Leitlinie zur Informationssicherheit
Gem. BSI-Grundschutz, Standard 200-2 und ISO 27 001
Einleitung
In diesem Dokument definieren wir die grundlegenden Ziele, Mittel und Strukturen, mit denen wir bei der M.F.G. Pengueen UG (haftungsbeschränkt) (im folgenden „Pengueen“) ein angemessenes Maß an Informationssicherheit herstellen und aufrechterhalten wollen.
1.1. Adressat/-innen des Dokuments
Die Inhalte dieser Leitlinie sind verbindlicher Auftrag an alle internen Mitarbeiter_Innen von Pengueen. Darüber hinaus sind sie verbindliche Grundlage für alle Partner_innen von Pengueen, die
- in Geschäftsprozesse von Pengueen eingebunden sind,
- auf interne Informationen zugreifen dürfen,
- Zugang zu internen IT-Systemen bekommen und/oder
- Zutritt zu unseren Räumlichkeiten haben.
1.2. Motivation
Pengueen steht für einen hohen ethischen Anspruch an die Digitalisierung. Pengueen ist davon überzeugt, dass Digitalisierung niederschwellig für jedermann und jederfrau ohne Angst, ohne Habgier, dafür mit Spaß und Teilhabe zur Verfügung stehen sollte. Digitale Hilfsmittel sind Werkzeuge für Fachkräfte. Sie sollten daher von den Fachkräften selbst konzipiert, erstellt und gepflegt werden können. Wir legen Wert auf eine positive Digitalisierungs-Bilanz: das heißt, der Nutzen von Hilfsmitteln muss höher sein als der Aufwand für die Pflege und Erstellung.
Wir sind überzeugt: der richtige Einsatz von Software kann Menschen bei dem Informieren, Kommunizieren und Organisieren entlasten.
Zu unserer Mission „Ethische Digitalisierung für alle“ gehört untrennbar auch der Anspruch, die Vertraulichkeit, Integrität und Verfügbarkeit der Daten und Systemen sicherzustellen, die uns anvertraut wurden bzw. mit denen wir arbeiten. Deshalb legen wir bei Pengueen ein großes Augenmerk auf die Informationssicherheit.
1.3. Was wollen wir schützen?
- Personenbezogene Daten, die uns anvertraut wurden – und damit diejenigen, die uns ihre Daten anvertraut haben: unsere Kund_Innen, Mitarbeiter_Innen und Geschäftspartner_Innen.
- Die Daten, Informationen und Systeme, ohne die wir unsere Arbeit nicht machen und unseren Kund_Innen nicht das einzigartige Pengueen-Erlebnis bieten könnten.
1.4. Wovor wollen wir Daten schützen?
- Wir schützen Daten vor der Beeinträchtigung ihrer Vertraulichkeit, d.h. davor, dass sie nicht in die Hände von Dritten fallen, für die sie nicht bestimmt sind. Unsere Mission der Ethischen Digitalisierung zielt nicht nur auf den reinen Datenschutz ab, sondern geht über diesen hinaus. Wir stellen unseren Kunden eine Plattform zur Verfügung, wo diese unbeeinflusst, unüberwacht und ohne jede Form der Auswertung, Weitergabe, Monetarisierung, Werbung oder Manipulation ihrer Daten sicher und selbstbestimmt arbeiten können. Wir von Pengueen nehmen unsere Verantwortung als Unternehmen unseren Kund_Innen, Mitarbeiter_Innen und Geschäftspartner_Innen gegenüber ernst und legen großen Wert darauf, die Vertraulichkeit der uns anvertrauten Daten zu schützen.
- Wir schützen Daten vor der Beeinträchtigung ihrer Integrität: Unser Geschäftsmodell basiert darauf, die in der Regel vertraulichen Daten unserer Kunden geschützt ihrem Netzwerk zur Verfügung zu stellen. Damit ihnen Pengueen als zuverlässige Austauschplattform zur Verfügung steht, ist es wichtig, die Integrität der Daten und Systeme vor Manipulation zu sichern, die unsere Kunden_Innen in Pengueen speichern.
- Wir schützen Daten vor der Beeinträchtigung ihrer Verfügbarkeit: Unser Geschäftsmodell basiert darauf, unseren Kunden Pengueen zu jeder Zeit und an jedem Ort zur Verfügung stellen zu können. Nur so kann unser Angebot den größtmöglichen Mehrwert bieten.
1.5. Wie lassen sich diese Schutzziele mit unseren Unternehmenszielen verbinden?
Das Ziel von Pengueen ist es, unseren hohen ethischen Anspruch an das Miteinander in allen Bereichen unseres Wirkens zu realisieren. Wir wollen einen Beitrag zu einer Gesellschaft leisten, in der sich Digitalisierung ethisch, gleichberechtigt und auf Augenhöhe entwickeln kann. Diese Verantwortung nehmen wir bei Pengueen sehr ernst, und deshalb liegt uns auch der Schutz der uns anvertrauten Daten unserer Kund_Innen, Mitarbeiter_Innen und Geschäftspartner_Innen am Herzen.
2. Informationssicherheit bei Pengueen
Pengueen hat die Mission, durch Vorleben das Thema Ethische Digitalisierung zu platzieren. Dabei setzen wir auf ein Netzwerk externer Berater_Innen, regelmäßige Audits und einen engen Austausch im Team. Wir sind davon überzeugt, dass wir durch unsere Arbeit zur niederschwelligen Nutzung Digitaler Hilfsmittel beitragen und einen Mehrwert für unsere Kunden sowie für die Kunden unserer Kunden schaffen. Wir nehmen unsere Aufgaben in der Informationssicherheit sehr ernst und sind überzeugt, dass eine gute Informationssicherheit Grundlage für Vertrauen ist und dadurch einen Raum für Entwicklung schafft. Wir haben deshalb von Anfang an Wert auf die Sicherheit der uns anvertrauten Daten gelegt und formalisieren diesen Anspruch nun durch die Etablierung eines Informationssicherheits-Management-System (ISMS), das sich an den Vorgaben der ISO/IEC 27001 und des BSI-Grundschutzes (BSI-Standards 200-1 und 200-2)
orientiert und das Ziel hat, die Eintrittswahrscheinlichkeit von Vorfällen auf ein Minimum zu reduzieren und die Auswirkungen potentieller Vorfälle einzuschränken.
Dieses Ziel ist integraler Bestandteil unserer Geschäftsziele, unserer Strategie und unserer Geschäftspläne. Der externe System Auditor ist für die Überprüfung dieser generellen ISMS-Zielvorgaben und für die Definition neuer Zielvorgaben verantwortlich.
Wir denken das Thema Informationssicherheit bei allen Vorhaben von Anfang an mit und haben geeignete Strukturen und Prozesse etabliert, die so angelegt sind, dass sie sich mit unserer Weiterentwicklung automatisch weiter entwickeln können. So stellen wir sicher, dass Informationssicherheit tief im Unternehmen verankert ist.
2.1. Verantwortlichkeiten
Für alle Mitarbeiter_Innen von Pengueen gelten die folgenden verbindlichen Regeln:
- Jede Person, die Informationen nutzt, ist im Rahmen der Vorgaben für deren Sicherheit verantwortlich.
- Jede schützenswerte Information ist gemäß des erforderlichen Sicherheitsniveaus zu schützen.
- Nur eindeutig ausgewiesene Personen mit entsprechenden Berechtigungen erhalten Zugang zu bzw. Zugriff auf schützenswerte Informationen.
- Berechtigungen für den Zugriff auf Informationen werden nur dann vergeben, wenn dies für die jeweilige Tätigkeit notwendig ist. Diese Berechtigungen werden regelmäßig geprüft und ggf. wieder entzogen.
- Alle kunden- oder personenbezogenen Informationen werden durch die Mitarbeiter_Innen vertraulich behandelt und nur im Rahmen der Sicherheitsvorgaben von Pengueen verarbeitet.
- Jede/r Mitarbeiter_In ist aufgefordert, jederzeit aktiv an der Erkennung und Vermeidung von Sicherheitsvorfällen mitzuwirken.
- IT-Systeme und IT-Ausstattung werden entsprechend den Regelungen und Anweisungen genutzt.
- Es werden die persönlichen Passwörter genutzt, die zweckgebunden vergeben wurden; diese dürfen nicht weitergegeben werden.
- Der Grundsatz eines aufgeräumten Büros, Schreibtisches und Bildschirms wird beachtet.
Die Einhaltung der Leitbilder verlangt ein hohes Maß an Sicherheitsbewusstsein. Die Geschäftsführung fördert deshalb aktiv Maßnahmen, um den Führungskräften und Mitarbeiter_Innen wie auch Dienstleistern und Lieferanten bewusst zu machen, dass und warum die Informationssicherheit bei Pengueen eine hohe Bedeutung hat.
Dabei liegt die grundsätzliche Verantwortlichkeit für die Informationssicherheit und das ISMS bei der Geschäftsführung von Pengueen. Sie hat sicherzustellen, dass das ISMS entsprechend der vorliegenden Richtlinie umgesetzt und aufrechterhalten wird und dass alle notwendigen Ressourcen verfügbar sind. Der externe System Auditorist für die Umsetzung und Koordination sowie den Betrieb des ISMS verantwortlich. Er erstattet Bericht über die Leistungsfähigkeit des ISMS und prüft mindestens einmal die Angemessenheit, Eignung und Wirksamkeit des ISMS. Für die Aufstellung und Implementierung des Plans für Training und Awareness, dem alle Personen unterliegen, die eine Rolle im Informationssicherheits-Management innehaben, ist die Geschäftsführung verantwortlich.
2.2. Leitlinien-Kommunikation
Der externe System Auditor und die Geschäftsführung stellen sicher, dass alle Mitarbeiter_Innen von Pengueen sowie externe Parteien mit der vorliegenden Leitlinie vertraut sind.
3. Risikobetrachtung
Das ISMS von Pengueen ist in der Lage, Bedrohungen für Informationen und informationsverarbeitende Systeme im Anwendungsbereich zu erkennen und mit wirtschaftlich und fachlich geeigneten Gegenmaßnahmen ein akzeptables Risikoniveau herzustellen.
Ziel des Umgangs mit informationellen Risiken bei Pengueen ist es, alle wesentlichen Bedrohungen zu identifizieren, deren Eintrittswahrscheinlichkeit festzustellen und auf dieser Basis mit geeigneten und angemessenen Sicherheitsmaßnahmen den Eintritt dieser Risiken ausreichend zu mindern. Hierbei werden sowohl unternehmensinterne als auch gesetzliche und regulatorische Vorgaben berücksichtigt. Hierzu wird der externe System Auditor beauftragt, Informationssicherheitsrisiken
- fortlaufend und mindestens jährlich
- für alle relevanten Assets im Anwendungsbereich des ISMS
- in Abstimmung mit der Geschäftsführung
zu bewerten und zu behandeln.
Der externe System Auditor ist angehalten, die Vorgehensweisen zur Erfassung von Werten und die Analyse und Behandlung von Risiken zu dokumentieren und als verbindliches ISMS-Dokument unternehmensintern zu veröffentlichen.
Für die Auswertung dieses Dokuments auf Wirksamkeit und Angemessenheit müssen folgende Kriterien berücksichtigt werden:
- Anzahl von Mitarbeiter_Innen und externen Parteien mit einer Funktion im ISMS, denen dieses Dokument nicht bekannt ist
- Mangelnde Übereinstimmung des ISMS mit Gesetzen und Vorschriften, vertraglichen Verpflichtungen und anderen internen Dokumenten des Unternehmens
- Mängel in Umsetzung und Aufrechterhaltung des ISMS
- unklare Verantwortlichkeiten für die Umsetzung des ISMS
4. Gültigkeit und Dokument-Management
Dieses Dokument ist gültig ab dem 1. Mai 2022.
Der Eigentümer des Dokuments ist der externe System Auditor, der das Dokument mindestens einmal jährlich prüfen und gegebenenfalls aktualisieren muss.
5. Legitimation
Hiermit erklärt die Geschäftsführung von Pengueen, dass die ISMS-Implementierung und deren kontinuierliche weitere Verbesserung mit geeigneten Ressourcen unterstützt werden, um alle in dieser Leitlinie genannten Zielvorgaben zu erfüllen.
Die Einhaltung der Vorgaben aus dieser Informationssicherheitsleitlinie ist für alle Mitarbeiter_Innen und alle externen Beschäftigten verbindlich, die an Betriebsprozessen von Pengueen beteiligt sind.
Berlin, 1. Mai 2022
Detlef Kochan
Externer System Auditor
Potsdam, 1. Mai 2022
Sascha Landowski
Gründer und Geschäftsführer
Glossar
Vertraulichkeit – die Eigenschaft von Informationen, dass sie lediglich berechtigten Personen oder Systemen verfügbar gemacht werden
Integrität – die Eigenschaft von Informationen, dass sie lediglich von berechtigten Personen oder Systemen auf genehmigte Weise abgeändert werden können
Verfügbarkeit – definiert zu welchem Grad IT-Systeme, IT Anwendungen, IT Netzwerke und elektronische Informationen einem Benutzer zur Verfügung stehen und ohne Einschränkung verwendet werden können.
Informationssicherheit – Aufrechterhaltung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen
Informationssicherheits-Management-System (ISMS) – jener Teil des gesamten Managementprozesses, der sich mit Planung, Implementierung, Instandhaltung, Überprüfung und Verbesserung von Informationssicherheit befasst
Ethische Digitalisierung – steht für eine niederschwellige Digitalisierung für jede_n ohne Angst und Habgier, dafür mit Spaß und Teilhabe. Fachkräfte können ihre digitalen Hilfsmittel selbst konzipieren, erstellen und pflegen. Die Digitalisierungsbilanz ist positiv – der Nutzen digitaler Hilfsmittel überschreitet den Aufwand der Einrichtung und Pflege.