Fachartikel

Die acht Gebote des Datenschutzes: Zutrittskontrolle (1)

In den Medien wird inzwischen fast täglich über Datenpannen und Hackerangriffe berichtet. Und immer wieder geht es um den 'Datenschutz', dem – so scheint es – ein immer höherer Stellenwert zu Teil wird. Bei einem genauen Blick in die Unternehmen kommen häufig eklatante Verstöße gegen den Datenschutz zu Tage. Grund hierfür ist nicht zuletzt die Unkenntnis über elementare Gebote des Datenschutzes, die der Gesetzgeber in den acht Geboten des Datenschutzes festgelegt hat und als Basiswissen im Datenschutz voraussetzt. Unsere neue Serie von Artikeln zum IT-Recht bringt Ihnen die acht Gebote und ihre Konsequenzen näher. Im ersten Teil lernen Sie die Anforderungen an die Zutrittskontrolle.
Du sollst nicht unbefugt in meinem Serverraum wandeln - wer dieses Gebot vernachlässigt, kommt schnell mit dem Gesetz in Konflikt
Die in der Anlage zu § 9 Satz 1 BDSG in Nr. 1 bis Nr. 8 genannten Gebote sind auch für den Bereich der Auftragsdatenverarbeitung relevant. Sie geben gemäß § 11 Absatz 2 Nr. 3 BDSG die in den Verträgen zur Auftragsdatenverarbeitung zu treffenden technischen und organisatorischen Maßnahmen (sogenannte TOMs) vor. Ohne deren Kenntnis ist somit auch ein rechtssicherer Vertrag zur Auftragsdatenverarbeitung nicht möglich.

Die acht Gebote des BDSG
Bei den einzelnen in der Anlage zu § 9 BDSG normierten acht Geboten handelt es sich um:
  1. Zutrittskontrolle: Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.
  2. Zugangskontrolle: Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.
  3. Zugriffskontrolle: Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
  4. Weitergabekontrolle: Es ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welchen Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
  5. Eingabekontrolle: Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
  6. Auftragskontrolle: Es ist zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
  7. Verfügbarkeitskontrolle: Es ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
  8. Trennungskontrolle: Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Zutrittskontrolle umsetzen
Das erste Gebot lautet: Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren. Hierbei geht es um den physischen, also unmittelbaren Zutritt zu den DV-Anlagen. Unbefugten Personen soll es nicht möglich sein, auch nur in die Nähe von DV-Anlagen zu gelangen. Hierbei ist zu berücksichtigen, dass die Zutrittskontrolle nicht nur die unbefugte Datenverarbeitung, sondern auch deren vorsätzliche Zerstörung verhindern soll (hier ergeben sich Parallelen zur Verfügbarkeitskontrolle).




                                                Seite 1 von 2                     Nächste Seite>>


9.01.2012/Giovanni Brugugnone/jp/ln

Nachrichten

Angreifer manipulieren DNS-Einträge bei Registraren [18.04.2019]

Cisco Talos hat eine neue Angriffsmethode entdeckt. So spionierten Cyberkriminelle Registrierungsstellen für Domain-Namen aus. Mit den gestohlenen Anmeldeinformationen konnten sie dann Attacken gegen staatliche Organisationen und andere Ziele ausführen. Deren Website-Besucher wurden auf gespiegelte Seiten umgelenkt, um an sensible Daten zu gelangen. [mehr]

IT-Dienstleister gehackt, Zugriff auf Kundensysteme [17.04.2019]

Der drittgrößte indische IT-Outsourcer Wipro ist offenbar erfolgreich gehackt worden. Laut dem Security-Blog KrebsOnSecurity konnten sich Unbekannte Zugang zu den Konten von Angestellten des indischen IT-Dienstleisters verschaffen und sollen bereits seit mehreren Monaten Zugriff auf das System haben. [mehr]

Tipps & Tools

Jetzt erhältlich: Sonderheft Virtualisierung [8.04.2019]

Lange erwartet, jetzt endlich frisch aus der Druckerei: Das IT-Administrator Sonderheft 'Virtualisierung' wird seit einigen Tagen ausgeliefert und bietet IT-Verantwortlichen auf 180 Seiten Best Practices zur Planung und Umsetzung virtualisierter Server, Netze, Speicher, Anwendungen und Clients. Ordern Sie jetzt, und Sie haben das Heft in Kürze auf dem Schreibtisch. Abonnenten bestellen wie immer zum Vorzugspreis. [mehr]

nVidia-GRID-Treiber auf Citrix bereitstellen [7.04.2019]

In einer Citrix-Umgebung kann das Problem auftauchen, dass nVidia-GRID-Treiber nicht richtig funktionieren, wenn sie per Citrix AppLayering bereitgestellt werden. Wenn sie in einem Layer installiert sind, scheinen die nVidia-GRID-Treiber auf dem später gepublishten Image nicht zu arbeiten. Zur Problemlösung existiert zumindest ein Workaround. [mehr]

Buchbesprechung

IT-Sicherheit

von Prof. Dr. Claudia Eckert

Anzeigen