Wir sind in einer kleinen Fallstudie zum Datenschutz. Es geht in dieser Fallstudie im weitesten Sinne um Management by Objectives, Führen durch Zielvereinbarung, und es geht darum, die Zielerreichung der Mitarbeiter in einem Datenerfassungssystem oder Datenverarbeitungssystem zu erfassen und zugänglich zu machen, nicht allen, aber bestimmten Menschen zugänglich zu machen und das ist so eine Art Cloud Computing oder Intranet, wie auch immer könnte dieses System hier sein, und da haben dann bestimmte Menschen Zugriff auf diese Informationen, und im ersten Teil haben wir schon behandelt, welche Gesetze hier relevant sind.
Sicherheitsvorkehrungen
Jetzt ist die Frage: Welche Sicherheitsvorkehrungen?
Am besten hilft hier auch wieder eine bildhafte Vorstellung. Wenn wir uns also vorstellen, wir haben hier einen Raum. Dieser Raum hat eine Türe, ja, hier das Scharnier der Türe. In diesem Raum steht ein Schreibtisch, auf diesem Schreibtisch steht ein Computer. So, dann können wir daraus, allein aus dieser räumlichen Vorstellung, von mir zeichnerisch hier etwas diletantisch umgesetzt, aber ich habe nie behauptet, ein großer Zeichner zu sein.
• Dann können wir zunächst mal hier an dieser Stelle, wo man in den Raum reingeht, Zutrittskontrollen. Dass zunächst einmal nicht alle an diese Rechenanlage überhaupt herankommen. Wie kann man das machen? Nun, das kann man mit Chipkarten machen, das kann man mit biometrischen Erfassungssystemen machen, das ist ja das, was irgendwann kommen wird, dass man also gewisse körperliche Merkmale erfasst wie Fingerabdrücke oder die Augeniris, was immer, da ist ja einiges in der Entwicklung – egal. Oder Schlüssel vergibt. Auf jeden Fall Zutrittskontrollen, Schlüssel oder bestimmte Chipkarten, die man durchziehen muss,
• So. Dann: Wenn wir jetzt hier zunächst den Rechner einschalten und uns einloggen wäre das nächste die Zugangskontrolle. Zugangskontrollen, das sind vor allem Passwords, Passwörter auf Deutsch. Passwörter. Und das kennen Sie alle, das brauche ich nicht zu erklären.
• Dann: Zugriffskontrollen. Jetzt sind wir im Computer drin, jetzt ist die Frage: Welche Dateien, auf welche Dateien darf ich jetzt zugreifen? Ich bin im Computer drin, das ist Zugang, jetzt kommt die Zugriffskontrolle. Hier muss man also genau schauen, welche Dateien freigeschaltet werden für wen. Wir wollen Management by Objectives. Also sinnvoll ist, dass der Mitarbeiter Zugriff hat und der Vorgesetzte. Darf auch ein anderer Vorgesetzter zugreifen auf den Zielerreichungsgrad eines Mitarbeiters, der nicht sein Mitarbeiter ist? Nur ein Mitarbeiter des gleichen Unternehmens? Das muss man im Einzelfall hier genau klären. Ja, also welche Dateien, das ist die Zugriffskontrolle.
• So. Dann: Wenn jetzt der Mitarbeiter oder der Vorgesetzte etwas eingibt, dann eine Eingabekontrolle. Ja, das kann man nämlich auch durch Systeme registrieren lassen, dass derjenige sich authentifiziert und man nachher sagen kann: „Du hast das und das in das System dann und dann eingegeben“. Und wenn dann sichergestellt ist, dass es wirklich derjenige war, dann war es auch derjenige. Das ist ja nie hundertprozentig sicher, es kann ja auch jemand sein, der die Chipkarte entwendet hat und diese ganzen Kontrollen hier passiert hat, aber wenn diese Kontrollen vorher da waren, dann können wir sicher sagen, es war derjenige welcher. Also Eingabekontrolle – „Von wem?“, ist hier die Frage. Ja, Zugriffskontrolle ist die Frage der Dateien, welche. Ich hatte es oben schon notiert.
• So. Dann: Entnahmekontrolle. Sie können heute die relevanten Daten einer Firma auf einem USB-Stick raustragen. In vielen Fällen geht das, weil diese kleinen, kleinen Sticks inzwischen diese Kapazitäten haben, und das geht. Ich will nicht immer sagen „Alles“, aber doch sehr viel und vor allem Entscheidendes kann man heute auf einem USB-Stick aus der Firma tragen. Das geht. Deswegen muss man schauen, wer Daten überspielt und auf diese Art und Weise entnimmt.
Das könnte man jetzt noch hier weiterspinnen. Weitergabekontrolle und so weiter...
Shop: https://www.spassslerndenk-shop.de/
Dr. Marius Ebert, Deutschlands Schnell-Lernexperte, Impressum: Hauptstraße 127, 69117 Heidelberg (Büroadresse)