de en
Nexia Ebner Stolz

Wirtschaftsprüfung

Datenschutzrisiken durch IT-Mitarbeiter

Zu den gesetzlichen Anforderungen an die IT gehören u. a. datenschutzrechtliche Vorgaben, die meist erforderlichen weitreichenden Berechtigungen und Zugriffsrechtem für IT-Mitarbeiter wider-sprechen.

IT-Mit­ar­bei­ter sol­len in ers­ter Linie dafür sor­gen, dass die IT rei­bungs­los funk­tio­niert. Was ein­fach klingt, ist in der Pra­xis teil­weise hoch kom­plex.

Um einen rei­bungs­lo­sen Ablauf der IT zu gewähr­leis­ten, müs­sen sowohl tech­ni­sche Her­aus­for­de­run­gen als auch eine Viel­zahl an betriebs­wirt­schaft­li­chen, gesetz­li­chen und sons­ti­gen Rah­men­be­din­gun­gen berück­sich­tigt wer­den. Zu den gesetz­li­chen Anfor­de­run­gen an die IT gehö­ren u. a. daten­schutz­recht­li­che Vor­ga­ben. Diese wider­sp­re­chen meist den von den IT-Mit­ar­bei­ter benö­t­ig­ten weit­rei­chen­den Berech­ti­gun­gen und Zugriffs­rechte.

Vie­les steht und fällt mit der Qua­li­fi­ka­tion und Inte­gri­tät der han­deln­den Per­so­nen. Damit IT-Mit­ar­bei­ter nicht als gro­ßes Risiko ein­ge­stuft wer­den und um dem jewei­li­gen Unter­neh­men Sicher­heit in Bezug auf die beste­hen­den Risi­ken zu geben, sind wesent­li­che Aspekte zu beach­ten.

(Hin­rei­chende) Ver­fah­rens­do­ku­men­ta­tion

Grund­sätz­lich wer­den Sicher­heit/ Daten­schutz und „sch­nel­les, unkom­p­li­zier­tes, pra­xis­o­ri­en­tier­tes Han­deln“ schein­bar als dia­me­tral gese­hen. Dass in der heu­ti­gen Zeit ein deut­li­cher Schritt Rich­tung Daten­si­cher­heit gemacht wer­den und bei den IT-Mit­ar­bei­tern ein Bewusst­sein geschaf­fen wer­den muss, um dies umzu­set­zen, ist unbe­s­trit­ten. Durch Defini­tion von Kon­zep­ten, Richt­li­nien und Vor­ga­ben ist es jedoch mög­lich diese bei­den Inter­es­sen­ge­gen­sätze über einen Mit­tel­weg in Ein­klang zu brin­gen. Im Zuge der Defini­tion die­ser Doku­men­ta­tio­nen, kön­nen auch Pro­zesse neu defi­niert wer­den - bei­spiels­weise der Pro­zess der Pro­to­kol­lie­rung kann erneu­ert und somit opti­miert wer­den.

In vie­len Unter­neh­men wird zwar bereits pro­to­kol­liert, jedoch wer­den diese Pro­to­kolle nicht aus­ge­wer­tet. Das Unter­neh­men sollte sich von Anfang an über­le­gen, wel­che Infor­ma­tio­nen über­haupt sinn­voll für eine Aus­wer­tung sind. Auf Basis die­ser Ein­schrän­kung der aus­zu­wer­ten­den Infor­ma­tio­nen kann dann eine -Über­prü­fung des Daten­schut­zes - ggf. mit Daten­schutz­fol­gen­ab­schät­zung - statt­fin­den und eine Rege­lung zur Aus­wer­tung der Daten getrof­fen wer­den. Durch diese Ein­schrän­kung der Pro­to­kol­lie­rung und der Aus­wer­tung ent­steht ein ziel­ge­rich­te­ter und zweck­ge­bun­de­ner Pro­zess mit dem Neben­ef­fekt der Ent­schla­ckung.

Um mög­lichst viele Daten­schutz­ri­si­ken zu ver­mei­den gilt es, unter Berück­sich­ti­gung aller gesetz­li­chen Rege­lun­gen (hierzu gehö­ren auch daten­schutz­recht­li­che Vor­ga­ben der DSGVO) in den Ver­fah­rens­do­ku­men­ta­tio­nen klare Kon­zepte, Richt­li­nien und Vor­ga­ben für Admi­ni­s­t­ra­to­ren und User mit weit­rei­chen­den Berech­ti­gun­gen (Not­fallu­ser, Son­de­ru­ser o. ä.) zu erlas­sen, die sich nicht wie­der­sp­re­chen. Durch diese Defini­tio­nen kön­nen die Vor­ga­ben eben­falls durch außen­ste­hende Dritte (u. a. Prü­fer) nach­voll­zo­gen wer­den. Natür­lich kön­nen diese Risi­ken grund­sätz­lich auch durch ande­ren Metho­den mini­miert wer­den, jedoch zeigt unsere Erfah­rung aus Prü­fun­gen, dass klar defi­nierte Kon­zepte, Richt­li­nien und Vor­ga­ben das wirk­sams­tes und nach außen reprä­sen­ta­tivste Mit­tel dar­s­tel­len.

„(Ehr­li­che) Daten­spar­sam­keit“

Neben der Defini­tion von Kon­zep­ten und Pro­zes­sen müs­sen auch diverse orga­ni­sa­to­ri­sche und tech­ni­sche Maß­nah­men vor­ge­nom­men wer­den. Hierzu gehört u. a. auch die Rege­lun­gen über Admi­ni­s­t­ra­to­ren mit weit­rei­chen­den Berech­ti­gun­gen, die nicht täg­lich benö­t­igt wer­den. Ins­be­son­dere diese Admi­ni­s­t­ra­to­ren-Rechte soll­ten nur mit­hilfe eines Vier-Augen-Prin­zips tem­porär ver­ge­ben wer­den. Eine Ver­gabe soll immer nur dann erfol­gen, wenn min­des­tens zwei Admi­ni­s­t­ra­to­ren gleich­zei­tig arbei­ten und/oder dies durch den/die IT-Lei­ter/in / CISO geneh­migt wurde.

Auch soll­ten die ver­ge­be­nen Admi­ni­s­t­ra­to­ren-Berech­ti­gun­gen kri­tisch hin­ter­fragt und nur an einen klei­nen, aus­ge­wähl­ten Per­so­nen­kreis ver­ge­ben wer­den. Nicht jeder „Berech­ti­gungs­ent­zug“ gleicht einem Ver­trau­ens­ver­lust, da die Stel­lung eines Admi­ni­s­t­ra­tors nicht an der Weite der ver­ge­be­nen Berech­ti­gun­gen gemes­sen wer­den kann. Viel­mehr muss auch für einen Admi­ni­s­t­ra­tor das „Need-to-Know“ Prin­zip gel­ten.

Berech­ti­gun­gen, die nicht täg­lich benö­t­igt wer­den, aber weit­rei­chend sind, soll­ten in geson­derte Benut­zer aus­ge­la­gert wer­den, so dass sich die Admi­ni­s­t­ra­to­ren bei Bedarf mit die­sem Benut­zer anmel­den müs­sen. Es ver­steht sich in die­sem Zusam­men­hang, dass die Benut­zung geneh­migt wurde und pro­to­kol­liert wird.

Bei einer tem­porä­ren Benut­zung der geson­der­ten User sollte zudem sicher­ge­s­tellt sein, dass die­ser pro­to­kol­liert wird. Um es an einem Bei­spiel fest­zu­ma­chen: Das Kenn­wort eines Son­de­ru­sers darf nicht aus­rei­chen, um an die Benut­zer­kon­ten von Mit­ar­bei­tern bzw. E-Mails zu gelan­gen. Dabei gilt zusätz­lich: Der Benut­zer mit den weit­rei­chen­den Berech­ti­gun­gen wird voll­um­fäng­lich pro­to­kol­liert und des­sen Hand­lun­gen aus­ge­wer­tet. Zu den orga­ni­sa­to­ri­schen Maß­nah­men gehö­ren eben­falls Kon­troll­sys­teme inn­er­halb des Unter­neh­mens. Dazu zählt u. a. auch die regel­mä­ß­ige Berech­ti­gungs-Rezer­ti­fi­zie­rung, die auch die Berech­ti­gun­gen der IT-Mit­ar­bei­ter umfasst. Neben einer Berech­ti­gungs-Rezer­ti­fi­zie­rung sollte auch eine Funk­ti­on­s­t­ren­nung ein­ge­rich­tet wer­den. Ein IT-Mit­ar­bei­ter sollte z. B. nicht gleich­zei­tig in der Revi­sion beschäf­tigt sein oder ein Ent­wick­ler sollte nie Zugriff auf die Test- und Abnah­me­um­ge­bung einer Soft­ware haben.

Inwie­weit der häu­fig beschrie­bene Ideal­fall (Funk­ti­on­s­t­ren­nung) umge­setzt wer­den kann, sollte unter­neh­mens­in­di­vi­du­ell geprüft wer­den. Dabei sind kom­pen­sa­to­ri­sche Kon­trol­len not­wen­dig. In jedem Fall ist dafür zu sor­gen, dass bei den ope­ra­tiv ver­ant­wort­li­chen (IT-)Mit­ar­bei­tern ein Com­p­li­ance-Bewusst­sein vor­han­den ist, so dass diese - selbst wenn keine ent­sp­re­chende Funk­ti­on­s­t­ren­nung tech­nisch umge­setzt ist - daten­schutz­recht­lich kri­ti­sche The­men, wie der Zugriff auf ein E-Mail-Post­fach - erken­nen und ent­sp­re­chend für ein orga­ni­sa­to­ri­sches „Vier-Augen-Prin­zip“ sor­gen.

nach oben