Datenschutzrisiken durch IT-Mitarbeiter

IT-Mit­ar­bei­ter sol­len in ers­ter Li­nie dafür sor­gen, dass die IT rei­bungs­los funk­tio­niert. Was ein­fach klingt, ist in der Pra­xis teil­weise hoch kom­plex.

Um einen rei­bungs­lo­sen Ab­lauf der IT zu gewähr­leis­ten, müssen so­wohl tech­ni­sche Her­aus­for­de­run­gen als auch eine Viel­zahl an be­triebs­wirt­schaft­li­chen, ge­setz­li­chen und sons­ti­gen Rah­men­be­din­gun­gen berück­sich­tigt wer­den. Zu den ge­setz­li­chen An­for­de­run­gen an die IT gehören u. a. da­ten­schutz­recht­li­che Vor­ga­ben. Diese wi­der­spre­chen meist den von den IT-Mit­ar­bei­ter benötig­ten weit­rei­chen­den Be­rech­ti­gun­gen und Zu­griffs­rechte.

Vie­les steht und fällt mit der Qua­li­fi­ka­tion und In­te­grität der han­deln­den Per­so­nen. Da­mit IT-Mit­ar­bei­ter nicht als großes Ri­siko ein­ge­stuft wer­den und um dem je­wei­li­gen Un­ter­neh­men Si­cher­heit in Be­zug auf die be­ste­hen­den Ri­si­ken zu ge­ben, sind we­sent­li­che As­pekte zu be­ach­ten.

(Hinreichende) Verfahrensdokumentation

Grundsätz­lich wer­den Si­cher­heit/ Da­ten­schutz und „schnel­les, un­kom­pli­zier­tes, pra­xis­ori­en­tier­tes Han­deln“ schein­bar als dia­me­tral ge­se­hen. Dass in der heu­ti­gen Zeit ein deut­li­cher Schritt Rich­tung Da­ten­si­cher­heit ge­macht wer­den und bei den IT-Mit­ar­bei­tern ein Be­wusst­sein ge­schaf­fen wer­den muss, um dies um­zu­set­zen, ist un­be­strit­ten. Durch De­fi­ni­tion von Kon­zep­ten, Richt­li­nien und Vor­ga­ben ist es je­doch möglich diese bei­den In­ter­es­sen­ge­gensätze über einen Mit­tel­weg in Ein­klang zu brin­gen. Im Zuge der De­fi­ni­tion die­ser Do­ku­men­ta­tio­nen, können auch Pro­zesse neu de­fi­niert wer­den - bei­spiels­weise der Pro­zess der Pro­to­kol­lie­rung kann er­neu­ert und so­mit op­ti­miert wer­den.

In vie­len Un­ter­neh­men wird zwar be­reits pro­to­kol­liert, je­doch wer­den diese Pro­to­kolle nicht aus­ge­wer­tet. Das Un­ter­neh­men sollte sich von An­fang an über­le­gen, wel­che In­for­ma­tio­nen über­haupt sinn­voll für eine Aus­wer­tung sind. Auf Ba­sis die­ser Ein­schränkung der aus­zu­wer­ten­den In­for­ma­tio­nen kann dann eine -Überprüfung des Da­ten­schut­zes - ggf. mit Da­ten­schutz­fol­gen­ab­schätzung - statt­fin­den und eine Re­ge­lung zur Aus­wer­tung der Da­ten ge­trof­fen wer­den. Durch diese Ein­schränkung der Pro­to­kol­lie­rung und der Aus­wer­tung ent­steht ein ziel­ge­rich­te­ter und zweck­ge­bun­de­ner Pro­zess mit dem Ne­ben­ef­fekt der Ent­schla­ckung.

Um möglichst viele Da­ten­schutz­ri­si­ken zu ver­mei­den gilt es, un­ter Berück­sich­ti­gung al­ler ge­setz­li­chen Re­ge­lun­gen (hierzu gehören auch da­ten­schutz­recht­li­che Vor­ga­ben der DS­GVO) in den Ver­fah­rens­do­ku­men­ta­tio­nen klare Kon­zepte, Richt­li­nien und Vor­ga­ben für Ad­mi­nis­tra­to­ren und User mit weit­rei­chen­den Be­rech­ti­gun­gen (Not­fallu­ser, Son­de­ru­ser o. ä.) zu er­las­sen, die sich nicht wie­der­spre­chen. Durch diese De­fi­ni­tio­nen können die Vor­ga­ben eben­falls durch außen­ste­hende Dritte (u. a. Prüfer) nach­voll­zo­gen wer­den. Natürlich können diese Ri­si­ken grundsätz­lich auch durch an­de­ren Me­tho­den mi­ni­miert wer­den, je­doch zeigt un­sere Er­fah­rung aus Prüfun­gen, dass klar de­fi­nierte Kon­zepte, Richt­li­nien und Vor­ga­ben das wirk­sams­tes und nach außen repräsen­ta­tivste Mit­tel dar­stel­len.

„(Ehrliche) Datensparsamkeit“

Ne­ben der De­fi­ni­tion von Kon­zep­ten und Pro­zes­sen müssen auch di­verse or­ga­ni­sa­to­ri­sche und tech­ni­sche Maßnah­men vor­ge­nom­men wer­den. Hierzu gehört u. a. auch die Re­ge­lun­gen über Ad­mi­nis­tra­to­ren mit weit­rei­chen­den Be­rech­ti­gun­gen, die nicht täglich benötigt wer­den. Ins­be­son­dere diese Ad­mi­nis­tra­to­ren-Rechte soll­ten nur mit­hilfe ei­nes Vier-Au­gen-Prin­zips tem­porär ver­ge­ben wer­den. Eine Ver­gabe soll im­mer nur dann er­fol­gen, wenn min­des­tens zwei Ad­mi­nis­tra­to­ren gleich­zei­tig ar­bei­ten und/oder dies durch den/die IT-Lei­ter/in / CISO ge­neh­migt wurde.

Auch soll­ten die ver­ge­be­nen Ad­mi­nis­tra­to­ren-Be­rech­ti­gun­gen kri­ti­sch hin­ter­fragt und nur an einen klei­nen, aus­gewähl­ten Per­so­nen­kreis ver­ge­ben wer­den. Nicht je­der „Be­rech­ti­gungs­ent­zug“ gleicht einem Ver­trau­ens­ver­lust, da die Stel­lung ei­nes Ad­mi­nis­tra­tors nicht an der Weite der ver­ge­be­nen Be­rech­ti­gun­gen ge­mes­sen wer­den kann. Viel­mehr muss auch für einen Ad­mi­nis­tra­tor das „Need-to-Know“ Prin­zip gel­ten.

Be­rech­ti­gun­gen, die nicht täglich benötigt wer­den, aber weit­rei­chend sind, soll­ten in ge­son­derte Be­nut­zer aus­ge­la­gert wer­den, so dass sich die Ad­mi­nis­tra­to­ren bei Be­darf mit die­sem Be­nut­zer an­mel­den müssen. Es ver­steht sich in die­sem Zu­sam­men­hang, dass die Be­nut­zung ge­neh­migt wurde und pro­to­kol­liert wird.

Bei ei­ner tem­porären Be­nut­zung der ge­son­der­ten User sollte zu­dem si­cher­ge­stellt sein, dass die­ser pro­to­kol­liert wird. Um es an einem Bei­spiel fest­zu­ma­chen: Das Kenn­wort ei­nes Son­de­ru­sers darf nicht aus­rei­chen, um an die Be­nut­zer­kon­ten von Mit­ar­bei­tern bzw. E-Mails zu ge­lan­gen. Da­bei gilt zusätz­lich: Der Be­nut­zer mit den weit­rei­chen­den Be­rech­ti­gun­gen wird voll­umfäng­lich pro­to­kol­liert und des­sen Hand­lun­gen aus­ge­wer­tet. Zu den or­ga­ni­sa­to­ri­schen Maßnah­men gehören eben­falls Kon­troll­sys­teme in­ner­halb des Un­ter­neh­mens. Dazu zählt u. a. auch die re­gelmäßige Be­rech­ti­gungs-Re­zer­ti­fi­zie­rung, die auch die Be­rech­ti­gun­gen der IT-Mit­ar­bei­ter um­fasst. Ne­ben ei­ner Be­rech­ti­gungs-Re­zer­ti­fi­zie­rung sollte auch eine Funk­ti­ons­tren­nung ein­ge­rich­tet wer­den. Ein IT-Mit­ar­bei­ter sollte z. B. nicht gleich­zei­tig in der Re­vi­sion be­schäftigt sein oder ein Ent­wick­ler sollte nie Zu­griff auf die Test- und Ab­nah­me­um­ge­bung ei­ner Soft­ware ha­ben.

In­wie­weit der häufig be­schrie­bene Ide­al­fall (Funk­ti­ons­tren­nung) um­ge­setzt wer­den kann, sollte un­ter­neh­mens­in­di­vi­du­ell geprüft wer­den. Da­bei sind kom­pen­sa­to­ri­sche Kon­trol­len not­wen­dig. In je­dem Fall ist dafür zu sor­gen, dass bei den ope­ra­tiv ver­ant­wort­li­chen (IT-)Mit­ar­bei­tern ein Com­pli­ance-Be­wusst­sein vor­han­den ist, so dass diese - selbst wenn keine ent­spre­chende Funk­ti­ons­tren­nung tech­ni­sch um­ge­setzt ist - da­ten­schutz­recht­lich kri­ti­sche The­men, wie der Zu­griff auf ein E-Mail-Post­fach - er­ken­nen und ent­spre­chend für ein or­ga­ni­sa­to­ri­sches „Vier-Au­gen-Prin­zip“ sor­gen.