Datensicherheit 2.0 - IT- und
        Informationssicherheit für Datenschutzbeauftragte - Praxisnah,
        kompakt,
        verständlich

Datenschutz ohne IT-Sicherheit ist wirkungslos!

„In Bezug auf die neue EU-Datenschutz-Grundverordnung sprechen viele im Moment von Risikofolgenabschätzung. Was ist das und gibt es das heute schon in ähnlicher Art und Weise im Bundesdatenschutzgesetz (BDSG)?“

Thomas Floß antwortet: Die Risikofolgenabschätzung ist der sogenannten Vorabkontrolle durchaus ähnlich. In technischer Hinsicht geht sie allerdings weit darüber hinaus. Die Vorabkontrolle bezieht sich im Wesentlichen auf die Betrachtung der Rechtsgrundlagen und der Abwägung im Sinne des Betroffenen, der technische Aspekt steht dabei nicht unbedingt im Vordergrund.
Zukünftig sind für (fast) alle Prozesse sogenannte Risikofolgenabschätzungen erforderlich. Sie müssen dann im Vorfeld einer (neuen) Anwendung feststellen, ob hier eventuell zusätzliche Maßnahmen in Bezug auf den Schutz der personenbezogenen Daten erforderlich werden.
Wie sich derzeit abzeichnet, entsteht der Mehraufwand primär auf der technischen Seite dieser Prozesse. Hierzu sind neben der detaillierten Betrachtung der Zutritts-, Zugriffs- und Zugangskontrolle auch die Faktoren der Verfügbarkeit und Datentrennung zu beleuchten.

 

„Ich bin Lehrer. Was muss ich beachten, wenn ich Schülerdaten, z. B. in Form von Excel-Tabellen, auf meinem PC bearbeiten möchte?“

Thomas Floß antwortet: Diese Frage lässt sich nur in Bezug auf das Bundesland, in dem man als Lehrer tätig ist, konkret beantworten. Für NRW, wo meines Wissens sehr genaue Regelungen für die digitale Nutzung von Schülerdaten eingeführt wurden, lässt sich im Wesentlichen Folgendes festhalten:

  1. Die Schülerdaten müssen in einem speziellen digitalen Datencontainer, wie z. B. „Truecrypt“, abgespeichert werden. Eine direkte Speicherung auf einer normalen unverschlüsselten Festplatte ist nicht zulässig.
  2. Weiterhin sollten ein aktueller Virenscanner sowie eine aktive Firewall vorhanden sein.
  3. Unabhängig von den technischen Aspekten ist für die Verarbeitung von Schülerdaten auf dem privaten PC eine Genehmigung seitens der Schulleitung erforderlich.
  4. Ein besonderer Hinweis, eine eventuell nötige Reparatur des privaten PC betreffend, sei noch angebracht: Im Fall eines Defekts bringen Sie den Rechner in der Regel zum PC-Händler Ihres Vertrauens. Dieser hätte dann natürlich den vollen Zugriff auf die Schülerdaten. Hier hätten Sie lediglich 2 Möglichkeiten: Entweder bei der gesamten Reparatur anwesend zu sein oder sicherzustellen, dass alle Schülerdaten perfekt verschlüsselt sind und sich das Passwort zur Entschlüsselung nicht auf Ihrem PC befindet.

 

„Im nächsten Monat werden in unserem Unternehmen sämtliche Multifunktionsgeräte ausgetauscht. Muss ich auf irgendetwas achten?“

Thomas Floß antwortet: Bei den meisten Multifunktionsgeräten, insbesondere in den höheren Leistungsklassen, sind im allgemeinen Festplatten eingebaut. Werden diese Geräte im nächsten Monat bei Ihnen abgeholt, verlassen zwangsweise auch die darauf gespeicherten Daten Ihr Unternehmen.
Wurden diese Multifunktionsgeräte seinerzeit mit Verschlüsselungsmodulen ausgestattet und diese auch bei der Inbetriebnahme aktiviert, brauchen Sie sich hinsichtlich der Datensicherheit keine Gedanken zu machen. Sind aber keine Verschlüsselungssysteme aktiv gewesen, bleibt Ihnen nur die Möglichkeit, die Festplatten vor der Abholung der Systeme auszubauen und selbst zu entsorgen.
Alternativ können Sie die Festplatten aber auch mit speziellen Softwareprogrammen (z. B. Darik‘s Boot and Nuke –DBAN) sicher löschen.

 

„Was ist eigentlich eine 2-Faktor-Authentifizierung?“

Thomas Floß antwortet: Eine 2-Faktor-Authentifizierung dient dem sicheren Identitätsnachweis durch die Komponenten „Besitz“ und „Wissen“. Im Prinzip kennt jeder die 2-Faktor-Au­thentifizierung durch die Nutzung der Euro-Checkcard am Geld­automaten. Hier haben Sie zum einen die Scheckkarte (= Besitz) und zum anderen die PIN (= Wissen).
Auf die IT übertragen, wird ein solches Verfahren sehr häufig beim Aufbau sogenannter VPN-Tunnel (Virtual Private Network) zum Unternehmensnetz verwendet. Hier haben wir zum einen den auf dem PC installierten VPN-Schlüssel (= Besitz) und zum anderen eine permanente oder temporäre PIN bzw. ein Passwort (= Wis­sen), um sich somit sicher im Firmennetz anzumelden.
Es gibt sehr viele Produkte und Verfahren, die mit temporären Passwörtern/PIN-Codes arbeiten, anstelle von fixen und dauer­haften Kennwörtern. Viele Verfahren arbeiten hier über getrennte Kommunikationswege, sodass – beispielsweise nach der Verbin­dungsaufnahme mit dem Firmennetz – automatisiert eine PIN als weiteres Kennwort via SMS auf das Handy geschickt wird.

 

„Dürfen Schülerdaten auf Privatrechnern von Lehrern gespeichert bzw. verarbeitet werden?“

Thomas Floß antwortet: Die Nutzung von Schülerdaten auf Privatrechnern ist in den jeweiligen Bundesländern unterschied­lich geregelt. Besonders in NRW gibt es jedoch eine konkrete Verordnung über die Verarbeitung von Schüler- und Elterndaten innerhalb der Schule bzw. auf Systemen der Lehrer (VO-DV I vom 14.6.2007).
In dieser Durchführungsverordnung ist explizit geregelt, dass Schülerdaten nur nach Genehmigung durch die Schulleitung auf den Privatrechnern der Lehrer verarbeitet werden dürfen. Insbe­sondere sind die Schülerdaten nach Stand der Technik zu schüt­zen. In Bezug auf die Sensibilität und den Stand der Technik ergibt sich hier nun die logische Schlussfolgerung, dass die Schülerdaten auf der Festplatte zu verschlüsseln sind. Dieses kann z. B. durch sogenannte VeraCrypt oder TrueCript-Container (TrueCrypt = Software zur Datenverschlüsselung) erfolgen.
Weiterhin müssen Lehrer-PCs, auf denen Schülerdaten verarbeitet werden, neben der aktiven Firewall auch mit einem permanent aktiven Virenschutz ausgestattet sein, sodass die Schülerdaten einen größtmöglichen technischen Schutz erfahren.
TrueCrypt ist eine Software zur Datenverschlüsselung zur vollstän­digen oder partiellen Verschlüsselung von Festplatten und Wech­seldatenträgern. Die Verschlüsselung erfolgt dabei automatisch in dem vom Nutzer festgelegten Laufwerk oder der festgelegten Datei.

 

„Bei bestimmten Webseiten bekomme ich von meinem Browser immer den Warnhinweis, dass ein Sicherheitsproblem mit dem Zertifikat vorliegt. Was ist das und was bedeutet es?“

Thomas Floß antwortet: Solche Meldungen werden durch „inoffizielle“ SSL-Zertifikate ausgelöst. Bei den SSL-Zertifikaten gibt es zum einen offizielle Zertifikate, die durch Zertifizierungsstellen wie SwissSign, VeriSign, D-Trustt etc. ausgestellt und verwaltet werden, und zum anderen die sogenannten inoffizielle Zertifikate. Solche inoffiziellen Zertifikate kann sich jedes Unter-nehmen selbst ausstellen und auch verwalten. Das Gleiche gilt für Privatpersonen. Hintergrund solcher inoffiziellen Zer-tifikate ist, dass sie nichts oder so gut wie nichts kosten. Für kostenpflichtige Zertifikate zahlt man, je nach Art, ab 30 €/Jahr. Nutzen Sie Zertifikate z. B. „nur“ für den internen Mail-Server, so ist im Allgemeinen ein internes oder inoffizielles SSL-Zertifikat ausreichend. Der Nachteil ist aber, dass Sie nun den besagten Sicherheitshinweis bekommen, wenn Sie eine solche Webseite mit Ihrem Web-Browser besuchen. Sie haben aber nun die Möglichkeit, dieses Zertifikat zu importieren und somit auch als vertrauenswürdig zu kennzeichnen, sodass beim nächsten Besuch dieser Seite kein Warnhinweis mehr erscheint.

 

„Warum sind Android-Systeme leichter angreifbar als Apple-bzw. Windows-Systeme?“

Thomas Floß antwortet: Im Gegensatz zu Microsoft und Apple ist es im Playstore – sprich im Google-Umfeld – so, dass eingestellte oder neue Apps nicht wirklich geprüft werden.
Anders ist es bei den konkurrierenden Anbietern. Hier werden alle Apps geprüft, ob sie die entsprechenden Rahmenbedingun­gen und Sicherheitsvorschriften einhalten.

 

Tablet und Smartphone: „Kann man Android-Systeme sicher machen?“

Thomas Floß antwortet: Android-basierte Smartphones oder Tablets kann man im Business-Umfeld nur durch den Einsatz eines zentralen Mobile-Device-Management-Systems wirklich absichern. Alle anderen Varianten sind entweder nur halbherzig oder gar nicht brauchbar.

 

„Safe Harbour ist im Moment nicht mehr anwendbar. Was bedeutet das für Google Analytics?“

Thomas Floß antwortet: Google Analytics basiert auf den Grundlagen von Safe Harbour und ist nach dem Urteil des Eu­ropäischen Gerichtshofs vom 6.10.2015 nicht mehr als Rechts­grundlage für die Datenübermittlung in die Vereinigten Staaten zulässig.
Aus diesem Grund empfehle ich zurzeit, auf Alternativen wie beispielsweise etracker auszuweichen.

 

„Was genau steckt hinter dieser betrügerischen E-Mail-Masche?“

Thomas Floß antwortet: In den letzten Wochen und Tagen ist in verschiedenen Medien immer wieder von einer betrügeri­schen E-Mail-Masche zu lesen bzw. zu hören. Hierbei handelt es sich um einen relativ simplen Trick:
Mit gefälschten E-Mails, beispielsweise von der Geschäftslei­tung oder von anderen wichtigen Personen oder Abteilungen innerhalb des Unternehmens, werden Mails verschickt, in denen Zahlungsanweisungen enthalten sind.

MEIN TIPP:
Schulen Sie Ihre Mitarbeiter und Kollegen im Hinblick auf Social Engineering. Nur wenn die Mitarbeiter wirklich gut aufgeklärt sind, erkennen sie solche tückischen Mails. Zumindest sind die Mitarbeiter in der Form sensibilisiert, dass sie diese gefälschten Aufträge nicht einfach ausführen, sondern in jedem Fall noch einmal verifizieren und Rücksprache halten.


„Worauf muss ich bei modernen Multifunktionsgeräten in Sachen Datenschutz achten?“

Thomas Floß antwortet: Moderne Multifunktionsgeräte haben im Allgemeinen Festplatten eingebaut, um entsprechend Daten zwischen zu speichern. Auf diesen Festplatten befinden sich kopierte sowie gedruckte Dokumente. Verlässt das Multifunktionsgerät nun Ihr Unternehmen, beispiels­weise zum Ende der Leasinglaufzeit, verlassen auch die gespei­cherten Daten Ihr Unternehmen.

Mein Vorschlag an dieser Stelle:
Um zu verhindern, dass Daten Ihr Unternehmen verlassen, kön­nen Sie folgendermaßen vorgehen:

1) Es besteht die Möglichkeit, ein herstellerspezifisches Verschlüsselungsmodul einzusetzen.
Achtung: Je nach Hersteller ist das Verschlüsselungsmodul aufpreispflichtig.

2) Treffen Sie eine Regelung mit dem Lieferanten, dass die Festplatte sowohl im Fall eines Defekts wie auch bei Beendigung der Leasinglaufzeit bei Ihnen verbleibt. Somit haben Sie die Kontrolle über die ordnungsgemäße Vernichtung des Datenträgers.

 

„Ich möchte wichtige Daten in die Cloud verlagern. Worauf muss ich aus technischer Sicht achten?“

Thomas Floß antwortet: Aus technischer Sicht sind hier mehrere Dinge zu beachten:

1. Der Anbieter muss ein entsprechend hohes technisches und/ oder organisatorisches Sicherheitsniveau vorweisen können. Dieses kann zum einen durch Verschlüsselung der Daten erreicht werden, kann aber auch alternativ im organisatorischen Umfeld liegen. Abhängig vom Schutzbedarf Ihrer Information sind beide Varianten denkbar.

2. Ein weiterer wichtiger Aspekt ist die Verfügbarkeit. Hier liegt das Problem aber nicht primär beim Cloud-Anbieter, sondern im eigenen Systemumfeld. Denn fällt die Internetanbindung aus, besteht keinerlei Zugriff mehr auf die in der Cloud gelagerten Daten. Wer also einen Teil seiner digitalen Informationen in die Cloud verlagert, muss darauf achten, dass auch eine redundante Inter­net-Anbindung vorhanden ist. Als mögliche Alternativen zu den DSL-Providern bieten sich Kabelnetz- oder Mobilfunkbetreiber an. Entsprechende Hardware vorausgesetzt, erfolgt im Fehlerfall ein automatisches Failover, sodass der Benutzer im besten Fall von einem Ausfall des Internet-Providers nichts mitbekommt.

 

„Wir haben im Unternehmen für die verschiedenen Anwendungsprogramme wie auch für eine Vielzahl von Systemen die unterschiedlichsten Passwörter. Wie kann man diese einfach und sicher verwalten?“

Thomas Floß antwortet: Für die einfache, aber trotzdem sichere Passwortablage gibt es unterschiedliche Varianten:

1. Die vielleicht einfachste und auch kostengünstigste Variante ist die, mit TrueCrypt einen verschlüsselten Datencontainer zu erzeugen, in dem Sie dann wiederum eine ganz normale Excel-
Liste ablegen. Hierfür sind 2 Schritte erforderlich: Zunächst die Installation von
TrueCrypt, zudem die Erstellung einer Excel-Tabelle, deren Aufbau Ihre Anforderungen erfüllt.

2. Die alternative Variante ist komfortabler, aber dafür nicht unbedingt kostenlos. Hier handelt es sich um sogenannte Passwort-Safes, z. B. KeePassDroid, PasswdSafe oder LastPass, die im Allgemeinen kostenlos sind. Weiterhin gibt es bei den Password-Safes auch kostenpflichtige Produkte wie beispielsweise 1 Password (ab $ 50) oder Password-Safe (ab 42 €, Prof. Edition). Alle diese Produkte haben als Basis eine entsprechend hochverschlüsselte Datenbank (256-Bit AES) und meist auch eine Möglichkeit, über das firmeninterne WLAN die Passwörter mit Smartphones zu synchronisieren. Insbesondere diese Synchronisation ermöglicht es Ihnen, auch von unterwegs immer auf die Zugangsdaten zuzugreifen. Einige dieser Produkte, wie beispielsweise 1 Password, haben weiterhin noch eine zusätzliche Cloud-Option. Hier können Sie Team-Passwörter zentral ablegen.

 

„Bei bestimmten Webseiten bekomme ich von meinem Browser immer den Warnhinweis, dass ein Sicherheitsproblem mit dem Zertifikat vorliegt. Was ist das und was bedeutet es?“

Thomas Floß antwortet: Solche Meldungen werden durch „inoffizielle“ SSL-Zertifikate ausgelöst. Bei den SSL-Zertifikaten gibt es zum einen offizielle Zertifikate, die durch Zertifizierungsstellen wie SwissSign, VeriSign, D-Trustt etc. ausgestellt und verwaltet werden, und zum anderen die sogenannten inoffizielle Zertifikate. Solche inoffiziellen Zertifikate kann sich jedes Unternehmen selbst ausstellen und auch verwalten. Das Gleiche gilt für Privatpersonen. Hintergrund solcher inoffiziellen Zertifikate ist, dass sie nichts oder so gut wie nichts kosten. Für kostenpflichtige Zertifikate zahlt man, je nach Art, ab 30 €/Jahr.

Nutzen Sie Zertifikate z. B. „nur“ für den internen Mail-Server, so ist im Allgemeinen ein internes oder inoffizielles SSL-Zertifikat ausreichend. Der Nachteil ist aber, dass Sie nun den besagten
Sicherheitshinweis bekommen, wenn Sie eine solche Webseite mit Ihrem Web-Browser besuchen.
Sie haben aber nun die Möglichkeit, dieses Zertifikat zu importieren und somit auch als vertrauenswürdig zu kennzeichnen, sodass beim nächsten Besuch dieser Seite kein Warnhinweis mehr erscheint.

 

WICHTIG:
Importieren Sie nur solchen Zertifikaten, deren Hintergrund und Herkunft Sie wirklich kennen.

Was bedeutet SSL?
SSL ist die Abkürzung für den englischen Begriff Secure Sockets Layer. Es handelt sich hierbei um ein hybrides Verschlüsselungsprotokoll, das zur sicheren Datenübertragung im Internet verwendet wird. SSL basiert auf 2 Schlüsseln, einem öffentlichen, der zur Datenverschlüsselung dient, und einem geheimen zur Datenentschlüsselung. SSL-Zertifikate ermöglichen es, Daten zwischen Computer und Server via Internet sicher zu übertragen.

Kontakt zum Kundendienst

Tel. 0228 955 01 50
Fax 0228 369 64 80
kundendienst@tkm-media.de

Ihr direkter Draht zur Redaktion

redaktion@datenschutz-digital.de