17. Datenschutz- und Informationsfreiheitsbericht
17. Datenschutz- und Informationsfreiheitsbericht
17. Datenschutz- und Informationsfreiheitsbericht
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Technik<br />
durch Verlust von Vertraulichkeit, Integrität <strong>und</strong> Verfügbarkeit entstehenden<br />
Folgeschäden betrachtet. Die Anwendungen werden dementsprechend in<br />
verschiedene Schutzstufen eingeteilt.<br />
Das Modell des Gr<strong>und</strong>schutzhandbuchs nimmt eine Gliederung der<br />
technischen <strong>und</strong> organisatorischen Komponenten in eine vorgegebene<br />
Anzahl so genannter Bausteine vor. Zu jedem dieser Bausteine wie Netz,<br />
Server, IT-Räume <strong>und</strong> organisatorische Bereiche sind die spezifischen<br />
Gefährdungen aufgelistet <strong>und</strong> die entsprechenden Abwehr- oder<br />
Präventivmaßnahmen beschrieben. Werden alle für die eingesetzten IT-<br />
Systeme relevanten Bausteine ausgewählt, ist das Ergebnis eine Check-Liste<br />
für die Umsetzung der konkreten Sicherheitsmaßnahmen. Die weitere<br />
Modellierung besteht dann im Wesentlichen darin, einen Soll-Ist-Abgleich<br />
der Maßnahmen vorzunehmen. Ergänzend können bei einem hohen<br />
Schutzbedarf weitere Maßnahmen notwendig sein. Auch die in § 10 DSG<br />
NRW postulierten Schutzziele Authentizität <strong>und</strong> Revisionssicherheit sind<br />
ergänzend zu prüfen.<br />
Da von den zu treffenden Maßnahmen im Normalfall alle Bereiche einer<br />
datenverarbeitenden Stelle betroffen sind, sollte ein Sicherheitsmanagement<br />
von der Behörden- oder Geschäftsleitung initiiert werden. In diesem<br />
Zusammenhang ist auf den „Leitfaden IT-Sicherheit“ des BSI<br />
hinzuweisen. Er gibt auf wenigen Seiten sowohl einen inhaltlichen<br />
Überblick, als auch plastische Beschreibungen von sonst eher abstrakten<br />
Bedrohungsszenarien. Ein weiterer Fokus liegt auf Maßnahmen, die im<br />
organisatorischen Bereich angesiedelt sind. Dieses lediglich 40 Seiten starke<br />
Dokument steht kostenfrei zum Download zur Verfügung.<br />
Zusammenfassend bleibt zu sagen, dass auch mit „Rezept“ <strong>und</strong><br />
Unterstützung durch Tools <strong>und</strong> Check-Listen die Sicherheitspolitik <strong>und</strong><br />
deren Umsetzung ein komplexes Unterfangen ist. Die explosionsartige<br />
Entwicklung der schadensstiftenden Inhalte jeder Form über Internet <strong>und</strong> E-<br />
Mail <strong>und</strong> die dadurch aufgedeckten Sicherheitslücken in der technischen<br />
Infrastruktur belegen aber, dass die Erstellung neben der gesetzlichen<br />
Verpflichtung auch im Sinne der Aufrechterhaltung eines ordnungsgemäßen<br />
Betriebs unbedingt notwendig ist.<br />
2.6 Datensicherheit in mittelständischen Unternehmen<br />
Eine Überprüfung der technischen <strong>und</strong> organisatorischen Maßnahmen<br />
zur Datensicherheit in mittelständischen Unternehmen führte zu recht<br />
LDI NRW <strong>17.</strong> <strong>Datenschutz</strong>bericht 2005 21