IT-Sicherheit für Dummies. Rainer W. Gerling
Чтение книги онлайн.

Читать онлайн книгу IT-Sicherheit für Dummies - Rainer W. Gerling страница 24

СКАЧАТЬ und den Datenschutz. Dabei finden wir in der Datenschutzgesetzgebung auch starke Anforderungen an die IT-Sicherheit, indem technisch-organisatorische Maßnahmen vorgegeben werden.

       Unternehmen müssen sich darum, ob sie wollen oder nicht, mit der Informationssicherheit beschäftigen.

       Sie lernen in den folgenden Kapiteln die rechtlichen Vorschriften und deren Vorgaben kennen. Je nach Branche gibt es sehr unterschiedliche Anforderungen für Ihr Unternehmen.

      Die DS-GVO und das BDSG

      IN DIESEM KAPITEL

       Forderungen der DS-GVO und des BDSG zur IT-Sicherheit

       Was ist Stand der Technik?

       Schutzziele des Datenschutzes

      Wie Sie schon gesehen haben, verlangt die DS-GVO in Artikel 32 Abs. 1 technisch-organisatorische Maßnahmen nach dem Stand der Technik. In Ihr Verzeichnis der Verarbeitungstätigkeiten (VVT) müssen Sie »eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1« aufnehmen (Art. 30 Abs. 1 lit. g DS-GVO). Auch in den Verträgen zur »Gemeinsamen Verantwortlichkeit« (Art. 26 DS-GVO) und zur »Verarbeitung im Auftrag« (Art. 28 DS-GVO) müssen Sie geeignete technische und organisatorische Maßnahmen festlegen. Damit Sie nicht jedes Mal von vorn beginnen müssen, sollten Sie dabei immer die gleiche Strukturierung verwenden. Wir wollen uns im Folgenden eine geeignete Strukturierung überlegen.

      Im BDSG a. F. (gültig bis 24. Mai 2018) gab es die Anlage zu § 9, in der die Schutzziele der technisch-organisatorischen IT-Sicherheitsmaßnahmen vorgegeben wurden. Diese Schutzziele können als Strukturelemente zur Gliederung der konkreten Maßnahmen verstanden werden. Bei einer Ablage der Papierdokumente in einem Ordner würden Sie diese Begriffe zur Beschriftung der Trennblätter verwenden. Sie bilden das Inhaltsverzeichnis oder die Struktur der Maßnahmen.

      Dies waren im Einzelnen die Schutzziele:

      1 »Zutrittskontrolle: Unbefugten muss der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehrt werden.

      2 Zugangskontrolle: Es muss verhindert werden, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

      3 Zugriffskontrolle: Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

      4 Weitergabekontrolle: Es ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

      5 Eingabekontrolle: Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

      6 Auftragskontrolle: Es ist zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

      7 Verfügbarkeitskontrolle: Es ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

      8 [Trennungskontrolle]: Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.«

      Bereits im ersten BSDG von 1977 (BGBl. I S. 201) war eine Version der – damals noch – zehn Gebote des Datenschutzes in einer Anlage enthalten. Diese waren noch am klassischen Rechenzentrumsbetrieb mit Großrechnern und an konkreter Technik orientiert. Es herrschte die Vorstellung, dass personenbezogene Daten gut geschützt waren, wenn sie in einem Rechenzentrum verarbeitet werden, das Unbefugte nicht betreten durften. So waren zum Beispiel die getrennten Punkte der Abgangskontrolle (unberechtigtes Entfernen von Datenträgern) und der Transportkontrolle (Schutz von Datenträgern beim Transport) enthalten. Datentransfer über das Internet, wie wir ihn heute kennen, gab es 1977 noch nicht. Der Transport von Daten war der Transport von Datenträgern. Dies ist seit 2001 im BDSG (BGBl. I S. 904) aktualisiert und unter »Weitergabekontrolle« zusammengefasst worden. Im Zeitalter von Cloud-Computing ist die damals zugrundeliegende Vorstellung des ersten BDSG von zentraler Datenverarbeitung im Rechenzentrum wirklich nicht mehr realistisch.

      Diese Kontrollen orientieren sich im Wesentlichen am Verarbeitungsbegriff und damit am Lebenszyklus der Daten des alten BDSG: Daten werden erfasst (= eingegeben), verändert, übermittelt, verarbeitet und gelöscht. Gerade mit den ersten drei Kontrollen werden Maßnahmen in einem Schalenmodell der Annäherung an die Daten beschrieben. Die Zutrittskontrolle soll verhindern, dass Unbefugte zu den Rechnern vordringen können. Die Zugangskontrolle soll sicherstellen, dass jemand, der zwar zu den Rechnern darf, sich aber nicht an den Rechnern anmelden soll, das auch nicht kann. Für Personen, die an den Rechnern zum Beispiel auf Betriebssystemebene arbeiten, muss sichergestellt werden, dass sie nicht an die Daten kommen.

      

Die Begriffe »Zutritt«, »Zugang« und »Zugriff« werden im Englischen einheitlich mit »Access« übersetzt. Um auch in englischen Dokumenten die Abstufung zu erreichen, sollten die Übersetzungen »physical access « (eventuell auch »equipment access«), »logical access« und »data access« verwendet werden.

      Die DS-GVO regelt die Informationssicherheit im Art. 32 sehr viel abstrakter, aber auch näher an den klassischen Schutzzielen Vertraulichkeit, Verfügbarkeit und Integrität der Informationssicherheit (siehe Kapitel 2).

      Im Art. 32 DS-GVO taucht der Begriff »Stand der Technik« auf. Dies ist die aktuelle Messlatte für die Qualität von IT-Sicherheitsmaßnahmen.

      Den Begriff »Stand der Technik« finden Sie aber auch in zahlreichen anderen rechtlichen Regelungen. Neben der DS-GVO kommt er zum Beispiel noch in diesen Rechtsvorschriften vor:

       § 8a Abs. 1. BSI-Gesetz: »… Dabei soll der Stand der Technik eingehalten werden …«

       § 75b Abs. 3 SGB V: »… festzulegenden Anforderungen müssen dem Stand der Technik entsprechen …«

       § 75c Abs. 1 SGB V:»… nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen …«

       § 165 Abs. 1 TKG:»… Dabei ist der Stand der Technik zu berücksichtigen …« СКАЧАТЬ