Sicherheit der Verarbeitung 

Das Thema Sicherheit der Verarbeitung und die Beschreibung der ergriffenen technisch-organisatorischen Maßnahmen bilden neben den Grundsätzen der Verarbeitung und der Rechtmäßigkeit das Kernstück des Datenschutzes. Das Bayerische Landesamt für Datenschutzaufsicht hat im Sinne einer gezielten Prävention die Handreichung „Best-Practice-Prüfkriterien Art. 32 DSGVO“ herausgegeben. Diese ist gezielt auf medizinische Einrichtungen ausgelegt, kann aber auch für Unternehmen als Anhaltspunkt genutzt werden.

Im Folgenden gehen wir kurz auf die einzelnen Kriterien innerhalb Handreichung „Cybersicherheit für medizinische Einrichtungen. Best-Practice-Prüfkriterien Art. 32 DSGVO“ des Bayerischen Landesbeauftragten für den Datenschutz (BayLfD) und des Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) ein und geben auszugsweise den Inhalt zusammengefasst wieder.

Die Handreichung umfasst 16 Unterkategorien zu diversen Themen, die für jedes Unternehmen eine Orientierung für eine ausreichende IT-Sicherheit gem. der Vorgaben des Art. 32 DS-GVO darstellen können. Die Abschnitte sind kurze stichpunktartige Listen mit ausführlichen weiterführenden Links zum BSI oder anderen staatlichen Stellen.

Im ersten Abschnitt Patch Management werden diverse allgemeine Anwendungen z. B. Office-Software, Betriebssystem oder Basiskomponenten mit einigen Beispielen genannt für die regelmäßige Sicherheitsupdates benötigt werden, um das Angriffsrisiko zu senken.

Um den Malware-Schutz zu erhöhen und einen Befall durch Schadsoftware vorzubeugen oder zu verhindern werden diverse Maßnahmen benannt, die helfen Standardangriffe abzufangen oder die einen wirksamen Anti-Malware-Schutz gewährleisten sollen. Es werden technische Maßnahmen wie Sandboxing-Verfahren oder organisatorische Maßnahmen wie die zentrale Erfassung von Alarmmeldungen durch die IT-Administration oder das Verfassen einen Ablaufplan für den Fall eines Malware-Befalls benannt.

Im Abschnitt Ransomware-Schutz werden Maßnahmen benannt die vor Trojaner und explizit vor Verschlüsselungs-Trojaner schützen sollen. Hier werden technisch-organisatorische Maßnahmen wie z. B. den weitestgehend Verzicht auf Office-Makros, die Verhinderung einer automatischen Ausführung von heruntergeladenen Programmen oder die Erstellung eines Notfallplans für den Umgang mit Verschlüsselungstrojanern auf Papier, sowie die Überprüfung der Backup-und Recovery-Strategie aufgezählt. Letztere sollte so konzipiert sein, dass diese nicht durch Ransomware verschlüsselt werden kann.

Das Thema Passwort-Schutz ist sehr essentiell beim Schutz des Zugangs zu personenbezogenen Daten jeglicher Art. Hier ist besonders wichtig, dass die Beschäftigten regelmäßig für starke Passwörter und den Umgang mit Passwörtern sensibilisiert werden. Darüber hinaus können Maßnahmen wie eine Mindestlänge in konkreten Passwortrichtlinien festgehalten werden. Schlussendlich sollten die Passwörter regelmäßig auf Stärke und das damit verbundene Wechselintervall hin überprüft werden.

Neben dem klassischen Passwortschutz wird in sicherheitskritischen Bereichen häufig die Zwei-Faktor-Authentifizierung genutzt. In welchen Fällen diese genutzt werden sollte und welche Absicherungsverfahren zusätzlich vonnöten wären wird in diesem Abschnitt beschrieben.

E-Mail-Verkehr ist oft der Ausgangspunkt von Angriffen von außen. Daher ist es notwendig, um den Risiken rechtzeitig zu begegnen gewisse technische und organisatorische Maßnahmen zu ergreifen, um die E-Mail-Sicherheit zu erhöhen. Beispielsweise kann die Prüfung eingehender E-Mails durch einen Anti-Malwareschutz, der Blockade gewisser Anhänge oder die Verschlüsselung von Anhängen als Maßnahme dienen. Darüber hinaus sollten pauschale Weiterleitungsregelungen bei Cloud-Hosting deaktiviert werden und die Beschäftigten regelmäßig im Erkennen von gefälschten E-Mails geschult werden.

Um die Verfügbarkeit und Belastbarkeit der Systeme gewährleisten zu können sind Backups der Unternehmensdaten notwendig. Diese garantieren im Fall eines Ausfalls von Datenträgern durch Störungen oder Cyberattacken, dass die wichtigen Datenbestände diese Vorfälle möglichst schadlos überstehen. Wie bereits unter Ransomware-Schutz erläutert sollte geprüft werden inwiefern sichergestellt werden kann, dass im Falle eines Trojaners dieser nicht auf die Backups übergreifen kann. Weitere Maßnahmen können das fixieren eines Backup-Konzeptes, die geeignete physische Aufbewahrung der Backupmedien, sowie regelmäßige Tests des Backup-Prozess und der Wiederherstellung sein.

Auch das Thema Home-Office ist ein für die Cybersicherheit relevantes Thema. Wenn der Arbeitsplatz der Beschäftigten in die privaten Räumlichkeiten verlegt wird, müssen einige besondere Maßnahmen ergriffen werden. So sollte das Unternehmen beispielsweise einen Überblick über die Home-Office-Berechtigten Personen und deren Equipment haben. Darüber hinaus muss die Erreichbarkeit der Beschäftigten über diverse Wege v.a. im Falle eines Vorfalls gewährleistet sein. Schlussendlich wird empfohlen eine Festplattenverschlüsselung vorzunehmen, um im Falle eines Verlusts des mobilen Gerätes die Daten vor Dritten zu sichern. Weitere Maßnahmen können Sie auch unserem Blogbeitrag zum Thema Home-Office entnehmen.

Der Abschnitt Externe Abrufmöglichkeit für Laborergebnisse ist der einzige, der nur für den medizinischen Bereich gilt. Hier wird empfohlen, im Falle von Online-Abrufmöglichkeiten für Laborergebnisse z. B. über Websites, eine kryptographisch angemessene Absicherung der Zugriffe z. B. SSL, unterschiedliche zuordenbare Zugangsdaten für jeden Einsender und eine vollständige Protokollierung der Zugriffe zu gewährleisten.

Im Rahmen der Fernwartung eines IT-Systems durch einen externen Dienstleister ist es notwendig gewisse Sicherheitsmechanismen zu ergreifen. So sollten z. B. die Fernwartungszugänge nur auf die konkret zu wartenden Systeme konzentriert werden. Darüber hinaus kann die Freischaltung des Fernwartungszugriffs nur für einen konkreten Zweck und eine konkrete Dauer freigegeben werden. Weiter ist auch wiederum die kryptographische Absicherung des Fernwartungszugriffs per VPN oder TLS empfehlenswert.

Essentiell ist der Schutz der Administratoren Kontos. Beim Verlust dieser Nutzerkonten kann es zu massiven Verstößen und Vorfällen kommen. Daher ist es empfehlenswert das Admin-Konto nur für administrative Arbeiten und für das alltägliche Arbeiten einen anderen personalisierten Account zu nutzen. Darüber hinaus ist es empfehlenswert Admin-Konten mit komplexen, langen Passwörtern zu sichern. Soweit möglich wird auch eine Zwei-Faktor-Authentifizierung empfohlen.

Um die Verfügbarkeit von Daten gewährleisten zu können ist es empfehlenswert ein Notfall-Konzept für die wichtigen IT-Systeme vorzuweisen. Im Sinne der Belastbarkeit der Systeme und der raschen Wiederherstellbarkeit sollte dieses Konzept in Papierform vorliegen und den ausführenden Personen gut bekannt sein, sowie regelmäßig überprüft und angepasst werden. Weiter wird empfohlen die rasche Aufbaumöglichkeit einer Ausweichinfrastruktur durch z. B. externe Server und Notfall-Mail-Adressen zu gewährleisten.

Im Falle eines Vorfalls sollte eine Netztrennung vorhanden sein. Angreifer, die es bereits in das System geschafft haben, können sich so nicht ausbreiten, da die einzelnen IT-Netzte und Netzwerk-Komponenten voneinander getrennt sind. Daher ist es empfehlenswert eine restriktive (physikalische) Trennung der unterschiedlichen Netzte mittels Firewall-Systemen und einen geregelten Prozess zur ordnungsgemäßen Konfiguration der Firewalls und regelmäßigen Überprüfung dieser im Unternehmen zu implementieren. Die Firewall sollte neben der ordnungsgemäßen Einrichtung und Abschottung aller internen IT-Systeme regelmäßig überprüft werden. Ein regelmäßiges Monitoring, um Zugriffsversuche zu erkennen ist darüber hinaus auch empfehlenswert.

Schlussendlich ist es immer sinnvoll den Datenschutzbeauftragten in die Überprüfung der IT-Systeme und Abläufe miteinzubeziehen. Dieser kann im Rahmen von regelmäßigen Audits zur Überprüfung der Sicherheit der Verarbeitung und weiteren in einem Datenschutz-Management-System standardisierten Prozessen zu einer Steigerung der IT-Sicherheit beitragen. Darüber hinaus ist es empfehlenswert die Beschäftigten regelmäßig zu Schulen, damit diese Angriffe erkennen und im Falle eines Angriffs die Verhaltensweisen eingeübt haben. Social Engineering durch geschultes Personal vorzubeugen ist daher ein wirkungsvoller Sicherheitsfaktor für die IT-Sicherheit eines Unternehmens.

Die Vollständige Handreichung mit den weiterführenden Links zu den Kategorien kann bei der Bayerischen Aufsichtsbehörde eingesehen werden.

Es ist notwendig, dass jedes Unternehmen seine ergriffenen und geplanten Technisch-organisatorischen Maßnahmen regelmäßig unter den Prüfstand stellt, da diese in unserer digitalisierten Welt einen maßgeblichen Anteil an der Sicherheit des Unternehmens einnehmen.

Kontaktieren Sie uns!

Sollten Sie zu diesem Thema oder weitergehende Fragen im Bereich des Datenschutzes haben, stehen wir Ihnen gerne jederzeit zur Verfügung. Wir betreuen Unternehmen, Vereine oder gemeinnützige Organisationen bei der Umsetzung des betrieblichen Datenschutzes in der Datenschutz-Grundverordnung (DS-GVO) und im Gesetz über den Kirchlichen Datenschutz (KDG). Hierzu entwickeln wir auf Ihr Unternehmen, ihren Verein oder ihre gemeinnützige Organisation abgestimmte Datenschutzkonzepte und unterstützen Sie aktiv bei der Umsetzung. Gerne beraten wir auch Sie bei der Umsetzung Ihres Projektes. Nehmen Sie gerne jederzeit Kontakt zu uns auf.

zurück zum Blog