EU-DSGVO: Physikalische IT-Security ist Teil des Datenschutzes
Am 25. Mai tritt sie in Kraft, die EU-Datenschutz-Grundverordnung, kurz EU-DSGVO genannt. Sie wird das Bundesdatenschutzgesetz grundlegend verändern. Genau das stellt Unternehmen v...
Am 25. Mai tritt sie in Kraft, die EU-Datenschutz-Grundverordnung, kurz EU-DSGVO genannt. Sie wird das Bundesdatenschutzgesetz grundlegend verändern. Genau das stellt Unternehmen vor eine große Herausforderung, denn bei Nicht-Einhaltung drohen Bußgelder in Millionenhöhe. Dabei gilt es nicht nur offensichtliche Aspekte wie etwa die eindeutige Einwilligung zum Erhalt von E-Mails zu beachten. Auch die physikalische IT-Sicherheit muss auf Vordermann gebracht werden. Was aber hat nun die physikalische IT-Sicherheit mit dem Datenschutz nach EU-DSGVO zu tun?
Die EU-DSGVO und ihre Auswirkungen auf Bestimmungen zur physikalischen IT-Sicherheit in Unternehmen
Die ab dem 25. Mai 2018 geltende EU-Datenschutz-Grundverordnung (EU-DSGVO) wird einen hohen Einfluss auf die Bestimmungen zur physikalischen IT-Sicherheit in Unternehmen haben, denn auch diese ist für den zuverlässigen Schutz von Daten mitverantwortlich. Diese Verordnung trifft nicht nur Großkonzerne wie Social-Media-Internet-Riesen, sondern auch kleine und mittelständische Unternehmen.
Die EU-DSGVO vereinheitlicht das europäische Datenschutzrecht und stärkt die Datenschutzbehörden. Sie fordert jetzt von allen Unternehmen, ihren Datenschutz und ihre physikalische IT-Sicherheit genau zu überprüfen, neu zu organisieren und oft deutlich umfassender anzugehen.
Die Vorgaben zur Sicherheit sind in Artikel 32 der EU-DSGVO so beschrieben: „Unter Berücksichtigung des „Stands der Technik“, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“
Aktueller Ist-Zustand:
Im deutschen Mittelstand, also bei den kleinen und mittelständischen Unternehmen, ist das bisher nur teilweise angekommen. Viele Unternehmen, die sich bereits mit der Thematik beschäftigt haben, stellen fest, dass sie in Sachen physikalische IT-Sicherheit nicht darauf vorbereitet sind.
Das bestätigt auch eine aktuelle Studie des Ponemon Institutes, bei der mehr als 4.000 IT- und IT-Sicherheitsexperten in 14 Ländern zum aktuellen Stand der Dinge befragt wurden:
- 38 % der Befragten sehen sich gut vorbereitet auf die Situation
- 74% der Befragten halten ihre Sicherheitsarchitektur für dringend erneuerungsbedürftig
- 63 % der Befragten geben an, dass sie veraltete Sicherheitslösungen im Einsatz haben
Stand der Technik:
Die Unternehmen sind aber in der Pflicht, ihre technischen Maßnahmen für die physikalische IT-Sicherheit zu überprüfen, gemäß dem Stand der heutigen Technik. Der genaue „Stand der Technik“ ist dabei nicht spezifiziert.
Ein Auszug aus Artikel 32 der EU-DSGVO: „[…]die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicher zu stellen.“
Die Unternehmen müssen also sicherstellen, dass die von ihnen erhobenen Daten vor unberechtigtem Zugriff durch Dritte sicher sind. Des Weiteren muss auch darauf geachtet werden, dass die IT-Systeme stabil laufen, und sie gegen Angriffe und physikalische Gefahren geschützt sind.
Dieser Schutz beinhaltet:
- Schutz vor vorsätzlichem Handeln
- Schutz vor fahrlässigem Handeln und höherer Gewalt.
Es muss also eine einheitliche Betrachtung durchgeführt werden von Daten, Prozessen, IT-/-ITK-Systemen und menschlichem Verhalten. Doch an welche Richtlinien und Gesetze müssen Unternehmen sich halten bzw. welche müssen sie anwenden?
Viele Datenschutzbeauftragte empfehlen in diesem Zusammenhang Leit- und Richtlinien gemäß den Vorgaben, zum Schutz der Vertraulichkeit, Verfügbarkeit und Integrität der IT- und oder ITK-Systeme der EU-DSGVO, Art. 32. Um diese Vorgaben zu erfüllen bietet es sich an, die klassischen Zertifzierungstools zu nutzen.
Vorgaben bzw. Empfehlungen zur Auswahl von technischen und organisatorischen Maßnahmen sind sowohl in der ISO 27xxx als auch im IT-Grundschutz-Katalog des BSI zu finden.
Leit- und Richtlinien sind einzuführen für:
- IT-Sicherheit
- ITK-Nutzung (Benutzerberechtigungen)
- Internet- und E-Mail-Nutzung (auch BYOD)
- Outsourcing (falls zutreffend)
- Sicherheitshinweise IT-Anwender
- Sicherheitshinweise IT-Administratoren
- Änderungskonzept
- Viren-Schutzkonzept
- Datensicherungskonzept
- Notfallvorsorgekonzept (Notfallplan)
- Archivierungskonzept
IT-Sicherheitsrichtlinien
Um bei der physikalischen IT-Sicherheit zu bleiben bedienen wir uns bei den IT-Grundschutz-Katalogen des BSI. Im IT-Grundschutz für Rechenzentrum (B2.9) werden potentielle physikalische Gefahren beschrieben als Ausfall von IT-Systemen, Blitz, Feuer, Wasser, Kabelbrand, Temperatur, Luftfeuchte, unbefugter Zutritt, Ausfall der Stromversorgung, Diebstahl, Vandalismus, etc.
Die ISO 27001 beinhaltet ebenfalls einen Unterpunkt zur physikalischen IT-Sicherheit: A.11 Physische und Umgebungssicherheit – Kontrollen, die Sicherheitsbereiche, Zutrittskontrollen, Schutz gegen Bedrohungen, Gerätesicherheit, sichere Entsorgung, etc.
Die Brücke schlagen zwischen physikalischer IT-Sicherheit und Datenschutz
Die Gefahr von Datendiebstahl durch Cyber-Kriminelle ist ein aktuelles Thema – was nützt jedoch die beste Netzwerk-Sicherheit, wenn ein Unbefugter unbemerkt auf das Firmengelände gelangt oder Daten verloren gehen, weil ein Server in die Knie geht? Festzuhalten bleibt: 50% der IT Ausfälle haben physische Ursachen. Im Gegensatz zu Ausfällen, die durch Softwarefehler verursacht werden, sind die Ausfallzeiten bei physischen Defekten meist länger und teurer.
Häufige Gefahren im Serverraum und IT-Rack sind:
- Übertemperatur
- Netzausfall oder USV Defekte
- Schmorbrände und Feuer
- Wasserleckagen
- Einbruch und Diebstahl
- Menschliches Fehlverhalten
Fazit
Kleine und mittelständische Unternehmen können die neue Verordnung nicht als bürokratische Hürde sehen, sondern als Chance – die Chance, die eigene physikalische IT-Sicherheit auf den neuesten Stand der Technik zu bringen sowie einen Wettbewerbsvorteil zu bekommen um neue Zielmärkte anzusprechen, die hohe Anforderungen in punkto Datenschutz haben.
Business Partner
Kentix GmbHCarl-Benz-Str. 9
55743 Idar-Oberstein
Deutschland
Meist gelesen
Containment für die Batterieindustrie: Sichere Forschungsarbeiten an Kathodenmaterialien
Die weltweite Produktion von Batteriezellen wird in den kommenden Jahren weiterhin signifikant steigen. Dieser Anstieg wird durch Innovationen in der Kathoden-Zellchemie begleitet, da die Kathode ein zentraler Bestandteil von Lithium-Ionen-Batteriezellen ist. Forschungsarbeiten am Zellmaterial erfordern den Umgang mit Schwermetallen wie Kobalt, der aufgrund seiner Giftigkeit eine umfassende Sicherheitsvorkehrung für die Beschäftigten erfordert.
Lünendonk-Liste 2024: Führende Sicherheitsdienstleister in Deutschland wachsen deutlich
Die 25 führenden Sicherheitsdienstleister in Deutschland wachsen im Jahr 2023 um 7,9 Prozent. Die Top 10 steigern ihren Umsatz sogar um 12,6 Prozent.
Q-Park erhöht Parkraumsicherheit mit zentralem Komplettsystem
Q-Park, ein führender Anbieter von Dienstleistungen zur Bewirtschaftung von Parksystemen in Europa, stellt sich der Sicherheit von parkenden Autos.
Vorbeugender Brandschutz: Im Gespräch mit DIvB-Geschäftsführer Axel Haas
Mit Axel Haas hat der DIvB seit Januar wieder einen hauptamtlichen Geschäftsführer. Der diplomierte Wirtschaftsingenieur war bislang beim Verband Deutscher Wirtschaftsingenieure tätig. In seiner neuen Position möchte der passionierte Netzwerker dem vorbeugenden Brandschutz eine noch stärkere Stimme verleihen. Matthias Erler von GIT SICHERHEIT hat sich mit ihm unterhalten.
Was ändert sich durch die neue EU-Maschinenverordnung?
Am 19. Juni 2023 ist die neue Maschinenverordnung (EU) 2023/1230 in Kraft getreten. In der nun folgenden Zeit müssen sich Hersteller von Maschinen und Anlagen auf wichtige Änderungen vorbereiten, die ab dem 20. Januar 2027 zwingend anzuwenden sind, um diese auch künftig im Europäischen Wirtschaftsraum in Verkehr bringen zu dürfen. Welche Änderungen es gibt, welche dabei besonders ins Gewicht fallen und was die wichtigsten To-Dos sind, verrät Marcus Scholle, Safety Application Consultant bei Wieland Electric, im Interview mit GIT SICHERHEIT.