Sicherheitsmaßnahmen - Augen immer offen halten

Artikeldownload

Datenschutz und IT­Sicherheit werden oftmals synonym verwendet, beschreiben allerdings verschiedene Sachverhalte. Während der Begriff Datenschutz für den Schutz personenbezogener Daten steht und Betroffene vor der Verletzung ihrer Persönlichkeitsrechte schützen soll, bezeichnet IT­Sicherheit den Schutz von Hard­ und Software sowie Daten.

Im Datenschutzrecht (§ 9 BDSG) gibt es mit den technischen und organisatorischen Maßnahmen (Toms) der Disziplinen Datenschutz und IT­Sicherheit eine Schnittmenge. In der Anlage zu § 9 Satz 1 des BDSG sind die Anforderungen zur Umsetzung der Toms, die Kontrollmaßnahmen oder auch die "Acht Gebote des Datenschutzes" (vgl. "Kontrollziele umsetzen") geregelt. Der Maßstab für den Grad der Umsetzung richtet sich nach dem Grundsatz der Verhältnismäßigkeit.

Bisher war die Umsetzung der Kontrollmaßnahmen in der Praxis problematisch, da sie keine konkreten Handlungsanweisungen darstellen. Stattdessen wird lediglich abstrakt erläutert, wie sich Datensicherheit im Sinne des BDSG erreichen lässt. Diesen Weg schlug der Gesetzgeber ein, da Datensicherheit von der konkreten Gefährdungslage abhängt, der Sensibilität der verarbeiteten personenbezogenen Daten, dem aktuellen Stand der Technik oder auch vom Unternehmenszweck und der Unternehmensgröße.

Die Aufsichtsbehörden haben Kanzleien und Unternehmen bisher mit Checklisten und Arbeitshilfen zur Umsetzung der Toms unterstützt. Dennoch musste häufig zusätzliche Kommentar­ und Fachliteratur zur konkreten Ausgestaltung der Maßnahmen hinzugezogen werden, was in der Praxis zur Verunsicherung führte.

Ergänzung der IT­Grundschutz­Kataloge im Herbst 2007

Im Herbst 2007 ergänzte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) gemeinsam mit den Datenaufsichtsbehörden der Länder die IT­Grundschutz-Kataloge um den Baustein "Datenschutz". Sie enthalten Standard­Sicherheitsmaßnahmen in typischen IT­Einsatzbereichen.

Die IT­Grundschutz­Kataloge wiederum gibt das Bundesamt für Sicherheit in der Informationstechnologie (BSI) heraus, die den aktuellen technischen Anforderungen entsprechen und ständig fortgeschrieben werden. Interessenten können sich die Materialien kostenlos im Internet unter www.bsi.bund.de herunterladen. Der BfDI und die Landesaufsichtsbehörden haben nun die Maßnahmen der IT­Grundschutzkataloge den datenschutz­ rechtlichen Kontrollzielen zugeordnet und damit für erhöhte Rechtssicherheit aufseiten der verantwortlichen Stellen, hier Kanzleien und Unternehmen, gesorgt.

Die Kontrollziele sind kein Selbstzweck. Einerseits muss der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen. Andererseits sind die Maßnahmen kein festes Regelwerk, sie müssen am konkreten Einzelfall ausgerichtet sein. Die zu ergreifenden Maßnahmen orientieren sich am Schutzbedarf und basieren auf einer Risikoanalyse.

Die Klassifikation des Schutzbedarfs selbst lässt sich nach dem sogenannten BSI­Standard 100­2 vornehmen, siehe auch www.bsi.de. In einer Kanzlei ergibt das Ergebnis einer Prüfung der Schutzbedarfskategorien nach unserer Erfahrung regelmäßig den Schutzbedarf "hoch" oder "sehr hoch".

Die Regelungen zu den Toms werden oft als lästige Reglementierung verstanden. Am Beispiel des Einsatzes von Laptops lassen sich aber exemplarisch Regelungen sowie deren Hintergrund erläutern. So sollten Kanzleien mobile Rechner unter Sicherheitsaspekten zentral einkaufen, Experten sollten sie ebenso zentral einrichten. Damit lässt sich sicherstellen, dass alle Kanzlei­Laptops über ein einheitliches Schutzniveau verfügen. Auf dem Arbeits­Laptop dürfen Kanzleimitarbeiter nur die Kanzlei­Software einsetzen und dienstliche Daten verarbeiten. Nicht zuletzt stellt eine willkürliche Software­Installation durch Mitarbeiter ein Sicherheitsrisiko dar. Somit darf nur der Administrator oder aber die EDV­Abteilung Änderungen an der Systemkonfiguration vornehmen. Nur so lässt sich die Konsistenz des Sicherheitskonzepts gewährleisten.

Ebenso muss auf den Kanzlei­Laptops immer ein aktueller Viren­Scanner aktiv sein. Gleiches gilt für die Nutzung der Schnittstellen des Rechners wie USB, Bluetooth oder WLan - auch müssen hier eindeutige Sicherheitsregeln vorliegen. Auf den diversen Systemebenen müssen Passwörter vergeben werden, um Dritten einen Zugriff auf das System zu verwehren: Das Bios muss so eingestellt sein, dass ein Hochfahren des Betriebssystems von CD oder USB­Stick aus nicht möglich ist.

Um zu verhindern, dass Unbefugte die Boot­Reihenfolge ändern, mussdasBios passwortgeschützt sein. Ein Passwort für die Nutzung des Betriebssystems verhindert zudem, dass Dritte Zugriff auf die Laptop­Datenbestände haben. Ein Problem bei den mobilen Rechnern sind die auf der Festplatte gespeicherten Daten, da sie ohne einen Anschluss an das Kanzleinetzwerk nicht durch einen Server gesichert werden. Daher sollte der Nutzer den lokalen Datenbestand auf ein Minimum reduzieren und nicht benötigte Daten umgehend löschen. Auch ein entsprechendes Sicherungskonzept sollte vorliegen. Ein Betrieb über einen Terminal­Server ist ein möglicher Ausweg, da hier nicht lokal gearbeitet werden muss.

Aufsichtsbehörden empfehlen Berufsgeheimnisträgern übrigens, dass sie lokal vorliegende, personenbezogene Daten verschlüsseln. Dies lässt sich entweder durch die genutzten Anwendungsprogramme oder durch eine Festplattenverschlüsselung vornehmen. Ziel ist es, Dritten, beispielsweise im Falle eines Diebstahls, keinen Zugriff auf die Datenbestände zu ermöglichen.

Vorsicht bei Auslandsreisen mit mobilem Rechner

Wer mit seinem mobilen Rechner im Ausland unterwegs ist, muss lokale Gesetze der Einreise­ und Transferländer beachten. In Ländern wie Großbritannien oder den USA können etwa Zollbehörden Einreisende dazu zwingen, den Passwortschutz aufzuheben. Aber nicht nur dort muss der Nutzer sich vorsehen, sondern auch dann, wenn er beispielsweise mit seinem Laptop in fremden Räumen arbeitet. Hier muss er darauf achten, dass er seinen Rechner vor Zugriffen Dritter schützt. Dies kann er zum Beispiel durch einen passwortgeschützten Bildschirmschoner erreichen.

Ist ein Rechner unbeaufsichtigt, sollte ihn der Anwender entsprechend vor Diebstahl sichern. Während der Auto­ oder der Bahnfahrt empfiehlt sich der Transport in verschließbaren Koffern. Im Hotel sollte der Nutzer das Laptop im Hotelsafe aufbewahren. Es gibt auch Sicherheitsschlösser, die direkt am Laptop angebracht werden, Experten bezweifeln allerdings die Wirksamkeit.

Zudem sollen Mitarbeiter, die einen Laptop einsetzen, für die datenschutzrechtlichen Probleme und IT­Sicherheitsmaßnahmen geschult sein. Dabei müssen sie sämtliche Maßnahmen dokumentieren. Für einen Datenaustausch zwischen Kanzlei­Netzwerk und Laptop müssen aber noch weitergehende Maßnahmen getroffen werden.

Doch gibt es bei der Umsetzung der Toms in der Praxis Hürden: Einerseits verfügt die verantwortliche Stelle über eine gefühlte Sicherheit, die sich aber nur auf punktuelle IT­Sicherheitsmaßnahmen wie Viren­Scanner oder eine Firewall bezieht.

Andererseits werden die Maßnahmen zur IT­Sicherheit als lästig und teuer empfunden. Durch die Verknüpfung der IT­Grundschutz­Kataloge mit den Toms wird ein umfassendes IT­Sicherheitskonzept vorgestellt, das auch datenschutzkonform ist. Das Beispiel des Laptop­Einsatzes zeigt, dass sich mit Bordmitteln ein hohes Sicherheitsniveau erreichen lässt.

Kontrollziele umsetzen

Ob ein Kanzlei­Datenschutzbeauftragter bestellt ist oder nicht, jede Kanzlei muss folgende Kontrollziele umsetzen.

1. Zutrittskontrolle: Dritten den Zutritt zu Datenverarbeitungsanlagen zu verwehren.
2. Zugangskontrolle: Die Verhinderung der NutzungderDatenverarbeitungssysteme durch Dritte.
3. Zugriffskontrolle: Gewährleisten, dass nur Befugte gemäß des Berechtigungskonzepts auf Datenverarbeitungsanlagen undpersonenbezogene Daten zugreifen können.
4. Weitergabekontrolle: Umfasst die Sicherheit bei der elektronischen Datenübertragung oder einemTransport vonDatenträgern oder personenbezogenen Daten in Dateiform.
5. Eingabekontrolle: Umfasst die nachträgliche Überprüfung und Feststellung, ob und von wemDaten bearbeitet wurden.
6. Auftragskontrolle: Umfasst die Gewährleistung der datenschutz­konformenundweisungsgebundenen Datenverarbeitung durch Dritte.
7. Verfügbarkeitskontrolle: Umfasst den Schutz der Daten vor Zerstörung oder Verlust.
8. Zwecktrennungskontrolle: Umfasst die Trennung der Verarbeitung von personenbezogenen Daten gemäß ihrer Zweckbestimmung.

(Quelle: BDSG, § 9 Satz 1, Anlage )

Diplom-Ökonom Stephan Rehfeld,
Geschäftsführer der scope & focus GmbH,
der IT-Tochter des Steuerberaterverbands Niedersachsen Sachsen-Anhalt e.V.
und externer Datenschutzbeauftragter.

Veröffentlicht in: Steuer-Consultant 6/2008, Seite 60 f.

• Datenschutz
• | Produkte
  • | externer DSB
  • | DS-Organisation
  • | Schulung
• | Fachinformationen
  • | Fachinformationen
• | Seminare
  • | DS-Seminare
• | Ansprechpartner
  • | Koordination
  • | Ansprechpartner

 

Seite drucken
Seite empfehlen
Kontakt