Startseite Themen Sicherheit IT-Sicherheit und Datenschutz 
[Druckversion: HTML ]
Benutzer:
Gast

Valid XHTML 1.0 Transitional

IT-Sicherheit und Datenschutz

Stand: 28.01.2015

"IT-Sicherheit" und "IT-Sicherheitskonzept" sind Schlagworte, die oft auch im Zusammenhang mit dem Begriff Datenschutz fallen.

Zusammenhang mit dem Datenschutz

Zugriff: Die ganze Welt

Doch wie kommt eigentlich dieser Zusammenhang zustande?

Wir möchten versuchen, den Zusammenhang an folgendem Beispiel ein wenig zu verdeutlichen: Stellen Sie sich vor, Sie müssten eine Stiege roher Eier mit dem Kraftfahrzeug zum Markt transportieren. Sie würden dies nicht tun, wenn Ihr Fahrzeug nicht den allgemeinen Sicherheitsanforderungen entspricht, weil beispielsweise die Bremsen und Stoßdämpfer defekt sind. Ein Verlust einiger oder vieler Eier (sowie evtl. weitere Schäden) wäre bei dieser fehlenden allgemeinen Verkehrssicherheit des Fahrzeugs zu befürchten.

Stellen Sie sich nun vor, die Eier sind personenbezogene Daten und Ihr Fahrzeug ist Ihre IT-Infrastruktur. Die Tätigkeit besteht nun nicht mehr darin, die Eier zum Markt zu fahren, sondern die personenbezogenen Daten zu verarbeiten.

Wenn Ihre IT-Infrastruktur Mängel aufweist, haben Sie dasselbe Problem wie beim Transport der Eier - ein Schaden ist zu befürchten. Dabei besteht der Schaden in diesem Fall nicht darin, dass etwas "kaputt geht", sondern dass unbefugte Verarbeitungsvorgänge stattfinden bzw. unbefugte Personen Zugriff auf diese Daten erhalten.

So wie Sie beim Fahrzeug auf die allgemeine Verkehrssicherheit desselben achten (unabhängig davon, ob Sie Eier oder anderes transportieren) sollten Sie bei Ihrer IT-Infrastruktur auf die IT-Sicherheit achten.

Dies ist auch völlig unabhängig davon, ob Sie personenbezogene Daten verarbeiten oder nicht. Wenn Sie diese verarbeiten, besteht bei unzureichender IT-Sicherheit die Gefahr für diese personenbezogenen Daten, verarbeiten Sie keine personenbezogene Daten, besteht die Gefahr zum einen für andere - möglicherweise auch geheim zu haltende Daten (z.B. Geschäftsinformationen) - sowie zum anderen darin, dass Ihre IT-Infrastruktur von Dritten genutzt wird (z.B. Ihr Mailserver für den Spam-Versand).

Daher ist die Frage nach der IT-Sicherheit von ganz grundlegender Art.

Was bedeutet "IT-Sicherheit" konkret?

Zugriff: Die ganze Welt

Wie diese Frage zu beantworten ist, kann immer nur im Einzelfall beurteilt werden. Dabei helfen konkrete Fragen nach den Aufgaben der IT und den Auswirkungen eines Schadensfalls unter Berücksichtigung der Höhe und der Auftrittswahrscheinlichkeit.

Als Hilfestellung dient daher die Betrachtung von Schutzzielen (Grundwerten), möglichen Gefahren/Bedrohungen derselben und angemessenen technisch-organisatorischen Schutzmaßnahmen.

Die drei wesentlichen Grundwerte, die es zu schützen gilt, sind gemäß der deutschen und europäischen IT-Sicherheitskriterien ITSEC Externer Link und Common Criteria (CC) Externer Link:

  • Vertraulichkeit (kein unbefugter Informationsgewinn)
  • Integrität (keine unbefugte Modifikation)
  • Verfügbarkeit (keine unbefugte Veränderung der Funktionalität)

Weitere Schutzziele können sein:

  • Authentizität (verifizierbare Identität)
  • Verbindlichkeit (nicht abstreitbare Handlung)
  • Verlässlichkeit (zuverlässige Erfüllung der Anforderungen)
  • Zurechenbarkeit (Aktion zu Reaktion)
  • Beherrschbarkeit (Steuerung/ Regelung des IT-Systems menschenmöglich)
  • Revisionsfähigkeit

Ein systematischer Ansatz für die Erstellung eines IT-Sicherheitskonzeptes ist im IT-Grundschutzhandbuch (GSHB) Externer Link des Bundesamtes für die Sicherheit in der Informationstechnik (BSI) dargestellt. Unter IT-Grundschutz versteht man hierbei die Umsetzung von Standardsicherheitsmaßnahmen unter der Annahme von pauschalen Gefährdungen für typische IT-Systeme mit einem niedrigen bis mittleren Schutzbedarf.


Bild 2: Sicherheitsprozess

ZENDAS geht davon aus, dass eine Hochschule in Baden-Württemberg als Teil der Landesverwaltung die Standards des e-Government-Konzept-Baden-Württemberg [PDF] Externer Link zu beachten hat (Stand 01.01..2009 - Az.: S-0270.9/58 - GABl. 2009, S. 2). Danach ist für die Erstellung von IT-Sicherheitskonzepten das IT-Grundschutzhandbuch des BSI anzuwenden.

Neben der individuellen Entscheidung, welches Restrisiko noch tragbar ist, gibt es auch Vorschriften und Gesetzesanforderungen, die einzuhalten sind. Je nach Sicherheitsbedarf ist die Gewährleistung von IT-Sicherheit mit entsprechend hohem Ressourcenbedarf (Zeit, Mittel, Personal) verbunden. Hier bewegt man sich oft in einem Spannungsfeld zwischen Sicherheit, Kosten und Nutzerakzeptanz.


Bild 1: IT-Sicherheit im Spannungsfeld von Kosten und Bequemlichkeit

Ein ausgewogenes IT-Sicherheitskonzept sollte deshalb die Balance zwischen rechtlichen und betrieblichen Notwendigkeiten und der Wirtschaftlichkeit (Kosten vs. Nutzen) reflektieren.

Auswirkungen eines IT-Grundschutzes auf den Datenschutz

Zugriff: Die ganze Welt

Verarbeiten Sie personenbezogene Daten, stellt der IT-Grundschutz die Basis für ein vollständiges Datenschutzkonzept dar. Er umfasst sowohl übergreifende organisatorische als auch system- und anwendungsspezifische Aspekte. Bei hohem Schutzbedarf wird dies durch eine ergänzende Sicherheitsanalyse (z.B. mittels sog. Penetrationstests) komplettiert.

Mit anderen Worten: Ist bei einer datenverarbeitenden Stelle ein IT-Grundschutz vorhanden, ist ein IT-Sicherheitskonzept erstellt, ist dies ein erster, aus Sicht des Datenschutzes zu fordernder Schritt zum Schutz der personenbezogenen Daten. Weitere sog. technisch-organisatorische Anforderungen gemäß § 9 LDSG BW Externer Link und die materiellen Voraussetzungen für die einzelnen Verarbeitungsschritte (z.B. Datenerfassung, -abgleich, -übermittlung) sind - gerade auch in Abhängigkeit von der jeweiligen Anwendung - zu beachten. Folgende Grafik soll Ihnen das - am Beispiel des Studierendenverwaltungsssystems SOS und des Personalverwaltungssystems SVA - etwas verdeutlichen.


Bild 3: vollständiges Datenschutzkonzept

Sie können darin erkennen, auf welchen Ebenen diese beiden Programme datenschutzrechtlich zu bewerten sind - angefangen von der Frage, ob und welche Daten darin verarbeitet werden dürfen (materielle Fragen) über die anwendungsspezifischen technisch-organisatorischen Maßnahmen (z.B. Verwendung und Anforderungen an Passworte) bis hin zur Ebene IT-Sicherheit. Das beste Passwort der Anwendung nutzt Ihnen nichts, wenn der Server, auf dem sich bspw. die Daten von SOS und SVA befinden, einfach gehackt werden könnte, weil elementare Sicherheitslücken nicht geschlossen wurden.

Aufgabe des praktizierten IT-Grundschutzes, eines IT-Sicherheitskonzeptes, ist es, u.a. diese Lücken zu erkennen und zu schließen.

Weiterführende Seiten zu den Themen:
Copyright 2022 by ZENDAS ..