Sicherheitsexperten bieten Schutz und Hilfe
Identitätsdiebstahl
Ausgabe Juni 4|2009
Kriminelle Geschäftsmodelle
Meldungen über Datenskandale in Unternehmen und öffentlichen
Einrichtungen haben Konjunktur. Unser Autor, der Datenschutzexperte
Helmut Bartels, informiert über Fakten und Lösungsmöglichkeiten.
Es bereitet schon Mühe, einen Überblick über die veröffentlichten Datenschutzskandale zu behalten. Sie reichen von geplanten Maßnahmen, die gegen klare Regelungen des Datenschutzes verstoßen, bis hin zu Pannen durch Unachtsamkeit, Gedankenlosigkeit und Schlamperei einzelner Mitarbeiter. Die kriminellen Energien, an geheime Daten zu kommen, haben dabei in einer besorgniserregenden Weise zugenommen. So stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinen Berichten zur Lage der IT-Sicherheit in Deutschland seit mehreren Jahren eine zunehmende Veränderung der Motivation der Angreifer fest. Die früheren, durch „sportlichen“ Ehrgeiz motivierten individuellen Computerhacker sind in den meisten Fällen einer professionellen Kriminalität gewichen. Zudem werden die Angriffe zielgerichteter und raffinierter.
Nicht mehr der sportliche Ehrgeiz einzelner Hacker liegt den Angriffen zugrunde, sondern ausgeklügelte kriminelle Geschäftsmodelle mit dem Ziel des Identitätsdiebstahls, der Erpressung und der Spionage. Diese Entwicklung wird durch die zunehmende Verlagerung von Aktivitäten wie Einkäufe oder Bankgeschäfte in das Internet begünstigt. Die zunehmende Digitalisierung der Informationen und die Zugänglichkeit zu diesen Informationen über vernetzte Systeme wird das ihre dazu beitragen, dass dieser Trend zur Professionalisierung der Internetkriminalität anhalten wird.
Neben diesen gezielten und professionellen Angriffen von außen stellen laut BSI die sogenannten Innentäter, also die eigenen Mitarbeiter, für ein Unternehmen eine nicht zu unterschätzende Gefahrenquelle dar, denn das Thema Wirtschaftsspionage gewinnt in Zeiten des verschärften Wettbewerbes zunehmend an Bedeutung. Eigene Mitarbeiter sind hier mit 24 Prozent die größte Tätergruppe. Die heutigen Kommunikationsmittel mit ihrer globalen Vernetzung und hohen Leistungsfähigkeit sowie mobile Datenträger, insbesondere USB-Sticks, ermöglichen es, unbemerkt Daten aus Unternehmen zu entfernen. Gerade in diesem Zusammenhang sind die klassischen Schutzmechanismen wie Firewall, Internetschutz usw. wirkungslos. Als Risikosituation darf hier auch die Mitarbeiterfluktuation nicht übersehen werden, denn mancher Mitarbeiter mag es bei einem Arbeitgeberwechsel als Vorteil betrachten, ob erwünscht oder unerwünscht, sozusagen als Einstand, Informationen vom früheren Arbeitgeber mitzubringen.
Weites Feld Datenschutz/Datensicherheit
Bei jeder Phase der Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist das informationelle Selbstbestimmungsrecht, das das Bundesverfassungsgericht in seinem Urteil vom 15. Dezember 1983 als Ausdruck des allgemeinen Persönlichkeitsrechts und der Menschenwürde als Grundrecht formuliert hat, zu wahren. § 4 Abs. 1 BDSG bestimmt hierzu: „Die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten ist nur zulässig, soweit das Bundesdatenschutzgesetz oder eine andere Rechtsvorschrift dies erlaubt oder vorschreibt oder der Betroffene eingewilligt hat.” Diese Gesetzesbindung bedeutet, dass für jede Art der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten eine Rechtsgrundlage, eine Erlaubnisnorm vorhanden sein muss.
Bestimmte Verstöße gegen diese Gesetzesbindung der Verarbeitung personenbezogener Daten sind mit Bußgeld, in schweren Fällen sogar mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bewehrt. Ist dem Betroffenen durch eine unzulässige oder unrichtige Datenverarbeitung ein Schaden entstanden, kann er einen Schadensersatzanspruch geltend machen. Die einzelnen rechtlichen Anforderungen und Regelungen des Datenschutzes hier darzustellen, würde zu weit führen, was ist also zu tun? Unabhängig von der Größe eines Unternehmens und der Zahl der mit der Verarbeitung personenbezogener Daten beschäftigten Mitarbeiter müssen alle Mitarbeiter, die personenbezogene Daten verarbeiten oder nutzen, in den Datenschutz eingewiesen und mit der Aufnahme ihrer Tätigkeit auf das Datengeheimnis verpflichtet werden. Soweit diese Verpflichtung noch nicht geschehen ist, sollte sie für alle Mitarbeiter nachgeholt werden.
Darüber hinaus sollte die Unternehmensleitung einen Datenschutzbeauftragten bestellen, der vom BDSG ohnehin gefordert wird, wenn mehr als neun Mitarbeiter mit der automatisierten oder mindestens 20 Mitarbeiter mit der manuellen Verarbeitung von personenbezogenen Daten beschäftigt sind. Dieser Datenschutzbeauftragte kann ein Mitarbeiter des Unternehmens oder eine externe Person sein. Der Datenschutzbeauftragte hat insbesondere auf die Einhaltung des Datenschutzes hinzuwirken, die ordnungsgemäße Anwendung der Datenverarbeitungsverfahren, mit denen personenbezogene Daten verarbeitet werden, zu überwachen, die Mitarbeiter im Datenschutz zu unterweisen sowie ein Verfahrensverzeichnis über alle Datenverarbeitungsverfahren, mit denen personenbezogene Daten verarbeitet werden, zu führen. Dieser Datenschutzbeauftragte hat eine Stabsfunktion.
Das BDSG schreibt technische und organisatorische Maßnahmen vor, die erforderlich sind, um den Datenschutz im Unternehmen zu wahren. Erforderlich sind diese Maßnahmen, soweit sie in einem angemessenen Verhältnis zum Schutzzweck der Daten stehen, d.h. je sensibler die zu schützenden personenbezogenen Daten sind, umso höher müssen auch die Schutzziele veranschlagt werden. In der Anlage zu § 9 enthält das BDSG einen Katalog von Kontrollzielen, in deren Rahmen geeignete Schutzmaßnahmen technischer und/oder organisatorischer Art einzurichten sind. Ebenso wie im rechtlichen Bereich sollte der Datenschutzbeauftragte auch im Bereich der Datensicherheit eine Bestandsaufnahme über alle eingerichteten technischen und organisatorischen Maßnahmen durchführen, dokumentieren und den Stand der Datensicherheit im Unternehmen bewerten.
Kernfragen in diesem Zusammenhang sind:
- Schutz der Datenverarbeitungsanlagen vor unbefugtem Zutritt (Zutrittskontrolle)
- Schutz der Datenverarbeitungssysteme vor einer unbefugten Nutzung (Zugangskontrolle)
- Schutz der Daten vor unbefugtem Zugriff
(Zugriffskontrolle)
- Schutz der Daten bei Übertragungen und Datentransporten, zuverlässige Löschung bzw. Vernichtung (Weitergabekontrolle)
- Belegung, wer wann welche Daten eingegeben, verändert oder entfernt hat (Eingabekontrolle),
- Gewährleistung einer ordnungsgemäßen und auftragsgebundenen Verarbeitung bei einer Verarbeitung durch Dienstleistungsunternehmen (Auftragskontrolle),
- Schutz der Daten vor zufälliger Zerstörung oder Verlust (Verfügbarkeitskontrolle)
- getrennte Verarbeitung von Daten, die für unterschiedliche Zwecke erhoben worden sind.
Datenschutz in den Köpfen verankern
Datenschutz und Datensicherheit sind auf Dauer angelegte Prozesse, die nicht mit einer einmaligen Bestandsaufnahme und einer anschließenden Regelung von regelungsbedürftigen Sachverhalten erledigt sind. Es wäre auch falsch, den Datenschutz und die Datensicherheit rein technokratisch zu begreifen und zu glauben, das Thema könnte mit einigen Datenschutz-Verfahrensanweisungen erledigt werden. Dieser rein technokratische Ansatz hat sicher bei der einen oder anderen Datenschutzpanne, die durch Unachtsamkeit, Unkenntnis oder einfach durch Schlamperei geschehen ist, Pate gestanden. Datenschutz muss ein Teil der Unternehmenskultur sein, es muss bei den Mitarbeitern ein Datenschutzbewusstsein bestehen. Nur dann wird der Datenschutz von den Mitarbeitern als ständige Verpflichtung wahrgenommen und im Unternehmen in der täglichen Praxis gelebt. Datenschutz und Datensicherheit sollten deshalb in die Unternehmenspolitik, in das Managementprogramm und in die Managementaufgaben sowie in das Delegationskonzept und in die Geschäftsprozesse integriert werden. So gelingt es, Datenschutz und Datensicherheit zu verankern und auch wirklich zu leben.
Auf der operativen Ebene sollten Datenschutz und Datensicherheit, ähnlich wie das Qualitätsmanagement, einem ständigen Verbesserungs- und Optimierungsprozess unterworfen und der Entwicklungsstand laufend, z.B. einmal jährlich, bewertet werden. In diese laufende Bewertung müssen sowohl rechtliche Änderungen, die Entwicklung des Datenschutzes in Rechtsprechung und Schrifttum und auch die technische Entwicklung einfließen. Nur wenn Datenschutz und Datensicherheit als eine permanente Aufgabe in diesem Sinne verstanden und praktiziert werden, besteht die Gewähr, dass auf Dauer die Konformität der Datenverarbeitung mit den rechtlichen Vorschriften gegeben, der Datenschutz im Unternehmen auch beachtet und auch ein angemessener technischer und organisatorischer Schutz der Daten aufrecht erhalten wird.
Risikobereich Datenspeicherung im Büro
Kopierer und Multifunktionsgeräte enthalten Datenspeicher mit zum Teil hohem Speichervolumen. Bei einem Austausch dieser Datenträger bei Reparaturen oder bei Austausch oder Rückgabe dieser Geräte ist an die darauf gespeicherten Daten zu denken. Entweder die Daten werden sicher gelöscht, was im Einzelfall wegen eingeschränkter Zugriffsmöglichkeiten auf die Datenträger schwierig sein kann, oder die Datenträger werden zerstört bzw. die Servicefirma vertraglich zu einer sicheren Löschung verpflichtet. In den Servicevertrag sollten entsprechende Regelungen zur Behandlung dieser Datenträger aufgenommen werden. Bei der Beschaffung dieser Geräte sollte die Möglichkeit einer sicheren Löschung der Datenträger ein Auswahlkriterium sein. Laptops, Mobiltelefone, PDAs, Blackberrys u.a. unterliegen einerseits einem Verlust- und Diebstahlrisiko, andererseits werden sie von unterwegs an das eigene Firmennetz angeschlossen oder an fremden Netzen betrieben.
Im Falle eines Verlustes reicht ein Passwort zum Schutz der darauf gespeicherten Daten nicht aus. Hier schützt nur eine möglichst komplette Verschlüsselung des gesamten Datenbestandes. Bei einem Anschluss an das Unternehmensnetz von unterwegs ist auf eine sichere Verbindung mit einer zuverlässigen Verschlüsselung der zu übertragenden Daten zu achten. Nicht nur die Laptops, sondern auch PDAs, Blackberrys etc. sollten auch mit einem zuverlässigen Internetschutz versehen sein, weil auch diese Gräte zunehmend Ziel von Angriffen aus dem Internet werden. Je nach Einsatzart, z.B. Anschluss an andere Netze, sollten diese Geräte in regelmäßigen Abständen von der IT auf Schadsoftware überprüft werden.
Datenschutzgerechte Löschung und Vernichtung von Datenträgern
Um es gleich vorweg zu sagen, eine Formatierung des Datenträgers und Neuinstallation oder eine Löschung mit der Löschtaste ist keine Löschung, denn bei diesem Verfahren wird nur das Inhaltsverzeichnis gelöscht, aber die Daten selbst bleiben erhalten und können wieder lesbar gemacht werden. Hier hilft nur eine gründliche physische Zerstörung, eine Vernichtung durch einen zuverlässigen Entsorger auf der Grundlage eines datenschutzgerechten Vertrages oder eine sichere Löschung mit einem zuverlässigen Löschprogramm, z.B. VS Clean, das vom BSI offiziell für den öffentlichen Dienst empfohlen wird. Eine Löschung mit selbst erstellten Löschprogrammen genügt oft diesen Anforderungen nicht. Nicht übersehen werden dürfen bei dem Thema Löschung mobile Datenträger, Digitalkameras, PDAs, Blackberrys usw., weil diese Geräte häufig auch vertrauliche Daten enthalten können.
Kompetente Hilfe beim Datenschutz
Der Datenschutzbeauftragte muss gemessen an den tatsächlichen Anforderungen und Verhältnissen im Unternehmen sachverständig sein. Bei komplexen Verhältnissen rechtlicher und technischer Natur kann ein Datenschutzbeauftragter aus den eigenen Reihen unter Umständen schnell überfordert sein, insbesondere wenn ihm für Aus- und Fortbildung und für die Wahrnehmung seiner Datenschutz-Aufgaben nur ein begrenztes Budget zur Verfügung steht. Zusätzlich können Interessenkonflikte auftreten, die bestimmten Personen, z.B. Geschäftsführern, Personal- oder IT-Verantwortlichen, die Übernahme dieser Tätigkeit verbieten. In dieser Situation kann es zielführender und wirtschaftlicher sein, eine externe Person zum Datenschutzbeauftragten zu bestellen oder zumindest bei bestimmten Problemstellungen oder Vorhaben, z.B. für eine gründliche Datenschutzanalyse, externe Unterstützung in Anspruch zu nehmen. Hier bieten sich freiberufliche Datenschutzberater an, die auch zum Datenschutzbeauftragten bestellt werden können. Bestellt werden kann aber nur eine natürliche Person, nicht z.B. ein Beratungsunternehmen als juristische Person. Hilfestellung bieten z.B. die in der Gesellschaft für Datenschutz und Datensicherung e.V. GDD organisierten Fachberater für den Datenschutz.
Unser Autor
Der Verfasser des Berichtes ist freiberuflicher Fachberater für Datenschutz und Datensicherheit und Entwickler eines Werkzeuges zum prozess- und QM-orientierten Datenschutz. Das Werkzeug erlaubt eine systematische Erhebung, Dokumentation und Bewertung des Standes des Datenschutzes und der Datensicherheit und eine Integration in das Qualitäts- und Sicherheitsmanagement eines Unternehmens.
Kontakt: Helmut Bartels (Tel. 08131/276031, E-Mail info@helmut-bartels.de)
Vorschau
Die nächste Ausgabe erscheint am 31. Mai mit den Themen:
• Green Office: Alles Standard?
• Individuelle Werbeartikel +
Sonderanfertigungen
• Schreibgeräte-Trends
• Rund ums Kleben + Korrigieren
Link-Tipps
checkyourpaper.panda.org
deutsches-netzwerk-buero.de
power-kom.de
buero-forum.de
beschaffung-info.de
pbs-business.de
kompass-nachhaltigkeit.de
ProduktwegweiserBlauerEngel
einkauf-lexikon.de
Paperworld Procurement
In Kooperation mit C.ebra - ausführliche Infos hier.
