Bundesamt für Sicherheit in der Informationstechnik

G 2.171 Gefährdung vorgegebener Kontrollziele bei der Verarbeitung personenbezogener Daten

Durch unzureichende technische und organisatorische Maßnahmen bei der Verarbeitung personenbezogener Daten besteht vor allem die Gefahr, dass

  • Unbefugte Zutritt zu Datenverarbeitungsanlagen erhalten können,
  • Datenverarbeitungssysteme durch Unbefugte benutzt werden können,
  • Berechtigte auf Daten außerhalb ihrer Zugriffsberechtigungen zugreifen können,
  • personenbezogene Daten unbefugt gelesen, kopiert, verändert oder entfernt werden können,
  • personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können,
  • nicht überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist,
  • nicht nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind,
  • personenbezogene Daten, die im Auftrag verarbeitet werden, entgegen den Weisungen des Auftraggebers verarbeitet werden können,
  • personenbezogene Daten nicht gegen zufällige Zerstörung oder Verlust geschützt sind,
  • das nicht gewährleistet ist, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können.

Beispiele:

  • Beispielsweise glauben viele IT-Betreuer, dass es bei einzelstehenden PCs, die auch nur durch eine Person mit einer Anwendung genutzt werden, ausreichen würde, den PC durch ein individuelles BIOS -Passwort zu schützen. Dabei wird übersehen, dass der BIOS-Passwortschutz in vielen Fällen mit einfachen Mitteln und in kurzer Zeit zu umgehen ist, so dass personenbezogene Daten unbemerkt zur Kenntnis genommen oder gar verfälscht werden können. Dazu gehört auch, dass PCs, insbesondere tragbare Geräte, sehr leicht gestohlen werden können und dann die Daten, wenn sie nicht verschlüsselt sind, mit Programmen des Betriebssystems von jedem Kundigen ausgelesen und missbräuchlich verwendet werden können.
  • Ein bei Kontrollen immer wieder aufgedecktes Problem besteht darin, dass bei IT-Systemen zwar der Zugriff auf die Programme und Datenbestände durch eine Benutzeridentifikation (Benutzerkennung und Passwort) und eine gezielte Benutzerführung (Menüsystem, benutzerspezifische Oberfläche) abgesichert ist, aber es z. B., obwohl gesetzlich vorgeschrieben, nachträglich nicht mehr feststellbar ist, welche Daten in Datenverarbeitungssysteme eingegeben wurden, da man es bei der Konzipierung der Systeme versäumt hat, auch eine ausreichende Protokollierung zu integrieren.
  • Ausgelöst durch Diskussionen um eine Reduzierung der Personalkosten und der Kosten der Datenverarbeitung glauben viele Anwender, die vorhandenen Probleme durch eine Verlagerung der Datenverarbeitung außer Haus zu lösen und damit die Verpflichtung zum Datenschutz auf den Auftragnehmer verlagern zu können. Dabei werden oft die in den Datenschutzgesetzen enthaltenen Bestimmungen im Rahmen der Datenverarbeitung im Auftrag übersehen, die eine klare vertragliche Regelung verlangen und die Verantwortung einschließlich einer Kontrolle der technischen und organisatorischen Maßnahmen weiterhin beim Auftraggeber belassen.

Stand: 9. EL Stand 2007