Die zehn Gebote des Datenschutzes Anlage zu §9 Satz 1 BDSGWerden personenbezogene Daten automatisiert verarbeitet, sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten geeignet sind,
Technische Realisierung der 10 Gebote | ||
| Bereich | Inhaberinnen von Serveraccounts | Provider |
|---|---|---|
| Zugangskontrolle Im strengen Sinne ist hier der Zugang zum Rechnerraum gemeint. Dieser ist vom Provider zu schützen: Türsicherung, Sicherheitsschloß, abschließen der Räume, Schlüsselregelung, Verschluß von Datenträgern, Wechsel-Festplatten, nicht einsehbare Aufstellung von Geräten, Überwachungs- und Alarmanlagen. Wenn wir Daten auf unsere lokalen Rechner zuhause holen, gelten die Ausführungen auch für uns. Daneben existiert im Internet so etwas wie ein virtueller Rechnerraum, weil eine Vielzahl von Rechnerfunktionen auch ohne handgreiflichen Zugriff zur Verfügung stehen. Diese Zugänge müssen ebenfalls kontrolliert werden. |
Grundsätzlich sollen keine personenbezogenen Daten auf den heimischen PC übertragen werden. Für die Anwendungsentwicklung wird ein Testdatenbestand zur Verfuegung gestellt. Sollten zu Zwecken der Datenauswertung Teile des Datenbestandes oder sogar vollständige Kopien auf dem heimischen PC der dafür zuständigen Bearbeiterinnen landen, so sind geeignete Massnahmen zum Schutz der Daten zu treffen. Diejenige muss über den Datenschutz aufgeklärt werden (Merkblatt) und eine Datenschutzverpflichtung unterschrieben haben. a) Verpflichtung auf Passwortschutz für den heimischen PC b) Verpflichtung auf verschlossene Schublade oder ähnliches für Disketten bzw. andere Datenträger. Die Datenträger dürfen zuhause auf jeden Fall nicht für Unbefugte zugänglich sein. |
Auch der virtuelle Rechnerraum ist gegen Einbrecher (Hacker) zu schützen. Entsprechende Schutzmassnahmen müssen ergriffen werden: Normalbetrieb - Folgende Dienste werden fuer den Zugriff aus dem Internet bereitgestellt: - SSH auf Port 22 - SMTP (fuer Mail) auf Port 25 - HTTP auf Port 80 - HTTPS auf Port 443 - MySQL auf Port 3306 |
| Datenträgerkontrolle Es ist zu verhindern, daß Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können. Spezielle Räume zur Aufbewahrung, Datensafes, nur kontrolliertes und dokumentiertes Kopieren, Bestandskontrollen, kontrollierte Vernichtung, ordnungsgemäße Verwaltung von Disketten und Druckausgaben. |
Grundsätzlich sollen keine personenbezogenen Daten auf den heimischen PC übertragen werden. Für die Anwendungsentwicklung wird ein Testdatenbestand zur Verfuegung gestellt.
Sollten zu Zwecken der Datenauswertung Teile des Datenbestandes oder sogar vollständige Kopien auf dem heimischen PC der dafür zuständigen Bearbeiterinnen landen, so sind geeignete Massnahmen zum Schutz der Daten zu treffen. Diejenige muss die Datenschutzverpflichtung nebst Merkblatt unterschrieben haben. a) Verpflichtung auf Passwortschutz für den heimischen PC b) Verpflichtung auf verschlossene Schublade oder ähnliches für Disketten bzw. andere Datenträger. Die Datenträger dürfen zuhause auf jeden Fall nicht für Unbefugte zugänglich sein. |
Die Sicherungsbänder sind an entsprechend gesicherten Plätzen unterzubringen. Unbefugte dürfen keinen Zugang haben. Sollten Sicherungen auf anderen Servern abgelegt werden, so sind die Dateien zu verschlüsseln. |
| Speicherkontrolle Die unbefugte Eingabe in den Speicher sowie die unbefugte Kenntnisnahme, Veränderung oder Löschung gespeicherter personenbezogener Daten ist zu verhindern. Trennung von Programm- und Datenbereichen verschiedener Benutzer, Löschen von Speicherbereichen vor Wiederverwendung. |
Geeignete Unterteilung des Servers nach Funktionsbereichen und Benutzergruppen vornehmen. Bei der Anwendungsentwicklung und Nutzerverwaltung zu berücksichtigen: Trennung von Programm- und Datenbereichen verschiedener Benutzer, Löschen von Speicherbereichen vor Wiederverwendung. |
Bei der Servereinrichtung zu berücksichtigen: Mindestens System- und Datenbereiche auf der Festplatte des Rechners sind als verschiedene Patitionen einzurichten. Forderung: Es sind folgende mindestens virtuelle Server einzurichten: - Webserver: www.<domain> - Mailserver: mail.<domain> Insbesondere muss die Datenbank vor unbefugtem Zugriff geschützt werden.</domain></domain> |
| Benutzerkontrolle Es ist zu verhindern, daß Unbefugte auf das System gelangen. Nutzung durch Unbefugte verhindern, Paßwortregelungen und sonstige Identifikationsverfahren, Kontrolle der Netzverbindungen, kontrollierter Einsatz der Betriebssystemfunktionen. |
Der verändernde Zugriff auf die Datenbank (Pflegeformulare) ist erst nach persönlicher Anmeldung mit Kennung und Passwort möglich. Für die Administratorinnen werden persönliche Accounts eingerichtet. Rechte an gemeinsam gepflegten Bereichen werden auf Ebene von Gruppen verwaltet. Der Zugang erfolgt ausschliesslich in verschlüsselter Form via ssh und scp bzw. scp-Clients (Client fuer mac: NiftyTelnet 1.1 SSH r3 [12], weitere sind unter www.ssh.org [13] zu finden. z.B.Putty als Win-Client.), so dass keine Passwörter in Klartext über die Leitung gehen! |
Die Systemadministratorinnen übernehmen es, Nutzeraccounts einzurichten, zu modifizieren und zu löschen. Ausserdem pflegen sie die Rechte- und Zugriffsverwaltung der Accounts an/auf Website, Datenbank und Intranets. Eine Aufstellung der Nutzer und ihrer Zugriffsmöglichkeiten sollte geführt werden und auf aktuellem Stand gehalten werden. Regelmässiger Check von Logfiles ist durchzuführen! [14] |
| Zugriffskontrolle Es ist zu gewährleisten, daß die zur Nutzung Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können Festlegung und Prüfung der Zugriffsberechtigungen, Protokollierung von Zugriffen, zeitliche Begrenzung von Zugriffen, revisionsfähige Dokumentation der Benutzerprofile. |
Die personenbezogenen Daten können grundsätzlich nur von der Eigentümerin und berechtigtem Personal des Betreibers abgerufen werden. Darüber hinaus ist die Weitergabe und Veröffentlichung der personenbezogenen Daten zustimmungspflichtig. Die Zustimmung der entsprechenden Person muss ausdrücklich erfolgen! Alle Selektionen und Manipulationen der Daten werden vom DBMS protokolliert. Die in Applikationen eingesetzten DB-Accounts zum Zugriff auf die Datenbank sollten exakt auf die benötigte Funktionalität zugeschnitten sein, d.h. nicht mehr Rechte haben als notwendig. Eine funktionelle Trennung in z.B.: ausschliesslich Lesen (Retrieval),Neuaufnahme (Add) und Änderung (Administrate) ist sinnvoll. Der Zugriff auf personenbezogene Daten ist durch Authentifizierungsmechanismen zu sichern. Insbesondere ist ein sinnvolles Zeitlimit zu setzen, innerhalb dessen die Authentifizierung Gültigkeit hat. Es werden Logfiles geschrieben und archiviert. Für die Administratorinnen werden persönliche Accounts eingerichtet. Rechte an gemeinsam gepflegten Bereichen werden auf Ebene von Gruppen verwaltet. |
Es sind tägliche Sicherungen der Logfiles für folgende Bereiche auf Tape durchzuführen: - alle Dateien im Verzeichnis /var/log/ - alle Dateien im Verzeichnis /usr/local/var/log (falls vorhanden) - die Logfiles des Webservers in /usr/local/apache/log - MySQL-Logdateien standardmäßig unter: /var/log/mysql Ein Statusbericht der Sicherung geht per Mail an die Adminen. Von den wichtigsten Datenbereichen werden MD5-Pruefsummen erstellt. Diese sollten extern gelagert und Kontrollchecks durchgeführt werden. (Tripwire ist eine Software, die so etwas macht und eine eigene Datenbank führt. Einmal täglich sollte per Cron ein Abgleich durchgeführt werden und das Ergebnis per Mail an die Adminen verschickt werden. Allerdings muss nach einer erwünschten Aenderung an Files (z.B. bei Webseiten) dann auch immer die DB dieses Tools upgedatet werden.) Die Inhalte der Logfiles müssen regelmäßig geprüft werden! Nach Möglichkeit werden spezielle Skripte (swatch o.ä.) eingesetzt, die bereits nach verdächtigen Inhalten suchen und im Alarmfall sofort eine Nachricht generieren. Es werden entsprechende automatisierte *Agenten* installiert, die bei Anlass Mails losschicken, z.B. auch bei Überlastung des Servers oder wenn die Festplatte über einen bestimmten Prozentsatz hinaus aufgebraucht ist. Der Provider bzw. die Admine ist gefordert, im Falle eines Angriffs oder akuten Wartungsbedarfs die nötigen Massnahmen durchzuführen. Beim Provider läuft ggf. auch ein Trafficlog für die Abrechnung mit, aus dem bei erfolgtem Hack mit Spurenverwischen ggf. nachvollzogen werden kann, was fuer Connections in der fraglichen Zeit waren. |
| Übermittlungskontrolle Es ist zu gewährleisten, daß überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten durch Einrichtungen zur Datenübertragung übermittelt werden können. Sender, Definition von Empfänger und Art der zu übermittelnden Daten, Dokumentation von Datum und Ziel, Festlegung von Art und Zweck eines Abrufverfahrens, Verschlüsselung, Netzdokumentation. |
Die Authentifikation der Nutzer für den Zugriff auf geschützte Bereiche der Website geschieht mit SSL bei einer Schlüessellänge von 128 Bit (ältere Browser sind entsprechend zu updaten bzw. zu patchen). Das heisst, die Anmeldung wird immer ueber https:// abgerufen. |
Die Authentifikation der Nutzer für den Zugriff auf geschützte Bereiche der website geschieht mit SSL bei einer Schlüessellänge von 128 Bit, dazu kann mod_ssl des apache Webservers zum Einsatz kommen. Es ist sinnvoll, ein Zertifikat der offiziellen Stellen zu erwerben, weil einige Browser ständig Warnungen ausstossen, wenn sie es Selbstgenerierten zu tun haben. |
| Eingabekontrolle Es soll gewährleistet werden,daß nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit von wem ins System eingegeben worden sind. Unbefugte Eingabe verhindern, manipulationssichere Protokollierung. |
Ändernde Zugriffe auf die Daten werden im MySQL protokolliert, der Aufruf der dazu genutzten Prozeduren wird im Bereich des Webservers geloggt. | Der Provider muss sich zur Einhaltung des Datenschutzes verpflichten. |
| Auftragskontrolle Es ist zu gewährleisten, daß personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können Protokoll über Auftrag und Erledigung, eindeutige Vertragsgestaltung. |
Arbeitsplatzbeschreibungen für alle wesentlichen Funktionstraegerinnen werden erarbeitet. Ein entsprechendes Berichtswesen muss entwickelt und angewandt (!) werden. | Der Provider muss sich zur Einhaltung des Datenschutzes verpflichten. Grundsätzlich, jedoch insbesondere, wenn der Server von mehreren Leuten administriert wird, ist ein Administrationstagebuch zu führen: Auf dem Server wird eine Datei angelegt, in der jedes Mitglied der Administrationsgruppe alle Aktionen erfasst. Der Anfangseintrag enthaelt alle technischen Daten des Servers sowie eine Liste aller mit der Administration betrauten Personen (inkl. E-Mail-Adresse und Telefon-Nummer). Erfasst werden Änderungen an der Hardware, an der Software, an den Konfigurationsdateien, das Hinzufügen neuer Benutzer. Solange noch keine automatisierte Sicherung eingerichtet ist, die entsprechende Logs an anderer Stelle hinterlegt, auch alle erfolgreichen Datensicherungen. Alle Personen, die administrative Aufgaben uebernehmen, sind verpflichtet, diese im Administrationstagebuch zu erfassen.Das Ausscheiden einer Admine aus dem Team sowie das Hinzukommen neuer Teammitglieder werden ebenfalls erfasst. Personalwechsel: Mindestens bei Wechsel des Administrationspersonals werden die zur Systemadministration gebrauchten Passworte neu gesetzt. Ein entsprechender Standardablauf zur Verteilung des neuen Passworts muss konzipiert werden. |
| Transportkontrolle Es ist zu verhindern, daß bei der Übertragung personenbezogener Daten sowie beim Transport von Datenträgern die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können Festlegung von Boten und Transportwegen, Quittung, Transportkoffer,Verschlüsselung. |
Siehe auch Übermittlungskontrolle [17] Die personenbezogenen Daten werden via https:// oder im Falle der Administratorinnen auch direkt via ssh und scp, jedenfalls also in verschlüsselter Form übertragen. |
Physische Transporte von Daten dürften die Seltenheit sein. Zur Verschlüsselung siehe auch Übermittlungskontrolle [18]. |
| Organisationskontrolle die innerbetriebliche Organisation so zu gestalten, daß sie den besonderen Anforderungen des Datenschutzes gerecht wird. Verantwortlichkeiten, Planung, Verpflichtungen und Dienstanweisungen, Verfahrens-, Dokumentations- und Programmierrichtlinien, Funktionstrennung. |
Hier müssen konkrete Aufgabenbeschreibungen für die an Verfahren Beteiligten erarbeitet werden und Rechte und Zuständigkeiten auf Rollen/Personen festgelegt werden. Ein entsprechendes Berichtswesen muss entwickelt und angewandt (!) werden. |
Der Provider verpflichtet sich zum Datenschutz. Eine Offenlegung der Zuständigkeiten im Administrationswesen ist notwendig. |
Bislang noch keine Bewertung erfolgt
Noch keine Kommentare vorhanden.
Nur angemeldete Benutzer dürfen kommentieren. Registrierung [19] oder Anmeldung [20].