In Artikel 32 Abs 1 lit. b DSGVO wird das neue Schutzziel der „Belastbarkeit“ eingeführt. Allerdings wird nicht definiert, was damit gemeint ist.

Schnell drängt sich der Gedanke auf, dass der Verordnungsgeber an dieser Stelle robuste Systeme fordert. Ein technisches System gilt dann als robust, wenn es die meisten erwartbaren Störereignisse bewältigt, ohne dass seine Funktionsfähigkeit wesentlich beeinträchtigt wird. IT-Systeme werden z. B. gehärtet, um gegen bekannte Angriffe geschützt zu sein. Zusätzlich wird das sogenannte N+1-Prinzip genutzt. Jedes wesentliche Element im System gibt es einmal mehr als für die Höchstlast im Normalbetrieb nötig. Eine häufige Umsetzung ist die Redundanz von Servern.

Zweifel an dieser engen Auslegung des Begriffs der „Belastbarkeit“ kommen jedoch auf, wenn man sich die englische Fassung der DSGVO näher ansieht. Hier wird von „resilience“ also Resilienz bzw. Widerstandsfähigkeit gesprochen. Dies ist ein Begriff, der auch in der Informationssicherheit gelegentlich vorkommt und der sich von dem eben dargestellten Begriff der „Robustheit“ unterscheidet.

Was ist nun mit Resilienz gemeint?

Resilienz ist die Fähigkeit eines Systems, trotz massiver externer oder interner Störungen wieder in den Ausgangszustand zurückzukehren. Ein technisches System wird als resilient bezeichnet, wenn das System seine Leistung trotz einer internen oder externen Störung erbringt und den Systembetrieb aufrechterhält.

Anders als bei der Robustheit geht es nicht um den Schutz gegen eine bekannte Gefährdung, sondern darum, dass das System auch in unvorhergesehenen Szenarien seine Funktionsfähigkeit aufrechterhalten kann.

„Sich der Resilienz zu verschreiben heißt, sich dazu zu bekennen, dass Gefahren nicht mehr durch traditionelle Methoden abgewehrt und Risiken nicht mehr ausreichend analysiert und reduziert werden können.“[1]

Die Resilienz lässt sich mit dem Immunsystem eines Körpers vergleichen. Dieses schützt nicht nur gegen einzelne, spezifische Krankheiten, sondern ist in der Regel in der Lage auf beliebige Infektionen zu reagieren. Ein Mensch mit einem besonders guten Immunsystem, einer hohen Resilienz, wird somit selten krank bzw. schneller gesund. Sein Körper kehrt schnell in den Normalzustand zurück.

Daraus ergibt sich, dass es keine einzelne Maßnahme gibt, die dazu führt, dass die Resilienz gesichert wird. Vielmehr muss ein System so gebaut sein, dass es bei beliebigen Störungen wieder in einen stabilen Zustand zurückkehren kann.

„1. Resilienz ist kein Zustand eines Systems, der einmal erreicht und dann fixiert wird. Resilienz ist vielmehr eine Systemeigenschaft, die ständig trainiert und aufrechterhalten werden muss. Es geht weniger darum, Strukturen unverwundbar zu machen und gegen Einflüsse zu schützen, sondern darum zu lernen, wie mit Störungen als Teil regulärer Adaptionszyklen am besten umzugehen ist.

2. Weder Robustheit noch Resilienz können als alleiniges Paradigma für Schutzkonzepte dienen. Diese müssen ausgewogenen Strategien folgen, die unter allen Blickwinkeln standhalten. Es gilt das eine zu tun, ohne das andere zu lassen (…) Moderne Schutzkonzepte müssen beiden Anforderungen genügen.“[2]

Resiliente Unternehmen

Betrachtet man die beiden Prinzipien für ein Unternehmen, so kann man z. B. sagen, dass Vertretungsregelungen eine Maßnahme für die Robustheit sind. Wenn ein Mitarbeiter ausfällt, kann ein anderer Mitarbeiter seine Aufgaben übernehmen. Dennoch ist die Vertretungsregelung nicht geeignet, um bei beliebigen Störungen den Betrieb zu sichern. Dazu wird dann im Sinne der Resilienz ein Notfallmanagement (BCM – Business Continuity Management) etabliert. Ein gutes Notfallmanagement versetzt ein Unternehmen in die Lage auf beliebige Störungen zu reagieren. Voraussetzung ist dann, dass die beteiligten Komponenten robust sind. Dadurch kommt es nur selten dazu, dass ein unerwartetes Szenario eintritt und das BCM aktiv werden muss. Auf der anderen Seite darf die Robustheit der Komponenten nicht zu starren Systemen führen. Ein Notfallmanagement muss flexibel reagieren können, um mit dem Unerwarteten fertig zu werden.

Resiliente Unternehmen weisen folgende drei Merkmale auf[3]:

  1. Dank geeignetem Risikomanagement ist die Wahrscheinlichkeit geringer, dass Schadensereignisse eintreten.
  2. Falls doch, kann das Schadensausmaß durch vorsorgliche Maßnahmen reduziert werden.
  3. Treten trotzdem bedeutende Schäden auf, können diese durch ein wirksames Krisenmanagement behoben werden.

Resiliente Verfahren

Für ein Verfahren zur Verarbeitung von personenbezogenen Daten bedeutet dies analog, dass die relevanten Risiken bekannt und die eingesetzten Komponenten durch angemessen Maßnahmen gehärtet sein müssen (Robustheit). Darüber hinaus müssen aber auch übergreifende Maßnahmen getroffen werden, um auch auf unerwartete Störungen reagieren zu können (Resilienz).

Resilienz greift dort, wo die vorbeugenden Maßnahmen zur Robustheit nicht ausgereicht haben.

Dies kann z. B. durch ein Zusammenwirken von Redundanzen, Datensicherungen und Integritätsprüfungen erfolgen. Auch Verfahren zur Behandlung von Sicherheitsvorfällen[4] (Incidents) gehören zum Themenkomplex der Widerstandsfähigkeit. Sie ermöglichen die notwendige Dynamik.

Resilienz bedeutet dabei nicht automatisch einen Ausbau von technischen und organisatorischen Maßnahmen. Vielmehr kann auch eine Reduktion der Komplexität durch Entkopplung und Entflechtung genutzt werden.

Zu beachten ist dabei, dass die Resilienz auf die Aufrechterhaltung der Funktionsfähigkeit abzielt. Daher muss für die Bewertung der Widerstandsfähigkeit immer auf die Funktionsfähigkeit abgestellt werden. In vielen Fällen dürfte dies zu den Schutzwerten der Integrität und Verfügbarkeit führen, wohingegen die Vertraulichkeit der Daten nicht unbedingt unter den Begriff der Resilienz fällt.

Eine Beeinträchtigung von Integrität oder Verfügbarkeit führt dazu, dass ein Verfahren nicht mehr ordnungsgemäß funktioniert. Die Vertraulichkeit der Daten ist dagegen in der Regel nicht Zweck der Verarbeitung, sondern vielmehr Anforderung an das Verarbeitungsverfahren.

Die zentrale Frage zur Bewertung der Resilienz eines Verfahrend lautet also:

„Wie werden für dieses Verfahren die Verfügbarkeit und Integrität unabhängig von einer speziellen Gefährdung gesichert?“

Auf diese Frage muss es eine befriedigende allgemeingültige Antwort geben.

Merksätze[5]:

Robustheit wird erreicht durch Reduzierung der Fehleranfälligkeit von einzelnen Komponenten eines Systems. Sie ist relativ zu bekannten Gefahren.

Resilienz wird erreicht durch Aufrechterhaltung der Funktionen des Gesamtsystems. Sie ist die inhärente Eigenschaft eines Systems, mit Einwirkungen aller Art umzugehen und ist unabhängig von einer konkreten Gefahr.

 

Fundstellen und Quellen:

[1] https://www.sicherheitspolitik-blog.de/2013/04/24/das-resilienz-paradox-zwischen-ohnmacht-und-allmacht/

[2] Modernes Risikomanagement: Zwischen Robustheit und Resilienz (PDF Download Available).

[3] Bundesamt für wirtschaftliche Landesversorgung BWL – Versorgungsrisiken begegnen – Resilienz stärken

[4] Z. B. ISO 27001 – A.16 Handhabung von Informationssicherheitsvorfällen

[5] Nach: Modernes Risikomanagement: Zwischen Robustheit und Resilienz (PDF Download Available).