Datenschutz und Informationssicherheit

Arglos war gestern

Nicht warten, bis das Kind in den Brunnen fällt. Besser den Brunnen einzäunen

Von der Reaktion zur Prävention

Die digitale Revolution hat das Leben von Individuen und Organisationen seit der Jahrtausendwende durchgreifend verändert. Neben Chancen sind damit auch neuartige Sicherheitsrisiken entstanden. Individuen sehen sich der Gefahr ausgesetzt, dass ihre Präferenzen und Gewohnheiten im Alltag ausspioniert werden. Unternehmen und Behörden müssen jederzeit mit Cyberangriffen rechnen. Notgedrungen (und glücklicherweise) ist das Bewusstsein für diese Risiken zuletzt rasant gewachsen. Auch in der Politik, die den gesetzlichen Rahmen für mehr Datenschutz und Informationssicherheit absteckt.

13 Tage

…musste sich ein Krankenhaus wegen eines Ransomware-Angriffs von der Notfallversorgung abmelden.

Quelle: BSI Lagebericht 2021

Fit für die Abwehr systemrelevanter Risiken

Die Projekte von DResearch sind in vier der acht Sektoren Kritischer Infrastrukturen im Sinne des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) angesiedelt: Informationstechnik und Telekommunikation, Finanz- und Versicherungswesen, Transport und Verkehr sowie Energie.

Kritische Infrastrukturen sind von hoher Bedeutung für das Funktionieren des Gemeinwesens. Bei Ausfall oder Beeinträchtigung würden erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten. Da sind Informationssicherheit und Datenschutz essenziell. Darum haben wir neben BSI-Grundschutz und ISO 27001 Know-how nun auch die Prüfverfahrenskompetenz nach § 8a Abs. 3 BSIG im Haus.

Praxis/Datenschutz und Informationssicherheit

Externer Datenschutzbeauftragter

Für mehrere IT-Unternehmen hat DResearch die Funktion des externen Datenschutzbeauftragten gemäß Artikel 37-39 DSGVO und § 38 BDSG übernommen. Der Datenschutzbeauftragte wirkt bei den Auftraggebern auf die Einhaltung des Datenschutzes hin. Er unterrichtet und berät sie hinsichtlich der Umsetzung der datenschutzrechtlichen Pflichten.

Siemens, Smart Infrastructure

DResearch hat für die Kopplung und Integration diverser Subsysteme in ein zentrales Gebäudemanagementsystem gesorgt. Es ging um ein sehr großes Bürogebäude mit vielen Hundert Nutzern. Die dort angesiedelte Behörde ist verpflichtet, unter höchsten Sicherheitsstandards zu arbeiten.

ePayBL

Damit Online-Bezahlen von den Bürgern akzeptiert wird, ist höchste Zuverlässigkeit gefragt. Mit Unterstützung von DResearch ist die ePayBL (E-Payment Bund-Länder) entstanden – eine Plattform, mit der Zahlverfahren wie Kreditkartenzahlungen, SEPA-Lastschrift und giropay in die elektronischen Geschäftsprozesse öffentlicher Verwaltungen integriert werden.

Unser Vorgehen

Rechtmäßigkeit

Wir stellen sicher, dass die Verarbeitung personenbezogener Daten nur erfolgt, wenn sie rechtmäßig ist. Die betroffenen Personen müssen ihre Einwilligung gegeben haben oder die Verarbeitung muss zur Erfüllung einer vertraglichen oder rechtlichen Verpflichtung erforderlich sein.

Datenminimierung

Wir stellen sicher, dass personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke verarbeitet werden. Die Verarbeitung muss dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.

Transparenz

Wir stellen sicher, dass jede betroffenen Person ihr Auskunftsrecht über die personenbezogenen Daten, die Gegenstand der Verarbeitung sind, wahrnehmen kann. Die Informationen darüber sind in präziser, transparenter, verständlicher und leicht zugänglicher Form zu liefern.

Vertraulichkeit

Wir stellen die Vertraulichkeit – einer der drei Grundwerte der Informationssicherheit – sicher. Sie wird definiert als der Schutz vor unbefugter Preisgabe. Je nach Schutzbedarf kommen technische Maßnahmen wie Verschlüsselung oder Digitale Rechteverwaltung zum Einsatz.

Integrität

Wir stellen die Integrität (= Unversehrtheit) von Daten sicher, ferner die korrekte Funktionsweise der datenverarbeitenden Systeme. Der Verlust der Integrität würde bedeuten, dass Daten unerlaubt verändert, Angaben zum Autor verfälscht oder Zeitangaben zur Erstellung manipuliert wurden.

Verfügbarkeit

Wir stellen sicher, dass die Verfügbarkeit unserer Systeme für die Anwender gewährleistet ist. Die Verfügbarkeit ist die Wahrscheinlichkeit oder das Maß, dass ein System zu einem bestimmten Zeitpunkt bzw. innerhalb eines vereinbarten Zeitraumes wie vorgesehen genutzt werden kann.

IT-Sicherheits-Booster für Kleinunternehmen

Auch kleine Unternehmen werden erschreckend oft Opfer von Cyberattacken. Anders als große Unternehmen, die sich eigene IT-Sicherheitsexperten leisten können, sind die kleinen bei knappen Budgets auf den schwindenden Rest an kompetenten externen Beratern angewiesen. Ohne die Garantie, dass die entscheidenden Dinge nachher wirklich getan sind.

Abhilfe bietet seit dem Frühjahr 2023 die DIN SPEC 27076. Neben dem DIN e.V. und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) war unter anderem DResearch an der Entwicklung beteiligt. Hervorgegangen ist die DIN SPEC 27076 aus dem Projekt „mIT Standard sicher“, das vom Bundesministerium für Wirtschaft und Klimaschutz in der Initiative „IT-Sicherheit in der Wirtschaft“ gefördert wurde. (Hier geht es zum Erklärvideo des Bundesverbands mittelständische Wirtschaft zum Thema Cyberrisiko-Check).

Das Schöne an diesem pragmatischen Standard: Er strukturiert den Beratungsprozess komplett vor. Wenn ein qualifizierter Fachberater den Fragenkatalog mit dem Kunden durchgearbeitet hat, sind alle wichtigen Fragen geklärt. Am Ende hält die Geschäftsführung eine Risikoanalyse, Handlungsempfehlungen und Hinweise auf Fördermöglichkeiten in Händen. Also alles, was kleine Unternehmen brauchen, um sich effektiv und effizient gegen Cyberrisiken abzusichern.

Datenschutz- und Informationssicherheit

E-Government

Gebäudesicherheit

Wir machen keine harten Stresstests und bauen keine Firewalls. Wir stellen einfach fest: In unseren Projekten geht immer auch um IT-Sicherheits- und Datenschutzthemen. Ein deutliches Zeichen dafür, dass zumindest große Unternehmen und Behörden aus der anfänglichen Arglosigkeit erwacht sind.