In unserer Service-Rubrik halten wir Sie über aktuelle IT-Sicherheitsthemen auf dem Laufenden. Heute geht es um die enge Verbindung von Datenschutz und IT-Sicherheit. Von Dennis Garufo-von der Au, IT Engineer bei VIDEOR.

Datenschutz und IT-Sicherheit gehören schon immer eng zusammen. Wie eng zeigt z. B. Artikel 25 der DSGVO „Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen“. Hier werden technische und organisatorische Maßnahmen beschrieben und empfohlen diese einzusetzen, um die Datenschutzgrundsätze

  •  wie etwa die Datenminimierung durch z. B. Pseudonymisierung
  • umzusetzen. Artikel 32 „Sicherheit der Verarbeitung“ empfiehlt Maßnahmen zu treffen, um die Übertragung der personenbezogenen Daten zu verschlüsseln und zu pseudonymisieren.


Interne Strategien und Maßnahmen

Um die Einhaltung dieser Verordnung nachweisen zu können, sollte der Verantwortliche interne Strategien festlegen und Maßnahmen ergreifen, die insbesondere den Grundsätzen des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Genüge tun. Daher sollten Produkte, Dienste und Anwendungen eingesetzt werden, die unter Berücksichtigung des Stands der Technik sicherstellen, dass die Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen.

Nach dem Motto „Wer nicht hören will, muss fühlen“ wird in Artikel 83 DSGVO „Allgemeine Bedingungen für die Verhängung von Geldbußen“ auch ein Verstoß gegen z. B. Artikel 25 beachtet. Denn die Höhe der Geldbuße bei einem Verstoß berücksichtigt den Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß Artikel 25 und 32 getroffenen technischen und organisatorischen Maßnahmen.

Tools zur Einschätzung der Systemsicherheit

Zur Einschätzung der Systemsicherheit gibt es ein einfach anzuwendendes Hilfsmittel für eine erste Analyse. Das Dokument „Guide for Security Testing“ beschreibt einen Teil der Sicherheitstests, die jedes Produkt unserer Eigenmarke „eneo“ bestehen muss.

Das Open-Source-Projekt „Kali Linux“ bietet die Grundlage für diesen Guide.

Kali selbst basiert auf der Linux Distribution Debian und vereint viele Programme für Penetrationstests (kurz Pentest, ein umfassender Sicherheitstest) und digitale Forensik. Namhafte Vertreter dieser Sammlung sind zum Beispiel der Open Web Application Security Project Zed Attack Proxy (OWASP ZAP) von den Machern der jährlichen OWASP Top 10, die wir hier bereits in den ersten beiden Ausgaben dieser Kolumne präsentierten, sowie Metasploit, das wohl am meisten genutzte Framework für Einbruchstests.

Kali hat außerdem alle notwendigen Repositories (Downloadserver ) integriert, um das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlene Open Vulnerability Assessment System (OpenVAS) installieren zu können.

Eine Schritt-für-Schritt-Anleitung dazu sowie Grundlagen zum Analysieren von Netzwerkverkehr und Portscans können Sie dem „Guide for Security Testing“ entnehmen, den Sie über die Weiterführenden Links am Ende der Seite erreichen.