Keine Chance für lange Finger?
Der Zugriffsschutz als wesentlicher Sicherheitsaspekt in der Lagerung und Entsorgung vertraulicher Informationsträger – Technik und Methoden
Ob Papierakte, CD, USB-Stick oder Festplatte – die lokalen Aufbewahrungs- und Speichermöglichkeiten für Informationen sind vielfältig, wenn nicht unüberschaubar. Der Schutz der in diesen Informationen abgebildeten Daten, insbesondere, wenn diese personenbezogener oder sonst schutzwürdiger Natur sind, stellt Unternehmen wie auch Einzelpersonen vor besondere Herausforderungen. Durch den Einsatz spezieller technischer Lösungen, als Ergebnis einer durchdachten Produktkonzeption unter Beachtung des Grundsatzes „Privacy-by-Design“, lässt sich der Zugriffsschutz verbessern und können Fehlerquellen wie beispielsweise menschliches Versagen ausgeschaltet werden.
Neben einem Eigeninteresse der verantwortlichen Stelle für den Schutz der für die eigene Arbeit wertvollen Daten kommt die zunehmende Regelungsintensität durch nationale und transnationale Stellen mehr und mehr zum Tragen. EU-Verordnungen und -Richtlinien werden in den nächsten Jahren Datenschutz und Cybersicherheit noch stärker als bisher regulieren und damit neue Anforderungen für die verantwortlichen Stellen formulieren.
Zugriffsschutz im Büroalltag
Im modernen Büroalltag entstehen umfangreiche Datenmengen bereits durch die Abwicklung der regulären Arbeitsprozesse. Die Anlage von Kundenkonten, der Aufruf von Patientendaten oder die Erstellung von Dokumenten produzieren zu verwaltende und in aller Regel auch zu schützende Datenpunkte. Vielen ist die Sensibilität dieser Informationen und die möglichen schwerwiegenden Auswirkungen eines Missbrauchs nicht ausreichend bewusst. Durch Unwissen, Sorglosigkeit oder böswilliges Handeln stellt der Faktor Mensch hier ein erhebliches Sicherheitsrisiko dar, von der Erstellung über die Archivierung bis hin zur Entsorgung vertraulicher Informationen.
Sichere Lagerung für Informationsträger – Schublade, Schrank, Schlüssel
Durch geordnete Ablage und Unterbringung in verschlossenen Lagerorten wie Aktenschränken können Informationsträger wirksam vor dem unbefugten Zugriff Dritter geschützt werden. Eine simple Maßnahme wie das Abschließen des Büros beim Verlassen erhöht die Hindernisschwelle für Innen- und Außentäter bereits spürbar.
Computerarbeitsplätze und andere elektronische Arbeitsgeräte können mit einem sicheren Kennwortschutz versehen vor unbefugter Nutzung geschützt werden – durch automatische Sperrung bei Inaktivität kann man hier bereits einen Sicherheitsgewinn erzielen. Dies ist aufgrund der immensen Datendichte eines modernen Computers und Datenträgers dringend notwendig, ebenso wie der Schutz von Ports, die Verschlüsselung mobiler Datenträger, sofern diese überhaupt genutzt werden – denn USB-Sticks und tragbare Festplatten stellen für sich bereits bedeutende Schwachstellen dar, sodass deren Einsatzmöglichkeiten einer Risikoabwägung unterzogen werden sollten.
Zugriffsfreie Vernichtung am Dokumentenlebensende – wie organisieren?
Doch was ist mit nicht mehr aufbewahrungspflichtigen Unterlagen oder Daten, bezüglich derer der Zweck der Datenspeicherung erloschen ist? Die Entsorgung beispielsweise von Aktenordnern über den Papiermüll ist de facto auszuschließen, da man immer davon ausgehen muss, dass ein Ordner auch besonders schutzwürdige Informationen enthält und Dritte diese unbefugt verwenden. In den vergangenen Jahrzehnten hat sich auf diesem Grundgedanken auch in Deutschland eine Branche aus Vernichtungsdienstleistern etabliert, die in unterschiedlicher Flächenabdeckung und mit verschiedenen Prozessen die Sammlung und Vernichtung von Unterlagen, aber auch Datenträgern für ihre Kunden, vom KMU über den Großkonzern bis hin zu Behörden und anderen öffentlichen Stellen organisieren.
Die DIN 66399 dient hier als Industriestandard für strukturierte, sichere Prozesse und technische wie organisatorische Maßnahmen.
Grundlagenexkurs: Der typische Ablauf der Vernichtung von Informationsträgern
Gemeinsam ist diesen Dienstleistungen üblicherweise die Gestellung von Sammelbehältern verschiedener Art, von Konsolen mit Abfallsäcken über Kunststoffbehälter mit Vorhängeschlössern bis hin zur Rollcontainern aus Leichtmetall mit integrierten mechanischen oder elektronischen Schließmechanismen, auch in Verbindung mit weiteren Voraussetzungen (etwa eine Überwachung des Neigungswinkels zur Bewegungserkennung).
Die verantwortliche Stelle sammelt die zu vernichtenden Unterlagen in diesen Behältern und beauftragt die Abholung voller Behälter durch den Dienstleister.
Die Abholung kann, analog zur Abholung der (für schutzwürdige Unterlagen ungeeigneten!) „Altpapiertonne“, turnusmäßig erfolgen. Doch durch den oft unregelmäßigen Anfall der Materialmengen wie auch das aufgrund der Aufwendungen für Personal, Technik und Prozesse erhöhte Kostenniveau werden oftmals bedarfsgesteuerte Abholmodelle vereinbart. Hier prüfen zum Beispiel Angestellte des Betriebes in mehr oder weniger regelmäßigen Abständen den Füllstand des Behälters, um zum angemessenen Zeitpunkt einen Auftrag zur Abholung zu erteilen.
Nach Abholung wird der Behälter zu einem Vernichtungsstandort transportiert, dort in einem durch die DIN 66399 definierten Sicherheitsbereich geöffnet und entleert. Anschließend wird das Material in geeigneten Anlagen geschreddert. Für Material der Schutzklasse 3 sind entweder besondere, zugriffsgeschützte Maschinen oder Mobilvernichtungsfahrzeuge einzusetzen, da hier ein ununterbrochener Zugriffsschutz während des Transports und der Vernichtung sichergestellt werden muss.
Allerdings birgt dieses Modell grundsätzliche Risiken, da der Zugriff auf den Behälterinhalt erforderlich ist – die prüfende Person muss den Behälter öffnen und einsehen. Die innerbetrieblichen Zugriffsbeschränkungen beim Kunden wie beim Dienstleister müssen zusätzlich beachtet werden.
Wird der Behälter nach der Inspektion nicht wieder ordnungsgemäß verschlossen, kann ein unbefugter Zugriff durch Dritte erfolgen. Zudem steht und fällt das Modell mit der Vertrauensposition, die die prüfende Person innehaben muss, und stellt damit zusätzliche Anforderungen an das Personalmanagement und die Organisationsstruktur.
Wird die Abholung der im Büro anfallenden Fraktionen (einschließlich der schutzwürdigen Unterlagen) durch einen Facility-Management-Dienstleister organisiert und gesteuert, kommt der Drittenstatus erschwerend hinzu und muss im Datenschutzkonzept des Kundenunternehmens berücksichtigt werden.
Neben diesem unmittelbaren Sicherheitsrisiko durch den nicht ununterbrochenen Zugriffsschutz kommt als weiterer Aspekt die Frage der Entsorgungsverfügbarkeit hinzu. Wird der Sammelbehälter nicht rechtzeitig beauftragt und/oder geleert, zum Beispiel, weil die Prüfung und damit die Bestellung sich verzögerten, kann der Behälter vor Abholung bereits so stark gefüllt sein, dass eine weitere Befüllung durch Mitarbeitende des Kundenbetriebs nicht möglich ist. Menschen sind Menschen – man kann nicht sicher sein, dass alle Mitarbeitenden dann ihre zu vernichtenden Unterlagen wieder mitnehmen und nicht einfach auf dem Behälter liegen lassen – „es wird ja schon passen“.
Wie kann man dieser Problematik begegnen? Eine Möglichkeit ist die stringente Umsetzung eines kurzen Prüfintervalls. Dabei überprüft eine Person den Füllstand täglich oder mehrmals pro Woche. Dies löst jedoch nicht das Problem des für die Prüfung unterbrochenen Zugriffsschutzes und der nicht ordnungsgemäßen Schließung des Behälters danach. Zudem ist ein solches Modell gerade bei größeren Organisationseinheiten mit enormem Zeitaufwand und entsprechenden Kosten verbunden – gerade im öffentlichen Sektor oder bei Versicherungen und Finanzunternehmen können an einzelnen Verwaltungsstandorten durchaus dreistellige Behälterzahlen vorhanden sein. Technische Maßnahmen sind organisatorischen oder persönlichen immer vorzuziehen.
Technische Maßnahmen als Lösungsansatz
Es ist also naheliegend, die Prüfung nicht durch organisatorische, sondern technische Maßnahmen zu erleichtern beziehungsweise abzulösen. Der grundlegende Ansatz ist, den Behälter selbst eine Prüfung vornehmen zu lassen. Dies erfolgt über eine geeignete Sensorik, mit der der Behälter auszustatten ist.
Denkbar sind hier zum einen gewichtssensitive Platten am Behälterboden, die bei Erreichen eines gewissen vordefinierten Füllgewichts einen Alarm auslösen. Hier besteht jedoch das Risiko, dass das eigentliche Füllvolumen gar nicht erreicht wird, zum Beispiel bei Befüllung mit unerwartet schweren Inhalten, und daher unnötige Kosten bei einer zu früh beauftragten Abholung entstehen. Hinzu kommt die kontinuierliche mechanische Belastung des Wiegesensors durch aufliegendes Material und beim Einwurf einwirkende Punktkräfte.
Durch den technischen Fortschritt sind auch Kamerasensoren möglich und bezahlbar geworden, doch hier besteht das signifikante Risiko, dass enthaltene Inhalte erkannt und ausgelesen werden können. In Verbindung mit möglichen Sichtblockaden durch unglücklich fallende Inhalte muss diese Methode damit für sensible Informationsträger ausgeschlossen werden.
Eine weitere und vielversprechende Methode, die bereits in verschiedenen Industriebranchen eingesetzt wird, ist die Messung der Inhalte durch Lasersensorik. Hier tastet ein eingebautes Sensormodul in regelmäßigen Abständen den Behälterinhalt ab und erfasst die Füllhöhe des vorhandenen Materials. Bei Erreichen des vordefinierten Füllstandes wird der Abholalarm ausgelöst. Die wesentlichen Vorteile sind hierbei, dass der Sensor erheblich geringeren Belastungen ausgesetzt ist, nur in Abständen aktiv wird und damit weniger Energie verbraucht, keine Inhalte erfasst und primär das Volumen prüft – natürlich bedeutet dies eine Empfindlichkeit gegenüber besonders raumgreifenden Inhalten, doch ist der Behälter beispielsweise mit einem Einwurfschlitz mit Federklappe ausgestattet, können nur Loseblätter und flexible Mappen eingefüft werden. Damit wird der zur Verfügung stehende Raum weitgehend ausgenutzt.
Wie gelangen nun die erhobenen Informationen zum Dienstleister? Denkbar ist, den Status des Behälters durch Signalleuchten am Behälter sichtbar zu machen: Ein grünes Licht zeigt „verfügbar“, ein gelbes Licht „abholbereit“ und ein rotes Licht „gefüllt und nicht verfügbar“ an. Hierbei muss aber immer noch eine Person die Behälter überprüfen, den jeweiligen Status vermerken und tätig werden. Somit ist nur der Zugriffsschutz durch den Wegfall der notwendigen Öffnung für die Prüfung verbessert, operativ handelt es sich immer noch um ein personalintensives Modell.
Damit ist es naheliegend, auch die Alarmmeldung zu automatisieren; eine drahtlose Übertragungslösung bietet sich an. Ein entsprechendes Sensormodul umfasst neben dem eigentlichen Sensor, einem Mikrocontroller und einer Energieversorgung dann auch einen Signaltransmitter oder -transceiver. Als Stand der Technik kann hier 5G-Technologie zum Einsatz kommen. Die Kommunikationen sind selbstverständlich zu verschlüsseln, geeignete und im Alltagsgebrauch sichere Verschlüsselungsmethoden existieren. Die Information wird an eine empfangende Stelle übermittelt und stößt dort den entsprechenden Abwicklungsprozess an. Grundsätzlich sollte die Datenübertragung nur ein Minimum der erforderlichen Daten umfassen, wie eine eindeutige Behälter-Identifikationsnummer, den Messzeitpunkt und den Füllstand, so dass ein möglicher Angreifer keine Rückschlüsse auf den Standort und die Identität des Kunden ziehen kann; diese Informationen sind lediglich als notwendige Kundenstammdaten im ERP-System des Dienstleisters gespeichert und werden dort, durch wirksame informationstechnische Sicherheitsmaßnahmen geschützt, für die Zwecke der Abholungsdisposition zusammengeführt.
Auch auf diesem Prozessschritt sind Automatisierung und Integration in bestehende Informationsnetzwerke wünschenswert, was auf eine Anbindung des Sensors an ein vorhandenes Unternehmensnetzwerk oder eine cloudbasierte Onlinelösung hinausläuft – hier muss dann besonderes Augenmerk auf hochwertige SSL- oder TLS-Verschlüsselungen des laufenden Datenverkehrs gelegt werden, um Angriffen vorzubeugen. Zwar überträgt der Lasersensor selbst keine vertraulichen Daten aus den Behälterinhalten, doch muss auch die Möglichkeit ausgeschlossen werden, dass sich ein Angreifer über die Verbindung Zugang zum Unternehmensnetzwerk und dort gespeicherten Informationen verschafft.
Nach Eingang der Sensorinformationen in der Verwaltungsanwendung können verschiedene berechtigte Akteure diese Informationen einsehen und entsprechende Maßnahmen treffen. Ein Facility Manager am Standort kann damit beispielsweise eine Bestellung beim Dienstleister aufgeben, die betroffenen Behälter zum nächstmöglichen Zeitpunkt zu wechseln.
Wird der Sensor durch den Dienstleister als Teil des Service bereitgestellt, so erhält auch dieser bereits die für den Zweck der Abholplanung und -umsetzung erforderlichen Informationen mit der Sensormeldung und kann bereits einen provisorischen Auftrag einplanen. Die Übertragung personenbezogener Daten ist, wie oben beschrieben, hierfür nicht erforderlich – nach einmaliger Anlage der relevanten Stammdaten im System des Dienstleisters müssen diese lediglich in der geschützten Umgebung des ERP-Systems verarbeitet werden.
Perspektivisch ist es auch möglich, den Nachweis der Zuverlässigkeit des Sensors vorausgesetzt, eine automatische Beauftragung bei Erreichen des Abholfüllstands vertraglich zu vereinbaren und technisch einzurichten. Hierdurch kann weiterer manueller Arbeitsaufwand eingespart werden.
Sollte eine Organisationseinheit für die Vernichtung vertraulicher Datenträger und Unterlagen nicht auf einen externen Dienstleister setzen, sondern dies in Eigenregie vornehmen, sind Sensoren auch für die eigene Nutzung zu erwerben und nicht zwingend an einen Dienstleister gebunden. Hierbei sind die Anforderungen an die eigene IT-Sicherheit, eigene Organisations- und Prozessstrukturen und der notwendige Umsetzungsaufwand zu berücksichtigen, doch lässt sich diese Art von Füllstandssensoren auch für eine Vielzahl anderer zugriffsfreier Inhaltsüberwachungszwecke einsetzen. Der Aufwand für eine Umsetzung in Eigenverantwortung ist damit jedoch nicht unbeträchtlich und sollte unbedingt in die vollständige Abwägung einfließen. Dieses automatisierte Modell aus Lasersensor und drahtloser Informationsübertragung vereinbart bei korrekter Umsetzung verschiedene wünschenswerte Effekte:
- einen erhöhten Zugriffsschutz durch den Wegfall unnötiger Behälteröffnungen;
- schnelle Reaktionszeiten durch die Straffung des Erfassungs- und Bestellprozesses;
- kontinuierliche Verfügbarkeit des Sammelbehälters durch rechtzeitige Leerung.
Zusammenfassend lässt sich feststellen:
Der klassische Vernichtungs- und Entsorgungsprozess für sensible Informationsträger weist an vielen Punkten Schwachstellen auf, die im Wesentlichen auf den Faktor Mensch und die Abweichung von etablierten organisatorischen Maßnahmenvorgaben zurückzuführen sind.
Durch die konsequente Umsetzung existierender technischer Maßnahmen lassen sich hier eindeutige Sicherheitsgewinne realisieren. Die kontinuierlich sinkenden Implementations- und Transaktionskosten für solche integrierten Systemlösungen machen die Einführung einer „schlüsselfertigen“ Sensorlösung vom zertifizierten Dienstleister nicht nur für große Organisationen, sondern auch bereits für mittlere Unternehmensgrößen attraktiv.
Die technische Lösung mit einer Füllstandssensorik für Sicherheitsbehälter ist aufgrund der genannten Effekte aus datenschutzrechtlicher Sicht den organisatorischen Maßnahmen eindeutig vorzuziehen, da die Datensicherheit erhöht und das Risiko „Mensch“ minimiert wird.
