Aufgaben der Datensicherheit

Definition Verantwortliche

Die DSGVO fordert in definierten Fällen die Benennung eines Datenschutzverantwortlichen. Das Schweizer Datenschutz (Art. 9 DSG) gibt dies nicht zwingend vor. Aus unserer Erfahrung sind Datenschutzprojekte dann erfolgreich, wenn eine interne Person zumindest die Überwachung und Koordination übernimmt. In der Praxis sieht es meistens so aus, dass intern noch kein grosses Datenschutz Know How vorhanden ist. Die Delegation des Themas an einen externen Berater ist aber auch nicht optimal, weil dieser wiederum die internen Prozesse und Fragestellungen des Alltags nicht kennt. Die optimale Kombination ist also eine interne Koordinationsstelle und die Unterstützung einer (externen) Datenschutzfachperson. Welchen Titel dieser internen Fachperson dabei verliehen wird, ist dabei zweitrangig, da sich die Verantwortung des Datenverarbeiters nicht delegieren lässt.

Je nach Betriebsgrösse müssen also eine oder mehrere Personen, als Projektleiter für die Thematik Datenschutz und Datensicherheit festgelegt werden. Diese Personen sind für die Durchführung des Inititalprojektes, die laufende Überwachung, die Beantwortung von internen Fragestellungen sowie die Schulung der Mitarbeiter verantwortlich und sind ebenfalls als erste Ansprechpartner im Falle eines Vorfalles (Datenverlust, Auskunftsbegehren, etc.) zu definieren.

Inventarliste

Wie das Bearbeitungsverzeichnis im Bereich Datenschutz stellt die Inventarliste in der Datensicherheit die Basis aller weiteren Aktivitäten dar. In dieser wird die IT-Infrastruktur mindestens in einer Übersicht dokumentiert werden. Grössere Unternehmen arbeiten hierbei mit eigenen Systemen (ITIL), kleinere Unternehmen behelfen sich mit einer Excel Liste. Gemäss IT-Sicherheitsrichtlinie der FMH soll diese Inventarliste für sämtliche IT-Elemente mindestens folgende Attribute  enthalten:

• Name und Bezeichnung
• Identifikationsdaten (z. B. System-ID)
• Verwendungszweck
• Standort der Hardware
• Verantwortliche Person
• Zugriffsrechte auf das ICT-Mittel
• Adressierungselemente (DNS-Name, IP-Adresse) der Hardware
• Angaben zur Garantie und Wartung der Hardware
• Eingesetzte Software-Versionen (Betriebssystem, Antivirus, Applikationen)
• Ablaufdatum und Aussteller der verwendeten Zertifikate (SSL/TLS-Zertifikate)

IT- und Datensicherheitsrichtlinien

Das Datenschutzgesetz gibt keine spezifischen Richtlinien vor, sondern spricht von geeigneten technischen und organisatorischen Massnahmen für die Gewährleistung einer dem Risiko angemessenen Datensicherheit. Diese Massnahmen müssen es laut Gesetz ermöglichen, Verletzungen der Datensicherheit zu vermeiden.

Das Bundesamt für Sicherheit und Informationsschutz (BSI), die Datenschutzkonferenz (DSK) sowie die FMH veröffentlichten hierzu Richtlinien die als Leitfaden bei der Analyse dienen können. Die Richtlinien sind interdisziplinär, das heisst es geht um

• den Aufbau einer Datenschutz und Datensicherheitsorganisation (Definition von Verantwortlichen, Verwaltung der Informations- und Dokumentationspflichten, Schulungsmanagement, etc.)
• die Sensibilisierung der Mitarbeiter, Merkblätter für Mitarbeiter, Stillschweigevereinbarungen, eventuell Anpassungen der Arbeitsverträge
• die Erstellung eines IT-Handbuches (Definition der Betriebsrichtlinien)
• technische Sicherheitsvorkehrungen (Firewall, Virenschutz, Backup, etc.)
• den Aufbau eines Notfallmanagements

Die Herausforderungen bei der Analyse und Definition der Richtlinien ist die Beteiligung von unterschiedlichen Entscheidern, Know How Trägern (Geschäftsleitung, IT-Abteilung, HR) und betroffenen Personengruppen. Ebenfalls die Tatsache, dass Sicherheitsmassnahmen ineinander greifen und eine kleine Lücke bereits ausreichen kann, dass das System nicht ausreichend schützt. Im weiteren verhalten sich die Elemente der Datensicherheit dynamisch, was zur Folge hat, dass Richtlinien mindestens jährlich überprüft werden müssen. Sollte es zu einem Schadensfall kommen, wird die Haftung des Verantwortlichen auch an den Bemühungen gemessen. Es ist ein Unterschied, ob ein Schaden aufgrund kompletter Sorglosigkeit oder trotz eines fundierten Sicherheitskonzeptes entstanden ist.

IT- und Datensicherheitsaufgaben

Die IT- und Datensicherheitsaufgaben resultieren aus den im vorstehendem Absatz beschriebenen Richtlinien. Dabei wird festgelegt, mit welchen einmaligen und wiederkehrenden Massnahmen die jeweilige Richtlinie erfülllt werden soll. Dabei ist es wichtig, die Verantwortlichkeiten und Aufgaben klar zu definieren, damit deren Erfüllung auch überprüft werden kann. Wenn Externe, zum Beispiel ein IT-Support Unternehmen betroffen sind,  ist es von Vorteil die Aufgaben vertraglich festzuhalten.

Merkblatt Mitarbeiter

Das Datensicherheits-Merklatt für Mitarbeiter ist ebenfalls ein Resultat aus der Definition der Richtlinien. Hier werden alle Dos and Donts und wichtige Informationen aufgeführt, wie beispielsweise:

• Ansprechpersonen bei Sicherheitsvorfällen
• Umgang mit Passwörter
• Umgang mit eMail
• Verwendung des Bildschirmschoners
• private Nutzung von betrieblichen IT-Mitteln
• privates Surfen, eMailen
• Soziale Medien
• usw.

Idealerweise liegt das Merkblatt an den Schreibtischen der Mitarbeiter auf und ist Bestandteil des Einstellungsprozesses sowie der laufenden Sensibilisierungsschulungen.

Merkblatt IT-Support

Auch das Datensicherheits-Merklatt für die IT, ist ein Resultat aus der Definition der Richtlinien. Es dient der internen und/oder dem externen IT-Supporter als Leitlinie bezüglich der IT-Infrastruktur. Inhalte können sein:

• Ansprechpersonen bei Sicherheitsvorfällen
• Konfiguration Benutzerkonten
• Kennwortschutz BIOS/UEFI
• Vorgaben Passwortgestaltung
• Konfiguration externe Laufwerke, USB-Stick
• Netzwerk, Netzwerksegmentierung
• usw.

Das IT-Merkblatt ist ein wirksames Instrument, vor allem wenn die IT an einen oder mehrere Dienstleister outgesourct ist und der Verantwortliche damit an einer zentrale Stelle festhält, welche Punkte bei der Planung, Konfiguration oder Installation obligatorisch eingehalten werden müssen.

Verträge mit Dienstleistern

Das DSG fordert die Vereinbarung eines Auftragsbearbeitervertrag mit Dritten, welche Daten des Verantwortlichen bearbeiten. Mit diesem Vertrag sichert sich der Verantwortliche ab, dass auch sein Partner die Regeln des DSG einhält. Dies ist gemäss DSG zwingend erforderlich ansonsten dürfen keine Daten an Dritte weitergegeben werden. Neben der gesetzlichen Vorgabe ist die vertragliche Absicherung auch im Falle eines Sicherheitsvorfalle bezüglich der Haftung wichtig. Im Überblick sollten mit Dritten folgende Vereinbarungen getroffen werden:

• Auftragsbearbeitervertrag gemäss DSG
• Stillschweigevereinbarung
• Definition Anforderungen
• Definition Reports über die laufenden Datensicherheitsmassnahmen
• Geografische Datenablage und -verarbeitung

Für die Leistungsvereinbarung mit Cloud-Anbietern gilt die aktuellste Ausgabe des Rahmenvertrages der FMH für Cloud-Services.

Schulungskonzept Mitarbeiter

Die laufende Sensibilisierung von Mitarbeiter bezüglich IT- und Datensicherheit ist ein Grundpfeiler eines Sicherheitskonzeptes. Schlussendlich sind sie es, welche Daten verarbeiten. Bei einem Flugzeug käme auch niemand auf die Idee einen ungeschulten Piloten fliegen zu lassen. Neben der Verbesserung des Sicherheitsniveaus durch geschulte Mitarbeiter, ist das Vorweisen können eines fundierten Ausbildungskonzeptes auch haftungstechnisch von Vorteil, wenn trotz allem ein Sicherheitsvorfall passiert. Bestandteile des Schulungskonzeptes sind die Themen des Mitarbeiter Merkblattes und ebenfalls aktuelle Themen der Datensicherheit. Beispiele solcher Bestandteile sind:

• Stellvertreterauskünfte
• Sichere Datenübertragungen
• Verwendung von Whatsapp und Co.
• Bildschirmschoner
• Umgang mit Passwörtern
• usw.