Inhaltsübersicht I. Datensicherheit und Datenschutz II. Erarbeitung eines IV-Sicherheitskonzepts III. Datenschutz- und IV-Sicherheitscontrolling I. Datensicherheit und Datenschutz Der Begriff „ Datenschutz “ ist wesentlich konkretisiert worden durch das Volkszählungsurteil des Bundesverfassungsgerichts vom 15. Dezember 1983. Hierin hat das Gericht das sog. „ Recht auf informationelle Selbstbestimmung “ entwickelt, nach dem jedem Bürger die Befugnis zusteht, grundsätzlich selbst über die Preisgabe und Verwendung seiner Daten zu bestimmen. Es schützt jeden Einzelnen vor unbegrenzter Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten. Dem entspricht auch die Feststellung des Bundesverfassungsgerichts, dass in das Recht auf informationelle Selbstbestimmung nur auf der Grundlage eines verfassungsgemäßen Gesetzes eingegriffen werden darf. Datenschutz beschränkt sich nicht nur auf den Schutz vor Missbrauch persönlicher Daten, sondern beinhaltet auch den Schutz der Persönlichkeit, deren Daten Gegenstand der Datenverarbeitung sind. Gegenstand des Datenschutzes ist also nicht nur die Verhinderung vorwerfbaren Fehlverhaltens. Es umfasst gerade auch den rechtmäßigen Umgang mit personenbezogenen Daten. Neben dieser grundlegenden Bestimmung des Datenschutzbegriffs ist Datenschutzrecht in Deutschland allerdings umfassend in mehreren sektor- und bereichsspezifischen Regelungen kodifiziert. Wichtigstes nationales Gesetz ist dabei das Bundesdatenschutzgesetz (BDSG). Der Geltungsbereich des BDSG umfasst die Erhebung, Verarbeitung (Speichern, Verändern, Übermitteln, Sperren und Löschen von Daten) und Nutzung personenbezogener Daten durch öffentliche Stellen des Bundes (für öffentliche Stellen der Länder gelten die Landesdatenschutzgesetze) und nicht-öffentliche Stellen, soweit sie die Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten oder nutzen oder in oder aus Dateien geschäftsmäßig oder für berufliche oder gewerbliche Zwecke verarbeiten oder nutzen; das gilt nicht, wenn die Erhebung, Verarbeitung oder Nutzung der Daten ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt. Nach § 3 I BDSG sind personenbezogene Daten dabei Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Kurz erwähnt seien noch weitere zentrale Begriffe aus dem BDSG: der Begriff der automatisierten Verarbeitung, der Datei, der verantwortlichen Stelle und der Zweckbindungsgrundsatz. Kriterien für die Anwendung des BDSG sind die automatisierte Erhebung, Verarbeitung und Nutzung personenbezogener Daten sowie die nicht-automatisierte Verarbeitung in Dateien. Der Zweckbindungsgrundsatz lässt sich in mehreren Bestimmungen des BDSG wiederfinden und besagt beispielsweise im Kundenverhältnis, dass ein Speichern oder Nutzen personenbezogener Daten zulässig ist, wenn dies zur Zweckbestimmung des Vertragsverhältnisses mit dem Betroffenen gehört (etwa zur Abwicklung eines Kundenauftrages). Auch die Übermittlung von personenbezogenen Daten an Dritte richtet sich nach diesem Grundsatz. Jedoch ist zu beachten, dass das BDSG nur für personenbezogene Daten natürlicher Personen und nicht für Daten über juristische Personen und sonstige Personengemeinschaften gilt. Für sie gelten die schon angesprochenen Sonderregeln, etwa aus dem BGB, der Gewerbeordnung, dem Gesellschafts- oder Wettbewerbsrecht, aber auch insbesondere dem medien- und telekommunikationsrechtlichen Sektor. Bedeutsame Bestimmungen finden sich hier im Teledienstegesetz (TDG), Teledienstedatenschutzgesetz (TDDSG), im Staatsvertrag über Mediendienste (MDStV), Telekommunikationsgesetz (TKG), Gesetz gegen den unlauteren Wettbewerb (UWG) und in Verordnungen wie der Telekommunikationsüberwachungs-Verordnung (TKÜV). TDG und TDDSG – als Teile des 1997 verabschiedeten Informations- und Kommunikationsdienstegesetzes (IuKDG) – gelten für Anbieter von Telediensten zur individuellen Nutzung; sie enthalten Regeln zur Anbieterkennzeichnung, ein Kopplungsverbot zur Verhinderung der Ausnutzung einer Monopolstellung auf dem Gebiet der Datengewinnung und positivieren den Grundsatz der Datensparsamkeit und -vermeidung sowie erneut das Zweckbindungsprinzip. Der MDStV, der zeitgleich mit dem IuKDG zum 1. August 1997 in Kraft getreten und zuletzt am 20. Dezember 2001 geändert worden ist, enthält Datenschutzregelungen für Unternehmen, die Informations- und Kommunikationsdienste als Verteil- und Abrufdienste an die Allgemeinheit anbieten. Regelungsziel des TKG dagegen ist der technische Vorgang der Telekommunikation; es enthält sowohl Voraussetzungen zur Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten als auch u.a. ein Koppelungsverbot. Auf europäischer Ebene lassen sich als wichtigste Rechtsgrundlagen zum Datenschutz die Datenschutzrichtlinie vom 24. Oktober 1995 sowie die Datenschutzrichtlinie für elektronische Kommunikation vom 12. Juli 2002 nennen. Innerhalb der EU-Mitgliedstaaten ist mit der Umsetzung der Datenschutzrichtlinie ein angemessener Datenschutzstandard hergestellt. Hinsichtlich der Datenübermittlung an Drittstaaten (Nicht EU-Mitglieder) gibt es im Verhältnis USA-EU die „ Safe-Harbor-Principles “ , denen sich US-amerikanische Unternehmen anschließen können. Darüber hinaus können im internationalen Bereich Unternehmen durch verbindliche Selbstregulierung (binding corporate rules) oder Vertragsklauseln ausreichende Datenschutzgarantien schaffen. Sowohl für personenbezogene als auch für unternehmensbezogene Daten (Steuer, Finanz, Einkauf, Forschung) bedarf es neben der Einhaltung rechtlicher Voraussetzungen insbesondere eines Datensicherheitskonzeptes zur Sicherung der zu schützenden Daten vor Manipulation, unberechtigtem Zugriff, Missbrauch, Verlust etc. Datensicherheit in diesem Sinne hat vier klassische Ziele für die Sicherheit von Informationsverarbeitungs-Prozessen (IV-Prozesse) zu gewährleisten (vgl. Dworatschek, S./Büllesbach, A./Koch, H.-D.  2000, S. 39): - Vertraulichkeit, d.h. Schutz vor unberechtigtem oder rechtswidrigem Informationsgewinn, -nutzung und -weitergabe; - Integrität, d.h. Schutz vor unbefugter Modifikation von Informationen; - Verfügbarkeit, d.h. Schutz vor unbefugter oder ungewollter Beeinträchtigung der Funktionalität und - Verlässlichkeit, d.h. Zusammenwirken von technischem System und Anwender sowie Gewährleistung der Verbindlichkeit (Partnergewissheit, Zurechenbarkeit). Diese Ziele werden auch von den sog. „ 8 Geboten “ berücksichtigt, die sich als Anlage zu § 9 Satz 1 BDSG am Ende des BDSG als technisch-organisatorische Maßnahmen zur Gewährleistung eines fundierten Datenschutzes finden lassen. Auf sie ist noch näher einzugehen. II. Erarbeitung eines IV-Sicherheitskonzepts 1. Grundpfeiler: Integriertes Datenschutz- und IV-Sicherheitskonzept In der Entwicklung der Arbeitswelt in den letzten Jahren ging der Trend klar weg von der PC-Nutzung im stand-alone Betrieb hin zum Zusammenschluss von leistungsfähigen Rechnern in vielfältigen Netzen, seien es globale wie das Internet oder lokale wie unternehmensinterne Intranets. Geschäftsprozesse werden technisch optimiert und mit Rechnernetzen verbunden, um Abläufe wettbewerbsorientiert effizienter verknüpfen zu können. Auch neue Anwendungen im Bereich des elektronischen Handels, sowohl zwischen Privat- als auch Geschäftskunden, erfordern technische Kompatibilität, die durch die Entwicklung von Standardisierungen, Schnittstellenprotokollen und Normierungen hergestellt werden muss. Leistet eine gut organisierte Informationsverarbeitung also einen wesentlichen Beitrag zur Wettbewerbsfähigkeit eines Unternehmens, müssen andererseits die mit den skizzierten Entwicklungen ebenfalls verbundenen Gefährdungen für die zu verarbeitenden Informationen gemeistert werden. Die Erkenntnis, Datenschutz und Datensicherheit nicht lediglich als notwendiges Übel, sondern auch als Qualitätsvorteil anzusehen, hat sich mittlerweile durchgesetzt (Büllesbach, A.  1997, S. 239 ff.). Gewährleistet werden kann dies allerdings nicht mit dem alleinigen Einsatz simpler Passwortlösungen, vielmehr bedarf es angesichts der Verarbeitung immer größerer Informationsmengen sowie wachsender Komplexität der eingesetzten Systeme eines integrierten und ganzheitlichen Sicherheitsmanagements. Bei der Festlegung eines derartigen Sicherheitskonzepts müssen neben den angesprochenen, gesetzlichen Vorgaben verschiedene Faktoren wie Sicherheitsziele (vgl. etwa die unter I. erwähnten Ziele), das vorhandene Sicherheitsbudget, eine genaue Gefahren- und Risikoanalyse nach Objekten und möglichen Schadenswirkungen sowie ein abgestimmtes Maßnahmen- und Kontrollsystem erarbeitet werden. Sehr empfehlenswert ist es, zur Erarbeitung eines IV-Sicherheitskonzepts Checklisten einschlägiger Institutionen heranzuziehen (vgl. beispielhaft: BSI, IT-Grundschutzhandbuch). Grob skizziert könnte das Vorgehen zur Erarbeitung eines IV-Sicherheitskonzepts sich an folgendem Arbeitsablauf orientieren: - Evaluierung des gegenwärtigen Standes der IV-Sicherheit, Auswahl der zu verbessernden Einheit und Festsetzung eines Zeitplanes - Risiko- und Schutzbedarfsanalyse sowie anschließende Risikobewertung - Daran anschließende Erstellung eines IV-Sicherheitskonzepts mit Maßnahmenvorschlägen - Realisierung durch Projektteams - Fortwährende Überprüfung und Weiterentwicklung. 2. Gefahren- und Risikoanalyse Dem Ergebnis einer europaweiten Befragung von Führungskräften von Produktionsunternehmen zufolge sehen bei Ausfall des eigenen Rechenzentrums zwar immerhin 48% die Chance, noch einige Tage weiterzuarbeiten, 16% jedoch könnten nur noch wenige Stunden produzieren. Bei Banken ergaben Untersuchungen eine Überlebensfähigkeit nach einem Totalausfall des Rechenzentrums von 2 Tagen, beim Handel 2,5 Tage und bei Versicherungen 5,5 Tage. Derartige Szenarien sind für die betroffenen Unternehmen bekanntermaßen nicht nur ökonomisch desaströs, sondern auch höchst imageschädigend; ihre Eintrittswahrscheinlichkeit lässt sich jedoch mit einer konsequenten Analyse der Schwachstellen des Systems und den Risiken eines Ausfalls mit sich anschließenden Maßnahmen minimieren. Komponenten einer Analyse können abstrakt in ein begriffliches Beziehungsgeflecht gebracht werden. Eine Analyse beginnt mit der Suche nach (möglicherweise versteckten) Schwachstellen eines IV-Systems, etwa fehlendem Zugriffsschutz oder programmimmanenten Fehlern. Derartige Schwachstellen sind ein möglicher Angriffspunkt für Bedrohungen, die von außen auf Objekte einwirken; dazu zählen z.B. Softwaremanipulationen durch Computerviren, aber auch falsche Dateneingaben. Von Objekten mit Schwachstellen, die Bedrohungen ausgesetzt sind, gehen Gefahren aus, deren Grad sich wiederum mit Hilfe der Kriterien „ erwartete Schadenshöhe “ und „ Eintrittswahrscheinlichkeit “ einschätzen lässt. Hieraus leitet sich das Risiko bzw. dessen Höhe ab. Bei einem entsprechenden Ereignis kann sich ein Risiko in einem Schaden realisieren, z.B. Ausfall der IV-Anlage, Imageverlust, Wettbewerbsnachteile etc. Als informationstechnische Bedrohungen des e-business seien z.B. erwähnt die fehlerhafte Installation oder die Misskonfiguration von Programmen, der Einsatz von Fernwartungs- und Fernzugriffsprogrammen, mittels derer schnell Root-Rechte erlangt werden können sowie Webseiten, die nicht unter sicherheitstechnischen Aspekten programmiert wurden (z.B. verwundbare CGI Programme). Gefahren können sich aus Natur und Umwelt (z.B. Feuer, Wasser, Sturm, Blitz; Störung der Energieversorgung, Chemieunfälle etc.), durch den Menschen (unabsichtliche/absichtliche Handlungen), aus der Organisation (mangelhafte Sicherheitsrichtlinien, unzureichende Schulung von Mitarbeitern, fehlende Verantwortungszuordnung) sowie aus der Technik (Hard- und Software, Infrastruktur, Kommunikationsnetze) ergeben. Ein weites Feld für umfangreiche Gefährdungen, das angesichts zahlreicher, bekannt gewordener Fälle ( „ I love You “ -Virus; Kompromittierung von EC- und Kreditkarenrechnern; Phishing; Spam) in den letzten Jahren zunehmend an Brisanz gewonnen hat, ist das Vorgehen von Hackern. Gängige Hackermethoden sind der Einsatz von destruktiven Programmen wie E-Mail-Bomben, Denial-of-Service-Attacken oder Computerviren, von trojanischen Pferden, Sniffer-Programmen o.Ä. Eine eingehende Erörterung muss jedoch der Spezialliteratur vorbehalten bleiben (Anonymous,  1999). 3. Maßnahmen zur Schaffung von IV-Sicherheit Datensicherheitsmaßnahmen sollen Gefahren und Risiken der IV entgegenwirken und durch deren konzeptionelle Einbindung Schäden minimieren. Neben personellen, organisatorischen und IV-technischen Maßnahmen sind auch infrastrukturelle (bauliche und technische) Maßnahmen erforderlich. Hinreichend sicher sind Daten dann, wenn die Gesamtheit aller getroffenen Maßnahmen einen wirksamen Schutz gegen Beeinträchtigungen gewährleistet. Das BDSG sieht in § 9 Satz 1 vor, dass die innerbetriebliche Organisation so zu gestalten ist, dass sie den besonderen Anforderungen von Datenschutz und Datensicherheit gerecht wird. Im Einzelnen werden 8 Maßnahmen (die sog. „ 8 Gebote der Datensicherheit “ ) genannt: - Zutrittskontrolle, - Zugangskontrolle, - Zugriffskontrolle, - Weitergabekontrolle, - Eingabekontrolle, - Auftragskontrolle, - Verfügbarkeitskontrolle, - Trennungsgebot. Diese 8 Gebote sind nicht überschneidungsfrei und verlangen ein abgestimmtes Gesamtkonzept. Die Ausweitung des Anwenderkreises, die Dezentralisierug der Geräte, die Differenzierung von Betriebssystemen (Windowsversionen, Unix, Linux etc.) und die Vielfalt von Applikationen verlagern die Gefährdung in viele dezentrale Organisationsstellen (Filialen, Abteilungen, Arbeitsgruppen, Projekte), die das Sicherheitskonzept miteinzubeziehen hat. Zur Gewährleistung von Sicherheitsfunktionen in Verbundnetzen werden sog. Firewallsysteme im Rahmen eines Sicherheitsmanagements eingesetzt; ihr Ziel ist es, sowohl vor unberechtigtem Netzzugang als auch vor unberechtigtem Zugang zu Anwendungen zu schützen. Die einzelnen Gefährdungsarten (unberechtigter Zugang, unzulässige Nutzung, unzulässige Datenweitergabe etc.) zuzuordnenden Maßnahmen sind sehr umfangreich und können hier nicht dargestellt werden (als Orientierungshilfe siehe Dworatschek, S./Büllesbach, A./Koch, H.-D.  2000, S. 123 – 143, 152 – 164). Beispielhaft seien Benutzeridentifikation, kryptografische Maßnahmen und Datensicherung (Back-up) aufgegriffen. Eine ordnungsgemäße Datenverarbeitung erfordert es, dass gemäß dem „ Need-to-know-Prinzip “ Wissen über bestimmte Vorgänge in einem Unternehmen nicht allen Personen gleichermaßen und in gleichem Umfang zukommen kann, sondern entsprechend abgegrenzten Kompetenzbereichen im Unternehmen auch abgegrenzte Informationszugangsbereiche bestehen. Die Maßnahme der Benutzeridentifikation ermöglicht es dazu, dass nur berechtigte Personen auf Daten und Programme zugreifen können. Hierfür müssen die Benutzer durch Prüfen von Merkmalen sicher identifiziert werden, - die sie bei sich tragen (z.B. Chipkarte, Schlüssel), - die sie an sich haben (z.B. Stimme, Fingerabdruck, Hand- und Gesichtsform, Unterschrift, digitale Signatur) oder - die sie wissen (z.B. Passwort, Zahlenkombination). Üblicherweise ist eine authentisierende Prüfung mittels Passwort oder Codezahl vorgesehen. Dabei wird die Codezahl von dem Benutzer nach einer lediglich ihm bekannten Systematik aus Zufallszahlen errechnet, die der Rechner vorgibt. Ein derartiges Verfahren ist etwa das „ Zero-Knowledge-Proof “ -Verfahren; solche Verfahren werden auch zur Vollständigkeitskontrolle (z.B. Prüfbit) eingesetzt. Benutzeridentifikation mit Hilfe eines Passworts ist sehr verschiedentlich denkbar. Wichtig für den Einsatz von Passwörtern ist allerdings die sorgfältige Einhaltung von bestimmten Kriterien bei der Organisation, Vergabe und Anwendung von Passwörtern. Es sollten also Passwortrichtlinien erarbeitet werden, die beispielsweise berücksichtigen, dass - das Passwort eine ausreichende Mindestlänge hat (4 Zeichen sind nicht ausreichend), - die Wahl des Passwortes bestimmten Anforderungen genügt (keine Zusammensetzung aus persönlichen Daten des Benutzers wie Spitzname, Geburts- oder andere Datumsangabe; keine gleichen Zeichen nebeneinander; eine Kombination aus Buchstaben und Zahlen beinhaltet), - nach dreifacher, fehlerhafter Passworteingabe die Benutzerkennung gesperrt wird, - eine automatische Protokollierung von Passworteingaben zu Kontrollzwecken erfolgt, - ein regelmäßiger Passwortwechsel erzwungen wird, - das Passwort verdeckt eingegeben werden kann u.a. Die Einhaltung derartiger Regeln verhindert, dass per Zufall und durch spezielle Programme, sog. Passwort-Knacker, Passwörter kompromittiert werden können. Programme dieser Art sind frei verfügbar über das Internet abrufbar; Beispiele für Windows NT beinhalten u.a. LOphtCrack oder NTCrack. Viele dieser Programme sind extrem leistungsfähig. Im Internet wird das Knacken von Passworten inzwischen auch als kommerzielle Dienstleistung angeboten. Ein wichtiges Mittel des Schutzes vor unberechtigter Datennutzung ist die Verschlüsselung durch kryptografische Verfahren. Besondere Bedeutung hat der Einsatz von Kryptografie bei der Übermittlung von vertraulichen Informationen über unsichere Netze wie das Internet; aber auch bei der Speicherung auf lokalen Rechnern kann durch Verschlüsselungsverfahren die Vertraulichkeit sichergestellt werden. Man unterscheidet zwischen asymmetrischen, symmetrischen und hybriden Verfahren. Bei symmetrischen Verfahren werden die Daten mit dem gleichen Schlüssel verschlüsselt und entschlüsselt. Das asymmetrische Verfahren hingegen weist jedem Nutzer einen geheimen und öffentlichen Schlüssel zu. Diese beiden Schlüssel hängen derart miteinander zusammen, dass sie ein einmaliges Paar ergeben, aber vom öffentlichen nicht auf den geheimen Schlüssel geschlossen werden kann. Der öffentliche Schlüssel wird in allgemein zugänglichen Verzeichnissen oder auf der Internethomepage bekanntgegeben. Mit ihm verschlüsselt der Absender seine Nachricht. Der Empfänger entschlüsselt die Nachricht mit seinem geheimen Schlüssel. Das Hybridverfahren kombiniert beide Verfahren und macht sich die Vorteile der symmetrischen und asymmetrischen Verschlüsselung zu Nutze. Daten und Programme sind vor Verlust, technischer Zerstörung etc. zu sichern. Dies geschieht durch Duplizieren einzelner Datenbestände oder des Inhalts ganzer Massenspeicher auf separate Datenträger. Unterschieden werden Tages-, Wochen- und Monatssicherungen, mit denen zerstörte Daten wieder rekonstruiert werden können. Die Speicherung dieser Daten muss an einem ausgelagerten Ort periodisch stattfinden. Sie dient dem Wiederanlauf der Datenverarbeitung nach einem Schadensereignis. III. Datenschutz- und IV-Sicherheitscontrolling Neben der Konzeption eines integrierten Datenschutz- und Sicherheitskonzeptes ist die Implementierung eines entsprechenden Managements notwendig. Hierzu gehören die stichprobenartige Überprüfung, ob das Konzept umgesetzt wurde und wie die Maßnahmen wirken, das Erkennen von technischen und organisatorischen Verbesserungsvorschlägen, die kontinuierliche Neubewertung und Fortschreibung der Risikopotenziale in bestimmten Zyklen sowie die Überprüfung und gegebenenfalls die Anpassung der Ausführungsanweisungen und Richtlinien. Die Durchführung von Datensicherheitsaudits ist eine Methode zur Erfüllung dieser Aufgaben. Hierfür werden Checklisten (vgl. Dworatschek, S./Büllesbach, A./Koch, H.-D.  2000, S. 152 – 164) sowie Security-Tools verschiedener Hersteller eingesetzt. Gegenstand eines Audits sind auch die Überprüfung von Sicherheitsrichtlinien des Unternehmens und die Prüfung der Einhaltung von vertraglichen Sicherheitsanforderungen gegenüber Kunden. Nach § 9a BDSG können Anbieter von Datenverarbeitungssystemen und -programmen sowie datenverarbeitende Stellen sowohl ihr Datenschutzkonzept als auch ihre technischen Einrichtungen prüfen und bewerten lassen sowie das Ergebnis veröffentlichen. Mit diesem Datenschutzaudit (vgl. auch § 21 MDStV) soll der Wettbewerb für datenschutzfreundliche Produkte verbessert werden. Das Ergebnis der Audits wird dokumentiert; es enthält Maßnahmenvorschläge und Fristen für die Beseitigung eventueller Mängel. Literatur: Büllesbach, Alfred : Datenschutz bei Data Warehouse und Data Mining, in: Vom Data Warehouse zum Corporate Knowledge Center, hrsg. v. v. Maur, Eitel/Winter, Robert, Heidelberg 2002 Büllesbach, Alfred : Datenschutz und Datensicherheit als Qualitäts- und Wettbewerbsfaktor, in: RDV, H. 6/1997, S. 239 – 244 Büllesbach, Alfred/Garstka, Hans-Jürgen : Computerrecht – Meilensteine auf dem Weg zu einer datenschutzgerechten Gesellschaft, in: Computer und Recht 2005, S. 720 – 724 Bundesamt für Sicherheit in der Informationstechnik (BSI), : IT-Grundschutz-Kataloge, Standardwerk zur IT-Sicherheit, Loseblattsammlung Dworatschek, Sebastian/Büllesbach, Alfred/Koch, Hans-Dietrich : Personal Computer & Datenschutz, Frechen, 6. A., 2000 Eckert, Claudia : IT-Sicherheit: Konzept – Verfahren – Protokolle, München/Wien 2005