Datenschutz bedeutet Informationssicherheit - Informationsdienst IT ...

IT-Grundschutz
Workshops
Datenschutz bedeutet
Informationssicherheit
Grundsätze des Datenschutz, Teil II
Wolf Dittmayer, Organisationsberater und externer Datenschutzbeauftragter
Die acht Gebote zum Datenschutz aus dem Anhang zum § 9
BDSG ersetzen zwar keine Schutzbedarfsfeststellung, liefern
Anwendern aber einen guten Einstieg in den IT-Grundschutz.
Ein umfassendes Sicherheitskonzept
auf Basis des IT-Grundschutz
ist eine relativ aufwändige Angelegenheit.
Zahlreiche Firmen stehen
so einem Ansatz zwar positiv gegenüber,
schaffen aber aus Zeit- oder
Budgetmangel dessen Umsetzung
nicht. Einen guten und weniger ressourcenintensiven
Einstieg bilden
die „acht Gebote zum Datenschutz“
aus dem Anhang zum § 9 BDSG.
Unternehmen können sich über die
Forderungen der acht Gebote eine
gute Grundlage schaffen, um ihre
Informationssicherheit zu systematisieren.
(3) Zugriffskontrolle
„Maßnahmen, die geeignet sind, ...
zu gewährleisten, dass die zur Benutzung
eines Datenverarbeitungssystems
Berechtigten ausschließlich
auf die ihrer Zugriffsberechtigung
unterliegenden Daten zugreifen
können, und dass personenbezogene
Daten bei der Verarbeitung,
Nutzung und nach der Speicherung
nicht unbefugt gelesen, kopiert,
verändert oder entfernt werden
können. “
Die Zugriffskontrolle befasst sich
mit den letztlichen Zugriffsrechten
auf die Daten. Diese werden meist
auf der Applikationsebene realisiert
und sollten aufgabenbezogen sehr
differenziert vergeben werden. Das
in der Realität nicht selten zu fin-
dende Prinzip „Nice to have“ sollte
in die Richtung eines restriktiveren
„Need to know“ umgeleitet werden.
Gerade diese Differenzierung
ist keine einfache Aufgabe, erfordert
sie doch neben dem technischen
Know-How vor allem eine deutliche
Struktur der Organisation und
der Arbeitsabläufe. Nicht jeder, der
Zugang zu einer Datenbank hat, soll
dort alle Daten lesen und verändern
können. Mehr noch als bei
der Zutrittskontrolle oder bei der
Zugangskontrolle zeigt sich bei den
Anforderungen an ein differenziertes
Zugriffssystem dann auch der
Reifegrad einer innerbetrieblichen
Organisation. – Dies kann ein guter
Anlass sein, organisatorische Abläufe
zu verbessern.
Anregungen und Empfehlungen
finden sich in allen Bausteinen der
Anwendungsschicht, insbesondere
bei den zentralen Anwendungen
wie in den Bausteinen B 5.3 E-Mail,
B 5.7 Datenbanken, B 5.5 Lotus
Notes oder B 5.13 SAP-System.
(4) Weitergabekontrolle
„Maßnahmen, die geeignet sind,
... zu gewährleisten, dass personenbezogene
Daten bei der elektronischen
Übertragung oder während
ihres Transports oder ihrer Speicherung
auf Datenträgern nicht unbefugt
gelesen, kopiert, verändert oder
Wolf Dittmayer, Organisationsberater und
externer Datenschutzbeauftragter
entfernt werden können, und dass
überprüft und festgestellt werden
kann, an welchen Stellen eine Übermittlung
personenbezogener Daten
durch Einrichtungen zur Datenübertragung
vorgesehen ist.“
Der Transport von Daten erfolgt
heute wohl überwiegend elektronisch.
Damit kommt auch der technischen
Absicherung der elektronischen
Kommunikation und der
Netzverbindungen ein Hauptaugenmerk
in den Empfehlungen der
Bausteine zu: Anforderungen für die
Verschlüsselung von Daten (B 1.7
Kryptokonzept) oder Verbindungen
(B 4.4 VPN) sowie technische Kommunikation
im Kabelnetz (B 4.5
LAN-Anbindung über ISDN) oder
im Funknetz (B 4.6 WLAN).
14
© SecuMedia Verlags-GmbH · D-55205 Ingelheim · IT-Grundschutz 2010/1

IT-Grundschutz
Workshops
Skandalträchtig waren in den letzten
Monaten jedoch eher die physischen
Transporte auf Notebooks
oder mobilen Datenträgern wie
USB-Speichersticks oder CD-ROMs.
Hier stehen technische Maßnahmen
wie Festplattenverschlüsselung
und Transportsicherungen
gleichberechtigt neben klaren Regelungen
für die Mitarbeiter/Innen
zum Umgang mit mobilen Daten
oder am heimischen Arbeitsplatz.
Anregungen für Awareness, organisatorische
Regelungen und
technische Maßnahmen finden
sich u.a. in den Bausteinen B 1.13
IT.Sicherheitssensibilisierung und
–schulung, B 2.8 Häuslicher Arbeitsplatz,
B 5.8 Telearbeit, B 3.203 Laptop,
B 5.14 Mobile Datenträger
sowie B 5.2 Datenträgeraustausch.
(5) Eingabekontrolle
„Maßnahmen, die geeignet sind, ...
zu gewährleisten, dass nachträglich
überprüft und festgestellt werden
kann, ob und von wem personenbezogene
Daten in Datenverarbeitungssysteme
eingegeben, verändert
oder entfernt worden sind “
Dieses Gebot ist leichter gesagt, als
umgesetzt. Es fordert nichts weniger
als einen revisionssicheren Betrieb
der Informationstechnik. Mit überschaubarem
Aufwand lässt sich zwar
etwas darüber sagen, wer aktuell
welche Zugangs- und Zugriffsrechte
im IT-Verbund hat oder wer zuletzt
auf einzelne Dokumente zugegriffen
hat. Die besondere Schwierigkeit
dieses Gebots entsteht jedoch
durch die geforderte Zugriffshistorie:
Wer hatte letzte Woche oder am
15. des vergangenen Monats welche
Zugriffsrechte? Manche datenbankbasierte
Anwendungen wie SAP protokollieren
auch diese Informationen.
Für die IT-Abteilungen bleibt
jedoch auch dann der Nachweis für
die Anforderung von Zugriffsrechten
offen: Warum, also aufgrund
welcher Anforderung/Genehmigung
hatte ein Nutzer bestimmte
Zugriffsrechte und wer hat sie im
System eingetragen?
Dies erfordert ein Zusammenspiel
zwischen einem gut geführten
Anforderungs- bzw. Bewilligungsmanagement
für Zugriffsrechte auf
der organisatorischen Seite und
geeigneten Protokoll- und Auswertungsinstrumenten
auf der technischen
Seite. Dem Datenschutzbeauftragten
kommen an dieser Stelle
zuweilen Zweifel, ob das Gebot der
Datensparsamkeit noch angemessen
berücksichtigt wird. Der Forderung
der Eingabekontrolle ist daher
die strenge Zweckbindung des § 31
BDSG zur Seite zu stellen, der jegliche
anderweitige Verwendung dieser
Protokolldaten untersagt, die für
die Aufrechterhaltung eines sicheren
Systembetriebes gespeichert
werden.
Die technischen Protokollierungsanforderungen
werden in verschiedenen
Bausteinen angesprochen,
unter anderem in B 3.101 Allgemeiner
Server, B 1.14 Patch- und Änderungsmanagement,
B 1.9 Hard- und
Softwaremanagement oder B 3.301
Sicherheitsgateway (Firewall).
(6) Auftragskontrolle
„Maßnahmen, die geeignet sind, ...
zu gewährleisten, dass personenbezogene
Daten, die im Auftrag verarbeitet
werden, nur entsprechend
den Weisungen des Auftraggebers
verarbeitet werden können.“
Zur Auftragsdatenverarbeitung
gehören natürlich auch die Leistungen
eines Rechenzentrums. Dass
jedoch der Transport von Daten
oder die Entsorgung von Hard- und
Paperware ebenfalls Datenverarbeitung
im Auftrag ist, löst zuweilen
Erstaunen aus. Die Auftragskontrolle
verweist auf die Anforderungen
des § 11 BDSG, der in seiner aktuellen
Fassung seit September 2009
sehr konkret die Anforderungen an
die Auftragsdatenverarbeitung mit
10 Punkten in den Gesetzestext aufgenommen
hat. Dieser 10-Punkte-
Katalog liest sich wie eine Checkliste,
die von der Auswahl der
Auftragnehmer, über die Vertragsgestaltung,
die Sicherheitsanforderungen
und die Durchführungskontrolle
bis zum Auftragsende reicht.
Im Grundschutzkatalog finden sich
hierzu weitere Empfehlungen in
den Bausteinen B 1.9 Hard- und
Softwaremanagement oder B 1.11
Outsourcing.
(7) Verfügbarkeitskontrolle
„Maßnahmen, die geeignet sind,
... zu gewährleisten, dass personenbezogene
Daten gegen zufällige
Zerstörung oder Verlust geschützt
sind“.
Der Begriff der Verfügbarkeit hat
in diesem siebten Gebot eine eingeschränkte
Bedeutung gegenüber
dem Verständnis aus Sicht der
Informationssicherheit. Während
die Informationssicherheit die Zurverfügungstellung
von Informationen
zur richtigen Zeit am richtigen
Ort im Blick hat, beschränkt sich
hier die Verfügbarkeitskontrolle
auf den Datenverlust. Es geht also
um Datensicherung, sichere Aufbewahrung,
stabile Stromversorgung
und vollständige Wiederherstellung
nach Ausfällen.
Aspekte, die man bei der Planung
von Verfügbarkeit in diesem Sinn
berücksichtigen sollte finden sich
in den Bausteinen B 1.3 Notfallvorsorgekonzept,
B 1.4 Datensicherungskonzept,
B 1.6 Computer-
Virenschutzkonzept oder B 1.12
Archivierung. Wenn es um die
räumlichen Anforderungen geht,
helfen die Bausteine B 2.5 Datenträgerarchiv
oder andere Infrastrukturbausteine
weiter, wie sie bereits
für den Zutrittsschutz genannt
wurden. Besonderes Augenmerk
auf die technischen Voraussetzungen
für die Datensicherung legen
hingegen die Bausteine B 3.303
Speichersysteme und Speichernet-
© SecuMedia Verlags-GmbH · D-55205 Ingelheim · IT-Grundschutz 2010/1
15

IT-Grundschutz
Workshops
ze oder die Maßnahmen für stabile
Stromversorgung: M 1.56 Sekundäre
Energieversorgung (im Baustein
2.9 Rechenzentrum) oder M 1.28
Lokale Unterbrechungsfreie Stromversorgung.
(8) Trennungskontrolle
„Maßnahmen, die geeignet sind,
... zu gewährleisten, dass zu unterschiedlichen
Zwecken erhobene
Daten getrennt verarbeitet werden
können“.
Das Trennungsgebot spricht als
erstes die logische und gegebenenfalls
auch die physikalische
Trennung von Kunden/Mandantendaten,
Buchungskreisen und
ähnlichem an. In der nächsten
Stufe wird die Trennung angestrebt,
die durch die datenschutztypische
Zweckbindung realisiert werden
muss. Beispielhaft ist die strikte
Zweckbindung von Protokolldaten,
die nur für den Systembetrieb
gespeichert werden dürfen. Die
Nutzung für andere Zwecke wie die
Leistungskontrolle ist strikt verboten.
Schließlich spricht das Trennungsgebot
das Vier-Augen-Prinzip
oder die organisatorische Funktionstrennung
an, zum Beispiel von
genehmigenden Befugnissen und
ausführenden Befugnissen. Solche
Regelungen müssen sich auf den
verschiedenen Berechtigungsebenen
nachvollziehen lassen, beispielsweise
anhand von Zugriffsrechten.
Anregungen zum Trennungsgebot
finden sich in den Empfehlungen
der Bausteine B 1.1 Organisation,
B 1.9 Hard- und Softwaremanagement
oder B 1.11 Outsourcing sowie
bei verschiedenen Maßnahmen zu
Kontrollanforderungen bei den
system- und netztechnischen Bausteinen.