Sicherheit der Verarbeitung

Als verantwortliche Stelle im Sinne des Datenschutzes hat man verschiedene Vorgaben des Datenschutzes in Hinblick auf die Datensicherheit zu beachten. Oftmals ist man hierbei auf Dienstleister angewiesen denen man vertraut. Dieses Vertrauen kann mangels Einblick / Verständnis der Tätigkeiten des Dienstleisters und durch fehlen von Service Verträgen zu teuren Verstößen führen.

In der Praxis zeigt sich, dass es notwendig ist die Umsetzungen zur Datensicherheit genau zu überprüfen, denn oftmals scheitert es an klaren Zuständigkeiten und Anforderungen, typische Szenarien sind folgende Beispiele:

• Der IT Dienstleister leistet nur gemäß Beauftragung, was nicht beauftragt wird wird nicht umgesetzt. Eine Beratungspflicht gibt es nicht, der IT Dienstleister berät nur das was er verkaufen möchte. So kommt es oft dazu das es nur punktuelle Konzepte und Umsetzungen enstehen wie z.B. Backup-Konzepte  die nicht existieren oder nicht vollständig sind oder deren Wirksamkeit nie geprüft wurde. In diesem Fall sind Datenverluste vorprogrammiert. Beispiele hierfür sind das große E-Mail Bestände einer Firma für immer verloren gingen weil diese nur lokal auf einem PC in Outlook Archiv Dateien existierten, denn das Outlook war so eingerichtet das es nach Abruf auf dem E-Mailserver löscht. Dadurch werden E-Mails  nur lokal in eine PST Datei gespeichert. Da der PC nicht gesichert wurde weil alle Mitarbeiter auf Netzlaufwerken arbeiten, war die PST Datei durch Austausch und Löschung des PCs verloren.
• Oftmals gibt es rudimentäre Datensicherheitskonzepte die im Laufe der Zeit durch zum Beispiel Server Umzüge oder IT Umstrukturierung verloren gehen. Dadurch kommt es vor das nach einem Serverumzug das Rechtekonzept verloren geht, mit der Folge das jeder Nutzer plötzlich alle Ordnerstrukturen betreten kann und alles sieht wie z.B. Personalunterlagen.
• Backup Konzepte die nach Jahren nicht mehr funktionieren weil der Speicherplatz nicht ausreichte oder die fehlerhafte Backup Daten produzieren die nicht wiederherstellbar sind oder die gar kein Backup mehr produzieren weil Ordnerstrukturen zu stark verschachtelt waren und nicht mehr gesichert werden konnten weil das Backup Programm nur eine beschränkte Anzahl an Zeichenlängen verarbeiten kann. Backups die nur noch ein Teil der Daten sicherten usw.
• Sicherheitsupdates nur einmal im Jahr aus Kostengründen.
• Mangelnde Verschlüsselung oder der Bruch der Verschlüsselungs-Kette sind weitere Beispiele.
• Backups im selben Gebäude die bei Brand oder anderen Katastrophen mit vernichtet werden.
• Individual Software oder Webshops die die Ihre personenbezogenen Daten ungesichert im Internet verfügbar machen oder durch Einsatz veralteter Software Stacks angreifbar sind. In Test sowie in Produktionsumgebungen. z.B. MySQL Datenbanken die mit Standard Passwörtern aus dem Internet erreichbar sind oder Kopien sämtlicher Daten die in Redis Caches oder Elastic Search Instanzen ohne Authorisierungsmechanismen abrufbar sind, da diese Dienste vom Internet zu entkoppeln gewesen wären.
• Oftmals sind die Firmen-Netzwerke ein großes Ganzes, was zur Folge hat das wenn irgendein Netzwerkgerät sich Schadsoftware einfängt, diese dann alle Netzwerkteilnehmer angreifen kann. Häufige Einfallstore sind heutzutage auch netzwerkgebundene Geräte wie Router, Kameras, Drucker, Beamer und Gebäudesteuerungszentralen. Hier gibt es die Möglichkeit mit Netzwerksegmentierungen z.B. Produktion und Verwaltung zu trennen, mit der Folge das eine Infektion in der Produktion sich auch nur dort verbreiten kann.
• uvm.

Es zeigt sich immer wieder das gerade ein Mangel an IT Sicherheit und Datensicherheit zu teuren oder auch ärgerlichen Verlusten von Daten führen kann.