Facebook Twitter Instagram
    SOLCOM Freiberufler Blog
    • Steuer
    • Recht
    • Versicherung
    • Business
    • Marktstudien
    • Tipps
    • Über uns
    • Redaktion
    • Freiberufler Magazin
    • Servicebereich
    SOLCOM Freiberufler Blog
    Sicherheit:Anforderungen an IT-Freelancer
    Sicherheit:Anforderungen an IT-Freelancer

    Sicherheit: Anforderungen an IT-Freelancer (Teil 2)

    0
    Unser Autor: Markus Timm am 14. Oktober 2011 Recht

    Wie im ersten Teil der Serie „IT-Sicherheit: Anforderungen an IT-Freelancer in der Praxis“ bereits beschrieben, ergeben sich aus dem Inhalt der Anlage zu § 9 BDSG insgesamt acht Gruppen, denen verschiedene Schutzzwecke zugedacht werden:

    1. Zutrittskontrolle
    2. Zugangskontrolle
    3. Zugriffskontrolle
    4. Weitergabekontrolle
    5. Eingabekontrolle
    6. Auftragskontrolle
    7. Verfügbarkeitskontrolle
    8. Datentrennungskontrolle

    I. Die Schutzzwecke im Einzelnen

    5. Eingabekontrolle

    Bei der Eingabekontrolle soll nachträglich geprüft und festgestellt werden können, welche personenbezogenen Daten zu welchem Zeitpunkt von wem in ein Datenverarbeitungssystem eingegeben worden sind. Im Gegensatz zur Zugangskontrolle, deren Ziel die Verhinderung einer unbefugten Eingabe in den Speicher ist, sollen durch die Eingabekontrolle die näheren Umstände befugter Eingabe kontrolliert werden

    Dies muss nicht durch ständige Protokollierung aller Eingaben erfolgen, vielmehr genügen Unterlagen, anhand derer sich die geforderten Feststellungen nachträglich rekonstruieren lassen.

    Das Ziel kann u. a. durch folgende Maßnahmen erreicht werden:

    • Programmgesteuerte Festlegung der Befugnisse zur Kenntnisnahme, Eingabe, Veränderung oder Löschung mit revisionsfähiger Dokumentation,
    • Verwendung von sicheren Passwortverfahren und Benutzerkennung,
    • Protokollierung von Eingaben, Zugriffen und Zugriffsversuchen,
    • Verschlüsselung von Daten und Programmen,
    • Einsatz von Sicherheitssoftware,
    • die Festlegung der Zuständigkeit für die Eingabe,
    • der Vermerk der Eingabe in den Erfassungsunterlagen (z. B. durch Handzeichen)
    • Protokollierung der Eingabe durch Speicherung des Eingebenden und des Datums der Eingabe im Datensatz.

    6. Auftragskontrolle

    Die Auftragskontrolle soll gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den jeweiligen Weisungen des Kunden verarbeitet werden Die Auftragskontrolle wird erreicht durch:

    • die Protokollierung der jeweiligen Anweisungen,
    • den Abgleich der jeweiligen Verarbeitung mit den darauf bezogenen Anweisungen.

    7. Verfügbarkeitskontrolle

    Die Verfügbarkeitskontrolle soll die Daten vor zufälligen Zerstörungen schützen und richtet sich z. B. auf Wasserschäden, Brand, Blitzschlag und Stromausfälle durch:

    • Auslagerung von Sicherheitskopien,
    • Anschaffung von Notstromaggregaten,
    • Erstellung von Katastrophenplänen.

    8. Trennungskontrolle

    Durch die Trennungskontrolle soll die technische Sicherstellung der zweckbestimmten Verarbeitung der Daten gewährleistet werden. Es genügt die logische Trennung im Gegensatz zur räumlichen Trennung durch:

    • softwaremäßige Kundentrennung,
    • Datenseparierung bei Anwendung von Datenbanken,
    • Trennung über Zugriffsregelungen.

    II. Weitere Vorschriften mit Relevanz für die IT-Sicherheit

    1. § 13 Abs. 4 Ziff. 3 TMG

    In § 13 Absatz 4 Ziffer 3 des Telemediengesetzes (TMG) heißt es:

    (4) der Diensteanbieter hat durch technische und organisatorische Vorkehrungen sicherzustellen, dass
    3. der Nutzer Telemedien – gegen Kenntnisnahme Dritter geschützt – in Anspruch nehmen kann.

    Der Anbieter von Telediensten muss hiernach sicherstellen, dass Dritte nicht unbefugt davon Kenntnis nehmen, welcher Nutzer welche Inhalte abruft. Zu den erforderlichen Maßnahmen kann an dieser Stelle zu den Ausführungen zu § 9 BDSchG verwiesen werden.

    2. Zugangskontrolldiensteschutz-Gesetz (ZKDSG)

    Das mit 7 Paragraphen recht kurze Gesetz birgt ein gewisses Risiko für IT-Security-Freelancer (und -Unternehmen). Sinn des Gesetzes ist, „technische Verfahren oder Vorrichtungen, die die erlaubte Nutzung eines zugangkontrollierten Dienstes (insbesondere Tele- und Mediendienste) ermöglichen“ (z. B. Pay-TV-Karten), zu schützen.

    Zur Erreichung des Zwecks verbiete der Gesetzgeber:

    • die Herstellung, die Einfuhr und die Verbreitung von Umgehungsvorrichtungen zu gewerbsmäßigen Zwecken,
    • den Besitz, die technische Einrichtung, die Wartung und den Austausch von Umgehungsvorschriften zu gewerbsmäßigen Zwecken,
    • die Absatzförderung von Umgehungsvorrichtungen.

    Verstöße können mit Gefängnisstrafen bis zu einem Jahr geahndet werden.

    Da es an Ausnahmevorschriften in diesem Gesetz fehlt, könnte das Zurverfügungstellen einer Scanner-Software durch einen IT-Security-Unternehmer sehr bedenklich sein. Das gilt natürlich auch für Root-Kits und Selbst-Diagnose-Werkzeuge.

    3. IT-Sicherheit zur Vermeidung strafrechtlicher Haftung

    Die Pflicht zur IT-Security ergibt sich mittelbar auch aus Straftatbeständen. So zwingt § 106 UrhG (unerlaubter Verwertung urheberrechtlich geschützter Werke) durch entsprechende Sicherheitsmaßnahmen zu verhindern, dass Mitarbeiter auf Unternehmensservern unerlaubt erstellte Audio- oder Videodateien speichern und beispielsweise durch das Betreiben von Peer-to-Peer-Tauschbörsen für Abruf durch Dritte bereithalten. Entsprechende Maßnahmen des Unternehmens könnten sein: die Rationierung von Speichermengen (Speicher-Quotas) zur Begrenzung und Überwachung der durch die eigenen Mitarbeiter gespeicherten Daten bzw. die regelmäßige Überprüfungen der laufenden Serverprogramme und der Netzwerkauslastungen. Unternehmen, die solche Maßnahmen unterlassen, kann ein Eventualvorsatz unterstellt werden. Damit braucht das Unternehmen nicht einmal mehr konkrete Kenntnis von den Verstößen zu haben, um sich nach § 106 UrhG durch Unterlassen („Unterlassung“?) strafbar zu machen.

    Eine weitere Vorschrift ist der § 27 JuSchG (jugendgefährdende Medien). Es heißt hier:

    (1) Mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe wird bestraft, wer
    1. entgegen § 15 Abs. 1 Nr. 1 bis 5 oder 6, jeweils auch in Verbindung mit Abs. 2, ein Trägermedium anbietet, überlässt, zugänglich macht, ausstellt, anschlägt, vorführt, einführt, ankündigt oder anpreist,
    2. entgegen § 15 Abs. 1 Nr. 7, auch in Verbindung mit Abs. 2, ein
    Trägermedium herstellt, bezieht, liefert, vorrätig hält oder einführt, […]

    Unternimmt der ausbildende Arbeitgeber nichts gegen jugendgefährdende Medien, die von seinen Auszubildenden auf seinen Systemen gespeichert und untereinander ausgetauscht werden, gerät er leicht in den Vorwurf, derartige – laut Jugendschutzgesetz verbotene – Inhalte zugänglich zu machen.

    Share. Facebook Twitter Pinterest LinkedIn Tumblr Email
    Markus Timm
    • Website

    Rechtsanwalt und Fachanwalt für IT-Recht Markus Timm ist Partner der Kanzlei Peukert & Timm in Potsdam. Er begleitet und berät Unternehmen sowie Dienstleister in der IT-Branche.

    Das könnte Sie interessieren

    E-Mail Archivierungspflicht für Freiberufler nach GoBD

    Sichere Passwörter erstellen und verwalten

    IT-Sicherheit für Freiberufler

    Beitrag kommentieren Cancel Reply

    Basiswissen, Guides, Kompendien, Glossar, Tools und Software für jede Lebenslage -
    GRATIS von freiberufler-blog.de

    Zum Servicebereich

    Freiberufler Magazin Abonnieren

    *Datenschutzerklärung

    Für die Anmeldung zu unserem Newsletter verwenden wir das sog. Double-opt-in-Verfahren. Das heißt, dass wir Ihnen nach Angabe Ihrer E-Mail Adresse eine Bestätigungs-E-Mail senden, in welcher wir Sie um Bestätigung bitten, dass Sie den Versand des Newsletters wünschen. Wenn Sie dies nicht innerhalb von 48 Stunden bestätigen, wird Ihre Anmeldung automatisch gelöscht. Durch Anklicken des Bestätigungslinks wird Ihre Anmeldung abgeschlossen. Sie empfangen dann unseren Newsletter unter der von Ihnen angegebenen E-Mail Adresse bis Sie den Newsletter abbestellen. Wenn Sie unseren Newsletter nicht mehr erhalten wollen, können Sie sich über den entsprechenden Link jederzeit abmelden. Pflichtangaben für die Übersendung des Newsletters sind Ihre E-Mail Adresse, sowie, zwecks Personalisierung Anrede und Ihr Nachname. Die Einwilligung in den Versand des Newsletters / Freiberufler Magazins ist freiwillig und kann jederzeit widerrufen werden. Wenn Sie den Newsletter künftig nicht mehr erhalten möchten, können Sie ihn jederzeit über den entsprechenden Link abbestellen.
    zur Datenschutzerklärung

    News Alert abonnieren
    Meistgelesene Beiträge
    • Häusliches Arbeitszimmer: Kosten teilen (Teil 2)
    • Freiberufler können Geschäftshandy von der Steuer absetzen
    • Freiberufler profitieren vom neuen Reisekostenrecht
    • Die 15 besten Steuertipps für Selbstständige und Freiberufler
    • Steuern: Auch gebrauchte Gegenstände können abgeschrieben werden
    Letzte Kommentare
    • Probst Karin zu Scrum aus Zeitmanagement-SichtSehr geehrte Frau Dr. Herrmann, gerade lese ich Ihren Beitrag, den ich sehr…
    • Chiara Cuvillier zu Freelancer-Bewerbung: So überzeugen Ihre UnterlagenHallo vielen Dank zunächst für den tollen Beitrag! Ist wohl die Projektdaue…
    • Otto zu Was Sie als Freelancer über Steuern wissen müssenHier findet man zumindest die Informationen, die man benötigt. Endlich werd…
    • Araceli zu Was Sie als Freelancer über Steuern wissen müssenDieser Artikel könnte für jeden, der Freelancer ist, von Bedeutung sein. Es…
    • Araceli zu Was Sie als Freelancer über Steuern wissen müssenVielen Dank für diesen klaren Beitrag zu Steuern als Freelancer. Sehr gut f…
    Soziale Medien

    Xing
    Linkedin
    Twitter
    Facebook
    Instagram

    RSS SOLCOM Projektportal
    • Projekt-Nr. 82344 - Berater Einkauf für Consultants/Trainerleistungen (m/w/d)
    • Projekt-Nr. 82348 - Supervisor/Bauleiter Elektrotechnik mit Erfahrung im Bereich Explosionsschutz (m/w/d)
    • Projekt-Nr. 82347 - Projektleiter V-Modell XT (m/w/d)
    • Projekt-Nr. 82335 - Supervisor/Bauleiter Schalt- und Steuerungsanlagen (m/w/d)
    • Projekt-Nr. 82349 - REFA Experte für Zeitaufnahmen und Bildung von Regressionsformeln (m/w/d)
    Zum SOLCOM Projektportal
    • Impressum
    • Datenschutz
    Links
    • Über uns
    • Redaktion
    • Freiberufler Magazin
    • Servicebereich
    A company  

    Type above and press Enter to search. Press Esc to cancel.

    Zur mobilen Version gehen