Informatiker FA - M176

Datenschutz:

bezieht sich auf Personendaten natürlicher und juristischer Personen, die von privaten Personen oder Bundesorganen bearbeitet werden. Datenschutz leitet sich aus dem Datenschutzgesetz ab.

Datensicherheit:

Gesamtheit aller Massnahmen, um die Sicherheit der Daten zu gewährleisten (Grundschutz CIA sowie aufgrund des Geschäftsprozesses: Verbindlichkeit).

Der CSO hat auf Stufe GL die nötige Kompetenz, um Entscheidungen und Weisungen mit dem benötigten Gewicht auszustatten, damit diese unternehmensweit ernst genommen und umgesetzt werden.

Aus dem Geschäftsprozess ergeben sich die beiden Anforderungsgruppen:

1. Betriebliche Anforderungen

2. Gesetzliche Anforderungen

Die Verbindlichkeit kann unabhängig von der inhaltlichen Integrität von Daten und Informationen gegeben sein (ein falsch eingetragener Preis in einem elektronischen Vertrag ist, soweit beide Parteien unterzeichnet haben, rechtsverbindlich). Jedoch ist neben der Authentizität (z.B. Absender eines Mails) für Daten und Informationen auch die logische Integrität von Bedeutung, d.h., eine falsche oder unvollständige Relation unter den einzelnen Daten kann dazu führen, dass die Verbindlichkeit nicht gewährleistet ist (z.B. formaler Fehler in einem Vertrag)

Ein Unternehmen kann (da es weder eine private Person noch ein Bundesorgan ist) nicht für Verletzung des Datenschutzgesetzes bestraft werden. Die Verantwortung dafür trägt eine private Person; in einer Aktiengesellschaft somit letztlich der Verwaltungsrat in corpore oder der VR-Präsident.

Das DSG deckt die Ansprüche der Vertraulichkeit für Personendaten ab. Was es nicht macht, ist die Vertraulichkeitsanforderungen an andere Daten (z.B. unternehmenskritische, geheime Daten udn Informationen über ein Produkt) zu definieren, da diese keinen besonderen gesetzlichen Anspruche an Unversertheit haben.

Systeme, die von ungebetenen Gästen heimgesucht werden, müssen gegen diesen Besuch besonders geschützt worden sein, damit der Straftatbestand erfüllt ist. Wie viel Schutz dies genau sein muss, hängt natürlich auch davon ab, inwiefern der Systemverantwortliche (z.B. eine Privatperson ohne Computerkenntnisse) über mögliche Sicherheitsmassnahmen Bescheid wusste. Letzlich entscheidet ein Richter darüber, ob dieser besondere Schutz vorhanden war oder nicht, d.h., nicht jede Sicherheitsmassnahme (je nach Kritikalität der Daten und Informationen) erfüllt diese Anforderung genügend.

Die Klassierung nach Schutzbedarfsstufen wird vom Dateninhaber wahrgenommen (data owner). Dieser weiss am besten darüber Bescheid, wie viel Sicherheit die Daten benötigen; der Sicherheitsspezialist ist für die geeigneten Massnahmen zur Erreichung dieses Schutzbedarfs verantwortlich.

Ein identifiziertes Risiko muss ständig beobachtet und regelmässig bewertet werden. Nur so kann gewährleistet werden, dass die Risiken ständig unter Kontrolle gehalten werden, auch wenn deren Wert durch geeignete Massnahmen auf 0 gebrachter werden kann; der Risikowert kann mit der zeit wieder zunehmen.

Das Datenschutzgesetz /VDSG schreibt insbesondere bei der Bearbeitung von besonders schützenswerten Personendaten die Nachvollziehbarkeit der Verarbeitung vor (Protokollierung) sowie eine geregelte Anweisung zur Bearbeitung solcher Daten (Betriebsanweisung), die an die betroffenen Mitarbeiter verteilt bzw. diesen bekannt gemacht werden muss.

Das Passwort, das in der Praxis wohl die meist-umgesetzte logische Authentisierungsmethode ist, kann als so genanntes Einmal-Passwort (wenn repetitiv eingesetzt, als token) in der Praxis mit einer Streichliste oder einem elektronischen token generator eingesetzt werden, da ansonsten der Aufwand dzur Herausgabe eines OTP (one time password) zu hoch wäre.

Generell gilt, dass die Mitarbeiter nicht mit Weisungen, Richtlinien und Informationen zugemüllt werden sollen. Die wesentlichen Aussagen/Anforderungen sollen Mitarbeiter erreichen und von ihm umgesetzt werden. Eine entsprechende Konsolidierung der Anforderungen auf kurze, leicht zu merkende Sätze oder Stichwörter erleichtert dies in der Praxis. Zudem hilft es, den Mitarbeiter über den Zweck von Sicherheitsmassnahmen genügend aufzuklären, damit er den Sinn erkennt und nicht nur "Befehle von oben" ausführen muss.

Dokumentationen werden, nicht nur im Sicherheitsbereich, leider viel zu selten erstellt. Dabei hilft das Dokumentieren einerseits der Nachvollziehbarkeit von Prozessen und Vorfällen, aber auch präventiv, indem anhand der Dokumentation das Sicherheitsniveau bereits analysiert werden kann. Wichtig ist dabei, dass die Dokumentationen auch vollständig und aktuell sind.

Der Auftragnehmer soll dem Auftraggeber transparent Unter-Auftragnehmer (Subcontractors) aufzeigen.

Auf der Auftraggeberseite müssen sämtliche umgesetzte und insbesondere die noch nicht umgesetzten Massnahmen aufgedeckt werden, sowie bereits vorgefallene Störungen etc, damit der Auftragnehmer nicht erst Detektiv in seinem künftigen Arbeitsumfeld spielen muss.

Die Sicherheitsmassnahmen sollen von den eigentlichen Kernprozessen entflechtet werden. Sicherheitsmassnahmen sollen so designed werden, dass diese keine oder nur minimale zusätzliche Komplexität bringen; im idealen Fall die Komplexität eines Prozesses sogar verringern. In diesem Zusammenhang kommt das so genannte Zwiebelschalen-Prinzip zum Einsatz; die Sicherheitsmassnahmen werden so weit möglich vom Prozess abgekoppelt (vor- oder nachgelagert).

Bei der technischen Ueberprüfung werden oft die gleichen Vorgehensweisen und Werkzeuge verwendet, die auch ein böswilliger Angreifer anwenden würde. Dies kann zur Folge haben, dass die geprüften Systeme unter einem solchen "simulierten" Angriff bereits zusammenbrechen oder wesentliche Funktionen behindert werden, mit entsprechenden Konsequenzen für den eigentlichen Geschäftsprozess des geprüften Unternehmens.

Ein Audit soll der Geschäftsleitung / dem VR die Gewissheit geben, dass im Unternehmen alles so läuft, wie es vorgesehen und geplant ist. Am Ende des Audits werden die erhobenen Messwerte mit den Sollwerten verglichen und etwaige Abweichungen festgestellt. Die Geschäftsleitung kann nun aufgrund dieser Ergebnisse Massnahmen ergreifen, um den geplanten Pfad weiterhin einhalten zu können.

Nach dem Audit darf nicht vergessen werden, die erhobenen Ergebnisse zu analysieren und daraus abzuleiten, wo Anpassungen sinnvoll und nötig sind, damit die Massnahmen im nächsten Durchlauf noch besser den Anforderungen entsprechen. Der Optimierungsschritt ist somit die logische Folge eines erfolgreichen Audits.

Neben den Daten selber sind auch sämtliche verarbeitungsrelevanten Informationen (Methodendefinitionen, Rechnungslegungs-Standards, Prozessbeschreibungen, Dokumentationen) zwecks Nachvollziehbarkeit der Daten zu archivieren. Dazu kommt die Anforderung, das die Daten auch uzugänglich sein müssen, dies bedingt oft, dass entsprechende Systemkomponenten (Laufwerke für Speichermedien) ebenfalls mit archiviert und in betriebsfähigem Zustand gehalten werden müssen.

Eine Firewall schützt ein vertrauenswürdiges Netzwerk (LAN) vor einem unvertrauenswürdigen (Internet), also vor Eindringlingen, die von aussen kommen. Diejenigen Besucher, die sich bereits im Netzwerk befinden (Benutzer, eingeschleppe Schädlinge wie Viren, trojanische Pferde sowie Hintertüren im Netzwerk wie z.B. ein Wireless LAN) , werden grundsätzlich von einer Firewall nicht behindert.