Foto: Gina Sanders - Fotolia.com
Wegen der komplexen IT-Infrastruktur und der Notwendigkeit, IT-Sicherheit professionell zu managen, benötigen die meisten Firmen einen IT-Sicherheitsbeauftragten als zentrale Anlauf- und Entscheidungsstelle. Diese ist eine wichtige Voraussetzung für den Umgang mit der IT-Sicherheit. Das Anforderungsprofil eines IT-Sicherheitsbeauftragten ist allerdings gesetzlich nicht geregelt.
Anders stellt sich die Situation beim Datenschutzbeauftragten dar. So schreibt beispielsweise Paragraph 109 Abs. 3 TKG für den Bereich der Telekommunikationsunternehmen die Bestellung eines Datenschutzbeauftragten vor. Unternehmen, die personenbezogene Daten verarbeiten, müssen fast immer gemäß Paragrah 4f Abs. 1 BDSG einen Datenschutzbeauftragten bestellen.
Es gibt aber auch Parallelen: In Bezug auf den Umgang mit personenbezogenen Daten gleichen die Anforderungen an den Datenschutzbeauftragten dem Tätigkeitsfeld eines IT-Sicherheitsbeauftragten. Letzterer muss sich zusätzlich mit Datenschutzgesetzen auskennen und auch über das Wissen eines Datenschutzbeauftragten verfügen. Der Datenschutzbauftragte hingegen muss das Informations-Management-System in seiner Komplexität verstehen und einschätzen können.
Gegen Datenschutzverstöße vorgehen
Bei näherer Abgrenzung der Aufgaben fallen jedoch einige Unterschiede zwischen beiden Tätigkeiten auf. Der IT-Sicherheitsbeauftragte hat einen breiter angelegten Tätigkeitsbereich. Er muss unter anderem technische Vorkehrungen schaffen, die Eingriffe in die Datensicherheit verhindern. Weiterhin ist es seine Aufgabe, auch die Daten des Unternehmens, die Betriebsabläufe und die Produkte zu schützen. Ziel der Schutzmaßnahmen sind also nicht nur personenbezogene Daten.
- Datenschutz und Datensicherheit
Saugatuck hat einen Fragenkatalog zur Security im Cloud Computing zusammen gestellt, den Interessenten Ihrem potenziellen Cloud-Provider vorlegen sollten. - Fachliche Anforderungen
Wie kann der Kunde auf seine Daten zugreifen oder diese wiederherzustellen? - Fachliche Anforderungen
Wie wird Sicherung der Daten einschließlich Disaster Recovery gewährleistet? - Fachliche Anforderungen
Wie, in welchem Format und nach welchen Umständen oder Bedingungen werden bei Vertragsende die Daten des Kunden an ihn übergeben? - Die Technik für Datenschutz und -sicherheit
Sind die Rechenzentren uneingeschränkt, rund um die Uhr, physikalisch und auch nach Mehr-Personen-Prinzip gesichert? - Die Technik für Datenschutz und -sicherheit
Ist es sichergestellt, dass das Personal des Providers weder Zugang zu den Benutzerpasswörtern und Berechtigungen des Anwenders hat noch diese einsehen kann? - Die Technik für Datenschutz und -sicherheit
Werden die Vorschriften zu Passwortrichtlinien, Zugriffsbeschränkungen, Anmeldeprotokollierungen, Datenzugriffsmodellen sowie zum Feldebenenzugriff dokumentiert? - Die Technik für Datenschutz und -sicherheit
Werden alle Passwörter verschlüsselt übertragen? - Die Technik für Datenschutz und -sicherheit
Gibt es ein sicheres Session-Key-Management und besteht eine Multi-Tenant-Datenzugriffskontrolle? - Die Technik für Datenschutz und -sicherheit
Werden Sicherheitsverstöße überwacht? Werden Eindringversuche (Intrusion Detection) und sicherheitsrelevante Vorfälle (Security-Event-Management) dokumentiert? - Transaktionen im Internet
Gibt es eine 128-bit SSL-Verschlüsselung für jede Transaktion? - Transaktionen im Internet
Liegen Verisign-Zertifikate vor? - Transaktionen im Internet
Werden Perimeter und Firewalls ständig überwacht? Sind Intrusion Detection sowie vorausschauendes Log-File-Monitoring Standardverfahren? - Sicherheitsmonitoring
Werden erfolgreiche und fehlgeschlagene Logins dokumentiert? - Sicherheitsmonitoring
Werden Eindringversuche (Intrusion Detection) und sicherheitsrelevante Vorfälle (Security-Event-Management) dokumentiert? - Interoperabilität mit On-Premise-Anwendungen
Welchen Einfluss haben Security-Architekturen und -Praktiken des Cloud-Providers auf die lokalen Installationen des Anwenders? - Interoperabilität mit On-Premise-Anwendungen
Legt der Betreiber der Multi-Tenancy- und Cloud-Plattform die verwendeten Techniken und Abläufe für das Data-Partitioning offen und dokumentiert sie? - Gesetzliche Anforderungen
Ist bei Speicherung von personenbezogenen Daten außerhalb der Grenzen des Europäischen Wirtschaftsraumes ein angemessenes Schutzniveau gewährleistet, wie es das Bundesdatenschutzgesetz vorschreibt (Paragraf 4b Absatz 2 Satz 2 BDSG)? - Gesetzliche Anforderungen
Ist es sichergestellt, dass ausschließlich solche Anwender auf Anwendung und deren Daten zugreifen können, die auch dazu berechtigt sind? - Gesetzliche Anforderungen
Können personenbezogenen Daten bei der Verarbeitung, Nutzung und nach Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden? - Gesetzliche Anforderungen
Lässt sich nachträglich prüfen und feststellen, ob und von wem personenbezogene Daten in Anwendungssystemen eingegeben, verändert oder entfernt worden sind? - Gesetzliche Anforderungen
Können zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden?
Während der Datenschutzbeauftragte repressiv gegen Datenschutzverstöße vorgeht und auf das Ergebnis der Datensicherheitsvorkehrungen blickt, ergreift der IT-Sicherheitsbeauftragte ergreift Präventivmaßnahmen, die gerade auch Datenschutzverstöße verhindern sollen.
Weiterbildung ist ein Muss
Um stets auf dem neuesten Stand der rechtlichen und technischen Entwicklung zu sein, sind Weiterbildungen notwendig, teilweise sogar vorgeschrieben. Zu diesen zählen Datenschutzschulungen, Awarenesstrainings, Weiterbildung in den rechtlichen Aspekten und Zertifikate wie T.I.S.P., CISSP und ISMS Auditor.
Wie sich Aufgabengebiete in kürzester Zeit gerade in diesem Berufsbild ändern, kann man auf Konferenzen erleben, wo aktuelle Probleme, wie etwa der Einzug von Social Media in die Unternehmenslandschaft, erläutert und neu skaliert werden. Eine wichtige Konferenz ist beispielsweise die von der isits AG organisierten "secaware" auf der it-sa in Nürnberg, wo frisches Wissen über aktuelle Awarenesskampagnen, Social Engineering und Organisation vermittelt wird (15. bis 16. Oktober 2012).
Aber auch die Rechtslage ändert sich ständig, und Datenschutzbeauftragte müssten eigentlich in jedem Jahr eine Schulung im Bereich Recht der IT-und Informationssicherheit belegen, um sich selbst und die Geschäftsführung vor juristischen Konsequenzen unterlassener Maßnahmen oder schlichtweg Unwissenheit zu schützen.