Angriff aus dem Internet: Wie schützen Kanzleien ihre Daten?
Datenschutz, Datensicherheit und IT-Sicherheit
Mit der Definition von Datenschutz haben wir uns bereits im Artikel „Must-haves im Datenschutz“ befasst.
Datensicherheit (Safety) hingegen ist der Schutz vor ungewolltem Datenverlust, zum Beispiel durch Feuer im Serverraum, Festplattendefekt, Hochwasser etc. Hierzu zählt auch menschliches Versagen beziehungsweise Mitarbeiterfehler. IT-Sicherheit (Security) ist der Schutz vor gewolltem Datenverlust, vor gewollten Angriffen auf die Vertraulichkeit, Integrität und Verfügbarkeit von Daten. Beste Beispiele hierfür sind die Angriffe auf Kanzleien mit sogenannten Erpressungstrojanern in der letzten Zeit.
IT-Sicherheit und Datensicherheit befassen sich auch mit dem Schutz von Daten ohne Personenbezug. Es geht um die Frage, welche Maßnahmen zum Schutz der Daten vor Verlust getroffen werden müssen. Noch bis zum In-Kraft-Treten der EU-DSGVO finden sich die gesetzlichen Vorgaben dazu im § 9 BDSG bzw. dessen Anlage, der die geeigneten technisch-organisatorischen Maßnahmen vorgibt, die in der Kanzlei umzusetzen sind. Der entsprechende Umgang mit EDV und IT kann beispielsweise in einer IT-Richtlinie für die Mitarbeiter verbindlich geregelt werden, die unter anderem die Nutzung privater Hard- und Software, eine Passwortregelung, die Weitergabe vertraulicher Informationen, Regelungen für die Heimarbeit und einige weitere Vorgaben enthalten sollte.
Im Wesentlichen geht es um vier Schutzziele: Vertraulichkeit, Integrität, Verfügbarkeit und Resilienz (Belastbarkeit).
Die Vertraulichkeit beschreibt die Tatsache, dass die Daten der Kanzlei nicht in unbefugte Hände geraten dürfen. Hierzu können entsprechende Hardware, wie zum Beispiel Firewalls, Programme wie Virenschutzsoftware oder Systemkonfigurationen wie eine Benutzerkontrolle eingesetzt werden.
Beim Thema Integrität geht es um die Verlässlichkeit von Daten und die zuverlässige Funktionsweise von Programmen und Hardware. Es gilt, eine Veränderung der Daten und Fehler in Programmen zu verhindern.
Ein besonderes Augenmerk sollte der Verfügbarkeit der Daten, insbesondere der Datensicherung gelten. Damit die Sicherung im Ernstfall zur Verfügung steht, sollte auf eine externe Lagerung beziehungsweise eine Lagerung in einem anderen Brandabschnitt als der/die Server beziehungsweise außerhalb der Kanzlei (zum Beispiel Bankschließfach oder Online-Sicherung) geachtet werden. Eine Sicherung sollte verschlüsselt erfolgen und vor unbefugtem Zugriff geschützt werden. Die Sicherungsdatenträger sollten nicht ständig mit dem Server verbunden sein, es sei denn es ist sichergestellt, dass Schadsoftware sich nicht auf diese ausbreiten kann.
Die Datensicherungen und das Datensicherungskonzept müssen regelmäßig überprüft werden, damit die relevanten Datenbestände komplett, lesbar und wiederherstellbar gesichert werden. Leider mussten etliche Kanzleien nach einem Befall mit Schadsoftware feststellen, dass entweder die Sicherungsdatenträger auch von der Schadsoftware befallen waren oder die vorhandenen Datensicherungen für eine Wiederherstellung des Systems ungeeignet waren.
Die Belastbarkeit (Cyber-Resilienz) als neues Schutzziel der EU-Datenschutz-Grundverordnung geht die IT-Sicherheit auf verschiedenen Ebenen an und bezieht Personen, Prozesse und Technologie mit ein, um Störungen und Fehler durch möglichst vorausschauendes Handeln zu vermeiden. Dies findet seinen Niederschlag in einer vorausschauenden IT-Strategie.
Die Einhaltung der wichtigsten Aspekte zu Datensicherheit und IT-Security sind wichtige Bausteine, um ein zielführendes Datenschutzkonzept in der Kanzlei umsetzen zu können.