Die acht Gebote des Datenschutzes: Weitergabekontrolle (3)
In der Anlage zu § 9 stellt das Bundesdatenschutzgesetz acht Anforderungen an die innerbetriebliche Organisation der Datenverarbeitung auf. In den ersten beiden Teilen unserer Serie haben wir uns mit dem physischen Zutritt zu den Datenverarbeitungsanlagen, der Nutzung von Datenverarbeitungssystemen und der Berechtigung zur Nutzung der dieser Systeme befasst. Der dritte Teil der Artikelreihe behandelt die Kontrolle des Datentransports: die Weitergabekontrolle. Lesen Sie, was Sie beim Datentransfer beachten müssen.
Im Rahmen der Weitergabekontrolle (Nr. 4 der Anlage zu § 9 Satz 1 BDSG) ist durch technische und organisatorische Maßnahmen zu gewährleisten, dass personenbezogene Daten während ihrer Übertragung oder ihres Transports oder ihrer Speicherung auf Datenträgern nicht unbefugt geändert, gelesen, kopiert oder entfernt werden können. Ferner muss überprüfbar und nachvollziehbar sein, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Inhaltlich überschneidet sich die Weitergabekontrolle mit der im Dezember 2011 behandelten Zugriffskontrolle gemäß Nr. 4 der Anlage zu § 9 Satz 1 BDSG, die ebenfalls eine unbefugte Nutzung der Daten verhindern soll.
Drei Aspekte der Weitergabekontrolle
Die Weitergabekontrolle umfasst alle Formen des Datentransports, wobei es drei Hauptbereiche gibt:
- Übertragungskontrolle,
- Transportkontrolle und
- Übermittlungskontrolle.
Übertragungskontrolle
Die Übertragungskontrolle soll die Vertraulichkeit der elektronischen Datenübertragung sichern. Bei der Auswahl der passenden Maßnahmen gilt – wie allgemein bei § 9 BDSG –, dass die Sicherungsmaßnahmen in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen sollen. Übertriebene Maßnahmen sind nicht erforderlich. Exemplarisch werden folgende Maßnahmen behandelt:
- Verschlüsselung der Daten
- Passwortschutz einzelner Dokumente
- VPN-Tunnel
- Firewall, Virenschutz, Intrusion Detection
- System (IDS)
- Content-Filter, SSL-Scanner
Die Verschlüsselung ist regelmäßig ein wirksames Mittel zum Schutz vor unbefugter Kenntnisnahme. Prüft ein Unternehmen den Einsatz von Verschlüsselungstechniken, sollte aber zunächst intern ermittelt werden, ob die Vorteile der Datensicherheit die Nachteile wie Kosten, Aufwand, Verzögerung und Schwankungen beim Datenstrom, Anstieg der Fehlerrate überwiegen. Darauf basierend lässt sich das passende Verschlüsselungsverfahren aussuchen.
Erfahrungsgemäß sind anwenderbezogene Verschlüsselungsverfahren wie PGP oft abschreckend, da die Konfiguration trotz gegenteiliger Beteuerung für den normalen Anwender kompliziert ist. Hier gibt es in Zukunft mit De-Mail allerdings eine sehr einfache Möglichkeit, elektronische Nachrichten verschlüsselt, authentisch und nachweisbar zu versenden. Alternativ dazu ist auch der Passwortschutz von einzelnen sensiblen Dokumenten ein einfaches, aber wirksames Mittel vor unbefugter Kenntnisnahme, wobei – beim ungesicherten E-Mailversand – der Sender dem Empfänger das Passwort möglichst sicher (per Telefon) mitteilen sollte.
Mit zunehmender Anzahl an Heim- und Fernarbeitsplätzen ist die Nutzung von Virtual Private Networks (VPNs) mittlerweile Standard. Denn bei VPNs ist eine sichere Authentisierung der Kommunikationspartner auch dann möglich, wenn mehrere Netze oder Rechner über gemietete Leitungen oder öffentliche Netze miteinander verbunden sind. Auf diese Weise lässt sich der unsichere Transport von großen Datenmengen auf lokalen Datenträgern (Laptops, USB Stick) vermeiden, da der Nutzer stets via VPN auf die zentral gespeicherten Daten auf dem Server zugreifen kann. Technisch und organisatorisch muss aber sichergestellt sein, dass durch eine ausreichende Passwort-Policy und entsprechende Mitarbeitersensibilisierung der Zugriff wirklich nur auf den Kreis der Berechtigten beschränkt ist.
Firewall, Virenschutzsoftware, IDS
Bei der Absicherung der IT nach außen entscheiden in der Praxis meist die Kosten darüber, welche Qualität und Funktionen die eingesetzte Firewall hat. Neben der klassischen Firewall nach außen wird zudem auch der Einsatz von Firewalls zwischen verschiedenen internen Netzen, etwa zu einer Demilitarisierten Zone, immer wichtiger. Beim Einsatz von Virenschutzsoftware sollten IT-Verantwortliche gerade bei externen Mitarbeitern organisatorisch (Dienstanweisung, Vertrag) und technisch (Konfiguration) sicherstellen, dass ein regelmäßiges Signaturupdate stattfindet.
Seite 1 von 2 Nächste Seite>>
Christian Regnery/dr/ln
[1] www.bsi.bund.de/ContentBSI/grundschutz/kataloge/m/m02/m02011.html