Hallo Michael,
die Schutzbedarfsfeststellung nach IT Grundschutz hat eine Bezug zu Fragen des Datenschutzes. Persönlich würde ich sei jedoch etwas anders verorten. Ich würde die harten Datenschutzfragen auf Grundlage der Datenschutzgesetze und - bestimmungen sehen, die festlegen welche Daten erfasst werden dürfen, wer sie einsehen darf und wann sie gelöscht werden etc. Der IT Grundschutz hingegen fragt, hat das Unternehmen ein Bewusstsein für die Relevanz der verarbeiteten Daten auf seinen DV Anlagen und welche Maßnahmen werden technisch und organisatorisch ergriffen, um einen Verlust, eine Veränderung der Daten zu vermeiden oder zu minimieren.
Es gibt somit Bezüge zu den technisch, organisatorischen Maßnahmen, deren Beschreibung die Datenschutzgesetze fordern
Grundlage ist die Frage: Welche Art von Daten werden erfasst? (Nutzerdatensatz, Kennwort, Einschreibung, Leistungsergebnisse, Anwesenheit,...)
Vertraulichkeit: Welchen Schutzgrad hinsichtlich Vertraulichkeit haben die erfassten Daten? Hier sollte klar unterschieden werden zwischen allgemein verfügbaren Informationen, Daten, deren Verlust einen Ansehensverlust der Institution bedeuten, Daten, die die Arbeitsfähigkeit der Institution beeinträchtigen, Daten die die Person, um deren Datensatz es geht, in ihrer Sicherheit beeinträchtigt, Daten, die die Sicherheit der Institution beeinträchtigen, Daten, die die nationale Sicherheit beeinträchtigen.
Integrität: Evtl ist in einer Matrix auch zu erfassen welche Relevanz, Einsicht durch Unbefugte, Veränderung der Daten, Totalverlust haben.
Verfügbarkeit: Welche Risiken entstehen wenn die Daten zehn Minuten, einen Tag, drei Tage, zehn Tage, einen Monat nicht verfügbar sind?
Authentizität: Welche Anforderung steht daran, sicherzustellen, dass die Daten tatsächlich den handelnden Personen (Schüler, Lehrer) zugeschrieben werden können.
Ich finde es ganz hilfreich, konkrete Beispiele, die Abstufungen erlauben in die Diskussion zu bringen:
Beispiel: Authentizität
Wie hoch ist das Sicherheitsbedürfnis, dass tatsächlich die deklarierte Person eine Leistung erbracht hat z.B. für folgende Leistungen ein Diskussionsbeitrag, eine abgegebene Hausarbeit, ein Übungstest, ein Referent, das zusätzlich noch mündlich gehalten wird, eine Abiturklausur.
Wie hoch ist das Schutzbedürfnis, dass ein Feedback, eine Bewertung tatsächlich von der Lehrerin und nicht von einem Kollegen oder dem Ehemann erstellt wurde?
Ich erlebe manchmal einen Reflex, der bei elektronischen Speicherungen ungeheuer aufwändige Sicherheitsmaßnahmen einfordert, zugleich in der nicht digitalen Welt diese Frage gar nicht stellt.
Beispiel: Risiko des Verlusts der Daten durch Löschung und akzeptable Dauer der Wiederherstellung
Digital: Erstellung täglicher Datensicherungen, Maximaler Datenverlust von 24 Stunden ist akzeptabel. Wiederherstellung binnen drei Arbeitstagen.
Analog: Risiko Verlust der Daten durch einen Brand im Schulverwaltungsbereich Sekretariat und Lehrerzimmer oder Verlust der Daten durch Zimmerbrand in den Privaträumen eines Lehrers. Datensicherungen werden zumeist nicht erstellt. Datenwiederherstellung ist nicht möglich, Sicherheitsmaßnahmen existieren nicht. Ist das akzeptabel?
Ich finde es wichtig, begründete Differenzierungen für verschiedene Arten von Daten vorzunehmen. Es gibt aus dem Leben eines Menschen Daten, die wesentlich schützenswerter sind als die Information wie ich Testfrage 7 beantwortet habe und welche Gesamtnote ich in einer Klausur oder auf dem Zeugnis habe.
Ralf Hilgenstock