Zugriffsschutz – die Basis der Datensicherheit und des Datenschutzes

Grundpfeiler des Datenschutzes und der Datensicherheit

Logische Zugriffskontrollen sind ein wesentliches Element der Datensicherheit und des Datenschutzes und Voraussetzung zur Gewährleistung der Ordnungsmäßigkeit. Das Ordnungsmäßigkeitskriterium Vertraulichkeit und die zugrundeliegenden Sicherheitsanforderungen Autorisierung und Authentizität bedingen logische Zugriffskontrollen. Verschärft werden die Anforderungen an den Umgang mit personenbezogenen Daten durch die seit dem 25. Mai 2018 anzuwendende Datenschutz- Grundverordnung (DSGVO). Der Zugriffsschutz betrifft somit jede Einrichtung im Sozial- und Gesundheitsweisen, unabhängig von ihrer Größe.

Zugriffsschutz als Basis des Datenschutzes

Dass das Thema Zugriffsschutz selbst für Großkonzerne mit entsprechenden personellen IT-Ressourcen nicht trivial ist, zeigen die öffentlich gewordenen Datenskandale. Die Erstellung eines wirksamen Zugriffsschutzkonzepts ist jedoch für alle Einrichtungen des Gesundheits- und Sozialwesens die Basis der Datensicherheit und des Datenschutzes. Es müssen sowohl die Berechtigungen auf Betriebssystemebene (Anmeldung gegenüber Clients in einem Netzwerk) als auch die Rechte zur Ausführung von Transaktionen in einer IT-Anwendung berücksichtigt werden. Zugriffskontrollen sind als angemessen zu beurteilen, wenn sie geeignet sind sicherzustellen, dass die Berechtigungsverwaltung und die eingerichteten Systemrechte den Festlegungen im Sicherheitskonzept entsprechen und damit unberechtigte Zugriffe auf Daten sowie Programmabläufe zur Veränderung von Daten ausgeschlossen sind. Zudem müssen Zugriffskontrollen so ausgestaltet sein, dass sie die Identität des Benutzers eindeutig feststellen und nichtautorisierte Zugriffsversuche abgewiesen werden.

Insbesondere die Festlegung und schriftliche Dokumentation der Anforderungen stellt für viele Einrichtungen eine große Herausforderung dar. Hierbei geht es im Wesentlichenum die Festlegung, welche Daten welchen Schutzbedarf haben und mit welchen Sicherheitsmaßnahmen dieser erfüllt wird. Solange diese Anforderungen nicht schriftlich fixiert sind, kann grundsätzlich nicht von einem angemessenen Zugriffsschutz ausgegangen werden.

Bereits mit einfachen organisatorischen Maßnahmen kann der Schutzbedarf angemessen erfüllt werden. Hierzu gehören etwa die Definition eines standardisierten und nachvollziehbaren Berechtigungsvergabeprozesses sowie die Erstellung einer verbindlichen Passwortrichtlinie, in der organisatorische und technische Anforderungen klar definiert sind.

Praxis-Hinweise zum Zugriffsschutz

Im Rahmen unserer Prüfungen stellen wir regelmäßig fest, dass der Schutzbedarf für Daten und deren Systeme nicht definiert ist und somit bereits grundlegende und triviale Kontrollen wie etwa das systemseitige Erzwingen von Passwortlängen und Passwortänderungen nicht umgesetzt werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt Mindestanforderungen für Passwörter bereit, die einem normalen Schutzbedarf entsprechen. Sollten Sie zu der Einschätzung gelangen, dass Sie Daten mit einem hohen oder gar sehr hohen Schutzbedarf verarbeiten und ihre Maßnahmen unterhalb der Empfehlungen des BSI liegen, so können Sie zwingend auf einen Handlungsbedarf in Ihrer Einrichtung schließen.

Kontakt
Ihre Ansprechpartner an unseren Standorten:
Köln
Certified Information Systems Auditor (CISA), Certified Information Security Manager (CISM)
Ingo Kreutz
+49 (0)2203 8997-217
 
Leitung IT-Revision
Solidaris Revisions-GmbH
Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft
Kreutz
Schwerpunkte
  • Informationssicherheitsmanagement (ISMS)
  • IT-Systemprüfungen und Prozessanalysen
  • Begleitung von Softwaremigrationen
Veröffentlichungen in der Fachpresse
2019
  • Wie sichern Sie Ihre Kronjuwelen? Der Umgang mit Informationswerten im digitalen Zeitalter: PflegeManagemet, 10/11/2019, S.11.
Veröffentlichungen in der Fachpresse
2016
  • Steuerung von IT-Risiken: Health&Care Management, 11/2016, S. 66-67.