IT-Sicherheit für Dummies. Rainer W. Gerling
Читать онлайн книгу.
Stands der Technik sicherzustellen, dass die Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen.« Sie sehen, der europäische Gesetzgeber will die Hersteller in die Richtung von datenschutzfreundlichen Produkten pushen. Für die Verantwortlichen im Unternehmen heißt dies, dass bereits die Produktauswahl unter technisch-organisatorischen Datenschutzaspekten zu treffen und zu dokumentieren ist.
Sie müssen sowohl die Datenschutzgrundsätze wie Datenminimierung, Intervenierbarkeit (Löschen, Korrektur), Zweckbindung und Transparenz als auch die Schutzziele der IT-Sicherheit wie Verfügbarkeit, Vertraulichkeit und Integrität bei Produkt- und Dienstleiterauswahl berücksichtigen. Die gerade erwähnten Datenschutzgrundsätze betrachten wir noch ausführlicher in Kapitel 5.
Teil II
Rechtliche Anforderungen
IN DIESEM TEIL …
Der europäische und der deutsche Gesetzgeber regeln in immer mehr Gesetzen und Verordnungen die Anforderungen an die Informationssicherheit und den Datenschutz. Dabei finden wir in der Datenschutzgesetzgebung auch starke Anforderungen an die IT-Sicherheit, indem technisch-organisatorische Maßnahmen vorgegeben werden.
Unternehmen müssen sich darum, ob sie wollen oder nicht, mit der Informationssicherheit beschäftigen.
Sie lernen in den folgenden Kapiteln die rechtlichen Vorschriften und deren Vorgaben kennen. Je nach Branche gibt es sehr unterschiedliche Anforderungen für Ihr Unternehmen.
Kapitel 5
Die DS-GVO und das BDSG
IN DIESEM KAPITEL
Forderungen der DS-GVO und des BDSG zur IT-Sicherheit
Was ist Stand der Technik?
Schutzziele des Datenschutzes
Wie Sie schon gesehen haben, verlangt die DS-GVO in Artikel 32 Abs. 1 technisch-organisatorische Maßnahmen nach dem Stand der Technik. In Ihr Verzeichnis der Verarbeitungstätigkeiten (VVT) müssen Sie »eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1« aufnehmen (Art. 30 Abs. 1 lit. g DS-GVO). Auch in den Verträgen zur »Gemeinsamen Verantwortlichkeit« (Art. 26 DS-GVO) und zur »Verarbeitung im Auftrag« (Art. 28 DS-GVO) müssen Sie geeignete technische und organisatorische Maßnahmen festlegen. Damit Sie nicht jedes Mal von vorn beginnen müssen, sollten Sie dabei immer die gleiche Strukturierung verwenden. Wir wollen uns im Folgenden eine geeignete Strukturierung überlegen.
Die acht Gebote des Datenschutzes (BDSG a. F.)
Im BDSG a. F. (gültig bis 24. Mai 2018) gab es die Anlage zu § 9, in der die Schutzziele der technisch-organisatorischen IT-Sicherheitsmaßnahmen vorgegeben wurden. Diese Schutzziele können als Strukturelemente zur Gliederung der konkreten Maßnahmen verstanden werden. Bei einer Ablage der Papierdokumente in einem Ordner würden Sie diese Begriffe zur Beschriftung der Trennblätter verwenden. Sie bilden das Inhaltsverzeichnis oder die Struktur der Maßnahmen.
Dies waren im Einzelnen die Schutzziele:
1 »Zutrittskontrolle: Unbefugten muss der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehrt werden.
2 Zugangskontrolle: Es muss verhindert werden, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.
3 Zugriffskontrolle: Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
4 Weitergabekontrolle: Es ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
5 Eingabekontrolle: Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
6 Auftragskontrolle: Es ist zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
7 Verfügbarkeitskontrolle: Es ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
8 [Trennungskontrolle]: Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.«
Bereits im ersten BSDG von 1977 (BGBl. I S. 201) war eine Version der – damals noch – zehn Gebote des Datenschutzes in einer Anlage enthalten. Diese waren noch am klassischen Rechenzentrumsbetrieb mit Großrechnern und an konkreter Technik orientiert. Es herrschte die Vorstellung, dass personenbezogene Daten gut geschützt waren, wenn sie in einem Rechenzentrum verarbeitet werden, das Unbefugte nicht betreten durften. So waren zum Beispiel die getrennten Punkte der Abgangskontrolle (unberechtigtes Entfernen von Datenträgern) und der Transportkontrolle (Schutz von Datenträgern beim Transport) enthalten. Datentransfer über das Internet, wie wir ihn heute kennen, gab es 1977 noch nicht. Der Transport von Daten war der Transport von Datenträgern. Dies ist seit 2001 im BDSG (BGBl. I S. 904) aktualisiert und unter »Weitergabekontrolle« zusammengefasst worden. Im Zeitalter von Cloud-Computing ist die damals zugrundeliegende Vorstellung des ersten BDSG von zentraler Datenverarbeitung im Rechenzentrum wirklich nicht mehr realistisch.
Diese Kontrollen orientieren sich im Wesentlichen am Verarbeitungsbegriff und damit am Lebenszyklus der Daten des alten BDSG: Daten werden erfasst (= eingegeben), verändert, übermittelt, verarbeitet und gelöscht. Gerade mit den ersten drei Kontrollen werden Maßnahmen in einem Schalenmodell der Annäherung an die Daten beschrieben. Die Zutrittskontrolle soll verhindern, dass Unbefugte zu den Rechnern vordringen können. Die Zugangskontrolle soll sicherstellen, dass jemand, der zwar zu den Rechnern darf, sich aber nicht an den Rechnern anmelden soll, das auch nicht kann. Für Personen, die an den Rechnern zum Beispiel auf Betriebssystemebene arbeiten, muss sichergestellt werden, dass sie nicht an die Daten kommen.
Die Kontrollen der Anlage zu § 9 BDSG a. F. »leben« in Form von 14 Kontrollen im § 64 Abs. 3 BDSG fort. Dieser Teil des BDSG gilt allerdings nur für bestimmte Behörden, die für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten zuständig sind.
Die DS-GVO regelt die Informationssicherheit im Art. 32 sehr viel abstrakter, aber auch näher an den klassischen Schutzzielen Vertraulichkeit, Verfügbarkeit und Integrität der Informationssicherheit (siehe Kapitel 2).
Stand