Datenschutz bedeutet Informationssicherheit - Informationsdienst IT ...
Datenschutz bedeutet Informationssicherheit - Informationsdienst IT ...
Datenschutz bedeutet Informationssicherheit - Informationsdienst IT ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>IT</strong>-Grundschutz<br />
Workshops<br />
<strong>Datenschutz</strong> <strong>bedeutet</strong><br />
<strong>Informationssicherheit</strong><br />
Grundsätze des <strong>Datenschutz</strong>, Teil II<br />
Wolf Dittmayer, Organisationsberater und externer <strong>Datenschutz</strong>beauftragter<br />
Die acht Gebote zum <strong>Datenschutz</strong> aus dem Anhang zum § 9<br />
BDSG ersetzen zwar keine Schutzbedarfsfeststellung, liefern<br />
Anwendern aber einen guten Einstieg in den <strong>IT</strong>-Grundschutz.<br />
Ein umfassendes Sicherheitskonzept<br />
auf Basis des <strong>IT</strong>-Grundschutz<br />
ist eine relativ aufwändige Angelegenheit.<br />
Zahlreiche Firmen stehen<br />
so einem Ansatz zwar positiv gegenüber,<br />
schaffen aber aus Zeit- oder<br />
Budgetmangel dessen Umsetzung<br />
nicht. Einen guten und weniger ressourcenintensiven<br />
Einstieg bilden<br />
die „acht Gebote zum <strong>Datenschutz</strong>“<br />
aus dem Anhang zum § 9 BDSG.<br />
Unternehmen können sich über die<br />
Forderungen der acht Gebote eine<br />
gute Grundlage schaffen, um ihre<br />
<strong>Informationssicherheit</strong> zu systematisieren.<br />
(3) Zugriffskontrolle<br />
„Maßnahmen, die geeignet sind, ...<br />
zu gewährleisten, dass die zur Benutzung<br />
eines Datenverarbeitungssystems<br />
Berechtigten ausschließlich<br />
auf die ihrer Zugriffsberechtigung<br />
unterliegenden Daten zugreifen<br />
können, und dass personenbezogene<br />
Daten bei der Verarbeitung,<br />
Nutzung und nach der Speicherung<br />
nicht unbefugt gelesen, kopiert,<br />
verändert oder entfernt werden<br />
können. “<br />
Die Zugriffskontrolle befasst sich<br />
mit den letztlichen Zugriffsrechten<br />
auf die Daten. Diese werden meist<br />
auf der Applikationsebene realisiert<br />
und sollten aufgabenbezogen sehr<br />
differenziert vergeben werden. Das<br />
in der Realität nicht selten zu fin-<br />
dende Prinzip „Nice to have“ sollte<br />
in die Richtung eines restriktiveren<br />
„Need to know“ umgeleitet werden.<br />
Gerade diese Differenzierung<br />
ist keine einfache Aufgabe, erfordert<br />
sie doch neben dem technischen<br />
Know-How vor allem eine deutliche<br />
Struktur der Organisation und<br />
der Arbeitsabläufe. Nicht jeder, der<br />
Zugang zu einer Datenbank hat, soll<br />
dort alle Daten lesen und verändern<br />
können. Mehr noch als bei<br />
der Zutrittskontrolle oder bei der<br />
Zugangskontrolle zeigt sich bei den<br />
Anforderungen an ein differenziertes<br />
Zugriffssystem dann auch der<br />
Reifegrad einer innerbetrieblichen<br />
Organisation. – Dies kann ein guter<br />
Anlass sein, organisatorische Abläufe<br />
zu verbessern.<br />
Anregungen und Empfehlungen<br />
finden sich in allen Bausteinen der<br />
Anwendungsschicht, insbesondere<br />
bei den zentralen Anwendungen<br />
wie in den Bausteinen B 5.3 E-Mail,<br />
B 5.7 Datenbanken, B 5.5 Lotus<br />
Notes oder B 5.13 SAP-System.<br />
(4) Weitergabekontrolle<br />
„Maßnahmen, die geeignet sind,<br />
... zu gewährleisten, dass personenbezogene<br />
Daten bei der elektronischen<br />
Übertragung oder während<br />
ihres Transports oder ihrer Speicherung<br />
auf Datenträgern nicht unbefugt<br />
gelesen, kopiert, verändert oder<br />
Wolf Dittmayer, Organisationsberater und<br />
externer <strong>Datenschutz</strong>beauftragter<br />
entfernt werden können, und dass<br />
überprüft und festgestellt werden<br />
kann, an welchen Stellen eine Übermittlung<br />
personenbezogener Daten<br />
durch Einrichtungen zur Datenübertragung<br />
vorgesehen ist.“<br />
Der Transport von Daten erfolgt<br />
heute wohl überwiegend elektronisch.<br />
Damit kommt auch der technischen<br />
Absicherung der elektronischen<br />
Kommunikation und der<br />
Netzverbindungen ein Hauptaugenmerk<br />
in den Empfehlungen der<br />
Bausteine zu: Anforderungen für die<br />
Verschlüsselung von Daten (B 1.7<br />
Kryptokonzept) oder Verbindungen<br />
(B 4.4 VPN) sowie technische Kommunikation<br />
im Kabelnetz (B 4.5<br />
LAN-Anbindung über ISDN) oder<br />
im Funknetz (B 4.6 WLAN).<br />
14<br />
© SecuMedia Verlags-GmbH · D-55205 Ingelheim · <strong>IT</strong>-Grundschutz 2010/1
<strong>IT</strong>-Grundschutz<br />
Workshops<br />
Skandalträchtig waren in den letzten<br />
Monaten jedoch eher die physischen<br />
Transporte auf Notebooks<br />
oder mobilen Datenträgern wie<br />
USB-Speichersticks oder CD-ROMs.<br />
Hier stehen technische Maßnahmen<br />
wie Festplattenverschlüsselung<br />
und Transportsicherungen<br />
gleichberechtigt neben klaren Regelungen<br />
für die Mitarbeiter/Innen<br />
zum Umgang mit mobilen Daten<br />
oder am heimischen Arbeitsplatz.<br />
Anregungen für Awareness, organisatorische<br />
Regelungen und<br />
technische Maßnahmen finden<br />
sich u.a. in den Bausteinen B 1.13<br />
<strong>IT</strong>.Sicherheitssensibilisierung und<br />
–schulung, B 2.8 Häuslicher Arbeitsplatz,<br />
B 5.8 Telearbeit, B 3.203 Laptop,<br />
B 5.14 Mobile Datenträger<br />
sowie B 5.2 Datenträgeraustausch.<br />
(5) Eingabekontrolle<br />
„Maßnahmen, die geeignet sind, ...<br />
zu gewährleisten, dass nachträglich<br />
überprüft und festgestellt werden<br />
kann, ob und von wem personenbezogene<br />
Daten in Datenverarbeitungssysteme<br />
eingegeben, verändert<br />
oder entfernt worden sind “<br />
Dieses Gebot ist leichter gesagt, als<br />
umgesetzt. Es fordert nichts weniger<br />
als einen revisionssicheren Betrieb<br />
der Informationstechnik. Mit überschaubarem<br />
Aufwand lässt sich zwar<br />
etwas darüber sagen, wer aktuell<br />
welche Zugangs- und Zugriffsrechte<br />
im <strong>IT</strong>-Verbund hat oder wer zuletzt<br />
auf einzelne Dokumente zugegriffen<br />
hat. Die besondere Schwierigkeit<br />
dieses Gebots entsteht jedoch<br />
durch die geforderte Zugriffshistorie:<br />
Wer hatte letzte Woche oder am<br />
15. des vergangenen Monats welche<br />
Zugriffsrechte? Manche datenbankbasierte<br />
Anwendungen wie SAP protokollieren<br />
auch diese Informationen.<br />
Für die <strong>IT</strong>-Abteilungen bleibt<br />
jedoch auch dann der Nachweis für<br />
die Anforderung von Zugriffsrechten<br />
offen: Warum, also aufgrund<br />
welcher Anforderung/Genehmigung<br />
hatte ein Nutzer bestimmte<br />
Zugriffsrechte und wer hat sie im<br />
System eingetragen?<br />
Dies erfordert ein Zusammenspiel<br />
zwischen einem gut geführten<br />
Anforderungs- bzw. Bewilligungsmanagement<br />
für Zugriffsrechte auf<br />
der organisatorischen Seite und<br />
geeigneten Protokoll- und Auswertungsinstrumenten<br />
auf der technischen<br />
Seite. Dem <strong>Datenschutz</strong>beauftragten<br />
kommen an dieser Stelle<br />
zuweilen Zweifel, ob das Gebot der<br />
Datensparsamkeit noch angemessen<br />
berücksichtigt wird. Der Forderung<br />
der Eingabekontrolle ist daher<br />
die strenge Zweckbindung des § 31<br />
BDSG zur Seite zu stellen, der jegliche<br />
anderweitige Verwendung dieser<br />
Protokolldaten untersagt, die für<br />
die Aufrechterhaltung eines sicheren<br />
Systembetriebes gespeichert<br />
werden.<br />
Die technischen Protokollierungsanforderungen<br />
werden in verschiedenen<br />
Bausteinen angesprochen,<br />
unter anderem in B 3.101 Allgemeiner<br />
Server, B 1.14 Patch- und Änderungsmanagement,<br />
B 1.9 Hard- und<br />
Softwaremanagement oder B 3.301<br />
Sicherheitsgateway (Firewall).<br />
(6) Auftragskontrolle<br />
„Maßnahmen, die geeignet sind, ...<br />
zu gewährleisten, dass personenbezogene<br />
Daten, die im Auftrag verarbeitet<br />
werden, nur entsprechend<br />
den Weisungen des Auftraggebers<br />
verarbeitet werden können.“<br />
Zur Auftragsdatenverarbeitung<br />
gehören natürlich auch die Leistungen<br />
eines Rechenzentrums. Dass<br />
jedoch der Transport von Daten<br />
oder die Entsorgung von Hard- und<br />
Paperware ebenfalls Datenverarbeitung<br />
im Auftrag ist, löst zuweilen<br />
Erstaunen aus. Die Auftragskontrolle<br />
verweist auf die Anforderungen<br />
des § 11 BDSG, der in seiner aktuellen<br />
Fassung seit September 2009<br />
sehr konkret die Anforderungen an<br />
die Auftragsdatenverarbeitung mit<br />
10 Punkten in den Gesetzestext aufgenommen<br />
hat. Dieser 10-Punkte-<br />
Katalog liest sich wie eine Checkliste,<br />
die von der Auswahl der<br />
Auftragnehmer, über die Vertragsgestaltung,<br />
die Sicherheitsanforderungen<br />
und die Durchführungskontrolle<br />
bis zum Auftragsende reicht.<br />
Im Grundschutzkatalog finden sich<br />
hierzu weitere Empfehlungen in<br />
den Bausteinen B 1.9 Hard- und<br />
Softwaremanagement oder B 1.11<br />
Outsourcing.<br />
(7) Verfügbarkeitskontrolle<br />
„Maßnahmen, die geeignet sind,<br />
... zu gewährleisten, dass personenbezogene<br />
Daten gegen zufällige<br />
Zerstörung oder Verlust geschützt<br />
sind“.<br />
Der Begriff der Verfügbarkeit hat<br />
in diesem siebten Gebot eine eingeschränkte<br />
Bedeutung gegenüber<br />
dem Verständnis aus Sicht der<br />
<strong>Informationssicherheit</strong>. Während<br />
die <strong>Informationssicherheit</strong> die Zurverfügungstellung<br />
von Informationen<br />
zur richtigen Zeit am richtigen<br />
Ort im Blick hat, beschränkt sich<br />
hier die Verfügbarkeitskontrolle<br />
auf den Datenverlust. Es geht also<br />
um Datensicherung, sichere Aufbewahrung,<br />
stabile Stromversorgung<br />
und vollständige Wiederherstellung<br />
nach Ausfällen.<br />
Aspekte, die man bei der Planung<br />
von Verfügbarkeit in diesem Sinn<br />
berücksichtigen sollte finden sich<br />
in den Bausteinen B 1.3 Notfallvorsorgekonzept,<br />
B 1.4 Datensicherungskonzept,<br />
B 1.6 Computer-<br />
Virenschutzkonzept oder B 1.12<br />
Archivierung. Wenn es um die<br />
räumlichen Anforderungen geht,<br />
helfen die Bausteine B 2.5 Datenträgerarchiv<br />
oder andere Infrastrukturbausteine<br />
weiter, wie sie bereits<br />
für den Zutrittsschutz genannt<br />
wurden. Besonderes Augenmerk<br />
auf die technischen Voraussetzungen<br />
für die Datensicherung legen<br />
hingegen die Bausteine B 3.303<br />
Speichersysteme und Speichernet-<br />
© SecuMedia Verlags-GmbH · D-55205 Ingelheim · <strong>IT</strong>-Grundschutz 2010/1<br />
15
<strong>IT</strong>-Grundschutz<br />
Workshops<br />
ze oder die Maßnahmen für stabile<br />
Stromversorgung: M 1.56 Sekundäre<br />
Energieversorgung (im Baustein<br />
2.9 Rechenzentrum) oder M 1.28<br />
Lokale Unterbrechungsfreie Stromversorgung.<br />
(8) Trennungskontrolle<br />
„Maßnahmen, die geeignet sind,<br />
... zu gewährleisten, dass zu unterschiedlichen<br />
Zwecken erhobene<br />
Daten getrennt verarbeitet werden<br />
können“.<br />
Das Trennungsgebot spricht als<br />
erstes die logische und gegebenenfalls<br />
auch die physikalische<br />
Trennung von Kunden/Mandantendaten,<br />
Buchungskreisen und<br />
ähnlichem an. In der nächsten<br />
Stufe wird die Trennung angestrebt,<br />
die durch die datenschutztypische<br />
Zweckbindung realisiert werden<br />
muss. Beispielhaft ist die strikte<br />
Zweckbindung von Protokolldaten,<br />
die nur für den Systembetrieb<br />
gespeichert werden dürfen. Die<br />
Nutzung für andere Zwecke wie die<br />
Leistungskontrolle ist strikt verboten.<br />
Schließlich spricht das Trennungsgebot<br />
das Vier-Augen-Prinzip<br />
oder die organisatorische Funktionstrennung<br />
an, zum Beispiel von<br />
genehmigenden Befugnissen und<br />
ausführenden Befugnissen. Solche<br />
Regelungen müssen sich auf den<br />
verschiedenen Berechtigungsebenen<br />
nachvollziehen lassen, beispielsweise<br />
anhand von Zugriffsrechten.<br />
Anregungen zum Trennungsgebot<br />
finden sich in den Empfehlungen<br />
der Bausteine B 1.1 Organisation,<br />
B 1.9 Hard- und Softwaremanagement<br />
oder B 1.11 Outsourcing sowie<br />
bei verschiedenen Maßnahmen zu<br />
Kontrollanforderungen bei den<br />
system- und netztechnischen Bausteinen.