Die Informationssicherheit umfasst drei Hauptschutzziele für Daten. Dabei handelt es sich um Vertraulichkeit, Integrität und Verfügbarkeit. Weitere Schutzziele sind Authentizität, Zurechenbarkeit und Verbindlichkeit. In diesem Artikel erfahren Sie, was das Schutzziel Integrität bedeutet und wie Sie es erfüllen können.
Definition Integrität
In der Fachwelt gibt es zwei verschiedene Auslegungen des Begriffs Integrität – eine nicht so strenge und eine strengere. Die nicht so strenge Variante besagt, dass Daten nicht unbemerkt geändert werden dürfen. Änderungen müssen also nachvollziehbar sein. Im Rahmen einer sogenannten starken Integrität dürfen Daten gar nicht geändert werden. Diese strenge Interpretation ist allerdings nicht für alle Daten sinnvoll. Die folgenden Ausführungen beziehen sich daher auf die Nachvollziehbarkeit von Veränderungen.
Beispiele für Maßnahmen, die die Integrität von Daten gewährleisten
Weitergabe- und Transportkontrolle
Die Weitergabe- und Transportkontrolle zahlt gleich auf zwei Schutzziele ein: Vertraulichkeit und Integrität. Wenn nicht anonymisierte Daten weitergegeben werden – digital oder analog – müssen diese während des Transports gesichert werden, um sie vor unbefugter Einsichtnahme oder Veränderung zu schützen. Es geht bei der Weitergabekontrolle also einerseits um die technische Absicherung der Übertragung und andererseits um die Absicherung während des physischen Transports der Daten. Werden Geschäftsdaten über das Internet versendet oder liegen diese auf mobilen Datenträgern wie Smartphones, Laptops, Festplatten und USB-Sticks können folgenden Maßnahmen für eine sichere Weitergabe getroffen werden:
- Nutzung von sicheren Webseiten: https
- Sichere (versiegelte) Transportbehälter
- Verschlüsselung von Datenträgern
- Überprüfung der Zuverlässigkeit des Transporteurs
Hinweis aus der Praxis
Eine Datenträgerverschlüsselung zum Beispiel bei einem Notebook kann mit wenigen Klicks eingerichtet werden. Hier empfiehlt es sich, diese grundsätzlich einzurichten – auch wenn Sie zum Beispiel eine Woche ausschließlich im Homeoffice arbeiten. Beim Start des Notebooks muss lediglich ein zusätzliches Passwort zum Entsperren der Verschlüsselung eingegeben werden und Sie können nicht vergessen, die Verschlüsselung einzurichten, wenn das Gerät transportiert wird.
Sichere Datenträgervernichtung
Die Integrität der Daten muss auch gewährleistet sein, wenn Sie Daten vernichten wollen. Das gilt für alle Datenträger von einem Stück Papier bis zu einer Festplatte. Für jedes Speichermedium ist abhängig von der Art der Vernichtung eine Schutzklasse definiert. So gibt es zum Beispiel Schredder, die unterschiedlich große bzw. kleine Papierschnipsel produzieren. Je nachdem wie sensibel die Daten sind, ist ggf. eine strengere Schutzklasse einzuhalten, um die Integrität zu gewährleisten.
Hinweise aus der Praxis
Eine bequeme Art der Datenträgervernichtung ist die Entsorgung über einen Dienstleister. Dieser stellt eine Datentonne oder Sammelbox zur Verfügung. Diese Tonnen müssen unbedingt verschlossen sein. Auch sind während der Entsorgung festgelegte Maßnahmen vom Dienstleister durchzuführen – dies müssen Sie als Auftraggeber überprüfen, indem Sie sich ausreichend über den Dienstleister und seine Zertifizierungen informieren. Zudem ist ein Auftragsverarbeitungsvertrag (AVV) erforderlich.
Eingabekontrolle
Die Eingabekontrolle hat zum Ziel, überprüfen zu können ob und von wem Daten geändert oder gelöscht wurden. Änderungen werden dadurch also nachvollziehbar. Ob die Eingabekontrolle manuell über Listen oder automatisch durch eine Software erfolgt, bleibt jedem Unternehmen selbst überlassen. Zu den möglichen Maßnahmen gehören unter anderem die Protokollierung der Änderungen und der Aktivitäten des Administrators, die Einstellung der Zugriffsrechte (Lese- oder Schreibrechte), die Erstellung von Erfassungsbelegen, die Sicherung und Auswertung der Protokolldaten sowie Plausibilitätskontrollen.
HUBIT Datenschutz sorgt für Datensicherheit
Erfüllen Sie in Ihrem Unternehmen das Schutzziel Integrität? Gerne überprüfen wir das für Sie und empfehlen ggf. entsprechende Maßnahmen. Kontaktieren Sie uns!