Gratis
1. Dezember 2016 - Risikoanalyse

Wann sind technische und organisatorische Maßnahmen „geeignet“?

Drucken

Die Datenschutz-Grundverordnung (DSGVO) beschränkt sich, ähnlich wie vorher das Bundesdatenschutzgesetz (BDSG), darauf, allgemeine Ziele und Schutzbereiche vorzugeben. Ansonsten verlangen sie die Umsetzung „geeigneter“, „angemessener“ und „wirksamer“ Maßnahmen. Der Beitrag beleuchtet diese Anforderungen genauer. Darüber hinaus diskutiert er die zentrale Frage, wie Sie bewerten, ob konkrete Maßnahmen diese Anforderungen erfüllen, und wie Sie solche Maßnahmen finden und gestalten.

Eine Risikoanalyse ist auch im Datenschutz unerlässlich Zentral ist die Abschätzung der Risiken, um die passenden Maßnahmen zu finden (Bild: olm26250/ iStock / Thinkstock)

Das Gesetz schweigt sich aus gutem Grund weitgehend darüber aus, welche konkreten technischen und organisatorischen Maßnahmen zu treffen sind, um die Ziele des Datenschutzes umzusetzen.

Die Geschwindigkeit des technischen Fortschritts und der Entstehung von neuen Risiken, z.B. durch neu entdeckte technische Schwachstellen, ist so groß, dass ein konkreteres Gesetz höchstwahrscheinlich schon vor seinem Inkrafttreten überflüssig und veraltet wäre.

Eignung und Wirksamkeit: Nachher ist man immer schlauer …

Bei den meisten Datenschutzvorfällen ist nach deren Eintreten allen Beteiligten sofort klar, welche konkreten Maßnahmen ungeeignet, unzureichend oder unwirksam waren.

Wesentlich schwieriger ist es allerdings, schon bei der Auswahl, Entwicklung und Umsetzung von technischen und organisatorischen Maßnahmen genau die Risiken und Bedrohungen der Zukunft vorherzusehen, die wahrscheinlich und von ihrer Auswirkung her erheblich sind.

Systematische Vorgehensweise: Risiken und Maßnahmen gegenüberstellen

Die Datenschutz-Grundverordnung  gibt die aus dem Feld der IT-Sicherheit hinlänglich bekannte Vorgehensweise ausdrücklich vor, die die Eintrittswahrscheinlichkeit und die Schwere von Risiken berücksichtigt (Art. 32 Abs. 1 Satz 1, Hervorhebungen stammen vom Autor):

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; …“

Zunächst: Relevante Risiken ermitteln

Der erste Schritt besteht also darin, eine vollständige Menge der relevanten Risiken bzw. Bedrohungen zu ermitteln. Bereits bei diesem Schritt zeigt sich die Schwierigkeit, alle in der Zukunft möglichen Bedrohungen vorherzusehen.

Vor allem menschliche Fehlhandlungen (z.B. ein Administrator, der Einblick in personenbezogene Daten von Kollegen nimmt) werden häufig aus „Höflichkeit“ gegenüber dem eigenen Personal nicht mit betrachtet.

Auch stellt sich das Problem, dass ständig neue Angriffsformen entwickelt werden, sodass die Betrachtung zu einem Zeitpunkt x niemals garantiert vollständig sein kann.

Gute Grundlage und Ausgangspunkt: Gefährdungskataloge des BSI

Ein guter Startpunkt sind trotzdem Sammlungen von bekannten Gefährdungen, beispielsweise die bekannten „Gefährdungskataloge“ des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Dort sind bereits viele Hundert bekannte und relevante Risiken aufgeführt. Für ein konkretes IT-System kommt glücklicherweise meistens nur ein kleiner Teil dieser gesammelten Risiken infrage.

Dann: Schwere der Risiken einstufen

Im zweiten Schritt stellt sich die Frage, welche der identifizierten Risiken denn gerade im Sinne des Datenschutzes als schwerwiegend einzustufen sind.

Hier weicht die Vorgehensweise im Datenschutz deutlich von den Zielen der IT-Sicherheit ab, die naturgemäß zunächst die Interessen des Unternehmens und nicht die der Betroffenen im Blick hat.

Wo möglich, auf genormte Klassifikationen zurückgreifen

Speziell für die Belange des Datenschutzes gibt es in einigen Bereichen genormte Klassifikationen.

Das gilt etwa für die Datenträgervernichtung (DIN 66399), bei der sich die Einstufung an der Art und Höhe des Schadens für das Individuum orientiert. Hier gibt es drei Grade der Beeinträchtigung der „gesellschaftlichen Stellung“ und der „wirtschaftlichen Verhältnisse“ des Betroffenen:

  • „begrenzt und überschaubar“
  • „erheblich“
  • „existenziell bzw. Gefahr für Leib und Leben“

Beispielsweise können unrechtmäßig öffentlich gewordene medizinische Diagnosen (etwa „Depression“) Karrieren ruinieren und das gesellschaftliche Ansehen des Betroffenen stark schädigen. Gerade bei Daten mit solch hohem Schutzbedarf ist eine ausführliche Risikoanalyse angebracht.

Eintrittswahrscheinlichkeit eines Risikos abschätzen

Zu einer solchen Risikoanalyse gehört es auch, die Eintrittswahrscheinlichkeit des jeweiligen Risikos einzuschätzen. Da genaue statistische Daten typischerweise nicht vorliegen, bietet sich eine grobe Einordnung in Auftretensklassen an, z.B.:

  • mehrmals im Jahr
  • einmal im Jahr oder weniger
  • vernachlässigbar selten

Menge der Betroffenen abschätzen

Relevant ist nach dem Gesetz zudem die Menge der Betroffenen („Umfang“), auch wenn es für den Einzelnen wahrscheinlich keinen großen Unterschied macht, ob er in seinen Rechten und Freiheiten einzeln oder als Teil einer Gruppe verletzt wird.

Das Ergebnis der Risikoanalyse ist eine Auflistung der relevanten Bedrohungen mit einer geschätzten Eintrittswahrscheinlichkeit und der Schwere des Risikos für den bzw. die Betroffenen.

Geeignete Maßnahmen auswählen

Um die Maßnahmen auszuwählen, die zur Minimierung der identifizierten Risiken geeignet sind, können Sie bei personenbezogenen Daten mit geringem Schutzbedarf auf Standardkataloge wie die oben zitierten BSI-Maßnahmenkataloge zurückgreifen.

Wirksamkeit ggf. einzeln pro Risiko beurteilen

Geht es um erhebliche Risiken für die Betroffenen, betrachten Sie die Wirksamkeit der getroffenen Maßnahmen einzeln pro Risiko.

In der Praxis passieren nach der Erfahrung des Autors die meisten Fehler genau an diesem Punkt, da hier bei einer nur oberflächlichen Betrachtung leicht Lücken übersehen werden.

Ein „Klassiker“ ist die verschlüsselte Notebook-Festplatte, von der ein unverschlüsselter Datenbackup auf einer externen USB-Platte gespeichert wird. Hier wird zwar „verschlüsselt“, allerdings nicht vollständig, sodass signifikante Risiken (Verlust oder Diebstahl der Backup-Platte) nicht angemessen abgesichert sind.

Stand der Technik berücksichtigen

Die Frage, ob eine konkrete Maßnahme geeignet ist, muss den Stand der Technik berücksichtigen. Dabei bezieht sich der Stand der Technik insbesondere auf mögliche und in der Praxis vorkommende technische Risiken wie z.B. Angriffsmethoden von Hackern.

Verschlüsselungstechnologien und -stärken

Beachten Sie gerade bei Verschlüsselungstechnologien die aktuellen Fortschritte bei der Kryptoanalyse, beispielsweise indem bei den geforderten Schlüssellängen die Empfehlungen der Hersteller und unabhängiger Institute und Behörden eingehalten werden (z.B. BSI in Deutschland, http://ogy.de/bsi-richtlinie, NIST in den USA, www.nist.gov/itl).

Bei der Verschlüsselungsstärke sind mehrere Faktoren wichtig, u.a. der zukünftige Zeitraum, für den heute verschlüsselte und dann dauerhaft gespeicherte Daten sicher sein müssen.

Geht dieser Zeitraum weit in die Zukunft, berücksichtigen Sie auch wissenschaftliche Erkenntnisse zu theoretischen Schwächen in kryptografischen Verfahren, selbst wenn diese Schwächen sich heute noch nicht in praktikablen Entschlüsselungsmethoden ausnutzen lassen.

Wie steht es tatsächlich um die Wirksamkeit einer Maßnahme?

Bei manchen technischen Maßnahmen ist die tatsächliche Wirksamkeit fraglich. Beispielsweise sind im Bereich der automatisierten Überwachung von Datenflüssen personenbezogener Daten Mustererkennungs-Methoden im Einsatz. Sie untersuchen ausgehende E-Mails nach bestimmten Zeichenketten, die für personenbezogene Daten typisch sind bzw. sein sollen.

Gerade bei unstrukturierten Daten kann es dabei zu falsch positiven Bewertungen („Fehlalarm“, „false positives“) kommen. Oder die Systeme erkennen tatsächlich abfließende personenbezogene Daten nicht.

Schwer einzuschätzen sind auch organisatorische Maßnahmen, die darauf abzielen, menschliches Fehlverhalten zu verhindern. Ob ein bestimmter Mitarbeiter eine bestimmte Arbeitsanweisung – beispielweise keine Dokumente mit personenbezogenen Daten auf dem betrieblichen Notebook lokal zu speichern – befolgen wird oder nicht, ist eine Frage der individuellen Disposition.

Implementierungskosten gegen die Rechte und Freiheiten der Betroffenen abwägen

Da im Gegensatz zur eher ökonomischen Betrachtung von IT-Sicherheitsrisiken in Unternehmen („Was kostet uns ein Sicherheitsvorfall?“) beim Datenschutz die Verletzung der Rechte und Freiheiten der Betroffenen („gesellschaftliche Stellung“, „wirtschaftliche Verhältnisse“) im Fokus steht, ist eine rein ökonomische Abwägung naturgemäß schwierig.

Während sich eine Einschränkung der wirtschaftlichen Verhältnisse eines Betroffenen noch leichter mit Euro und Cent bewerten lässt, ist das beim Verlust der gesellschaftlichen Stellung nicht wirklich möglich.

Nach der Erfahrung des Autors kommt es aber in der Praxis kaum vor, dass die einzigen wirksamen Maßnahmen so teuer wären, dass sie sich verbieten.

Stellen Sie in Fällen, in denen sich personenbezogene Daten nicht mit ökonomisch tragbaren Maßnahmen wirksam schützen lassen, eher die Sinnhaftigkeit des gesamten Verarbeitungsverfahrens infrage.

Verbleibende Risiken betrachten und bewerten

Auch bei systematischer Betrachtung der Risiken und sorgfältiger Auswahl bzw. Entwicklung der technischen und organisatorischen Maßnahmen lassen sich niemals alle Risiken vollständig ausschließen.

Typischerweise verbleiben immer noch Risiken im Bereich des persönlichen Fehlverhaltens, da quasi jedes IT-System Administratoren mit weitreichenden Rechten benötigt, die sich, auch wenn sie keine direkten Zugriffsrechte auf personenbezogene Daten haben, diese einfach und oft unentdeckt beschaffen können.

Auch solchen Risiken könnte man mit einem technisch umgesetzten „Vier-Augen-Prinzip“ (z.B. zweiteiliges Passwort) zumindest teilweise entgegentreten.

Am Ende des Tages wird man aber immer einer mehr oder weniger kleinen Gruppe von Menschen bis zu einem gewissen Grad vertrauen müssen.

Fazit: Keine Perfektion möglich

Eine systematische Bewertung, ob Maßnahmen geeignet sind, bzw. die Entwicklung von angemessenen Maßnahmen ist auf Basis einer ausführlichen Analyse der Risiken und Bedrohungen für die Rechte und Freiheiten der Betroffenen möglich.

Die relevanten Risiken vollständig zu ermitteln, ist jedoch recht aufwendig. Und die sachgerechte Bewertung der Wirksamkeit von Sicherheitsmaßnahmen erfordert – insbesondere im technischen Bereich – ein umfassendes Wissen, was Stand der Technik und ggf. sogar der Wissenschaft ist.

Bei Daten mit geringerem Schutzbedarf und Standardsystemen bietet es sich an, auf vorhandene Gefahren- und Maßnahmenkataloge zurückzugreifen, um die Aufwände zu verringern (z.B. BSI-Grundschutz oder auch die in der DSGVO angedachten „genehmigten“ Verhaltensregeln).

Da jede Sicherheitsbetrachtung stets ein Blick in die Zukunft ist und eine Abschätzung von Eintrittswahrscheinlichkeiten umfasst, ist jeder umgesetzte Maßnahmenkatalog immer nur eine Annäherung.

Dr. Oliver Stiemerling
Dr. Oliver Stiemerling ist öffentlich bestellter und vereidigter Sachverständiger für Systeme und Anwendungen der Informationsverarbeitung bei ecambria experts in Köln.