Situationsaufgabe: IT-Sicherheitskonzept
IT-Sicherheit ist nicht nur ein theoretisches Thema – in der FISI-Prüfung musst du zeigen, dass du ein reales Sicherheitskonzept für einen konkreten Betrieb erstellen kannst. Das bedeutet: Schutzbedarfe analysieren, Bedrohungen benennen, Maßnahmen ableiten (TOMs), Berechtigungskonzepte formulieren und den Umgang mit Sicherheitsvorfällen beschreiben. Diese Lektion führt dich durch eine vollständige Situationsaufgabe zum Thema IT-Sicherheitskonzept.
1) Das Szenario
Betrieb: Die Praxis-Verbund GmbH betreibt drei Arztpraxen in München (je ca. 15 Mitarbeitende). Die Praxen sind über ein gemeinsames Netzwerk verbunden. Es werden Patientendaten in einer zentralen Praxisverwaltungssoftware (PVS) verarbeitet – damit gelten besondere DSGVO-Anforderungen (Gesundheitsdaten = besondere Kategorie nach Art. 9 DSGVO).
Aktueller Zustand (Sicherheitsmängel laut internem Audit):
- Keine einheitliche Passwortrichtlinie – viele Nutzer haben Passwörter seit 3+ Jahren nicht geändert
- Alle Mitarbeitenden haben lokale Adminrechte auf ihren PCs
- Keine Festplattenverschlüsselung auf den Endgeräten
- Backups werden auf einem NAS im selben Raum gesichert – kein Offsite-Backup
- Kein Verfahrensverzeichnis, kein benannter Datenschutzbeauftragter
- Mitarbeitende erhalten nach Ende des Arbeitsverhältnisses noch 2–4 Wochen Systemzugang
Aufgabe: Du wirst beauftragt, ein Sicherheitskonzept zu erstellen und die dringlichsten Maßnahmen zu priorisieren.
2) Teilaufgaben mit Musterlösungen
3) Risikomatrix – Bedrohungen einordnen
In der Prüfung wird manchmal eine Risikobewertung verlangt. Das Werkzeug: Eintrittswahrscheinlichkeit × Schadenspotenzial = Risikostufe.
4) TOMs-Kategorien – was gehört wo hin
| Kategorie | Beispiele | Bezug zu DSGVO |
|---|---|---|
| Zutrittskontrolle | Serverraum-Schloss, Badge-System, Alarmanlage | Art. 32 DSGVO – physische Sicherheit |
| Zugangskontrolle | Passwortrichtlinie, MFA, Bildschirmsperre, biometrische Anmeldung | Art. 32 – Verhinderung unbefugter Nutzung |
| Zugriffskontrolle | RBAC, Least-Privilege, AD-Gruppenberechtigungen, Need-to-know | Art. 5 (1) f – Datenminimierung, Integrität |
| Weitergabekontrolle | Verschlüsselung (TLS, E-Mail-Verschlüsselung), VPN | Art. 32 – Sicherheit der Übertragung |
| Eingabekontrolle | Audit-Logging, Protokollierung aller Änderungen | Art. 5 (1) f – Nachvollziehbarkeit |
| Auftragskontrolle | AVV mit Dienstleistern, Vertragsregelung bei Cloud | Art. 28 – Auftragsverarbeitung |
| Verfügbarkeitskontrolle | Backup, USV, Redundanz, Disaster-Recovery-Plan | Art. 32 – Wiederherstellbarkeit |
| Trennungsgebot | Getrennte Verarbeitung verschiedener Kategorien, Mandantentrennung | Art. 5 (1) b – Zweckbindung |
Zusammenfassung
IT-Sicherheitskonzept-Aufgaben verlangen immer: (1) Schutzbedarfsanalyse (was muss geschützt werden, warum?), (2) Bedrohungsanalyse (Risikomatrix), (3) technische und organisatorische Maßnahmen (TOMs) in den acht Kategorien, (4) Berechtigungskonzept nach Least-Privilege-Prinzip und (5) Incident-Response-Plan für den Ernstfall. Bei Gesundheitsdaten (Art. 9 DSGVO) immer auf den erhöhten Schutzbedarf eingehen. Maßnahmen nach Priorität ordnen: zuerst kritische Risiken, dann mittlere.
Verwandte Lektionen: Situationsaufgabe VPN · Situationsaufgabe Backup · TOMs · und mehrWeitere relevante LektionenSchutzbedarfsanalyseRBACKryptografie-GrundlagenBSI-Grundschutz