Brandmauer-it-security_Verlauf_heller_1920-x-600-px-Banner.jpg

BRANDMAUER IT Security Blog

So bleiben Sie in Sachen IT und IT Sicherheit stets auf dem neuesten Stand

Das gehört in ein gutes Datenschutzkonzept (Teil 2)

Eric Weis | 15.08.2018 12:00:00 | Lesezeit ca. 2,5 Minuten

Dieser Artikel stellt die Fortsetzung zu „Das gehört in ein gutes Datenschutzkonzept (Teil 1)“ dar. Daher hier eine kurze Zusammenfassung von Teil 1: Grundsätzlich muss ein Datenschutzkonzept dafür sorgen, dass Ihre Datenbestände die Schutzziele der Informationssicherheit (Vertraulichkeit, Integrität und Verfügbarkeit) erreichen. In
Teil 1 habe ich mich hauptsächlich mit dem Punkt Vertraulichkeit beschäftigt. Dazu gehörte eine Zutrittskontrolle (z.B. verschlossene Serverräume), eine Zugangskontrolle (z.B. Passwortkonvention mit komplexem Passwort) und eine Zugriffskontrolle (z.B. Berechtigungskonzept).

 

Vertraulichkeit, Integrität und Verfügbarkeit

Integrität:

Hierbei sollten Sie zuerst eine Weitergabekontrolle einführen, damit personenbezogene Daten auch nur berechtigte Personen erreichen. Dazu gehört vor allem, die Daten bei Übertragung per Mail zu verschlüsseln, SSL-basierte Webservices bzw. Webseiten zu verwenden und VPN-Verbindungen einzurichten, damit Angestellte von außerhalb sicher auf Daten zugreifen können. Ferner sollten die Speicher von mobilen Geräten wie Laptops oder Tablets unbedingt verschlüsselt werden. Das gilt selbstverständlich auch für mobile Speichermedien wie z.B. USB-Sticks.

Lesen Sie hier: Welche Risiken birgt mobiles Arbeiten?

Folgende beispielhafte Punkte zur Sicherstellung der Integrität sind zu prüfen:

  • E-Mail-Verschlüsselung
  • Verbot des Einsatzes privater Speichermedien
  • Besonderer Schutz beim Transport physischer Speichermedien
  • VPN-Verbindungen

Der nächste Punkt nennt sich Eingabekontrolle. Hier geht es darum, dass die Änderung an personenbezogenen Daten bzw. deren Löschung eindeutig der Person zugeordnet werden kann, die sie durchgeführt hat. Das heißt, Sie müssen dafür sorgen, dass diese Änderungen nachvollziehbar werden. Ein funktionierendes Identitätsmanagement in allen Applikationen und im Netzwerk ist hierfür die Voraussetzung. Nicht vergessen sollten Sie auch Datenverarbeitungen, die via automatischer Verarbeitungsjobs durchgeführt werden.

Verfügbarkeit:

In diesem Kontext bedeutet Verfügbarkeit, dass Sie dafür sorgen müssen, dass personenbezogene Daten z.B. mittels einer funktionierenden Datensicherung geschützt werden. Ebenso müssen die Datenverarbeitungssysteme durch ein dokumentiertes Patch-Management gesichert werden. Vermeiden Sie unbedingt Systeme, die vom Hersteller nicht mehr gewartet werden! Weiterhin sollten Serverräume bzw. Rechenzentren speziell geschützt werden. Dazu gehört beispielsweise ein Brandschutz, eine USV oder eine spezielle Serverraumüberwachungseinheit.

Folgende beispielhafte Punkte sind zu prüfen:

  • Dokumentiertes Patch-Management
  • Unterbrechungsfreie Stromversorgung
  • Klimatisierung der Server
  • Brandschutz
  • Implementiertes Backup- und Recovery-Konzept
  • Notfallplan
  • Aufbewahrung der Datensicherung an einem ausgelagerten, sicheren Ort

Regelmäßige Überprüfung und Überwachung:

Zuletzt sollte sichergestellt sein, dass der Datenschutz regelmäßig überprüft und bewertet wird. Das schließt die Schulung und Sensibilisierung der Mitarbeiter ein. Auch muss ein Meldeprozess bei Datenschutzverletzungen erstellt werden.

 

Jetzt Blog abonnieren!

 

Fazit

Sie haben nun einige Punkte gesehen, anhand derer Sie Ihr Datenschutzkonzept bewerten können. Auch wenn wir nicht alle Punkte nennen konnten, sollten Sie ein Gefühl erhalten, ob Ihr Datenschutzkonzept leistungsfähig ist. Weist es schon bei den genannten Punkten größere Lücken auf, sollten Sie schnellstmöglich handeln und sich um das Thema Datenschutz kümmern! Schlussendlich kann aber natürlich jedes Unternehmen andere Prioritäten in seinem Datenschutzkonzept setzen. Wichtig ist, dass Sie den Datenschutz geregelt und dokumentiert haben und er nicht nur Ihren sondern auch den Ansprüchen Ihrer Kunden genügt. Es kann nicht zu viel Datenschutz geben!

 

Das könnte Sie auch interessieren:

In unserem DSGVO Ratgeber erhalten Sie Antworten zu wichtigen Datenschutz-Fragen. 

BRANDMAUER IT DSGVO Ratgeber

Themen: Datenschutz

Autor: Eric Weis

Eric Weis startete 2005 seine Karriere im IT-Business. Ein klassischer Start als IT-Systemadministrator legte dabei den fachlichen Grundstein, um später in nationalen und internationalen IT-Sicherheitsprojekten als Projektleiter zu agieren. Seit 2015 ist der IT-Experte außerdem Chief Information Security Officer und Auditor der ISO/IEC 27001. Weitere Zertifizierungen nach ITQ13 und VDS zeugen von seiner Leidenschaft für die IT Sicherheit. Seine tiefgehenden IT-Kenntnisse, gepaart mit seinen kommunikativen Fähigkeiten, machen Ihn zum Bindeglied zwischen der IT Organisation und dem Management. Eric Weis kann komplexe IT-Themen verständlich in alle Zielgruppen transportieren!

Telefon: (+49) 7272 92975 200
E-Mail: e.weis@brandmauer.de

Aktuellste Beiträge

Cyberversicherung

Schützen Sie Ihr Unternehmen im Falle einer Cyberattacke!

Cyberversicherung

Mehr erfahren
Managed IT Security Training Service

Mitarbeiter für IT-Sicherheit sensibilisieren ab 2 Euro pro User/Monat

Security Online Training

Mehr erfahren

Blog abonnieren

Gratis Downloads für Ihre IT Sicherheit
Serverlandschaft_ IT Services_550x300_170526

Keine Planungs- und Betriebssicherheit?

Managed IT Services

Mehr erfahren