Technische
Datenschutzkonzepte

Gespeicherte Daten können im Unternehmensalltag verloren gehen. Gründe hierfür können das Versagen der Hard- oder Software, das unabsichtliche Löschen durch Mitarbeiter oder das Verändern der Daten durch Mitarbeiter oder durch Dritte sein.

Mit Hilfe einer Datensicherung soll ein redundanter Datenbestand geschaffen werden, der es ermöglicht, den Betrieb kurzfristig wieder aufzunehmen, falls operative Datenbestände verloren gehen sollten. Die Wiederaufnahme des Betriebes soll das Ziel der Planung der Datensicherung sein. Das Konzept soll aus diesem Grund die Vorgehensweise der Datensicherung organisieren.

Eine effektive Datensicherung kann die Integrität und Verfügbarkeit von sowohl personenbezogenen Daten als auch für das Unternehmen wertvollen Daten gewährleisten. Außerdem schafft sie die Fähigkeit, die Verfügbarkeit der Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.

Überwachungskameras sind in der modernen Gesellschaft nichts Besonderes mehr. Sie sind aus dem alltäglichen Leben nicht mehr wegzudenken. Nahezu überall werden sie eingesetzt, zum Beispiel im öffentlichen Raum oder in Geschäftsräumen. Überwachungskameras können zwar keine Straftaten verhindern, häufig helfen sie jedoch bei der Aufklärung hiervon und der Rekonstruktion des Tathergangs. Zudem können auch andere Ereignisse aufgezeichnet und ausgewertet werden. Zum Beispiel kann überwacht und nachvollzogen werden, wer zu welchem Zeitpunkt in bestimmten Räumen war und damit Zugriff auf bestimmte Daten hatte.

Mit der stetigen Digitalisierung bieten sich zudem neue Einsatzmöglichkeiten und wird die visuelle Überwachung immer erschwinglicher. Auch für Unternehmen wird der Einsatz von Überwachungskameras auf Grund solcher Faktoren immer attraktiver. Der Einsatz kann jedoch einen erheblichen Eingriff in die Privatsphäre der durch sie erfassten Personen darstellen. Aus diesem Grund sind einige Vorschriften zu beachten und sollte die visuelle Überwachung lediglich dort eingesetzt werden, wo sie einen legitimen Zweck erfüllt. Die Einrichtung einer visuellen Überwachung sollte daher gut durchdacht, konzipiert und dokumentiert sein.

Das visuelle Überwachungskonzept soll helfen, einen Überblick über die Art und Weise des Einsatzes von Überwachungskameras sowie die damit verbundenen Regelungen zu verschaffen bzw. zu wahren und einen datenschutzrechtlich konformen Einsatz ermöglichen. In diesem Konzept wird davon ausgegangen, dass die Videoaufzeichnungen der Überwachungskameras als personenbezogene Daten zu qualifizieren sind.

Die Relevanz der IT-Infrastruktur nimmt in Unternehmen stetig zu. Zudem stellt der Gesetzgeber mehr Anforderungen an die Sicherheit der IT, wie zum Beispiel der europäische Gesetzgeber im Zuge des Datenschutzes. Allerdings ist die Sicherheit ihrer IT-Infrastruktur für Unternehmen nicht nur interessant, um die gesetzlichen Vorgaben zu erfüllen, sondern auch um einen geordneten und reibungslosen Geschäftsprozess zu garantieren. Ein effektives Krypto-Konzept kann das IT-System widerstandsfähig gegen Manipulation und unbefugtes Lesen machen. Es kann sowohl die Vertraulichkeit, Integrität, Authentizität und Verbindlichkeit von sowohl personenbezogenen Daten als auch für das Unternehmen wertvollen Daten gewährleisten.

Die Vielfalt kryptographischer Problemstellungen und unterschiedlicher, komplexer Einflussfaktoren bieten vielfältige Lösungsmöglichkeiten. Aus diesem Grund gibt es auch nicht die eine Lösung, die eine allumfassende Sicherheit der IT-Systeme garantieren kann. Es ist die Kombination der Komponenten, die im Endeffekt das gewünschte Sicherheitsniveau garantieren kann. Darum ist es wichtig ein Krypto-Konzept zu erstellen und dieses zudem im allgemeinen Sicherheitskonzept zu integrieren. Das Konzept regelt dann unter anderem die Auswahl geeigneter kryptographischer Komponenten.

Genauso wie mithilfe eines Berechtigungskonzeptes sichergestellt werden muss, dass nicht jeder Person im Unternehmen auf jegliche Daten und Anwendungen im IT-Netzwerk zugreifen kann, muss sichergestellt sein, dass nicht jede Person im Unternehmen zu jeglichen Räumen Zutritt hat. Ansonsten wären die Integrität und Vertraulichkeit der Daten und Systeme nicht zu gewährleisten, da auch unberechtigte Personen Zutritt zu Räumen und so prinzipiell auch Zugang zu Daten erlangen können, die nicht für sie bestimmt sind. Und als wäre dieses Risiko nicht schon groß genug, besteht ohne Übersicht die Gefahr, dass ein Integritäts-, Vertraulichkeits- oder Vollverlust von personenbezogenen oder betriebsgeheimen Daten zu spät oder überhaupt nicht bemerkt wird.

Um eine aktuelle und detaillierte Übersicht darüber zu gewährleisten, wer zu welchen Räumen und Abschnitten im Unternehmen Zutritt hat und die strukturierte Vergabe von Zutrittsrechten an dafür bestimmte und befugte Personen sicherzustellen, wird die Verteilung der Zutrittsrechte anhand dieses Konzeptes durchgeführt.

Hierdurch soll verhindert werden, dass trotz einer Vielzahl an Sicherheitsmaßnahmen, wie Alarmanlagen oder Wachdiensten, die eingesetzt werden, um externe Angriffe abzuwehren, das Unternehmen intern ungeschützt und verwundbar ist.

Dieses Zutrittsregelungskonzept strebt eine zentral-verwaltete und rollenbasierte Zutrittsregelung an.

Im Endeffekt soll mit Hilfe dieses Konzeptes die Integrität und Vertraulichkeit von sowohl personenbezogenen Daten als auch für das Unternehmen wertvollen Daten gewährleistet werden.

Eine Firewall ist eine Kombination aus Hard- und Software beziehungsweise eine Software auf einem Rechner, die die Datenübertragung eines Computernetzwerkes kontrolliert. Hierzu werden Regeln vorgegeben, die festlegen, welche Daten übertragen werden dürfen und welche nicht. So soll die Firewall nichtautorisierte Zugriffe auf das Netzwerk verhindern, autorisierte Zugriffe jedoch zulassen. Firewalls befinden sich an den Schnittstellen zwischen den verschiedenen Netzen oder Computersystemen und kontrollieren den Datenverkehr zwischen den Teilbereichen. Diese Teilbereiche können zum Beispiel ein privates Netzwerk und das Internet oder auch einzelne Subnetze innerhalb eines privaten Netzwerks sein (z.B. sehr schutzbedürftige Teile eines Unternehmens).

Zweck des Firewall-Konzeptes ist die umfassende Dokumentation der im Unternehmen geltenden Regelung, getroffenen Maßnahmen und eingesetzten Hard- und Software bezüglich einer Firewall. Gegenüber Dritten weist es außerdem nach, dass die gesetzlich geforderte Fähigkeit, Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sichergestellt ist.

Ein Intrusion Detection System (englisch intrusion „Eindringen“, IDS) bzw. Angrifferkennungssystem ist ein System zur Erkennung von Angriffen, die gegen ein Computersystem oder Rechnernetz gerichtet sind. Das IDS kann eine Firewall ergänzen oder auch direkt auf dem zu überwachenden Computersystem laufen und so die Sicherheit von Netzwerken und Computersystemen erhöhen. Erkannte Angriffe werden meistens aufgesammelt in Log-Dateien und dem Benutzer oder Administrator mitgeteilt. Hier grenzt sich der Begriff von Intrusion Prevention System (englisch prevention „Verhindern“, IPS) ab, welches ein System beschreibt, das Angriffe automatisiert und aktiv verhindert.

Zweck des IDS- bzw. IPS-Konzeptes ist die umfassende Dokumentation der im Unternehmen geltenden Regelung, getroffenen Maßnahmen und eingesetzten Systeme zur Intrusion Detection (Angriffserkennung) und zur Intrusion Prevention (Angriffsabwehr). Gegenüber Dritten weist es außerdem die Fähigkeit nach, dass die gesetzlich geforderte Vertraulichkeit, Integrität und Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sichergestellt ist.

Schadprogramme sind Programme, die in der Regel ohne Wissen und Einwilligung des Benutzers schädliche Funktionen auf einem IT-System ausführen. Diese Schadfunktionen können ein breites Feld abdecken, das von Spionage über Erpressung (sogenannte Ransomware) bis hin zur Sabotage und Zerstörung von Informationen oder gar Geräten reicht.

Schadprogramme können grundsätzlich auf allen Betriebssystemen und IT-Systemen ausgeführt werden. Dazu gehören neben klassischen IT-Systemen wie Clients und Servern auch mobile Geräte wie Smartphones, Tablets und Festnetztelefone. Netzkomponenten, wie Router, Industriesteuerungsanlagen, und sogar IoT-Geräte, wie vernetzte Kameras, sind heutzutage ebenfalls vielfach durch Schadprogramme gefährdet.

Schadprogramme verbreiten sich auf klassischen IT-Systemen zumeist über E-Mail-Anhänge, manipulierte Webseiten (Drive-by-Downloads) oder Datenträger. Smartphones werden in der Regel über die Installation von schädlichen Apps infiziert, auch Drive-by-Downloads sind möglich. Darüber hinaus sind offene Netzschnittstellen, fehlerhafte Konfigurationen und Softwareschwachstellen häufige Einfallstore auf allen IT-Systemen.