Data Protection & Privacy
E-3 Magazin, Juni 08, Seite 66, Management
SECUDE Global Consulting: Data Privacy & Protection – Bestandteil einer erfolgreichen Enterprise Risk Management-Strategie (ERM)
Data Privacy und Data Protection sind Begriffe, die in dem angloamerikanischen Raum verwendet werden und im Deutschen unter dem Begriff „Datenschutz“ bekannt sind. Es gilt die grundlegende Frage zu klären, was unter dem Begriff allgemein verstanden wird und welche Maßnahmen daraus resultierend zwingend erforderlich sind.
Folgt man einschlägigen Definitionen, so wird Datenschutz als der Schutz vor Missbrauch, Veränderung, Verlust oder Diebstahl von personenbezogenen Daten, wissenschaftlichen und technischen sowie von unternehmensbezogenen Daten bezeichnet. Wobei das derzeitige Hauptaugenmerk auf dem Schutz personenbezogener Daten liegt. In der heutigen globalen Wirtschaft und auch im alltäglichen Leben gewinnen Data Protection und Privacy zunehmend mehr an Bedeutung. Die Öffentlichkeit zeigte unlängst ein erhöhtes Interesse daran, wie Unternehmen, Behörden und andere Daten verarbeitende und Daten speichernde Stellen mit den ihnen zur Verfügung stehenden Daten umgehen, und viel mehr was mit diesen geschieht.
Durch die Globalisierung beschränkt sich der heutige Datenaustausch nicht mehr auf nationale Ebene, sondern vermehrt auch auf den Austausch personenbezogener Daten mit Ländern der EU und Drittstaaten. Daraus ergeben sich Problematiken wie beispielsweise das Übermitteln von personenbezogenen Daten an, mit und durch Kunden, Zulieferer, Dienstleister (Outsourcing) und durch Konzern-Töchter- und Schwesterunternehmen im Ausland.Die Rechtsgrundlage für den Austausch personenbezogener Daten im Inland bildet das Bundesdatenschutzgesetz (BDSG). Dadurch, dass sich der Transaktionsradius eines international agierenden Unternehmens eben nicht auf den nationalen Markt beschränkt, wurde 1995 die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum „Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“ verabschiedet. Die dort verankerten Richtlinien sind verbindlich für jegliche Datenübermittlung zwischen Ländern der EU/EWR sowie mit Drittstaaten. Die Datenschutzrichtlinie beinhaltet den Grundsatz, dass personenbezogene Daten nur in Länder außerhalb der EU übermittelt werden können, die ein angemessenes Schutzniveau leisten und zielt darauf ab, die Hindernisse für den freien Datenverkehr aus dem Weg zu räumen, ohne den Schutz von personenbezogenen Daten zu beeinträchtigen.
Wie jüngste Ereignisse unserer englischen und italienischen Nachbarn demonstrieren, haben allerdings selbst Behörden in der heutigen Zeit Probleme mit dem sorgfältigen Umgang personenbezogener Daten. Die britische Regierung musste 2007 den Verlust von CDs mit persönlichen Daten von rund 25 Millionen Kindergeldempfängern beklagen, nachdem diese auf dem postalischen Weg versandt wurden und abhanden kamen. Nicht zuletzt konnte die Regierung die Frage der Verschlüsselung der darauf enthaltenden Daten nur damit beantworten, dass es keine gegeben habe. Im Mai 2008 stellte die italienische Finanzbehörde die Steuererklärungen aus dem Jahr 2005 von rund 38 Millionen Bürgern auf ihre Website. Die Schadenersatzforderung beläuft sich derzeit auf knapp 20 Milliarden Euro. Gerade der Datenaustausch der zu übermittelnden personenbezogenen Daten wie zum Beispiel HR-Daten in einem internationalen Unternehmen, stellt sich auf Grund der wachsenden regulativen und rechtlichen Anforderungen oft als schwieriger heraus als ursprünglich angenommen.
Folgt man dem AIC Triad von der herkömmlichen Information-Security-Betrachtungsweise, so sind die Begriffe Data Privacy und Data Protection allen drei Komponenten zuzuweisen: Availabilty (Verfügbarkeit), Daten müssen gegen Verlust geschützt werden und jederzeit autorisierten Personen zugänglich sein; Integrity (Integrität), der Inhalt der Daten muss richtig sein und nicht durch unbefugten Zugriff verändert werden; Confidentiality (Vertraulichkeit), Daten dürfen nur autorisierten Personen zugänglich gemacht werden und nicht autorisierte Personen dürfen keinerlei Einsichtmöglichkeiten erlangen. Daraus ergeben sich eine hohe Anzahl von Policies, Richtlinien, Guide – und Baselines, denen Unternehmen heutzutage gerecht werden müssen.
Datensicherheit ist nicht erst ein Thema, das die jetzige Weltbevölkerung beschäftigt. Schaut man zurück in die Antike und in die Vergangenheit, so stößt man immer wieder auf das Thema „Wie kann man Informationen bestimmten Leuten vorenthalten oder nur auserwählten zugänglich machen?“ und „Wie kann man den Inhalt der Information verifizieren, sprich die Authentizität der zu übermittelnden Information beglaubigen?“.
Julius Caesar selbst hatte schon für die Kommunikation mit seinen Generälen eine frühzeitige Verschlüsselung entwickelt, den nach ihm benannten “Caesar Cypher”, welcher auf dem Prinzip der Substitution basiert.
Zur Erklärung: Die Original-Textbuchstaben werden mit einem Chiffre Buchstaben, wie hier im Beispiel, um drei Positionen im Alphabet getauscht. Eine Nachricht wie „Heute Angriff zur Mittagszeit” würde dem Text „KHXWH DQJULII CXU PLWWDJVCHLW” entsprechen. Mit ein wenig Überlegung wäre dies aus heutiger Sicht leicht zu entschlüsseln, da man Blöcke und Wiederholungen erkennen kann. Bedenkt man aber, dass zu dieser Zeit nur die Wenigsten überhaupt im Stande waren zu lesen, bot diese Art der Informationsverschlüsselung einen erheblichen Schutz, falls die Nachricht in die falschen Hände geriet.
Heutzutage gibt es zahlreiche Datenschutzmechanismen, die den Schutz vor unbefugter, unerlaubter und unbeabsichtigter Veränderung, Zugriff sowie Verlust von automatisch als auch manuell verarbeiteter Daten verfolgen.
Physical Security: Physikalische Sicherheit innerhalb eines Unternehmens wird oft unterschätzt, ist jedoch der erste Abwehrmechanismus gegen unerlaubten Zutritt und Zugriff auf „Corporate Assets“. Diese kann sowohl abschreckende Wirkung haben, wie durch Zäune, Gitter oder Kameras, als auch verhindernde Wirkung, wie die direkte Zutrittskontrolle durch Tore, Schleusen, Wachpersonal und Ausweisen mit biometrischen Merkmalen, Scannern etc.
Access Control: Der Zugriff auf Daten innerhalb eines Unternehmens muss durch ein Zugriffskonzept gesteuert werden. Bekannte Zugriffskonzepte wie zum Beispiel Mandatory Access Control (MAC) kontrollieren und steuern Zugriffsrechte innerhalb eines Unternehmens nicht auf Basis der Identität des Akteurs, sondern anhand von Klassifizierungen, das so genannte Labeling der Daten und Codewörter. Anders verhält es sich bei Discretionary Access Control (DAC). Hierbei wird allein die Identität des Nutzers als Basis für die Zugriffvergabe verwendet. Bei der Role Based Access Control (RBAC) wiederum werden Nutzern innerhalb eines Systems Rollen zugewiesen, denen bestimmte Zugriffsrechte zuteilt sind. Des Öfteren finden auch Access Control Lists (ACL) Anwendung. In diesem Fall wird wie in einer Matrix bestimmten Subjekten (Nutzern) Zugriff auf Objekte (Daten) gestattet. Vorteil ist hierbei die Granularität, auf der man Zugriffsrechte vergeben kann.
Des Weiteren kann die Verfügbarkeit, Integrität und Vertraulichkeit von Daten durch den Einsatz von Kryptographie, demilitarisierten Zonen (DMZ), Firewalls – um nur einige zu nennen – gewährleistet werden. Diese dienen dem wirkungsvollen Schutz vor Angriffen sowohl von außen als von innen durch z. B. Viren, Würmer, Trojaner, Spoofing, Phishing, Social Engineering, Dumpster Diving etc. Datenschutz endet nicht mit dem Übermitteln oder der Speicherung personenbezogener Daten, da sich die Informationssicherheit auf den gesamten Lebenszyklus der Daten erstreckt. Dies umfasst ebenso die Verfahrensweise mit Medienträgern, welche entweder zur Wiederverwendung bereitgestellt werden sollen oder zur Entsorgung bestimmt sind.
Autor: Christine Gabrys, Senior Consultant SECUDE Global Consulting (Deutschland) GmbH
- E-3 Mai 2013
