Datenschutz-Akademie » Datenschutz-Wiki » Praktische Maßnahmen zur Datensicherheit
Praktische Maßnahmen zur Datensicherheit
Geht es beim Datenschutz um den Schutz von personenbezogenen Daten, so soll die Datensicherheit bzw. die IT-Sicherheit allgemeine Daten schützen. Beim Schutz der Gesamtheit aller Daten einer Organisation ist es also notwendig sowohl das Thema Datenschutz als auch Datensicherheit regelmäßig zu überprüfen und zu optimieren.
Bestenfalls analysiert der IT-Sicherheitsbeauftragte zusammen mit dem Datenschutzbeauftragten regelmäßig den Schutz der Daten Ihrer Organisation und stellt entsprechende praktische Datensicherheitsmassnahmen für mehr Datenschutz zusammen. Oftmals verfügen Datenschutzbeauftragte auch über die Zertifizierung zum IT-Sicherheitsbeauftragten.
Konkrete Maßnahmen zum technischen Schutz von Daten ohne Personenbezug können ganz unterschiedlich aussehen. Beispielsweise geben die technischen und organisatorischen Maßnahmen (TOMs) verschiedene Arten von Kontrollen an. TOMs spielen auch in der Datenschutz-Grundverordnung eine bedeutende Rolle und sind im Gesetzestext näher definiert.
Wie ist das Thema Datensicherheit in der Datenschutz-Grundverordnung eingebunden?
Die Vorgaben für die „Sicherheit der Verarbeitung“ finden sich in Artikel 5 Abs. 1 f) DSGVO, in Artikel 32 DSGVO sowie im Erwägungsgrund 78 DSGVO. Allerdings werden in Artikel 32 DSGVO wenige konkrete Maßnahmen benannt. Genauer eingegangen wird in Artikel 32 DSGVO nur auf das Thema Pseudonymisierung und Verschlüsselung. Aus diesem Grund beantworten wir im Folgenden grundlegende Fragen zu technischen Sicherheitsvorkehrungen für mehr Datenschutz.
Was ist die Zwei-Faktor-Authentifizierung?
Mit der Zwei-Faktor-Authentifizierung, häufig auch Zwei-Faktor-Authentisierung genannt, weist der Nutzer seine Identität mit der Kombination zweier unterschiedlicher und unabhängiger Komponenten nach. Die Authentifizierung ist nur dann erfolgreich, wenn beide Faktoren zusammen eingesetzt werden. Sie müssen immer durch getrennte Übertragungskanäle übermittelt werden. Gängige Beispiele sind Bankkarte plus PIN beim Geldautomaten, Fingerabdruck plus Zugangscode in Gebäuden sowie Passphrase und TAN im Online-Banking. Weitere Beispiele für Faktoren sind Sicherheits-Token, physischer Schlüssel, Kennwort, Iriserkennung und Stimme. Für sicherheitskritische Anwendungsbereiche empfiehlt das BSI (Bundesamt für Sicherheit in der Informationstechnik) die Zwei-Faktor-Authentisierung.
Woran ist festzustellen, ob ein Account oder Computer gehackt wurde?
Es gibt viele Anzeichen dafür, dass der eigene Account oder Computer gehackt wurde. Offensichtliche Zeichen sind Fake-Warnmeldungen des Virenscanners, neue Toolbars im Browser, zufällige aufpoppende Fenster auf Websites, die dafür nicht bekannt sind, und Installationsprozesse, die aus dem Nichts starten. Verdächtig ist ebenso, wenn sich ein Passwort plötzlich ändert. Meist ist der Anwender zuvor auf eine Phishing-Mail hereingefallen, die ihn zur Erneuerung des Passworts aufgefordert hat. Auch wenn der Mauszeiger unkontrolliert über den Bildschirm springt und dabei Aktionen ausführt, ist der Computer kompromittiert worden.
IT-Attacken können auch zu handfesten wirtschaftlichen Nachteilen führen, so dass man daran merkt, Opfer von Cyberkriminellen geworden zu sein. Das gilt für den Fall, wenn auf dem Bankkonto plötzlich Geld fehlt, aber auch für überraschende Mahnbescheide wegen nicht bezahlter Waren, die in Ihrem Namen eingekauft wurden.
Wie erzeugt man sichere Passwörter und bewahrt sie sicher auf?
Ein sicheres Passwort sollte mindestens acht Zeichen lang sein und Buchstaben (in Groß- und Kleinschreibung), Zahlen und mittendrin Sonderzeichen wie /[(%&§$_:?!+#)] enthalten. Vermeiden Sie Zahlen- oder Buchstabenreihen. Ebenso sollten Namen und Geburtsdaten von Ihnen oder Ihrem Umfeld tabu sein. Gestalten Sie stattdessen individuelle Passwörter, die zum Beispiel auf einem persönlichen Merksatz beruhen. Darüber hinaus müssen Sie mit Login-Daten sorgsam umgehen, um Datendiebstahl zu verhindern. Last but not least: Nutzen Sie für jede Registrierung ein neues Passwort. Sollte eines geknackt werden, bleiben andere Zugänge dann geschützt.
Auch Software kann hilfreich sein: So können Passwort-Generatoren online ein Passwort nach Ihren Vorgaben erzeugen. Als Gedächtnisstütze dienen Tresor-Programme, in denen Sie Ihre ganzen Passwörter speichern, von denen aktive Nutzer leicht Dutzende haben. Den Zugang gewährt ein Masterpasswort.
Externer Datenschutzbeauftragter
Gern können Sie uns als externen Datenschutzbeauftragten (DSB) bestellen. Wir bieten auch einzelne Beratungsleistungen sowie Audits an und erstellen Ihnen gern ein unverbindliches Angebot. Mehr Informationen zu unseren externen Datenschutzbeauftragten finden Sie auf unserer Website.
Was ist der Unterschied zwischen http und https?
Ein Schloss im Browserfenster und ein https anstelle von http zeigen an, dass die Website https-verschlüsselt und somit sicherer ist als eine, die nur auf http (Hypertext Transfer Protocol) basiert. Das „s“ steht für secure. Es handelt sich um die zusätzliche verschlüsselnde Transportschicht TLS zwischen Webserver und Browser. Dritte können dann den Traffic auf dem Weg vom Nutzer zur Webseite nicht abhören. Auf dem Webserver muss dafür ein SSL-Zertifikat installiert sein.
Einerseits ist der generelle Anstieg der Verwendung von https zu begrüßen, andererseits zeigen inzwischen über die Hälfte aller Phishing-Seiten das Schloss-Symbol in der Browserleiste. Wer sich also darauf verlässt, kann Opfer von Betrügern werden. Mittlerweile schaffen daher viele Browser-Hersteller dieses Symbol ab. Nutzer müssen selbst wachsam sein, um Phishing-Seiten und andere Betrugsversuche im Netz zu erkennen.
Was ist die Ende-zu-Ende Verschlüsselung bei E-Mails?
Bei einer Ende-zu-Ende-Verschlüsselung werden übertragene Daten über alle beteiligten Übertragungsstationen bis zum Empfänger verschlüsselt. Sie funktioniert nach dem Schlüssel-Schloss-Prinzip: Die Nachricht des Absenders ist mit einem Schloss versehen und kann nur vom Schlüssel des gewünschten Empfängers geöffnet werden. Alle anderen Instanzen wie der Anbieter des Kommunikationsdienstes, der Telekommunikation oder der Internet-Provider können nicht auf die Nachricht zugreifen. Daher ist die Sicherheit bei dieser Art der Verschlüsselung sehr hoch, denn ohne den geheimen Schlüssel kann kein Text entschlüsselt werden. Das Gegenstück zur Ende-zu-Ende-Verschlüsselung ist die Punkt-zu-Punkt-Verschlüsselung bzw. Leitungsverschlüsselung: Hier können die Nachrichten bei den Übertragungsstationen im Klartext vorliegen und durch Angreifer eingesehen werden. Man sollte also darauf achten, dass genutzte Software und Geräte mit einer Ende-zu-Ende-Verschlüsselung arbeiten.
Kein Sicherheitssystem bewahrt Sie vor den ansteigenden Cybercrime-Vorfällen. Geben Sie Acht auf Anzeichen, die andeuten, dass Ihr Rechner oder Ihre Daten kompromittiert wurden. Ein Großteil der Schäden können Sie verhindern, indem Sie Ihre Software und Sicherheitsprogramme immer auf dem neuesten Stand halten, keine fragwürdigen Programme starten, nicht auf Spammails hereinfallen und regelmäßig Datensicherheitsmaßnahmen für mehr Datenschutz validieren und optimieren.
- Datenschutzbeauftragte berichten aus der Praxis - 26. März 2020
- Datenschutz und Datensicherheit im Homeoffice - 26. März 2020
- Nutzung sozialer Netzwerke durch Behörden - 9. März 2020