Datenschutz und Informationssicherheit

Eine Datenpanne oder Datenschutzverletzung ist ein Vorfall, bei dem die Sicherheit personenbezogener Daten verletzt wird. Das bedeutet, dass Daten unbeabsichtigt oder unrechtmäßig zerstört, verloren, verändert, offenbart oder für Unbefugte zugänglich gemacht werden. Dies kann beispielsweise durch den Verlust von Akten, einen unberechtigten Zugriff auf ein E-Mail-Konto oder den Diebstahl eines Notebooks erfolgen.

Ein Informationssicherheitsvorfall liegt dann vor, wenn nachweislich Schutzmaßnahmen versagt haben, etwa weil ein Laptop gestohlen wurde oder Angreifer*innen über eine Schwachstelle ein IT-System kompromittieren konnten. Kennzeichnend für einen Vorfall ist, dass mit hoher Wahrscheinlichkeit ein Schaden vorliegt, der eines der wesentlichen Schutzziele Vertraulichkeit, Integrität oder Verfügbarkeit verletzt.

Vorfälle, die nicht bekannt werden, stellen eine zusätzliche Gefährdung dar.

Datenpannen und Informationssicherheitsvorfälle gehen oft gemeinsam einher und werden in der Praxis sowohl aus Sicht des Datenschutzes als auch der Informationssicherheit betrachtet.

Weitere Informationen finden Sie im Rundschreiben über Meldepflichten bei Datenschutz- und Informationssicherheitsvorfällen:

Zunächst sollte bei Inbetriebnahme des Laptops sichergestellt sein, dass die Festplatte verschlüsselt ist. Wenn ein Laptop verloren geht (Diebstahl, Verlust), bei dem dies der Fall ist, und in die Hände von Dritten gelangt, können keine Daten von der Festplatte missbräuchlich ausgelesen werden.

Dennoch ist der Verlust als Datenschutzpanne beziehungsweise Informationssicherheitsvorfall einzuordnen und entsprechend zu melden. Bei Diebstahl muss eine Anzeige erstattet werden.

Da es sich bei Laptops von Beschäftigten um Landeseigentum handelt, ist mit diesen sorgsam umzugehen. Bei leichtsinnigem Verhalten können gegebenenfalls Regressforderungen seitens der Dienststelle gestellt werden.

Betrüger*innen beziehungsweise Angreifer*innen nutzen Phishing-E-Mails in verschiedenen Formen, um an vertrauliche Daten zu kommen oder den Rechner von Nutzer*innen zu kompromittieren:

• Verlinkung einer Fake-Webseite: Dabei werden Webseiten “nachgebaut”, um das Opfer dazu zu bringen, zum Beispiel Zugangsdaten für universitäre Systeme einzugeben. Diese können dann von den Angreifer*innen genutzt werden, um etwa auf das E-Mail-Konto des Opfers zuzugreifen.
• Schadhafte Anhänge: Dokumente im Anhang von E-Mails, die unter Umständen Schadsoftware auf dem Rechner installieren (Virus, Trojaner) und so die Kontrolle des betroffenen Rechners ermöglichen.
• Scamming: Angreifer*innen gaukeln die Identität einer bekannten Person vor, um das Opfer in einen Dialog zu verwickeln. In dessen Verlauf wird das Opfer dann gebeten, etwas zum Vorteil der Angreifer*innen zu tun, wie etwa Geld überweisen, Geschenkgutscheine kaufen oder persönliche Daten weitergeben.

Phishing-E-Mails versuchen oft, Zeitdruck aufzubauen und damit das Opfer zu unbedachten Handlungen zu verleiten.

Wurden Zugangsdaten weitergegeben, so ist dies als meldepflichtiger Vorfall zu betrachten.

Bei Kompromittierung des Rechners durch einen Virus/Trojaner, sollte der Rechner umgehend vom Netzanschluss (Internet, WLAN) getrennt werden und die*der lokale IT-Administrator*in informiert werden. Es muss dann geprüft werden, ob es zum Abfluss von Daten oder einem anderen Schaden gekommen ist.

Im Intranet stehen für eingeloggte Nutzer*innen weitere Materialien zur Verfügung:

Das Arbeiten außerhalb der dienstlichen Räumlichkeiten bringt einige Gefährdungsmöglichkeiten mit sich, die berücksichtigt werden müssen, damit auch im Home-Office und beim mobilen Arbeiten Daten und die Systeme der Universität ausreichend geschützt sind. Einige Systeme erfordern z.B. die Einwahl in ein VPN (Virtual Private Network), um darauf zugreifen zu können. Auch der Einsatz einer Zwei-Faktor-Authentifzierung hilft, solchen Gefährdungen entgegen zu wirken.

Ausführliche Empfehlungen zum sicheren Arbeiten – die auch für das normale Büro gelten – finden sich für eingeloggte Nutzer*innen im Intranet.

Eine wichtige, präventive Überlegung ist, wie man die Daten, mit denen man arbeitet, sicher speichert. Mit „sicher“ ist gemeint, dass

• der Zugriff auf die Daten geregelt ist und nur diejenigen Zugriff auf die Daten haben, die sie auch für ihre Arbeit benötigen;
• die Daten verfügbar sind, in dem Moment wo sie benötigt werden;
• die Daten wiederhergestellt werden können, wenn sie gelöscht wurden oder anderweitig nicht mehr direkt verfügbar sind (z.B. Verlust das Laptops);
• Änderungen an den Daten dokumentiert und nachvollziehbar sind.

Es empfiehlt sich daher, reguläre Arbeitsprozesse daraufhin abzustimmen, dass die notwendigen Daten sicher gespeichert sind.

Weitere Informationen enthält die Richtlinie zur sicheren Datenablage und Verschlüsselung mobiler Datenträger im Intranet. Empfehlungen zur Datenträgerentsorgung ergänzen diese (Intranet).

Zunächst sollte überlegt werden, ob es nicht Alternativen zur Nutzung eines USB-Sticks gibt. Hier bieten sich gemeinsame Datenablagen oder das persönliche Netzlaufwerk an. Die Richtlinie zur sicheren Datenablage und Verschlüsselung mobiler Datenträger (Intranet) beschreibt entsprechende Möglichkeiten. Falls die Nutzung eines USB-Sticks dennoch notwendig wird, sollte überlegt werden, die Daten auf dem Stick zu verschlüsseln, zumindest wenn es sich um sensible und vertrauliche Daten handelt. Innerhalb der Einrichtung sollten Entsorgungsprozesse etabliert sein, über die USB-Sticks sicher entsorgt werden können (siehe hierzu die Empfehlungen im Intranet). Sprechen Sie die*den lokalen IT-Administrator*in darauf an oder die*den Entsorgungsbeauftragte*n.

Sichere Passwörter zeichnen sich durch ihre Komplexität aus, d.h. tendenziell lange Passwörter, in denen verschiedene Zeichenarten (Buchstaben klein/groß, Zahlen, Sonderzeichen) kombiniert werden. Ergänzend spielt die Art und Weise, wie man Passwörter verwaltet, eine wichtige Rolle. Statt Passwörter auf gelben Zetteln am Monitor zu notieren, sollte ein Passwortmanager wie etwa KeePass genutzt werden. Weitere Informationen finden sich auf dieser Seite des Rechenzentrums.

Vorgaben zur Passwörtern macht die Passwortrichtlinie (Intranet).