Daten sichern

Daten, die im Rahmen von Forschungsvorhaben erhoben werden, liegen in der Regel (auch) in digitaler Form vor. Die entsprechenden Dateien sowie die dazugehörige Software und Hardware können beschädigt werden, verloren gehen und veralten.

Risiken und Gefahren des Informationsverlusts bestehen nicht nur aufgrund kriminell motivierten Datendiebstahls, sondern insbesondere auch aufgrund von menschlichen Fehlern wie versehentlichem Löschen oder Verschieben von Dateien und technischen Fehlern wie z. B. einem plötzlich aufgetretenen Schaden an der Festplatte oder einem anderen Speichermedium.

Bei Daten, die im Rahmen von Forschungsvorhaben erhoben werden, besteht zudem die Gefahr, dass diese von Personen eingesehen werden, die dazu nicht berechtigt sind. Insbesondere problematisch ist dies, wenn es sich dabei um personenbezogene und somit besonders sensible Daten handelt, die dem  Datenschutz unterliegen.

Kritisch ist mitunter auch der Zugriff auf Dateien nach mehreren Jahren. Eine Rolle spielen dabei Fragen wie: Wo liegen die Dateien? Was bedeuten bestimmte Inhalte? Wie hängen die Dateien zusammen? Wo befindet sich der Schlüssel, um die Dateien zu entschlüsseln? Wer hatte damals daran (mit-)gearbeitet? Habe ich die Softwarelizenzen noch, die nötig sind, um die Dateien zu öffnen?

Aufgrund derartiger Risiken und Gefahren ist es sinnvoll, sich über Fragen der Datensicherheit und Datensicherung Gedanken zu machen. Die Stichpunkte im Folgenden geben Hinweise darauf, was es zu bedenken gilt.

Die physische Datensicherung

• ist erforderlich zum Schutz der Forschungsdaten vor Verlust, Manipulation und unberechtigtem Zugriff,
• dient dem Schutz vor menschlichen oder technischen Fehlern, zur Vermeidung von Datenverlust durch versehentliches Löschen oder Verschieben oder durch Hard- oder Softwarefehler,
• dient dem Schutz vor unautorisiertem Zugriff,
• besteht aus technischen und organisatorischen Maßnahmen und
• gilt als ein Baustein des Sicherheitskonzepts unter Beachtung des Datenschutzes.

Sicherheitsmaßnahmen im Überblick

• Regelmäßige Backups zum Schutz vor Dateiverlust oder Beschädigung der Datei durchführen
• Virenschutz, Firewall und ggf. Verschlüsselung zum Schutz vor unberechtigten Zugriffen anwenden
• Verhaltensregeln für Mitarbeiter zum Schutz vor menschlichem Fehlverhalten definieren und anwenden; Rechtemanagement etablieren
• Besondere Vorsichtsmaßnahmen beim Austausch von Dateien mit externen Partnern sowie bei der Speicherung von Dateien in einer Cloud oder auf mobilen Geräten treffen
• Besondere Vorsichtsmaßnahmen bei der Speicherung personenbezogener Daten treffen

Empfehlungen und Hinweise

Geräte und Orte

Berücksichtigen Sie bei Ihren Überlegungen zur Gewährleistung der Datensicherheit und deren Umsetzung

• alle Geräte (Arbeitsplatz-PC, Laptop, USB-Stick u.a.) mit und
• alle Orte (Arbeitsplatz, Zuhause, Unterwegs) an 

denen Sie Daten nutzen!

Bei der Verwendung von Clouds:

Cloud-Dienste kommerzieller Anbieter sind kritisch zu betrachten. Nicht alle Anbieterdienste unterliegen dem Bundesdatenschutzgesetz. Hauseigene Cloud-Dienste sind allgemein zu bevorzugen.

 weitere Infos zur Sicherheit von Cloud-Speicherdiensten (Fraunhofer Institute for Secure Information Technology, Zugriff am 23.05.2022)
 weitere Infos zu Risiken und Sicherheitstipps (Bundesamt für Sicherheit in der Informationstechnik, Zugriff am 23.05.2022)

Bei mobilen Endgeräten:

Besondere Vorsicht ist geboten bei der Speicherung von Forschungsdaten auf mobilen Endgeräten. Die Verlustgefahr ist hierbei durch einen tatsächlichen Verlust oder durch eine Beschädigung der Hardware hoch. Aus diesem Grund ist eine Verschlüsselung sensibler Daten erforderlich.

Umgang mit personenbezogenen Daten

Personenbezogene Daten sollten so schnell und umfassend wie möglich anonymisiert werden. Eigennamen von Personen und Orten sind direkt zu anonymisieren und falls nötig getrennt von den Forschungsdaten aufzubewahren. Getrennte Aufbewahrung bedeutet die Speicherung auf unterschiedlichen Rechnern bzw. Servern bzw. in verschiedenen Ordnern (mit unterschiedlichen Zugriffsrechten). Eine getrennte Aufbewahrung kann sowohl physisch als auch organisatorisch realisiert werden. Siehe auch die  Datenschutzrechtliche Aspekte und die Hinweise zur  Anonymisierung und Pseudonymisierung.

Zugang und Zugriff

Bei der Arbeit mit Daten sollten den Nutzer*innen je spezifische Nutzungsrechte eingeräumt werden (z.B. Lese- und Schreibrechte oder nur Leserechte). Der Zugang zu Räumen, in denen Daten gelagert werden, sollte beschränkt sein.

Verpflichten Sie Beschäftigte, die mit den Forschungsdaten arbeiten zur Geheimhaltung und auf spezielle Verhaltensregeln zum Umgang mit den Daten. Unter Umständen ist dies schon im Arbeitsvertrag geregelt.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat dazu Empfehlungen für ein  Identitäts- und Berechtigungsmanagement definiert.

Langfristige Verfügbarkeit

Die DFG Richtlinien  Gute wissenschaftliche Praxis sehen vor, dass Forschungsdaten für einen Zeitraum von zehn Jahren aufzubewahren sind. Die Sicherung digitaler Objekte für einen solchen Zeitraum ist anspruchsvoll.

Veralterung von Datenträgern / elektronischen Medien

• Achten Sie auf die Haltbarkeit und Lebensdauer der elektronischen Medien. Nutzen Sie bspw. Serverfestplatten mit längerer Lebensdauer.
• Üblicherweise sind regelmäßige Medienmigrationen erforderlich. Eingelagerte Datenträger wie Festplatten, USB-Sticks, Bänder oder DVD-Rs entmagnetisieren sich über die Zeit oder altern anderweitig. Betriebsysteme und Dateisysteme ändern sich.

Veralterung von Formaten und Software

• Nutzen Sie gängige Formate und wenn möglich offene Formate. Offene Formate sind Formate, die auf allen Betriebssystemen verwendbar sind.
• Bedenken Sie das Risiko, dass Softwareformate innerhalb weniger Jahre außer Gebrauch kommen und unzugänglich werden können.
• Ob proprietär oder nicht, berücksichtigen Sie soweit möglich Langzeitverfügbarkeit und Support jeglicher Hard- und Software, die Sie zur Speicherung von Daten und Dokumentation verwendet haben.

Fehlende Nachvollziehbarkeit der Daten (Metadaten)

• Neben der physischen Sicherung der Forschungsdaten ist für deren langfristige Interpretierbarkeit auch eine entsprechende Dokumentation dieser erforderlich.
• Das heißt, für jede Art von Daten sind stets auch Metadaten, die für die Verwendung der eigentlichen Daten notwendig sind, zu erfassen und aufzubewahren: Ablageort der Dateien und evtl. des Schlüssels, Struktur der Informationen, Inhalte etc. sind festzuhalten.

Löschung

Einfaches Löschen bzw. Verschieben in den Papierkorb reicht zur Vernichtung von Daten nicht aus. Für sensible Daten kann es allerdings erforderlich sein, diese zu vernichten.

Sicheres Löschen bzw. Vernichten erfordert, dass die Dateien überschrieben werden. Hierfür gibt es Tools, wie z. B.  BCWipe.

Alternativ kommt ein tatsächliches  Zerstören der Festplatte in Betracht

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt, wie  Daten auf Fesplatten und Smartphones endgültig gelöscht werden können.

Backups / Sicherheitskopien

Überlegungen zu einer Backup-Strategie:

• Wovon sollte eine Sicherheitskopie angefertigt werden? - von allen Daten, von einem Teil, nur von den Änderungen
• Wie häufig sollte eine Sicherheitskopie angefertigt werden?
• Für welchen Zeitraum sollten Sicherheitskopien aufbewahrt werden?

Tools, mit denen ein Backup durchgeführt werden kann, ist z. B.  SyncToy. Eine (nicht vollständige) Zusammenstellung liefert die Übersicht zu weiteren kostenfreien Programme auf  computerbild.de.

In der Regel sind Backups Bestandteil der Dienstleistung der hauseigenen IT.

Passwörter

Ein Passwortschutz für Geräte ist wichtig. Passwörter sollten zwischen 8 und 15 Zeichen lang und Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen enthalten. Beliebte (und dennoch wenig geeignete) Passwörter sind: password, 123456, qwerty.

Tipps zur Erstellung von Passwörtern:

• Nutzen Sie z.B. die Anfangsbuchstaben der Wörter eines Satzes (sog. Passphrasen). Beispiel für eine Passphrase: Ich gehe 3x wöchentlich zum Italiener Essen holen!      Ig3wzIEh!
• Ersetzen von Buchstaben durch Zeichen nach einem bestimmten System (z.B. a=4, x=%, i=!, l=1 etc.) und machen Sie eine Regel, welche Buchstaben groß geschrieben werden sollen (z.B. der jeweils Zweite im Wort)      m4%!MI1!An

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat  Hinweise zur Erstellung von Passwörtern und  Hinweise zum sicheren Umgang mit Passwörtern zusammengestellt

Alternativ zur individuellen Passwortgestaltung können auch Tools zur Generierung von Passwörtern mit Tipps zum Merken benutzt werden:  Strongpass Word Generator oder  GRC`s Ultra High Security Password Generator.

Zudem gibt es Passwortmanager, wie z. B.  KeePass, die bei der Verwaltung vieler Passwörter helfen. Das BSI hat einen  Überblick zu Passwortmanagern mit Vor- und Nachteilen erstellt.

Verschlüsselung

Merksatz: Verschlüsseln Sie alles, das Sie nicht unbedenklich auf einer Postkarte versenden würden. Das heißt, beim Versand sensibler, schützenswerter Daten per E-Mail oder der Speicherung in einer Cloud sollte mit Verschlüsselung gearbeitet werden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat verschiedene Empfehlungen zur Verschlüsselung zusammengestellt:

• Datenverschlüsselung
• Verschlüsselung mit Hard- und Software
• Verschlüsselung im Betriebssystem
• Verschlüsselung auf mobilen Geräten
• Verschlüsselt kommunizieren im Internet

Weitere Hinweise zur Verschlüsselung:

• Erstellung passwortgeschützter Zip-Dateien bspw. mit 7-Zip oder Winzip (   weitere Informationen).
• Erstellung verschlüsselter Verzeichnisse, bspw. mit    BitLocker,    boxcryptor, SafeHouse,    AxCrypt (plattformübergreifend),    Gpg4win,    PGP.
• Nutzung von externen Online-Speicher-Anbietern wie    Teamdrive, welche die Daten vor einer Übertragung in die Cloud verschlüsseln und ein deutsches    Datenschutzgütesiegel tragen.
• Nutzung von Chat- und Videotelefonie-Software wie    Jitsi oder    Gajim, welche die Kommunikation anhand anerkannt sicherer Standards durchgängig verschlüsseln.

Verschlüsselung erfordert immer auch ein Schlüsselmanagement. Ansonsten besteht die Gefahr des Schlüsselverlusts!