ISO 27001 A.5.5: Kontakt mit Behörden im Ernstfall meistern

Es ist Freitagnachmittag, 16:30 Uhr. Plötzlich leuchtet eine Warnmeldung auf Ihrem Bildschirm: „Ungewöhnliche Netzwerkaktivität festgestellt“. Ist das nur ein kleiner technischer Schluckauf oder der Beginn eines ernsthaften Sicherheitsvorfalls? Während Ihr Team versucht, das Problem zu analysieren, schießt Ihnen eine Frage durch den Kopf: „Wenn das hier ernst wird, wen müssen wir eigentlich informieren? Das BSI? Die Datenschutzbehörde? Beide?“

‍

Diese Unsicherheit ist in vielen Unternehmen Alltag. Die Anforderung A.5.5 aus der ISO 27001, den „Kontakt mit Behörden“ zu regeln, klingt abstrakt, wird aber im Ernstfall zur entscheidenden, zeitkritischen Aufgabe. Ein gut vorbereiteter Plan ist hier nicht nur eine Compliance-Anforderung, sondern ein Rettungsanker in der Krise.

‍

Dieser Leitfaden übersetzt die formale Anforderung in die Praxis. Wir zeigen Ihnen, welche Behörden in Deutschland relevant sind, wann Sie wen kontaktieren müssen und wie Sie einen klaren, stressresistenten Prozess dafür aufbauen.

‍

Die deutsche Behördenlandschaft: Wer ist wer im Datenschutz und in der Cybersicherheit?

‍

Um zu wissen, wen man anrufen muss, muss man erst einmal die Akteure kennen. In Deutschland teilen sich hauptsächlich drei Arten von Institutionen die Zuständigkeit. Jede hat einen anderen Fokus, und das ist der Schlüssel zum Verständnis.

‍

• Das Bundesamt für Sicherheit in der Informationstechnik (BSI): Stellen Sie sich das BSI als die nationale Cyber-Feuerwehr vor. Seine Hauptaufgabe ist die IT-Sicherheit des Bundes und der Schutz kritischer Infrastrukturen (KRITIS), wie Energieversorger oder Krankenhäuser. Das BSI interessiert sich vor allem für die technische Stabilität und Sicherheit der IT-Systeme. Mehr über die Rolle des BSI im Rahmen von NIS2 zu erfahren, hilft, dessen Mandat besser zu verstehen.
  ‍
• Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI): Der BfDI ist die oberste Datenschutzbehörde auf Bundesebene. Er ist primär für den Datenschutz bei Bundesbehörden und Telekommunikationsunternehmen zuständig. Für die meisten privaten Unternehmen ist er seltener der erste Ansprechpartner.
  ‍
• Die Landesdatenschutzbehörden (LfD): Dies sind die wichtigsten Ansprechpartner für die meisten Unternehmen, wenn es um die DSGVO geht. Jedes Bundesland hat seine eigene Datenschutzbehörde, die für die privaten Unternehmen in diesem Bundesland zuständig ist. Ihr Fokus liegt auf dem Schutz personenbezogener Daten und den Rechten der betroffenen Personen.

‍

‍

Der entscheidende Unterschied: Das BSI kümmert sich um die Sicherheit der Systeme, die Datenschutzbehörden um die Sicherheit der personenbezogenen Daten in diesen Systemen.

‍

Die Kernentscheidung: Welcher Vorfall, welche Behörde?

‍

Ein Vorfall ist nicht gleich Vorfall. Die entscheidende Frage, die Sie sich stellen müssen, ist: „Was genau ist passiert und was ist betroffen?“ Aus der Antwort leitet sich ab, ob und an wen Sie melden müssen.

‍

‍

Weg A: Es geht um personenbezogene Daten (DSGVO-Meldepflicht)

‍

Sobald personenbezogene Daten (Namen, E-Mail-Adressen, Gesundheitsdaten etc.) von einem Sicherheitsvorfall betroffen sind – zum Beispiel durch einen Hackerangriff, einen Datenverlust oder unbefugten Zugriff – greift die Datenschutz-Grundverordnung (DSGVO).

‍

Wer ist zuständig?

Die Landesdatenschutzbehörde des Bundeslandes, in dem Ihr Unternehmen seinen Hauptsitz hat.

‍

‍Die Frist

‍Die Meldung muss „unverzüglich und möglichst binnen 72 Stunden“ nach Bekanntwerden erfolgen. Diese 72-Stunden-Frist ist einer der häufigsten Stolpersteine.Was muss gemeldet werden?

‍

• Eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten.
• Die Kategorien und die ungefähre Zahl der betroffenen Personen.
• Die Kategorien und die ungefähre Zahl der betroffenen personenbezogenen Datensätze.
• Name und Kontaktdaten des Datenschutzbeauftragten.
• Eine Beschreibung der wahrscheinlichen Folgen der Verletzung.
• Eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung.

‍

Weg B: Es geht um die IT-Sicherheit (BSI-Gesetz & NIS2)

‍

Für bestimmte Organisationen gibt es eine Meldepflicht an das BSI. Dies betrifft vor allem Betreiber Kritischer Infrastrukturen (KRITIS) und zunehmend mehr Unternehmen unter der NIS2-Richtlinie. Hier geht es um erhebliche Störungen der IT-Systeme, die die Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit informationstechnischer Systeme beeinträchtigen. Oftmals überschneiden sich die NIS2 Meldepflicht und jene der DSGVO.

‍

Wer ist zuständig? Das Bundesamt für Sicherheit in der Informationstechnik (BSI).Die Frist: Die Fristen sind oft gestaffelt. Unter NIS2 gibt es beispielsweise eine Erstmeldung innerhalb von 24 Stunden und eine detailliertere Meldung innerhalb von 72 Stunden. Es ist wichtig, die genauen NIS2 Meldefristen zu kennen.Was muss gemeldet werden? Die Meldungen sind oft technischer Natur und fokussieren sich auf die Art des Angriffs, die betroffenen Systeme und die Auswirkungen auf die Dienstleistung.

‍

Der häufige Fall: Die Überschneidung

‍

Ein Ransomware-Angriff auf ein Krankenhaus ist das perfekte Beispiel für eine Überschneidung:

‍

1. DSGVO-Meldung: Patientendaten wurden verschlüsselt und sind möglicherweise abgeflossen. Dies ist eine Verletzung des Schutzes personenbezogener Daten und muss an die zuständige Landesdatenschutzbehörde gemeldet werden.
   ‍
2. BSI-Meldung: Das Krankenhaus ist eine kritische Infrastruktur, und der Angriff hat die IT-Systeme und damit die Fähigkeit zur Patientenversorgung erheblich gestört. Dies muss an das BSI gemeldet werden.

‍

In solchen Fällen müssen Sie an beide Behörden melden. Die Meldungen haben unterschiedliche Schwerpunkte, aber es ist essenziell, beide Prozesse parallel zu managen.

‍

Den Prozess formalisieren: A.5.5 in die Tat umsetzen

‍

ISO 27001 fordert mit dem Kontrollpunkt A.5.5, dass Sie diese Prozesse nicht dem Zufall überlassen. Es geht darum, eine klare, dokumentierte und geübte Vorgehensweise zu etablieren. Eine solide Grundlage mit ISO 27001 und DSGVO erleichtert die Einhaltung erheblich.

‍

Ihr Ziel: Jeder im Team, der einen Vorfall entdecken könnte, muss wissen, was die nächsten Schritte sind und wer die Verantwortung trägt.

‍

‍

Schritte zur Umsetzung von A.5.5:

‍

1. Zuständigkeiten definieren: Wer ist der primäre Ansprechpartner für Sicherheitsvorfälle? Wer ist für die rechtliche Bewertung verantwortlich? Wer führt die Kommunikation mit den Behörden?
   ‍
2. Kontaktliste erstellen und pflegen: Erstellen Sie eine Liste mit den genauen Kontaktdaten der für Sie relevanten Behörden (Ihre Landesdatenschutzbehörde, das BSI-Meldeportal etc.). Halten Sie diese Liste aktuell!
   ‍
3. Meldekriterien festlegen: Definieren Sie intern klar, wann ein Vorfall meldepflichtig ist. Nutzen Sie dabei die Kriterien der DSGVO (Risiko für die Rechte und Freiheiten natürlicher Personen) und des BSI-Gesetzes/NIS2 (erhebliche Störung).
   ‍
4. Prozess dokumentieren: Schreiben Sie den gesamten Prozess von der Entdeckung eines Vorfalls bis zur finalen Meldung und Dokumentation nieder. Wer informiert wen in welcher Reihenfolge? Welche Informationen werden benötigt?
   ‍
5. Regelmäßig üben: Führen Sie Table-Top-Übungen durch. Simulieren Sie einen Vorfall und spielen Sie den Meldeprozess durch. So decken Sie Schwachstellen auf, bevor der Ernstfall eintritt.

‍

Praktische Ressourcen: Ihre Behörden-Kontaktliste

‍

Nichts ist im Ernstfall schlimmer, als erst nach dem richtigen Link zum Meldeformular suchen zu müssen. Hier ist eine Liste der Landesdatenschutzbehörden in Deutschland. Speichern Sie sich den Link zu Ihrer zuständigen Behörde als Lesezeichen.

‍

• Baden-Württemberg
• Bayern (BayLDA)
• Berlin
• Brandenburg
• Bremen
• Hamburg
• Hessen
• Mecklenburg-Vorpommern
• Niedersachsen
• Nordrhein-Westfalen
• Rheinland-Pfalz
• Saarland
• Sachsen
• Sachsen-Anhalt
• Schleswig-Holstein
• Thüringen

‍

Zentrales Meldeportal des BSI:

‍

• Melde- und Informationsportal (MIP)

‍

Fazit: Vorbereitung ist der beste Schutz

‍

Der Kontakt mit Behörden im Krisenfall ist keine Kür, sondern eine Pflicht. Die Komplexität der deutschen Behördenlandschaft und die strengen Fristen können überwältigend sein, aber mit einem klaren, formalisierten Prozess verlieren sie ihren Schrecken.

‍

Indem Sie die Anforderung A.5.5 nicht nur als Checkbox, sondern als integralen Bestandteil Ihrer Incident-Response-Strategie verstehen, verwandeln Sie Unsicherheit in Handlungssicherheit. Erstellen Sie Ihre Kontaktlisten, definieren Sie Ihre Prozesse und üben Sie für den Ernstfall. Denn am Ende ist der beste Plan der, den Sie haben, lange bevor Sie ihn brauchen.

‍

Häufig gestellte Fragen (FAQ)

‍

Was genau bedeutet die 72-Stunden-Frist bei der DSGVO?

‍

Die Frist beginnt, sobald Sie eine „hinreichende Sicherheit“ darüber erlangt haben, dass ein Sicherheitsvorfall stattgefunden hat, der zu einer Verletzung des Schutzes personenbezogener Daten geführt hat. Sie müssen nicht alle Details kennen, aber sobald der begründete Verdacht besteht, beginnt die Uhr zu ticken.

‍

Was passiert, wenn ich zu spät melde?

‍

Eine verspätete Meldung kann als eigener Verstoß gegen die DSGVO gewertet und mit Bußgeldern geahndet werden. Wenn Sie die Frist nicht einhalten können, müssen Sie die Verzögerung in Ihrer Meldung begründen.

‍

Sollte ich im Zweifel lieber melden oder nicht?

‍

Im Zweifel ist eine Meldung oft die sicherere Variante. Eine Nicht-Meldung eines meldepflichtigen Vorfalls ist ein schwerwiegenderer Verstoß als eine vorsorgliche Meldung, die sich später als nicht notwendig herausstellt. Dokumentieren Sie Ihre Risikobewertung und Entscheidungsfindung immer sorgfältig.

‍

Was ist der Unterschied zwischen einem Sicherheitsvorfall und einer Datenschutzverletzung?

‍

Ein Sicherheitsvorfall ist ein breiterer Begriff und bezeichnet jedes Ereignis, das die Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen gefährdet (z. B. ein Virenangriff). Eine Datenschutzverletzung ist eine spezielle Art von Sicherheitsvorfall, bei dem personenbezogene Daten betroffen sind. Jeder Datenschutzverstoß ist ein Sicherheitsvorfall, aber nicht jeder Sicherheitsvorfall ist ein Datenschutzverstoß. Der Unterschied zwischen DSGVO und NIS 2 liegt genau in diesem Fokus.

‍