Datensicherheit ist auch nach „Snowden“ möglich!

Fast täglich werden haarsträubende Details über Umtriebe und Allmachtsansprüche der Geheimdienste bekannt. Dass die Enthüllungen von Edward Snowden auf verlässlichem Datenmaterial beruhen, ist in der Fachwelt unbestritten. Offen bleibt die Frage „Was tun, wie kann man sich schützen?“. Damit sind wir beim Datenschutzbeauftragten, dem IT-Sicherheits- und dem Compliancebeauftragten sowie der Revision angelangt – und bei Vorstand, Geschäftsführung oder Behördenleitung. Es gilt Wege zu finden, eigene Positionen zu bestimmen und Maßnahmen zur Verbesserung der IT-Sicherheit abzuleiten.

Eine Bedrohungsanalyse ist neu vorzunehmen. Sie hat nach zwei Seiten zu schauen: Einerseits auf potentielle Angreifer und deren Methoden, andererseits auf installierte Sicherheitsmechanismen und die ihnen unterstellte Robustheit. Diese Sichtweise bringt neue Perspektiven: Die Mächtigkeit der Angreifer ist wesentlich höher als man es bisher annehmen konnte; Berichte über Hintertüren in IT-Komponenten sowie ausgehebelte oder vom Sourcecode her bereits bewusst manipulierte Sicherheitsfunktionen stellen letztlich die Verlässlichkeit aller IT-Komponenten in Frage.

IT-Betreiber und -Nutzer müssen sich mit einem neuen Denkansatz anfreunden: Galt es als bisher erstrebenswert, Systeme und IT-Komponenten zu verknüpfen, benutzerfreundliche Varianten zu ermöglichen (Single-Sign-On, Cloud und Mobile Computing, Bring Your Own Device …), so kann die „erste Verteidigungslinie“ heute nur heißen „Inseln bilden, abschotten, kontrollierte Übergänge einrichten“. IT wird damit tendenziell teurer zugunsten von mehr Sicherheit, was freilich betriebswirtschaftlich nicht und „gefühlt“ nur schwer kalkulierbar ist. Die IT muss stärker reglementiert werden, was die Benutzerfreundlichkeit schmälert. Damit müssen sich die Verantwortlichen auseinandersetzen – denn alles, was zur Verbesserung der Sicherheit als sinnvoll wahrgenommen wird, muss den Nutzern erklärt und begründet werden. Sicherheit kann man nie gegen die Beschäftigten durchsetzen, sondern nur, indem man diese zu Verbündeten der eigenen Sicherheitsziele macht. Dazu bedarf es einer Definition dieser „eigenen Sicherheitsziele“ – und eines Regelwerks, das auf die eigenen Belange zugeschnitten und allgemein verständlich ist.

Hans Gliss, Herausgeber DATENSCHUTZ-BERATER

Links/Quellenangaben – siehe.eu: Die Hinweise auf Quellen sind für die leichte Eingabe mit einem Shortlink (auch short URL, URL alias, Kurzlink) angegeben. Statt beispielsweise http://www.bfdi.bund.de/DE/Oeffentlichkeitsarbeit/Taetigkeitsberichte/Functions/TB_BfDI_table.html?nn=408924 muss künftig nur angegeben werden: www.siehe.eu/xxx. Das xxx steht für eine fortlaufende Zahl. Mit dieser Zahl kann die eigentliche URL/Adresse in unserer Datenbank ermittelt werden. Wenn Sie wissen wollen, was sich hinter dem Shortlink verbirgt, geben Sie den Shortlink mit einer Tilde (~) ein oder nutzen Sie eine Shortlink-Auflöser wie www.prevurl.com. Ob Sie auf diese Möglichkeit verzichten, obliegt Ihrer Entscheidung. Denn wir verweisen auf die Quellen, ohne diese im Detail zu prüfen.