Wie viel Sicherheit braucht eigentlich die Unter­­nehmens-IT?

„Ich will unsere IT absolut sicher sehen!“ „Eine 100 pro­zentige Sicherheit können wir nicht erreichen!“ oder ähn­liche Aus­sagen fallen zuweilen in Mee­tings zum Thema IT-Sicherheit und Daten­schutz. Wie hoch muss das Sicher­heits­niveau im Unter­nehmen aber sein? Welche Maß­nahmen sind unver­zichtbar, welche not­wendig und welche sind sogar unnötig? Gibt es einen Maß­nah­men­ka­talog, der die Unter­neh­mens­praxis an dieser Stelle durch Objek­ti­vität erleichtert?

WER bestimmt eigentlich, WAS zu tun ist? Auch beim Thema IT- und Daten­si­cherheit muss das Unter­nehmen den Inter­essen vieler Betei­ligter (und Unbe­tei­ligter) gerecht werden. Die unter­schied­lichen Ansprüche von Gesell­schaftern, Arbeit­nehmern, Kunden und dem Staat wollen in Ein­klang gebracht werden. Wer kann also welches Sicher­heits­niveau ver­langen?

Sicher­heits­in­ter­essen der Gesell­schafter

Beginnen wir mit den Gesell­schaftern, sie wollen hohe Unter­neh­mens­per­for­mance und gleich­zeitig hohe Sicherheit. Zwei Ziele die sich nur selten im Gleich­klang erreichen lassen. Der Gesetz­geber hat jedoch einen ele­ganten Weg gefunden, ohne kon­krete Vor­gaben eine Regelung zu treffen. Die Unter­neh­mens­führung einer Kapi­tal­ge­sell­schaft ist ver­pflichtet Risiken zu managen. Sie muss alle Risiken doku­men­tieren, auch jene die auf die IT wirken oder aus der IT erwachsen. Sind Risiken nicht doku­men­tiert oder keine adäquaten Maß­nahmen ergriffen worden, wird die Unter­neh­mens­führung zur Rechen­schaft gezogen, spä­testens wenn sich das Risiko zu einer Krise ent­wi­ckelt hat.  Schwere Schäden, die durch Sys­tem­aus­fälle oder Daten­ver­luste ent­stehen, können für Geschäfts­führer Kün­digung und Scha­dens­er­satz­for­de­rungen zur Folge haben. (siehe auch: “Pflicht­ver­let­zungen im Bereich Com­pliance”)

For­de­rungen des Gesetz­gebers

Für bestimmte Daten und Infor­ma­tionen scheint dem Gesetz­geber eine derart fle­xible Lösung ohne kon­krete Vor­gaben dann aber nicht aus­rei­chend sicher zu sein. Bei der Besteue­rungs­grundlage, gerade den Buch­hal­tungs­daten, ver­lässt den Staat das Ver­trauen in die Lage­be­ur­teilung durch die Unter­neh­mens­führung. Kon­krete Maß­nahmen wie Auf­be­wah­rungs­fristen und revi­si­ons­si­chere Spei­cherung sind vor­ge­schrieben.

Sicher­heits­an­sprüche von Kunden und Mit­ar­beitern

Auch die Kunden und Mit­ar­beiter haben natürlich Vor­stel­lungen von einem gewissen Sicher­heits­niveau der Unter­­nehmens-IT und in der Folge „ihrer“ Daten. Diese per­so­nen­be­zo­genen Daten sind besonders zu schützen. Der Gesetz­geber ver­langt eine Doku­men­tation der Pro­zesse, in denen Daten mit Per­so­nen­bezug ver­wendet werden. Die Unter­nehmen haben zu diesen Pro­zessen adäquate  Maß­nahmen zu treffen, um die Sicherheit dieser Daten zu gewähr­leisten.

Unter­nehmen „…, die per­so­nen­be­zogene Daten erheben, ver­ar­beiten oder nutzen, haben die tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nahmen zu treffen, die erfor­derlich sind, um die Aus­führung der Vor­schriften dieses Gesetzes, ins­be­sondere die in der Anlage zu diesem Gesetz genannten Anfor­de­rungen, zu gewähr­leisten. Erfor­derlich sind Maß­nahmen nur, wenn ihr Aufwand in einem ange­mes­senen Ver­hältnis zu dem ange­strebten Schutz­zweck steht.“ schreibt § 9 BDSG vor.

Erfor­derlich sind Maß­nahmen mit denen das Ziel — in aller Regel die Ver­hin­derung unbe­fugter Kennt­nis­nahme per­so­nen­be­zo­gener Daten — erreicht werden kann. Dieses absolute Ziel wird durch das mög­liche Scha­dens­po­tential rela­ti­viert, also die Schwere des Ein­griffs in die infor­ma­tio­nelle Selbst­be­stimmung. Eine bekannt­ge­wordene Post­an­schrift stellt nach­voll­ziehbar eine geringere Beein­träch­tigung dar als ein bekannt­ge­wor­dener Schriftsatz in einem Fami­li­en­rechts­streit.

Klas­si­fi­zierung von Daten nach Schutz­be­darfs­ka­te­gorien

Der gesuchte Maßstab für die IT- und Daten­si­cherheit ergibt sich damit durch die Klas­si­fi­zierung der genutzten Daten nach den Scha­dens­po­ten­tialen. Dazu bietet sich zum einen die Defi­nition von Schutz­be­darfs­ka­te­gorien nach dem BSI-Standard 100–2, Kapitel 4.3 an. Alter­nativ lässt sich für die per­so­nen­be­zo­genen Daten die Klas­si­fi­zierung nach dem Schutz­stu­fen­konzept des Lan­des­be­auf­tragten für den Daten­schutz Nie­der­sachsen recht leicht über­nehmen. Das ist fol­gen­der­maßen auf­gebaut.

Quelle: http://www.lfd.niedersachsen.de/download/52033/Schutzstufenkonzept_LfD_Niedersachsen_.pdf

Sicherer Umgang mit per­so­nen­be­zo­genen Daten — analog und digital

Die dar­ge­stellten Aus­wir­kungen von Daten­schutz­ver­let­zungen und die ange­fügten Bei­spiele geben eine Hil­fe­stellung bei der Auswahl der not­wen­digen Sicher­heits­maß­nahmen, bei­spiels­weise bei der Auswahl eines not­wen­digen Akten­ver­nichters. Der Fehl­druck eines Wer­be­briefes kann der Schutz­stufe B zuge­ordnet werden, ein geeig­neter Akten­ver­nichter der Zer­klei­ne­rungs­stufe 2 sollte demnach genügen (vgl. BSI Grund­schutz­ka­taloge M.2435). Eine zu ver­nich­tende Mit­ar­bei­ter­be­ur­teilung wäre der Schutz­stufe D zuge­ordnet und erfordert zumindest die Zer­klei­ne­rungs­stufe 3, besser Stufe 4. Im Ergebnis wäre nach unter­neh­mens­in­terner Defi­nition also im Unter­nehmen zumindest ein Akten­ver­nichter der Zer­klei­ne­rungs­stufe 3 ein­zu­setzen.

In die digitale Welt über­tragen, dürften unter­neh­mens­in­terne Tele­fon­ver­zeich­nisse der Schutz­stufe B zuge­ordnet werden. In einem geschützten Intranet des Unter­nehmens dürften die Daten damit ver­öf­fent­licht werden. Für die elek­tro­nische Per­so­nalakte mit Daten der Schutz­stufe D dagegen emp­fiehlt sich die sichere Ver­wahrung auf ver­schlüs­selten Fest­platten, mobilen Geräten bzw. auch die sichere Löschung durch ver­trau­ens­würdige Dienst­leister. Werden Beur­tei­lungen bzw. Zeug­nisse per E‑Mail ver­sendet, so ist eben­falls auf eine Ver­schlüs­selung zu achten.

Die Not­wen­digkeit bestimmter Sicher­heits­maß­nahmen lässt sich mit Hilfe dieser Klas­si­fi­zierung der ver­ar­bei­teten Daten nach ihrer Sen­si­bi­lität beur­teilen. Damit kann eine zuständige Person im Unter­nehmen, der IT-Sicher­heits­­­be­auf­­tragte oder Daten­schutz­be­auf­tragte recht unkom­pli­ziert und prag­ma­tisch eine objek­ti­vierte Arbeits­grundlage erstellen.

Was, wenn Sicher­heits­maß­nahmen und Daten­schutz kol­li­dieren oder das Mit­be­stim­mungs­recht zu beachten ist? Im nächsten Beitrag dieser Reihe soll es darum gehen, wie man die vielen Mei­nungen im Unter­nehmen zum Thema Sicher­heits­maß­nahmen unter einen Hut bekommt.