Datensicherheit und Datenschutz

Transkript

1 1 Gefahren und Störungen im Datenverarbeitungsprozess Daten sind in der Informationsgesellschaft das wichtigste Gut. Meistens entstehen sie, ohne dass man sich dessen bewusst wäre. Telefonate, -Verkehr, bargeldloser Zahlungsverkehr, Internet, Verwaltung von Kunden, Lieferanten und Mitarbeitern um nur die wichtigsten Quellen zu nennen hinterlassen Unmengen an Daten, die gespeichert, verwaltet und geschützt werden wollen. Der gesamte Datenverarbeitungsprozess ist vielen Gefahren und Störungen unterworfen. Dabei können Daten verfälscht, gelöscht oder in die falschen Hände geraten. Die Fehlerursachen können entweder menschlich oder maschinell sein. Nachstehend eine kurze Auflistung möglicher Fehlerursachen: falsche oder fehlerhafte Datenquelle bzw. Datenangabe fehlerhafte Erfassung Datenverfälschung bei der maschinellen Ablage (Datenaufbereitung und -speicherung) Löschung oder Verfälschung nach der Datenspeicherung fehlerhafte Datenverarbeitung unbefugte Datennutzung Der aufmerksame Leser stellt fest, dass Daten grundsätzlich zwei Gefahrenkategorien ausgesetzt sind: Datenverlusten und -fehlern und unbefugter Datennutzung. Daher sind unterschiedliche Verfahren notwendig, um diesen Gefahrenkategorien gezielt entgegenzutreten. Das Verfahren der Datensicherung bzw. Datensicherheit zielt auf die Vermeidung von Datenverlusten und -fehlern ab, während das Verfahren des Datenschutzes den Schutz gegen unbefugte Datennutzung anstrebt. 1.1 Sicherheitskonzepte Wie im vorigen Abschnitt erläutert, zielen Verfahren der Datensicherheit auf die Vermeidung von Datenverlusten und -fehlern ab. Dabei sollten Fehler und Verluste möglichst früh erkannt und wenn möglich behoben werden. Ist eine Behebung nicht möglich, so sollten andere Maßnahmen eingeleitet werden, um einen größeren Schaden abzuwenden. Die Sicherheitskonzepte bestehen aus verschiedenen Maßnahmen der Datensicherheit, die in drei Gruppen eingeteilt werden: Hardware-Maßnahmen Software-Maßnahmen Organisationsmaßnahmen (auch Orgware-Maßnahmen genannt) Die folgenden Abschnitte erläutern die wichtigsten Maßnahmen der Datensicherheit Hardware-Maßnahmen Es gibt sehr viele Hardware-Maßnahmen zur Datensicherheit, die Verluste und Fehler erkennen, vermeiden und sogar beheben können. Einige der wichtigsten Hardware-Maßnahmen werden nachstehend aufgelistet: Mehrfache Speicherung Die hardwaregesteuerte mehrfache Datenspeicherung ist einer der gängigsten Methoden, sich gegen Ausfall eines Speichermediums zu schützen. Dabei werden die Daten redundant gleichzeitig auf mehrere Speichermedien abgelegt. Beim Ausfall eines Speichermediums arbeitet das System unterbrechungsfrei mit den Verbliebenen weiter. René Ketterer Kleinsteuber Stand: Seite 1 von 27

2 Eines der bekanntesten Verfahren zur Datensicherheit ist die Verwendung von redundanten Festplattensystemen. Diese Systeme werden RAID 1 -Systeme genannt und sind auf vielen Servern und auch auf wichtigen Arbeitsstationen, sowie auf vielen sogenannten NAS 2 -Systemen anzutreffen. Es gibt mehrere unterschiedliche RAID-Systeme, welche nicht nur der Datensicherheit sondern auch der Verarbeitungsgeschwindigkeit dienen. Das einfachste RAID-System zur Datensicherheit stellt das sogenannte RAID-1-System mit zwei Festplatten dar. Dieses System bietet eine hohe Ausfallssicherheit, indem alle Daten gleichzeitig auf beiden Festplatten gespeichert werden daher wird auch von Spiegelung gesprochen. Fällt eine Festplatte aus, arbeitet das System auf der Verbliebenen ohne Unterbrechung und Datenverlust weiter, bis die ausgefallene Festplatte ausgetauscht wird. Ein weiterer Vorteil ist der erhöhte Lesezugriff. Wird dies vom verwendeten Kontroller unterstützt, kann dieser abwechselnd von beiden Festplatten Daten lesen, womit sich die Lesegeschwindigkeit theoretisch verdoppelt. Theoretisch deswegen, weil eine Verdoppelung der Lesegeschwindigkeit durch mehrere Faktoren nicht erreicht werden kann. Ein weiteres sehr beliebtes RAID-System ist RAID-5, welches mindestens aus drei Festplatten besteht und gegen den Ausfall einer einzelnen Festplatte gewappnet ist. RAID-5 ist eine der kostengünstigsten Möglichkeiten, Daten bei einer gleichzeitig effizienten Nutzung des Speichervolumens auf mehreren Festplatten redundant zu speichern. RAID-5 teilt einen Datenblock in Anzahl Festplatten - 1 und schreibt diese Teile auf jeweils ein Festplatte. Mittels einer sogenannten XOR-Verknüpfung mit den geteilten Datenblöcken errechnet RAID-5 einen Prüfblock, der auf die verbliebene Festplatte gespeichert wird. Beim nächsten Datenblock wiederholt sich der Vorgang, allerdings wird der Schreibvorgang der geteilten Datenblöcke um eine Platte verschoben gestartet. Somit verteilen sich Datenblöcke und Prüfsummen über alle Festplatten. Werden viele kleinen und nicht zusammenhängenden Änderungen geschrieben, ist RAID-5 nicht empfehlenswert. Der Grund dafür ist, dass bei wahlfreien Schreibzugriffen der Durchsatz aufgrund des zweiphasigen Schreibverfahrens deutlich abnimmt. Auch sehr beliebt ist das RAID-10-System. Hierbei handelt sich um ein RAID-0-System, welches über mehrere RAID-1-Systeme verteilt ist. Dabei werden mindestens vier Festplatten benötigt. Ein RAID-0-System dient nur der Erhöhung der Verarbeitungsgeschwindigkeit, indem es sowohl Schreibals auch Lesezugriffe auf mindestens zwei Festplatten verteilt. Allerdings geht dies auf Kosten der Sicherheit, denn fällt eine Festplatte aus, so sind alle Daten verloren. Erweitert man jedoch jede Festplatte um ein RAID-1-System also um jeweils mindestens eine parallel laufende Festplatte, wird jeder Strang gegen Ausfall einen einzelnen Festplatte gesichert. Dieses Konstrukt bestehend aus zwei RAID1-Systemen, die wiederum ein RAID-0-System bilden, nennt man RAID-10-System. RAID-10-Systeme kombinieren Schnelligkeit mit einer hohen Ausfallssicherheit. Allerdings nutzen diese nur die Hälfte der Festplattenkapazität. Bei den heutigen Festplattenkapazitäten und -preisen stellen Sie in kleinen Servern eine hervorragende Alternative dar. Fehlererkennung und -korrektur in Speicherbausteinen Die in Computern verwendeten Speicherbausteinen auch RAM 3 genannt können je nach Art folgendermaßen organisiert sein: 1 Redundant Array of Independent Disks 2 Network Attached Storage 3 Random-Access Memory René Ketterer Kleinsteuber Stand: Seite 2 von 27

3 o Ohne Möglichkeit der Fehlererkennung Fehler werden bei diesen Bausteinen weder erkannt noch korrigiert. Dadurch bleiben Speicherfehler unentdeckt und führen unweigerlich zu fehlerhaften Daten und Systemabstürzen. Oft sind defekte Bausteine in billigen PC-Systemen die Verursacher von Systemabstürzen, deren Ursache nur schwer zu ermitteln ist. Durch die höhere Zuverlässigkeit heutiger Speicherbausteine werden zunehmend solche ohne Fehlererkennung in billigen Systemen verwendet. Durch den Verzicht auf Prüfbits sind diese Speicherbausteine in der Herstellung preisgünstiger und somit interessant für Hersteller von PC- Systemen im unteren Preissegment. o Mit Fehlererkennung (Paritätsprüfung) Fehlererkennung setzt Redundanz voraus, indem zu den 8 Datenbits eines Datenwortes (Byte) ein weiteres Bit zur Paritätsprüfung hinzugefügt wird. Die Paritätsprüfung kann defekte Datenbytes zwar erkennen, aber nicht korrigieren. Wie bereits erwähnt, wird bei der Paritätsprüfung immer ein Datenbyte mit 8 Datenbits geprüft. Beim Schreibvorgang wird für jedes Datenbyte ein zusätzliches Prüfbit gebildet, das mit den Daten im Speicherbaustein abgelegt wird. Für die Erstellung dieses Prüfbit gibt es zwei Möglichkeiten: gerade oder ungerade Parität. Die Erstellung des Prüfbit ist sehr einfach. Es wird eine Prüfsumme gebildet, indem die Einsen in einem Datenbyte gezählt werden. Bei gerader Parität, und einer geraden Anzahl an Einsen im Datenbyte ist die Prüfsumme 0. Bei ungerader Parität ist die Logik umgekehrt. Tritt ein Fehler in einem Datenbyte auf, indem eine Veränderung eines Datenbits von 1 nach 0 oder umgekehrt stattfindet, stimmt die Prüfsumme nicht mehr und die Paritätsprüfung gibt Alarm, bevor das System falsche Daten verarbeitet oder gar abstürzt. Die Bildung einer Prüfsumme für 8 Datenbits hat jedoch einen Haken. Wenn durch einen Fehler zwei unterschiedliche Datenbits in einem Datenbyte verändert werden (ein Bit von 0 auf 1 und ein anderes von 1 auf 0 ), stimmt das Prüfbit wieder, da sich die Anzahl der Einsen im Datenbyte nicht geändert hat. Der Computer würde fortan entweder falsche Daten verarbeiten oder gar mit einem Speicherfehler abstürzen, ohne dass die Paritätsprüfung diesen Fehler bemerkt hätte. Speicherfehler treten zum Glück selten auf und zwei Fehler in einem Byte sind noch unwahrscheinlicher. Darüber hinaus müsste der Fehler auch noch zwei zuvor unterschiedliche Datenbits ändern. All das ist zwar sehr selten, aber leider nicht auszuschließen. o Mit Fehlererkennung und -korrektur (ECC 4 -Prüfung) Speichermodule mit ECC-Prüfung beinhalten einen sogenannten ECC-Chip mit dem ECC- Fehlerkorrektur-Algorithmus. Dieser Algorithmus auch als Hamming-Code bekannt, berechnet beim Speichern einen Prüfcode, der zusätzlich zu den Daten im RAM abgelegt wird. Durch diesen Prüfcode für die Fehlerkorrektur wird der Datenbus breiter und benötigt somit mehr Speichervolumen. Das macht bei einer Busbreite von 32-Bit zusätzlich 7 Prüfbits und bei einer Busbreite von 64-Bit zusätzlich 8 Prüfbits. Diese müssen parallel zu den Daten abgespeichert werden, wodurch ein solches Speichermodul teurer wird. Speicherbausteine mit ECC-Prüfung sind in der Lage, 1-Bit-Fehler automatisch zu korrigieren und 2-Bit-Fehler zu erkennen, was zu einer erheblichen Erhöhung der Datensicherheit beiträgt. 4 Error Correction Code René Ketterer Kleinsteuber Stand: Seite 3 von 27

4 Damit ECC-Speichermodule in einem PC-System funktionieren und die ECC-Prüfung fehlerfrei arbeitet, muss der Chipsatz der Hauptplatine diese Speichermodule unterstützen. Das ist heute bei fast allen Hauptplatinen der Fall. Ist man sich nicht sicher, so hilft ein Blick in das Handbuch der Hauptplatine Dort sollte angegeben sein, welche Speichermodule von der Hauptplatine unterstützt werden. ECC-RAM ist immer teurer als RAM ohne Fehlerkorrektur. Im professionellen Server- und Workstation-Einsatz kann ein RAM-Fehler große Schäden verursachen und zu erheblichen Ausfallzeiten führen. Hier lohnt sich der Einsatz von ECC-Speicherbausteine mit ihrem Mehrpreis auf jeden Fall. Umfeldmaßnahmen Umfeldmaßnahmen sind diejenigen Maßnahmen, die für eine sichere Umgebung für den Betrieb von Hardware sorgen. Dazu zählen beispielsweise folgende Maßnahmen: o Klimaanlage Ein klimatisierter Raum oder Rack 5 sind Voraussetzungen für einen störungsfreien Betrieb einer EDV-Anlage. Server, externe Speichersysteme, Switches und andere aktive EDV-Komponenten erzeugen in der Regel eine große Abwärme, die unbedingt abgeführt werden muss. Geschieht das nicht, kann das im Extremfall zu Datenverlusten und zur Zerstörung einer oder mehrerer Komponenten und führen. Auch wenn die Folgen hoher Temperaturen nicht sofort bemerkbar sind, so können diese zu sporadischen Systemabstürzen führen, die nur schwer erklärbar sind. Auch die Lebensdauer von EDV-Komponenten kann sich durch hohe Temperaturen drastisch reduzieren. Nicht selten altern Elektrolytkondensatoren dadurch sehr stark und platzen. Ein teures und wichtiges System funktioniert plötzlich nicht mehr, weil ein wenig Cent teurer Elektrolytkondensator zerstört ist. o Feuerschutz Selbstverständlich muss die EDV-Anlage vor Feuer geschützt sein. Dazu wird die EDV-Anlage in einem Brandgeschützten Raum betrieben, der über einen Feueralarm verfügt. Dieser Feueralarm sollte nicht nur aus einem Rauchmelder bestehen der womöglich nachts von niemandem gehört wird, sondern Teil eines Gesamtkonzepts sein. Darüber hinaus müssen andere Komponenten wie beispielsweise die Verkabelung aus feuerfestem Material bestehen. Auch Netzteile können sich zu einem kritischen Faktor entwickeln, so dass sie in das Gesamtkonzept mit einbezogen werden müssen. o Unterbrechungsfreie Stromversorgung (USV) 6 Geräte zur unterbrechungsfreien Stromversorgung werden eingesetzt, um bei Störungen im Stromnetz die Versorgung kritischer elektrischer Lasten sicherzustellen. Diese Geräte haben zwei grundsätzliche Funktionen: Überbrückung von kurzen Stromstörungen (Schwankungen und Unterbrechungen) In diesem Fall sorgt die USV dafür, dass kurzeitige Stromstörungen sofort ausgeglichen werden, so dass die Hardware gar nichts davon mitbekommt. 5 Haltevorrichtung wie z. B. ein Ständer, Gestell oder Schrank für die Aufnahme von EDV-Komponenten 6 Auch UPS (Uninterruptible Power Supply ) genannt. René Ketterer Kleinsteuber Stand: Seite 4 von 27

5 Überbrückung von Stromausfällen o Schließanlage Bei längeren Stromausfällen versorgt der integrierte Akku der USV die Hardware weiter mit Strom. In aller Regel wird bei über die USV versorgten Servern und Arbeitsstationen nach einigen Minuten Notbetrieb ein automatisches Herunterfahren per Software eingeleitet. Damit werden Datenverlusten und Systemschäden vermieden. Auch eine Schließanlage gehört zu den Umfeldmaßnahmen. Diese verhindern den unbefugten Zutritt zu den EDV-Anlagen. Hier ist aber lediglich der körperliche Zutritt zu den EDV-Räumen gemeint, denn der virtuelle Zutritt könnte theoretisch von überall geschehen. Um den virtuellen Zutritt zu unterbinden bzw. zu steuern, sind andere Verfahren notwendig Software-Maßnahmen Die bisher beschriebenen Hardware-Maßnahmen sorgen dafür, dass Rohdaten fehlerfrei abgelegt und diese durch äußere Einflüsse nicht verfälscht oder gar zerstört werden. Alle diese Maßnahmen finden auf Schichten statt, die sich nicht um die logische Organisation der gespeicherten bzw. verwalteten Daten kümmern. Software-Maßnahmen setzen auf einem höheren Abstraktionsniveau auf. Hier ist die Art und die dahinter stehende Speicher- und Transporttechnik der Datenverarbeitung nicht mehr wichtig. Es geht in erster Linie um Dateninhalte und deren logischen Zusammenhänge. Einige der wichtigsten Software-Maßnahmen werden nachstehend aufgelistet: Datenträgerkennsatzprüfung Der Datenträgerkennsatz ist immer die erste bzw. die wichtigste Datei auf einem Sicherungs-Datenträger. Dieser gibt Information u. a. über die Art der gespeicherten Datenbestände, beinhaltet den Namen des Datenträgers, verwaltet Nutzerinformation wie z. B. den Namen des Anlegers, das Anlege- und Verfallsdatum, die Sperrfrist, die Datenträgernutzungszahl usw. Der Datenträgerkennsatz wird immer, bevor auf den Datenträger geschrieben wird, gelesen und ausgewertet. Ist diese Datei nicht vorhanden, muss der Datenträger entweder initialisiert oder ein anderer eingelegt werden. Folgende Informationen eines Datenträgerkennsatzes werden in der Regel überprüft: o Datenträgername Wenn ein Datenträger mit falschem Namen eingelegt wurde, wird eine Fehlermeldung generiert. Dadurch wird vermieden, dass man einen falschen Datenträger einlegt. o Sperrfrist Anzahl der angegebenen Tage, die bis zum erneuten Überschreiben des Datenträgers vergangen sein muss. Wenn die geforderte Sperrfrist noch nicht abgelaufen ist, wird eine Fehlermeldung generiert. o Datenträgernutzungszahl Maximale Anzahl möglicher Überschreibung für einen Datenträger. Wenn der Datenträger bereits häufiger überschrieben wurde, als festgelegt wurde, wird eine Warnung generiert. René Ketterer Kleinsteuber Stand: Seite 5 von 27

6 Prüfziffernverfahren Der Einsatz von Prüfziffernverfahren dient zur Validierung von Zahlenfolgen. Durch die Verwendung von Prüfziffern soll der Gefahr entgegen gewirkt werden, dass durch die Verarbeitung nicht korrekter Schlüssel automatisch Bearbeitungsfehler bzw. Falschzuordnungen stattfinden. Es gibt sehr viele unterschiedliche Prüfziffernverfahren. Eins davon dürfte jedem bekannt sein die in Büchern verwendete ISBN, die hier als Beispiel aufgeführt wird. Dabei interessiert die Bedeutung der einzelnen Ziffern bis auf die letzte die eigentliche Prüfziffer nicht. Die ISBN eines Buches ohne Prüfziffer lautet _. Bei der Berechnung der Prüfziffer spielen die Trennstriche keine Rolle, so dass man die unvollständige ISBN auch als schreiben kann. Die Prüfziffer wird wie folgt berechnet: 1. Zunächst werden die ersten neun Ziffern der ISBN-Nummer absteigend gewichtet, d.h. die erste Ziffer wird mit 10, die zweite mit 9, die dritte mit 8 etc. multipliziert. 2. Danach werden die gewichteten Ziffern summiert. Am Beispiel der Ziffernfolge bedeutet das: allgemein im Beispiel Resultat 1. Ziffer * 10 3 * Ziffer * 9 4 * Ziffer * 8 6 * Ziffer * 7 4 * Ziffer * 6 5 * Ziffer * 5 4 * Ziffer * 4 1 * Ziffer * 3 0 * Ziffer * 2 5 * 2 10 Summe: Die Prüfziffer berechnet sich nun aus dem Abstand zum nächst größeren Vielfachen von 11 ( Elferzahl ). Im Beispiel ist die nächste Elferzahl 209 (11 * 19) und der Abstand zu ihr ist = 3. Die Prüfziffer lautet also 3. Demnach ist die vollständige ISBN des Buches Hier gibt es noch folgendes zu beachten: Ist die Summe selbst schon eine Elferzahl, so ist die Prüfziffer 0. Wenn der Abstand zur nächsten Elferzahl 10 ist, wird statt der zweistelligen 10 ein X gesetzt (X entspricht der 10 im römischen Zahlensystem). René Ketterer Kleinsteuber Stand: Seite 6 von 27

7 Plausibilitätsprüfungen Die Plausibilitätsprüfung ist ein Verfahren zur überschlagsmäßigen Überprüfung von Werten und Ergebnissen. Dieses Verfahren ist nicht immer eindeutig, sondern es soll helfen, offensichtliche Fehler und Irrtümer zu erkennen. Ein großer Vorteil der Plausibilitätsprüfung ist deren geringer Implementierungsaufwand, allerdings darf es nicht verschwiegen werden, dass weniger offensichtliche Fehler und Irrtümer nicht erkannt werden. Plausibilitätsprüfungen werden an vielen Stellen durchgeführt. Ein typisches Beispiel sind Überweisungsformulare von Kreditinstituten, die anhand der vom Bankkunden gemachten Angaben den Vorgang auf Korrektheit hin überprüfen. Tritt ein Fehler auf, so wird die Überweisung nicht automatisch verarbeitet sondern manuell von einem Mitarbeiter. In der (guten) EDV wird während der Datenerfassung immer wieder versucht, die Eingaben zu überprüfen. Wird z. B. ein Personenalter von 200 Jahren angegeben, so kann das System davon ausgehen, dass es sich hierbei um einen Fehler handelt. Ein weiteres Beispiel ist die Eingabe einer deutschen Bankleitzahl. Das System kann Eingaben gegen die Bankleitzahlendatei von der deutschen Bundesbank prüfen. Existiert die eingegebene Bankleitzahl nicht, so handelt es sich höchstwahrscheinlich um einen Fehler. Zugangssicherung EDV-Systeme müssen durch Passwörter geschützt sein, um einen unbefugten Zugriff auf Daten und Programme zu unterbinden. Dabei sollten sichere Passwörter bestehend aus mindestens 8 Zeichen verwendet werden. Sichere Passwörter enthalten Groß- und Kleinbuchstaben, mindestens eine Zahl und ein Sonderzeichen. Darüber hinaus sollte der Benutzername im Passwort nicht enthalten sein. Beispiel: Benutzername: Kennwort: Anna S0nnen$chiRm Als zusätzliche Sicherheit sollten Passwörter periodisch ausgetauscht werden. Zusätzlich sollte man für jeden Zweck ein anderes Passwort verwenden. Eine weitere Möglichkeit, die Sicherheit zu erhöhen, ist die Benutzung biometrischer Verfahren und Zugangskarten. Diese können mit dem Passwortverfahren kombiniert oder alleine benutzt werden. Datenverschlüsselung Verschlüsselung ist das Zauberwort, wenn es darum geht, Daten vor missbräuchlicher Nutzung zu schützen. Allein dieser Punkt würde ein Bücherregal füllen, so dass hier die wichtigsten Aspekte nur kurz und stichwortartig erläutert werden. Verschlüsselung ist derjenige Vorgang, der Originalinformation mit Hilfe eines Verschlüsselungsverfahrens in eine nicht mehr leserliche und interpretierbare Form umwandelt. Der wichtigste Parameter der Verschlüsselung ist der sogenannte Schlüssel. Verschlüsselung wird vielfältig eingesetzt. Beispiele sind Datenspeicherung, Nachrichtenaustausch aller Art (z. B. s), Authentifizierung und Datenfernübertragung (z. B. VPN). Bevor man sich aber Gedanken macht, was man alles verschlüsseln möchte, sollte man einigermaßen wissen, welche Verschlüsselungsmöglichkeiten es gibt. René Ketterer Kleinsteuber Stand: Seite 7 von 27

8 o Symmetrisches Verfahren Bei diesem Verfahren besitzen beide Kommunikationspartner denselben Schlüssel und müssen diesen vor Beginn der Kommunikation sicher ausgetauscht haben. Der generelle Nachteil dieses Verfahrens ist der direkte Austausch der geheimen Schlüssel, was seine Anwendung in einer Kunde-Händler-Beziehung erschwert. Der Vorteil besteht in der relativ geringen benötigten Rechenleistung. o Asymmetrisches Verfahren Dieses Verfahren basiert auf der Verwendung eines zusammengehörenden Schlüsselpaares, wobei ein Schlüssel zur Verschlüsselung und der andere zur Entschlüsselung genutzt wird. Der zum Verschlüsseln verwendete Schlüssel ist der öffentliche Schlüssel und der zum Entschlüsseln der private Schlüssel, welcher immer beim Empfänger von verschlüsselter Information gut aufbewahrt verbleiben sollte. Der größte Vorteil dieses Verfahrens besteht darin, dass nur einer der Schlüssel der öffentliche Schlüssel veröffentlicht werden muss. Dieser kann von jedem verwendet werden, um Information zu verschlüsseln, jedoch nur der Besitzer des privaten Schlüssels ist in der Lage, diese Information wieder zu entschlüsseln. Einer Anwendung in einer Kunde-Händler-Beziehung steht nichts mehr im Weg. Die asymmetrische Verschlüsselung kann auch genutzt werden, um das Problem der Authentifizierung zu lösen. Zu diesem Zweck werden die öffentlichen Schlüssel von Sender und Empfänger gegenseitig bekannt gemacht. Der Sender verschlüsselt die Nachricht zunächst mit seinem eigenen privaten und dann mit dem öffentlichen Schlüssel des Empfängers. Nach Erhalten der Nachricht entschlüsselt der Empfänger die Nachricht zunächst mit seinem privaten und dann mit dem öffentlichen Schlüssel des Senders. Dieser letzte Schritt ist jedoch nur dann erfolgreich, wenn die Nachricht wirklich vom bezeichneten Sender kam, da andernfalls der verwendete öffentliche Schlüssel nicht passend ist. o Hybrides Verfahren Der größte Nachteil des asymmetrischen Verfahrens ist die benötigte Rechenleistung. Um dem entgegenzukommen, können das symmetrische und asymmetrische Verfahren kombiniert werden. Information kann zunächst symmetrisch verschlüsselt werden, was schnell und unkompliziert geht. Den dafür verwendeten symmetrischen Schlüssel wird mit dem öffentlichen Schlüssel des Informationsempfängers asymmetrisch verschlüsselt und zusammen mit der vorher verschlüsselten Information zum Empfänger geschickt. Der Empfänger entschlüsselt zunächst den symmetrischen Schlüssel, mit dem er im Anschluss die gesamte Information entschlüsselt. Verschlüsselung wird oft für den Schutz von Dateien verwendet, indem einzelne Dateien, Ordner oder gar ganze Datenträger verschlüsselt werden. Wenn man die Verschlüsselungsmöglichkeiten von Windows nutzt, sollte man auf jeden Fall den Schlüssel (Zertifikat zur Datenverschlüsselung) des jeweiligen Benutzers auf einem sicheren Datenträger sichern. Sollte das System beschädigt sein und nicht mehr starten, kommt man möglicherweise nicht mehr an die verschlüsselten Daten. Selbst wenn man Windows neu aufsetzt und einen gleichen Benutzer (Name und Passwort) erstellt, passen dennoch die Zertifikate nicht zur Entschlüsselung. Ändert der Administrator das Passwort des Benutzers, kann man ebenfalls nicht mehr auf die verschlüsselten Dateien zugreifen. Ändert der Benutzer dagegen selbst sein Passwort, besteht keine Gefahr. Das System entschlüsselt mit dem alten Passwort und speichert die Dateien anschließend mit dem neuen Passwort ab. Wenn man eine Image-Software wie Acronis True Image benutzt, muss man bedenken, dass die Verschlüsselungs-Schlüssel nur dann im Abbild enthalten sind, wenn diese Eigenschaft für den Benutzer bereits in Benutzung war. Zur Sicherheit sollte man die Schlüssel daher eigenständig sichern. René Ketterer Kleinsteuber Stand: Seite 8 von 27

9 Auch für den sicheren -Versand stellt die Verschlüsselung die erste Wahl dar. Am besten mit Hilfe des bereits beschriebenen asymmetrischen und/oder hybriden Verfahrens 7 können Partner sicher mit E- Mails kommunizieren, ohne dass jemand die Information abhören kann. Weitere Domänen der Verschlüsselung sind alle zertifikatsbasierenden Anwendungen wie z. B. VPN, SSL usw. Die Verschlüsselung begleitet unser Leben, meistens ohne dass wir es merken. Ohne die heutigen Verschlüsselungsverfahren wären viele moderne Anwendungen, an die wir uns alle bereits gewöhnt haben und nicht mehr missen möchten, schlicht und einfach nicht möglich Orgware-Maßmahmen In der EDV bezeichnet man als Orgware diejenigen Rahmenbedingungen, die weder in den Bereich Hardware noch Software fallen, jedoch nötig sind, um die EDV möglichst sicher und störungsfrei zu betreiben. Es handelt sich hierbei um einen reinen organisatorischen Bereich, wozu beispielsweise Benutzerhandbücher, Konzepte für den EDV-Betreib und Sicherheitsanforderungen zählen. Kurz auf den Punkt gebracht, umfasst die Orgware alle methodischen und organisatorischen Maßnahmen in der EDV eines Unternehmens. Die nachstehend aufgeführten Beispiele sollen einige der wichtigsten Organisationsmaßnahmen kurz erläutern: Zugriffsteuerung Die Zugriffsteuerung regelt die Berechtigungen der Mitarbeiter, auf bestimmte Daten zugreifen zu können. Es muss gewährleistet sein, dass Mitarbeiter nur die für ihre Tätigkeit notwendigen Daten einsehen und eventuell bearbeiten können. Dabei sollte die Zugriffssteuerung mindestens folgende grundlegende Berechtigungsstufen vorsehen: o Lesen gibt an, ob eine gewisse Person Einsicht in bestimmte Daten bekommt. o Schreiben gibt an, ob eine gewisse Person bestimmte Daten ändern darf. Oft ist diese Berechtigung mit den zwei nachstehend aufgeführten Anlegen und Löschen gekoppelt. o Anlegen gibt an, ob eine gewisse Person neue Daten (Datensätze bzw. Akten) anlegen darf. o Löschen gibt an, ob eine gewisse Person Daten löschen bzw. vernichten darf. Das ist jedoch in der Praxis nicht immer leicht, denn neben den bereits aufgeführten Berechtigungsstufen müssen auch gesetzliche Bestimmungen erfüllt werden. Dabei spielt der Schutz personengebundener Daten, welches das Bundesdatenschutzgesetz (BDSG) regelt und im zweiten Teil behandelt wird, eine große Rolle. Datenklassifizierung Die Klassifizierung von Daten stellt eines der absoluten Grundelemente der angewandten Computersicherheit dar. Die Datenklassifizierung hält fest, welche unterschiedlichen Einstufungen es gibt und wie die jeweils eingestuften Daten behandelt werden sollen. Daraus definiert sich mitunter, was für die Informationssicherheit besonders wichtig ist, die Geheimhaltungsstufe. Gewöhnlich werden drei bis fünf Stufen unterschieden. Die meisten Unternehmungen sehen folgende Klassifizierung vor: öffentliche Daten, interne Daten, vertrauliche Daten und geheime Daten. Öffentliche Daten sind auch für Leute außerhalb der Firma zugänglich. Dabei handelt es sich beispielsweise um Informationen, die auf der öffentlichen Webseite im Internet oder in gedruckten Werbebroschüren dargeboten werden. 7 Stichworte: MIME und PGP René Ketterer Kleinsteuber Stand: Seite 9 von 27

10 Im Gegensatz dazu werden interne Daten ausschließlich den eigenen Mitarbeitern zugänglich gemacht. Dazu zählen z. B. die eigenen Angestellten eines Unternehmens und vielleicht ausgewählte Partnerfirmen. Dies können zum Beispiel Telefonverzeichnisse, Weisungen oder allgemeine Strategiedokumente sein. Vor einer Veröffentlichung dieser Daten ist abzusehen, da damit ein Nachteil für das Unternehmen und die Mitarbeiter einhergehen würde. Vertrauliche Daten sind lediglich einer begrenzten Anzahl an Mitarbeitern zugänglich. Hierbei handelt es sich in der Regel um Informationen, die für den Betrieb bzw. die Verwaltung eines Unternehmens wichtig sind. Dazu zählen beispielsweise Gehaltslisten und Mitarbeiterdossiers, die ausschließlich der Personalabteilung zugänglich sind. Die Herausgabe dieser Daten ist zum Teil gesetzlich geregelt und ein Verstoß gegen diese Vorschriften könnte sogar juristische Folgen nach sich ziehen. Geheime Daten weisen die höchste Sicherheitsstufe auf. Diese sind punktuell und ausschließlich bestimmten definierten Personen zugänglich. Derlei Informationen sind unmittelbar für die Vitalität des Unternehmens verantwortlich. Zum Beispiel sind die Rezepturen und Herstellungshinweise in einem Chemieunternehmen von grundlegender Bedeutung. Geriet in diesem Beispiel das Firmen-Know-how außerhalb des Unternehmens an einen Konkurrenten, so kann das sogar das Ende des Unternehmens bedeuten. Closed-Shop-Betrieb Strenge Regelung des Zugangs zum Rechenzentrum bzw. zur EDV-Anlage. Die Steuerung des gesamten Systems wird ausschließlich über den verantwortlichen Operator durchgeführt. Datenvervielfältigung Datensicherung Für einen sicheren Betrieb eines EDV-Systems ist die Sicherung der Datenbestände essentieller Natur. Dazu werden die Datenbestände in periodischen Abständen auf externe Speichermedien gesichert, um im Notfall verlorene oder falsch geänderte Daten wiederherstellen zu können. Es gibt unterschiedliche Strategien der Datensicherung, die je nach Umgebung alle ihre Berechtigung haben. Oft wird die Drei-Generationen-Strategie gefahren, die auch als Großvater-Vater-Sohn-Prinzip bekannt ist. Die erste Generation Sohn verwendet fünf bis sieben Medien für jeden Tag der Woche eins, die mit dem jeweiligen Wochentag Montag, Dienstag usw. beschriftet werden. In jeder weiteren Woche kommen diese Medien erneut zum Einsatz. Der Freitag bildet hier eine Ausnahme: Es werden fünf (siehe auch nachfolgende Anmerkung) Freitagsmedien benötigt, die eindeutig mit beispielsweise Freitag 1. Woche, Freitag 2. Woche usw. beschriftet werden. Diese Medien werden einen Monat lang aufgehoben Man spricht hier von der zweiten Generation bzw. vom Vater. Dabei muss freitags eine vollständige Sicherung erfolgen, während an den anderen Tagen es auch eine inkrementelle oder differenzielle Sicherung sein darf. Anmerkung: Das fünfte Freitagsmedium kann entfallen, denn bei Monaten mit fünf Freitagen ist der fünfte Freitag der letzte Wochentag des Monats (z. B. Januar 2011). Somit wird ein Medium der dritten Generation (Großvater) anstelle eines der zweiten (Vater) zum Sichern verwendet. Von jedem Monatsanfang wird eine Sicherung mindestens drei Monate lang oder besser noch für ein ganzes Jahr aufbewahrt. Hier spricht man von der dritten Generation bzw. vom Großvater. Bei einer Sicherung im Rahmen einer Sieben-Tage-Woche werden 22 Speichermedien (20 bei einer Fünf- Tage-Woche) benötigt: o 6 Sohn-Medien (Samstag bis Donnerstag, denn der Freitag wird auf die Vater-Medien gesichert) o 4 Vater-Medien (für die ersten vier Freitage eines Monats, der fünfte und letzte Freitag kann auf dem Großvater-Medium gespeichert werden) o 12 Großvater-Medien (für den letzten Freitag in jedem Monat) René Ketterer Kleinsteuber Stand: Seite 10 von 27

11 Darüber hinaus sollte man spätestens nach einem Jahresabschluss eine zusätzliche Sicherung durchführen, welche mindestens 10 Jahren lang aufgehoben wird. Je nach Art der verwendeten Speichermedien, muss man sich über deren Haltbarkeit Gedanken machen. Werden z. B. Magnetbänder verwendet, so sollten die Tagesbänder nach einem Jahr 52 Zyklen ausgetauscht werden. Daher sollte eine lückenlose Buchführung angestrebt werden, um keine ausgeleierten Magnetbänder zu verwenden. Noch ein paar Worte zu den unterschiedlichen Arten der Datensicherung: o Vollständige Datensicherung Unter der Vollständigen bzw. Kompletten Datensicherung versteht man, wie der Name schon andeutet, die Komplette Sicherung aller Daten. Die Sicherung ist dabei unabhängig vom Datum ihrer letzten Sicherung. Vorteil: Es werden wirklich alle Daten gesichert. Nachteil: Dadurch das alle Daten vorliegen braucht man bei einer großen Datenmenge dementsprechend Zeit bis alle Daten auf das Speichermedium übertragen wurden. Hinzu kommt noch der der große Platzverbrauch der Daten auf dem Medium. o Inkrementelle Datensicherung Bei der Inkrementellen Datensicherung werden nur die Daten gesichert, die seit der letzten Datensicherung (meist auch einer Inkrementellen) sich verändert haben oder neu dazu gekommen sind. Vorteil: Man spart Speicherplatz und Zeit, da meist erheblich weniger Daten gesichert werden müssen, wie beispielsweise bei einer Vollständigen Datensicherung. Nachteil: Bei der Datenrücksicherung besteht ein größerer Aufwand, da gleich mehrere Sicherungen hintereinander zurück gesichert werden müssen. o Differenzielle Datensicherung Die Differenzielle Datensicherung funktioniert ähnlich wie die Inkrementelle Datensicherung. Hier werden auch alle Daten gesichert, die sich seit der letzten Datensicherung verändert oder neu dazugekommen sind. Unterscheiden tut sich die Differenzielle Datensicherung durch die Tatsache, dass immer alle Änderungen zur ersten Volldatensicherung gespeichert werden, und nicht nur die zur Vorversion. Vorteil: Die Datenrücksicherung ist einfacher wie bei der Inkrementellen Datensicherung. Nachteil: Es wird mehr Platz und Zeit gebraucht im Vergleich zu der Inkrementellen Datensicherung. René Ketterer Kleinsteuber Stand: Seite 11 von 27

12 Aufbewahrung Medien zur Datensicherung müssen getrennt von der Datenquelle aufbewahrt werden. Wird z. B. der Serverraum durch einen Brand komplett zerstört und die Datensicherungsmedien befänden sich im selben Raum, so würden auch diese durch das Feuer zerstört werden. Daher müssen diese räumlich getrennt aufbewahrt werden. Aber auch die unterschiedlichen Generationen sollte man räumlich getrennt aufbewahren möglichst in getrennten Gebäuden, um die Sicherheit zu erhöhen. Nicht benutzte Vater-Medien wären im feuerfesten Safe an einem anderen Ort gut aufgehoben. Großvater-Medien wären im Bankschließfach ebenfalls optimal geschützt. Überprüfung der Speichermedien Es muss sichergestellt werden, dass regelmäßige Kontrollen der aufgezeichneten Datensicherungen stattfinden. Nach einem festzulegenden Plan müssen Rücksicherungen von den Bändern erfolgen (vom Sohn, Vater und Großvater), damit sichergestellt wird, dass die Aufzeichnungen der Daten auch funktionieren. Bei Langzeitarchivierung (z. B. Großvater) muss die Haltbarkeit der Speichermedien beachtet werden. Es ist empfehlenswert manchmal sogar zwingend geboten in periodischen Abständen ein Umkopieren auf frische Medien vorzunehmen Datensicherung im Unternehmen Spätestens an dieser Stelle dürfte es deutlich geworden sein, dass eine robuste Strategie zur Datensicherung im Unternehmen unumgänglich ist. Missachtet ein Unternehmen Datensicherheit und Datensicherung, so handelt es unverantwortlich. Datensicherheit und Datensicherung haben mittlerweile so einen hohen Stellenwert, dass sie bei Bankverhandlungen eine große Rolle spielen. Erfüllt ein Unternehmen die Mindestkriterien bezüglich Datensicherheit und Datensicherung nicht, so erhält es von den Banken eine negative Bewertung dafür Kredite verteuern sich oder werden u. U. erst gar nicht gewährt. Zusammenfassend dient die Datensicherung der Sicherung der Daten vor Verfälschung durch Eingabe und Übertragungsfehler der Sicherung der Datenbestände vor Zerstörung der Speichermedien der Sicherung der Daten vor unbefugtem Zugriff. Sofern personenbezogene Daten betroffen sind, ist der Übergang beim letzten Punkt zum gesetzlichen Datenschutz fließend. Je nach Unternehmensstruktur und -organisation können unterschiedliche Datensicherungsstrategien durchgeführt und miteinander kombiniert werden. Es ist z. B. üblich, die in einigen Programmen integrierte Datensicherung zu verwenden, um später die Sicherungsdateien mit der täglichen Datensicherung auf ein externes Speichermedium zu übertragen. Viele ERP 8 -Systeme bieten eine Datensicherungsmöglichkeit, die alle Daten meistens platzsparend komprimiert und sicher verschlüsselt in eine oder mehrere Dateien sichern. Daraus können im Notfall die gespeicherten Daten samt Datenstruktur wieder gewonnen werden. Einer der Vorteile solcher Datensicherung ist die Möglichkeit, während der Sicherung eine Prüfung der Datenstruktur und -integrität vornehmen zu können. Wird dagegen immer nur die gesamte Datenbank einer solchen Anwendung als Ganzes gesichert, fehlt diese Prüfung, wodurch ein unerkannter Fehler für längere Zeit unentdeckt bleiben kann Man sichert den Fehler immer wieder mit. Allerdings nicht jedes System führt solche Prüfungen durch. Auf jeden Fall ist die Größe dieser Datensicherung in der Regel geringer als die einer kompletten Datenbank, was zur Erhöhung der Geschwindigkeit der Datensicherung beiträgt. 8 Enterprise Resource Planning (Software zur Unterstützung der Ressourcenplanung eines Unternehmens) René Ketterer Kleinsteuber Stand: Seite 12 von 27

13 Der Einsatz sogenannter Datensicherungsserver mit üppigem Festplattenspeicher und leistungsfähigen Bandgeräten ist mittlerweile üblich. Datensicherungen wie beispielsweise Serverabbilder mit Image-Software, ERP- Datensicherungen, Exchange-Datensicherungen, CAD-Dateien usw. können ihre Daten auf dem Datensicherungsserver ablegen. Nach dem Abschluss dieser Sicherungen werden die Daten auf ein externes Speichermedium z. B. auf ein Magnetband kopiert. Diese Vorgehensweise hat den großen Vorteil, dass einerseits die Sicherungen auf einem anderen Rechner der sich möglicherweise nicht im Serverraum befindet gespeichert sind und anderseits auf Magnetbändern, die nach der Sicherung wiederum an einem anderen Ort aufzubewahren sind. Wenn der Datensicherungsserver über genügend Festplattenspeicher verfügt, kann man sogar mehrere Datensicherungsversionen aufbewahren. Im Notfall kann man direkt auf diese Datensicherung zurückreifen, ohne die Magnetbänder bemühen zu müssen Schutz gegen Viren und andere äußere Eingriffe Längst sind Computer nicht nur Lokal miteinander verbunden, sondern durch den Siegeszug des Internets sind sie mit der ganzen Welt vernetzt. Die Vorteile der weltweiten Vernetzung sind vielfältig und von der modernen Welt nicht mehr wegzudenken. Information steht an jedem Arbeitsplatz stets zur Verfügung ein Klick auf einen Link und schon ist man mitten in der virtuellen Welt. Auch unterwegs ist man mittlerweile immer online Notebooks, Netbooks und Smartphones bringen das Internet sozusagen in die Hosentasche. Der Zugriff auf die Firmendaten und Anwendungen von überall ist ebenfalls eine Selbstverständlichkeit geworden. Blackberry, iphone & Co. ermöglichen einen ständigen mobilen Zugriff auf weltweit verteilten Ressourcen auch auf die firmeneigenen. Diese schöne Online-Welt birgt aber auch riesige Gefahren, denn die eigene Firma, das eigene Firmennetzwerk und damit die eigenen Firmendaten werden zu Angriffszielen der ganzen digitalen Online-Unterwelt. Wichtige Anmerkung: Bevor das Thema vertieft wird, sollte man stets sich dessen Tragweite bewusst sein. Sicherheit ist das anspruchsvollste und schwierigste Thema unserer Informationsgesellschaft und daher sollte es stets professionell behandelt werden. Sicherheit sollte nie ohne fundiertes Wissen und ständige Pflege behandelt werden. Um es bildlich darzustellen, folgende Analogie: Sicherheitslecks in der Informationstechnologie können mit Radioaktivität verglichen werden man sieht und hört sie nicht, sie schmeckt und riecht auch nicht und man kann sie auch nicht ertasten. Hat man sie aber einmal gespürt, dann ist es bereits zu spät. Die Welt draußen ist böse und sobald man von draußen erreichbar ist, wird man mit dem Problem des unbefugten Eindringens konfrontiert. Die Gefahren sind vielfältig. Angezapfte Systeme können u. a. für die Verbreitung vom Spam, den Austausch pornografischer Inhalte, den versteckten Angriff anderer Systeme usw. missbraucht werden. Sehr oft möchte man Datenklau betreiben oder aus purer Zerstörungslust Systeme beschädigen oder gar komplett unbrauchbar machen. Ein weiteres Problem sind Computerviren, Trojaner und Würmer. Allesamt Parasiten, die das Ziel haben, sich an andere Datenbestände anzuhängen, sie zu manipulieren und sich sowohl systemweit als auch systemübergreifend fortzupflanzen. Dieses digitale Ungeziefer kann durch ein Eindringling eingeschleust werden, oft jedoch durch einen zu laschen Umgang mit s und externen Datenträgern (DVDs, USB-Sticks usw.). Das unerlaubte Eindringen in fremde Systeme und die Verbreitung von Viren sind keine Kavaliersdelikte, sondern es handelt sich dabei um kriminelle Aktivitäten, die strafrechtlich verfolgt werden Datenträgerschutz Indem man alle externen Datenträger (CD/DVD, USB-Sticks, Speicherkarten usw.) verbietet, schließt man eines der Einfallstore für Viren. Allerdings ist so eine radikale Verfahrensweise nicht immer durchführbar Oft muss man Daten auf externe Datenträger speichern oder von externen Speichermedien in den Rechner einlesen. Es gibt aber René Ketterer Kleinsteuber Stand: Seite 13 von 27

14 auch für dieses Problem Abhilfe, indem man softwaregesteuert den Zugriff auf externe Speichermedien und Geräte anwenderbezogen steuert. So kann der Systemverwalter z. B. definieren, dass ein Anwender nur während der normalen Geschäftszeiten Lesezugriff auf den DVD-Brenner bekommt, während alle anderen Geräte (USB-Sticks, Smatphones, Bluetooth usw.) keinen Zugriff haben. Der Chef dagegen bekommt zusätzlich Zugriff auf Bluetooth, um sein Mobiltelefon mit seiner Terminverwaltung zu synchronisieren Anhänge Eine weitere Maßnahme, um eine Virenverbreitung zu unterbinden, ist der Verzicht auf gewisse -Anhänge. Es werden Richtlinien gesetzt, die nur ausgewählte Dateitypen als -Anhänge zulassen. Damit wird das Risiko verringert, dass unvorsichtige Mitarbeiter aus Neugier einen gefährlichen Dateianhang öffnen und somit das System infizieren Internet-Zugriff Dateitransfer, Online-Spiele, Chat usw. sind weitere Einfallstore für Viren und Hacker. Diese Aktivitäten können jedoch zentral vom Systemadministrator verboten werden, indem er Regelsätze erstellt, die diese Aktivitäten verhindern. Darüber hinaus definiert der Systemverwalter weitere Regeln, die einen unkontrollierten Zugriff aus dem Internet verhindern. Müssen jedoch Mitarbeiter oder Geschäftspartner aus dem Internet auf das firmeninterne Netzwerk zugreifen, so muss der Systemverwalter die notwendigen Vorkehrungen treffen, um die erforderliche Sicherheit zu gewährleisten. Stichworte sind hier u. a. VPN, SSL, Zertifikate und sichere Passwörter. Diese Regeln sind gewöhnlicherweise sehr komplex, denn sie müssen den Spagat schaffen, einerseits die Arbeit nicht zu behindern und anderseits die größtmögliche Sicherheit zu garantieren Zugriffskontrolle Anwender in einem Unternehmen sollten sofern möglich nie mit erhöhten Benutzerrechten arbeiten. Je weniger Rechte ein Anwender besitzt, umso schwieriger kann er bewusst oder unbewusst einen Schaden anrichten Virenschutz Trotz aller hier aufgeführten Vorkehrungen, gibt es genügend Möglichkeiten, dass ein Virus alle diese Sicherheitsmaßnahmen ungehindert passiert. Deswegen ist ein guter Virenschutz unabdingbar. Während auf dem Computer zuhause eine einfache Version einer Antiviren-Software ausreichend ist, sollte im Unternehmen eine professionelle Lösung eingesetzt werden. Nur sie erlaubt eine zentrale Verwaltung aller Arbeitsstationen und die schnelle Verteilung von Regeln und Updates. Professionelle Antiviren-Software kann auch zentral verteilt werden, ohne dass man von Rechner zu Rechner laufen und immer wieder dieselben Aktionen durchführen muss. Darüber hinaus bieten die professionellen Antiviren-Netzwerklösungen Virenschutz für -Server (z. B. Microsoft Exchange), womit bereits auf dem Server gefährliche s abgefangen werden. Der Anwender erhält die desinfizierte mit einem entsprechenden Hinweis auf die durchgeführte Säuberungsaktion. Auch die Serverfestplatten werden von speziellen Serverversionen der Antiviren-Software überwacht, so dass keine infizierten Dateien auf dem Server gespeichert werden können. Es gibt noch weitere Sicherheitsmaßnahmen, die in speziellen Fällen Punktuell die Sicherheit weiter ausbauen, sie würde jedoch an dieser Stelle den Rahmen sprengen. René Ketterer Kleinsteuber Stand: Seite 14 von 27

15 1.2 Zusammenfassung Datensicherheit Risiken Unwissenheit Fahrlässigkeit grobe Fahrlässigkeit Vorsatz unvorhersehbare Ereignisse. Ziele Integrität der Daten o Richtigkeit und Vollständigkeit der Daten o Unversehrtheit der Daten bei Systemabsturz Authentizität der Daten, Schutz vor Datenfälschung o Verschlüsselung o Zugriffsbegrenzung o Passwortschutz o Elektronische Unterschrift Verfügbarkeit der Daten o Sicherungen gegen Datenverlust o Sicherung der Funktionsfähigkeit o Erreichbarkeit der Systemadministration Zurechenbarkeit o Wer hat wann, welche Daten, wie verwendet? o Protokollierung o Revisionsfähigkeit René Ketterer Kleinsteuber Stand: Seite 15 von 27

16 2 Grundlagen des Datenschutzrechts Unter Datenschutz versteht man den Schutz eines Einzelnen vor dem Missbrauch seiner personenbezogenen Daten. Der Einzelne wird davor geschützt, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Recht auf informationelle Selbstbestimmung beeinträchtigt wird. Die Idee dahinter ist, dass jeder Mensch grundsätzlich selbst entscheiden kann, welche seiner persönlichen Daten wem wann zugänglich sein sollen. Der Datenschutz versucht, den sogenannten gläsernen Menschen zu verhindern. Wichtige Anmerkungen: Im weiteren Verlauf wird immer auf das Bundesdatenschutzgesetz verwiesen. Das Bundesdatenschutzgesetz ist ein Auffanggesetz, das hinter den für die jeweiligen Branchen geltenden Spezialgesetzen zurücksteht. Diese vorrangigen Gesetze können den Datenschutz ausweiten oder ihn zugunsten anderer Interessen einschränken. So genießen beispielsweise Rechtsvorschriften des Bundes oder der Länder, aber auch Tarifverträge oder Betriebsvereinbarungen, den Vorrang. Diese gehen nicht insgesamt vor, sondern nur hinsichtlich der Vorschriften, die datenschutzrelevante Regelungen enthalten. Weiterhin bieten Rechtsprechungen des Bundesverfassungsgerichtes bzw. der Arbeitsgerichte Handlungshilfen. Das Bundesdatenschutzgesetz erfährt seit dem 1. September 2009 verschiedene Änderungen und Ergänzungen. Es ist daher wichtig, immer mit der aktuellen Version des Bundesdatenschutzgesetzes zu arbeiten. Folgende Änderungen wurden seit dem 1. September 2009 durchgeführt: Datenschutz-Novelle I: Scoring (in Kraft seit ) Datenschutz-Novelle II: Adresshandel (in Kraft seit ) Datenschutz-Novelle III: Verbraucherkredit (in Kraft ab ) 2.1 Der gläserne Bürger Nachstehend werden einige alltägliche Situationen aufgeführt, die den gläsernen Bürger aufzeigen: Einen schönen guten Morgen! Hier ist der von Ihnen gewünschte Weckdienst. Es ist jetzt 7 Uhr. Ich wünsche Ihnen einen schönen Tag! Guten Morgen! Ich hatte Säule 3 und zahle mit Kreditkarte. Ach ja, dann hätte ich gerne noch ein Sandwich und die Tageszeitung. So, jetzt gebe ich noch die Geheimnummer und dann den Betrag ein. Ich möchte das Rezept für meine Medikamente abholen. Haben Sie die Karte der Krankenkasse dabei? Ach je, ein Knöllchen! Na, da wird sich mein Mann aber freuen, wenn er die Zahlungsaufforderung erhält. Da fällt es mir ein, dass wir unsere Steuererklärung noch nicht abgegeben haben. Wahrscheinlich sind wir wieder zu spät dran. Mal sehen, ob im Internet-Auktionshaus günstige Faschingskostüme angeboten werden. Bevor ich aber ein Gebot abgebe, schaue ich mir die Bewertungen des Anbieters genau an. Dort sehe ich auch, welche Artikel er bisher verkauft und gekauft hat. Schaut man sich diese Alltagssituationen genau an, gewinnt man schnell den Eindruck, dass in diesen Beispielen personenbezogene Daten im Spiel sind. Gleichzeitig merkt man auch, dass der einfache Bürger ohne die richtigen gesetzlichen Rahmenbedingungen, schnell und unweigerlich zum gläsernen Bürger wird. Hier setzt der Datenschutz an, indem er den Einzelnen vor dem Missbrauch seiner personenbezogenen Daten schützt. René Ketterer Kleinsteuber Stand: Seite 16 von 27

17 2.1.1 Personenbezogene Daten Der Begriff personenbezogene Daten der bisher mehrmals verwendet wurde und im Datenschutz die zentrale Rolle spielt wird nachstehend ausführlich beschrieben. 3 Abs. 1 BDSG definiert den Begriff wie folgt: Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Neben den allgemeinen personenbezogenen Daten kennt das BDSG noch besondere Arten oft sensible oder besondere Daten genannte personenbezogener Daten, welche unter 3 Abs. 9 BDSG zu finden sind: rassische und ethnische Herkunft politische Meinungen religiöse oder philosophische Überzeugungen Gewerkschaftszugehörigkeit Gesundheit Sexualleben Besondere Arten personenbezogener Daten unterliegen einem besonders strengen Schutz durch die Datenschutzgesetzgebung ( 4a und 4d BDSG). Die Grundlage des Datenschutzrechts ist den ersten zwei Artikeln des Grundgesetzes Artikel 1 Abs. 1 GG und Artikel 2 Abs. 1 GG verankert. Artikel 1 Abs. 1 GG Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt. Artikel 2 Abs. 1 GG Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt. Wenn man zurück zum gläsernen Bürger kommt, stellt man folgendes fest: Staat und Wirtschaft benötigen in großem Umfang personenbezogene Daten, um ihre vielfältigen Aufgabe sachgerecht zu erfüllen. Anderseits stellt jede Verwendung dieser Daten einen Eingriff in das aus den Artikeln 1 und 2 des Grundgesetzes abgeleitete allgemeine Persönlichkeitsrecht dar. Dieses Persönlichkeitsrecht ist ein Grundrecht und muss geschützt werden. 2.2 Der rechtliche Rahmen Diese Stelle durchleuchtet einige Aspekte des rechtlichen Rahmens für den Datenschutz, jedoch ohne auf jedes einzelne Gesetz und dessen Vorläufer einzugehen Informationelle Selbstbestimmung Zur Erinnerung: Der Datenschutz ist der Schutz des Einzelnen vor Beeinträchtigung seiner Persönlichkeitsrechte im Umgang mit seinen personenbezogenen Daten. René Ketterer Kleinsteuber Stand: Seite 17 von 27

18 Die informationelle Selbstbestimmung besagt: Ohne Einwilligung ( 4 BDSG) Personenbezogene Daten dürfen grundsätzlich nur für den Zweck verwendet werden, für den sie erhoben wurden. Der Datenumfang bei der Erhebung personenbezogener Daten darf sich nur auf das für die Aufgabenerfüllung erforderliche Minimum erstrecken. Es müssen alle notwendigen technisch-organisatorischen Maßnahmen als Vorkehrungen zum Schutz der personenbezogenen Daten getroffen werden. Mit Einwilligung ( 4a BDSG) Die Verwendung personenbezogener Daten ist zulässig, soweit der Betroffene eingewilligt hat. Ein Verstoß gegen die informationelle Selbstbestimmung ist rechtswidrig und zieht Schadenersatzforderungen nach sich. Die Einwilligung durch den Betroffenen muss vor der Erhebung personenbezogener Daten erfolgen. Die Einwilligung ist für den Betroffenen freiwillig. Die Einwilligung kann vom Betroffenen jederzeit widerrufen werden. Es besteht die Pflicht, den Betroffenen über Art und Umfang der zu erhebenden personenbezogener Daten im Voraus aufzuklären. Eine Einwilligung darf ausschließlich in schriftlicher Form erfolgen. Sollen auch besondere personenbezogene Daten erhoben werden, muss sich die Einwilligung darüber hinaus ausdrücklich auf diese Daten beziehen. Beispiele: Benötigt ein Kreditinstitut die Zustimmung des Kunden für die Weitergabe seiner Daten an die SCHUFA? Ja, denn solange keine andere gesetzliche Grundlage diesen Vorgang der Übermittlung personenbezogener Daten regelt, wird es vom Bundesdatenschutzgesetz geregelt. Da es sich hierbei um personenbezogene Daten handelt, darf die Übermittlung nur mit Einwilligung des Betroffenen (Kunden) erfolgen. Darf ein Kreditinstitut Sparkontodaten eines Kunden an dessen Ehegatten übermitteln? Nein, denn personenbezogene Daten dürfen grundsätzlich nur für den Zweck verwendet werden, für den sie erhoben wurden. Sie wurden jedoch nicht erhoben, um den Ehegatten ohne die Einwilligung des Betroffenen (Kunden) zu unterrichten. Mit gesetzlicher Grundlage Das Erheben, Verarbeiten und Nutzen personenbezogener Daten ist ohne Einwilligung des Betroffenen nur zulässig, soweit ein Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet (Stichwort: Auffanggesetz). Nachstehend eine Auswahl solcher Gesetze und Anordnungen: Geldwäschegesetz Kreditwesengesetz (KWG) Außenwirtschaftverordnung René Ketterer Kleinsteuber Stand: Seite 18 von 27

19 Sozialgesetze (bei Arbeitnehmern: Rente, Krankenversicherung, Arbeitslosenversicherung, Mutterschutz, SGB Sozialgesetzbuch usw.) Aktiengesetz Wertpapierhandelsgesetz Telekommunikationsgesetz (TKG) Gesetz über die Nutzung von Telediensten (TDG) Gesetz zur digitalen Signatur Gesetz über den Datenschutz bei Telediensten (TDDSG) Beispiele: Darf ein Kreditinstitut Kundendaten bei einem Verdacht auf Geldwäsche an die zuständigen Stellen ohne Einwilligung des Kunden übermitteln? Ja, denn dieser Fall ist durch das Geldwäschegesetzt abgedeckt. Darf ein Kreditinstitut Kundendaten an die amerikanischen Steuerbehörden ohne Einwilligung des Kunden übermitteln? Nein, es sei denn, ein deutsches Gesetz sähe es für diesen Fall vor. In so einem Fall jedoch nur mit Einwilligung des Kunden. Allerdings gibt es zurzeit keine gesetzliche Grundlage dafür. Datenverarbeitung nach Interessenabwägung Eine Datenverarbeitung ohne Mitwirkung des Betroffenen und ohne gesetzliche Grundlage ist nur unter nachfolgend aufgeführten Rahmenbedingungen möglich: Der Geschäftszweck macht die Erhebung bei anderen Personen oder Stellen erforderlich oder die Erhebung beim Betroffenen würde einen unverhältnismäßigen Aufwand erfordern und es gibt keinerlei Anhaltspunkte, dass überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden Zweckbindung Personenbezogene Daten dürfen grundsätzlich nur für den Zweck verwendet werden, für den sie erhoben wurden. Beispiel: Darf ein Maurermeister die Daten eines Kunden ohne Zustimmung des Kunden an einen befreundeten Elektroinstallateur weitergeben? Nein, denn die vom Maurermeister erhobenen persönlichen Daten des Kunden dürfen nur für den Zweck verwendet werden, für den sie auch erhoben wurden. Es bedarf der schriftlichen Zustimmung des Kunden Datenminimum Es darf nur das für die Aufgabenerfüllung erforderliche Minimum an personenbezogenen Daten erhoben werden. René Ketterer Kleinsteuber Stand: Seite 19 von 27

20 2.3 Transparenz der Datenverarbeitung Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten hat so zu erfolgen, dass der Betroffene jederzeit in der Lage ist, schnell und unkompliziert Einsicht in seine Daten zu bekommen und selbst über diese zu bestimmen Selbstkontrolle Die Informations- und Benachrichtigungsansprüche des Betroffenen sind unabdingbare Rechte der Ausschluss ist nicht erlaubt, deren Ziel die Transparenz über die Verwendung der Daten ist. Die Betroffenen haben über sie gespeicherten Daten ein Recht auf Benachrichtigung Auskunft Berichtigung Löschung Sperrung Benachrichtigungsanspruch ( 33 BDSG) Der Benachrichtigungsanspruch des Betroffenen umfasst u.a. folgende Punkte: Datum der erstmaligen Speicherung (Anlage) Art und Zweckbestimmung der Daten Identität der verantwortlichen Stelle Kategorie der Datenempfänger, wenn der Betroffene mit einer Übermittlung nicht rechnen kann. Videoüberwachung z. B. Dieser Raum wird zu Ihrer eigenen Sicherheit per Video überwacht. Weitere Informationen darüber: 33 BDSG Benachrichtigung des Betroffenen Auskunftsrecht ( 34 BDSG) Die verantwortliche Stelle hat dem Betroffenen auf Verlangen Auskunft über folgende Punkte zu erteilen: Die zu seiner Person gespeicherten Daten Die Herkunft der gespeicherten Daten. Den Empfänger oder die Kategorien von Empfängern, an die Daten weitergegeben werden Den Zweck der Speicherung Die Auskunft über die Herkunft und die Empfänger kann verweigert werden, soweit das Interesse an der Wahrung des Geschäftsgeheimnisses gegenüber dem Informationsinteresse des Betroffenen überwiegt Berichtigung, Löschung und Sperrung von Daten ( 35 BDSG) Bevor diese Begriffe Berichtigung, Löschung und Sperrung näher behandelt werden, werden zum besseren Verständnis zwei weitere Begriffe kurz erklärt, die im weiteren Verlauf immer wieder zusammen erscheinen:...geschäftsmäßige Datenspeicherung zum Zwecke der Übermittlung... Zweck der Übermittlung Der Verantwortliche speichert bzw. sammelt Daten für die Weitergabe. Es handelt sich bei diesen Daten nicht um die eigenen Kundendaten, sondern der Verantwortliche handelt mit diesen gesammelten Daten. René Ketterer Kleinsteuber Stand: Seite 20 von 27

21 geschäftsmäßig Der Verantwortliche nutzt die gespeicherten bzw. gesammelten Daten regelmäßig, auch aber nicht nur zur Gewinnerzielung. Berichtigungsrecht Personenbezogene Daten, die unrichtig sind oder deren Richtigkeit bestritten wird, müssen bei der geschäftsmäßigen Datenspeicherung zum Zwecke der Übermittlung außer in den Fällen des 35 Abs. 2 Nr. 2 BDSG nicht berichtigt, gesperrt oder gelöscht werden, wenn sie aus allgemein zugänglichen Quellen entnommen und zu Dokumentationszwecken gespeichert sind. Auf Verlangen des Betroffenen ist diesen Daten für die Dauer der Speicherung seine Gegendarstellung beizufügen. Die Daten dürfen nicht ohne diese Gegendarstellung übermittelt werden. Anspruch auf Löschung Es besteht für den Betroffenen ein Anspruch auf Löschung, wenn mindestens einer der nachfolgend aufgeführten Fälle zutrifft: Unzulässige Speicherung Sensible personenbezogene Daten: Rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, über Gesundheit oder Sexualleben, strafbare Handlungen oder Ordnungswidrigkeiten und ihre Richtigkeit von der verantwortlichen Stelle nicht bewiesen werden kann. Die Daten sind nicht mehr erforderlich. Die Daten werden geschäftsmäßig zum Zwecke der Übermittlung verarbeitet und eine Prüfung jeweils am Ende des vierten, soweit es sich um Daten über erledigte Sachverhalte handelt und der Betroffene der Löschung nicht widerspricht, am Ende des dritten Kalenderjahres beginnend mit dem Kalenderjahr, das der erstmaligen Speicherung folgt, ergibt, dass eine länger währende Speicherung nicht erforderlich ist. Anspruch auf Sperrung Wenn Löschung nicht möglich ist (z.b. wegen gesetzlicher Aufbewahrungsfristen oder wegen der Verletzung berechtigter Interessen der Betroffenen) tritt die Sperrung an die Stelle der Löschung. Personenbezogene Daten sind zu sperren, soweit ihre Richtigkeit vom Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen lässt. Gesperrte Daten dürfen nur in ganz wenigen Ausnahmefällen genutzt werden. Die Tatsache der Sperrung darf nicht übermittelt werden Interne Kontrollen Interne Kontrollen sind ein wesentliches Merkmal zur Einhaltung des geltenden Datenschutzrechts. Die primäre Aufgabe einer internen Kontrolle besteht nicht darin, dass wenig personenbezogenen Daten verarbeitet werden, sondern dass die Verarbeitung dieser Daten in Einklang mit den gesetzlichen Vorgaben und dem informationellen Selbstbestimmungsrecht steht. Interne Kontrollen können durch die verantwortliche Stelle im Unternehmen Geschäftsleitung oder durch einen Datenschutzbeauftragten durchgeführt werden. Unabhängig davon, wer die internen Kontrollen durchführt, besteht die vorrangige Aufgabe in der Beratung, um die Datenverarbeitung für die Betroffenen so transparent wie möglich zu gestalten und Schwachstellen von vornherein zu vermeiden oder konstruktiv zu lösen. Darüber hinaus kümmert sich der Verantwortliche um die nachträgliche Überprüfung der Einhaltung der Datenschutzrechtlichen Vorschriften Bestellung eines Datenschutzbeauftragten Nicht-öffentliche Stellen müssen einen Datenschutzbeauftragten bestellen, wenn sie mindesten 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Allerdings soweit nicht-öffentliche Stellen automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle unterliegen, oder personenbezo- René Ketterer Kleinsteuber Stand: Seite 21 von 27

22 gene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeiten, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen einen Beauftragten für den Datenschutz zu bestellen. Die Bestellung des Datenschutzbeauftragten regelt 4f BDSG: 4f BDSG Beauftragter für den Datenschutz (1) 1 Öffentliche und nicht-öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen. 2 Nicht-öffentliche Stellen sind hierzu spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit verpflichtet. 3 Das Gleiche gilt, wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 20 Personen beschäftigt sind. 4 Die Sätze 1 und 2 gelten nicht für die nicht-öffentliche Stellen, die in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. 5 Soweit auf Grund der Struktur einer öffentlichen Stelle erforderlich, genügt die Bestellung eines Beauftragten für den Datenschutz für mehrere Bereiche. 6 Soweit nicht-öffentliche Stellen automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeiten, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen einen Beauftragten für den Datenschutz zu bestellen Kontrolle durch die verantwortliche Stelle Geschäftsleitung Die Nicht-Bestellung eines Datenschutzbeauftragten z. B. weil man weniger als 10 Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt entbindet den Verantwortlichen nicht von der Einhaltung der datenschutzrechtlichen Bestimmungen. In diesem Fall ist die Geschäftsleitung für die für den Datenschutz direkt verantwortlich. Folgende Bereiche unterliegen direkt der Geschäftsleitung: Verantwortlichkeit für den Datenschutz Bestellung eines Datenschutzbeauftragten Unterstützung Datenschutzbeauftragter Umsetzung der 9-Maßnahmen im Betrieb (Technische und organisatorische Maßnahmen) Kontrolle durch den Datenschutzbeauftragten Die Einhaltung der datenschutzrechtlichen Bestimmungen kann sehr aufwändig werden. Sie erfordert auf der einen Seite das notwendige Know-how im Datenschutz und auf der anderen ein hohes technisches Verständnis. Dieses Wissen ist jedoch im Unternehmen oft nicht vorhanden Mitarbeiter sollten ihre primäre Tätigkeit ausüben, anstelle sich mit Datenschutz zu befassen. Deswegen werden in der Regel externe Datenschutzbeauftragte in die Unternehmen bestellt. Trotzdem bleibt die Geschäftsleitung für die Einhaltung der Bestimmungen verantwortlich und haftbar. Der Datenschutzbeauftragte wird von der Geschäftsleitung bestellt, ist der Geschäftsleitung unmittelbar unterstellt, wirkt auf die Einhaltung des BDSG s und anderer datenschutzrechtlicher Verpflichtungen hin, führt Kontrollaufgaben durch, ist für die Verarbeitungsübersichten zuständig, ist für die Führung Verfahrensverzeichnis gemäß 4e BDSG zuständig, ist für Überwachung der datenschutzrechtlichen Bestimmungen zuständig und ist für die Durchführung Vorabkontrolle zuständig. René Ketterer Kleinsteuber Stand: Seite 22 von 27

23 Führung des Verfahrensverzeichnisses Verfahren automatisierter Verarbeitungen müssen grundsätzlich an die zuständige Aufsichtsbehörde gemeldet werden es sei denn, die verantwortliche Stelle hat einen DSB bestellt. Sinn und Zweck des Verfahrensverzeichnisses Das Verfahrensverzeichnis stellt eine Sammlung aller Verfahrensbeschreibungen der bei der öffentlichen oder nicht-öffentlichen Stelle aktuell eingesetzten automatisierten Verfahren dar. Mithilfe des Verfahrensverzeichnisses müssen die datenverarbeitenden Stellen folgendes dokumentieren: Art und Umfang der personenbezogenen Daten Erhebungszweck der personenbezogenen Daten Eingesetzte automatisierte Verfahren Art und Weise der Erhebung, Verarbeitung und Nutzung Beachtete und getroffenen Datenschutz- und Datensicherheitsmaßnahmen Ein Verfahrensverzeichnis soll die Datenverarbeitung sowohl nach innen als auch nach außen transparent machen. Gleichzeitig dient es der besseren Überwachbarkeit eines Unternehmens, z. B. durch die Aufsichtsbehörden. Ab wann kann überhaupt von einem Verfahren gesprochen werden? Ist jedes selbst geschriebene Programm und jede käuflich erworbene Software bereits ein Verfahren? Gemäß der Begründung zu Art.18 EG-Datenschutzrichtlinie ist ein Verfahren ein Bündel von Verarbeitungen, die über eine vom Verantwortlichen definierte Zweckbestimmung verbunden sind. Ein Verfahren kann somit aus mehreren Verarbeitungen (oder Programmen) bzw. Verarbeitungsgruppen bestehen. Beispiel: ein Personalverwaltungsverfahren. In das Verfahrensverzeichnis sind daher nicht die einzelnen Verarbeitungen oder Programme aufzunehmen, sondern ausschließlich Verfahren Überwachung Der Datenschutzbeauftragte überwacht den Umgang mit personenbezogenen Daten. Dies geschieht durch Stichprobenkontrollen oder Probeläufe Durchführung der Vorabkontrolle Die Vorabkontrolle prüft besondere oder "sensible" Daten (Angaben über rassische oder ethnische Herkunft, politische Meinungen, Religion, Gesundheit, Sexualleben und Gewerkschaftszugehörigkeit). Wird vor Aufnahme des Verfahrens keine Vorabkontrolle durchgeführt, ist das Verfahren unzulässig. Darüber hinaus prüft die Vorabkontrolle die rechtlichen Anforderungen Pflichten des Datenschutzbeauftragten Weitere Pflichten des Datenschutzbeauftragten sind: Widersprüche gegen Werbemaßnahmen Bearbeiten von Auskunftsersuchen Scoring- und automatisierte Abrufverfahren bzw. -systeme Benachrichtigungspflichten Verpflichtung und Schulung der Mitarbeiter Auftragsdatenverarbeitung (siehe nächsten Absatz) Installation von Datensicherungsmaßnahmen und Videoüberwachungsanlagen ordnungsgemäße Anwendung DV-Programme René Ketterer Kleinsteuber Stand: Seite 23 von 27

24 Auftragsdatenverarbeitung Unter Auftragsdatenverarbeitung ist die Datenverarbeitung im Auftrag durch einen Dritten zu verstehen, bei der die Verantwortung für die ordnungsgemäße Datenverarbeitung beim Auftraggeber bleibt. Eine Weitergabe von Daten im Rahmen einer Auftragsdatenverarbeitung nach 11 BDSG ist keine Übermittlung nach 3 Abs. 4 Nr. 3 BDSG. Die Anforderungen an die Auftragsdatenverarbeitung sind durch den Gesetzgeber stark verschärft worden und der notwendige Inhalt eines Vertrages ist in 11 BDSG in einem 10-Punkte-Katalog geregelt worden. Das ist neu, denn grundsätzlich gilt zwischen Vertragsparteien Privatautonomie, das heißt nur die Parteien bestimmen den Inhalt eines Vertrages. Außerdem sind auch die Kontroll- und Dokumentationspflichten des Auftraggebers verschärft worden. Insbesondere muss sich der Auftraggeber auch davon überzeugen, dass der Auftragnehmer selbst die technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten einhält. Damit zeigt der Gesetzgeber deutlich, dass Datenschutz nicht ohne IT-Sicherheit erreicht werden kann. Abgrenzung Datenschutz und IT-Sicherheit Zu beachten ist außerdem, dass es nach wie vor kein Konzernprivileg gibt. Das bedeutet, dass auch bei einer D a- tenübermittlung zwischen Mutter- und Tochterkonzern die Vorgaben des 11 BDSG eingehalten werden müssen. Wird der Auftrag nicht richtig, nicht vollständig oder nicht in vorgeschriebener Weise erteilt oder die Kontrollpflic h- ten nicht eingehalten, droht ein Bußgeld in Höhe von bis zu Kontrolle durch den Betriebs- bzw. Personalrat Grundlage für die Kontrolle durch den Betriebs- bzw. Personalrat ist das Betriebsverfassungsgesetz. Es sollen alle geltenden Normen zugunsten der Beschäftigten überwacht werden. Diese Überwachung ist mitbestimmungspflichtig oder mitwirkungspflichtig und soll Betriebsvereinbarung wie die nachstehend aufgeführten überwachen: Firmen-Telefonnetz für Privatgespräche Informations- und Kommunikationssysteme zur Verarbeitung und Übermittlung von Personaldaten gleitende Arbeitszeit automatisiertes Schriftgutinformations- und -administrationssystem elektronische Speichermedien von Smartphones Videoüberwachungssysteme Datenschutzvereinbarungen und -FAQ ins Intranet Rahmen- und Vertragsbedingungen für außerbetriebliche Arbeitsstätte maschinelle Zutrittskontrolle Einführung und Betrieb von und Nutzung von Internetdiensten Copyright ISE Büro- und Software-Service: Alle Rechte vorbehalten, auch die der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarb eitung in elektronischen Systemen. René Ketterer Kleinsteuber Stand: Seite 24 von 27