News

Archiv

Datenschutz Aufsichtsbehörden prüfen verstärkt IT-Sicherheit

Die bayerische Datenschutz-Aufsichtsbehörde hatte im September stichprobenartig Mail-Server auf ihre technische Konfiguration hin überprüft, ohne vorab die betroffenen Unternehmen zu informieren. Dabei ist das Thema E-Mail Verschlüsselung nur eines von vielen im Bereich IT-Sicherheit die zukünftig bei Prüfungen im Fokus stehen. 

IT-SICHERHEIT WIRD IMMER MEHR ZUM ZENTRALEN PRÜFTHEMA

Es fällt nicht nur auf, dass die Datenschutz-Aufsichtsbehörden immer öfter und verstärkter prüfen, sondern auch, dass technische Schutzmaßnahmen, bzw. deren Mindestanforderungen immer öfter auf den Prüfstand kommen. § 9 des Bundesdatenschutzgesetzes besagt, dass Unternehmen „die technischen und organisatorischen Maßnahmen […] treffen [müssen], die erforderlich sind, um die Ausführung der Vorschriften (…) [des Bundesdatenschutzgesetzes] zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.“ Aufgeschlüsselt sind diese sogenannten TOMs in die Bereiche „Zutrittskontrolle“, „Zugangskontrolle“, „Zugriffskontrolle“, „Weitergabekontrolle“, „Eingabekontrolle“, „Auftragskontrolle“, „Verfügbarkeitskontrolle“ und „Trennungsgebot“.

VERSCHLÜSSELUNG ENTSPRECHEND DEM „STAND DER TECHNIK“

Die bayerische Datenschutz-Aufsichtsbehörde beschrieb im Falle der Überprüfung der E-Mail Server explizit , dass die technischen Maßnahmen dem „Stand der Technik“ zu entsprechen haben. Hierbei wurde auch gar nicht großartig schwammig formuliert, sondern direkt auf den Punkt gebracht was dies im Zusammenhang mit E-Mail Verschlüsselung bedeutet: der Einsatz des Protokolls STARTTLS. Sollte im Rahmen der Nachrichtenübermittlung das Verschlüsselungsprotokoll SSL/TLS zum Einsatz kommen, so ist zudem das Verschlüsselungsverfahren Perfect Forward Secrecy zum erhöhten Schutz der übermittelten Daten notwendig.

NACHRÜSTEN, NACHRÜSTEN, NACHRÜSTEN…

Unternehmer sollten sich also zukünftig verstärkt mit dem Thema IT-Sicherheit in ihrem Betrieb beschäftigen. Wir können Ihnen nur raten die eigenen Maßnahmen regelmäßig durch IT-Penetrationstests auf mögliche Schwachstellen zu überprüfen. Das BSI stellt hierfür einen hervorragenden Leitfaden zur Verfügung. Nehmen Sie Ihren Datenschutzbeauftragten mit ins Boot um ein IT-Sicherheitskonzepts zu erstellen und einzuführen.
Sie möchten gerne wissen wo Ihr Unternehmen in Sachen IT-Sicherheit steht?
Senden Sie uns einfach die von Ihnen ausgefüllte „Checkliste IT-Sicherheit“ und wir analysieren unverbindlich Ihren Ist-Zustand.

Vorheriger Beitrag
E-Mails der Mitarbeiter und Datenschutz – darf man darauf zugreifen?
Nächster Beitrag
Richtige Videoüberwachung – damit der Datenschutz nicht die Verbrecher schützt