In diesem Artikel versuchen wir, die wichtigsten Fragen zu den technischen Aspekten der Umsetzung der Datenschutz-Grundverordnung (DS-GVO) zu beantworten. Die Situation wird dadurch erschwert, dass diese Verordnung an der Grenze des sich rasch entwickelnden und rechtlich ziemlich schwach geregelten IT-Bereichs und des Datenschutzschutzrechts liegt.
Der Änderungsbedarf betrifft nicht nur Verträge mit Kunden oder Partnern, die Erneuerung der Informationen auf der Webseite und die Begrenzung des Zugriffs des Personals auf Daten, sondern auch die Modernisierung der IT-Ausrüstung der Unternehmen. Wenn man den Gesetzestext wortwörtlich versteht, dann sollten die Firmen die IT-Infrastruktur schaffen, die das erforderliche Datenschutzniveau und die nötige Kontrolle der eigenen personenbezogenen Daten gewährleisten.
Was sollten die Unternehmen tun, die erst jetzt über den Aufbau einer eigenen Datenschutz- und Informationsspeicherungsstruktur nachzudenken beginnen?
In erster Linie ist eine Analyse der personenbezogenen Daten durchzuführen, mit denen das Unternehmen zu tun hat. Dabei handelt es sich um jegliche Information dar, welche die Identifizierung einer natürlichen Person oder eines selbstständigen Unternehmers ermöglicht:
1. Mitarbeiterbezogene Daten: Das kann jegliche Information sein, beginnend vom Familiennamen bis zu dem Gewicht oder der Größe, der Kontonummer usw., wobei auch Audioaufnahmen von Telefongesprächen und Videoaufnahmen nicht ausgeschlossen werden sollten.
2. Kundenbezogene Daten: Das können Name, Geschlecht, Wohnanschrift, Kontonummer, Telefon, E-Mail usw. sein.
3. Daten der Partner. Das können sowohl die unmittelbaren Daten des Partners als auch die seiner Kunden sein.
4. Daten, die zusätzlichen Schutz erfordern, zum Beispiel Zahlungsdaten oder medizinische Untersuchungsergebnisse, Diagnosen usw.
Zu den technisch-organisatorischen Aufgaben des Unternehmens in diesem Sinne gehören:
1. Schutz der Daten vor unbefugtem Zugriff.
2. Speicherung in verschlüsselter Form, Schutz vor Löschung, Änderung oder Kopieren.
3. Löschung der Daten nach dem Ablauf der Aufbewahrungsfrist oder auf Anfrage des Dateneigners.
4. Ermittlungen der Ursache eines Datenverlusts oder eines unbefugten Zugriffs auf die Daten sowie Monitoring von unbefugten Zugriffsversuchen.
5. Gefahrloser Informationsaustausch (VPN, geschützter elektronischer Dokumentenverkehr).
Betrachten wir nun jeden dieser Punkte näher.
Schutz der Daten vor unbefugtem Zugriff
Die Schutzmaßnahmen können mit der Suche eines hypothetischen Feindes beginnen. Dieser Feind kann sowohl ein externer als auch ein interner sein. Wenn Sie sich den wahrscheinlichsten aller möglichen unbefugten Zugriffsversuche von außen ansehen (z.B. durch einen ausländischen Hacker), dann sollte die meiste Aufmerksamkeit der Firewall geschenkt werden. Dafür sind entsprechendes Hard- und Software auszuwählen, und zwar ausgehend von den möglichst wahrscheinlichen Angriffstypen. Die Software sollte ständig aktualisiert werden.
Wenn sie einen inneren Feind ermittelt haben (z.B. einen für die Konkurrenz arbeitenden Mitarbeiter) dann sollte mehr Aufmerksamkeit der inneren Infrastruktur, der Begrenzung der Zugriffsrechte auf die Dateien, Ordner, Scanner und Drucker geschenkt werden. In diesem Falle sollte man eine Zwei-Faktor-Authentifizierung durch den Hardwareschlüssel eToken eingerichtet oder biometrische Scanner eingeführt werden usw.
Nicht selten sind auch kombinierte Varianten, z.B. wenn ein Mitarbeiter seinen privaten Laptop mit Schadsoftware zur Arbeit mitbringt und diesen an das Computernetzwerk des Unternehmens anschließt. Über diesen Computer können kriminelle Akteure personenbezogene Daten stehlen. Deshalb verbieten viele Unternehmen den Anschluss jeglicher fremder Geräte an ihre Netzwerke, was als eine einfache, aber äußerst effektive Variante des Schutzes gilt.
Das sind nur wenige Beispiele, Kombinationen und Varianten des unbefugten Zugriffs, von denen es viel mehr gibt. Die Präventionsmaßnahmen hängen wesentlich von der Spezifik der Geschäftsführung sowie des Umfangs und der Art der geschützten Information ab. Auch preiswerte, aber richtig ausgewählte Schutzmittel können wirksamer als teure, aber unpassende oder falsch eingestellte Methoden sein.
Speicherung in verschlüsselter Form, Schutz vor Löschung, Änderung oder Kopieren.
Einer der Wege der sicheren Informationsspeicherung ist die Datenverschlüsselung. Das kann ein auf dem PC, Server installiertes oder in den Netzwerkspeicher (NAS) eingebautes Programm sein, das anhand eines speziellen Algorithmus alle notwendigen Daten verschlüsselt. Dabei kann eine sichere Speicherung nicht nur am konkreten PC oder auf einer konkreten Festplatte, sondern auch auf äußeren Speichermedien, wie z.B. einem Speicherstick oder CD sichergestellt werden. Die Beständigkeit der Verschlüsselung sollte mit den Charakteristika des Unternehmen übereinstimmen.
Ein Krimineller, der Informationen oder ein sie enthaltende Speichermedium (Speicherstick oder Festplatte) erhalten hat, kann die Informationen ohne Entschlüsselung nicht benutzen. Der Vorgang der Entschlüsselung kann sowohl durch Passwort als auch durch viele andere Authentifizierungsmittel, wie ein elektronischer Schlüssel, biometrische Daten usw. erfolgen.
Heute stellt die Verschlüsselung von Informationen eine effektive Art des Schutzes dar. Die Arbeit damit stellt keine zusätzlichen Schwierigkeiten für die Mitarbeiter dar. Bei einer Lese- oder Aufnahmeanfrage entschlüsselt und verschlüsselt das Programm nur die erforderlichen Abschnitte des Speichermediums, was keine Verzögerungen bei der Arbeit der Benutzer nach sich zieht.
Wenn die Frage der Sicherung per Verschlüsselung mehr oder weniger geklärt ist, stellt sich jene nach dem Schutz vor Löschung und Änderung? Die Kontrolle der Informationen an den Arbeitsplätzen (Computern) der Mitarbeiter ist keine einfache Aufgabe. Eine der möglichen Lösungen kann die zentralisierte Speicherung der geschützten Daten mit der Begrenzung der Zugriffsrechte auf die Dokumente sein. Es gibt viele Lösungen, die nicht nur eine sichere Arbeit mit den Dokumenten im Unternehmen, sondern auch die Aufzeichnung aller Änderungs-, Kopier- und Löschvorgänge ermöglichen.
Eine der effektiven Schutzarten kann die Kreierung Erstellung der von Reservekopien von der Daten sein. Die Anwendung der RAID-Technologie für dass spiegelartige KSpiegelkopieren der Information aufn mehreren Festplatten ermöglicht den Schutz der Daten vor den Geräteproblemen. Z.B.Beispielsweise kann beim Ausfall der Platte Festplatte diese nur gegen durch eine neue ersetzt werden und dennoch lassen sich und alle Informationen werden ohne Schwierigkeiten wiederhergestellent. Eine Unterbrechungsfreie Spannungsversorgung Stromversorgung wird kann einer unerwarteten Ausschaltung der Hardware bei der Aufnahme oder beim Lesen der Daten vorbeugen, was diese Daten vor der Beschädigung oder dem Verlust schützt. Die Benutzung der spezialisierten Spezialsoftware Erstellung von zur Kreierung der Reservekopien hilft bei der Organisation ders automatischen Reservekopierens der Daten an den äußeren Trägernauf externen Speichermedien, was eine schnelle Wiederherstellung der Information nach einem Hackerangriff, Geräteausfall, der einer unbefugten Löschung oder Änderung ermöglicht.
Ermittlungen der Ursache eines Datenverlusts oder eines unbefugten Zugriffs auf die Daten sowie Monitoring von unbefugten Zugriffsversuchen.
Die Schutzmethoden vor unbefugtem Zugriff können theoretisch in zwei Typen unterteilt werden: Schutz auf der Netzwerk- und der PC-, Server- oder NAS-Ebene. Zur Unterdrückung der Angriffe aus dem Internet werden häufig IPS-Systeme (Intrusion Prevention System –Eindringvorbeugungssystem) benutzt. Das System analysiert den ganzen Datenverkehr im Netzwerk, sucht nach Angriffen und unterdrückt diese, verhindert die Verbreitung von Schadsoftware, fixiert die Eindringversuche sowie benachrichtigt das zuständige Personal über die entsprechenden Ereignisse.
Auf dem Markt gibt es ein breites Sortiment von Systemen zur Vorbeugung des Eindringens: Von im Router integrierten Programmen bis zu einzelnen Soft- und Hardwarekomplexen.
Die Software für PC, Server oder NAS kann auch alle unbefugten Operationen vorbeugen oder diese fixieren sowie erforderliche Maßnahmen, darunter die Isolation aller Daten vor der Untersuchung, treffen.
Sicherer Informationsaustausch
Fast jedes Unternehmen oder fast jeder Unternehmer hat eigene Geschäftspartner. Täglich erfolgt mehrfacher Informationsaustausch. Z.B. beim Drucken der elektronischen Briefmarke für den Versand eines Pakets an den Verbraucher denken nicht viele daran, dass sie personenbezogene Daten an ein drittes Unternehmen überreicht haben.
Fast jedes Unternehmen oder Unternehmer hat Geschäftspartner. Täglich erfolgt ein mehrfacher Informationsaustausch, Beim Drucken von elektronischen Briefmarken für den Versand eines Pakets an den Verbraucher denken beispielsweise nicht viele daran, dass sie personenbezogene Daten an ein drittes Unternehmen gesendet haben.
Bei dem Datenaustausch soll der Zugriff auf Informationen seitens Unbefugter verhindert werden, wobei entsprechende Schutzmittel angewandt werden sollen. Beispielsweise soll man beim Ausfüllen von Web-Formularen auf den Webseiten sich davon überzeugen, dass die Verbindung nach dem HTTPS-Protokoll erfolgt und das Zertifikat der Webseite gültig ist. Diese einfache Maßnahme wird sowohl das Abhören der Information als auch die Fälschung der Webseite seitens Krimineller vorbeugen.
Man darf auch die Notwendigkeit der Festhaltung solcher Handlungen, wie die Eintragung in das entsprechende Buch des Unternehmens, nicht vergessen. Durch die Benutzung des geschützten Dokumentenverkehrs kann das Zusammenwirken zwischen den Partnern vereinfacht werden und der Datenaustausch kann nicht nur gefahrlos erfolgen, sondern auch das komplette Register der Dokumenten kann auf diese automatische Weise geführt werden. Wenn der Datenaustausch bedeutend ist, dann hat es Sinn, einen geschützten Kommunikationskanal zwischen den Unternehmen unter Benutzung der VPN (Virtual Private Network)-Technologie einzurichten. Anhand von VPN lässt sich dann der interne Dateienaustausch und das Ausdrucken der Daten zu organisieren, und zwar dies alles unter Anwendung der Verschlüsselung. Diese Technologie wird auch bei der Organisation von Homeoffice unter Einhaltung der Datenschutzregeln, u.a. auch bei Telefonkonferenzen, nützlich sein.
Sicherheitssystemen am besten in die Hände von Experten gehört, insbesondere in den Fällen, wenn die Informationen auch für Dritte interessant sind. Nur ein Experte kann, gestützt auf die Erfahrungen und Besonderheiten Ihres Geschäfts, die effektivsten Mittel zur Sicherung und Beständigkeit ihrer Daten auswählen. Die richtigen Maßnahmen, die mit der Situation der Firma übereinstimmen, ermöglichen nicht nur die Erfüllung der gesetzlichen Anforderungen, sondern auch den Schutz des Unternehmen vor finanziellen oder Rufschäden.