Was ist
Datenschutz?
 		 Was ist Datenschutz
Datenschutz-
Produkte		 Datenschutz-Produkte
Kooperationen
 		 Kooperationen
Ansprechpartner
 		 Ansprechpartner
  #         
 
 
Fachartikel |  Was ist Datenschutz |  Feuilleton

Das Problem mit der "gefühlten" Sicherheit in der EDV

My Kanzlei is my castle!von Dipl.-Ök. Stephan Rehfeld, Hannover

Unter EDV-Anwendern hat sich inzwischen herumgesprochen, dass Sicherheit beim Einsatz von EDV ein wesentlicher Aspekt ist. Leider ist der Grad an Sicherheit kaum einzuschätzen. In vielen Fällen beschränkt sich die Schaffung von Sicherheit auf punktuelle Maßnahmen, wie z.B. den Einsatz von Firewalls oder Virenscannern. Aus Unkenntnis heraus erklärt sich der oft fahrlässige Einsatz von Mobiltelefonen, PDAs, USB-Speichermedien, Notebooks etc.

Nicht-öffentliche Stellen - zu denen auch Steuerberatungskanzleien gerechnet werden – sind gesetzlich zur Einhaltung gewisser Mindeststandards verpflichtet. Das Bundesdatenschutzgesetz (BDSG) regelt den Umgang mit personenbezogenen Daten. Durch § 9 BDSG werden alle Steuerberatungskanzleien zur Einhaltung von technischen und organisatorischen Maßnahmen verpflichtet. Die technischen und organisatorischen Maßnahmen werden in der Anlage zu § 9 Satz 1 näher beschrieben, allerdings fehlt im Gesetz eine konkrete Beschreibung der Umsetzung. Aufgrund der Dynamik der Innovationen in der EDV ist dies durch den Gesetzgeber auch nicht möglich. Diese Lücke haben die Aufsichtsbehörden geschlossen.

Praxis-Beispiel: Passwortregelungen

Da die Schaffung von Sicherheit kein Selbstzweck ist, ist bei der Umsetzung der technischen und organisatorischen Maßnahmen die Verhältnismäßigkeit zu beachten. Maßstab für die Verhältnismäßigkeit ist der zu erreichende Schutzzweck und nicht die Betriebsgröße oder der Grad an Unbequemlichkeit. Die niedersächsische Aufsichtsbehörde klassifiziert nicht-öffentliche Stellen in einem fünfstufigen Schema. Steuerberatungskanzleien fallen hier in die Stufe D, die zweithöchste Stufe. Dementsprechend müssen Kanzleien ein hohes Maß an Sicherheit schaffen.

Konkret werden von der Aufsichtsbehörde an Kanzleien folgende Anforderungen im Bereich der Passwortregelungen gestellt:

  1. Das System selbst muss mit Passwörtern abgesichert sein (Passwortschutz). In einer Kanzlei muss jede Person, die personenbezogene Daten erhebt, verarbeitet oder nutzt, über persönliche Passwörter verfügen. Passwörter müssen für das Bios, für das Betriebssystem, für die Netzwerkanmeldung und für sicherheitskritische Programme vergeben sein. In diesem Zuge ist auch sicherzustellen, dass der Passwortschutz durch bootfähige Medien (z.B. Diskette, CD, USB-Speichermedium) nicht umgangen werden kann (Systemabsicherung)
  2. Die Nutzung von Trivialpasswörtern ist zu vermeiden, da sie nur einen marginalen Schutz gewährleisten. In Steuerberatungskanzleien müssen Passwörter so ausgestaltet sein, dass sie aus nummerischen, alphanummerischen und Sonderzeichen bestehen. Ebenso müssen Passwörter über eine Mindestlänge verfügen (mindestens sechs Zeichen, eher mehr), da sie sonst nur einen geringen Schutz bieten.
  3. Passwörter dürfen bei der Eingabe auf dem Bildschirm nicht im Klartext lesbar sein, da sie sonst ausgespäht werden können (Dunkelsteuerung).
  4. Ein Passwort muss nach einem Zeitintervall verfallen. Ein Passwort sollte maximal sechs Monate gültig seine (Passwortalterung). Des Weiteren ist ein durch den Nutzer bereits verwendetes Passwort für die nächsten fünf Passwortvergaben für diesen Nutzer zu sperren (Passwortwiederholung).
  5. Jeder Arbeitsplatzrechner muss so eingestellt sein, dass spätestens nach 20minütiger Inaktivität ein Bildschirmschoner aktiviert wird, der durch den Nutzer mittels eines Passworts entsperrt werden muss (gesicherte Pausenfunktion).
  6. Nach maximal fünf Passwortfehleingaben muss der betroffene Benutzer durch das System für ein Login gesperrt werden (Begrenzung der Fehlversuche), da davon auszugehen ist, dass ein Unbefugter versucht, sich Zugang zur EDV zu verschaffen.
  7. Nutzer dürfen zum System lediglich Zugang haben, wenn er aus organisatorischen Gründen erforderlich ist (Sperrung). Z.B. nachts oder während des Wochenendes sollte der Zugang zu der Kanzlei-EDV verwehrt sein. Die konkrete Ausgestaltung dieser Regelung richtet sich nach den kanzleiorganisatorischen Anforderungen und kann auch nutzerindividuell ausgestaltet sein.
  8. Der Zugang zur EDV ist für Nutzer, die längere Zeit auf das System nicht zugreifen (ab drei Monate) zu sperren (Benutzersperrung). Dies ist in der Praxis z.B. für den Fall des Mutterschaftsurlaubes anzuwenden.

Diese Regelungen sollten in Kanzleien umgesetzt und dokumentiert sein; die Mitarbeiter müssen in Form eines Merkblatts informiert sein. Die technische Umsetzung kann durch kundige Mitarbeiter mit Windows-Board-Mitteln vorgenommen werden.

Die Passwortregelungen sind nur ein Teil der Anforderungen an eine Steuerberatungskanzlei. Der Bundesbeauftragte für den Datenschutz hat gemeinsam mit den Aufsichtsbehörden der Länder einen umfassenden Katalog zur Konkretisierung der technischen und organisatorischen Maßnahmen erarbeitet. Der große Vorteil dieses Kataloges ist, dass die subjektiv gefühlte Sicherheit des Einzelnen durch eine objektiv überprüfbare Sicherheit ersetzt wird.

Den Katalog finden Sie hier...

Veröffentlicht in VERBANDIntern 5/2007 (PDF, ca. 320 KB)