Informationssicherheit bei der Datenweitergabe

Zusammenfassung

Überblick

Um die Informationssicherheit zu gewährleisten, sind Integrität, Verfügbarkeit und Vertraulichkeit zu gewährleisten. Gerade bei der Weitergabe von personenbezogenen Daten kann es passieren, dass Daten unbefugt gelesen, kopiert, verändert oder entfernt werden. Da die Daten immer öfter auf elektronischem Wege weitergegeben werden – meistens per Mail oder als Anhang zu einer Mail –, sind geeignete Maßnahmen zu ergreifen, damit die Daten und die Anhänge ohne unbefugtes Lesen, Kopieren, Verändern oder Entfernen zum Empfänger gelangen.

1 Ziel der Sicherungsmaßnahmen

Bevor die geeigneten Maßnahmen für den jeweiligen Schutzbedarf ergriffen werden, sollte analysiert werden, wie groß dieser Schutzbedarf tatsächlich ist. Wenn die zu übermittelnden Daten keinen extrem hohen Schutzbedarf haben, reichen unter Umständen auch einfache Maßnahmen aus, um die Kompromittierung der Dateien zu verhindern. Ist es beispielsweise erforderlich, die Daten in einer Tiefe zu verschlüsseln, die ein Entschlüsseln selbst mit Profiwerkzeugen völlig unmöglich macht? Oder ist es im jeweils vorliegenden Fall damit getan, Maßnahmen zu ergreifen, die zwar erhebliche Kenntnisse und entsprechende Werkzeuge für das Hacken der Information erfordern, jedoch für normale PC-Anwender nicht zu öffnen sind?

Wenn man eine derartige Analyse vornimmt, wird man feststellen, dass im Normalfall zwar ein Schutz der Daten gewünscht ist, jedoch ein einfacher Schutz oftmals ausreichend ist.

Ein wichtiger Aspekt kommt noch hinzu: Welche Schutzmöglichkeiten erfordern eine entsprechende Logistik wie Beschaffung und Installation von entsprechenden Anwendungen und welche Schutzmöglichkeiten sind in den Standardprogrammen, mit denen tagtäglich gearbeitet wird, schon enthalten? Wie die Erfahrung lehrt, sind Maßnahmen, bei denen die IT die Einrichtung, Wartung und Kontrolle bewältigen muss, für den einzelnen Anwender eine Geduldsprobe. Der Autor führt seit vielen Jahren Datenschutzschulungen für Beschäftigte durch und eine der regelmäßig gestellten Fragen lautet, wie denn der einzelne Anwender ein Dokument so schützen kann, dass es vor unbefugtem Zugriff im Normalfall sicher ist. Man muss sich immer wieder vergegenwärtigen, dass viele Nutzer ein gutes Gespür für Datenschutzfragen haben und solche Möglichkeiten gerne nutzen würden, wenn sie denn wüssten, wie es geht. Daher ist der vorliegende Beitrag in erster Linie darauf gerichtet, den Anwendern Hinweise für die Umsetzung der Informationssicherheit im Alltag zu geben.

2 Risiken beim Versand von Dateien im Originalformat

Werden Dokumente im Originalformat versendet, werden außer dem sichtbaren Dokumenteninhalt stets auch noch andere personenbezogene Daten mitgeschickt. Diese Dateien enthalten versteckte Informationen, die eindeutigen Rückschluss auf die Autoren, den Bearbeitungsstand, die Bearbeitungszeit usw. zulassen. In den Dateieigenschaften der Dokumente sind zahlreiche persönliche Informationen wie der Name des Autors, der letzte Bearbeiter, der letzte Bearbeitungszustand, das letzte Druckdatum und vieles mehr enthalten. Auch Kommentare, die im Überarbeitungsmodus eingefügt wurden, und ausgeblendete Texte bleiben erhalten, obwohl diese in einem geöffneten Word-Dokument nicht angezeigt werden. Solche Daten und Kommentare sollten bei Bedarf vor der Weitergabe gelöscht werden.

3 Umwandlung von Dateien in das PDF-Format

Am einfachsten vermeidet man diese unerwünschte Weitergabe, indem man die Datei in das PDF-Format umwandelt. Hierzu gibt es zahlreiche, auch kostenfreie, Programme. Ab Office 2007 ist die Möglichkeit der Umwandlung in das PDF-Format auch in Word und Excel enthalten. Da man eine PDF-Datei außerdem noch mit einem Passwort versehen kann, ist hier schon einiges für die Vertraulichkeit von Dateien getan.

Normalerweise arbeiten die PDF-Konverter wie ein Drucker. Die Originaldokumente werden an den "Quasi-Drucker" PDF-Konverter ausgegeben und dort in ein PDF gedruckt. Diese PDF-Datei lässt sich dann mit jedem PDF-Leseprogramm lesen und gegebenenfalls (je nach Einstellungen beim Versand) weiterbearbeiten.

4 Schutz von Ordnern und Verzeichnissen

Möchte man bei der Weitergabe von Dateien und Dokumenten in elektronischer Form vermeiden, dass diese unbefugt gelesen, kopiert oder verändert werden können, kann man einen Ordner erzeugen, der mit einem möglichst komplexen Passwort geschützt wird und in den man die zu versendende Datei hineinstellt. Um diese Datei dann zu öffnen, benötigt man das Passwort, das bei der Erstellung des Ordners vergeben wurde.

Schon unter Windows XP hat Microsoft die Möglichkeit der Verschlüsselung von Ordnern angeboten. Hier wurde die AES-Verschlüsselung verwendet, ein System, das auch in den USA für die Verschlüsselung von Dokumenten mit der höchsten Geheimhaltungsstufe zugelassen ist.

Am einfachsten ist es, einen sog. ZIP-komprimierten Ordner anzulegen und für diesen Zweck zu verwenden. Unter Windows XP geht das wie folgt: Auf dem Desktop mit der rechten Maustaste auf eine freie Fläche klicken. Jetzt öffnet sich ein Auswahlfeld, hier wählt man die Funktion Neu. Klickt man darauf, öffnet sich ein weiteres Auswahlfeld. Hier kann man einen ZIP-komprimierte...