Dienstag, 11. Februar 2020

Der Stand der Technik und die Folgen für den Datenschutz

Führen Unternehmen neue Sicherheitsverfahren ein, entsteht meistens ein Aufwand durch Schulung und Umgewöhnung. Doch der Wechsel hat seinen Sinn: Der Stand der Technik ändert sich, die Daten- oder Informationssicherheit muss sich anpassen.


Schon wieder eine neue Verschlüsselungs-Lösung ...


Obwohl es für den Datenschutz so wichtig ist, kommt die Verschlüsselung vertraulicher Daten in vielen Unternehmen nicht voran. Ein häufig genannter Grund dafür ist, dass die Beschäftigten die Anwendung der Verschlüsselungs-Lösungen als zu kompliziert und umständlich empfinden.

Erschwerend kommt hinzu: Hat man sich gerade an eine Verschlüsselungslösung gewöhnt, kommt eine Produktänderung, oder das Unternehmen führt ein völlig neues Produkt zur Verschlüsselung ein. Es folgen neue Schulungen, als Nutzer muss man sich umgewöhnen.

Neue Verschlüsselungs-Lösungen bringen mehr IT-Sicherheit und Datenschutz
Neue Verschlüsselungs-Lösungen bringen mehr IT-Sicherheit und Datenschutz

Warum werden überhaupt neue Lösungen für die Datensicherheit eingeführt? Waren die bisherigen doch nicht so gut?



IT-Sicherheit unterliegt ständigem Wandel


Auch wenn die bisherige IT-Sicherheitslösung früher gut geschützt haben mag: Die Risiken für personenbezogene Daten, die Methoden der Datenspione und die zu schützenden IT-Verfahren verändern sich in rascher Folge. Unternehmen und Behörden müssen die Sicherheitsverfahren an die sich ändernde Bedrohungslage und den jeweils aktuellen Schutzbedarf der Daten anpassen.

BSI-Richtlinien


Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht regelmäßig Technische Richtlinien, die zum Beispiel Empfehlungen für Verschlüsselungsverfahren enthalten, die für einen bestimmten Zeitraum als sicher eingestuft werden. Stellt sich heraus, dass sich ein Verschlüsselungsverfahren doch knacken lässt, dass es also unsicher ist, passt das BSI die Richtlinien umgehend an.

Entsprechend müssen auch die Anbieter ihre IT-Sicherheitslösungen überarbeiten, verändern oder neu herausbringen. Und entsprechend müssen Unternehmen reagieren.

Datenschutzrecht fordert Stand der Technik


Die EU-Datenschutzgrundverordnung (EU-DSGVO) fordert deshalb auch ausdrücklich technische und organisatorische Maßnahmen, um die Datensicherheit zu gewährleisten. Diese Maßnahmen müssen insbesondere unter Berücksichtigung des Stands der Technik ausgewählt werden. Hier ist also die Unternehmensleistung ständig gefragt, sich über den Stand der Technik zu informieren und die Maßnahmen für die Datensicherheit aktuell zu halten.

Unter „Stand der Technik“ versteht man, dass die gewählten Schutzmaßnahmen das gegenwärtig realisierbare Sicherheitsniveau erreichen müssen, das auf dem aktuellen Lösungsmarkt den Standard bildet. Sicherheitsmaßnahmen, die auf dem Markt als überholt und veraltet eingestuft werden, entsprechen nicht dieser Vorgabe.

Wir berichteten bereits in diesem früheren Blogartikel zum "Stand der Technik".

Auch der Arbeitsschutz zum Beispiel fordert den Stand der Technik ein als „Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen oder Betriebsweisen, der die praktische Eignung einer Maßnahme zum Schutz der Gesundheit und zur Sicherheit der Beschäftigten gesichert erscheinen lässt. Bei der Bestimmung des Standes der Technik sind insbesondere vergleichbare Verfahren, Einrichtungen oder Betriebsweisen heranzuziehen, die mit Erfolg in der Praxis erprobt worden sind.“

Als Anwenderin oder Anwender der IT-Sicherheitslösungen ist man ebenfalls diesem Stand der Technik unterworfen, man muss die neuen Lösungen erlernen. Das ist zweifellos Aufwand. Doch ohne Datensicherheit nach dem Stand der Technik lassen sich die personenbezogenen Daten nicht angemessen schützen. Datenschutz und Stand der Technik gehören also zwingend zusammen.

Auch Passwort-Richtlinie muss aktuell gehalten werden


Es sind aber nicht nur die technischen Lösungen, die dem Stand der Technik entsprechen müssen. Die EU-DSGVO fordert auch für organisatorische Maßnahmen, dass sie den Stand der Technik einhalten. Das betrifft zum Beispiel die Wahl eines sicheren Passworts, wie es eine Passwort-Richtlinie vorgeben sollte.

Was als sicheres Passwort gilt, ändert sich mit der Zeit, wobei die nötige Stärke und Komplexität für Passwörter stetig zunehmen. So fordert zum Beispiel der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg starke Passwörter, die aus zwölf oder mehr Zeichen bestehen. Je wichtiger das Passwort ist, desto länger sollte es sein. Passwörter sollten sowohl Klein- als auch Großbuchstaben, Ziffern und Satzzeichen enthalten.

Früher wurden auch Passwörter mit weniger Zeichen als sicher und stark genug eingestuft. Doch die Zeiten ändern sich und damit die Bedrohungslage für den Datenschutz sowie der Stand der Technik. Inzwischen verfügen Datendiebe über Rechenkapazitäten und Angriffsverfahren, die mehrere Milliarden Passwörter pro Sekunde ausprobieren können. Daher ist es essenziell, stärkere Passwörter zu verwenden als früher. Da zudem für jeden Account ein eigenes Passwort verwendet werden muss, ist es gerade für Unternehmen ratsam, sich ein Passwort-Managementsystem zuzulegen. Nicht nur für die IT-Abteilung sondern für jeden Mitarbeiter. Nur so ist Angreifern effektiv beizukommen, die sich häufig geknackte Passwörter zunutze machen.

Fragen / Anregungen

Haben Sie Fragen oder Anregungen zu diesem Beitrag? Dann senden Sie uns diese hier und jetzt:

Name


E-Mail (Pflichtangabe)


Nachricht (Pflichtangabe)



Mit dem Absenden der Nachricht bestätigen Sie, die Datenschutzerklärung der yourIT zur Kenntnis genommen zu haben.




Verantwortlich für diesen Beitrag: yourIT GmbH, Balingen, Zollernalbkreis