Die IT-Sicherheit, als Teil der Informationssicherheit, ist eine wesentliche Voraussetzung zur Umsetzung des Datenschutzes in der EKD, da IT-Sicherheit und Datenschutz zwei Seiten der gleichen Medaille sind: Wenn IT-Geräte, auf denen personenbezogenen Daten gespeichert und verarbeitet werden, nicht entsprechend geschützt sind, kann der Datenschutz auch nicht gewährleistet werden. Allerdings macht die Gerätesicherheit alleine keine IT-Sicherheit aus. Hier geht es zusätzlich um die Sicherheit außerhalb der Geräte, also um den Menschen und sein Arbeitsumfeld. Denn nur in der Gesamtheit kann man IT-Sicherheit wirkungsvoll betreiben. Aus diesem Grund ist IT-Sicherheit ein elementarer Bestandteil von Datenschutz, der leider oftmals vernachlässigt wird.
Die Bedeutung dieses Themas zeigt sich alleine schon durch § 9 DSG-EKD und seiner ausführlichen Anlage. Demnach sollen geeignete technische und organisatorische Maßnahmen (TOMs) getroffen werden, die je nach Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, einen angemessenen und wirksamen Schutz zu gewährleisten. Hier werden acht Kategorien aufgezählt:
- Zutrittskontrolle: Unbefugten ist der physische Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogenen Daten verarbeitet oder genutzt werden, zu verwehren. Für die Umsetzung der Maßnahme sind z.B. die Verwendung von Berechtigungsausweisen oder der Einsatz von Alarmanlagen oder Überwachungseinrichtungen geeignet.
- Zugangskontrolle: Unbefugte dürfen nicht in die Lage versetzt werden, Datenverarbeitungsanlagen zu nutzen. Zur Umsetzung dieser Kontrollmaßnahme kommt beispielsweise ein effektives Passwortmanagement – ggf. mit Zwei-Faktor-Authentifikation – sowie eine entsprechende Protokollierung der Passwortnutzung in Betracht.
- Zugriffskontrolle: Diese soll gewährleisten, dass die Berechtigten ausschließlich die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. In der Regel wird dies durch die Entwicklung und den Einsatz eines rollenbasierten Berechtigungskonzeptes umgesetzt.
- Weitergabekontrolle: Diese soll verhindern, dass personenbezogene Daten bei der elektronischen Übertragung, während ihres Transports oder ihrer Speicherung auf Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können. Es soll zudem überprüft und festgestellt werden können, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Als Maßnahmen kommen u.a. Regelungen zur Datenträgervernichtung, Taschenkontrollen etc. in Betracht.
Satz 3 der Anlage zu § 9 DSG-EKD stellt explizit heraus, dass die Verwendung eines dem Stand der Technik entsprechenden Verschlüsselungsverfahrens eine Maßnahme für die Zugangs-, Zugriffs- sowie Weitergabekontrolle ist.
- Eingabekontrolle: Es muss nachträglich festgestellt werden können, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt wurden. In Betracht kommt hier die Protokollierung von Dateneingaben sowie -löschungen.
- Auftragskontrolle: Personenbezogene Daten, die im Auftrag verarbeitet werden, dürfen nur entsprechend den Weisungen des Auftraggebers verarbeitet werden. Der Auftraggeber hat dem Auftragnehmer im Rahmen der Auftragsdatenverarbeitung daher entsprechende Weisungen zu erteilen und die Einhaltung dieser durch den Auftragnehmer regelmäßig zu kontrollieren. Die entsprechenden Abreden hierzu, insbesondere auch die Befugnis zur Unterbeauftragung weiterer Dienstleister, sind schriftlich zu treffen. Hierfür wird in der Regel ein ADV-Vertrag geschlossen.
- Verfügbarkeitskontrolle: Personenbezogene Daten sind gegen (mutwillige o. zufällige) Zerstörung oder Verlust zu schützen. Sicherungsmaßnahmen wie z.B. der Einsatz einer unterbrechungsfreien Stromversorgung (USV) oder von Notstromaggregaten, Erstellung von Backups sowie deren Auslagerung etc. sollten in einem Notfallplan festgehalten werden.
- Trennungsgebot: Personenbezogene Daten, die zu unterschiedlichen Zwecken erhoben wurden, müssen getrennt verarbeitet werden. Umgesetzt werden kann dieses Ziel z.B. durch die Verwendung von mandantenfähiger Software und entsprechend konzipierten Zugriffsberechtigungen.
Mit der Novellierung des DSG-EKD im Januar 2013 ist nach § 9 Absatz 2 DSG-EKD jede kirchliche Stelle sogar verpflichtet, IT-Sicherheit zu gewährleisten. Diese Verpflichtung wird durch die noch zu verabschiedende IT-Sicherheitsverordnung konkretisiert. Demnach werden alle kirchliche Stellen verpflichtet, IT-Sicherheit nach „BSI-Grundschutz“ sicherzustellen. Die IT-Grundschutzkataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bieten eine Auswahl an geeigneten Maßnahmen zur Erreichung und Aufrechterhaltung der Datensicherheit. Das Konzept der IT-Grundschutzvorgehensweise besteht in der Zugrundelegung pauschaler Gefährdungen und hält für diese entsprechende technische und organisatorische Schutzmaßnahmen bereit. Somit gehören zu einem ganzheitlichen Datenschutzkonzept von kirchlichen Stellen neben organisatorischen, wirtschaftlichen und juristischen Aspekten also genauso die informations- und kommunikationstechnischen Elemente samt ihrer Konzeptionierung, Regelung und Absicherung.
Bildnachweis: Q.pictures / pixelio.de
Bildquellen
- 682457_original_R_K_B_by_Q.pictures_pixelio.de: Q.pictures / pixelio.de