DSGVO-Datenschutzschrank
1-3 von 3
IT-Schrank mit seitlicher Kühlanlage
Datensicherheitsschrank nach DSGVO
Datensicherheitsschrank / Datenschutzschrank nach EU-DSGVO
Die EU-Datenschutz-Grundverordnung, kurz EU-DSGVO, ist seit Mai 2018 in Kraft und wird das Bundesdatenschutzgesetz grundlegend verändern. Dies stellt Unternehmen vor eine große Herausforderung, denn bei Nicht-Einhaltung drohen dem Unternehmen Bußgelder in Millionenhöhe. Dabei gilt es nicht nur offensichtliche Aspekte wie etwa die eindeutige Einwilligung zum Erhalt von E-Mails zu beachten, sondern auch die physikalische IT-Sicherheit muss auf Vordermann gebracht werden. Was aber hat nun die physikalische IT-Sicherheit mit dem Datenschutz nach EU-DSGVO zu tun?
Die EU-DSGVO und ihre Auswirkungen auf Bestimmungen zur physikalischen IT-Sicherheit in Unternehmen
Die ab dem 25. Mai 2018 geltende EU-Datenschutz-Grundverordnung (EU-DSGVO) wird einen hohen Einfluss auf die Bestimmungen zur physikalischen IT-Sicherheit in Unternehmen haben, denn auch diese ist für den zuverlässigen Schutz von Daten mitverantwortlich. Diese Verordnung trifft nicht nur Großkonzerne wie Social-Media-Internet-Riesen, sondern auch kleine und mittelständische Unternehmen, Praxen und Kanzleien.
Die EU-DSGVO vereinheitlicht das europäische Datenschutzrecht und stärkt die Datenschutzbehörden. Sie fordert jetzt von allen Unternehmen, ihren Datenschutz und ihre physikalische IT-Sicherheit genau zu überprüfen, neu zu organisieren und oft deutlich umfassender anzugehen.
Die Vorgaben zur Sicherheit sind in Artikel 32 der EU-DSGVO beschrieben:
„Unter Berücksichtigung des „Stands der Technik“, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“
Aktueller Ist-Zustand:
Im deutschen Mittelstand, also bei den kleinen und mittelständischen Unternehmen, ist das bisher nur teilweise angekommen. Viele Unternehmen, die sich bereits mit der Thematik beschäftigt haben, stellen fest, dass sie in Sachen physikalische IT-Sicherheit nicht darauf vorbereitet sind.
Stand der Technik:
Die Unternehmen sind aber in der Pflicht, ihre technischen Maßnahmen für die physikalische IT-Sicherheit zu überprüfen, gemäß dem Stand der heutigen Technik. Der genaue „Stand der Technik“ ist dabei nicht spezifiziert.
Auszug aus Artikel 32 der EU-DSGVO:
„[…] die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicher zu stellen.“
Die Unternehmen müssen also sicherstellen, dass die von ihnen erhobenen Daten vor unberechtigtem Zugriff durch Dritte sicher sind. Des Weiteren muss auch darauf geachtet werden, dass die IT-Systeme stabil laufen, und sie gegen Angriffe und physikalische Gefahren geschützt sind.
Dieser Schutz beinhaltet:
- den Schutz vor vorsätzlichem Handeln
- den Schutz vor fahrlässigem Handeln und höherer Gewalt.
Es muss also eine einheitliche Betrachtung durchgeführt werden von Daten, Prozessen, IT-/-ITK-Systemen und menschlichem Verhalten.
An welche Richtlinien und Gesetze müssen Unternehmen sich halten bzw. welche müssen sie anwenden?
Viele Datenschutzbeauftragte empfehlen in diesem Zusammenhang Leit- und Richtlinien gemäß den Vorgaben, zum Schutz der Vertraulichkeit, Verfügbarkeit und Integrität der IT- und oder ITK-Systeme der EU-DSGVO, Art. 32. Um diese Vorgaben zu erfüllen bietet es sich an, die klassischen Zertifzierungstools zu nutzen.
Vorgaben bzw. Empfehlungen zur Auswahl von technischen und organisatorischen Maßnahmen sind sowohl in der ISO 27xxx als auch im IT-Grundschutz-Katalog des BSI zu finden.
Leit- und Richtlinien sind einzuführen für:
- IT-Sicherheit
- ITK-Nutzung (Benutzerberechtigungen)
- Internet- und E-Mail-Nutzung (auch BYOD)
- Outsourcing (falls zutreffend)
- Sicherheitshinweise IT-Anwender
- Sicherheitshinweise IT-Administratoren
- Änderungskonzept
- Viren-Schutzkonzept
- Datensicherungskonzept
- Notfallvorsorgekonzept (Notfallplan)
- Archivierungskonzept
IT-Sicherheitsrichtlinien
Um bei der physikalischen IT-Sicherheit zu bleiben bedienen wir uns bei den IT-Grundschutz-Katalogen des BSI. Im IT-Grundschutz für Rechenzentrum (B2.9) werden potentielle physikalische Gefahren beschrieben als Ausfall von IT-Systemen, Blitz, Feuer, Wasser, Kabelbrand, Temperatur, Luftfeuchte, unbefugter Zutritt, Ausfall der Stromversorgung, Diebstahl, Vandalismus, etc.
Die ISO 27001 beinhaltet ebenfalls einen Unterpunkt zur physikalischen IT-Sicherheit:
A.11 Physische und Umgebungssicherheit – Kontrollen, die Sicherheitsbereiche, Zutrittskontrollen, Schutz gegen Bedrohungen, Gerätesicherheit, sichere Entsorgung, etc.
Die Brücke schlagen zwischen physikalischer IT-Sicherheit und Datenschutz
Die Gefahr von Datendiebstahl durch Cyber-Kriminelle ist ein aktuelles Thema – was nützt jedoch die beste Netzwerk-Sicherheit, wenn ein Unbefugter unbemerkt auf das Firmengelände gelangt oder Daten verloren gehen, weil ein Server in die Knie geht?
50% der IT Ausfälle haben physische Ursachen!
Im Gegensatz zu Ausfällen, die durch Softwarefehler verursacht werden, sind die Ausfallzeiten bei physischen Defekten meist länger und teurer.
Häufige Gefahren im Serverraum und IT-Rack sind:
- Übertemperatur
- Netzausfall oder USV Defekte
-
Schmorbrände
und Feuer
- Wasserleckagen
- Einbruch und Diebstahl
- Menschliches Fehlverhalten
Fazit
Kleine und mittelständische Unternehmen sollten die neue Verordnung nicht als bürokratische Hürde sehen, sondern als Chance – die Chance, die eigene physikalische IT-Sicherheit auf den neuesten Stand der Technik zu bringen sowie einen Wettbewerbsvorteil zu bekommen um neue Zielmärkte anzusprechen, die hohen Anforderungen in punkto Datenschutz haben.