Sicherheit der Verarbeitung
23.06.2020
Sicherheit der Verarbeitung
Das Thema Sicherheit der Verarbeitung und die Beschreibung der ergriffenen technisch-organisatorischen Maßnahmen bilden neben den Grundsätzen der Verarbeitung und der Rechtmäßigkeit das Kernstück des Datenschutzes. Das Bayerische Landesamt für Datenschutzaufsicht hat im Sinne einer gezielten Prävention die Handreichung „Best-Practice-Prüfkriterien Art. 32 DSGVO“ herausgegeben. Diese ist gezielt auf medizinische Einrichtungen ausgelegt, können aber auch für Unternehmen als Anhaltspunkt genutzt werden.
Im Folgenden gehen wir auf die einzelnen Kriterien innerhalb Handreichung „Cybersicherheit für medizinische Einrichtungen. Best-Practice-Prüfkriterien Art. 32 DSGVO“ des Bayerischen Landesbeauftragten für den Datenschutz (BayLfD) und des Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) ein und geben auszugsweise den Inhalt zusammengefasst wieder.
Die Handreichung umfasst 16 Unterkategorien zu diversen Themen, die für jedes Unternehmen eine Orientierung für eine ausreichende IT-Sicherheit gem. der Vorgaben des Art. 32 DS-GVO darstellen können. Die Abschnitte sind kurze stichpunktartige Listen mit ausführlichen weiterführenden Links zum BSI oder anderen staatlichen Stellen.
Patch Management
Im ersten Abschnitt nennt das Bayerische Landesamt für Datenschutz diverse allgemeine Anwendungen, für die regelmäßige Sicherheitsupdates benötigt werden, um das Angriffsrisiko zu senken. Office-Software, Betriebssystem oder Basiskomponenten werden hier als Beispiele genannt.
Malware-Schutz
Um den Malware-Schutz zu erhöhen und einen Befall durch Schadsoftware vorzubeugen oder zu verhindern werden diverse Maßnahmen benannt. Sie helfen Standardangriffe abzufangen oder gewährleisten einen wirksamen Anti-Malware-Schutz. Es werden technische Maßnahmen, wie Sandboxing-Verfahren oder organisatorische Maßnahmen, wie die zentrale Erfassung von Alarmmeldungen durch die IT-Administration oder das Verfassen eines Ablaufplan für den Fall eines Malware-Befalls benannt.
Ransomware-Schutz
Hier benennt BayLDA Maßnahmen, die vor Trojanern und explizit vor Verschlüsselungs-Trojanern schützen sollen. Es werden verschieden technisch organisatorische Maßnahmen aufgezählt. Dazu gehören beispielsweise der weitestgehende Verzicht auf Office-Makros, die Verhinderung einer automatischen Ausführung von heruntergeladenen Programmen, die Erstellung eines Notfallplans für den Umgang mit Verschlüsselungstrojanern auf Papier oder die Überprüfung der Backup- und Recovery-Strategie. Letztere sollte so konzipiert sein, dass sie nicht durch Ransomware verschlüsselt werden kann.
Passwort-Schutz
Das Thema Passwort-Schutz ist sehr essentiell beim Schutz des Zugangs zu personenbezogenen Daten jeglicher Art. Hier ist besonders wichtig, dass ein Unternehmen seine Beschäftigten regelmäßig für starke Passwörter und den Umgang mit Passwörtern sensibilisiert . Darüber hinaus können Maßnahmen wie eine Mindestlänge in konkreten Passwortrichtlinien festgehalten werden. Schlussendlich empfiehlt die Datenschutzaufsicht eine regelmäßige Überprüfung der Passwörter auf Stärke und das damit verbundene Wechselintervall.
Zwei-Faktor-Authentifizierung
Neben dem klassischen Passwortschutz nutzen Verantwortliche in sicherheitskritischen Bereichen häufig die Zwei-Faktor-Authentifizierung. In welchen Fällen sie genutzt werden sollte und welche Absicherungsverfahren zusätzlich vonnöten sind beschreibt die Datenschutzaufsicht in diesem Abschnitt.
E-Mail-Sicherheit
E-Mail-Verkehr ist oft der Ausgangspunkt von Angriffen von außen. Daher ist es notwendig gewisse technische und organisatorische Maßnahmen zur Erhöhung der E-Mail-Sicherheit zu ergreifen. Beispielsweise kann die Prüfung eingehender E-Mails durch einen Anti-Malwareschutz, der Blockade gewisser Anhänge oder die Verschlüsselung von Anhängen als Maßnahme dienen. Darüber hinaus empfiehlt die Aufsichtsbehörde die Deaktivierung pauschaler Weiterleitungsregelungen bei Cloud-Hosting und die regelmäßige Schulung von Beschäftigten im Erkennen von gefälschten E-Mails.
Backups
Um die Verfügbarkeit und Belastbarkeit der Systeme gewährleisten zu können sind Backups der Unternehmensdaten notwendig. Diese garantieren im Fall eines Ausfalls von Datenträgern durch Störungen oder Cyberattacken, dass die wichtigen Datenbestände diese Vorfälle möglichst schadlos überstehen. Wie bereits unter Ransomware-Schutz erläutert, sollte geprüft werden inwiefern sichergestellt werden kann, dass im Falle eines Trojaners dieser nicht auf die Backups übergreifen kann. Weitere Maßnahmen können das Fixieren eines Backup-Konzeptes, die geeignete physische Aufbewahrung der Backupmedien, sowie regelmäßige Tests des Backup-Prozess und der Wiederherstellung sein.
Home-Office
Auch das Thema Home-Office ist ein für die Cybersicherheit relevantes Thema. Wenn der Arbeitsplatz der Beschäftigten in die privaten Räumlichkeiten verlegt wird, müssen einige besondere Maßnahmen ergriffen werden. So sollte das Unternehmen beispielsweise einen Überblick über die Home-Office-Berechtigten Personen und deren Equipment haben. Darüber hinaus muss die Erreichbarkeit der Beschäftigten über diverse Wege v.a. im Falle eines Vorfalls gewährleistet sein. Schlussendlich empfiehlt die BayLDA das Vornehmen einer Festplattenverschlüsselung, um im Falle eines Verlusts des mobilen Gerätes die Daten vor Dritten zu sichern. Weitere Maßnahmen können Sie auch unserem Blogbeitrag zum Thema Home-Office entnehmen.
Externe Abrufmöglichkeit für Laborergebnisse
Der Abschnitt Externe Abrufmöglichkeit für Laborergebnisse ist der einzige, der nur für den medizinischen Bereich gilt. Hier empfiehlt die Datenschutzaufsicht im Falle von Online-Abrufmöglichkeiten für Laborergebnisse z. B. über Websites, eine kryptographisch angemessene Absicherung der Zugriffe z. B. SSL, unterschiedliche zuordenbare Zugangsdaten für jeden Einsender und eine vollständige Protokollierung der Zugriffe zu gewährleisten.
Fernwartung
Im Rahmen der Fernwartung eines IT-Systems durch einen externen Dienstleister ist es notwendig, gewisse Sicherheitsmechanismen zu ergreifen. Ein Verantwortlicher sollte die Fernwartungszugänge beispielweise nur auf die konkret zu wartenden Systeme konzentrieren. Darüber hinaus kann die Freischaltung des Fernwartungszugriffs nur für einen konkreten Zweck und eine konkrete Dauer freigegeben werden. Weiter ist auch wiederum die kryptographische Absicherung des Fernwartungszugriffs per VPN oder TLS empfehlenswert.
Administration
Essentiell ist der Schutz der Administratoren Kontos. Beim Verlust dieser Nutzerkonten kann es zu massiven Verstößen und Vorfällen kommen. Daher rät das Landesamt für Datenschutzaufsicht dazu, das Admin-Konto nur für administrative Arbeiten und für das alltägliche Arbeiten einen anderen personalisierten Account zu nutzen. Darüber hinaus ist es empfehlenswert Admin-Konten mit komplexen, langen Passwörtern zu sichern. Soweit möglich empfiehlt die Datenschutzaufsicht auch eine Zwei-Faktor-Authentifizierung.
Notfall-Konzept
Um die Verfügbarkeit von Daten gewährleisten zu können ist es empfehlenswert ein Notfall-Konzept für die wichtigen IT-Systeme vorzuweisen. Im Sinne der Belastbarkeit der Systeme und der raschen Wiederherstellbarkeit sollte dieses Konzept in Papierform vorliegen und den ausführenden Personen gut bekannt sein sowie regelmäßig überprüft und angepasst werden. Weiter rät die Datenschutzaufsicht dazu, die rasche Aufbaumöglichkeit einer Ausweichinfrastruktur durch z. B. externe Server und Notfall-Mail-Adressen zu gewährleisten.
Netztrennung & Firewall
Im Falle eines Vorfalls sollte eine Netztrennung vorhanden sein. Angreifer, die es bereits in das System geschafft haben, können sich so nicht ausbreiten, da die einzelnen IT-Netze und Netzwerk-Komponenten voneinander getrennt sind. Daher ist es empfehlenswert eine restriktive (physikalische) Trennung der unterschiedlichen Netzte mittels Firewall-Systemen und einen geregelten Prozess zur ordnungsgemäßen Konfiguration der Firewalls und regelmäßigen Überprüfung dieser im Unternehmen zu implementieren. Ein Unternehmen sollte die Firewall neben der ordnungsgemäßen Einrichtung und Abschottung aller internen IT-Systeme regelmäßig überprüfen. Ein regelmäßiges Monitoring, um Zugriffsversuche zu erkennen ist darüber hinaus auch empfehlenswert.
Datenschutzbeauftragter & Social Engineering
Schlussendlich ist es immer sinnvoll den Datenschutzbeauftragten in die Überprüfung der IT-Systeme und Abläufe miteinzubeziehen. Dieser kann im Rahmen von regelmäßigen Audits zur Überprüfung der Sicherheit der Verarbeitung und weiteren in einem Datenschutz-Management-System standardisierten Prozessen zu einer Steigerung der IT-Sicherheit beitragen. Darüber hinaus ist es empfehlenswert die Beschäftigten regelmäßig zu schulen, damit diese Angriffe erkennen und im Falle eines Angriffs die Verhaltensweisen eingeübt haben. Social Engineering durch geschultes Personal vorzubeugen ist daher ein wirkungsvoller Sicherheitsfaktor für die IT-Sicherheit eines Unternehmens.
Die vollständige Handreichung mit den weiterführenden Links zu den Kategorien kann bei der Bayerischen Aufsichtsbehörde eingesehen werden.
Es ist notwendig, dass jedes Unternehmen seine ergriffenen und geplanten technisch-organisatorischen Maßnahmen regelmäßig unter den Prüfstand stellt, da diese in unserer digitalisierten Welt einen maßgeblichen Anteil an der Sicherheit des Unternehmens einnehmen.
Kontaktieren Sie uns!
Sollten Sie zu diesem oder zu anderen Themen weitergehende Fragen im Bereich des Datenschutzes haben, stehen wir Ihnen gerne jederzeit zur Verfügung.
Wir betreuen Unternehmen, Vereine oder gemeinnützige Organisationen bei der Umsetzung des betrieblichen Datenschutzes in der Datenschutz-Grundverordnung (DS-GVO) und im Gesetz über den Kirchlichen Datenschutz (KDG). Hierzu entwickeln wir auf Ihr Unternehmen, Ihren Verein oder Ihre gemeinnützige Organisation abgestimmte Datenschutzkonzepte und unterstützen Sie aktiv bei deren Umsetzung. Gerne beraten wir auch Sie bei der Umsetzung Ihres Projektes.
Nehmen Sie gerne jederzeit Kontakt zu uns auf.