellen im Prozess ausnutzen, um den Incident Response Plan zu umgehen oder zu untergraben. Darüber hinaus kann ein solcher Prozess auch vertrauliche Informationen enthalten, wie z.B. interne Abläufe, Verantwortlichkeiten und auch Kommunikationswege.

Auf Basis von ISO/IEC 27001 und dem NIST Framework habe ich einen Incident Response Prozess in BPMN modelliert, der nun diesen Vergleich zulässt.

Die BPMN stellt eine Notation zur Verfügung, die von allen Geschäftsanwendern leicht verstanden werden kann: Von den Geschäftsanalytikerinnen, die die ersten Prozessdesigns erstellen, über die technischen Entwickler, die für die Implementierung der Technologie zur Ausführung dieser Prozesse verantwortlich sind, bis hin zu den Geschäftsanwenderinnen, die diese Prozesse verwalten und überwachen.

Welche Anforderungen beinhaltet das neuen Datenschutzgesetz?

Wird eine Datenschutzverletzung festgestellt, die voraussichtlich ein hohes Risiko für die betroffenen Personen zur Folge hat, so muss das verantwortliche Unternehmen den EDÖB und gegebenenfalls die betroffenen Personen so rasch wie möglich benachrichtigen Art. 24 (SR 235.1 – Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG), o. J.).

Zu Datenschutzverletzungen gehören auch die Entwendung oder der Diebstahl von Daten durch interne oder externe Personen. Aber auch die Zerstörung von Informationen durch Benutzerfehler, technische Probleme, Viren oder Hackangriff.

Die neuen Anforderungen des Datenschutzgesetzes habe ich in den bestehenden Incident Response Prozess integriert und dies durch einen ausgewiesenen Experten prüfen lassen. Dieser hat meinen Ansatz für sehr gut befunden.

Sind Sie interessiert an den Ergebnissen?

Die gesamte Arbeit wird in Form eines E-Books veröffentlicht. In diesem E-Book werden Sie Informationen zu den Anforderungen der ISO/IEC 27001 und NIST finden sowie detaillierte Einblicke in die betreffenden Prozesse erhalten. Darüber hinaus werden Empfehlungen für eine verbesserte Zusammenarbeit zwischen den Datenschutz- und Datensicherheitsabteilungen präsentieren.

Autor:
Fabian Wipf | LinkedIn

www.linkedin.com/in/fabian-wipf/