IT-Sicherheit für Dummies. Rainer W. Gerling
Чтение книги онлайн.
Читать онлайн книгу IT-Sicherheit für Dummies - Rainer W. Gerling страница 26
Eine interessante und spannende Frage hat das Oberste Verwaltungsgericht (Varhoven administrativen Sad) von Bulgarien im Juni 2021 dem Europäischen Gerichtshof vorgelegt. Reicht als Beweis für unzureichende technisch-organisatorische Maßnahmen im Datenschutz bereits aus, dass Dritte unbefugt an die personenbezogenen Daten gekommen sind? Oder muss im Einzelfall im Detail geprüft werden, ob die vom Unternehmen getroffenen technisch-organisatorischen Maßnahmen den Anforderungen der DS-GVO genügten? [Vas21]
Im Bereich der Informationssicherheit ist es für Sie relativ einfach, die Kosten für eine Sicherheitsmaßnahme als angemessen zu beurteilen. Sie vergleichen die Betriebskosten der Sicherheitslösung mit dem mittleren Schaden pro Jahr, der ohne die Sicherheitslösung entstehen würde. Ist der abgeschätzte Schaden pro Jahr höher als die Betriebskosten pro Jahr, fällt die Entscheidung für die Sicherheitslösung leicht.
In Anlehnung an die klassische Rentabilitätsbetrachtung »Return on Investment« (RoI), die in der Betriebswirtschaftslehre etabliert ist, definieren wir einen »Return on Security Investment« (RoSI) [ENISA12]. Beim RoI werden die Kosten der Investition mit dem Ertrag der Investition verglichen. Bei RoSI vergleicht man die Kosten der Investition mit dem verhinderten Schaden.
Die Kosten der Investition in eine Sicherheitslösung, sei es nun die Beschaffung einer Firewall, einer Antivirenlösung oder einer Festplattenverschlüsselung, können Sie sehr gut beziffern. Der Anschaffungspreis steht auf der Rechnung und die Kosten des Rollouts sowie die jährlichen Betriebskosten sind auch bestimmbar. Das Finanzcontrolling beziehungsweise das IT-Controlling sollte da gute Zahlen liefern können. Schwieriger wird es, den verhinderten Schaden zu bestimmen. Sie können sich dort nur auf veröffentlichte Statistiken anderer Unternehmen beziehen, da Ihnen ja die eigenen Zahlen fehlen.
Nehmen wir an, ein Unternehmen hat 1000 Notebooks im Einsatz. Aus Erfahrung ist bekannt, dass etwa 30 Notebooks pro Jahr verloren gehen oder gestohlen werden. Der Missbrauch der auf den Notebooks gespeicherten Daten wird mit 8.000 € pro abhandengekommenen Notebook abgeschätzt. Deshalb soll eine Festplattenverschlüsselung eingeführt werden. Die Lizenzkosten sind pro Notebook einmalig 100 €. Der Rollout der Verschlüsselungslösung inklusive Betriebskosten liegt im ersten Jahr bei 40.000 € und die Betriebskosten in den Folgejahren sind mit 20.000 € zu beziffern. Damit ergibt sich folgende Rechnung:
1. Jahr | 2. Jahr | 3. Jahr | 4. Jahr | |
---|---|---|---|---|
verhinderter Schaden | 240.000 € | 240.000 € | 240.000 € | 240.000 € |
Lizenzkosten | 100.000 € | - | - | - |
Betrieb und Rollout | 40.000 € | 20.000 € | 20.000 € | 20.000 € |
RoSI | 100.000 € | 220.000 € | 220.000 € | 220.000 € |
Bereits im ersten Jahr ergibt sich ein RoSI von 100.000 €. In den folgenden Jahren sind es sogar 220.000 €. Also eine lohnende Investition in die Sicherheit. Wichtig ist natürlich, dass Sie bei derartigen Rechnungen mit realistischen Zahlen rechnen.
Die Kosten für die verlorenen Notebooks und die Ersatzbeschaffungen müssen Sie bei dieser Betrachtung nicht berücksichtigen, da die Verschlüsselungslösung den Verlust der Notebooks nicht beeinflusst. Die Lösung verhindert nur den Missbrauch der Daten auf den verlorenen Notebooks. Höchstens wenn die Daten auf den Notebooks so wertvoll sein sollten, dass die Notebooks wegen der Daten gestohlen werden, beeinflusst die Verschlüsselungslösung vielleicht doch die Diebstahlrate.
Den einfachen quantitativen Kostenvergleich zur Bestimmung des RoSI können Sie im Bereich Datenschutz nicht anwenden. Das Schutzziel, das Sie in der Abwägung betrachten, ist das Risiko für die Rechte und Freiheiten der betroffenen Personen. Das ist eher ein qualitativer Vergleich.
Die Implementierungskosten sind nicht nur die Kosten der Beschaffung der Sicherheitslösung, sondern auch die Kosten für deren Betrieb. Nicht zu den Implementierungskosten der Sicherheitslösung gehören die Kosten der eigentlichen Verarbeitung, also zum Beispiel die Beschaffungs- und Betriebskosten der Server für die Verarbeitung, der zugehörigen Datenbanksoftware und so weiter. Nur die Kosten der Sicherheitsmaßnahmen, die zusätzlich beschafft und betrieben werden, dürfen Sie berücksichtigen.
Grundsätzlich dürfen Sie jedoch, wenn es mehrere Maßnahmen gibt, die den gleichen Schutz liefern, die günstigste der Maßnahmen auswählen. Die schlichte Tatsache, dass Schutzmaßnahmen Kosten verursachen, ist kein Grund, von Schutzmaßnahmen abzusehen. Wenn sie personenbezogene Daten verarbeiten, müssen sie die Kosten der Schutzmaßnahmen tragen.
Sie müssen im Unternehmen personenbezogene Daten länger geschützt (Schutzziel Vertraulichkeit) auf einer Blu-ray aufbewahren. Es gibt zwei Möglichkeiten, dies zu tun. Sie können die unverschlüsselten Daten auf der Blu-ray für die Dauer der Aufbewahrung in einen Tresor legen. Alternativ können Sie die Daten verschlüsselt auf der Blu-ray speichern und die Blu-ray »normal« aufbewahren. Lediglich der Schlüssel wird, zum Beispiel ausgedruckt, in einem verschlossen Umschlag im Tresor aufbewahrt. Da beide Methoden einen vergleichbaren Schutz bieten, dürfen Sie die kostengünstigere Methode wählen.
Sie müssen noch einen weiteren wichtigen Aspekt berücksichtigen: Wenn die Implementierungskosten der Sicherheitsmaßnahmen den Wert, den Sie den personenbezogenen Daten zurechnen, oder den potenziellen Schaden für Ihr Unternehmen übersteigen, müssen Sie diese trotzdem in Kauf nehmen, wenn das Risiko für die Rechte und Freiheiten der Betroffenen entsprechend hoch ist.
Geht es nur um materielle Schäden für die Betroffenen, sind Sie wieder im Bereich eines quantitativen Vergleichs. Spielen jedoch zusätzlich immaterielle Schäden für die Betroffenen (zum Beispiel schwerwiegende Rufschädigungen) eine Rolle, ist ein alleiniger quantitativer Vergleich nicht mehr möglich.
Um hier eine ordentliche Risikobetrachtung zu »erzwingen«, ist bei hohen Risiken eine Datenschutzfolgenabschätzung (DSFA) gemäß Art. 35 DS-GVO vor Aufnahme der Verarbeitungstätigkeit verbindlich vorgeschrieben. Dabei sind neben der Herausarbeitung und Bewertung der Risiken auch eine Beschreibung der zur Bewältigung der Risiken geplanten Maßnahmen ein erforderlicher Inhalt. Darüber hinaus müssen Sie aufschreiben, warum die Verarbeitung notwendig und verhältnismäßig ist. Eine DSFA muss vor Beginn der Verarbeitung erstellt werden.
Gewährleistungsziele des Datenschutzes
Aus den Vorgaben zur Rechtmäßigkeit in der DS-GVO beziehungsweise im BDSG lassen sich zusätzlich zu den klassischen Schutzzielen der IT-Sicherheit auch