Viele Unternehmen sind heute vollständig von den Daten abhängig, die auf ihren Netzwerkservern, PCs, Laptops, Mobilgeräten und bei Cloud-Dienstleistern gespeichert sind. Einige dieser Daten enthalten wahrscheinlich entweder personenbezogene Daten und/oder vertrauliche Unternehmensinformationen.
Hier betrachten wir einige Aspekte, die bei der Überprüfung der Sicherheit Ihrer Computersysteme im Hinblick auf Zugriffskontrollen zu berücksichtigen sind. Die Datenschutz-Grundverordnung (DSGVO) legt den Sicherheitsgrundsatz fest, der besagt, dass Sie bei der sicheren Verarbeitung personenbezogener Daten „geeignete technische und organisatorische Maßnahmen“ ergreifen müssen. Dieser Grundsatz findet sich auch im 6. Grundsatz des Bundesdatenschutzgesetzes (BDSG) 2018 wieder, welches die DSGVO ergänzt und ebenfalls die „Anforderung festlegt, dass personenbezogene Daten sicher verarbeitet werden“.
Aus diesem Grund ist die Verhinderung eines unbefugten oder versehentlichen Zugriffs auf die von Ihnen verarbeiteten personenbezogenen Daten ein wichtiger Schritt zur Einhaltung der Vorschriften.
Zugriffssicherheit
Eine gute Zugriffskontrolle für die Computer und das Netzwerk minimiert das Risiko von Datendiebstahl oder -missbrauch.
Die Zugangskontrolle lässt sich in zwei Hauptbereiche unterteilen:
- physischer Zugang – Kontrollen darüber, wer das Gelände betreten und auf personenbezogene Daten zugreifen darf.
- Logischer Zugriff – Kontrollen, die sicherstellen, dass Mitarbeiter nur Zugriff auf die entsprechende Software, Daten und Geräte haben, die zur Ausübung ihrer jeweiligen Rolle erforderlich sind.
Physischer Zugang
Neben physischen Zugangskontrollsystemen wie Schlössern, Alarmanlagen, Sicherheitsbeleuchtung und Videoüberwachung gibt es weitere Aspekte zu berücksichtigen, beispielsweise wie der Zugang zum Gelände kontrolliert wird.
Besuchern sollte es nicht gestattet sein, sich ohne strenge Aufsicht frei zu bewegen.
Stellen Sie sicher, dass die Computerbildschirme von außen nicht sichtbar sind.
Nutzen Sie Netzwerkrichtlinien, um sicherzustellen, dass Arbeitsstationen und/oder mobile Geräte gesperrt werden, wenn sie unbeaufsichtigt sind oder nicht benutzt werden.
Stellen Sie sicher, dass ein Mobilgerät im Falle seines Verlusts aus der Ferne gesperrt werden kann.
Da mobile Geräte klein sind, stellen sie ein hohes Risiko dar. Daher sollten sensible Daten stets verschlüsselt und der Zugriff auf den Dienst über eine PIN oder ein Passwort kontrolliert werden.
Gegebenenfalls muss der Zugriff auf USB-Geräte sowie optische Lese- und Schreibgeräte deaktiviert oder eingeschränkt werden.
Um zu verhindern, dass nicht autorisierte Geräte über ein Kabel an das Netzwerk angeschlossen werden, kann es erforderlich sein, Netzwerkports über Radius-Server oder andere Netzwerkhardware zu blockieren.
Schließlich sollten Informationen in Papierform sicher entsorgt werden.
Logischer Zugriff
Es sollten Techniken für logische Zugriffskontrollen eingesetzt werden, um sicherzustellen, dass die Mitarbeiter nicht über mehr Zugriffsrechte verfügen, als für die Ausübung ihrer Tätigkeit erforderlich sind.
Sensible Daten sollten verschlüsselt und der Zugriff auf diese Daten über Netzwerksicherheit, Zugriffskontrolllisten und Benutzerprofile kontrolliert werden.
Der Zugriff auf bestimmte Anwendungen und bestimmte Ordner muss gegebenenfalls auch für jeden Benutzer einzeln eingeschränkt werden.
Schließlich kann es erforderlich sein, bestimmte Geräte auf bestimmten Rechnern zu sperren, entweder über Gruppenrichtlinien in Windows oder über eine Verwaltungsanwendung eines Drittanbieters.
Passwörter
Eine Passwortrichtlinie, bestehend aus Benutzername und Passwort, ist eine bewährte Vorgehensweise.
Diese helfen dabei, einen Benutzer im Netzwerk zu identifizieren und die Zuweisung der entsprechenden Berechtigungen zu ermöglichen.
Damit Passwörter jedoch wirksam sind, sollten :
- relativ lang sein (d. h. acht oder mehr Zeichen)
- enthalten eine Mischung aus Buchstaben, Zahlen und Sonderzeichen (wie z. B. &^”)
- sollten regelmäßig durch automatische Passworterneuerungsoptionen geändert werden.
- werden entfernt oder geändert, wenn ein Mitarbeiter ausscheidet
- können für einzelne Dateien wie Tabellenkalkulationen oder Textverarbeitungsdokumente verwendet werden, die personenbezogene Daten enthalten.
- Ihre Systeme sollten mithilfe eines starken Verschlüsselungsalgorithmus verschlüsselt werden.
und sollte NICHT
- ein allgemeines Passwort sein (d. h. dasselbe für alle Anwendungen oder für alle Benutzer).
- werden auf Post-it-Zetteln geschrieben, die auf der Tastatur oder dem Bildschirm kleben.
- bestehen aus gebräuchlichen Wörtern oder Ausdrücken oder dem Firmennamen.
- muss per E-Mail versendet werden, es sei denn, es handelt sich lediglich um ein temporäres Passwort (ohne weitere Informationen wie Verwendungszweck und Benutzername).
- dürfen nicht als Klartext in Ihren Systemen gespeichert werden.
Zugriffsüberwachung
Die Protokollierung und Überwachung von Daten (und der daran vorgenommenen Änderungen) ist zwar keine rechtliche Anforderung der DSGVO, trägt aber wesentlich zur Einhaltung von Artikel 32 der DSGVO bei.
Die Prüfung Ihrer Datenverarbeitung ermöglicht Ihnen die Überprüfung, Berichterstattung und den Nachweis folgender Punkte:
- wer auf die Daten zugegriffen hat und wann
- wie häufig auf die Daten zugegriffen wird und ob diese Zugriffshäufigkeit angemessen ist
- Im Falle eines versehentlichen Datenverlusts sollte überprüft werden, welche Änderungen vorgenommen wurden und von wem.
Auch wenn weder die DSGVO noch das BDSG 2018 die genauen Maßnahmen vorschreiben, die Sie ergreifen müssen, sollten Sie die Verwendung einer technischen Lösung in Betracht ziehen, die Ihren Bedürfnissen und den von Ihnen verarbeiteten Daten entspricht.
