Datenschutz und Informationssicherheit

Arglos war gestern

Nicht warten, bis das Kind in den Brunnen fällt. Besser den Brunnen einzäunen

Von der Reaktion zur Prävention

Die digitale Revolution hat das Leben von Individuen und Organisationen seit der Jahrtausendwende durchgreifend verändert. Neben Chancen sind damit auch neuartige Sicherheitsrisiken entstanden. Individuen sehen sich der Gefahr ausgesetzt, dass ihre Präferenzen und Gewohnheiten im Alltag ausspioniert werden. Unternehmen und Behörden müssen jederzeit mit Cyberangriffen rechnen. Notgedrungen (und glücklicherweise) ist das Bewusstsein für diese Risiken zuletzt rasant gewachsen. Auch in der Politik, die den gesetzlichen Rahmen für mehr Datenschutz und Informationssicherheit absteckt.

13 Tage

…musste sich ein Krankenhaus wegen eines Ransomware-Angriffs von der Notfallversorgung abmelden.

Quelle: BSI Lagebericht 2021

Fit für die Abwehr systemrelevanter Risiken

Die Projekte von DResearch sind in vier der acht Sektoren Kritischer Infrastrukturen im Sinne des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) angesiedelt: Informationstechnik und Telekommunikation, Finanz- und Versicherungswesen, Transport und Verkehr sowie Energie.

Kritische Infrastrukturen sind von hoher Bedeutung für das Funktionieren des Gemeinwesens. Bei Ausfall oder Beeinträchtigung würden erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten. Da sind Informationssicherheit und Datenschutz essenziell. Darum haben wir neben BSI-Grundschutz und ISO 27001 Know-how nun auch die Prüfverfahrenskompetenz nach § 8a Abs. 3 BSIG im Haus.

Unser Vorgehen

Rechtmäßigkeit

Wir stellen sicher, dass die Verarbeitung personenbezogener Daten nur erfolgt, wenn sie rechtmäßig ist. Die betroffenen Personen müssen ihre Einwilligung gegeben haben oder die Verarbeitung muss zur Erfüllung einer vertraglichen oder rechtlichen Verpflichtung erforderlich sein.

Datenminimierung

Wir stellen sicher, dass personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke verarbeitet werden. Die Verarbeitung muss dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.

Transparenz

Wir stellen sicher, dass jede betroffenen Person ihr Auskunftsrecht über die personenbezogenen Daten, die Gegenstand der Verarbeitung sind, wahrnehmen kann. Die Informationen darüber sind in präziser, transparenter, verständlicher und leicht zugänglicher Form zu liefern.

Vertraulichkeit

Wir stellen die Vertraulichkeit – einer der drei Grundwerte der Informationssicherheit – sicher. Sie wird definiert als der Schutz vor unbefugter Preisgabe. Je nach Schutzbedarf kommen technische Maßnahmen wie Verschlüsselung oder Digitale Rechteverwaltung zum Einsatz.

Integrität

Wir stellen die Integrität (= Unversehrtheit) von Daten sicher, ferner die korrekte Funktionsweise der datenverarbeitenden Systeme. Der Verlust der Integrität würde bedeuten, dass Daten unerlaubt verändert, Angaben zum Autor verfälscht oder Zeitangaben zur Erstellung manipuliert wurden.

Verfügbarkeit

Wir stellen sicher, dass die Verfügbarkeit unserer Systeme für die Anwender gewährleistet ist. Die Verfügbarkeit ist die Wahrscheinlichkeit oder das Maß, dass ein System zu einem bestimmten Zeitpunkt bzw. innerhalb eines vereinbarten Zeitraumes wie vorgesehen genutzt werden kann.

Unser aller Trägheit

Selbst wenn die Systeme halbwegs wasserdicht sind: Die besten Freunde der Hacker sind wir selbst. Jede und jeder einzelne. Einfach deshalb, weil wir träge sind. Wir wissen, was zu tun wäre und machen trotzdem das Gegenteil (wie Hunderte von Bundestagsabgeordneten, die 2015 gefährliche Mailanhänge trotz aller Warnungen geöffnet hatten).

Am Ende sind Datenschutz und Informationssicherheit eben auch eine ganz persönliche Angelegenheit, eine Frage der Selbstführung. Deshalb hat das BSI im März 2021 eine Kampagne gestartet, die unsere Alltagsgewohnheiten ins Visier nimmt und handfeste Tipps zum Umgang mit Sicherheitsrisiken gibt. Das wird umso wichtiger, als die Grenze zwischen Privat- und Berufswelt zunehmend verschwimmt (Stichwort Home-Office).

DResearch - Über uns

Wir machen keine harten Stresstests und bauen keine Firewalls. Wir stellen einfach fest: In unseren Projekten geht immer auch um IT-Sicherheits- und Datenschutzthemen. Ein deutliches Zeichen dafür, dass zumindest große Unternehmen und Behörden aus der anfänglichen Arglosigkeit erwacht sind.