Neue NCSC Templates zur Schutzbedarfsanalyse und Risikoanalyse: Mehr Gewicht auf Datenschutz, weniger konkrete Hilfestellung bei den klassischen IKT-Risiken
Am 7.9.2023 hat das Nationale Zentrum für Cybersicherheit (NCSC) neue Excel-Templates für die Schutzbedarfsanalyse und Risikoanalyse herausgegeben. Mit diesen Änderungen wird im Sicherheitsverfahren des Bundes auf die neue Datenschutz-Gesetzgebung reagiert, welche per 1.9.2023 in Kraft getreten ist. Wie diese Anpassungen aussehen und was dies für Projektleiter und Schutzobjektverantwortliche bedeutet, wird folgend erörtert und im Fazit am Schluss zusammengefasst.
Die neue Gesetzgebung vom 1.9.2023 zum Datenschutz manifestiert sich primär über das neue Datenschutzgesetz (DSG) und die neue Datenschutzverordnung (DSV). Ohne auf die Details der Neuerungen einzugehen, erhöhen sich die Anforderungen an den Datenschutz, z.B. bezüglich Auskunftsrechts, Meldepflicht oder Bekanntgabe ins Ausland. Um mit diesen Neuerungen konform zu sein, wurde das Sicherheitsverfahren des Bundes leicht angepasst.
Mit der Schutzbedarfsanalyse, kurz Schuban, wird festgelegt, wie hoch die Anforderungen an Vertraulichkeit, Verfügbarkeit, Integrität und Nachvollziehbarkeit sind. Sie ist die Messlatte für den Sicherheitsbedarf eines IKT-Systems. Die Schuban ist im Bundesumfeld für jedes IKT-Vorhaben nach HERMES obligatorisch zu erstellen. Sie berücksichtigt die neuen Vorgaben zum Datenschutz im Rahmen des Schutzziels “Vertraulichkeit”.
Die Einstufungsoptionen der Personendaten in der bisherigen Schutzbedarfsanalyse (Version 4.5) waren:
- Keine Personendaten
- Personendaten
- Besonders schützenswerte Personendaten oder Persönlichkeitsprofile
- Personendaten deren Missbrauch für den Betroffenen Gefahren für Leib und Leben bedeutet
Die Einstufungsoptionen der Personendaten in der neuen Schutzbedarfsanalyse Version 4.6 (Excel) sind:
- Keine Personendaten
- Personendaten werden bearbeitet - Risikovorprüfung ergibt kein hohes Risiko
- Personendaten werden bearbeitet - Risikovorprüfung ergibt hohes Risiko
Hier bedingt einzig Stufe 3 “Risikovorprüfung ergibt hohes Risiko” den erhöhten Schutz, welcher wie bisher eine entsprechende Behandlung der Cyberrisiken mittels Risikoanalyse und ISDS-Konzept nach sich zieht.
Bei der Beurteilung der Vertraulichkeit ist somit das Resultat der Risikovorprüfung bezüglich Personendaten ausschlaggebend, anstelle der bisherigen, statischen Kategorisierung. Erst wenn die Risikovorprüfung hohes Risiko ausweist, gilt auch der Schutzbedarf im Bereich Vertraulichkeit als erhöht.
Die Risikovorprüfung beurteilt grob das Risiko bei der Bearbeitung von Personendaten im Bund und bestimmt damit auch über die Notwendigkeit einer Datenschutzfolgeabschätzung (DSFA). Sie ist begründet mit den “Richtlinien des Bundesrates für die Risikovorprüfung und die Datenschutz‑Folgenabschätzung bei Datenbearbeitungen durch die Bundesverwaltung” – kurz, den DSFA-Richtlinien, welche ebenfalls per 1.9.2023 in Kraft getreten sind.
DSFA-Richtlinie Ziffer 5.1 besagt konkret zur Risikovorprüfung:
Wird ein Projekt nach HERMES durchgeführt, so führt die zuständige Verwaltungseinheit die Risikovorprüfung zur selben Zeit wie die Rechtsgrundlage- und die Schutzbedarfsanalyse durch. Die Risikovorprüfung wird entweder mit dem Instrument für die Risikovorprüfung oder im Rahmen der Schutzbedarfsanalyse durchgeführt.
Für die Risikovorprüfung stellt das Bundesamt für Justiz (BJ) eine Informationsseite zur Verfügung, inklusive Hilfsmittel für die Risikovorprüfung, dem Instrument für die Risikovorprüfung (Excel). Die Risikovorprüfung sammelt Angaben zur Datenbearbeitung, insbesondere
- Kategorie der Personendaten
- Umfang der Datenbearbeitung
- Zweck der Datenbearbeitung
- Spezifische Fragen
Die Angaben sind als Freitext bzw. “Ja/Nein”-Antworten zu erfassen und dokumentieren unterschiedliche Risikofaktoren. Die schlussendliche Beurteilung der Risikovorprüfung wird aber nicht automatisch aus den Risikofaktoren im Excel berechnet, sondern manuell eingetragen. Die Risikofaktoren sind nur als Hinweis auf ein möglicherweise hohes Risiko für die Grundrechte der betroffenen Personen zu verstehen und müssen in ihrem Kontext betrachtet werden.
Ergibt die Risikovorprüfung ein erhöhtes Risiko:
- Wird eine Datenschutzfolgeabschätzung (DSFA) verpflichtend
- Hat das Schutzobjekt gemäss Schutzbedarfsanalyse automatisch erhöhten Schutzbedarf und benötigt Risikoanalyse und ISDS-Konzept
Hinweis zum Themenbereich DSFA: Der Link zum Template des Bearbeitungsreglements (welches ebenfalls einige Aspekte des Datenschutzes behandelt) wurde von der NSCS-Seite zum erhöhten Schutz ersatzlos gestrichen (vgl. Snapshot auf archive.org vom 25.07.2023). Dies deutet auf eine Ablösung des Bearbeitungsreglements in seiner bisherigen Form hin.
Die Risikoanalyse wurde von Version 4.2 auf Version 4.3 (Excel) aktualisiert und räumt nun Risiken, welche aus dem Datenschutz entstehen (violett in der rechten Hälfte des Screenshots), mehr Aufmerksamkeit ein.
Die ehemals 16 Risiko-Beispiele aus dem Template V4.2 (links im Screenshot), welche am deutschen BSI IT-Grundschutzkompendium (Site-Link, PDF-Link) angelehnt waren bzw. an dessen Liste von 47 elementaren Gefährdungen (Site-Link, PDF-Link), wurden nun auf vier unverbindliche Beispiele reduziert. Diese zielen in ihrer Formulierung spezifisch auf die vier Schutzziele Vertraulichkeit, Verfügbarkeit, Nachvollziehbarkeit und Integrität ab. Zu diesen nunmehr vier IKT-Risiken wurden sechs Risiko-Beispiele hinzugefügt, die Aspekte aus dem Datenschutz abdecken und dem DSFA-Leitfanden entstammen.
Die Risiken aus den Templates sind reine Beispiele und dürfen (bzw. sollen) auf das Schutzobjekt angepasst werden. Wer sich bisher bewusst eng an den Beispiel-Risiken aus den Templates orientiert hat, um die Vergleichbarkeit der Risiken zwischen mehreren Risikoanalysen in einem bestehenden Schutzobjekt-Portfolio zu wahren, kann sich auch weiterhin an die Beispiele aus Version 4.2 halten. Da die Version 4.2 nicht mehr auf der Website des NCSC verfügbar ist, werden die Risiken zur Nachvollziehbarkeit hier explizit wiedergegeben:
R2 Ausfall oder Störung der Stromversorgung oder von Kommunikationsnetzen
R3 Ausfall oder Störung von Dienstleistern
R4 Ausspähen von Informationen, Spionage, Abhören
R5 Diebstahl oder Verlust von Geräten, Datenträgern oder Dokumenten
R6 Fehlplanung oder fehlende Anpassung, Ressourcenmangel
R7 Manipulation von Informationen, Hard- oder Software
R8 Zerstörung, Ausfall oder Fehlfunktion von Geräten oder Systemen
R9 Softwareschwachstelle oder -Fehler
R10 Verstoss gegen Vorschriften oder Regelungen
R11 Unberechtigte oder fehlerhafte Nutzung oder Administration von Geräten und Systemen, Missbrauch von Berechtigungen
R12 Personalausfall
R13 Missbrauch personenbezogener Daten
R14 Verhinderung von Diensten (Denial of Service), Sabotage
R15 Unbefugtes Eindringen in Räumlichkeiten
R16 Datenverlust
Nach wie vor gilt, dass die Sicherheitsdokumentation nach Freigabe für 5 Jahre oder bis zur nächsten signifikanten Änderung ihre Gültigkeit behält. Das bedeutet, dass bestehende Schutzbedarfs- und Risikoanalysen nicht unmittelbar auf die neue Version aktualisiert werden müssen. Da es sich zudem um kleine, gezielte Anpassungen handelt, ist eine entsprechende Aktualisierung vor allem für jene Schutzobjekte oder Projekte von Mehrwert, die sich durch die differenzierte Bewertung der Risiken im Datenschutz (via Risikovorprüfung) eine treffendere Bewertung in der Schutzbedarfsanalyse zur Vertraulichkeit erwarten dürfen.
Für alle anderen Schutzobjekte oder Projekte lohnt sich der zeitnahe Wechsel auf die Schuban V4.6 bzw Risikoanalyse V4.3 nicht, zumal für 2024 ohnehin mit einer neuen Version der Templates zu rechnen ist. Der IT-Grundschutz bleibt unverändert mit der Version 5.0 vom 20.4.2022.
Fazit
- Aufgrund der neuen Datenschutzgesetzgebung vom 1.9.2023 wurde am 7.9.2023 die Schutzbedarfsanalyse und die Risikoanalyse der NCSC-Templates zum Sicherheitsverfahren im Bund aktualisiert.
- Die Schutzbedarfsanalyse Version 4.6 löst Version 4.5 ab und führt die Risikovorprüfung bei der Bearbeitung von Personendaten ein. Deren Ergebnis beeinflusst die Anforderungen an die Vertraulichkeit eines Schutzobjekts.
- Wird ein Projekt nach HERMES durchgeführt, kann die Risikovorprüfung entweder mit dem Instrument für die Risikovorprüfung oder im Rahmen der Schutzbedarfsanalyse durchgeführt werden.
- Die Beispielrisiken in der neuen Risikoanalyse Version V4.3 wurden verändert, um Risiken aus dem Datenschutz mehr Bedeutung einzuräumen. Dazu wurden u.A. Risiken aus dem DSFA-Leitfaden eingeführt. Wer die bisherigen Risiken aus dem Version 4.2 Template weiterhin als konsistente Grundlage einsetzen möchte, kann dies tun.
- Der Einsatz der neuen Schuban und Risikovorprüfung lohnt sich für Schutzobjekte und Projekte, die sich durch die differenzierte Bewertung der Risiken im Datenschutz eine treffendere Bewertung in der Schutzbedarfsanalyse zur Vertraulichkeit erwarten dürfen.
- Das Template für das Bearbeitungsreglement wurde entfernt und wird vermutlich bald durch eine Nachfolgelösung ersetzt werden.
Informatikstruktur des Bundes: Wie minimale Sicherheitsanforderungen erreicht werden können
[Mai 2022] Neuerungen im IT-Grundschutz 5.0