Zur Wahrung des Datenschutzes beschreibt die DSGVO auch Anforderungen an die IT-Sicherheit.
Vorgaben
In Art. 5 Abs. 1 lit f) DSGVO wird eine Verarbeitung gefordert, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung.
In Art. 25 Abs.1 DSGVO wird dem Verantwortlichen, also dem Unternehmen bzw. dessen Vertreter, dem Inhaber oder Geschäftsführer auferlegt, die Rechte betroffener Personen nach dem „Stand der Technik“ zu schützen.
Stand der Technik
Nun, was ist der Stand der Technik?
Der Begriff „Stand der Technik“ bezüglich Informationstechnik kann in Deutschland so ausgelegt werden, dass zur Definition die Auslegungen des IT-Grundschutzes des Bundesamtes für Sicherheit in der Informationstechnik (BSI) herangezogen werden.
In BSI IT-Grundschutz NET.3.2 Firewall werden die Anforderungen an ein Internetgateway genannt. Dort werden allerhand technische Schutzvorkehrungen beschrieben, die für den Laien schwer verständlich sind.
Wichtige Kernpunkte sind:
- NET.3.2.A2 Festlegen der Firewall-Regeln – Es darf kein Datenverkehr ins geschützte, also das eigene Netzwerk, gelangen und es dürfen keine unbefugten Datenverbindungen aus dem eigenen Netzwerk aufgebaut werden können. Dies wird mittels einen Paketfilters umgesetzt, in dessen Regelwerk festgelegt wird, welche Daten in welcher Richtung das Sicherheitsgateway passieren dürfen.
- NET.3.2.A9 Protokollierung – Die Firewall muss wichtige Ereignisse protokollieren.
- NET.3.2.A19 Schutz vor TCP SYN Flooding, UDP Paket Storm und Sequence Number Guessing am Paketfilter, sodass die Schutzmechanismen der Firewall nicht durch eine Überlastung außer Gefecht gesetzt werden können. Diese Funktionen werden von den Herstellern meistens als Intrusion Detection System und Intrusion Prevention System (IDS/IPS) bezeichnet.
- NET.3.2.A21 Temporäre Entschlüsselung des Datenverkehrs – Heutzutage wird fast der gesamte Datenverkehr verschlüsselt. Natürlich nutzen das auch Hacker und versuchen Ihre Schadsoftware durch eine verschlüsselte Übertragung vor Entdeckung zu schützen. Daher muss die Firewall den verschlüsselten Datenverkehr entschlüsseln können, um die Daten auf Schadsoftware untersuchen zu können. Diese Funktionen werden durch sogenannte Proxys für E-Mail und Web bereitgestellt.
- NET.3.2.A23 Systemüberwachung und -Auswertung – Firewalls sollten in ein Überwachungskonzept eingebunden sein, um Angriffe frühzeitig erkennen zu können. Das wird meist durch eine Alarmierung per E-Mail und/oder SMS umgesetzt.
Rechenschaftspflicht
Nach Art. 5 Abs. 2 DSGVO und Art. 24 Abs. 1 DSGVO muss der Verantwortliche technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten betroffener Personen umsetzen und den Nachweis der Umsetzung erbringen.
Man muss also nachweisen können, dass man die technischen Maßnahmen umgesetzt hat. Im Zweifelsfall ist daher der Nachweis durch Protokollierung zu erbringen.
Technische Umsetzung
Am Markt, und oft auch von den Internetprovidern bereitgestellt, gibt es eine Vielzahl von Geräten, sogenannten Routern. Die bekanntesten Vertreter sind z.B.: die Fritzbox von AVM oder der Speedport-Router der Telekom.
Diese bieten grundlegende Sicherheitstechnik, wie Portfilter, über die man steuern kann, an welche Adresse ins Netzwerk weitergeleitet wird, oder meistens auch eine grundlegende Firewall-Funktion, die nur das durchlässt, was vom internen Netzwerk angefordert wurde. Reichen diese Geräte nun aus, entsprechen diese also dem Stand der Technik?
Leider nein.
Die Geräte können z.B. folgende Funktionen nicht darstellen:
· Ausgehenden Netzwerkverkehr filtern (BSI NET.3.2.A2)
· Eine Dauerhafte Protokollierung gewährleisten (BSI NET.3.2.A9)
· Verschlüsselte Daten auf Schadcode prüfen (BSI NET.3.2.A21)
· Alarmierung bei Angriff (BSI NET.3.2.A23)
Erschwerend kommen noch andere Vorschriften und Gesetze hinzu. Z.B. müssen Minderjährige vor pornografischen und gewaltverherrlichenden Inhalten geschützt werden.
Es ist also angeraten, ein Sicherheitsgateway einzusetzen, das o.g. Funktionen bietet.
Solche Geräte nennt man Unified Threat Management -Firewall, kurz UTM-Firewall.
Auswahl eines geeigneten Gerätes
Bei der Auswahl eines Gerätes und Anbieters sollte man auf einige Punkte achten:
- Die Geräte sind meistens nicht einfach zu konfigurieren und zu warten. Es braucht schon einiges an Fachwissen, um die Geräte fachgerecht einsetzen zu können. Wenn keine eigenen IT-Spezialisten zur Verfügung stehen, sollte man mit einem spezialisierten Dienstleister zusammenarbeiten.
- Das Gerät sollte möglichst von einem deutschen Hersteller stammen, der nicht dem Patriot Act [Link] unterliegt. Ein guter Anhaltspunkt für eine Auswahl sind Labels, wie
- Die Geräte sollten Daten gemäß Art.24. Abs.1 DSGVO und die Protokolle anonymisiert oder pseudonymisiert speichern können. Selbstverständlich sollte die Protokollierung zu Diagnosezwecken auch in Klartext aufgezeichnet werden können.
Fazit
Ein geeignetes UTM-Firewall-System ist für Unternehmen obligatorisch und sollte dem Router als zweite Sicherheitsstufe nachgeschaltet werden.
Nicht nur um dem Gesetz zu genügen, sondern auch um das eigene Unternehmen vor Schäden durch Cyber-Kriminalität zu schützen sollte der Internetzugang durch ein geeignetes System abgesichert werden.
Wegen der Komplexität der Thematik sollten Sie mit einem spezialisierten Dienstleister zusammenarbeiten, es sei denn, sie haben einen IT-Sicherheitsexperten in den eigenen Reihen. Sollte dem so sein, haben Sie auch bestimmt schon eine UTM-Firewall….
Spätestens seit Inkrafttreten der DSGVO obliegt die sichere Verarbeitung personenbezogener Daten und somit auch die Absicherung der IT in der Verantwortung der Geschäftsführung!
