Gratis
4. Dezember 2017 - Serie: Tools für die DSGVO

So prüfen Sie die Belastbarkeit von IT-Systemen

Eine neue Forderung der Datenschutz-Grundverordnung (DSGVO / GDPR) an die Sicherheit der Verarbeitung ist die Belastbarkeit oder Resilienz. Doch wie lässt sich die Belastbarkeit prüfen? Hier helfen Tools.

DSGVO: Wie lässt sich die Belastbarkeit von IT-Systemen kontrollieren? Welche Tools helfen, die Belastbarkeit von Systemen zu kontrollieren? (Bild: solarseven / iStock / Thinkstock)

Was bedeutet Belastbarkeit / Resilienz?

Sehen Sie sich das Thema „Sicherheit der Verarbeitung“ (Artikel 32 Datenschutz-Grundverordnung) an, stoßen Sie auf „alte Bekannte“ wie die Verschlüsselung. Aber auch auf neue Themen wie die Belastbarkeit der Systeme und Dienste, die der Verantwortliche sicherzustellen hat.

Nun klingt „Belastbarkeit von Systemen und Diensten“ zunächst nicht nach Datenschutz. Doch es geht um einen speziellen Aspekt der Verfügbarkeit von personenbezogenen Daten. Ihn betont die DSGVO ausdrücklich.

Belastbarkeit bedeutet in diesem Zusammenhang die Widerstandsfähigkeit der IT im Fehlerfall, bei Störungen, bei hoher Beanspruchung.

Ein Beispiel, in dem Angriffe die Belastbarkeit eines IT-Systems auf eine harte Probe stellen, sind DoS-Attacken oder DDoS-Attacken (Denial-of-Service- oder Distributed-Denial-of-Service-Attacken).

Hier belasten Angreifer etwa Webserver mit Anfragen so, dass sie überfordert sind und den Dienst einstellen, wenn der Angriff Erfolg hat. Die Website, die dieser Webserver veröffentlicht, geht dann offline.

Die Überlastung des Webservers macht es schwierig bis unmöglich, auf die Daten, die der Server verwaltet, zuzugreifen. Mangelnde Belastbarkeit der IT wirkt sich so auf die Verfügbarkeit der Daten aus.

Startpunkt: Verzeichnis von Verarbeitungstätigkeiten

Wie lässt sich die Grenze der Belastbarkeit eines IT-Systems kontrollieren?

Nur wer in der Lage ist, die neu geforderte Belastbarkeit nachweislich zu überprüfen, stellt sicher, dass er die Sicherheit der Verarbeitung im Sinne der DSGVO im Blick hat.

Eine Kontrolle der Belastbarkeit darf aber zum einen nicht dazu führen, dass die produktiven IT-Systeme wirklich zum Stillstand kommen. Zum anderen sind die Kontrollverfahren davon abhängig, um welche IT-Systeme es geht, welche Systeme und Dienste also personenbezogene Daten verarbeiten.

Ein guter Startpunkt der Kontrolle ist deshalb das Verzeichnis von Verarbeitungstätigkeiten.

Tools zur Kontrolle der Belastbarkeit

Für die Prüfung selbst ist es sinnvoll, passende Werkzeuge oder Tools zu nutzen.

Als Beispiel sei hier die Kontrolle von Cloud-Diensten dargestellt. Denn die Cloud als Form der externen IT-Nutzung ist eine besondere Herausforderung. Die Datensicherheit zu prüfen, ist aber erforderlich, um sich für einen Cloud-Anbieter entscheiden zu können (und zu dürfen!).

Einige Cloud-Anbieter haben eigene Tools für einen Performance-Test unter Belastung. Diese Tools sind sinnvoll, wenn Sie sicher sind, dass sich damit unabhängige Tests durchführen lassen.

Nutzen Sie externe Dienste oder Tools, stimmen Sie sich mit dem Cloud-Anbieter ab. Andernfalls könnte die Belastungsprobe für den Cloud-Anbieter wie eine externe Attacke wirken. Anbieter wie Alibaba und Microsoft beschreiben, worauf es bei einem Belastungstest ankommt.

Den Test sollte die interne IT-Abteilung, der eigene IT-Dienstleister oder der Test-Service-Provider als Dritter durchführen.

Services und Tools, mit denen sich eine Belastungsprobe bei Cloud-Diensten und -Anwendungen durchführen lässt, sind beispielsweise:

Hinweis: Wir beobachten weiterhin den Markt und erweitern den Beitrag, wenn wir spannende und passende Lösungen finden.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker, Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln