Datensicherheit - ein Produkt der Organisationskontrolle

05.12.1980

Horst Laduga, Leiter des Erfa-Kreises Hessen

Die Notwendigkeit des Datenschutzes und der Datensicherheit war - oder sollte sein - schon immer ein Anliegen der Datenverarbeiter. Durch die gesetzliche Verordnung mit Hilfe des Bundesdatenschutzgesetzes - BDSG - wird dieses Bewußtsein verstärkt.

Der Begriff "Datenschutz und Datensicherheit"' definiert sich durch die Fragen

- was ist zu schützen und

- wie ist dieser Schutz zu verwirklichen?

Das BDSG ° 1 erläutert den Datenschutz als Maßnahme, die geeignet ist, einer möglichen Beeinträchtigung der Privatsphäre des Bürgers entgegenzuwirken. Eine in der EDV wichtige Vorkehrung zum Schutz von Daten ist der Begriff "Datensicherheit". Hierunter fallen im wesentlichen die technischen Vorkehrungen gegen Verlust, Entstellung, Mißbrauch und Zerstörung von Daten.

Jede Organisationseinheit in den einzelnen Betrieben fordert ihre eigene Sicherheit.

Aus diesen Überlegungen heraus hat ein Datensicherungssystem grundsätzlich folgende Funktionen zu erfüllen:

- Ordnungsmäßige Abwicklung der betrieblichen Aufgaben (Kundenaufträge, Buchhaltung) mit der Sicherstellung, daß jeder Betrieb in einem möglichen Störungsfall in angemessenem Umfang seine Arbeit fortsetzen kann.

- Sicherstellung der Betriebsgeheimnisse (Kunden-, Firmenkartei)

- Schutz der Daten und Organisationsmittel gegen Mißbrauch, Diebstahl, Veruntreuung und Verlust, Zerstörung.

Hier sollte sich jede Geschäftsleitung selbst prüfen, um im Falle eines Schadensereignisses sich nicht den Vorwurf der Unvorsichtigkeit oder Fahrlässigkeit machen zu müssen. Somit ergibt sich ein umfangreicher Katalog von notwendigen

Sicherheitsvorkehrungen. Der Aspekt Datenschutz und Datensicherheit ist ein Teil, mit Sicherheit der wichtigste Mosaikstein, in einem Sicherheitssystem.

Die begriffliche Erläuterung hierzu leitet sich aus dem BDSG zu den Datenverarbeitungssystemen ab. Zunächst wird verstanden die Erfassung, Verarbeitung, Speicherung und Weitergabe von Daten. Eine Datensicherung jedoch muß im Interesse aller Beteiligten jedes Verfahren einschließen, wie die manuelle teilautomatisierte (zum Beispiel Buchungsautomaten) oder maschinelle Datenverarbeitung.

Bei der EDV ist schon frühzeitig das Sicherheitsbedürfnis groß, da

- die Speicherung von Daten umfangreicher ist,

- die Verfügbarkeit der Daten erheblich schneller ist,

- die Daten neuen Benutzern oder Personengruppen zugänglich werden und

- die Daten nach Fragestellung verknüpfbar und kombinierbar zur Verfügung stehen.

Aus diesem Grund verpflichtet das BDSG & 6 jeden Datenverarbeiter, entsprechende Sicherheitsvorkehrungen zu treffen und bei Inanspruchnahme von Service-Rechenzentren diese nach deren Sicherheitssystemen auszuwählen und zu verpflichten, nur nach Weisungen des Auftraggebers tätig zu sein. Bedenklich sind teilweise Praktiken von Service-Unternehmen, die zum Beispiel übergebene Adressen für fremde Zwecke mißbrauchen.

Bei allen Überlegungen zur Sicherstellung von Daten sollten zunächst schutzbedürftige Tatbestände klassifiziert werden, nach Vertraulichkeit und Schutzbedürftigkeit sowie Sicherheit.

Die Sachbezogenheit der Daten läßt eine Gliederung in

Sicherheitsstufen zu, wie

- Sicherheitsstufe 1, Daten, die leicht rekonstruierbar sind und keinen Schaden bei Verfälschung anrichten.

- Sicherheitsstufe 5 sollte bei Daten angesetzt werden, die sich nur mit hohem Aufwand nacherstellen lassen und deren Verlust schwerwiegende Schäden nach sich ziehen (Buchhaltungs-, Abrechnungsdaten).

Ein derartiger Katalog klassifiziert alle vorhandenen Daten und bestimmt gleichzeitig die notwendigen organisatorischen Sicherheitsmaßnahmen.

Wichtig erscheint bei allen gesetzlichen Verpflichtungen besonders der Teil der Datensicherheit, unter dem organisatorische Maßnahmen zu verstehen sind. Technische perfektionierte Sicherheitssysteme sind zu kostenaufwendig, organisatorische Anweisungen jedoch zwingen das Unternehmen zu einem klaren Arbeitsablauf und kosten im Grundsatz nur nüchterne Überlegungen.