Informationssicherheit versus Datenschutz

Kann Informationssicherheit gewährleistet werden, ohne den Datenschutz zu verletzen?

Informationssicherheit und Datenschutz haben für Unternehmen heutzutage eine hohe Relevanz. Beide Disziplinen müssen gemäss Gesetz [1] eingehalten werden. Wie die Realität aber zeigt, ist die Einhaltung beider Disziplinen nicht immer ganz so einfach. Verantwortliche wie die Geschäftsleitung und der Informationssicherheitsbeauftrage stellen sich immer wieder die Frage, wie sie Informationssicherheit etablieren können, ohne den Datenschutz zu verletzen [2].

Passender Artikel dazu: Vertrauen oder digitale Überwachung am Arbeitsplatz?

Beispiel E-Mail

E-Mail ist im Geschäftsalltag nach wie vor eines der wichtigsten Kommunikationsmedien. Informationen fliessen über dieses Medium ins Unternehmen und verlassen dieses. Aber nicht nur legitime Information ist in E-Mails enthalten, auch Malware wird beispielsweise über diesen Kanal verbreitet oder sensitive Information wird aus dem Unternehmen ausgeleitet. Deshalb ist es nachzuvollziehen, dass seitens Informationssicherheit die Forderung besteht, in E-Mails hineinschauen zu können und den Inhalt zu prüfen. Schliesslich möchten die Verantwortlichen nicht, dass Malware die Geräte des Unternehmens infiziert. Doch genau das Hineinschauen in E-Mails, ist hinsichtlich Datenschutzgesetz (DSG) [3] ein heikles Vorgehen. Es ist eigentlich genau gleich wie mit der Briefpost: Niemand möchte, dass seine Briefe vorgängig gelesen werden!

Das Problem lässt sich technisch relativ einfach lösen. Natürlich muss ein Virenschutzprogramm vorhanden sein, welches die E-Mails inhaltlich scannt. Falls dieses nun mittels der definierten Filter-Regeln feststellt, dass eine E-Mail mit Malware infiziert ist, darf diese dem Empfänger nicht zugestellt werden. Stattdessen sollten der Sender sowie der Empfänger, eine vom System versandte Benachrichtigung über das Zurückhalten der E-Mail erhalten. Zweifelt der Empfänger die Richtigkeit dieser Massnahme an, soll er die Möglichkeit haben, den Inhalt der E-Mail einsehen zu können.

Was jedoch nicht sein darf, ist, dass Dritte (z. B. der Informationssicherheitsbeauftragte oder die IT-Abteilung) einfach so in die E-Mail hineinschauen können. Das würde gegen das Datenschutzgesetz (DSG) verstossen. In den Weisungen des Unternehmens muss das genaue Vorgehen transparent definiert sein. Nur auf ausdrücklichen Wunsch des Empfängers darf die E-Mail von Dritten geöffnet werden.

Beispiel Firewall

Einerseits schützt eine Firewall das Netzwerk des Unternehmens, andererseits können mit ihr auch der Internet-Zugang der Benutzer überwacht und unerwünschte Websites, wie beispielsweise Pornoseiten, gesperrt werden. Werden Websites mittels Firewall-Regeln gesperrt und ein Benutzer greift auf diese willentlich oder unwillentlich zu, besteht eine Regelverletzung und die Firewall blockiert den Zugriff auf diese. Werden dann die Verantwortlichen (z. B. das HR) über diese Regelverletzung informiert, ist dies ein Verstoss gegen das Datenschutzgesetz (DSG) [3].

Technisch muss also sichergestellt werden, dass die Website blockiert wird, aber nur der Benutzer über die Regelverletzung informiert wird. Am einfachsten wird ihm dies direkt auf einer Website angezeigt. Zudem gilt es zu gewährleisten, dass keine weiteren Personen über den Verstoss informiert werden.

Falls die aufgetretenen Regelverletzungen in einem Logfile festgehalten werden und von einem Verantwortlichen einsehbar sind, dürfen nur anonymisierte Auswertungen möglich sein. Auch dies muss in den Weisungen des Unternehmens festgehalten werden. Das sollte übrigens nicht nur beim Logfile der Firewall, sondern bei allen Server-Logfiles so umgesetzt werden [4].

Beispiel Datensicherung

Eine regelmässige Datensicherung ist extrem wichtig. Bei der Erstellung von Backups müssen diverse sicherheitsrelevante Punkte beachtet werden [5]. Wichtig ist aber auch, dass die darin gesicherten sensiblen Daten vor neugierigen Augen geschützt werden, diese also von den Verantwortlichen sowie allfälligen Dritten nicht eingesehen werden können. Vielleicht wird das Datensicherungsmedium ja sogar ausser Haus gelagert.

Technisch lässt sich dies durch eine Verschlüsselung der Daten realisieren. Praktisch alle Datensicherungsprogramme bieten diese Option an. In der entsprechenden Weisung ist deshalb festzuhalten, dass Verantwortliche Daten nur durch Aufforderung des Benutzers wiederherstellen und einsehen dürfen.

Aber nicht nur die Daten auf der Datensicherung sind datenschutzrelevant. Alle Daten eines Unternehmens werden in Datenablagen gespeichert. Hier gilt es Transparenz zu schaffen. Für die Mitarbeitenden muss klar sein, wer auf welche Ordner Zugriff hat und welche Ordner gesichert werden. Ein Benutzer muss wissen, dass wenn er beispielsweise seine Gesundheitsakte in einem Ordner auf der Datenablage abspeichert, diese unter Umständen von anderen Benutzern eingesehen werden kann oder diese in der Datensicherung landet. Eine Möglichkeit besteht darin, dass die Verantwortlichen jedem Benutzer private Ordner zur Verfügung stellen, die nicht gesichert werden. Besser ist es, wenn die persönlichen Daten vom Benutzer verschlüsselt abgelegt werden. So können sowohl die Informationssicherheitsziele Vertraulichkeit, Integrität und Verfügbarkeit erfüllt, wie auch der Datenschutz gewährleistet werden.

Fazit

Um Informationssicherheit zu gewährleisten, besteht seitens der Geschäftsleitung und des Informationssicherheitsbeauftragen oft der nachvollziehbare Wunsch, vieles zu überwachen – was datenschutzmässig nicht immer konform ist. Überwacht werden darf, aber nur maschinell! Und das Resultat dieser Überwachung darf nur dem Überwachten zugänglich gemacht werden. Falls dieser mit dem Resultat der Überwachung nicht einverstanden ist, muss ihm die Möglichkeit gegeben werden, Massnahmen einzuleiten. Erst dann dürfen Verantwortliche über die Resultate in Kenntnis gesetzt werden und dürfen allfällige Unterstützung bieten. Es gibt immer technische und organisatorische Möglichkeiten die Informationssicherheit zu gewährleisten, ohne den Datenschutz zu verletzen. Wichtig ist, dass beiden Disziplinen genügend Beachtung geschenkt wird.

Quellen

[1] https://www.edoeb.admin.ch/edoeb/de/home/datenschutz/ueberblick/datenschutz.html – Abruf am 21.10.2020
[2] https://www.temet.ch/artikel/datenschutz-vs-informationssicherheit/ – Abruf am 21.10.202
[3] https://www.admin.ch/opc/de/classified-compilation/19920153/index.html – Abruf am 21.10.2020
[4] https://www.datenschutz.org/logfiles/ – Abruf am 21.10.2020
[5] https://www.ebas.ch/datensicherung-im-kmu-umfeld/ – Abruf am 21.10.2020

Autor

Schupp DominikDominik Schupp
Wissenschaftlicher Mitarbeiter Informationssicherheit & Datenschutz
Team «eBanking – aber sicher!» (www.ebas.ch)
Hochschule Luzern – Informatik

«eBanking – aber sicher!» ist eine unabhängige Plattform der Hochschule Luzern – Informatik, die Sie dabei unterstützt, Ihre persönliche Informationssicherheit mit Fokus auf E-Banking wahrzunehmen. Auf der Website www.ebas.ch finden Interessierte praxisnahe Informationen rund um das Thema Informationssicherheit und notwendige Massnahmen und Verhaltensregeln für eine sichere Anwendung von E-Banking-Applikationen.

Die Kommentarfunktion ist geschlossen.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More

MoreThanDigital Newsletter
Subscribe
Join the #bethechange community
close-image