Datenschutz Der schmale Grat zwischen Notwendigkeit und Hemmnis

Anbieter zum Thema

cit GmbH

mgm technology partners GmbH

S-Management Services GmbH

VMWare Germany GmbH Ltd.

Universität Bremen

Für eine leistungsfähige Verwaltung sind moderne Informations- und Kommunikationstechnologien heutzutage unverzichtbar. Viele moderne Anwendungen bringen jedoch neue Datenschutzrisiken für Städte und Kommunen mit sich. Eine Gratwanderung zwischen Sicherheit und Innovation.

Der Hackerangriff auf die Kreisverwaltung des Rhein-Pfalz-Kreises hat eindrücklich gezeigt, welche Folgen Ransomware-Attacken auf Kommunen haben können: Nicht nur berufliche Informationen der Verwaltungsmitarbeiter waren so ins Darknet gelangt, auch private Adressen, Fotos einer After-Work-Party und zahlreiche Passwörter von eMail-Konten veröffentlichte die Hackergruppe „Vice Society“, nachdem die Verwaltung nicht auf die Lösegeldforderungen eingegangen war.

Und damit steht der Rhein-Pfalz-Kreis nicht allein da, die Liste betroffener Kommunen ist lang: Potsdam, Anhalt-Bitterfeld, Geisenheim, Witten, Saßnitz oder auch die Kreisverwaltung in Wesel hat es bereits getroffen. Schon im Jahr 2020 sei laut Carsten Meywirth vom Bundeskriminalamt festgestellt worden, dass öffentliche Einrichtungen in stärkerem Maße Opfer von Angriffen mit sogenannter Ransomware werden. Seine Prognose für die Zukunft fiel dabei ernüchternd aus: Meywirth geht davon aus, dass das Problem nicht verschwinden, sondern eher das neue Normal werde.

Der so entstehende Schaden ist enorm. Für Anhalt-Bitterfeld wurden die finanziellen Einbußen bis zur Wiederinbetriebnahme beispielsweise auf etwa 1,5 bis zwei Millionen Euro geschätzt. Hinzu kommt die zusätzliche Arbeit für die Mitarbeiter und Mitarbeiterinnen, die die liegengebliebenen Anfragen zusätzlich abarbeiten müssen – und dass, obwohl das Personal bereits knapp ist. Noch schwerer wiegen jedoch der Vertrauensverlust und die Zweifel, die infolge erfolgreicher Angriffe bei den Bürgern und Bürgerinnen entstehen.

Den Angreifern einen Schritt voraus

Ein entscheidender Aspekt beim Umgang mit personenbezogenen Daten ist daher ihr Schutz vor Verlust und Missbrauch. Hier gilt es insbesondere die notwendigen technischen und organisatorischen Maßnahmen zu treffen. Die Datenschutzgrundverordnung (EU-DSGVO) sieht beispielsweise folgendes vor:

• Zutrittskontrolle: Maßnahmen, die verhindern, dass unbefugte Personen den physikalischen Zutritt zu Datenverarbeitungsanlagen – etwa Rechenzentren, PCs, Notebooks, Smartphones oder Kopierer – erhalten.

• Zugangskontrolle: Die Zugangskontrolle verhindert die Nutzung der IT-Systeme durch unbefugte Dritte. Zentrale Elemente sind dabei die Identifikation und Authentifizierung der Nutzer. Beispielsweise gilt es in diesem Zusammenhang aber auch Vorgaben zu erstellen, wie ein sicheres Passwort auszusehen hat und wie User mit Passwörtern umgehen sollten.

• Zugriffskontrolle: Mit der Zugriffskontrolle wird sichergestellt, dass Nutzer und Nutzerinnen eines Datenverarbeitungssystems ausschließlich für sie freigegebene Daten zugreifen können. Gleichzeitig wird verhindert, dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung unbefugt gelesen, verändert oder gar entfernt werden können.

Doch das sind nur einige Beispiele, hinzu kommen das regelmäßige Updaten sowie Patchen der Systeme und das Überprüfen der Sicherheitsvorkehrungen insgesamt, um sicherzustellen, dass diese noch ausreichend sind. Hierbei müssen die Verantwortlichen etwa die Sicherheitssoftware und Zugangsberechtigungen kontrollieren.

Eine weitere wichtige Maßnahme ist die Sensibilisierung der Mitarbeiter für das Thema Datenschutz. In Schulungen sollten sie über die Bedeutung des Datenschutzes sowie die geltenden Regeln aufgeklärt und auf häufige Gefahren wie Phishing aufmerksam gemacht werden.

Auf der nächsten Seite: Kommunen fehlen finanzielle und personelle Ressourcen.

(ID:49223802)