IT-Sicherheit hat zum Ziel, Unternehmen und öffentliche Verwaltungen vor Bedrohungen, die zu wirtschaftlichen Schäden führen, zu schützen. Insbesondere sind hier die Schutzziele der IT-Infrastruktur und der Daten sicherzustellen:
Vertraulichkeit – Daten dürfen nur von autorisierten Nutzern verarbeitet werden.
Verfügbarkeit – Der Zugriff auf Daten muss im geplanten Zeitraum gewährleistet sein.
Integrität – Eine Änderung von Daten muss erkennbar und nachvollziehbar sein.
Datenschutz ist dabei ein wichtiger Bestandteil der IT-Sicherheit. Die Festlegung und Dokumentation von geeigneten technischen und organisatorischen Maßnahmen je nach Art der Schutzklasse der personenbezogenen Daten und der IT-Infrastruktur sind für Unternehmen und öffentlichen Verwaltungen von besonderer Bedeutung. Ein IT-Sicherheitsmanagementsystem sollte sich an dem internationalen Standard ISO/IEC 27000 oder dem IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik orientieren.
Nach §9 BDSG haben öffentliche und nicht-öffentliche Stellen angemessene Maßnahmen zu folgenden Schutzzielen zu treffen:
1. Zutrittskontrolle Datenschutz:
Unbefugten ist der Zutritt zu entsprechenden Datenverarbeitungsanlagen zu verwehren
2. Zugangskontrolle Datenschutz:
Keine Nutzung der Datenverarbeitungsanlagen durch Unbefugte (i.d.R. durch Login und Passwort)
3. Zugriffskontrolle Datenschutz:
Einsatz einer Berechtigungsstruktur (z.B. Benutzerrechte)
4. Weitergabekontrolle Datenschutz:
Keine Veränderung, Einsichtnahme, Löschung von Daten bei ihrer elektronischen Übertragung, ihres Transports oder Speicherung
5. Eingabekontrolle Datenschutz:
Es muss nachträglich festgestellt werden können, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt wurden
6. Auftragskontrolle Datenschutz:
Personenbezogene Daten, die im Auftrag verarbeitet würden, dürfen nur entsprechend den Weisungen des Auftraggebers verarbeitet werden
7. Verfügbarkeitskontrolle Datenschutz:
Personenbezogene Daten sind gegen (mutwillige o. zufällige) Zerstörung oder Verlust zu schützen (insbesondere durch Sicherungskopien)
8. Trennungsgebot Datenschutz:
Personenbezogene Daten, die zu unterschiedlichen Zwecken erhoben wurden, müssen getrennt verarbeitet werden
Wir unterstützen Sie bei der Konzeptionierung, Dokumentation und Umsetzung der Maßnahmen .