Standards und Normen: Durchblick im Wirrwarr

Gesetze und Normen sind eigentlich einfach nachvollziehbar: Der Gesetzgeber erlässt sie, die Unternehmen richten sich danach. Gäbe es nur nicht so viele davon – auch und gerade in Sachen Informationssicherheit. Welche gibt es, welche sind relevant und was ist eigentlich ihr Nutzen? Ein Überblick.

Daniel Städeli ist Team Leader Competence & Technology Development bei der Bassersdorfer Ispin.

Es gibt wohl nichts, was nicht gesetzlich geregelt wäre. Auch die Informationssicherheit bildet da keine Ausnahme. Leider sind die Normen und Vorschriften punkto Sicherheit oft schwammig formuliert und stammen oft aus verwandten Anwendungsbereichen.

Besonders kompliziert und tückisch wird es, wenn man sich aufs internationale Parkett begibt. So lange man alle Informationen und Tätigkeiten in einem Land ausübt, sind die Regeln eines Staates anwendbar. Erstreckt sich das Tätigkeitsgebiet aber über mehrere Länder, sind eine Vielzahl von Regelsätzen zu beachten.

In der Schweiz gelten ganz allgemein die Regeln des Obligationenrechts (OR). Wichtig in diesem Zusammenhang ist OR 754 (Verantwortlichkeit), in dem die Verantwortlichkeiten von Verwaltungsrat und Geschäftsführung festgehalten sind. Delegation ist erlaubt, wobei Instruktion und Überwachung nicht delegierbar sind. Konkreter über Sicherheit der Information äussert sich das Datenschutzgesetz (DSG). In der Managementverantwortung liegt aber vor allem die Durchsetzung von Compliance mit Sicht auf alle relevanten Gesetze.

Datenschutz in der Schweiz

Das Datenschutzgesetz vom Juni 1992 regelt den Schutz der Persönlichkeit und der personenbezogenen Informationen. Zudem unterstützt es die Wahrung der Privatsphäre. Das Gesetz schützt nicht die Daten, sondern die verfassungsmässige persönliche Freiheit. Es will den freien Informationsfluss nicht verhindern, ihn aber dort unterbinden, wo Missbrauch zu befürchten ist. Geschützt werden in erster Linie die Personendaten, also alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen. Besonders schützenswerte Personendaten sind dabei: die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten, die Gesundheit, die Intimsphäre sowie die Rassenzugehörigkeit, Massnahmen der sozialen Hilfe, administrative oder strafrechtliche Verfolgungen und Sanktionen.

Das DSG umfasst neben dem eigentlichen Bundesgesetz über den Datenschutz auch die Verordnung zum Bundesgesetz über den Datenschutz (VDSG) und Leitfäden zum DSG. Einer von diesen ist etwa der «Leitfaden zu technischen und organisatorischen Massnahmen». Diese Leitfäden enthalten sehr konkrete, umsetzbare Massnahmen, die gemessen werden können.