EDV-Sicherheit! -> Vertraulichkeit elektronischer Kommunikation
Vertraulichkeit nimmt eine zentrale Rolle nicht nur in alltäglicher, geschäftlicher Kommunikation ein, sie ist von so zentraler Bedeutung für Prüfeinrichtungen, dass die DIN EN ISO/IEC 17025:2018-03 sie in der neuesten Revision quasi als Päambel in den ersten inhaltlichen Abschnitt (4.2) stellt und der Prüfeinrichtung die Verantwortung für die Wahrung der Vertraulichkeit von Informationen zuweist. Eindeutig formuliert die Norm zugleich den Zeitpunkt ab dem die Verantwortung gilt: Die Prüfeinrichtung muss Kunden im Voraus in Kenntnis setzen. Allerdings mit der Einschränkung: „beabsichtigt frei zugänglich zu machen.“ Hier gilt jedoch auch die vorausschauende Sorge. Fahrlässigkeit führt zum Vertrauensbruch. Seit April 2019 gilt das „Gesetz zur Umsetzung der Richtlinie (EU) 2016/943 zum Schutz von Geschäftsgeheimnissen vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung“ (GeschGehG). Die Tatsache der Beauftragung einer Prüftätigkeit allein kann schon unter das GeschGehG fallen. Unternehmen müssen aktiv werden und ein angemessenes Schutzkonzept entwickeln. Das GeschGesG lässt jedoch Freiheiten in der Ausgestaltung und fordert dem schützenwerten Geheimnis eine „angemessene“ Strategie beizuordnen. Also sind schützenswerte Informationen und deren Wege zunächst zu identifizieren, Maßnahmen zu formulieren und deren Angemessenheit zu dokumentieren.
Die Funktionsweise von E-Mail-Kommunikation erläutert dieser Artikel in der Wikipedia. Daraus wird auch ersichtlich, dass eine verschlüsselte Kommunikation zum eigenen Provider das Gewissen einer Prüfeinrichtung nur mäßig beruhigt, denn der weitere Verlauf kann ungesichert / ungeschützt über Server erfolgen, die einen unautorisierten Zugriff erlauben. Das Szenario des Man-in-the-Middle-Angriffs ist mit Blick auf die Erkenntnisse der vergangenen Wahlkämpfe, der Leaks (z. B. E. Snowden) und Affären wiederholt in den Blickpunkt der Öffentlichkeit geraten.
Leider entzieht sich die für Akkreditierungen in Deuschland zuständige Einrichtung ihrer Verantwortung und stellt als Handreichung nur ein umformatiertes und mit DAkkS-Logo versehenes Dokument der Jahrtausendwende mit dem Namen „Leitfaden zum Einsatz von Computersystemen in akkreditierten Laboratorien“ zur Verfügung. Cloud & Co, WonnaCry und über automatische Updates bezogene Schadsoftware? Fehlanzeige. Zu der Zeit waren Windows NT und allenfalls Windows 2000 aktuell. Damit liegt die Verantwortung für die Kommunikation ausschließlich in den Händen der prüfenden, entwickelnden und forschenden Einrichtungen.
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) brilliert mit etwas harmlos erscheinenden Tipps:
„Drei Sekunden für mehr E-Mail-Sicherheit“ oder „Sicherheits-Irrtümer: E-Mail-Sicherheit“
Auch der empfohlene „ISi-Mail-Client“ scheint ein eher unbekanntes Nischendasein zu führen.
Konsequent und knapp fasste es der Security-Insider seine Vorschläge 2017 in seinen „Drei Regeln für mehr E-Mail-Sicherheit“ zusammen. Mit Blick auf rechtssicheren Umgang mit E-Mails gibt die c’t in ihrer Ausgabe c’t 4/2019 zu bedenken: „Warum ein De-Mail-Konto einen Versuch wert ist.“ Es ist eine Crux, dass selbst Bundesbehörden und Bundeseinrichtungen unterschiedlichen Sicherheitsstrategien folgen zu scheinen, wie dem Artikel „Verschlüsselung: Nur BND und Innenministerium setzen auf PGP“ zu entnehmen ist. Die dort zitierte Antwort der Bundesregierung auf eine kleine Anfrage der Grünen-Bundestagsfraktion lässt Akkreditierungswillige etwas hilflos zurück. Handlungsmaßgaben, zeitliche Perspektiven? Wenig Hilfreiches.
Wenn das so ist und weil das so ist, ist es Zeit zumindest einen Versuch einer Handreichung für Prüfeinrichtungen zu wagen, die mit den gegebenen Bedingungen vereinbar ist. Diesen Versuch unternimmt diese Webseite in einem hier demnächst erscheinenden Grundlagentext sowie einer Verfahrensanweisung für Prüfeinrichtungen.
EDV-Sicherheit ist mehr! -> Verfügbarkeit
„Ein Mensch ohne Internet ist wie ein Fötus ohne Nabelschnur?“ Nein, aber gespeicherte Daten müssen zugreifbar sein und bleiben. Was, wenn:
- das Notebook mit „den“ Daten gestohlen wurde,
- das letzte Update „den“ Rechner unbrauchbar machte,
- ein Blitz über einen elektromagnetischen Impuls die Server nebst Infrastruktur beschädigte,
- das Format archivierter Daten mit keinem aktuellen Programm mehr lesbar ist oder das Passwort dazu verlegt, vergessen, verloren wurde,
- der Spiegel-Server und die Datensicherungen ebenso von der Ransomware verseucht sind wie die Arbeitsplätze,
- die Leitung der Einrichtung oder der/die EDV-Beauftragte das digitale Erbe nicht geregelt haben und ausfallen,
- ….
EDV-Sicherheit in Prüfeinrichtungen hat sich nicht nur mit Software zur Auswertung von Prüfergebnissen zu beschäftigen oder auf die neuesten Fehler der beliebten Tabellenkalkulation hinzuweisen. EDV-Sicherheit beschäftigt sich auch mit der Abwehr hardwaregebundener Risiken. Daten in der EDV sind durch Elementarschäden ebenso gefährdet wie die papierenen Unterlagen im Projektordner. Die Rückverfolgbarkeit von Prüfergebnissen ist in Gefahr.
EDV-Sicherheit ist mehr! -> Integrität
Auch bei Verwendung der besten derzeit verfügbaren Hardware kommt es zu Fehlern bei Kopiervorgängen. Kopiervorgänge ergeben sich aus Spiegelungen von Festplatten, der Anfertigung von Sicherungskopien, Datenergänzung und Wiederspeicherung etc.. Datenträger altern. Was für CDROM und Diskette gilt, trifft ebenso SSD-Festplatten, USB-Sticks und Co. zu. Datenträger altern zudem schneller als Papier. Ihre Lagerung, die Schaffung geeigneter Bedingungen, die Überprüfung der Integrität und Wiederherstellung des einwandfreien Zustands der Daten sind zu überwachende Tätigkeiten, die Auswirkungen auf die Risikostruktur eines Unternehmens haben.
Und damit die oben genannten Aspekte erfüllt bleiben, der Kopf frei wird und der Fokus auf der eigentlichen Arbeit (prüfen, bewerten, forschen) liegt, gibt es Vorlagen für ein EDV-Sicherheitskonzept, eine Verfahrensanweisung oder wie auch immer benannt, sowie einige Formblätter für die Aufnahme der regelmäßigen Handhabungen gemäß dieses Konzeptes und seiner Erfüllung. Gemeinlabore haben nicht nur die Vorgaben kommerzieller Standardprüfeinrichtungen zu erfüllen, sie haben dies möglichst schlank und kostenarm umzusetzen.