- Vertraulich -                                    429 1. Prozesse: Arbeitsanweisungen, Prozessmodellierungen etc. a. Fallgruppe Erhebung       (Anwendungsfälle Erhebung,         Anhörung,   SEPA Lastschriftmandat, Nacherhebung gegenüber Haltern, Großkunden) b. Fallgruppe Festsetzung (Anwendungsfall Erhebung, Festsetzung, Druck, Bereitstellung     von      elektronischen     Bescheiden,       Bekanntgabe, Distributionskanäle und Großkunden) c. Fallgruppe     Zahlungsverkehr     (Anwendungsfälle      Zahlungsverkehr   und Kontodatenvalidierung) d. Fallgruppe Abrechnung und Auskehr (Anwendungsfall Abführung der Einnahmen) e. Fallgruppe     Information,   Auskünfte    und    Support    (Anwendungsfälle Auskunftsanfragen und papierhafte und elektronische Formularvorlagen) f. Fallgruppe     Mahnung,     Vollstreckung    und     Klage    (Anwendungsfälle Mahnungen, Verwaltungsgerichtsverfahren und Vollstreckungsanordnungen) g. Fallgruppe        Ausnahmen         und      Erstattung      (Anwendungsfälle Ausnahmetatbestände, Erstattungsanträge und Widersprüche) 2. Anwendung:          Berechtigungs-,     Anonymisierungs-        und     Löschkonzepte, Archivierungssysteme, PCI DSS etc. 3. Infrastruktur: Verschlüsselung, Pseudonymisierung, Datenreduzierung etc. 4. Lokationen: Physische Absicherung, Wachdienste, Schutz vor Naturereignissen etc. 5. Interne     und     externe    Dienstleister:   Auftragsverarbeitungen,    Revisionen, Zertifizierungsprüfungen, Datenübermittlungskonzepte etc. Die beispielhafte Umsetzung wird im folgenden Absatz beschrieben. Der Prozess respektive die Fallgruppe werden in einer erweiterten Schutzbedarfsanalyse mit den weiteren erforderlichen Stammdaten angereichert. Im Anschluss kann jede Fallgruppe anhand der Gefährdungslage und der Risiken mittels eines Self-Assessments bewertet werden. Daraus resultieren dann entsprechende technische und organisatorische Maßnahmen, welche zur Gewährleistung des Datenschutzes umgesetzt werden. Dieses Verfahren wird analog in allen weiteren Fallgruppen durchgeführt. (siehe dazu Kap. 59) 59.2   Datenanonymisierung zur weiteren statistischen Aggregation & Auswertung 279

- Vertraulich -                                    430 Gemäß § 13 Abs. 6 InfrAG dürfen nach dem InfrAG gespeicherte Daten in anonymisierter Form zur Erstellung von Geschäftsstatistiken verwendet werden. autoTicket nimmt für diese Zwecke eine Anonymisierung von Daten zur weiteren statistischen Aggregation und Auswertung vor. Die Maßnahmen, die autoTicket zur Anonymisierung trifft, wird autoTicket im Detail in dem von autoTicket zu erstellenden Konzept zum Schutz personenbezogener Daten beschreiben. Die Anonymisierung wird durch die Implementierung dieses Konzepts gewährleistet und durch technische und organisatorische Maßnahmen (siehe auch Kap. 59, 59.1, 59.3 und 59.4) sichergestellt. Das Konzept wird insbesondere die Aspekte des folgenden Entwurfs für ein Konzept zur Anonymisierung von Daten berücksichtigen, das im Rahmen der Umsetzung und Feinplanungsphase weiter spezifiziert wird: Zu anonymisierende Daten Ausgangsmaterial für die Erstellung von Geschäftsstatistiken sind die Daten, die autoTicket im ISA-System vorhält. Anonymisierung Bei der Erstellung von Geschäftsstatistiken werden die Daten durch autoTicket in einer Weise anonymisiert, dass die betroffenen Personen in den Geschäftsstatistiken nicht oder nicht mehr identifiziert werden können. Durch die Anonymisierung sind in den Geschäftsstatistiken nur ausgewählte, aggregierte Datensätze enthalten, die keinen Rückschluss auf einzelne Personen zulassen: •   Die Anonymisierung wird zum einen durch Streichen von Identifikationsmerkmalen vorgenommen. Dabei werden insbesondere die Daten 1, 2, 5, 6, 16 und 17, die eine Identifizierung betroffener Personen ermöglichen können, gestrichen. •   Die Anonymisierung wird außerdem insbesondere über eine Aggregation der verbleibenden Daten vorgenommen, bei der sichergestellt wird, dass die Aggregation von Daten keine Datensatzmengen <100 zurückliefert. Dies wird beim Erstellen der Geschäftsstatistiken geprüft. Resultate mit kleineren Datensatzmengen werden verworfen und eine entsprechende Fehlermeldung ausgegeben. 59.3   Datenlöschung und Datenvernichtung gemäß DIN 66398 280

- Vertraulich -                                        431 autoTicket stellt sicher, dass personenbezogene sowie personenbeziehbare Daten zum funktional frühestmöglichen Zeitpunkt vollständig und unwiderruflich gelöscht werden. Bei der Festlegung der Löschfristen ist aus datenschutzrechtlicher Sicht primär der Grundsatz der Speicherbegrenzung zu berücksichtigen, wonach personenbezogene Daten in einer Form gespeichert werden müssen, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist (Art. 5 Abs. 1 (e) DSGVO). Zudem ist insbesondere das Recht auf Löschung der betroffenen Personen zu berücksichtigen (Art. 17 DSGVO und § 35 BDSG 2018). Die technischen und organisatorischen Maßnahmen, die autoTicket zur Löschung und Vernichtung von Daten trifft, wird autoTicket im Detail in der Feinplanungsphase in dem von autoTicket zu erstellenden finalen Konzept zum Schutz personenbezogener Daten beschreiben. (siehe auch Kap. 59) Die ordnungsgemäße Löschung wird durch die Implementierung dieses Konzepts gewährleistet und sichergestellt. Das Konzept wird insbesondere die Aspekte des folgenden Entwurfs für ein Konzept zur Löschung und Vernichtung von Daten gemäß DIN 66398 („Leitlinie zur Entwicklung eines Löschkonzepts     mit   Ableitung    von    Löschfristen    für  personenbezogene       Daten“) berücksichtigen, das im Rahmen der Umsetzung weiter spezifiziert wird. Einleitung Das Datenlöschkonzept legt die Regeln fest, nach denen Daten, die von autoTicket oder von den Unterauftragnehmern gespeichert werden, gelöscht werden müssen. Dazu werden zunächst die Datenarten definiert für die später die Löschregeln gelten sollen. Im zweiten Schritt werden Löschfristen bestimmt. Diese Löschfristen stammen teilweise aus gesetzlichen Vorgaben wie dem InfrAG oder der Abgabenordnung. Datenarten Die Datenarten werden abschließend geclustert, wenn das ISA-System fertig spezifiziert wurde. Bereits heute absehbar sind Stammdaten der inländischen Kfz-Halter, Stammdaten der gebietsfremden    Kfz-Halter,    Anhörungen,    Bescheide,     Mahnungen,     Vollstreckungen, Kontodaten elektronischer Konten, Weblogs. Löschfristen Regel- und Standardlöschfristen 281

- Vertraulich -                                      432 Regellöschfristen sind der maximale Zeitraum, nach dessen Ablauf eine Datenart bei regulärer Verwendung in den Prozessen der verantwortlichen Stelle gelöscht werden sollte. Standardlöschfristen werden verwendet, um Löschfristen, die vergleichsweise nahe beieinander liegen, in einer Frist zusammenzufassen. Bestimmung von Löschfristen Aus datenschutzrechtlicher Sicht dürfen personenbezogene Daten grundsätzlich nur solange als solche gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Andernfalls sind sie grundsätzlich zu löschen (Art. 5 Abs. 1 (e), Art. 17 Abs. 1 (a) DSGVO). Eine Löschung ist außerdem insbesondere dann vorzunehmen, wenn sie zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem nationalen deutschen Recht erforderlich ist (Art. 17 Abs. 1 (e) DSGVO). Umgekehrt unterbleibt eine Löschung, soweit eine weitere Aufbewahrung zur Erfüllung einer rechtlichen Verpflichtung oder zur Wahrnehmung einer öffentlichen Aufgabe oder in Ausübung öffentlicher Gewalt erforderlich ist (Art. 17 Abs. 3 (b) DSGVO). Für die im ISA-System verarbeiteten Daten sind insbesondere folgende spezielle gesetzliche Löschfristen und Aufbewahrungsfristen zu berücksichtigen: •   § 13 Abs. 2 InfrAG legt fest, dass die Daten 1, 2, 5, 6, 16, 17 ein Jahr nach Ablauf des Kalenderjahres, in dem der Entrichtungszeitraum endet, zu löschen sind. Die übrigen Daten bis einschließlich 19 sind sechs Jahre nach der Erhebung der Daten zu löschen. •   Im Steuerrecht ist nach § 147 Abs. 1 Nr. 2 i.V.m. Abs. 3 Satz 1 Abgabenordnung (AO) festgelegt, dass bestimmte, dort definierte Dokumente zehn (z.B. Buchungsbelege) bzw. sechs (z.B. Handelsbriefe) Jahre aufzubewahren sind. •   Gemäß § 257 Abs. 1 Nr. 1 und Nr. 2 i.V.m. Abs. 4 Handelsgesetzbuch (HGB) hat jeder Kaufmann bestimmte, dort definierte Dokumente zehn (z.B. Buchungsbelege) bzw. sechs (z.B. Handelsbriefe) Jahre aufzubewahren. Löschklassen Es muss nach Startzeitpunkt unterschieden werden, ab dem die Frist läuft. Man unterscheidet zwischen dem Erhebungszeitpunkt, dem Zeitpunkt der Beendigung eines Vorgangs und dem Ende der Beziehung zum Betroffenen. Löschregeln 282

- Vertraulich -                                    433 Die Löschregeln entstehen durch einordnen der Datenarten in die Matrix, die aus Löschfristen und Löschklassen aufgespannt wird. Umsetzungsvorgaben autoTicket implementiert die Löschregeln im Gesamtsystem. Die Umsetzung wird dann im Rahmen der Implementierung sichergestellt. Bei der Implementierung des Löschkonzeptes wird auch die DIN 66399 „Büro- und Datentechnik - Vernichten von Datenträgern“ berücksichtigt. 59.4   Informationspflichten und Auskunftsansprüche gemäß DSGVO und BDSG autoTicket wird den bestehenden Informationspflichten und Auskunftsansprüche aus allen anwendbaren gesetzlichen Datenschutzregelungen form- und fristgerecht nachkommen. Die für Informationspflichten und Auskunftsansprüche relevanten datenschutzrechtlichen Regelungen ergeben sich insbesondere aus den Art. 12 bis 22 und 34 DSGVO sowie aus den §§ 32 bis 34 BDSG 2018. Die technischen und organisatorischen Maßnahmen, die autoTicket zur ordnungsgemäßen Erfüllung von Informationspflichten und Auskunftsansprüchen trifft, wird autoTicket in der Feinplanungsphase im Detail in dem von autoTicket zu erstellenden Konzept zum Schutz personenbezogener Daten beschreiben (siehe Kap.59). Die ordnungsgemäße Erfüllung der anwendbaren Informationspflichten und Auskunftsansprüche wird durch die Implementierung dieses Konzepts gewährleistet und sichergestellt. Das Konzept wird insbesondere folgende Aspekte berücksichtigen, die im Rahmen der Umsetzung weiter spezifiziert werden: Datenschutz-Management-System autoTicket stellt die ordnungsgemäße (insbesondere form- und fristgerechte) Erfüllung der anwendbaren Informationspflichten und Auskunftsansprüche mittels eines Datenschutz- Management-Systems sicher. Hierzu zählen insbesondere folgende technische und organisatorische Maßnahmen: •   das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO als primäre Informationsquelle für Informationen, •   geeignete Maßnahmen, um betroffenen Personen alle Informationen gemäß den Art. 13 und 14 DSGVO und alle Mitteilungen gemäß den Art. 15 bis 22 und Art. 34 DSGVO, die 283

- Vertraulich -                                    434 sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln •   geeignete Maßnahmen zur Erleichterung der Ausübung der Rechte der betroffenen Personen gem. Art 15 bis 22 DSGVO •   geeignete Maßnahmen zur ordnungsgemäßen (insbesondere form- und fristgemäßen) Bearbeitung und Beantwortung von Auskunftsanträgen von betroffenen Personen nach Art. 15 DSGVO •   geeignete Maßnahmen zur Bestätigung der Identität der betroffenen Person im Falle von begründeten Zweifeln an der Identität •   geeignete Maßnahmen zur ordnungsgemäßen (insbesondere form- und fristgemäßen) Benachrichtigung betroffener Personen über etwaige Datenschutzverletzung nach Art. 34 DSGVO Die    geeigneten    Maßnahmen       schließen   insbesondere    interne   Richtlinien   und Arbeitsanweisungen zur ordnungsgemäßen (insbesondere form- und fristgemäßen) Erfüllung von Informationspflichten und Auskunftsansprüchen sowie regelmäßige Schulung der mit der Erfüllung von Informationspflichten und Auskunftsansprüchen betrauten Mitarbeiter ein. Die Einhaltung der technischen und organisatorischen Maßnahmen sowie insbesondere die form- und fristgerechte Erfüllung von Informationspflichten und Auskunftsansprüchen werden zudem durch den betrieblichen Beauftragten für Datenschutz überwacht. Erfüllung der Informationspflicht bei Erhebung beim Betroffenen (Art. 13 DSGVO, § 32 BDSG 2018) Soweit autoTicket Daten direkt bei der betroffenen Person erhebt (z.B. mittels Online- oder Papierformularen), werden dieser zum Zeitpunkt der Erhebung die in Art. 13 Abs. 1 und 2 DSGVO dargestellten, im jeweiligen Fall relevanten Informationen mitgeteilt, wenn und soweit die betroffene Person bereits über die Informationen verfügt oder eine andere Ausnahme nach § 32 Abs. 1 BDSG 2018 einschlägig ist. Erfüllung der Informationspflicht, soweit die Erhebung nicht direkt beim Betroffenen erfolgt (Art. 14 DSGVO, § 33 BDSG 2018) Soweit autoTicket Daten nicht direkt bei der betroffenen Person erhebt (z.B. im Rahmen des automatisierten Abrufs aus dem ISA-Register), werden die in Art. 14 Abs. 1 und 2 DSGVO 284

- Vertraulich -                                   435 dargestellten, im jeweiligen Fall relevanten Informationen zu den in Art. 14 Abs. 3 DSGVO vorgesehenen Zeitpunkten erteilt, soweit nicht die betroffene Person bereits über die Informationen verfügt oder eine andere Ausnahme nach Art. 14 Abs. 5 DSGVO oder § 33 Abs. 1 BDSG 2018 einschlägig ist. Erfüllung von Auskunftsansprüchen (Art. 15 DSGVO, § 34 BDSG 2018) autoTicket erteilt betroffenen Personen gem. Art. 15 DSGVO Auskunft über die in Art. 15 Abs.1 DSGVO dargestellten Informationen, soweit nicht eine Ausnahme nach § 34 Abs. 1 BDSG 2018 einschlägig ist. Erfüllung von Benachrichtigungspflichten bei etwaigen Datenschutzverletzungen (Art. 34 DSGVO) autoTicket benachrichtigt betroffene Personen gem. Art. 34 DSGVO im Falle etwaiger Datenschutzverletzungen, soweit nicht eine Ausnahme nach Art. 34 Abs. 3 DSGVO einschlägig ist. 60. „ISO 27001 nach IT-Grundschutz“ Zertifizierung Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nach dem BSI-Gesetz die Aufgabe, Zertifizierungen von informationstechnischen Systemen durchzuführen. Um diese Aufgaben zu erfüllen, betreibt das BSI Zertifizierungsprogramme, in denen jeweils die Regeln (Geltungsbereiche, bedarfsgerechte Prüfkriterien, Anforderungen und Nachweise), das Verfahren sowie das Management zur Durchführung der Zertifizierung festgelegt und beschrieben sind. Die Zertifizierung eines Managementsystems wird auf Antrag durchgeführt. Voraussetzung für eine Zertifizierung ist eine Prüfung gemäß den im Zertifizierungsprogramm veröffentlichten Kriterien bzw. technischen Richtlinien. Dazu wird auf die Ausführungen in Kap. 61 verwiesen, wo der konkrete Umsetzungsvorschlag definiert wird. Voraussetzung für die Vergabe eines ISO 27001-Zertifikats auf der Basis von IT-Grundschutz ist eine Überprüfung des Untersuchungsgegenstandes durch einen vom BSI zertifizierten Auditor für ISO 27001-Audits auf der Basis von IT-Grundschutz. Im Rahmen des Audits werden von der Institution erstellte Referenzdokumente gesichtet, eine Vor-Ort-Prüfung durchgeführt und ein Auditbericht erstellt. Für die Vergabe eines ISO 27001-Zertifikats auf der Basis von IT-Grundschutz wird dieser Auditbericht von der Zertifizierungsstelle im BSI geprüft. Während der Gültigkeit des daraufhin ausgestellten Zertifikats werden jährlich Überwachungsaudits durchgeführt. Der Zertifizierungsprozess umfasst mitunter folgende Prozessschritte: 285

- Vertraulich -                                       436 1. Rollen und Zuständigkeiten im Zertifizierungsverfahren 2. Zertifizierungsantrag 3. Unabhängigkeitserklärung 4. Auswahl des Auditteams 5. Vertraulichkeit von Informationen 6. Ziel eines Audits und Auditphasen 7. Audittypen 8. Erst-Zertifizierung 9. Überwachungsaudits 10. Re-Zertifizierung 11. Prüf- und Auditbegleitung der Zertifizierungsstelle des BSI 12. Auditbericht 13. Zertifikatserteilung Alle Anträge und Formulare zur ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz sind            auf           den        Webseiten             des           BSI            unter https://www.bsi.bund.de/DE/Themen/ZertifizierungundAnerkennung/Managementsystemzer tifizierung/Zertifizierung27001/Antraege/antraege_node.html veröffentlicht. Der vollständige Antrag inklusive der Unabhängigkeitserklärung der Auditteammitglieder muss der Zertifizierungsstelle des BSI mindestens 1 Monat vor Beginn des Audits, d. h. vor Beginn der Sichtung der Referenzdokumente, vorliegen. In Einzelfällen kann die Prüfung länger dauern, sodass evtl. Audittermine angepasst werden müssen. Spätestens 3 Monate nach dem Beginn        der    Sichtung  der  Referenzdokumente       muss    der   Auditbericht    der Zertifizierungsstelle vorliegen. Nachforderungen der Zertifizierungsstelle müssen jeweils nach spätestens 1 Monat erfüllt sein. Wenn 3 Monate nach Abgabe des ersten Auditberichts das Verfahren noch nicht abgeschlossen ist, prüft die Zertifizierungsstelle des BSI, ob auf der Basis des vorliegenden Berichts noch ein Zertifikat erteilt werden kann. Das Überwachungsaudit sowie der zugehörige Auditbericht und dessen Prüfung durch die Zertifizierungsstelle des BSI müssen 1 Jahr bzw. 2 Jahre nach Ausstellung des Zertifikates abgeschlossen sein. Dabei sollten die Prüfungen nicht früher als 3 Monate vor Ablauf des 1. 286

- Vertraulich -                                     437 bzw. 2. Jahres nach Zertifikatserteilung beginnen und der Auditbericht sollte nicht später als 2 Monate vor diesem Zeitpunkt bei der Zertifizierungsstelle eingetroffen sein. Die Unabhängigkeitserklärungen für das Überwachungsaudit müssen der Zertifizierungsstelle mindestens 1 Monat vor Beginn der Auditierungstätigkeit vorliegen. Bei einer Re-Zertifizierung darf mit der Sichtung der Referenzdokumente frühestens 4 Monate vor   Auslaufen     des  Zertifikates   begonnen   werden.    Der   Auditbericht     muss   der Zertifizierungsstelle des BSI mindestens 2 Monate vor dem Gültigkeitsende des Zertifikates vorliegen. Darüber hinaus gelten die gleichen Fristen wie für ein Erst-Zertifizierungsaudit. 60.1   „Leitfaden für Informationssicherheitsrevisionen auf Basis von IT-Grundschutz“ Mittels     Information     Security     („IS“)   -Revisionen     gemäß       „Leitfaden     für Informationssicherheitsrevisionen auf Basis von IT-Grundschutz“ wird autoTicket bis zum Zeitpunkt der VBE eine Zertifzierung zum Nachweis der IT-Grundschutz-Konformität ihres Information Security Management Systems erlangen. Eventuelle Abweichungen werden mit entsprechenden risikominimierenden Maßnahmen oder Akzeptanzen adressieren. Dazu ist insbesondere eine ergänzende Risikoanalyse erforderlich. Somit wird bereits am Anfang des Sicherheitsprozesses durch IS-Kurzrevisionen aufgezeigt, wo     dringender    Handlungsbedarf      besteht  und    welche    Sicherheitsmängel      oder Sicherheitsempfehlungen vorrangig bearbeitet werden müssen. Hiermit stellt autoTicket vorzeitig die ISMS Konformität nach BSI IT-Grundschutz sicher. Die zu behandelnden Prüfthemenfelder für die IS-Kurzrevision sind der Prüfthemenliste für die IS-Kurzrevision zu entnehmen                                                                                (siehe https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/ISRevision/Pruefthemen_IS- Kurzrevision_v2_pdf.pdf?__blob=publicationFile&v=4 ). 60.2   BSI-Standards zur Internetsicherheit Einen grundlegenden Bestandteil der ISi-Reihe bildet ein detaillierter Ablaufplan für die Phasen Planung, Konzeption, Realisierung sowie Administration und Betrieb. Diese Phasen sind analog zu den im BSI-Standard 200-1 beschriebenen Phasen für den IT-Grundschutz und Lebenszyklus-Phasen nach Deming (PDCA-Modell). Mittels regelmäßiger Überprüfungen (IS-Revisionen) der etablierten Sicherheitsmaßnahmen und des Informationssicherheits- Prozesses können Aussagen über deren wirksame Umsetzung, Aktualität, Vollständigkeit und Angemessenheit und damit über den aktuellen Zustand der Informationssicherheit getroffen werden. Der Ablaufplan bildet einen wesentlichen Teil im ISi-E der ISi-Reihe. Er dient als 287

- Vertraulich -                                     438 Hilfsmittel bei der Anbindung einer Institution an das Internet und beschreibt dafür die notwendigen Schritte in den einzelnen Phasen der Internet-Anbindung. Diese werden im Kontext der IS-Revision berücksichtigt, Schwachstellen werden risikoorientiert bewertet und mit angemessenen risikoorientierten Maßnahmen behandelt. Eine Berücksichtigung der Risiken im ISMS (siehe Kap. 61) ist zwingend erforderlich. Die Hauptaufgabe der IS-Revision ist es, das Management, Security-Management-Team und speziell den IT-Sicherheitsbeauftragten bei der Umsetzung und Optimierung der Informationssicherheit zu unterstützen und zu begleiten. Ziel der Prüfung ist es, die Informationssicherheit kontinuierlich zu verbessern, Fehlentwicklungen auf diesem Gebiet zu vermeiden     und    die   Wirtschaftlichkeit    der    Sicherheitsmaßnahmen      sowie  der Sicherheitsprozesse zu optimieren. Dafür wird das BSI-Verfahren als Leitfaden für die IS- Revision auf Basis von IT-Grundschutz angewendet, um den Status der Informationssicherheit bei autoTicket zu ermitteln und mögliche Schwachstellen identifizieren zu können. 60.3   Konformität zu Standards, Richtlinien und Anforderungen des BSI Um die laufende Konformität zu aktuellen Versionen der für Bundesbehörden geltenden Standards, Richtlinien und Anforderungen des BSI und sowie die Aufrechterhaltung und kontinuierliche Verbesserung des Informationssicherheits-Prozesses gewährleisten zu können, werden nicht nur die im Sicherheitskonzept festgelegten Maßnahmen und Dokumente fortlaufend aktualisiert, sondern auch der Prozess selbst wird fortlaufend auf seine Wirksamkeit und Effizienz hin überprüft. Dabei orientiert sich der Prozess an dem Deming- Kreis („Plan“, „Do“, „Check“, „Act“), womit die kontinuierliche Verbesserung gewährleistet wird. Technische und organisatorische Einrichtungen und Maßnahmen Zur Kontrolle der Effizienz und Verbesserung des Prozesses werden Verfahren und Mechanismen errichtet, die auf der einen Seite die Realisierung der beschlossenen Maßnahmen und auf der anderen Seite ihre Wirksamkeit und Effizienz überprüfen. Die Informationssicherheitsstrategie beinhaltet Leitaussagen zur Messung der Zielerreichung. Die Basis für solche Messungen sind: •   Erkennung, Dokumentation und Auswertung von Sicherheitsvorfällen, •   Ausführung von Übungen und Tests zur Simulation von Sicherheitsvorfällen und Dokumentation der Ergebnisse, 288