Datensicherheit und Datensicherung

Datensicherheit

Bei Daten, die im Rahmen von Forschungsvorhaben erhoben werden, besteht grundsätzlich die Gefahr, dass diese von Personen eingesehen werden, die dazu nicht berechtigt sind. Insbesondere problematisch ist dies, wenn es sich dabei um personenbezogene und somit besonders sensible Daten handelt, die dem Datenschutz unterliegen.

Datensicherung

Daten, die im Rahmen von Forschungsvorhaben erhoben werden, liegen in der Regel (auch) in digitaler Form vor. Die entsprechenden Dateien sowie die dazugehörige Software und Hardware können beschädigt werden, verloren gehen und veralten.

Risiken und Gefahren des Informationsverlusts bestehen nicht nur aufgrund kriminell motivierten Datendiebstahls, sondern insbesondere auch aufgrund von

• menschlichen Fehlern wie versehentlichem Löschen oder Verschieben von Dateien und
• technischen Fehlern wie z.B. einem plötzlich aufgetretenen Schaden an der Festplatte oder einem anderen Speichermedium.

Problematisch ist mitunter auch der Zugriff auf Dateien nach mehreren Jahren. Eine Rolle spielen dabei Fragen wie: Wo liegen die Dateien? Was bedeuten bestimmte Inhalte? Wie hängen die Dateien zusammen? Wo befindet sich der Schlüssel, um die Dateien zu entschlüsseln? Wer hatte damals daran (mit-)gearbeitet? Habe ich die Softwarelizenzen noch, die nötig sind, um die Dateien zu öffnen? Welche Version ist die finale oder die für meine Fragestellung geeignete?

Aufgrund derartiger Risiken und Gefahren ist es sinnvoll, sich über Fragen der Dateisicherheit Gedanken zu machen. Die Stichpunkte im Folgenden geben Hinweise darauf, was es zu bedenken gilt.

Die physische Datensicherung

• ist erforderlich zum Schutz der Forschungsdaten vor Verlust, Manipulation und unberechtigtem Zugriff,
• dient dem Schutz vor menschlichen oder technischen Fehlern, zur Vermeidung von Datenverlust durch versehentliches Löschen oder Verschieben oder durch Hard- oder Softwarefehler,
• dient dem Schutz vor unautorisiertem Zugriff,
• besteht aus technischen und organisatorischen Maßnahmen und
• gilt als ein Baustein des Sicherheitskonzepts unter Beachtung des Datenschutzes.

Sicherheitsmaßnahmen im Überblick

• Regelmäßige Backups zum Schutz vor Dateiverlust oder Beschädigung der Datei durchführen
• Virenschutz, Firewall und ggf. Verschlüsselung zum Schutz vor unberechtigten Zugriffen anwenden
• Verhaltensregeln für Mitarbeiter zum Schutz vor menschlichem Fehlverhalten definieren und anwenden; Rechtemanagement etablieren
• Besondere Vorsichtsmaßnahmen beim Austausch von Dateien mit externen Partnern sowie bei der Speicherung von Dateien in einer Cloud oder auf mobilen Geräten treffen
• Besondere Vorsichtsmaßnahmen bei der Speicherung personenbezogener Daten treffen

Empfehlungen

Berücksichtigen Sie bei Ihren Überlegungen zur Gewährleistung der Datensicherheit und deren Umsetzung

• alle Geräte (Arbeitsplatz-PC, Laptop, USB-Stick u.a.) mit und
• alle Orte (Arbeitsplatz, Zuhause, Unterwegs) an 

denen Sie Daten nutzen!

Zum Umgang mit personenbezogenen Daten

Personenbezogene Daten sollten so schnell und umfassend wie möglich anonymisiert werden. Eigennamen von Personen und Orten sind direkt zu anonymisieren und falls nötig getrennt von den Forschungsdaten aufzubewahren. Getrennte Aufbewahrung bedeutet die Speicherung auf unterschiedlichen Rechnern bzw. Servern bzw. in verschiedenen Ordnern (mit unterschiedlichen Zugriffsrechten). Eine getrennte Aufbewahrung kann sowohl physisch als auch organisatorisch realisiert werden. Siehe auch die Hinweise zum Datenschutz und die Hinweise zur Anonymisierung quantitativer und qualitativer Daten.

Zur Einführung von Geheimhaltungsverpflichtung und Verhaltensregeln für den Umgang mit sensiblen Daten

• Verpflichten Sie Beschäftigte, die mit den Forschungsdaten arbeiten zur Geheimhaltung und auf spezielle Verhaltensregeln zum Umgang mit den Daten. Unter Umständen ist dies schon im Arbeitsvertrag geregelt.

Zur Einrichtung von Zugangs- und Zugriffsbeschränkungen bei kollaborativem Arbeiten

• Definieren Sie Gruppen von Nutzerinnen und Nutzern und räumen Sie diesen spezifische Nutzungsrechte ein (Lese- und Schreibrechte).

Für die Speicherung von Daten

• Die verwendeten Geräte sollten passwortgeschützt sein (Hinweise zu Passwörtern)
• Der Zugang zu Räumen, in denen Daten gelagert werden, sollte beschränkt sein.
• Benutzer sollten spezifische Nutzungsrechte erhalten.
• Auf den verwendeten Geräten sollten Firewalls aktiviert und Anti-Malware-Software sowie Virenschutz aktuell und funktionsfähig gehalten werden
• Es sollten regelmäßige Backups eingerichtet werden (Hinweise zu Backups)
• Besondere Vorsicht ist geboten bei der Speicherung von Forschungsdaten auf mobilen Endgeräten. Die Verlustgefahr ist hierbei durch einen tatsächlichen Verlust oder durch eine Beschädigung der Hardware hoch. Aus diesem Grund ist eine Verschlüsselung sensibler Daten erforderlich.

Für den Datenaustausch sensibler Daten mit externen Partnern über einen Cloud-Dienst oder per E-Mail

• Schützenswerte Daten sollten nur verschlüsselt in Clouds gespeichert oder per E-Mail versendet werden (Hinweise zur Verschlüsselung). Es sollten nur solche Daten unverschlüsselt in der Cloud gespeichert oder per E-Mail versendet werden, die man auch auf einer Postkarte verschicken würde!
• Beim Versand von Daten per E-Mail sollte mit Verschlüsselung gearbeitet werden. Dazu kann bspw. auf die freie Software Gpg4win     (für Windows) oder PGP     zurückgegriffen werden.
• Cloud-Dienste kommerzieller Anbieter sind kritisch zu betrachten. Nicht alle Anbieterdienste unterliegen dem Bundesdatenschutzgesetz. Hauseigene Cloud-Dienste sind allgemein zu bevorzugen.

Hinweise mit Blick auf die langfristige Verfügbarkeit von Daten

Die DFG Richtlinien "Gute wissenschaftliche Praxis  " sehen vor, dass Forschungsdaten für einen Zeitraum von zehn Jahren aufzubewahren sind. Die Sicherung digitaler Objekte für einen solchen Zeitraum ist anspruchsvoll.

Veralterung von Datenträgern / elektronischen Medien

• Achten Sie auf die Haltbarkeit und Lebensdauer der elektronischen Medien. Nutzen Sie bspw. Serverfestplatten mit längerer Lebensdauer.
• Üblicherweise sind regelmäßige Medienmigrationen erforderlich. Eingelagerte Datenträger wie Festplatten, USB-Sticks, Bänder oder DVD-Rs entmagnetisieren sich über die Zeit oder altern anderweitig. Betriebsysteme und Dateisysteme ändern sich.

Veralterung von Formaten und Software

• Nutzen Sie gängige Formate und wenn möglich offene Formate. Offene Formate sind Formate, die auf allen Betriebssystemen verwendbar sind.
• Bedenken Sie das Risiko, dass Softwareformate innerhalb weniger Jahre außer Gebrauch kommen und unzugänglich werden können.
• Ob proprietär oder nicht, berücksichtigen Sie soweit möglich Langzeitverfügbarkeit und Support jeglicher Hard- und Software, die Sie zur Speicherung von Daten und Dokumentation verwendet haben.

 

Fehlende Nachvollziehbarkeit der Daten (Metadaten)

• Neben der physischen Sicherung der Forschungsdaten ist für deren langfristige Interpretierbarkeit auch eine entsprechende Dokumentation dieser erforderlich.
• Das heißt, für jede Art von Daten sind stets auch Metadaten, die für die Verwendung der eigentlichen Daten notwendig sind, zu erfassen und aufzubewahren: Ablageort der Dateien und evtl. des Schlüssels, Struktur der Informationen, Inhalte etc. sind festzuhalten.

Weitere Informationen

Backups / Sicherheitskopien

• Überlegungen zu einer Backup-Strategie
• Wovon sollte eine Sicherheitskopie angefertigt werden? - von allen Daten, von einem Teil, nur von den Änderungen
• Wie häufig sollte eine Sicherheitskopie angefertigt werden?
• Für welchen Zeitraum sollten Sicherheitskopien aufbewahrt werden?
• Tools, mit denen ein Backup durchgeführt werden kann: bspw. SyncToy    . Eine (nicht vollständige) Zusammenstellung liefert die Übersicht zu weiteren kostenfreien Programme auf computerbild.de    .
• In der Regel sind Backups Bestandteil der Dienstleistung der hauseigenen IT.

Passwörter

• Passwörter sollten zwischen 8 und 15 Zeichen lang und Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen enthalten. (Beliebteste (und dennoch wenig geeignete) Passwörter international sind: password, 123456, qwerty)
• Tipps für Passwörter:
• Nutzen Sie z.B. die Anfangsbuchstaben der Wörter eines Satzes (sog. Passphrasen). Beispiel für eine Passphrase: Ich gehe 3x wöchentlich zum Italiener Essen holen!      Ig3wzIEh!
• Ersetzen von Buchstaben durch Zeichen nach einem bestimmten System (z.B. a=4, x=%, i=!, l=1 etc.) und machen Sie eine Regel, welche Buchstaben groß geschrieben werden sollen (z.B. der jeweils Zweite im Wort)      m4%!MI1!An
• Alternativ zur individuellen Passwortgestaltung können auch Tools zur Generierung von Passwörtern mit Tipps zum Merken benutzt werden: Strongpass Word Generator     oder GRC`s Ultra High Security Password Generator    .
• Hilfestellung zum Passwortmerken: Es gibt Passwortmanager, z.B. KeePass    , die bei der Verwaltung vieler Passwörter helfen.

Verschlüsselung

• Merksatz: „Verschlüsseln Sie alles, das Sie nicht unbedenklich auf einer Postkarte versenden würden.“ (GESIS    )
• Möglichkeiten der Verschlüsselung:
• Erstellung passwortgeschützter Zip-Dateien bspw. mit 7-Zip oder Winzip (weitere Informationen    ).
• Erstellung verschlüsselter Verzeichnisse, bspw. mit BitLocker    , boxcryptor    , SafeHouse, AxCrypt     (plattformübergreifend), Gpg4win    .
• Nutzung von externen Online-Speicher-Anbietern wie Teamdrive    , welche die Daten vor einer Übertragung in die Cloud verschlüsseln und ein deutsches Datenschutzgütesiegel     tragen.
• Nutzung von Chat- und Videotelefonie-Software wie Jitsi     oder Gajim    , welche die Kommunikation anhand anerkannt sicherer Standards durchgängig verschlüsseln.
• Verschlüsselung erfordert immer auch ein Schlüsselmanagement. Ansonsten besteht die Gefahr des Schlüsselverlusts!

 

(Quelle: Empfehlungen der Uni Bielefeld, vom 23.10.2013)

Überblick über Cloud-Dienste

•    Über die Sicherheit von Cloud-Speicherdiensten    

 

(Fraunhofer Institute for Secure Information Technology, Zugriff am 17.11.2014)

Sicheres Löschen von Daten im Sinne von "Vernichten"

• Einfaches Löschen bzw. Verschieben in den Papierkorb reicht zur Vernichtung von Daten nicht aus. Für sensible Daten kann es allerdings erforderlich sein, diese zu vernichten.
• Sicheres Löschen bzw. Vernichten erfordert, dass die Dateien überschrieben werden. Hierfür gibt es Tools, z.B. BCWipe    
• Alternativ kommt ein tatsächliches Zerstören     der Festplatte in Betracht

Neben der physischen Sicherung der Forschungsdaten ist für deren langfristige Interpretierbarkeit auch eine entsprechende Dokumentation dieser erforderlich.