Interview mit Dr. Holger Mühlbauer, Teletrust

Herr der Daten bleiben

Interview mit Dr. Holger Mühlbauer, Geschäftsführer bei Teletrust – Bundesverband IT-Sicherheit e.V.

Dr. Holger Mühlbauer, Teletrust e.V.

Dr. Holger Mühlbauer, Teletrust e.V.

IT-DIRECTOR: Herr Mühlbauer, häufig gelten Angriffe von außen sowie von eigenen Mitarbeitern als größte Gefahren für die Unternehmens-IT. Viele Firmen arbeiten jedoch insbesondere im Beratungs- und IT-Umfeld häufig mit externen Dienstleistern zusammen – welches Risiko bergen deren Mitarbeiter für die IT-Sicherheit?
H. Mühlbauer:
Es bestehen organisatorisch-rechtliche sowie technische Risiken. Der organisatorisch-rechtlichen Aspekt: Ähnlich wie bei den im Gesellschaftsrecht anerkannten Grundsätzen gilt, dass Auslagerung und Übertragung von Aufgaben einer besonderen Auswahl- und Instruktionssorgfalt sowie Überwachungspflicht obliegen, andernfalls drohen Haftungskonsequenzen. Desweiteren kann das eigene Know-how in Bezug auf die innerbetriebliche spezifische IT-Sicherheit sukzessive verlorengehen, d.h., Fachwissen bündelt sich beim externen Dienstleister.

IT-DIRECTOR: Worauf muss man bei der Auslagerung personenbezogener Datenverarbeitung achten?
H. Mühlbauer:
Neben der naturgemäß gebotenen projektbezogenen technischen Rollendefinition sollten die rechtlichen Rahmenbedingungen beachtet werden. Am Beispiel des Umgangs mit personenbezogenen Daten bedeutet dies: Gemäß Bundesdatenschutzgesetz gelten sowohl Auftraggeber als auch Auftragnehmer als „verantwortliche Stellen“. Der Auftraggeber bleibt als „Herr der Daten“ für die Beachtung der datenschutzrechtlichen Vorgaben für die von ihm veranlassten Verarbeitungen verantwortlich.

Dabei muss das auslagernde Unternehmen auf die technischen und organisatorischen Maßnahmen des beauftragten IT-Dienstleisters achten. Der schriftlich zu erteilende Auftrag muss mindestens enthalten:

  • Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten;
  • Art der Daten und Kreis der Betroffenen;
  • Kontrollrechte des Auftraggebers sowie Mitwirkungspflichten des Auftragnehmers.

IT-DIRECTOR: Welche Rolle spielt das „Social Engineering“?
H. Mühlbauer:
Social Engineering ist neben verdeckten Angriffen eine der häufigsten sowie im Fall von sorglosem Umgang mit personenbezogenen Daten auch eine der ergiebigsten Quellen für Informationsabschöpfung und Profilerstellung. Natürlich haben böswillige Dienstleister mit Insiderzugang einen „Wettbewerbsvorteil“ vor Außenangreifern.

IT-DIRECTOR: Welche Sicherheitszertifizierungen sollten IT-Dienstleister besitzen?
H. Mühlbauer:
Neben bekannten Zertifizierungen wie ISO/IEC 27001 und BSI-Grundschutz sollten personengebundene Expertenzertifizierungen wie TISP (Teletrust Information Security Professional) oder CISSP (Certified Information Systems Security Professional) Beachtung finden.

IT-DIRECTOR: Wie können IT-Verantwortliche auf Nummer sicher gehen, dass der Dienstleister mit den Daten des Anwenderunternehmens kein Schindluder treibt?
H. Mühlbauer:
Eine vollständige, umfängliche Kontrolle ist ohne unverhältnismäßigen Aufwand wahrscheinlich nicht möglich. Kontrollierte Zugriffsrechte können im Vorfeld und beweissichere Zugriffsprotokollierungen im Nachgang nützlich sein. Haftungs- und Schadenersatzfestlegungen können abschreckende Wirkung haben, kommen allerdings erst zum Einsatz, wenn der Schaden bereits eingetreten ist.

IT-DIRECTOR: Viele externe Fachkräfte arbeiten mit mobilen Geräten vor Ort beim Anwender – wie kann man die eigene IT davor schützen?
H. Mühlbauer:
Das ist eine große Herausforderung. Die Frage lässt sich pauschal nicht beantworten, da die Gefährdungssituation von der jeweiligen Projektaufgabe abhängt. Sofern praktikabel, sollte eine direkte Anbindung an die Betriebs-IT (Netznutzung, Datenträger) vermieden oder eingeschränkt, auf jeden Fall aber projektspezifisch festgelegt werden.

©2018Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok