Diese Webpräsenz des Datenschutzbeauftragten der Evangelischen Landeskirche Württemberg ist im Oktober 2011 umgezogen.
Die neue Webpräsenz finden Sie unter http://www.kirche-datenschutz.de
Fraunhofer-Expertise zum kirchlichen Datenschutz
Mi, 12/17/2008 - 15:02 – DSB
Anforderungen an die
Anforderungen an die
Das Fraunhofer-Institut "Sichere Informationstechnologie" hat im Auftrag der Evangelischen Kirche in Deutschland die Expertise
Anforderungen an die
Daten- und Netzwerksicherheit
bei der Übermittlung personenbezogener Daten
und Empfehlungen zu einem IT-Sicherheitsstandard
vorgelegt.
Die Expertise kann hier! heruntergeladen werden.
Die Datenschutzbeauftragten der Landeskirchen wurden bereits auf ihrer Tagung im April dieses Jahres von Frau Dr. Lukat, Mitverfasserin des Papiers, informiert. Im nächsten Schritt soll jetzt in den Landeskirchen die Diskussion über den weiteren Umgang mit der Expertise und den daraus zu ziehenden Schlüssen geführt werden.
Dabei wird für personenbezogene Daten, die in den Geschäftsprozessen Meldewesen und Personalwesen, in der Seelsorge und im Bereich der Diakonie für Pflege und Beratung bearbeitet und kommuniziert werden, ein hoher Schutzbedarf festgestellt.
Die Expertise empfiehlt für die Daten- und Netzwerksicherheit bei der Übermittlung personenbezogener Daten einen gestaffelten IT-Sicherheitsstandard:
- Notwendig ist in den kirchlichen und diakonischen Einrichtungen ein IT-Sicherheitsprozess mit einer für IT-Sicherheit beauftragten Person und einem IT-Sicherheitsmanagement, in dem ein IT-Sicherheitsniveau IT-Grundschutz nach den in Deutschland gültigen BSI-Standards zur IT-Sicherheit umgesetzt wird. Es erfordert eine von der Leitung in Kraft gesetzte und an den relevanten ISO-Normen orientierte Sicherheitsleitlinie inklusive Sicherheitsstrategie passend zum IT-Konzept.
- Zu jedem IT-Verbund ist ein IT-Sicherheitskonzept zu erstellen, inklusive Ist-Analysen (mit Struktur-, Bedarfs- und Anforderungsanalysen, Analyse der spezifischen Gefährdungen, Schutzbedarfsfeststellungen sowie einem Sicherheitscheck der vorhandenen und noch fehlenden IT-Grundschutz-Maßnahmen.
- Bezüglich sicherer Übertragung personenbezogener Daten sind in vielen Einrichtungen noch die IT-Grundschutz-Maßnahmen umzusetzen, die Vertraulichkeit, Integrität und Authentizität (Herkunftsnachweis) mittels Benutzer- und Übermittlungskontrolle gewährleisten sollen. Organisatorisch und technisch verhindern sie mit Einsatz kryptographischer Verfahren der Verschlüsselung und elektronischen Signatur (mit mindestens einer einfachen, softwarebasierten, elektronischen Signatur) sowie mit geeigneten Transportwegen und Übertragungsmethoden, dass Unbefugte mit Hilfe von Einrichtungen zur Datenübertragung IT-Systeme nutzen und unberechtigt an vertrauliche Daten gelangen. Die zu erfüllenden Mindestanforderungen an Sicherheitsmaßnahmen sind mit den Anforderungen aus dem Datenschutz in Kapitel 5 und die geeigneten Transportwege in Form von virtuellen privaten Netzen (VPN) mit Client-Authentifizierung und Sicherheitsprotokollen (wie SSL, IPsec) in Kapitel 6 zusammengestellt.
- Darüber hinaus sollte für elektronische Kommunikationen mit vertraulichen Informationen zur Gewährleistung zusätzlich der Verbindlichkeit1 mittelfristig ein hohes Sicherheitsniveau mit Sicherheitsinfrastrukturen wie in den meisten Behörden angestrebt und schrittweise realisiert werden. Bei hohen Sicherheitsanforderungen reicht die normale Authentisierung per Passwort für einen Zugang zum IT-System nicht mehr aus; eine zertifikatsbasierte Authentisierung bzw. mindestens fortgeschrittene elektronische Signatur ist erforderlich. Zur einfachen Verwaltung und zum Austausch von Zertifikaten empfiehlt diese Expertise den Aufbau einer zentralen Zertifikatsinfrastruktur. Der Einsatz derartiger Signaturen und Verschlüsselung kann am besten auf Basis von Public-Key-Infrastrukturen, PKI, mit dem Standard X.509 und hardwarebasierten Client-Zertifikaten abgesichert werden. Für die organisationsübergreifende Kommunikation zwischen den unterschiedlichen Zertifikatsinfrastrukturen der kirchlichen und diakonischen Einrichtungen, ist die European Bridge-CA des TeleTrusT Deutschland e. V. geeignet.
- Mit Hilfe so genannter „Leuchtturmprojekte“ sollten von den IT-Dienstleistern und großen IT-Verbünden ausgehend bis hin zu den kleinen IT-Verbünden und PC-Arbeitsplätzen zuerst die IT-Grundschutz-Maßnahmen umgesetzt und darauf aufbauend die Zertifikatsinfrastrukturen mit Verschlüsselungs- und Signaturverfahren erprobt und in einem Zeitraum von bis zu drei Jahren realisiert werden.
1) Zur Verbindlichkeit gehören bei der Datenübermittlung die Authentizität der Sender und Empfänger, die Integrität und Authentizität der Daten sowie die Nicht-Abstreitbarkeit der Datenübermittlung (ausgewiesen durch z. B. Signaturen, SSL-Server-Zertifikate und ggf. Zeitstempel).
Der vollständige Titel der Expertise lautet:
Expertise
Anforderungen an die
Daten- und Netzwerksicherheit
bei der Übermittlung personenbezogener Daten
und Empfehlungen zu einem IT-Sicherheitsstandard
Vorgelegt vom
Fraunhofer-Institut Sichere Informationstechnologie SIT
Dr. Angelika Lukrat und Dipl.-Geogr. Jürgen Baum
für die Evangelische Kirche in Deutschland
Kirchenamt der EKD
Koordinierungsstelle IT / Meldewesen
vom 1. September 2008
| Anhang | Größe |
|---|---|
| Fraunhofer Expertise zum kirchlichen Datenschutz | 2.28 MB |
