Grundbegriffe
- Datenschutz ist der Schutz von Daten vor Mißbrauch, unberechtigter Einsicht oder Verwendung, Änderung oder Verfälschung, aus welchen Motiven auch immer. Im engeren Sinne der Gesetzgebung handelt es sich hierbei um personenbezogene Daten, aber auch der Schutz der Integrität eines Systems gehört dazu. Einzubeziehen ist auch der Schutz vor Fehlern und der Schutz vor Folgefehlern im Falle eines Fehlers.
- Katastrophenschutz
ist der Schutz von Daten vor der Zerstörung durch äußere Gewalten oder Sabotage.
- Datensicherung
ist die Gesamtheit aller organisatorischen und technischen Vorsorgemaßnahmen gegen Verlust, Fälschung und unberechtigten Zugriff auf Grund von Katastrophen, technischen Ursachen, menschlichem Versagen oder mutwilligen Eingriffen. Der Begriff "Datensicherung" wird im engeren Sinne auch gebraucht als Anfertigung von Sicherheitskopien, auf die man im Notfall zurückgreifen kann.
- Datensicherheit
ist der angestrebte Zustand, der durch alle diese Maßnahmen erreicht werden soll, aber letztlich nicht vollkommen erreicht werden kann.
Die elektronische Datenverarbeitung bringt drei wesentliche Unterschiede gegenüber der manuellen mit sich:
- Aufhebung der zeitlichen Schranken: Viele Vorgänge, die bei manueller Bearbeitung Jahre dauern würden (z.B. Paßwort entschlüsseln, große Datenmengen durchsuchen), gehen elektronisch in Sekundenschnelle.
- Aufhebung räumlicher Entfernungen: Mit Hilfe von weltumspannenden Netzen kann man praktisch jederzeit an jede beliebige Information gelangen, egal wo sie gespeichert ist.
- Minderung der menschlichen Unzulänglichkeit: Bei einer Datenbankabfrage wird etwa kein Fall übersehen.
Der Datenschutz hat drei wesentliche Aspekte:
- Rechtlich/Politisch (auch Betriebsinteresse und -politik!)
- Gesellschaftliche Forderungen, etwa das "informationelle Selbstbestimmungsrecht"
- Gesetzliche Rahmenbedingungen, Datenschutzgesetze
- Technikfolgenabschätzung, etwa bei der Steuerung industrieller Anlagen oder beim Geldtransfer
- Organisatorisch
- Einbindung der Datensicherheit in das allgemeine EDV-Konzept
- Benutzergruppen, Definition von Zugriffsrechten, Paßwort-"Politik"
- Katastrophenplanung, Checklisten, Sicherheitsnormen
- Personalpolitik, Betriebsklima, Überwachungssysteme
- Dienstvorschriften, Zuständigkeiten
- Dokumentation, Datenschutzbericht. Es gilt das Prinzip der Revisionsfähigkeit
- Entscheidung über das grundsätzlich anzustrebende Sicherheitsniveau, über den Arbeitsfaktor für einen Angreifer (wieviel Zeit und Geld wird er voraussichtlich investieren, um Sicherheitsschranken zu überwinden?!), über Offenheit oder Geschlossenheit des Systems
- Sicherheitsprobleme bei Zentralisierung oder Dezentralisierung
- Abwägen von Schutzanforderungen und Leistungsanforderungen, Prinzip der Verhältnismäßigkeit, denn "absolute Sicherheit ist nur bei Stillstand des Systems zu erreichen"
- Technisch - Umsetzung der rechtlichen und politischen Anforderungen und der organisatorischen Definitionen in konkrete Maßnahmen.
- Physische Schutzmaßnahmen und Baumaßnahmen: Zugang zu Geräten und Übertragungsleitungen, Abhörsicherheit
- Schutzmaßnahmen im Betriebsystem: Erlaubnisse zur Benutzung eines Rechners oder zur Kommunikation über Netze, Identifikationskontrolle, Aufzeichnung von Ereignissen zur Beweissicherung, Fehlerüberbrückung
- Kryptographische Schutzmaßnahmen: Verschlüsselung von Dateien, Protokolle zur sicheren Datenübertragung, Authentisierung, elektronische Unterschrift, Anonymität.
Diese drei Aspekte entsprechen ungefähr der Einteilung
Anforderungsdefinition - Entwurf - Implementierung,
aus den Ingenieurswissenschaften (z.B. Software-Engineering). Die gesellschaftlichen und rechtlichen Forderungen nach Datenschutz und Datensicherheit sind durch organitatorische und technische Maßnahmen in der Praxis durchzusetzen. Die gesellschaftlichen, politischen, rechtlichen und betrieblichen Rahmenbedingungen definieren die zu schützenden Daten und die Grundsätze des Umgangs mit ihnen. Durch organisatorische Entscheidungen werden Rechte, Pflichten und Verantwortlichkeit festgelegt und Grundsatzfragen über Aufwand, Sicherheitsniveau und Verhältnismäßigkeit geklärt. Die technischen Maßnahmen sorgen dafür, daß Rahmenbedingungen und organisatorische Entscheidungen nicht nur auf dem Papier stehen, und erzwingen - soweit möglich - ihre Einhaltung.
Zum Dokumentkopf
Nächstes Kapitel