17.05.2004 - Wie arbeiten Datenschutz und Management von Informationssicherheit optimal zusammen?

Ort und Zeit

Montag, 17.05.2004  (10:30-17:15 Uhr)

in Darmstadt
bei Computer Associates

Die Themen

  • Datenschutzmanagement und IT-Sicherheitsmanagement
  • IT-Grundschutz als Basis für ein Datenschutzaudit
  • Überblick über bestehende Datenschutz-Zertifikate
  • Turnusmäßige Wahl eines Leitungsgremiums für 3 Jahre

Das Programm im Einzelnen

10:30

Begrüßung und Vorstellung

10:45-11:30

"Datenschutzmanagement und IT-Sicherheitsmanagement - zwei eng verbundene Aufgabengebiete (Teil 1)"

 

Vortrag (J.Voßbein / UIMC)

11:30-12:30

Kandidatenfindung und Wahl des FG-Leitungsgremiums

12:30-14:00

Mittagspause

14:00-14:15

Bekanntgabe des Wahlergebnisses

14:15-15:00

"Datenschutzmanagement und IT-Sicherheitsmanagement - zwei eng verbundene Aufgabengebiete (Teil 2)"

 

Vortrag (J.Voßbein / UIMC)

15:00-15:15

Pause

15:15-16:00

"IT-Grundschutz als Basis für ein Datenschutzaudit"

 

Vortrag (Frank Reiländer / infodas)

16:00-17:00

"Überblick über bestehende Datenschutz-Zertifikate"

 

Anregungen zur Erstellung eines Zertifikats-Überblicks in Bezug auf Security (Produkte, Verfahren, Menschen)

 

Vortrag (Peer Reymann/ itqs)

17:00-17:15

Verschiedenes

Zur Wahl des Leitungsgremiums

Alle drei Jahre wird eine Wahl des Leitungsgremiums einer Fachgruppe fällig, die Wahl des Leiters und seines Stellvertreters erfolgt dann aus diesem Gremium.

Wählen dürfen (Aktives Wahlrecht) dabei alle anwesenden FG-Mitglieder, gewählt werden können nur GI-Mitglieder (passives Wahlrecht).

Eine vorläufige Kandidatenliste wurde innerhalb der Fachgruppe bekanntgegeben. Kandidaten, die GI-Mitglieder sein müssen, können sich noch bis zum 17.5.2004 schriftlich erklären oder sich am 17.5.2004 bei der Wahlversammlung selbst als Kandidaten zur Verfügung stellen!

Bericht zum Workshop und Details zu den Vorträgen

J. Voßbein:
Datenschutzmanagement und IT-Sicherheitsmanagement - zwei eng verbundene Aufgabengebiete

In einer allgemeinen Einführung in die Situation der DS-Gesetzgebung wird darauf hingewiesen, dass in Deutschland verschiedene Regelungen für den Datenschutz von juristischen und natürlichen Personen bestehen, in der Schweiz dagegen nicht. Die Bestimmungen sind in den verschiedensten Gesetzen verstreut. Für eine Klinik waren z.B. über 35 Gesetze, die z.T. miteinander im Widerspruch waren, zu beachten. Es werden Spezifika erläutert, wie z.B. mit dem Trennungsgebot in Bezug auf Teildaten umzugehen ist. Die ermutigende Tendenz dabei ist, dass es genügt, wenn eine entsprechende Zugriffskontrolle wirksam ist. Die Daten können dann durchaus in einer gemeinsamen Datenbank gehalten werden und auch bzgl. Backup etc. gemeinsam bearbeitet werden.

Konflikte bestehen zwischen Datenschutz und Sicherheits-Logging (das zur Abschreckung und zur Rückverfolgbarkeit von Sicherheitsvorfällen als Mittel der Wahl gilt): es genügt meist auch hier, dass die Zweckbindung festgeschrieben wird (und per Maßnahmen sichergestellt wird). Zusätzlich sind entsprechende Vereinbarungen im Arbeitsvertrag notwendig.

Wichtig für das Zusammenspiel mit der IT-Sicherheit scheint die folgende Formulierung in den Bestimmungen zu sein: Der Datenschutzbeauftragte muss auf die Einhaltung der Vorschriften hinwirken, er muss sie also nicht selbst durchsetzen!

Datenschutz im Zusammenhang mit Voice-over-IP ist besonders komplex!

Zur Diskussion möglicher Zusammenhänge der beiden Managementsysteme:

Herr Dr. Voßbein favorisiert den folgenden Vorschlag zu einer Harmonisierung:

Es sollen zwei weitgehend überlappende Management-Hierarchien etabliert werden, insbesondere also zwei getrennte Spitzen, da die Anforderungen für den Datenschutzbeauftragten und IT-Sicherheits-Manager verschieden sind. Wobei sich die betroffenen Organisationen / Firmen nochmal deutlich unterscheiden können. Häufig ist z.B. der Datenschutzbeauftragte ein Jurist - besonders bei Firmen ab einer bestimmten Größe und Behörden, obwohl das spezifische Datenschutz-Wissen nicht Teil der juristischen Ausbildung ist. Der IT-Sicherheits-Officer ist dagegen eher ein IT-Fachmann. Kleine Firmen können sich keinen Juristen leisten. Tatsächlich ist beim Datenschutzbeauftragten ein breites Grundwissen (vergl. GDD "Anforderungsprofil für einen Datenschutzbeauftragten"), insbesondere auch breites technisches Verständnis notwendig. Insbesondere für kleine und mittelständische Unternehmen kann hingegen eine Personalunion beider Rollen von Vorteil sein, da häufig nicht ausreichend Kompetenz für die getrennte Besetzung beider Stellen vorhanden ist.

In einem "Sicherheitsforum" gemäß BS 7799 sollte jedenfalls der Datenschutzbeauftragte vertreten sein. Der Datenschutzbeauftragte hat auch oft die Rolle eines Vermittlers zwischen Personalvertretung und Firmenleitung. In Summe gibt Herr Dr. Voßbein ein Plädoyer für BS 7799 als eine geeignete Norm, um Datenschutz zu unterstützen, wie auch durch die Möglichkeit der Zertifizierung des Datenschutzsystems auf Basis der BS 7799-2 belegt wird.

Zum Einzelpunkt des Datenschutz-Handbuchs plädiert Herr Dr. Voßbein, dies ins Sicherheits-Handbuch zu integrieren. Die Fortschreibungsverantwortung muss dann Abschnitts- oder Kapitelweise festgelegt werden.

Die in 7799 Teil 2 besonders hervorgehobene Verbesserungs-Schleife (PDCA-Zyklus)als wesentlicher Teil eines Managementsystems wurde in den Ausführungen von Herrn Dr. Voßbein nicht besonders erwähnt. Hauptauslöser für erforderliche Änderungen auf Seiten der Risiko-Betrachtung scheinen neue Gesetze oder deren Auslegungen zu sein. Eine Bedrohung von außen wie bei Security durch besondere Vorkommnisse spielt auf der Datenschutzseite eher nur eine geringe Rolle, sie betrifft eher das Sicherheitsmangement.

[  Präsentation als PDF]  

F. Reiländer:
IT-Grundschutz als Basis für ein Datenschutzaudit

Datenschutz erstreckt sich viele Bereiche des öffentlichen Lebens. Deutschland hat besonders ausgeprägte Anforderungen, die zusätzlich vom Bund über die Länder bis zu den Kirchen noch verschiedene Ausgestaltungen erfahren haben. Die Gesetze sehen vor, dass die Erreichung eines adäquaten Datenschutzniveaus prinzipiell anhand eines Audits überprüft werden kann. Konkrete Vorgaben fehlen jedoch.

Generell wird von zahlreichen Datenschutzbeauftragten die Anwendung des Grundschutzhandbuchs empfohlen. Neuere Tendenzen (Beispiel: Novelle des BDSG Mai 2001) orientieren sich explizit an Begriffen und Methoden der IT-Sicherheit. Konkrete Abbildungen fehlen jedoch. Auf Basis des Grundschutzhandbuchs hat Reiländer eine Datensicherheitssicht auf existierende Grundschutzmaßnahmen eröffnet. Eindrucksvoll ist eine von Herrn Reiländer zusammengestellte Überblicks-Matrix über die als Kontroll- bzw. Sicherheitsziele zusammengefassten technischen und organisatorischen Maßnahmen der einzelnen Datenschutzgesetze. Die Vielfalt der Landschaft von Datenschutz-Regelungen ist in einer Erweiterung der IT-Sicherheitsdatenbank SAVe hinterlegt und kann so standardisiert erfasst werden.

Da auch die Aufsicht dezentralisiert ist, stellt die Vielfalt für betroffenen Organisationen /Firmen eine prinzipielle Rechtsunsicherheit dar. (Die Aufsichtsbehörden sind allerdings nicht rechtsbestimmend. Prozesse gegen ihre Entscheidungen werden in naher Zukunft erwartet.) Das von Herrn Reiländer vorgestellte Tool zur automatischen Überprüfung der Konformität mit den verschiedenen Datenschutz-Gesetzen kann helfen, die Vielfalt der unterschiedlichen Anforderungen zu beherrschen. Eine angezeigte weitgehende Überlappung der Erfüllung kann z.B. die subjektive Sicherheit für die Organisation deutlich erhöhen.

Die Basis für die Auswertung durch das Tool ist das GSHB (es wird eine Datenschutzsicht auf bestehende Grundschutzerhebungen eröffnet), erweitert um 400 Datenschutz-spezifische Fragen zur Prüfung der Datenschutz-Organisation. Nicht alle Aspekte gleich gut abgedeckt (weniger erfasst sind z.B. "Zulässigkeits- und Zweckbestimmungsbetrachtungen" oder auch Grundschutzmaßnahmen die das "Trennungsgebot" unterstützen). Aber das GSHB ist anerkannter Standard, dort nicht enthaltene Techniken stellen zwar eine prinzipielle Lücke dar, sind aber erfahrungsgemäß in der Praxis - durch geeignete Abbildung auf die im GSHB enthaltenen Techniken - meist gut einbindbar.

[Präsentation als PDF]

 P. Reymann:
Überblick über bestehende Datenschutz-Zertifikate - Anregungen zur Erstellung eines Zertifikats-Überblicks in Bezug auf Security

These: Es existiert eine Vielzahl von Zertifikaten für Personen, Produkte und Verfahren, wobei nur ein Bruchteil hiervon strukturiert entwickelt und korrekt fundiert wurde. Neben direkt gesetzlich strukturierten Verfahren wie dem Datenschutz-Gütesiegel des Landes Schleswig-Holstein existieren solche, die ihren Anspruch auf Korrektheit aus der jeweiligen Akkreditierung der Prüfstellen ableiten. - Die Mehrheit der Zertifikate basiert jedoch auf einem Vertrauensverhältnis zwischen Herausgeber und Kunden.

Das Chaos sollte zumindest an einer Stelle dokumentiert werden. Eine entsprechende Katalogisierung des Marktes ist bisher nur in Einzelbereichen vorhanden. Die Fachgruppe EZQN, die auf mit mehreren Mitgliedern im DIN e.V. vertreten ist, möchte innerhalb der GI zunächst eine experimentelle Sammel- und Ansprechstelle einrichten. Hr. Reymann, der in Personalunion in beiden FGs tätig ist, benötigt für den Aufbau eines Web-Interface mit angeschlossener Datenbank Unterstützung und möchte diese im Kreis der Mitgliede der Gruppe SECMGT einwerben. Die Datenbank soll bis Ende 2004 in einem Entwurf lauffähig sein, um bei weiteren Veranstaltungen einen breiteren Publikumskreis zum "Füllen" der Datenbasis mobilisieren zu können.

Welche rechtlichen Regelungen langfristig benötigt werden, ist bisher ebenfalls unklar. Die These von Herrn Reymann ist, dass eine staatliche Regulierung vermieden werden sollte, und dass eine Selbstregulierung angestrebt werden muss. (Frankreich mit seiner genehmigungspflichtigen Datenverarbeitung (CNIL) wird hier als negatives Beispiel gesehen.).

Offen bleibt ein breiterer Überblick der Behandlung der Themen Datenschutz und Zertifikate im Ausland. In Deutschland scheinen im Vergleich stringentere, ggf. sogar ideologisch geprägte Positionen eingenommen zu werden. Aktuelle Ausgangspunkte hierfür sind auch im Bereich der Terrorgefahren zu sehen.

Bei Interesse an einer AKTIVEN Mitarbeit beim Aufbau der Zertifikats-Datenbank wenden Sie sich bitte direkt an Herrn Reymann [pr-at-itqs.de oder 040/52877350].

[Präsentation als PDF]  

In eigener Sache:
Datenschutz für Verteiler der GI und der FG SECMGT

Herr Stiegler berichtet über die (neue) Politik der GI in Bezug auf Verteiler.

Ausgangspunkt: Aus Sicht der GI sind alle GI-Mitglieder, die Interesse an der FG per Formular angemeldet haben, Mitglieder der FG, die über wichtige Ereignisse informiert werden müssen, auch wenn sie sich nicht bei der FG mit einer Email-Adresse gemeldet haben. Insgesamt kommt die FG, die ja GI und Nicht-GI-Mitglieder enthält, aktuell auf ca. 180 Personen.

GI-Mitglieder-Information: Die GI wird nun aus Datenschutzgründen in Zukunft die Verteilung von Information an GI-Mitglieder sich selbst vorbehalten. GI-Mitglieder und bei der FG direkt gemeldete FG-Mitglieder, deren GI-Mitgliedschaft in der FG ja nicht geführt wird, erhalten damit entsprechende Information ggf. doppelt. Die FG-Leitung wird deshalb die Informationsverteilung über die GI möglichst einschränken. Über die Website der FG sind mit geringer zeitlicher Verspätung die meisten Informationen aktiv abrufbar.

Informationsaustausch zwischen FG-Mitgliedern: Aufgrund der Größe der Gruppe und der stark wechselnden Teilnehmer soll in Zukunft Informationen über die Teilnehmer einer Veranstaltung nur noch an die Teilnehmer selbst gehen. Mails der FG-Leitung werden als Blind-Copy an den FG-intern verwalteten Verteiler verschickt, wodurch auch keine Verteilerinfo mehr in den Rechnern einzelner FG-Mitglieder (von Würmern etc.) mißbraucht werden kann.

Themenvorschläge für folgende Treffen:

  1. Praxiserfahrung von CISOs (mögliche Kandidaten u.a. sind Hr Postl, Hr. Keller)
  2. Organisationsprobleme: Hr. S. Haack (Erfahrung aus Diskussion von Reorganisationen), Fr. Münch (Vorschläge aus dem GSHB)
  3. Herstellertag: Was tun sie zur Unterstützung des Sicherheits-Managements? Hierbei könnte MS, Oracle, Suse, SUN, SAP gefragt werden!

Nächster Termin: Do. 14. Oktober, (wieder) in Frankfurt-Niederrad bei DB Systems auf Einladung von Herrn Dr. Damm