You are currently viewing So prüfen Sie die Belastbarkeit von IT-Systemen

So prüfen Sie die Belastbarkeit von IT-Systemen

Eine neue Forderung der Datenschutz-Grundverordnung (DSGVO) an die Sicherheit der Verarbeitung ist die Belastbarkeit oder Resilienz. Doch wie lässt sich die Belastbarkeit gewährleisten, wie lässt sie sich prüfen? Hier helfen Tools.

Die Datenschutz-Grundverordnung (DSGVO) fordert für die „Sicherheit der Verarbeitung“ (Artikel 32 DSGVO) zum einen bekannte Schutzmaßnahmen wie die Verschlüsselung. Aber sie fordert auch neue Themen wie die Belastbarkeit der Systeme und Dienste, die der Verantwortliche sicherzustellen hat.

„Belastbarkeit von Systemen und Diensten“ gehört nicht nur zur IT-Sicherheit, sie gehört auch zum Datenschutz. Es geht um einen speziellen Aspekt der Verfügbarkeit von personenbezogenen Daten. Ihn betont die DSGVO ausdrücklich.

Belastbarkeit bedeutet in diesem Zusammenhang die Widerstandsfähigkeit der IT im Fehlerfall, bei Störungen, bei hoher Beanspruchung.

Ein Beispiel, in dem Angriffe die Belastbarkeit eines IT-Systems auf eine harte Probe stellen, sind DoS-Attacken oder DDoS-Attacken (Denial-of-Service- oder Distributed-Denial-of-Service-Attacken). Hier belasten Angreifer etwa Webserver mit Anfragen so, dass sie überfordert sind und den Dienst einstellen, wenn der Angriff Erfolg hat. Die Website, die dieser Webserver veröffentlicht, geht dann offline.

Die Überlastung des Webservers macht es schwierig bis unmöglich, auf die Daten, die der Server verwaltet, zuzugreifen. Mangelnde Belastbarkeit der IT wirkt sich so auf die Verfügbarkeit der Daten aus.

Welche Schritte gehören zur Belastbarkeit?

Die Belastbarkeit (auch als Resilienz bezeichnet) wird in der DSGVO neu genannt. Das alte Bundesdatenschutzgesetz kannte den Begriff nicht. Für Verantwortliche gilt es, die Belastbarkeit der Systeme und Dienste, die in Zusammenhang mit der Verarbeitung stehen, zu gewährleisten. Nähere Angaben, welche Maßnahmen zur Belastbarkeit positiv beitragen, nennt die DSGVO nicht, wie auch die Aufsichtsbehörden für den Datenschutz betonen.

Aufsichtsbehörden beschreiben Belastbarkeit als „eine gewisse Stabilität gegenüber Ausfällen oder Angriffen – wie etwa Denial of Service-Angriffen“. Die Abgrenzung zur Verfügbarkeit sei jedoch nicht eindeutig.

Im Standard-Datenschutzmodell (SDM) findet man dazu bisher diese Aussage: Unter der Anforderung der „Belastbarkeit“ versteht das SDM unter Berücksichtigung des noch unsicheren Interpretations-Spielraums die Wahrung der Gewährleistungsziele unter Belastung.

Was versteht das SDM unter Gewährleistungszielen? Hier müssen Verantwortliche zum Beispiel die Vertraulichkeit, Verfügbarkeit und Integrität der personenbezogenen Daten auch unter Belastung gewährleisten.

Wie lässt sich die Belastbarkeit prüfen?

Wie lässt sich die Grenze der Belastbarkeit eines IT-Systems kontrollieren? Nur wer in der Lage ist, die neu geforderte Belastbarkeit nachweislich zu überprüfen, stellt sicher, dass er die Sicherheit der Verarbeitung im Sinne der DSGVO im Blick hat.

Eine Kontrolle der Belastbarkeit darf zum einen nicht dazu führen, dass die produktiven IT-Systeme wirklich zum Stillstand kommen. Zum anderen sind die Kontrollverfahren davon abhängig, um welche IT-Systeme es geht, welche Systeme und Dienste also personenbezogene Daten verarbeiten.

Ein guter Startpunkt der Kontrolle ist deshalb das Verzeichnis von Verarbeitungstätigkeiten.

Tools zur Kontrolle der Belastbarkeit

Für die Prüfung selbst ist es sinnvoll, passende Werkzeuge oder Tools zu nutzen. Als Beispiel sei hier die Kontrolle von Cloud-Diensten dargestellt. Denn die Cloud als Form der externen IT-Nutzung ist eine besondere Herausforderung. Die Datensicherheit zu prüfen, ist aber erforderlich, um sich für einen Cloud-Anbieter entscheiden zu können (und zu dürfen)!

Einige Cloud-Anbieter haben eigene Tools für einen Performance-Test unter Belastung. Diese Tools sind sinnvoll, wenn man sicher sein kann, dass sich damit unabhängige Tests durchführen lassen.

Sofern externe Dienste oder Tools genutzt werden, sollte dies mit dem Cloud-Anbieter abgestimmt werden. Andernfalls könnte die Belastungsprobe für den Dienstanbieter wie eine externe Attacke wirken. Große Anbieter wie z.B. Microsoft beschreiben, worauf es bei einem Belastungstest ankommt.

Den Test sollte die interne IT-Abteilung, der eigene IT-Dienstleister oder der Test-Service-Provider als Dritter durchführen.

Quelle: WEKA Media, Kissing

Link: https://www.datenschutz-praxis.de/fachartikel/belastbarkeit-von-it-systemen-pruefen/

26.03.2019