Der Stand der Technik und die Folgen für den Datenschutz

Führen Unternehmen neue Sicherheitsverfahren ein, entsteht meistens ein Aufwand durch Schulung und Umgewöhnung. Doch der Wechsel hat seinen Sinn: Der Stand der Technik ändert sich, die Datensicherheit muss sich anpassen.

Schon wieder eine neue Verschlüsselungslösung …

 

Obwohl es für den Datenschutz so wichtig ist, kommt die Verschlüsselung vertraulicher Daten in vielen Unternehmen nicht voran. Ein häufig genannter Grund dafür ist, dass die Beschäftigten die Anwendung der Verschlüsselungslösungen als zu kompliziert und umständlich empfinden.

 

Erschwerend kommt hinzu: Hat man sich gerade an eine Verschlüsselungslösung gewöhnt, kommt eine Produktänderung, oder das Unternehmen führt ein völlig neues Produkt zur Verschlüsselung ein. Es folgen neue Schulungen, als Nutzer muss man sich umgewöhnen.

 

Warum werden überhaupt neue Lösungen für die Datensicherheit eingeführt? Waren die bisherigen doch nicht so gut?

 

IT-Sicherheit unterliegt ständigem Wandel

 

Auch wenn die bisherige IT-Sicherheitslösung früher gut geschützt haben mag: Die Risiken für personenbezogene Daten, die Methoden der Datenspione und die zu schützenden IT-Verfahren verändern sich in rascher Folge. Unternehmen und Behörden müssen die Sicherheitsverfahren an die sich ändernde Bedrohungslage und den jeweils aktuellen Schutzbedarf der Daten anpassen.

 

BSI-Richtlinien

 

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht regelmäßig Technische Richtlinien, die zum Beispiel Empfehlungen für Verschlüsselungsverfahren enthalten, die für einen bestimmten Zeitraum als sicher eingestuft werden. Stellt sich heraus, dass sich ein Verschlüsselungsverfahren doch knacken lässt, dass es also unsicher ist, passt das BSI die Richtlinien umgehend an.

 

Entsprechend müssen auch die Anbieter ihre IT-Sicherheitslösungen überarbeiten, verändern oder neu herausbringen. Und entsprechend müssen Unternehmen reagieren.

 

Datenschutzrecht fordert Stand der Technik

 

Die Datenschutz-Grundverordnung (DSGVO) fordert deshalb auch ausdrücklich technische und organisatorische Maßnahmen, um die Datensicherheit zu gewährleisten. Diese Maßnahmen müssen insbesondere unter Berücksichtigung des Stands der Technik ausgewählt werden. Hier ist also die Unternehmensleistung ständig gefragt, sich über den Stand der Technik zu informieren und die Maßnahmen für die Datensicherheit aktuell zu halten.

 

Unter „Stand der Technik“ versteht man, dass die gewählten Schutzmaßnahmen das gegenwärtig realisierbare Sicherheitsniveau erreichen müssen, das auf dem aktuellen Lösungsmarkt den Standard bildet. Sicherheitsmaßnahmen, die auf dem Markt als überholt und veraltet eingestuft werden, entsprechen nicht dieser Vorgabe.

 

Auch der Arbeitsschutz zum Beispiel fordert den Stand der Technik ein als „Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen oder Betriebsweisen, der die praktische Eignung einer Maßnahme zum Schutz der Gesundheit und zur Sicherheit der Beschäftigten gesichert erscheinen lässt. Bei der Bestimmung des Standes der Technik sind insbesondere vergleichbare Verfahren, Einrichtungen oder Betriebsweisen heranzuziehen, die mit Erfolg in der Praxis erprobt worden sind.“

 

Als Anwenderin oder Anwender der IT-Sicherheitslösungen ist man ebenfalls diesem Stand der Technik unterworfen, man muss die neuen Lösungen erlernen. Das ist zweifellos Aufwand. Doch ohne Datensicherheit nach dem Stand der Technik lassen sich die personenbezogenen Daten nicht angemessen schützen. Datenschutz und Stand der Technik gehören also zwingend zusammen.

 

Auch Passwortrichtlinie muss aktuell gehalten werden

 

Es sind aber nicht nur die technischen Lösungen, die dem Stand der Technik entsprechen müssen. Die Datenschutz-Grundverordnung fordert auch für organisatorische Maßnahmen, dass sie den Stand der Technik einhalten. Das betrifft zum Beispiel die Wahl eines sicheren Passworts, wie es eine Passwortrichtlinie vorgeben sollte.

 

Was als sicheres Passwort gilt, ändert sich mit der Zeit, wobei die nötige Stärke und Komplexität für Passwörter stetig zunehmen. So fordert zum Beispiel der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg starke Passwörter, die aus zwölf oder mehr Zeichen bestehen. Je wichtiger das Passwort ist, desto länger sollte es sein. Passwörter sollten sowohl Klein- als auch Großbuchstaben, Ziffern und Satzzeichen enthalten.

 

Früher wurden auch Passwörter mit weniger Zeichen als sicher und stark genug eingestuft. Doch die Zeiten ändern sich und damit die Bedrohungslage für den Datenschutz sowie der Stand der Technik. Inzwischen verfügen Datendiebe über Rechenkapazitäten und Angriffsverfahren, die mehrere Milliarden Passwörter pro Sekunde ausprobieren können. Daher ist es essenziell, stärkere Passwörter zu verwenden als früher. Nur so ist Angreifern effektiv beizukommen, die sich geknackte Passwörter zunutze machen.