EU-DSGVO: Physikalische IT-Security ist Teil des Datenschutzes

Am 25. Mai tritt sie in Kraft, die EU-Datenschutz-Grundverordnung, kurz EU-DSGVO genannt. Sie wird das Bundesdatenschutzgesetz grundlegend verändern. Genau das stellt Unternehmen vor eine große Herausforderung, denn bei Nicht-Einhaltung drohen Bußgelder in Millionenhöhe. Dabei gilt es nicht nur offensichtliche Aspekte wie etwa die eindeutige Einwilligung zum Erhalt von E-Mails zu beachten. Auch die physikalische IT-Sicherheit muss auf Vordermann gebracht werden. Was aber hat nun die physikalische IT-Sicherheit mit dem Datenschutz nach EU-DSGVO zu tun?

Die EU-DSGVO und ihre Auswirkungen auf Bestimmungen zur physikalischen IT-Sicherheit in Unternehmen
Die ab dem 25. Mai 2018 geltende EU-Datenschutz-Grundverordnung (EU-DSGVO) wird einen hohen Einfluss auf die Bestimmungen zur physikalischen IT-Sicherheit in Unternehmen haben, denn auch diese ist für den zuverlässigen Schutz von Daten mitverantwortlich. Diese Verordnung trifft nicht nur Großkonzerne wie Social-Media-Internet-Riesen, sondern auch kleine und mittelständische Unternehmen.

Die EU-DSGVO vereinheitlicht das europäische Datenschutzrecht und stärkt die Datenschutzbehörden. Sie fordert jetzt von allen Unternehmen, ihren Datenschutz und ihre physikalische IT-Sicherheit genau zu überprüfen, neu zu organisieren und oft deutlich umfassender anzugehen.

Die Vorgaben zur Sicherheit sind in Artikel 32 der EU-DSGVO so beschrieben: „Unter Berücksichtigung des „Stands der Technik“, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“

Aktueller Ist-Zustand:
Im deutschen Mittelstand, also bei den kleinen und mittelständischen Unternehmen, ist das bisher nur teilweise angekommen. Viele Unternehmen, die sich bereits mit der Thematik beschäftigt haben, stellen fest, dass sie in Sachen physikalische IT-Sicherheit nicht darauf vorbereitet sind.

Das bestätigt auch eine aktuelle Studie des Ponemon Institutes, bei der mehr als 4.000 IT- und IT-Sicherheitsexperten in 14 Ländern zum aktuellen Stand der Dinge befragt wurden:

• 38 % der Befragten sehen sich gut vorbereitet auf die Situation
• 74% der Befragten halten ihre Sicherheitsarchitektur für dringend erneuerungsbedürftig
• 63 % der Befragten geben an, dass sie veraltete Sicherheitslösungen im Einsatz haben

Stand der Technik:
Die Unternehmen sind aber in der Pflicht, ihre technischen Maßnahmen für die physikalische IT-Sicherheit zu überprüfen, gemäß dem Stand der heutigen Technik. Der genaue „Stand der Technik“  ist dabei nicht spezifiziert.

Ein Auszug aus Artikel 32 der EU-DSGVO: „[…]die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicher zu stellen.“

Die Unternehmen müssen also sicherstellen, dass die von ihnen erhobenen Daten vor unberechtigtem Zugriff durch Dritte sicher sind. Des Weiteren muss auch darauf geachtet werden, dass die IT-Systeme stabil laufen, und sie gegen Angriffe und physikalische Gefahren geschützt sind.

Dieser Schutz beinhaltet:

1. Schutz vor vorsätzlichem Handeln
2. Schutz vor fahrlässigem Handeln und höherer Gewalt.

Es muss also eine einheitliche Betrachtung durchgeführt werden von Daten, Prozessen, IT-/-ITK-Systemen und menschlichem Verhalten. Doch an welche Richtlinien und Gesetze müssen Unternehmen sich halten bzw. welche müssen sie anwenden?

Viele Datenschutzbeauftragte empfehlen in diesem Zusammenhang Leit- und Richtlinien gemäß den Vorgaben, zum Schutz der Vertraulichkeit, Verfügbarkeit und Integrität der IT- und oder ITK-Systeme der EU-DSGVO, Art. 32. Um diese Vorgaben zu erfüllen bietet es sich an, die klassischen Zertifzierungstools zu nutzen.

Vorgaben bzw. Empfehlungen zur Auswahl von technischen und organisatorischen Maßnahmen sind sowohl in der ISO 27xxx als auch im IT-Grundschutz-Katalog des BSI zu finden.

Leit- und Richtlinien sind einzuführen für:

• IT-Sicherheit
• ITK-Nutzung (Benutzerberechtigungen)
• Internet- und E-Mail-Nutzung (auch BYOD)
• Outsourcing (falls zutreffend)
• Sicherheitshinweise IT-Anwender
• Sicherheitshinweise IT-Administratoren
• Änderungskonzept
• Viren-Schutzkonzept
• Datensicherungskonzept
• Notfallvorsorgekonzept (Notfallplan)
• Archivierungskonzept

IT-Sicherheitsrichtlinien
Um bei der physikalischen IT-Sicherheit zu bleiben bedienen wir uns bei den IT-Grundschutz-Katalogen des BSI. Im IT-Grundschutz für Rechenzentrum (B2.9) werden potentielle physikalische Gefahren beschrieben als Ausfall von IT-Systemen, Blitz, Feuer, Wasser, Kabelbrand, Temperatur, Luftfeuchte, unbefugter Zutritt, Ausfall der Stromversorgung, Diebstahl, Vandalismus, etc.

Die ISO 27001 beinhaltet ebenfalls einen Unterpunkt zur physikalischen IT-Sicherheit: A.11 Physische und Umgebungssicherheit – Kontrollen, die Sicherheitsbereiche, Zutrittskontrollen, Schutz gegen Bedrohungen, Gerätesicherheit, sichere Entsorgung, etc.

Die Brücke schlagen zwischen physikalischer IT-Sicherheit und Datenschutz
Die Gefahr von Datendiebstahl durch Cyber-Kriminelle ist ein aktuelles Thema – was nützt jedoch die beste Netzwerk-Sicherheit, wenn ein Unbefugter unbemerkt auf das Firmengelände gelangt oder Daten verloren gehen, weil ein Server in die Knie geht? Festzuhalten bleibt: 50% der IT Ausfälle haben physische Ursachen. Im Gegensatz zu Ausfällen, die durch Softwarefehler verursacht werden, sind die Ausfallzeiten bei physischen Defekten meist länger und teurer.

Häufige Gefahren im Serverraum und IT-Rack sind:

• Übertemperatur
• Netzausfall oder USV Defekte
• Schmorbrände und Feuer
• Wasserleckagen
• Einbruch und Diebstahl
• Menschliches Fehlverhalten

Fazit
Kleine und mittelständische Unternehmen können die neue Verordnung nicht als bürokratische Hürde sehen, sondern als Chance – die Chance, die eigene physikalische IT-Sicherheit auf den neuesten Stand der Technik zu bringen sowie einen Wettbewerbsvorteil zu bekommen um neue Zielmärkte anzusprechen, die hohe Anforderungen in punkto Datenschutz haben.