Ziele der Datensicherheit

Datensicherheitsziele

Damit können Datensicherheitsziele definiert werden. eines Computersystems), verstehen Sie jede Aktion/Prozess, ihre Reihenfolge oder ihr Ziel. 1ste Säule: Integriert Datenschutz und IV-Sicherheitskonzept Die Bezeichnung "Datenschutz" wurde durch das Bundesverfassungsgericht in seinem Urteil vom 16. November 1983 begründet, in dem das Bundesverfassungsgericht das sogenannte "Recht auf Informationsselbstbestimmung " entwickelte, nach dem jeder Staatsbürger das Recht hat, die Offenlegung und Nutzung seiner persönlichen Angaben zu selbstbestimmen.

Sie schützen jeden vor der unbegrenzten Erfassung, Aufbewahrung, Nutzung und Offenlegung seiner personenbezogenen Informationen. Die Datenschutzbestimmungen beschränken sich nicht nur auf den Missbrauchsschutz personenbezogener Informationen, sondern umfassen auch den Persönlichkeitsschutz, dessen Angaben verarbeitet werden. Das Thema Datensicherheit ist daher nicht nur die Vermeidung von strafbarem Fehlverhalten.

Dazu gehört auch der rechtliche Schutz der persönlichen Angaben. Über diese Grunddefinition des Datenschutzes hinaus ist das deutsche Datenschutzgesetz jedoch in mehreren branchen- und branchenspezifischen Vorschriften ausführlich festgeschrieben. Das wichtigste nationale Recht ist das BDSG. Zum Anwendungsbereich des BDSG gehören die Erfassung, Bearbeitung (Speicherung, Änderung, Übermittlung, Sperrung und Löschung von Daten) und Verwendung von Personendaten durch Behörden des Bundesgesetzes ( "Landesdatenschutzgesetze") und nichtöffentliche Behörden, soweit diese die erhobenen Personendaten mit Hilfe von Datenverarbeitungsgeräten bearbeiten oder verwenden oder sie in oder aus Datenbeständen für geschäftliche, betriebliche oder kommerzielle Zwecke weiterverarbeiten oder verwenden; dies ist nicht der Fall, wenn die erhobenen Personendaten ausschliesslich für personenbezogene oder familienbezogene Aktivitäten genutzt, verarbeitet oder genutzt werden.

Gemäß 3 I BDSG sind Personendaten individuelle Angaben über die persönlichen oder sachlichen Umstände einer gewissen oder identifizierbaren natuerlichen Personen (Betroffene). Weitere Kernbegriffe aus dem BDSG werden kurz erwähnt: das Konzept der automatischen Bearbeitung, die Akte, die zuständige Dienststelle und das Prinzip der Zweckbindung. Kriterium für die Umsetzung des BDSG ist die automatische Erfassung, Bearbeitung und Verwendung von personenbezogenen Informationen und die nicht automatische Bearbeitung in Akten.

Das Zweckbindungsprinzip findet sich in mehreren Regelungen des BDSG wieder und legt z.B. im Rahmen der Kundenbeziehung fest, dass die Speicherung oder Nutzung persönlicher Informationen erlaubt ist, wenn dies zum Zweck des vertraglichen Verhältnisses mit dem Betreffenden erforderlich ist (z.B. zur Bearbeitung einer Kundenbestellung). Die Weitergabe von persönlichen Informationen an Dritte unterliegt ebenfalls diesem Prinzip.

Es ist jedoch zu berücksichtigen, dass das BDSG nur für persönliche Angaben von natürlichen und nicht für Angaben über Rechtspersonen und andere Personengruppen anwendbar ist. Das TDG und das TDDSG - als Teil des 1997 erlassenen Informations- und Kommunikationsdienstleistungsgesetzes (IuKDG) - finden Anwendung auf Telediensteanbieter zur Eigennutzung; sie beinhalten Regelungen zur Anbieteridentifikation, ein Koppelverbot zur Vermeidung der Ausübung einer marktbeherrschenden Stellung im Bereich der Datenerhebung und wiederum positiv das Prinzip der Datenökonomie und -vermeidung sowie das Prinzip der Zweckbindung.

Die MDStV, die gleichzeitig mit dem IuKDG am 11. Juli 1997 in Kraft trat und letztmals am 22. November 2001 novelliert wurde, beinhaltet Datenschutzbestimmungen für Firmen, die Informations- und Kommunikationsdienstleistungen als Distributions- und On-Demand-Dienste für die breite Öffentlichkeit bereitstellen. Das Regulierungsziel des TKG hingegen ist der technologische Prozess der Fernmeldetechnik; es beinhaltet sowohl Bedingungen für die Erfassung, Bearbeitung und Verwendung personenbezogener Informationen als auch unter anderem ein Kopplungsverbot.

Die wichtigsten rechtlichen Grundlagen für den Schutz von Daten auf Gemeinschaftsebene sind die Richtlinie über den Schutz personenbezogener Daten vom 26. November 1995 und die Richtlinie über den Schutz personenbezogener Daten in der elektronischen Kommunikation, die am 13. Juni 2002 verabschiedet wurde. In den EU-Mitgliedstaaten schafft die Durchführung der Richtlinie über den Schutz personenbezogener Daten ein angemessenes Datenschutzniveau. Für die Übermittlung von Daten an Drittländer (Nicht-EU-Mitglieder) gelten die "Safe Harbor Principles" in den USA-EU-Beziehungen, an die sich US-Unternehmen halten können.

Zudem können bindende Unternehmensregeln oder vertragliche Regelungen im Ausland für den Datenschutz ausreichend Gewähr bieten. Für personen- und firmenbezogene Informationen (Steuern, Finanzen, Kauf, Forschung) ist neben der Erfüllung gesetzlicher Anforderungen ein Datenschutzkonzept erforderlich, um die zu sichernden Informationen vor Veränderung, unbefugtem Zugang, Mißbrauch, Verlusten etc. zu schützen.

Die Datensicherheit in diesem Sinn hat vier Ziele für die Sicherung der Informationsverarbeitungsprozesse (IV-Prozesse) (siehe auch unter anderem auch unter anderem unter anderem bei A. Koch, A. / Koch, H. - e. 2000, s. 39): Geheimhaltung, d. h. Sicherung vor unerlaubter oder unrechtmäßiger Gewinnung, Nutzung und Weitergabe von Daten; Unversehrtheit, d. h. Sicherung vor unerlaubter Veränderung von Daten; Zuverlässigkeit, d. h. Zusammenspiel von Technik und Nutzer und Garantie der Bindekraft ("Partnersicherheit, Zurechenbarkeit").

Diesen Zielen tragen auch die sogenannten "8 Gebote" Rechnung, die als Anhang zu 9 S. 1 BDSG am Ende des BDSG als technisch-organisatorische Maßnahme zur Sicherung eines guten Datengeheimnisses zu sehen sind. Inzwischen hat sich die Anerkennung etabliert, dass Datensicherheit und Datensicherheit nicht nur ein notwendiger Missstand, sondern auch ein Qualitätsvorsprung sind (Büllesbach, A. 1997, S. 239 ff.).

Dies kann jedoch nicht allein durch den Gebrauch einfacher Passwort-Lösungen garantiert werden; angesichts der immer größeren Datenmengen und der wachsenden Systemkomplexität ist ein integriertes und ganzheitliches Sicherheitsmanagement erforderlich. Für die Definition eines solchen Sicherheitskonzeptes müssen neben den genannten rechtlichen Anforderungen diverse Aspekte wie z. B. sicherheitstechnische Ziele (siehe z. B. die unter I. genannten Ziele), das bestehende Sicherheits-Budget, eine exakte Gefährdungs- und Gefährdungsanalyse nach Gegenständen und eventuellen Schadensauswirkungen sowie ein koordiniertes System von Maßnahmen und Kontrollen errechnet werden.

Solche Sicherheitslücken sind ein mögliches Angriffsziel für Gefahren, die Gegenstände von außerhalb betreffen, wie z.B. die Manipulation von Software durch Computer-Viren, aber auch für Fehleingaben von Daten. Beispiele für IT-Bedrohungen im Bereich E-Business sind die Fehlinstallation oder Fehlkonfiguration von Anwendungen, der Gebrauch von Fernwartungs- und Remote-Zugriffsprogrammen, die einen schnellen Zugriff auf Root-Rechte ermöglichen, und Websites, die nicht mit Blick auf die Sicherheit entwickelt wurden (z.B. gefährdete CGI-Programme).

Datensicherungsmaßnahmen sollen den Gefährdungen und Gefährdungen der IV begegnen und den Schaden durch ihre konzeptuelle Integration mindern. Die Sicherheit der sensiblen Informationen ist ausreichend, wenn alle ergriffenen Massnahmen einen effektiven Werterhalt gewährleisten. 9 S. 1 BDSG schreibt vor, dass die interne Organisationsstruktur so gestaltet sein muss, dass sie den speziellen Erfordernissen des Datenschutzes und der Datensicherheit entspricht.

Ausführlich werden 8 Massnahmen (die sogenannten " 8 Datenschutzbestimmungen ") genannt: Dabei sind die individuellen Gefahrenarten (unberechtigter Zugriff, unberechtigte Verwendung, unberechtigte Datenübertragung, etc.) sehr umfassend und können hier nicht beschrieben werden (zur Orientierung vgl. dazu die Ausführungen im Abschnitt A. Koch, H.-D. 2000, S. 123 - 143, 152 - 164).

Beispiele sind Benutzeridentifizierung, kryptographische Massnahmen und Datensicherungen. Zur ordnungsgemäßen Datenbearbeitung gehört, dass nach dem "Need-to-know-Prinzip" das Wissen über gewisse Prozesse in einem Betrieb nicht gleichmäßig und in gleicher Weise zwischen allen Beteiligten geteilt werden kann, sondern dass entsprechende definierte Kompetenzbereiche innerhalb des Unternehmens auch als definierte Bereiche des Informationszugangs existieren. Durch die Benutzeridentifizierung können nur autorisierte Benutzer auf Informationen und Programmangebote zugreifen.

Eine dieser Prozeduren ist das "Zero Knowledge Proof"-Verfahren, das auch für die Vollständigkeitsprüfung (z.B. Checkbit) verwendet wird. dass das Kennwort eine genügende minimale Länge hat (4 Stellen sind nicht ausreichend), die Auswahl des Kennworts bestimmte Voraussetzungen erfüllt (keine Zusammenstellung der personenbezogenen Angaben des Nutzers wie Nickname, Geburtsdatum oder anderes Datum; keine identischen Stellen neben einander; enthält eine Zeichenkombination aus Ziffern und Buchstaben), die Benutzeridentifikation nach dreimaliger, falscher Kennworteingabe blockiert wird, eine automatisierte Erfassung der Kennworteingabe zu Steuerungszwecken stattfindet, eine regelmäßige Kennwortänderung forciert wird, das Kennwort versteckt werden kann etc.

a. Das Einhalten solcher Vorschriften vermeidet, dass Kennwörter durch Zufälle und durch besondere Hilfsprogramme, sogenannte Passwort-Cracker, gefährdet werden können. Solche Software ist über das Netz kostenlos erhältlich; für Windows NT z.B. für das Programm LopphtCrack oder für das Programm selbst. Die meisten dieser Anwendungen sind äußerst leistungsstark. Eine wichtige Maßnahme zum Schutz vor unbefugter Datenverwendung ist die kryptographische Verfahrensschlüssel.

Es wird zwischen asymmetrischer, symmetrischer und hybrider Methode unterschieden. Symmetrische Prozeduren verschlüsseln und entschlüsseln die sensiblen Informationen mit dem selben Schlüssels. Die asymetrische Methode ordnet jedem Benutzer einen Geheimschlüssel und einen Public Key zu. Die Veröffentlichung des Public Keys erfolgt in öffentlich einsehbaren Telefonbüchern oder auf der Internet-Homepage. Die hybride Methode verbindet beide Methoden und nutzt die symmetrische und unsymmetrische Chiffrierung.

Dateien und Anwendungen müssen vor Datenverlust, technischen Zerstörungen etc. geschützt werden. Dabei werden einzelne Datensätze oder der Inhalt ganzer Speichermedien auf getrennte Träger kopiert. Man unterscheidet zwischen täglichen, wöchentlichen und monatlichen Backups, mit denen die zerstörten Dateien wiederhergestellt werden. Sie müssen regelmäßig an einem externen Standort gespeichert werden.

Nach einem Schadensfall wird die Verarbeitung der Daten neu gestartet. Zusätzlich zur Konzipierung eines ganzheitlichen Datenschutz- und Sicherheitskonzepts ist die Umsetzung eines geeigneten Management erforderlich. Das Durchführen von Datenschutzaudits ist eine Möglichkeit, diese Aufgabe zu erfüllen. Gemäß 9a BDSG können Betreiber von Datenverarbeitungsanlagen und -programmen sowie Datenverarbeitungsunternehmen ihr Datensicherungskonzept sowie ihre technische Ausstattung überprüfen und die Ergebnisse publizieren.

Dieses Datenschutz-Audit (vgl. auch 21 MDStV) soll den Wettstreit um Datenschutzprodukte verbessern.

Mehr zum Thema