Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Gesetzliche Regelung für DASI und Datenverschlüsselung

Mitglied: Woody74

Woody74 (Level 1) - Jetzt verbinden

22.07.2010 um 16:09 Uhr, 6636 Aufrufe, 11 Kommentare

Hallo Gemeinde,

Sicher, jeder sollte eine DASI durchführen und sensible Daten verschlüsseln. Aber sind diese Maßnahmen gesetzlich verankert?



1. Welcher § regelt z.B. die gesetzliche Pflicht, das jeder Unternehmer seine Unternehmensdaten auf dafür geeignete Medien sichert? (DASI)


1. Sind öffentliche Einrichtungen, z.B. Kindergärten, Schulen, oder auch Nichtöffentliche Betriebe wie Rechtsanwälte, die jeweils mit sensiblen persönlichen Daten hantieren, gesetzlich verpflichtet, ihre Daten auf Mobilen und/oder Nichtmobilen Geräten, digital zu verschlüsseln?
Mitglied: it-frosch
22.07.2010 um 17:10 Uhr
Hallo Woody,

zu 1.
es gibt meines Wissens keine Gesetz was dich zur DaSi verpflichtet aber es gibt gesetzliche Aufbewahrungsfristen.
§ 147 Ordnungsvorschriften für die Aufbewahrung von Unterlagen
http://www.gesetze-im-internet.de/ao_1977/__147.html

Diese kannst du natürlich nur mit Dasi erfüllen.


zu. 2.
Keine Ahnung.


Grüße vom IT-Frosch
Bitte warten ..
Mitglied: 2hard4you
22.07.2010 um 20:41 Uhr
Moin,

Du hast sicherzustellen, daß das Finanzamt in Deine Firmenunterlagen auch nach 10 Jahren rankommt, ob Du Deine Daten per Band oder wie auch immer sicherst, oder Deinen Fileserverinhalt periodisch ausdruckst, interessiert keinen, wichtig ist es, das es da ist.

Berufsgeheimnisträger sollten schon wissen, wie sie die Vertraulichkeit Ihrer Kunden sichern, auch da bleibt denen die Wahl, ob sie sich in Fort Knox ein Büro mieten oder ggf. Daten verschlüsseln...

Gruß

24
Bitte warten ..
Mitglied: Woody74
22.07.2010 um 21:03 Uhr
Ich glaube, ich hab´ da was gefunden.

Auszug aus dem BDSG:

§ 9 Technische und organisatorische Maßnahmen
[Gesetzestext]
Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.



[Kommentar]
Kontrollbereiche
In der Kommentierung der Anlage zu § 9 BDSG befinden sich Überlegungen zur Auswahl geeigneter Sicherungsmaßnahmen sowie ein Beispiel für einen Maßnahmenkatalog.

Kontrollbereiche
Das Praxishandbuch Datenschutz geht ausführlich auf die im § 9 BDSG geforderten Sicherheitsmaßnahmen ein. In vielen Kapiteln sind außerdem sehr hilfreiche Checklisten und Orientierungshilfen zu finden.

Im Einzelnen handelt es sich um Maßnahmen

der Zutrittskontrolle (bauliche, technische oder organisatorische Maßnahmen)

der Zugangskontrolle (dazu gehören die Art und Stärke der Zugangsmedien, die Aufbewahrung, und die Vernichtung von Informationen und Informationsträgern)

der Zugriffskontrolle (die Art und Qualität der Autorisierung, Identifizierung und Verschlüsselung der Informationen)

der Weitergabekontrolle (alle Sicherheitsvorkehrungen bei der Datenübertragung und beim -transport)

der Eingabekontrolle (Maßnahmen für eine ordnungsgemäße Anwendung der DV-Programme, Bearbeitungsvermerke oder die Einführung der digitalen Signatur als eindeutige Zuordenbarkeit)

der Auftragskontrolle (Maßnahmen bei der Auftragsdatenverarbeitung oder beim Outsourcing von Aufgabenbereichen)

der Verfügbarkeitskontrolle (dazu gehören die Datenträgerpflege, der Brandschutz, das regelmäßige Backup und ein Notfallkonzept sowie alle Fragen der Wartung der IT-Systeme und das Qualitätsmanagement)



QUELLE: Praxiskommentar BDSG


Das bedeutet doch, wenn Personenbezogene Daten erhoben, verarbeitet und gespeichert werden, die in der Sensibilität als "beträchtlich" einzustufen sind, müssen diese verschlüsselt werden. Oder??
Bitte warten ..
Mitglied: it-frosch
22.07.2010 um 23:44 Uhr
Hallo Woody,

ich glaube du suchst einen Grund warum du Daten verschlüsselt ablegen solltest oder ein Kunde von dir dies tun sollte.
Da ist das sicherlich geeignet.

Bei der Beantwortung einer Frage ist es immer wichtig zu wissen wo der Fragende eigentlich hin will. Mitunter hat das Ziel mit der Frage gar nichts zu tun.
Bitte warten ..
Mitglied: Woody74
23.07.2010 um 09:45 Uhr
Hallo it-frosch,

ich möchte wissen, ob eine DASI oder eine Verschlüsselung von bestimmten Daten wirklich gesetzlich vorgeschrieben ist.
Aus dem zitierten Gesetzestext und dem Kommentar des Buchautors entnehme ich, dass es zur Pflicht gehört, wenn bestimmte Parameter zutreffen.

Oder verstehe ich da was falsch?

Natürlich gehört die entsprechende Empfehlung meinen Kunden gegenüber zur Pflicht. Aber ich weiss nicht mit bestimmtheit, ob z.B. ein Rechtsanwalt auf Mobilen Geräten seine vertraulichen Mandantendaten verschlüsseln muss.
Bitte warten ..
Mitglied: krella
23.07.2010 um 12:25 Uhr
Hallo Woody,

die Verschlüsselung von Daten wird im Gesetz wahrscheinlich nicht so explizit gefordert sein. Die Technik entwickelt sich ja auch weiter und wenn Verschlüsselung nicht mehr ausreicht , müsste das Gesetzt ja auch wieder geändert werden. Ausserdem: welche Verschlüsselungsmethode soll es denn sein?

Gesetze, die ein IT-Sicherheitsmanagement von Unternehmen verlangen sind daher m. E. allgemein gehalten und - wie es bei Gesetzen so ist - interpretierbar.

Beispiele:

Gesetz zur Kontrolle und Transparenz -KontraGIT-Sicherheitsmanagement ist Teil der Anforderungen an ordentliche Unternehmensführung gemäß §91 Abs.2 AktG„Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“

§9 BDSG„Öffentliche und nicht-öffentliche Stellen, die (…) personenbezogenen Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.“

Gesetzliche AnforderungenDem Jahresabschluss ist gemäß §336 HGB ein Lagebericht beizufügen, der Information über die Risiken der künftigen Entwicklung des Unternehmens enthält. bei prüfungspflichtigen Unternehmen kann ein fehlendes oder unzureichendes Risikomanagement zur Folge haben, dass die Wirtschaftsprüfer den Bestätigungsvermerk versagen.Keine GewinnausschüttungProbleme bei Kreditaufnahmen und mit BankenAuswirkungen auf AktienkursePersönliche Haftung des Vorstands

Basel IIVorschriften zum Eigenkapital von Banken.Kreditrisiko wird an Hand von Ratings bestimmt. Dabei wird das operationelle Risiko berücksichtigt. Dies umfasst auch interne Prozesse, wie ein Risikomanagement.Höheres Risiko = höhere ZinsenIndirekter Zwang, ein ausreichendes Risikomanagement einzuführen und umzusetzen.

D.h.: Anforderungen an IT-SicherheitskonzepteGesetze legen sich nicht auf konkrete Konzepte festAnforderungen an Sicherheitskonzepte variieren je nach Unternehmenstyp, Risiko und BedrohungGesetzlich erforderlich ist eine Analyse des bestehenden Risikos sowie angemessene Maßnahmen zur Vermeidungdabei können anerkannte Standards als Maßstab herangezogen werden
Bitte warten ..
Mitglied: Woody74
23.07.2010 um 13:08 Uhr
Hallo krella,

vielen Dank für deinen Beitrag.
Nach soeben geführter Rücksprache mit der Aufsichtsbehörde für Datenschutz in Düsseldorf, sind Unternehmen oder Stellen, gesetzl. verpflichtet für Datensicherheit zu sorgen, sofern diese Personenbezogen als "beträchtlich sensibel" einzuordnen sind.

Explizite Nachfrage bei folgendem Beispiel:
D.h. Ein Anwalt oder Arzt als Beispiel, MUSS seine Mandanten- Patientendaten sogar im Büro auf lokalen Rechnern und Speichermedien verschlüsseln. Art der Verschlüsselung ist nicht vorgeschrieben. Das autorisierte zugreifen auf sensiblen persönlichen Daten ist sicherzustellen.
Bitte warten ..
Mitglied: krella
23.07.2010 um 13:12 Uhr
Hallo Woody,

das kann ich mir nicht vorstellen.

Du meinst, der Datenschutzbeauftragte hat Dir gesagt, diese sensiblen Daten sind zu verschlüsseln auch im internen Netzwerk?

Dann, so will ich meinen, erfüllen 99% aller Unternehmen diese Anforderung nicht.

M. E. hat er Dir Mist erzählt.

Oder habe ich das falsch verstanden?

Die Daten sind angemessen abzusichern, aber nicht zu verschlüsseln. Diesen Paragraphen, hat er ihn Dir genannt?
Bitte warten ..
Mitglied: Woody74
23.07.2010 um 13:30 Uhr
Hallo krella,

Jetzt bin ich verwirrt.

Nein, von Verschlüsselung im internen Netzwerk war nicht die Rede. Es ging um Verschlüsselung auf lokalen und mobilen Rechnern, die entsprechende Dokumente beherbergen. Dazu zählen auch Speichermedien.
Er hat dabei den §9 herangezogen.

Er sagte wörtlich: Es muss verschlüsselt werden. Sogar im Büro.


Vielleicht sollte das nochmal bei einem IT-RA nachgefragt werden.
Ich will nicht ausschließen, dass ich ihn völlig mißverstanden habe, oder er mich.

Dennoch, ist sein Satz so ausgefallen.
Bitte warten ..
Mitglied: krella
23.07.2010 um 13:51 Uhr
Hier die Anlage zu § 9 BDSG

Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,

1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),

2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),

3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),

4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),

5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),

6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),

7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),

8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren.

-> Satz 2 § 9 BDSG: Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

Wenn ich also Zugriffskontrolle, Zugangskontrolle und Weitergabekontrolle ordentlich ohne Verschlüsselung geregelt habe, brauche ich m. E. keine zusätzliche Verschlüsselung von lokalen Datenträgern oder Speichermedien. Die Verschlüsselung ist lediglich eine wichtige Maßnahme.

Man kann es aber tatsächlich auch anders herum lesen und die Verschlüsselung als ein Must-have interpretieren.

Ich liebe Gesetzestexte...
Bitte warten ..
Mitglied: Woody74
23.07.2010 um 14:35 Uhr
Interessant wäre die Frage, ob eine einfache Benutzeranmeldung im Betriebssystem mit Kennwort ausreicht, um "Zugriffskontrolle, Zugangskontrolle und Weitergabekontrolle" dem $9 zu entsprechen.

Denn, beim Anhängen der Festplatte an einem anderem System, greift keine Benutzerautentifizierung.


Insbesonders bei Weitergabe der Daten auf Wechselspeichermedien oder CD/DVD´s, wenn es sich z.B. um Textdokumente handelt.


Ich finde dieses Thema mehr als interessant. Jeder von uns möchte doch seinen Kunden / Betrieb gut beraten und auf Fragen antworten können.
Bitte warten ..
Ähnliche Inhalte
Windows Server
IPSec - Datenverschlüsselung
gelöst Frage von 117109Windows Server4 Kommentare

Hallo, kann man eigentlich bei IPSec die Sicherheitsmethoden so anpassen, dass man nur die Daten verschlüsselt? Wenn ja, wie ...

Verschlüsselung & Zertifikate

Unternehmen Datenverschlüsselung - Passwortmanagement

Frage von StefanSCVerschlüsselung & Zertifikate4 Kommentare

Hallo, wir wollen in unserem Unternhemen unsere Dokumentation umstellen, sodass diese (oder zumindest die sensiblen Daten) verschlüsselt sind. Am ...

Netzwerkmanagement

Regelung des Internetzugangs, Datenvolumenbegrenzung

Frage von johannes-meyerNetzwerkmanagement1 Kommentar

Guten Tag, eine befreundete gemeinnützige Organisation betreibt ein Internat in Afrika mit ca. 200 Schülern und Mitarbeitern. Die Internetverbindung ...

Off Topic

Regelung AT Home Arbeit

gelöst Frage von neooenOff Topic13 Kommentare

Hallo Zusammen, ich habe seit 2 Monaten eine neue Stelle angenommen und bin nun IT-Admin in einem Wohnungsunternehmen. Mein ...

Neue Wissensbeiträge
Humor (lol)
IoT-Gefahr: Smartes Aquarium leckt!
Information von Lochkartenstanzer vor 16 StundenHumor (lol)3 Kommentare

Moin, Die IoT-Manie hat weitere Opfer gefunden. Ein Casino-Leck durch ein smartes Aquarium: Allerdings haben sie kein Wasser, sondern ...

Router & Routing

Alte Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 1 TagRouter & Routing3 Kommentare

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 1 TagSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 1 TagWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Heiß diskutierte Inhalte
Sicherheit
Verbindliche Zustellung per E-Mail?
Frage von ahussainSicherheit18 Kommentare

Hallo allerseits, ein Kunde von mir nutzt intensiv Fax. Hauptgrund: zusammen mit einer Empfangsbestätigung ist eine verbindliche Zustellung gewährleistet. ...

Sonstige Systeme
Wie Normenkataloge im Unternehmen bereit stellen?
Frage von MuzzepuckelSonstige Systeme14 Kommentare

Hallo Kollegen, ich lese schon lange hier mit, nun mein ersrer Beitrag, bzw. Frage. :-) Wir benötigen für unsere ...

Linux Netzwerk
Raspberry Pi 3: WLAN Power save deaktivieren
Frage von nordie92Linux Netzwerk13 Kommentare

Moin moin, mein Raspberry Pi 3 Model B benötigt eine dauerhaft aktive WLAN-Verbindung. Leider bricht die WLAN-Verbindung nach einigen ...

SAN, NAS, DAS
Entscheidung SAN Dell oder HP
Frage von VincorSAN, NAS, DAS13 Kommentare

Hallo, wir wollen uns für unsere Hyper V Umgebung eine neue SAN Anschaffen. Es laufen 30 VM's darunter, DC; ...