17. Datenschutz- und Informationsfreiheitsbericht
17. Datenschutz- und Informationsfreiheitsbericht
17. Datenschutz- und Informationsfreiheitsbericht
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
2.5 Erstellen von Sicherheitskonzepten<br />
Technik<br />
Nach Ablauf der Übergangsfrist des in 2000 novellierten <strong>Datenschutz</strong>gesetzes<br />
NRW sind alle dem Anwendungsbereich unterworfenen<br />
datenverarbeitenden Stellen verpflichtet, auch für Altverfahren ein<br />
Sicherheitskonzept zu erstellen. Stichproben bei einigen Behörden im<br />
Lande ergaben jedoch, dass Konzepte im Sinne des Gesetzes bisher<br />
kaum existieren.<br />
Häufig wird im Zusammenhang mit der Erstellung von Sicherheitskonzepten<br />
auf die Komplexität des Themas hingewiesen. Die danach aufkommende<br />
Frage nach dem Vorhandensein einer Art Kochrezept zur Erstellung<br />
eines solchen Konzeptes kann an dieser Stelle mit einem klaren „Jein“ beantwortet<br />
werden. Das B<strong>und</strong>esamt für Sicherheit in der Informationstechnik<br />
(BSI) stellt einen sehr umfassenden Maßnahmenkatalog zur Verfügung, mit<br />
dessen Hilfe ein mittlerer Schutzbedarf abgedeckt werden kann. Das<br />
Gr<strong>und</strong>schutzhandbuch genannte Werk steht auf der Web-Seite des BSI<br />
(www.bsi.de) kostenlos zum Download bereit. Auch eine gedruckte Version<br />
sowie ein datenbankgestütztes Tool kann gegen geringes Entgeld erworben<br />
werden. Es beinhaltet circa 780 standardisierte Sollmaßnahmen, aus denen<br />
die firmen- oder behördenspezifischen Maßnahmen entsprechend den<br />
eingesetzten Systemen <strong>und</strong> Verfahren hergeleitet werden können. Der<br />
enorme Umfang von inzwischen 2520 Seiten sollte nicht abschrecken, da<br />
die Arbeitsschritte standardisiert sind <strong>und</strong> schematisch zügig abgearbeitet<br />
werden können.<br />
Der erste <strong>und</strong> mit großem Abstand wichtigste Schritt ist die Ermittlung<br />
derjenigen Menschen <strong>und</strong> Maschinen, die Daten verarbeiten. Eine solche<br />
Aufstellung ist im Normalfall vorhanden, weil sie Gr<strong>und</strong>lage für nahezu alle<br />
organisatorischen Maßnahmen <strong>und</strong> DV-Projekte ist. Wenn diese Aufstellung<br />
um die einzelnen Verarbeitungsschritte <strong>und</strong> deren Reihenfolge ergänzt wird,<br />
ist eine Basis für die Erstellung eines Sicherheitskonzepts geschaffen. Eine<br />
in der Praxis seit langem bewährte Methode ist beispielsweise die<br />
Modellierung von Geschäfts- oder Verwaltungsprozessen. Sie erfolgt auf<br />
einem sehr hohen Abstraktionsniveau, so dass in diesem Stadium<br />
vernachlässigt werden kann, ob die Verarbeitung der Daten manuell oder<br />
automatisiert erfolgt.<br />
Nach der Identifizierung der Prozesse müssen die verarbeiteten Daten mit<br />
Personenbezug bestimmt werden. Alle Prozesse, die nicht mit solchen Daten<br />
arbeiten, können ausgeblendet werden. Das so geschaffene Modell ent-<br />
LDI NRW <strong>17.</strong> <strong>Datenschutz</strong>bericht 2005 19