Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 11/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
24. Oktober 2024

So prüfen Sie die Belastbarkeit von IT-Systemen

Unternehmen müssen laut DSGVO die Belastbarkeit ihrer IT-Systeme sicherstellen.
Bild: solarseven / iStock / Thinkstock
2,50 (2)
drucken
Inhalte in diesem Beitrag
Tools für die DSGVO
Eine Forderung der Datenschutz-Grundverordnung (DSGVO / GDPR) an die Sicherheit der Verarbeitung ist die Belastbarkeit oder Resilienz. Doch wie lässt sich die Belastbarkeit gewährleisten, wie lässt sie sich prüfen? Hier helfen Tools.

Die Datenschutz-Grundverordnung (DSGVO / GDPR) verlangt im Rahmen der „Sicherheit der Verarbeitung“ (Artikel 32 DSGVO) nicht nur altbekannte Schutzmaßnahmen wie die Verschlüsselung. Sie fordert darüber hinaus auch Maßnahmen, die weniger bekannt sind, wie etwa die Sicherstellung der Belastbarkeit von Systemen und Diensten durch den Verantwortlichen.

Die „Belastbarkeit von Systemen und Diensten“ ist somit nicht nur ein Thema der IT-Sicherheit, sondern auch ein wesentlicher Bestandteil des Datenschutzes. Dabei geht es speziell um die Sicherstellung der Verfügbarkeit personenbezogener Daten, was die DSGVO ausdrücklich betont.

In diesem Zusammenhang bedeutet Belastbarkeit die Widerstandsfähigkeit der IT-Systeme bei Störungen, Ausfällen oder unter hoher Beanspruchung. Auch in solchen Situationen muss die Verfügbarkeit der zu schützenden Daten gewährleistet bleiben.

Ein Beispiel für Szenarien, in denen die Belastbarkeit eines IT-Systems auf die Probe gestellt wird, sind DoS- oder DDoS-Attacken (Denial-of-Service bzw. Distributed-Denial-of-Service-Angriffe). Angreifer überfluten hierbei beispielsweise Webserver mit so vielen Anfragen, dass diese überlastet werden und im Erfolgsfall den Betrieb einstellen. Die Website, die von diesem Server betrieben wird, geht dann offline.

Eine solche Überlastung des Servers erschwert oder verhindert den Zugriff auf die von ihm verwalteten Daten. Eine mangelnde Belastbarkeit der IT hat somit direkte Auswirkungen auf die Verfügbarkeit dieser Daten.

Überlastungsangriffe wie DDoS-Attacken haben in der letzten Zeit deutlich zugenommen. So berichtet die EU-Agentur für Cybersicherheit ENISA: „Denial-of-Service-Angriffe (DoS) sind für Unternehmen seit jeher ein ständiges Sicherheitsrisiko. In den letzten Jahren sind DoS-Angriffe jedoch einfacher, billiger und aggressiver geworden als je zuvor. Das Aufkommen neuer bewaffneter Konflikte auf der ganzen Welt hat neue Wellen von DoS-Angriffen befeuert, bei denen neu gebildete Bedrohungsgruppen verschiedene Ziele auswählen.“

Entsprechend ist auch die Forderung nach Belastbarkeit besonders wichtig.

Welche Schritte gehören zur Belastbarkeit?

Die Belastbarkeit wird häufig auch als Resilienz bezeichnet. Verantwortliche sind dazu verpflichtet, die Belastbarkeit der Systeme und Dienste, die im Zusammenhang mit der Verarbeitung personenbezogener Daten stehen, sicherzustellen. Konkrete Vorgaben, welche Maßnahmen zur Erhöhung der Belastbarkeit ergriffen werden sollten, macht die DSGVO jedoch nicht, wie auch von den Datenschutzaufsichtsbehörden hervorgehoben wird.

Diese Behörden definieren Belastbarkeit als „eine gewisse Stabilität gegenüber Ausfällen oder Angriffen – etwa durch Denial-of-Service-Angriffe“. Die Abgrenzung zur Verfügbarkeit sei jedoch nicht eindeutig.

Im Standard-Datenschutzmodell (SDM 3.1) wird zur Belastbarkeit erklärt, dass die Systeme und Dienste, die zur Verarbeitung verwendet werden, auch unter widrigen Einflüssen, die insbesondere von Dritten herrühren können, ihre Fähigkeit bewahren müssen, eine rechtmäßige Verarbeitung zu gewährleisten.

Wie lässt sich die Belastbarkeit prüfen?

Wie lässt sich die Grenze der Belastbarkeit eines IT-Systems kontrollieren? Nur wer in der Lage ist, die geforderte Belastbarkeit nachweislich zu überprüfen, stellt sicher, dass er die Sicherheit der Verarbeitung im Sinne der DSGVO im Blick hat.

Startpunkt: Verzeichnis von Verarbeitungstätigkeiten

Eine Kontrolle der Belastbarkeit darf zum einen nicht dazu führen, dass die produktiven IT-Systeme wirklich zum Stillstand kommen. Zum anderen sind die Kontrollverfahren davon abhängig, um welche IT-Systeme es geht, welche Systeme und Dienste also personenbezogene Daten verarbeiten.

Ein guter Startpunkt der Kontrolle ist deshalb das Verzeichnis von Verarbeitungstätigkeiten.

Tools zur Kontrolle der Belastbarkeit

Für die Durchführung der Prüfung ist es sinnvoll, geeignete Werkzeuge oder Tools einzusetzen.

Ein Beispiel hierfür ist die Überprüfung von Cloud-Diensten, da die Nutzung von Cloud-Lösungen als externe IT-Ressource besondere Herausforderungen mit sich bringt. Dennoch ist die Überprüfung der Datensicherheit unverzichtbar, um eine fundierte Entscheidung für einen Cloud-Anbieter treffen zu können (und zu dürfen).

Viele Cloud-Anbieter stellen eigene Tools für Leistungstests unter Belastung zur Verfügung. Diese sind nützlich, vorausgesetzt, sie ermöglichen unabhängige und verlässliche Tests.

Nutzen Sie externe Dienste oder Tools, stimmen Sie sich mit dem Cloud-Anbieter ab. Andernfalls könnte die Belastungsprobe für den Cloud-Anbieter wie eine externe Attacke wirken. Anbieter wie Microsoft beschreiben, worauf es bei einem Belastungstest ankommt.

Den Test sollte die interne IT-Abteilung, der eigene IT-Dienstleister oder der Test-Service-Provider als Dritter durchführen.

Services und Tools, mit denen sich eine Belastungsprobe bei Cloud-Diensten und -Anwendungen durchführen lässt, sind beispielsweise:

Was ist jetzt zu tun?

Überprüfen Sie, ob in Ihrem Unternehmen oder in Ihrer Behörde angemessene Maßnahmen für die Belastbarkeit der Systeme und Dienste vorhanden sind, um die nach DSGVO geforderte Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten, insbesondere weil IT-Systeme und IT-Dienste zunehmend Überlastungsangriffen (wie DDoS-Attacken) ausgesetzt sind.

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat eine Liste qualifizierter DDoS-Mitigation-Dienstleister veröffentlicht, also Dienstleister, die ihre Fähigkeiten zur Abwehr von Überlastungsangriffen unter Beweis gestellt haben.

Oliver Schonschek

Oliver Schonschek
zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
Cybersicherheit
drucken
Verfasst von
Oliver Schonschek
Oliver Schonschek
Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.
Verwandte Beiträge
20. November 2024
DP+
Es besteht die reale Gefahr, dass Angreifer KI-Algorithmen und Trainingsdaten manipulieren, so die EU-Agentur für Cybersicherheit
Bild: iStock.com/FotografieLink

KI als doppeltes Datenrisiko

Ratgeber
Cybersicherheit KI
01. November 2024
DP+
Die DSGVO sieht ein Verzeichnis der Verarbeitungstätigkeiten (VTT) vor. Dessen Aktualisierung ist jedoch nicht Aufgabe des DSB, sondern der jeweiligen Prozessverantwortlichen.
Bild: iStock.com/Galeanu Mihai

Verarbeitungsverzeichnis zeitgemäß neu denken

Praxisbericht
Cybersicherheit KI
29. Oktober 2024
DP+
Zero Trust: Unternehmen arbeiten verteilt (Remote Work) und verwenden zunehmend Cloud-Dienste anstelle interner Server und Anwendungen. Das IT-Team kann sie deshalb nicht mehr zentral absichern.
Bild: iStock.com/Olivier Le Moal

Zero Trust darf nicht „kein Datenschutz“ bedeuten

Ratgeber
Cybersicherheit
25. Oktober 2024
DP+
Die neue EU-Verordnung DORA bringt zahlreiche neue Sicherheits- und Berichtspflichten für Finanzunternehmen. Dabei gibt es viele Schnittstellen zum Datenschutz.
Bild: iStock.com/dem10

Achtung, DSB: DORA für Finanzunternehmen kommt!

Ratgeber
Cybersicherheit IT-Sicherheit
24. Oktober 2024
DP+
Die IT-Sicherheitslage erfordert es heute, Netzwerkaktivitäten umfassend zu überwachen (XDR). Dies birgt Risiken für den Datenschutz der Belegschaft.
Bild: iStock.com/gorodenkoff

Umfassende IT-Sicht versus gläserner User

Ratgeber
Cybersicherheit IT-Sicherheit KI
weitere Beiträge laden
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.