Wie im ersten Teil der Serie „IT-Sicherheit: Anforderungen an IT-Freelancer in der Praxis“ bereits beschrieben, ergeben sich aus dem Inhalt der Anlage zu § 9 BDSG insgesamt acht Gruppen, denen verschiedene Schutzzwecke zugedacht werden:
1. Zutrittskontrolle
2. Zugangskontrolle
3. Zugriffskontrolle
4. Weitergabekontrolle
5. Eingabekontrolle
6. Auftragskontrolle
7. Verfügbarkeitskontrolle
8. Datentrennungskontrolle
I. Die Schutzzwecke im Einzelnen
5. Eingabekontrolle
Bei der Eingabekontrolle soll nachträglich geprüft und festgestellt werden können, welche personenbezogenen Daten zu welchem Zeitpunkt von wem in ein Datenverarbeitungssystem eingegeben worden sind. Im Gegensatz zur Zugangskontrolle, deren Ziel die Verhinderung einer unbefugten Eingabe in den Speicher ist, sollen durch die Eingabekontrolle die näheren Umstände befugter Eingabe kontrolliert werden
Dies muss nicht durch ständige Protokollierung aller Eingaben erfolgen, vielmehr genügen Unterlagen, anhand derer sich die geforderten Feststellungen nachträglich rekonstruieren lassen.
Das Ziel kann u. a. durch folgende Maßnahmen erreicht werden:
- Programmgesteuerte Festlegung der Befugnisse zur Kenntnisnahme, Eingabe, Veränderung oder Löschung mit revisionsfähiger Dokumentation,
- Verwendung von sicheren Passwortverfahren und Benutzerkennung,
- Protokollierung von Eingaben, Zugriffen und Zugriffsversuchen,
- Verschlüsselung von Daten und Programmen,
- Einsatz von Sicherheitssoftware,
- die Festlegung der Zuständigkeit für die Eingabe,
- der Vermerk der Eingabe in den Erfassungsunterlagen (z. B. durch Handzeichen)
- Protokollierung der Eingabe durch Speicherung des Eingebenden und des Datums der Eingabe im Datensatz.
6. Auftragskontrolle
Die Auftragskontrolle soll gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den jeweiligen Weisungen des Kunden verarbeitet werden Die Auftragskontrolle wird erreicht durch:
- die Protokollierung der jeweiligen Anweisungen,
- den Abgleich der jeweiligen Verarbeitung mit den darauf bezogenen Anweisungen.
7. Verfügbarkeitskontrolle
Die Verfügbarkeitskontrolle soll die Daten vor zufälligen Zerstörungen schützen und richtet sich z. B. auf Wasserschäden, Brand, Blitzschlag und Stromausfälle durch:
- Auslagerung von Sicherheitskopien,
- Anschaffung von Notstromaggregaten,
- Erstellung von Katastrophenplänen.
8. Trennungskontrolle
Durch die Trennungskontrolle soll die technische Sicherstellung der zweckbestimmten Verarbeitung der Daten gewährleistet werden. Es genügt die logische Trennung im Gegensatz zur räumlichen Trennung durch:
- softwaremäßige Kundentrennung,
- Datenseparierung bei Anwendung von Datenbanken,
- Trennung über Zugriffsregelungen.
II. Weitere Vorschriften mit Relevanz für die IT-Sicherheit
1. § 13 Abs. 4 Ziff. 3 TMG
In § 13 Absatz 4 Ziffer 3 des Telemediengesetzes (TMG) heißt es:
(4) der Diensteanbieter hat durch technische und organisatorische Vorkehrungen sicherzustellen, dass
3. der Nutzer Telemedien – gegen Kenntnisnahme Dritter geschützt – in Anspruch nehmen kann.
Der Anbieter von Telediensten muss hiernach sicherstellen, dass Dritte nicht unbefugt davon Kenntnis nehmen, welcher Nutzer welche Inhalte abruft. Zu den erforderlichen Maßnahmen kann an dieser Stelle zu den Ausführungen zu § 9 BDSchG verwiesen werden.
2. Zugangskontrolldiensteschutz-Gesetz (ZKDSG)
Das mit 7 Paragraphen recht kurze Gesetz birgt ein gewisses Risiko für IT-Security-Freelancer (und -Unternehmen). Sinn des Gesetzes ist, „technische Verfahren oder Vorrichtungen, die die erlaubte Nutzung eines zugangkontrollierten Dienstes (insbesondere Tele- und Mediendienste) ermöglichen“ (z. B. Pay-TV-Karten), zu schützen.
Zur Erreichung des Zwecks verbiete der Gesetzgeber:
- die Herstellung, die Einfuhr und die Verbreitung von Umgehungsvorrichtungen zu gewerbsmäßigen Zwecken,
- den Besitz, die technische Einrichtung, die Wartung und den Austausch von Umgehungsvorschriften zu gewerbsmäßigen Zwecken,
- die Absatzförderung von Umgehungsvorrichtungen.
Verstöße können mit Gefängnisstrafen bis zu einem Jahr geahndet werden.
Da es an Ausnahmevorschriften in diesem Gesetz fehlt, könnte das Zurverfügungstellen einer Scanner-Software durch einen IT-Security-Unternehmer sehr bedenklich sein. Das gilt natürlich auch für Root-Kits und Selbst-Diagnose-Werkzeuge.
3. IT-Sicherheit zur Vermeidung strafrechtlicher Haftung
Die Pflicht zur IT-Security ergibt sich mittelbar auch aus Straftatbeständen. So zwingt § 106 UrhG (unerlaubter Verwertung urheberrechtlich geschützter Werke) durch entsprechende Sicherheitsmaßnahmen zu verhindern, dass Mitarbeiter auf Unternehmensservern unerlaubt erstellte Audio- oder Videodateien speichern und beispielsweise durch das Betreiben von Peer-to-Peer-Tauschbörsen für Abruf durch Dritte bereithalten. Entsprechende Maßnahmen des Unternehmens könnten sein: die Rationierung von Speichermengen (Speicher-Quotas) zur Begrenzung und Überwachung der durch die eigenen Mitarbeiter gespeicherten Daten bzw. die regelmäßige Überprüfungen der laufenden Serverprogramme und der Netzwerkauslastungen. Unternehmen, die solche Maßnahmen unterlassen, kann ein Eventualvorsatz unterstellt werden. Damit braucht das Unternehmen nicht einmal mehr konkrete Kenntnis von den Verstößen zu haben, um sich nach § 106 UrhG durch Unterlassen („Unterlassung“?) strafbar zu machen.
Eine weitere Vorschrift ist der § 27 JuSchG (jugendgefährdende Medien). Es heißt hier:
(1) Mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe wird bestraft, wer
1. entgegen § 15 Abs. 1 Nr. 1 bis 5 oder 6, jeweils auch in Verbindung mit Abs. 2, ein Trägermedium anbietet, überlässt, zugänglich macht, ausstellt, anschlägt, vorführt, einführt, ankündigt oder anpreist,
2. entgegen § 15 Abs. 1 Nr. 7, auch in Verbindung mit Abs. 2, ein
Trägermedium herstellt, bezieht, liefert, vorrätig hält oder einführt, […]
Unternimmt der ausbildende Arbeitgeber nichts gegen jugendgefährdende Medien, die von seinen Auszubildenden auf seinen Systemen gespeichert und untereinander ausgetauscht werden, gerät er leicht in den Vorwurf, derartige – laut Jugendschutzgesetz verbotene – Inhalte zugänglich zu machen.