Sicherheit im Zuge der Digitalisierung umfasst viele Bereiche. Um z.B. zu verhindern, dass Unbefugte Zugriff auf oder Einsicht in Dateien erhalten, sollte ein kryptographisches Konzept sowohl für ein Sachverständigenbüro als auch ein großes Unternehmen erstellt werden. Die Datenverarbeitung wird z.B. von Sachverständigen in der Regel am Desktop-PC erledigt. Hier beginnt die datenschutzkonforme Arbeit bereits bei der Auswahl des PC-Systems. Die Festplatte sollte z.B. per Bitlocker, Veracrypt oder anderen Lösungen standardmäßig verschlüsselt werden. Der Login in das Betriebssystem sollte unbedingt mit einem Passwort geschützt sein, um Unbefugten bei Abwesenheit keinen Zugriff auf den Rechner zu gewähren. Firewall und Virenscanner sind natürlich Pflicht.
Sicherheit bei Heimarbeitsplätzen
Freie Mitarbeiter oder Selbstständige arbeiten oft von häuslichen Arbeitsplätzen aus. Grundvoraussetzung ist wie beim eigenen Netz die hinreichende Trennung der beruflichen von der privaten Sphäre. Räume des häuslichen Arbeitsplatzes, in denen personenbezogene und andere schutzbedürftige Daten aufbewahrt und weiterverarbeitet werden, werden dadurch zu schutzbedürftigen Räumen. Wenn unbefugte Personen diese Räume unbeaufsichtigt betreten können, ist die Sicherheit der Informationen erheblich gefährdet. Es muss daher sichergestellt werden, dass keine Datenträger offen herumliegen. Tablets oder PCs müssen bei Verlassen des Raumes gesperrt sein. Außerdem ist die Auswirkung eines Einbruchs bei häuslichen Arbeitsplätzen höher als bei institutionellen Stellen. Da vorrangig wertvolle, kleine Gegenstände gestohlen werden, können IT-Geräte des geschäftlichen Betriebs schnell entfernt werden. Es ist daher sicher zu stellen, dass neben der Verschlüsselung von Daten auf PC und externen Festplatten auch geschäftlich genutzte Tablets, sowie USB-Sticks verschlüsselt und mit einer Methode zum sicheren Entsperren (z.B. PIN/Passwort) versehen werden. Grundsätzlich empfiehlt es sich, alle nicht in Benutzung befindlichen Geräte mit Speicherfunktion in einen abschließbaren Schrank oder Container zu sichern.
Datensicherung (in der Cloud) und Datenschutz
Für ein sicheres Backup sollten mindestens drei Kopien der Daten vorhanden sein. Des Weiteren sollte die Sicherung auf zwei unterschiedlichen Medien erfolgen und einmal dabei extern gelagert werden (3-2-1 Regel, Abb. 1). Für kleine Unternehmen und Selbständige bietet es sich daher an, die Daten auf dem/den Bürorechner/n zu haben, eine Kopie auf einem NAS und einer externen Festplatte. Letztere kann mit einem Server oder NAS verbunden werden und Tages- oder Wochenbackups erstellen. Für das externe Backup bietet sich ein Cloudbackup an, wodurch auch schon das Kriterium des zweiten Mediums erfüllt wird.
Sicherheit und Übertagung beim Cloudbackup
Das Abspeichern von Daten auf dem verschlüsselten Bürorechner, auf den keine Unbefugten Zugriff haben, ist unbedenklich. Schwieriger wird es bereits, wenn die Daten auf das NAS gesichert werden sollen. Die Daten sollten dann auf dem verschlüsselt auf das Speichermedium übertragen und gespeichert werden. Dies geschieht durch Verschlüsselung mittels Verschlüsselungssoftware, wie z.B. Veracrypt oder Boxcryptor. Noch genauer muss bei der Wahl des Cloudbackups hingeschaut werden. Je nachdem, in welchem Land die Daten eines Clouddienstes gespeichert werden, ist dies rechtlich nicht immer unbedenklich. Eine Nutzung von Servern innerhalb von Deutschland ist ebenso unproblematisch wie eine grenzüberschreitende Datenverarbeitung innerhalb der EU. Wenn die Daten auf Server außerhalb der EU transferiert werden, liegt das Datenschutzniveau möglicherweise erheblich unter den europäischen Vorgaben. Wenn die EU-Kommission festgestellt hat, dass in dem entsprechenden Land ein den EU-Standards entsprechendes Datenschutzrecht herrscht, kann der Dienst genutzt werden. Die Privacy-Shield-Vereinbarung der EU hat auch für die USA festgestellt, dass ein angemessenes Datenschutzniveau herrscht. Jedoch dürfen Unternehmen nur dann personenbezogene Daten dorthin transferieren, wenn der Empfänger und der Weiterverarbeiter den Grundsätzen der Vereinbarung zugestimmt haben. Es empfiehlt sich also, den Cloudspeicheranbieter nach strengen Kriterien auszusuchen. Selbstverständlich muss zusätzlich der verschlüsselte Transfer der Daten gewährleistet sein.