29.03.2019

So prüfen Sie die Belastbarkeit von IT-Systemen

Eine neue Forderung der Datenschutz-Grundverordnung (DSGVO / GDPR) an die Sicherheit der Verarbeitung ist die Belastbarkeit oder Resilienz. Doch wie lässt sich die Belastbarkeit gewährleisten, wie lässt sie sich prüfen? Hier helfen Tools.

Belastbarkeit DSGVO

Was fordert die DSGVO mit Belastbarkeit?

Die Datenschutz-Grundverordnung (DSGVO / GDPR) fordert für die „Sicherheit der Verarbeitung“ (Artikel 32 DSGVO) zum einen bekannte Schutzmaßnahmen wie die Verschlüsselung.

Aber sie fordert auch neue Themen wie die Belastbarkeit der Systeme und Dienste, die der Verantwortliche sicherzustellen hat.

„Belastbarkeit von Systemen und Diensten“ gehört nicht nur zur IT-Sicherheit, sie gehört auch zum Datenschutz. Es geht um einen speziellen Aspekt der Verfügbarkeit von personenbezogenen Daten. Ihn betont die DSGVO ausdrücklich.

Belastbarkeit bedeutet in diesem Zusammenhang die Widerstandsfähigkeit der IT im Fehlerfall, bei Störungen, bei hoher Beanspruchung.

Ein Beispiel, in dem Angriffe die Belastbarkeit eines IT-Systems auf eine harte Probe stellen, sind DoS-Attacken oder DDoS-Attacken (Denial-of-Service- oder Distributed-Denial-of-Service-Attacken).

Hier belasten Angreifer etwa Webserver mit Anfragen so, dass sie überfordert sind und den Dienst einstellen, wenn der Angriff Erfolg hat. Die Website, die dieser Webserver veröffentlicht, geht dann offline.

Die Überlastung des Webservers macht es schwierig bis unmöglich, auf die Daten, die der Server verwaltet, zuzugreifen. Mangelnde Belastbarkeit der IT wirkt sich so auf die Verfügbarkeit der Daten aus.

Welche Schritte gehören zur Belastbarkeit?

Die Belastbarkeit (auch als Resilienz bezeichnet) wird in der DSGVO neu genannt. Das alte Bundesdatenschutzgesetz kannte den Begriff nicht.

Für Verantwortliche gilt es, die Belastbarkeit der Systeme und Dienste, die in Zusammenhang mit der Verarbeitung stehen, zu gewährleisten. Nähere Angaben, welche Maßnahmen zur Belastbarkeit positiv beitragen, nennt die DSGVO nicht, wie auch die Aufsichtsbehörden für den Datenschutz betonen.

Aufsichtsbehörden beschreiben Belastbarkeit als „eine gewisse Stabilität gegenüber Ausfällen oder Angriffen – wie etwa Denial of Service-Angriffen“. Die Abgrenzung zur Verfügbarkeit sei jedoch nicht eindeutig.

Im Standard-Datenschutzmodell (SDM) findet man dazu bisher diese Aussage: Unter der Anforderung der „Belastbarkeit“ versteht das SDM unter Berücksichtigung des noch unsicheren Interpretations-Spielraums die Wahrung der Gewährleistungsziele unter Belastung.

Was versteht das SDM unter Gewährleistungszielen? Hier müssen Verantwortliche zum Beispiel die Vertraulichkeit, Verfügbarkeit und Integrität der personenbezogenen Daten auch unter Belastung gewährleisten.

Wie lässt sich die Belastbarkeit prüfen?

Wie lässt sich die Grenze der Belastbarkeit eines IT-Systems kontrollieren? Nur wer in der Lage ist, die neu geforderte Belastbarkeit nachweislich zu überprüfen, stellt sicher, dass er die Sicherheit der Verarbeitung im Sinne der DSGVO im Blick hat.

Startpunkt: Verzeichnis von Verarbeitungstätigkeiten

Eine Kontrolle der Belastbarkeit darf zum einen nicht dazu führen, dass die produktiven IT-Systeme wirklich zum Stillstand kommen. Zum anderen sind die Kontrollverfahren davon abhängig, um welche IT-Systeme es geht, welche Systeme und Dienste also personenbezogene Daten verarbeiten.

Ein guter Startpunkt der Kontrolle ist deshalb das Verzeichnis von Verarbeitungstätigkeiten.

Tools zur Kontrolle der Belastbarkeit

Für die Prüfung selbst ist es sinnvoll, passende Werkzeuge oder Tools zu nutzen.

Als Beispiel sei hier die Kontrolle von Cloud-Diensten dargestellt. Denn die Cloud als Form der externen IT-Nutzung ist eine besondere Herausforderung. Die Datensicherheit zu prüfen, ist aber erforderlich, um sich für einen Cloud-Anbieter entscheiden zu können (und zu dürfen!).

Einige Cloud-Anbieter haben eigene Tools für einen Performance-Test unter Belastung. Diese Tools sind sinnvoll, wenn Sie sicher sind, dass sich damit unabhängige Tests durchführen lassen.

Nutzen Sie externe Dienste oder Tools, stimmen Sie sich mit dem Cloud-Anbieter ab. Andernfalls könnte die Belastungsprobe für den Cloud-Anbieter wie eine externe Attacke wirken. Anbieter wie Alibaba und Microsoft beschreiben, worauf es bei einem Belastungstest ankommt.

Den Test sollte die interne IT-Abteilung, der eigene IT-Dienstleister oder der Test-Service-Provider als Dritter durchführen.

Anzeige

Belastbarkeit DSGVO
Tipp: Umfassendes IT-Wissen für den DatenschutzbeauftragtenBei der Prüfung der Belastbarkeit und bei vielen weiteren IT-Fragen hilft Ihnen auch das Werk „IT-Know-how für den Datenschutzbeauftragten“.

>> Gleich testen


Services und Tools, mit denen sich eine Belastungsprobe bei Cloud-Diensten und -Anwendungen durchführen lässt, sind beispielsweise:

Was ist jetzt zu tun?

Überprüfen Sie, ob in Ihrem Unternehmen oder in Ihrer Behörde angemessene Maßnahmen für die Belastbarkeit der Systeme und Dienste vorhanden sind, um die nach DSGVO geforderte Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten, obwohl IT-Systeme und IT-Dienste zunehmend Überlastungsangriffen (wie DDoS-Attacken) ausgesetzt sind.

Autor*in: Oliver Schonschek (Diplom-Physiker, IT-Analyst und Fachjournalist)