In diesem Material versuchen wir wichtigste Fragen zu den technischen Aspekten der Durchführung von Forderungen der Datenschutz-Grundverordnung (DS-GVO) zu beantworten. Die Situation wird dadurch erschwert, dass diese Verordnung an der Grenze des sich rasch entwickelnden und rechtlich ziemlich schwach geregelten IT-Bereichs und des Rechts der Privatpersonen auf den Datenschutz liegt.
Die Notwendigkeit von Änderungen betrifft nicht nur Verträge mit den Kunden oder Partnern, Erneuerung der Information auf der Webseite, Begrenzung des Zugriffs des Personals zu den Daten, sondern auch Modernisierung des Komplexes von IT-Ausrüstungen der Firmen. Wenn man buchstäblich das im Gesetz Geschriebene versteht, dann sollten die Firmen die IT-Infrastruktur verschaffen, die das erforderliche Niveau des Schutzes und der Kontrolle der Information sichert.
Was sollten die unternehmen, wer erst jetzt über den Aufbau der eigenen Struktur des Schutzes und der Speicherung der Information zu denken beginnt?
In erster Linie ist die Analyse der personenbezogenen Daten durchzuführen, mit denen das Unternehmen zu tun hat. Interesse stellt jegliche Information dar, die die Identifizierung einer physischen Person oder eines selbstständigen Unternehmers ermöglicht:
1. Daten, die mit den Mitarbeitern zusammenhängen. Das kann jegliche Information sein, beginnend vom Familiennamen bis zu dem Gewicht oder der Größe, der Kontonummer usw., wobei auch die Audioaufnahmen der Telefongespräche und Videoaufnahmen von den Kameras nicht ausgeschlossen werden sollten.
2. Daten, die mit den Kunden zusammenhängen. Das können Name, Geschlecht, Wohnanschrift, Kontonummer, Telefon, e-mail usw. sein.
3. Daten der Partner. Das können die Daten sowohl unmittelbar des Partners, als auch seiner Kunden sein.
4. Daten, die zusätzlichen Schutz erfordern. Zum Beispiel, Zahlungsdaten oder Ergebnisse der Untersuchungen, festgestellte Diagnose usw.
Zu den Aufgaben, die vor dem Unternehmen im Sinne der technisch-organisatorischen Maßnahmen stehen, gehören:
1. Schutz der Daten vor dem unbefugten Zugriff.
2. Speicherung in verschlüsselter Form, Schutz vor der Löschung, Änderung oder dem Kopieren.
3. Löschung der Daten nach dem Auslauf der Aufbewahrungsfrist oder auf Forderung des Inhabers der Daten.
4. Herausfinden des Datenverlusts oder des unbefugten Zugriffs zu den Daten, sowie Monitoring der Versuche des unbefugten Zugriffs.
5. Gefahrloser Informationsaustausch (VPN, geschützter elektronischer Dokumentenverkehr).
Betrachten wir näher jeden von diesen Punkten.
Schutz der Daten vor dem unbefugten Zugriff
Der Aufbau des Schutzes kann von der Suche eines hypothetischen Feindes begonnen werden. Dieser Feind kann sowohl außen, als auch innen sein. Wenn sie sich am wahrscheinlichsten den möglichen Versuch des unbefugten Zugriffs von außen ansehen (z.B. ist es ein Hacker in einem anderen Land), dann soll mehr Aufmerksamkeit dem Firewall geschenkt werden, es sind entsprechende Ausrüstungen und Software auszuwählen, und zwar ausgehend aus den möglichst wahrscheinlichen Angriffstypen, die Software soll ständig aktualisiert werden.
Wenn sie einen inneren Feind haben (z.B. einen für die Konkurrenz arbeitenden Mitarbeiter) dann soll mehr Aufmerksamkeit der inneren Infrastruktur, der Abgrenzung der Zugriffsrechte zu den Dateien, Ordnern, Scannern und Druckern geschenkt werden, man soll in diesem Falle Zwei-Faktor-Authentifizierung durch Hardwareschlüssel eToken einrichten, biometrische Scanner einführen usw.
Nicht selten sind auch kombinierte Varianten, z.B. wenn ein Mitarbeiter seinen privaten Laptop mit den schadenstiftenden Software bringt und diesen ans Computernetzwerk des Unternehmens anschließt. Durch diesen Computer können die Böswilligen personenbezogene Daten klauen. Deswegen verbieten viele Unternehmen den Anschluß von jeglichen fremden Ausrüstungen in ihren Netzwerken, was als eine einfache, aber äußerst effektive Variante des Schutzes gilt.
Das sind nur wenige Beispiele, Kombinationen und Varianten des unbefugten Zugriffs, von denen es viel mehrere gibt. Die Methoden der Vorbeugung hängen wesentlich von der Spezifik der Geschäftsführung, des Umfangs und der Art der geschützten Information ab. Auch preiswerte, aber richtig ausgewählte Schutzmittel werden wirksamer, als teure, aber nicht passende oder nicht richtig eingestellte Methoden sein.
Speicherung in verschlüsselter Form, Schutz vor der Löschung, Änderung oder dem Kopieren.
Einer der Wege der sicheren Speicherung der Information ist die Datenverschlüsselung. Das kann ein am PC, Server installiertes oder ein in den Netzwerkspeicher (NAS) eingebautes Programm sein, das anhand eines speziellen Algorithmus alle notwendigen Daten verschlüsselt. Dabei kann sichere Speicherung nicht nur am konkreten PC oder auf einer konkreten Platte, sondern auch am äußeren Träger, wie z.B. Speicherstick, CD, Diskette gesichert sein. Die Beständigkeit der Chiffre sollte mit der Geschäftsspezifik übereinstimmen.
Der Böswillige, der Information oder den physischen Träger damit (Speicherstick oder Festplatte) erhalten hat, kann die Information ohne Entschlüsselung nicht benutzen. Der Vorgang der Entschlüsselung kann sowohl durch Passwort, als auch durch viele andere Authentifizierungsmittel wie elektronischer Schlüssel, biometrische Daten usw. sanktioniert werden.
Heute stellt die Verschlüsselung der Information eine effektive Art deren Schutzes dar, die Arbeit damit schafft keine zusätzlichen Schwierigkeiten für die Mitarbeiter. Bei der Anfrage fürs Lesen oder Aufnahme entschlüsselt und verschlüsselt das Programm nur die erforderlichen Abschnitte der Speicheranlage, was keine Verzögerungen bei der Arbeit der Benutzer sichert.
Wenn die Frage mit der Sicherung der Verschlüsselung mehr oder weniger klar ist, wie steht es mit dem Schutz vor der Löschung und Änderung? Die Kontrolle der Information an den Arbeitsstationen (Computern) der Mitarbeiter ist eine nicht einfache Aufgabe. Eine der möglichen Lösungen kann zentralisierte Speicherung der geschützten Daten mit der Abgrenzung der Zugriffsrechte zu den Dokumenten sein. Es gibt viele Lösungen, die nicht nur sichere Arbeit mit den Dokumenten bei der Firma, sondern auch Registrierung aller Aktionen für Änderung, Kopieren und Löschung ermöglichen.
Eine der effektiven Schutzarten kann die Kreierung der Reservekopien von Daten sein. Die Anwendung der RAID-Technologie fürs spiegelartige Kopieren der Information an mehreren Festplatten ermöglicht den Schutz der Daten vor den Geräteproblemen. Z.B. kann beim Ausfall der Platte diese nur gegen eine neue ersetzt werden und alle Informationen werden ohne Schwierigkeiten wiederhergestellt. Unterbrechungsfreie Spannungsversorgung wird unerwartete Ausschaltung der Hardware bei der Aufnahme oder beim Lesen der Daten vorbeugen, was diese Daten vor der Beschädigung oder dem Verlust schützt. Die Benutzung der spezialisierten Software zur Kreierung der Reservekopien hilft bei der Organisation des automatischen Reservekopierens der Daten an den äußeren Trägern, was schnelle Wiederherstellung der Information nach einem Hackerangriff, Geräteausfall, der unbefugten Löschung oder Änderung ermöglicht.
Herausfinden des Datenverlusts oder des unbefugten Zugriffs zu den Daten.
Die Methoden der Schutzes vor dem unbefugten Zugriff können theoretisch in zwei Type geteilt werden: Schutz auf der Netzwerkebene und auf der Ebene vom PC, Server, NAS. Zur Unterdrückung der Angriffe im Netz werden breit IPS-Systeme (Intrusion Prevention System – System der Vorbeugung von Einbringungen) benutzt. Das System analysiert den ganzen im Netzwerk übertragenen Datenverkehr, sucht und unterdrückt die Angriffe, die Verbreitung der böswilligen Software, fixiert die Eindringungsversuche, benachrichtigt über die entsprechende Ereignisse das zuständige Personal.
Auf dem Markt gibt es ein breites Sortiment von Systemen zur Vorbeugung von Eindringungen: von den in den Router integrierten Programmen bis zu einzelnen Soft- und Hardwarekomplexen.
Software für den PC, Server, NAS kann auch alle unbefugten Operationen vorbeugen oder fixieren, erforderliche Maßnahmen, darunter die Isolation aller Daten vor der Untersuchung, treffen.
Sicherer Informationsaustausch
Fast jedes Unternehmen oder fast jeder Unternehmer hat eigene Geschäftspartner. Täglich erfolgt mehrfacher Informationsaustausch. Z.B. beim Drucken der elektronischen Briefmarke für den Versand eines Pakets an den Verbraucher denken nicht viele daran, dass sie personenbezogene Daten an ein drittes Unternehmen überreicht haben.
Bei dem Datenaustausch soll der Zugriff zur Information seitens der Fremden verhindert werden, wobei entsprechende Schutzmittel angewandt werden sollen. Z.B. soll man beim Ausfüllen von Web-Formularen auf den Webseiten sich davon überzeugen, dass die Verbindung nach dem HTTPS-Protokoll erfolgt, und das Zertifikat der Webseite gültig ist. Diese einfache Maßnahme wird sowohl das Abhören der Information, als auch die Fälschung der Webseite seitens der Böswilligen vorbeugen.
Man soll auch über die Notwendigkeit der Fixierung solcher Handlung, wie die Eintragung ins entsprechende Buch des Unternehmens nicht vergessen. Bei der Benutzung des geschützten Dokumentenverkehrs kann das Zusammenwirken zwischen den Partnern vereinfacht werden und nicht nur gefahrlos den Datenaustausch durchführen, sondern auch automatisch das komplette Register von Dokumenten führen. Wenn der Datenaustausch bedeutend ist, dann hat es Sinn geschütztes Kommunikationskanal zwischen den Unternehmen unter Benutzung der VPN (Virtual Private Network) Technologie zu machen; anhand von VPN ist dann der innere Dateienaustausch, das Drucken der Daten zu organisieren, und zwar dies alles unter Anwendung der Verschlüsselung. Diese Technologie wird auch bei der Organisation der entfernten Arbeitsplätze unter Einhaltung der Regeln für Datenschutz, darunter bei den Stimmverhandlungen nützlich sein.
Über die Schutzmethoden sind viele Briefe geschrieben, führende Universitäten brauchen mehrere Jahre, um die Spezialisten auf diesem Gebiet vorzubereiten. Deswegen ist es wichtig zu verstehen, dass der Aufbau der Sicherheitssysteme am besten in die Hände von Fachleuten überreicht werden soll, insbesondere in den Fällen, wenn die Information auch für Dritte wert ist. Nur ein Fachmann kann gestützt auf die Erfahrungen und Spezifik ihres Geschäfts die effektivsten Mittel zur Sicherung und Beständigkeit ihrer Daten wählen. Die richtig ausgewählten Maßnahmen, die mit der Situation bei der Firma übereinstimmen, ermöglichen nicht nur Erfüllung der gesetzlichen Forderungen, sondern auch den Schutz des Geschäfts von den finanziellen Verlusten und dem Reputationsaufwand.