9. AKIF IT-Sicherheits-Tagung

Good Practices zur Umsetzung der Informationssicherheit im Rahmen der DSGVO

Am Dienstag den 24. und Mittwoch den 25. April 2018 fand im Fraunhofer Forum in Berlin eine Tagung des Arbeitskreises Informationssicherheit der Forschungseinrichtungen und Hochschulen in Deutsch-land AKIF statt. Thema der Tagung waren Good Practices bei der Umsetzung der DS-GVO.

Die AKIF-Tagung wurde von Dr.Ulrich Pordesch (Informationssicherheits-Koordinator der Fraunhofer Gesellschaft), Sebastian Kurowski (Fraunhofer IAO) sowie dem Sprecher des AKIF Prof. Dr. Rainer W. Gerling (IT-Sicherheitsbeauftragter der Max-Planck-Gesellschaft) organisiert. Die Tagung war mit 136 Teilnehmerinnen und Teilnehmern sehr gut besucht. Besucher waren IT-Sicherheitsbeauftragte und Datenschutzbeauftragte aus Hochschulen und Forschungsorganisationen, sowie einzelne Vertreter von Ministerien und Behörden.

In verschiedenen Vorträgen wurde über die Praxis des IT-Sicherheits- und Datenschutzmanage-ments sowie Einzelthemen der DS-GVO, wie die Datenlöschung und Datenschutzfolgenabschätzung referiert:

•  Nach einem kurzen Bericht aus dem AKIF gaben Prof. Gerling (MPG) und Dr. Pordesch (Fraunhofer) einen Überblick über die sicherheitstechnisch relevanten Aufgaben durch die DS-GVO. Herausforderungen werden weniger in einigen neuen, als in der strengeren Forderung nach Umsetzung vorhandener Maßnahmen und v.a. deren Dokumentation gesehen.
• Danach referierte Sebastian Kurowski (Fraunhofer IAO) zu den Ergebnissen der Umfrage zum Bedarf von Hochschulen und Forschungseinrichtungen. Bedarf nach Unterstützung ergibt sich in nahezu allen Bereichen der Umsetzung der DS-GVO, vor allem aber bei der Erstellung von Sicherheitskonzepten und im Risikomanagement.
• Andreas Lorenz (Karlsruher Institut für Technologie - KIT) referierte über die Sicherheitspolitik und das Zusammenspiel mit dem Datenschutz. Das KIT hat ein übergreifendes und mehrere auf IT-Verbünde bezogene IT-Sicherheitskonzepte, wobei man versucht, die hohen Aufwände durch Neueinführung vereinfachter Sicherheitsbeschreibungen zu reduzieren und Verfahrensmeldungen für IT und Datenschutz zu integrieren.
• Felix Bieker (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein) sprach über die Datenschutzfolgenabschätzung. Er referierte über eine Studie des Fraunhofer ISI und die darin vorgeschlagene systematische Methodik der Erstellung einer Folgenabschätzungsstudie. Die anschließende Diskussion drehte sich dabei hauptsächlich um den Umfang der Anwendung der DSFA, u.a. die Frage, ob solche Studien auch bereits in einfachen Fällen von Videoanlagen im Unternehmen erforderlich sind.
• Dr. Volker Hammer (Secorvo Security Consulting GmbH) referierte als externer geladener Refe-rent über Löschkonzepte für personenbezogene Daten nach der neuen DIN 66398. Erforderlich sind die Identifizierung von Datenarten, die Ermittlung von Löschfristen anhand Compliance-Vorgaben und die Erarbeitung von Löschregeln, was durch Bildung von Löschklassen handhabbar wird.
• Johannes Nehlsen referierte zu verschiedenen Aspekten der IT-Sicherheit und deren Doku-mentation aus seiner Praxis als Stabstelle IT-Recht der bayerischen staatl. Universitäten und Hochschulen. Neben vielen Hinweisen auf viele für IT-Sicherheit und Datenschutz hilfreiche Projekte und Informationen im Netz gab er auch einen Überblick in die Dokumentationspflichten nach der DS-GVO.
• Den zweiten Tag begann Markus Opferkuch, Informationssicherheitsbeauftragter an der PH Schwäbisch-Gemünd mit einem Vortrag zu Privacy by Design. Der von ihm vorgestellte Ansatz ist die systematische Einbeziehung von Risikomanagement, Informationssicherheit und Datenschutz in nach ITIL-Grundsätzen gestaltetes Servicemanagement, um die Privacy By Design-Anforderungen zu erfüllen. Die größte Herausforderung sieht er in unterschiedlichen Kulturen der Beteiligten.
• Jens Syckor, IT-Sicherheitsbeauftragter der TU Dresden, sprach anschließend über Schwachstellenscans zur regelmäßigen Überprüfung nach Art. 32 DS-GVO. Diese leisten einen praktischen Beitrag zur Erfüllung der Nachweispflichten.
• Abschließend referierte Dr. Pordesch (Fraunhofer) zur Verzahnung von Datenschutz und ISMS in der Fraunhofer Gesellschaft. Er stellte das Fraunhofer ISMS und Datenschutzmanagement-System vor, zeigte Themen und Notwendigkeit einer engen Zusammenarbeit auf und stellte dies an der Risikobewertung für wiss. Projekte dar.

In den Vorträgen und den Reaktionen darauf zeigte sich, dass es viele interessante praktische Lösungsansätze gibt, dass viele Einrichtungen aber auch große Herausforderungen in der Erstellung von Sicherheitskonzepten und anderen Maßnahmen sehen. Gründe hierfür sind, dass viele eistierende Konzepte nicht an der Situation und die speziellen Bedarfe von Forschungseinrichtungen und Hochschulen angepasst sind, dass Erfahrungen fehlen und hohe Aufwände erforderlich sind, die mit den vorhandenen Personal-Ressourcen nicht bewältigen werden können. Viele Konzepte und Ansätze, die zur Erfüllung der DSGVO existieren, scheinen im Kontext von Forschung und Lehre sowohl im Umfang als auch Anwendung überzogen. Dies zeigte sich u.a. in Diskussionen über die Anwendung der DSFA.

In der Abschlussdiskussion sprachen sich die Teilnehmer einhellig dafür aus, dass der Sprecherkreis des AKIF auf den Handlungsbedarf seitens der Forschungseinrichtungen und Hochschulen hinweist, aber auch Augenmaß bei der Aufstellung von Forderungen durch die Legislative und Aufsichtsbehörden anmahnt. Nach Möglichkeit soll zum Inkrafttreten der DSGVO ein entsprechendes Memorandum verfasst werden. Es wurde ferner vielfach angemerkt, dass weitere solche Tagungen zum Erfahrungs- und Ideenaustausch unbedingt nötig seien, wobei aber auch klar wurde, dass deren Organisation und Durchführung Ressourcen und eine Organisationsstruktur erfordert. Schließlich wurden Aufgaben angesprochen, wie eine Security Awareness-Initiative für die Forschung und ISO- oder Grundschutzprofile für Sicherheitskonzepte, die eigene Projekte erforderlich machen. Die genannten Punkte soll der AKIF-Sprecherkreis mit Interessierten, die sich gemeldet haben nun angehen.

Man wird in den Wochen nach der Veranstaltung sehen, ob die genannten Vorschläge umsetzbar sind und daraus eine dauerhafte gemeinsame Initiative erwächst. Unabhängig davon ist die Veran-staltung als großer Erfolg zu werten. Die Vorträge und Diskussionen waren sehr gut und vielfach praxisnah. Die Organisation im Fraunhofer Forum hat perfekt geklappt. Es gab  ausschließlich sehr positive persönliche Rückmeldungen der Teilnehmer und den Wunsch nach mehr und häufigeren derartigen Veranstaltungen. (Dr. Ulrich Pordesch, Sebastian Kurowski)

Die Folien der Referenten sind über das AKIF-Portal verfügbar.