Datensicherheit und Datensicherung

Daten, die im Rahmen von Forschungsvorhaben erhoben werden, liegen in der Regel (auch) in digitaler Form vor. Die entsprechenden Dateien sowie die dazugehörige Software und Hardware können beschädigt werden, verloren gehen und veralten.

Risiken und Gefahren des Informationsverlusts bestehen nicht nur aufgrund kriminell motivierten Datendiebstahls, sondern insbesondere auch aufgrund von

• menschlichen Fehlern wie versehentlichem Löschen oder Verschieben von Dateien und
• technischen Fehlern wie z.B. einem plötzlich aufgetretenen Schaden an der Festplatte oder einem anderen Speichermedium.

Bei Daten, die im Rahmen von Forschungsvorhaben erhoben werden, besteht zudem die Gefahr, dass diese von Personen eingesehen werden, die dazu nicht berechtigt sind. Insbesondere problematisch ist dies, wenn es sich dabei um personenbezogene und somit besonders sensible Daten handelt, die dem Datenschutz unterliegen.

Problematisch ist mitunter auch der Zugriff auf Dateien nach mehreren Jahren. Eine Rolle spielen dabei Fragen wie: Wo liegen die Dateien? Was bedeuten bestimmte Inhalte? Wie hängen die Dateien zusammen? Wo befindet sich der Schlüssel, um die Dateien zu entschlüsseln? Wer hatte damals daran (mit-)gearbeitet? Habe ich die Softwarelizenzen noch, die nötig sind, um die Dateien zu öffnen? Welche Version ist die finale oder die für meine Fragestellung geeignete?

Aufgrund derartiger Risiken und Gefahren ist es sinnvoll, sich über Fragen der Datensicherheit und Datensicherung Gedanken zu machen. Die Stichpunkte im Folgenden geben Hinweise darauf, was es zu bedenken gilt.

Die physische Datensicherung

• ist erforderlich zum Schutz der Forschungsdaten vor Verlust, Manipulation und unberechtigtem Zugriff,
• dient dem Schutz vor menschlichen oder technischen Fehlern, zur Vermeidung von Datenverlust durch versehentliches Löschen oder Verschieben oder durch Hard- oder Softwarefehler,
• dient dem Schutz vor unautorisiertem Zugriff,
• besteht aus technischen und organisatorischen Maßnahmen und
• gilt als ein Baustein des Sicherheitskonzepts unter Beachtung des Datenschutzes.

Sicherheitsmaßnahmen im Überblick

• Regelmäßige Backups zum Schutz vor Dateiverlust oder Beschädigung der Datei durchführen
• Virenschutz, Firewall und ggf. Verschlüsselung zum Schutz vor unberechtigten Zugriffen anwenden
• Verhaltensregeln für Mitarbeiter zum Schutz vor menschlichem Fehlverhalten definieren und anwenden; Rechtemanagement etablieren
• Besondere Vorsichtsmaßnahmen beim Austausch von Dateien mit externen Partnern sowie bei der Speicherung von Dateien in einer Cloud oder auf mobilen Geräten treffen
• Besondere Vorsichtsmaßnahmen bei der Speicherung personenbezogener Daten treffen

Empfehlungen

1. Alle Geräte und Orte mit bedenken

Berücksichtigen Sie bei Ihren Überlegungen zur Gewährleistung der Datensicherheit und deren Umsetzung

• alle Geräte (Arbeitsplatz-PC, Laptop, USB-Stick u.a.) mit und
• alle Orte (Arbeitsplatz, Zuhause, Unterwegs) an 

denen Sie Daten nutzen!

2. Besondere Vorsicht beim Umgang mit personenbezogenen Daten

Personenbezogene Daten sollten so schnell und umfassend wie möglich anonymisiert werden. Eigennamen von Personen und Orten sind direkt zu anonymisieren und falls nötig getrennt von den Forschungsdaten aufzubewahren. Getrennte Aufbewahrung bedeutet die Speicherung auf unterschiedlichen Rechnern bzw. Servern bzw. in verschiedenen Ordnern (mit unterschiedlichen Zugriffsrechten). Eine getrennte Aufbewahrung kann sowohl physisch als auch organisatorisch realisiert werden. Siehe auch die  Hinweise zum Datenschutz und die Hinweise zur  Anonymisierung quantitativer und qualitativer Daten.

3. Geheimhaltungsverpflichtung und Verhaltensregeln für den Umgang mit sensiblen Daten einführen

• Verpflichten Sie Beschäftigte, die mit den Forschungsdaten arbeiten zur Geheimhaltung und auf spezielle Verhaltensregeln zum Umgang mit den Daten. Unter Umständen ist dies schon im Arbeitsvertrag geregelt.

4. Zugangs- und Zugriffsbeschränkungen bei kollaborativem Arbeiten einrichten

• Definieren Sie Gruppen von Nutzerinnen und Nutzern und räumen Sie diesen spezifische Nutzungsrechte ein (Lese- und Schreibrechte).

5. Daten sicher speichern

• Die verwendeten Geräte sollten passwortgeschützt sein (   Hinweise zu Passwörtern)
• Der Zugang zu Räumen, in denen Daten gelagert werden, sollte beschränkt sein.
• Benutzer sollten spezifische Nutzungsrechte erhalten.
• Auf den verwendeten Geräten sollten Firewalls aktiviert und Anti-Malware-Software sowie Virenschutz aktuell und funktionsfähig gehalten werden
• Es sollten regelmäßige Backups eingerichtet werden (   Hinweise zu Backups)
• Besondere Vorsicht ist geboten bei der Speicherung von Forschungsdaten auf mobilen Endgeräten. Die Verlustgefahr ist hierbei durch einen tatsächlichen Verlust oder durch eine Beschädigung der Hardware hoch. Aus diesem Grund ist eine Verschlüsselung sensibler Daten erforderlich.
• Bei der Verwendung von Clouds: Cloud-Dienste kommerzieller Anbieter sind kritisch zu betrachten. Nicht alle Anbieterdienste unterliegen dem Bundesdatenschutzgesetz. Hauseigene Cloud-Dienste sind allgemein zu bevorzugen. Weitere Infos zur    Sicherheit von Cloud-Speicherdiensten (Fraunhofer Institute for Secure Information Technology, Zugriff am 17.11.2014).

6. Hinweise mit Blick auf die langfristige Verfügbarkeit von Daten

Die DFG Richtlinien  Gute wissenschaftliche Praxis sehen vor, dass Forschungsdaten für einen Zeitraum von zehn Jahren aufzubewahren sind. Die Sicherung digitaler Objekte für einen solchen Zeitraum ist anspruchsvoll.

Veralterung von Datenträgern / elektronischen Medien

• Achten Sie auf die Haltbarkeit und Lebensdauer der elektronischen Medien. Nutzen Sie bspw. Serverfestplatten mit längerer Lebensdauer.
• Üblicherweise sind regelmäßige Medienmigrationen erforderlich. Eingelagerte Datenträger wie Festplatten, USB-Sticks, Bänder oder DVD-Rs entmagnetisieren sich über die Zeit oder altern anderweitig. Betriebsysteme und Dateisysteme ändern sich.

Veralterung von Formaten und Software

• Nutzen Sie gängige Formate und wenn möglich offene Formate. Offene Formate sind Formate, die auf allen Betriebssystemen verwendbar sind.
• Bedenken Sie das Risiko, dass Softwareformate innerhalb weniger Jahre außer Gebrauch kommen und unzugänglich werden können.
• Ob proprietär oder nicht, berücksichtigen Sie soweit möglich Langzeitverfügbarkeit und Support jeglicher Hard- und Software, die Sie zur Speicherung von Daten und Dokumentation verwendet haben.

Fehlende Nachvollziehbarkeit der Daten (Metadaten)

• Neben der physischen Sicherung der Forschungsdaten ist für deren langfristige Interpretierbarkeit auch eine entsprechende Dokumentation dieser erforderlich.
• Das heißt, für jede Art von Daten sind stets auch Metadaten, die für die Verwendung der eigentlichen Daten notwendig sind, zu erfassen und aufzubewahren: Ablageort der Dateien und evtl. des Schlüssels, Struktur der Informationen, Inhalte etc. sind festzuhalten.

7. Löschen nicht vergessen

• Einfaches Löschen bzw. Verschieben in den Papierkorb reicht zur Vernichtung von Daten nicht aus. Für sensible Daten kann es allerdings erforderlich sein, diese zu vernichten.
• Sicheres Löschen bzw. Vernichten erfordert, dass die Dateien überschrieben werden. Hierfür gibt es Tools, z. B.    BCWipe
• Alternativ kommt ein tatsächliches    Zerstören der Festplatte in Betracht
• Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt, wie    Daten auf Fesplatten und Smartphones endgültig gelöscht werden können.

8. Backups / Sicherheitskopien

• Überlegungen zu einer Backup-Strategie
• Wovon sollte eine Sicherheitskopie angefertigt werden? - von allen Daten, von einem Teil, nur von den Änderungen
• Wie häufig sollte eine Sicherheitskopie angefertigt werden?
• Für welchen Zeitraum sollten Sicherheitskopien aufbewahrt werden?
• Tools, mit denen ein Backup durchgeführt werden kann: bspw.    SyncToy. Eine (nicht vollständige) Zusammenstellung liefert die Übersicht zu weiteren kostenfreien Programme auf    computerbild.de.
• In der Regel sind Backups Bestandteil der Dienstleistung der hauseigenen IT.

9. Passwörter

• Passwörter sollten zwischen 8 und 15 Zeichen lang und Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen enthalten. (Beliebteste (und dennoch wenig geeignete) Passwörter international sind: password, 123456, qwerty)
• Tipps für Passwörter:
• Nutzen Sie z.B. die Anfangsbuchstaben der Wörter eines Satzes (sog. Passphrasen). Beispiel für eine Passphrase: Ich gehe 3x wöchentlich zum Italiener Essen holen!      Ig3wzIEh!
• Ersetzen von Buchstaben durch Zeichen nach einem bestimmten System (z.B. a=4, x=%, i=!, l=1 etc.) und machen Sie eine Regel, welche Buchstaben groß geschrieben werden sollen (z.B. der jeweils Zweite im Wort)      m4%!MI1!An
• Alternativ zur individuellen Passwortgestaltung können auch Tools zur Generierung von Passwörtern mit Tipps zum Merken benutzt werden:    Strongpass Word Generator oder    GRC`s Ultra High Security Password Generator.
• Hilfestellung zum Passwortmerken: Es gibt Passwortmanager, z. B.    KeePass, die bei der Verwaltung vieler Passwörter helfen.

10. Verschlüsselung

• Merksatz: Verschlüsseln Sie alles, das Sie nicht unbedenklich auf einer Postkarte versenden würden.
• Das heißt, beim Versand sensibler, schützenswerter Daten per E-Mail oder der Speicherung in einer Cloud sollte mit Verschlüsselung gearbeitet werden.
• Möglichkeiten der Verschlüsselung:
• Erstellung passwortgeschützter Zip-Dateien bspw. mit 7-Zip oder Winzip (   weitere Informationen).
• Erstellung verschlüsselter Verzeichnisse, bspw. mit    BitLocker,    boxcryptor, SafeHouse,    AxCrypt (plattformübergreifend),    Gpg4win,    PGP.
• Nutzung von externen Online-Speicher-Anbietern wie    Teamdrive, welche die Daten vor einer Übertragung in die Cloud verschlüsseln und ein deutsches    Datenschutzgütesiegel tragen.
• Nutzung von Chat- und Videotelefonie-Software wie    Jitsi oder    Gajim, welche die Kommunikation anhand anerkannt sicherer Standards durchgängig verschlüsseln.
• Verschlüsselung erfordert immer auch ein Schlüsselmanagement. Ansonsten besteht die Gefahr des Schlüsselverlusts!