Zugriffskontrolle, Protokollierung, Verschlüsselung

Rathaus 2.0: digital und trotzdem rechtskonform

| Autor / Redakteur: Sergej Schlotthauer / Susanne Ehneß

Ein C.A.F.E. für den Datenschutz

Ein Grund für die zögerliche Einführung von Schutzmaßnahmen für Endgeräte ist sicherlich, dass sich aus dem Wortlaut im § 9 nicht unbedingt konkrete IT-Lösungen ableiten lassen. Allerdings findet man in der IT-Sicherheitsbranche ein Lösungskonzept, das unabhängig vom Text des BDSG genau die angesprochenen Maßnahmen beschreibt.

Das Konzept wurde 2012 von einem deutschen Datensicherheitsspezialisten entwickelt und hat Gültigkeit für den gesamten Bereich des Datenschutzes, auch wenn es zum Beispiel um den Schutz von Know-how-Daten in Industrieunternehmen geht. Es eignet sich hervorragend, um ein BDSG-konformes Maßnahmenpaket und damit verbundene IT-Lösungen abzuleiten. Das so genannte „C.A.F.E. Management Prinzip“ erklärt, dass die Funktionen

  • „Control“ im Sinne von Zugriffskontrolle,
  • „Audit“ im Sinne von Protokollierung,
  • „Filter“ im Sinne von Separierung von kritischen und unkritischen Datentypen und
  • „Encryption“ im Sinne von Verschlüsselung auf allen Wegen, über die Daten transportiert werden, eingeführt werden müssen, um eine umfassende Datensicherheit zu gewährleisten.

Die Anfangsbuchstaben der Begriffe Control, Audit, Filter und Encryption geben dem Prinzip seinen Namen. Mit dem Wort Management wird außerdem dargestellt, dass auch das Managen eines solchen umfassenden Datensicherheitskonzeptes eine wichtige Rolle spielt, denn eine schwierige und aufreibende Einführung, eine lästige Administration oder fehlende Benutzerakzeptanz führen oft zum Scheitern solcher Projekte. Zum Teil werden Schutzmaßnahmen auch umgangen, weil sie Arbeitsprozesse zu sehr behindern.

Das „C.A.F.E. Management Prinzip“ ist also ein durchaus praktikabler Ansatz für die Einführung eines umfassenden IT-Sicherheitskonzeptes für den gesetzeskonformen Schutz von Bürgerdaten.

Komplexe Systemlandschaften als Hindernis

Ein weiterer Grund für das Zögern von IT-Verantwortlichen bei der Einführung von Datenschutzmaßnahmen an den Endgeräten ist, dass man es oft mit sehr komplexen Systemlandschaften und mit sehr unterschiedlichen Endgeräten zu tun hat. Das sind eben nicht nur ein bestimmter Servertyp und ein bestimmtes Server-Betriebssystem. Vielmehr handelt es sich um viele verschiedene Endgeräte-Generationen mit unterschiedlichen Betriebssystemversionen und Softwareausstattungen, die zum Beispiel von Schulen oder Freizeit- und Kultureinrichtungen teils autark angeschafft wurden.

Außerdem gibt es in einigen Abteilungen ganz spezielle Endgeräte wie etwa die mobilen Erfassungsgeräte für Parksünder des Ordnungsamtes oder Spezialgeräte des Vermessungsamtes mit teils sehr alter Software, die man auch mit einbeziehen muss.

Ein falscher Ansatz wäre es, für die Zugriffskontrolle, Protokollierung und die Verschlüsselung von mobilen Datenträgern jeweils unterschiedliche Lösungsanbieter auszuwählen. Die Folge wäre ein langwieriges und teures Projekt.

Problematisch ist auch die Auswahl eines Herstellers, der die relevanten Funktionen zwar aus einer Hand anbietet, es sich dabei jedoch um fremdenwickelte OEM-Produkte handelt. In der Regel verfügen diese über unterschiedliche Datenbanken, Software-Architekturen und Bedienkonzepte. Auch hier wird es sehr schwer, die jeweilige Lösung zügig und effizient in eine komplexe Systemlandschaft einzuführen. Vielmehr muss man hierbei davon ausgehen, dass viel Geld und Zeit für Consulting verloren geht.

Der Autor: Sergej Schlotthauer, CEO bei Egosecure
Der Autor: Sergej Schlotthauer, CEO bei Egosecure (Bild: Egosecure)

Am besten beraten ist die IT-Abteilung einer Öffentlichen Verwaltung mit einer Lösung, die alle Funktionen innerhalb eines integrierten Produktes anbietet. Es sollte möglichst nur eine Datenbank, eine einheitliche Software-Architektur, eine zentrale Management-Konsole und ein Bedienkonzept geben. Verfügt dieses Produkt dann noch über offene und sehr flexible Schnittstellen und unterstützt virtuelle Umgebungen, handelt es sich um ein echtes Spezialprodukt für die Anforderungen von kommunalen Verwaltungen.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43509405 / Standards & Technologie)