Technischer Datenschutz

1 Einleitung

Informations- und Kommunikationstechnologie bestimmt das Leben im 21. Jahrhundert. Egal ob in Privathaushalten, Unternehmen oder der öffentlichen Verwaltung, Informationen werden elektronisch verarbeitet, gespeichert und weitergeleitet. Das geht von einer einfachen Mail an Bekannte über die elektronische Steuererklärung bis hin zu hochkomplexen Geschäftsprozessen. Die IT- Produkte sind allgegenwärtig. Neben offensichtlichen Produkten, wie Computer und Handys, existieren eine Vielzahl verborgenen Produkte (RFID- Chips in Scheckkarten oder Sensor- Systeme in Autos). Oft sind IT- Produkte vernetzt, was nicht zuletzt durch die zunehmende Globalisierung begünstigt wird. Drahtlose Kommunikation unterstützt diese Entwicklung. Doch gerade dieser Fortschritt führt zu Sicherheitsrisiken. Eine „Infizierung“ des Systems kann innerhalb kürzester Zeit enormen (wirtschaftlichen) Schaden anrichten. Der Schutz von Daten wird daher immer wichtiger.Hier muss jedoch angemerkt werden, dass diese Hausarbeit nicht den Datenschutz im Sinne des BDSG^[1] (Schutz personenbezogener Daten vor Missbrauch durch Dritte) behandelt, sondern Datenschutz im Kontext von Datensicherheit bzw. Informationssicherheit^[2]. Neben diversen Maßnahmen, die vom Anwender selbst ausgehen, existieren unterschiedlichste Möglichkeiten zur technischen Erreichung eines angemessenen Sicherheitsniveaus.

Die vorliegende Hausarbeit befasst sich inhaltlich mit dem technischen Datenschutz. Dazu werden Gründe für die Notwendigkeit des technischen Datenschutzes genannt. Im weiteren Verlauf werden die gängigsten Bedrohungen für die Datensicherheit näher beschrieben. Anschließend folgt eine Darstellung und Bewertung der aktuellen Möglichkeiten zum technischen Datenschutz.

2 Gründe und Notwendigkeit für Datenschutz

Wie schon erwähnt sind IT- Systeme Bestandteil des täglichen Lebens. Auf Heimcomputern, Notebooks und PDAs bzw. Handys von Privatpersonen existiert eine Vielzahl von Daten. Diese können dazu benutzt werden, Profile von den Betroffen anzufertigen und für Verkaufszwecke^[3] oder illegale Unternehmungen^[4] zu nutzen. Weiterhin ist das so genannte Phishing^[5] eine beliebte Methode, um an Bankdaten zu gelangen und anschließend das gesamte Konto (meist vom Ausland aus) zu leeren.

Die Risiken für IT- Systeme in Unternehmen sind in der Regel noch größer als für Privatpersonen, da neben Industriespionage und Sabotage auch Straftaten vom meist leistungsfähigen Netzwerk des Unternehmens aus begangen werden. Sicherheitsbehörden und andere öffentliche Einrichtungen sind im Besitz von umfangreichen Personenbezogenen Daten^[6], die besonders schutzwürdig sind. Datenschutz hat daher hier einen höheren Stellenwert als in Privathaushalten. Zudem ergeben sich Datenschutzverpflichtungen aus verschiedenen nationalen und internationalen Vorschriften.

Datenschutz in informationsverarbeitenden und –lagernden Systeme soll Vertraulichkeit, Integrität und Verfügbarkeit gewährleisten. Dies bezieht sich also auf alle relevanten Informationen einer Organisation, einschließlich personenbezogener Daten. Vertraulichkeit bedeutet, dass die Daten lediglich von autorisierten Benutzern gelesen bzw. modifiziert werden dürfen. Vertraulichkeit soll einen unbefugten Informationsgewinn verhindern. Integrität heißt, dass die Daten nicht unbemerkt verändert werden dürfen, bzw. dass alle Änderungen nachvollziehbar sein müssen. Diese Verlässlichkeit soll eine unbefugte Modifikation verhindern. Verfügbarkeit meint, dass Daten nicht verschwinden dürfen und bei Bedarf zugreifbar sein müssen, sowie die Gewährleistung der Funktionsfähigkeit von Programmen. Zielrichtung ist hier, dass eine unbefugte Beeinträchtigung der Funktionalität unterbunden wird. Weiterhin ist auch die Authentizität von Daten von Bedeutung, was Zurechenbarkeit und Rechtsverbindlichkeit impliziert^[7].In bestimmten Fällen, z.B. beim Surfen im Internet, spielt auch die Anonymität des Anwenders eine Rolle.

[...]

^[1] Bundesdatenschutzgesetz.

^[2] Vgl. BSI: Leitfaden Informationssicherheit, S. 8.

^[3] Personenbezogene Werbung etc.

^[4] Identitätsdiebstahl.

^[5] engl. password harvesting fishing = Passwörter ernten / angeln i.S.v. ausspähen.

^[6] Datenbestände von Polizei, Einwohnermeldeamt, Finanzamt, usw.

^[7] Vgl. FEDERRATH (2007), S. 12ff.