Zentralinstitut - Springe direkt:

Datenschutz und Informationssicherheit im Zi

Maximaler Schutz für sensible Daten

Stellenwert der Informations- und Kommunikationstechnik im Zi

Für die Erfüllung des Stiftungsauftrags des Zi spielt Informationsverarbeitung eine Schlüsselrolle. Die im Zentralinstitut eingesetzte Informations- und Kommunikationstechnik unterstützt nahezu alle strategischen und operativen Aufgaben.
Die Themen Datenschutz und Informationssicherheit haben in den letzten Jahren immer mehr an Bedeutung gewonnen. Datendiebstahl bei Krankenkassen, Telekommunikationsunternehmen oder Investmentbanken, NSA/BND-Skandal, Verunsicherung der Verbraucher hinsichtlich der Verwendung von Daten, aber auch Schäden durch überlastete oder ausfallende Systeme haben zur Folge, dass Informationssicherheit mehr und mehr zu einem festen Bestandteil eines unternehmensinternen Risikomanagements wird.

Sicherheitspolitik des Zi

Informationssicherheit bedeutet für das Zi, dass alle Prozesse den Projektanforderungen entsprechend die Fälschungssicherheit, Richtigkeit und Vertraulichkeit der Informationen sicherstellen. Hierzu mindert das Zi unvermeidbare Restrisiken weitestgehend und verbessert die Wirksamkeit der Prozesse fortlaufend durch den Einsatz moderner Mittel der Informations- und Kommunikationstechnik. Grundlage der IT-Sicherheit im Zi ist ein strukturierter Management-Prozess.
Im Mittelpunkt der Sicherheitspolitik des Zi steht somit die Gewährleistung folgender Grundeigenschaften:

  • Verfügbarkeit – Schutzwürdige Daten sind im notwendigen Umfang verlässlich zugänglich und nutzbar;
  • Integrität – Schutzwürdige Daten sind bezüglich ihrer Richtigkeit und Vollständigkeit abzusichern;
  • Vertraulichkeit – Schutzwürdige Daten dürfen nicht in die Hände von unberechtigten Personen gelangen.

Die Sicherheitspolitik gilt als Maßgabe für alle Mitarbeiter des Zi sowie für alle externen Berater oder Servicepartner.

Sicherheitsziele des Zentralinstituts

Die Grundprinzipien der Sicherheitspolitik – also die Sicherheitsziele – sind durch die Geschäftsführung in der Sicherheitsrichtlinie festgeschrieben.

Beispiele für Maßnahmen zur IT-Sicherheit:
Um die Verfügbarkeit sensibler Daten zu gewährleisten, stuft das Zi Informationen und Systeme bezüglich ihrer maximal zu tolerierenden Ausfallzeit ein. Ausfallzeiten, die zu größeren Arbeitsverzögerungen oder Fristversäumnissen führen können, vermeidet das Zi durch entsprechende Maßnahmen, wie etwa durch redundant ausgelegte Hardware.

Die Vertraulichkeit der Daten wird durch Maßnahmen zur physikalischen Sicherheit, z. B. durch zugangsgesicherte Analyseräume, durch den Einsatz von elektronischen Signaturen nach dem so genannten Public-Private-Key-Verfahren oder durch Pseudonymisierung mit kryptographischen Methoden, die den Ansprüchen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) genügen, sichergestellt.

Grundsätzlich wird bei allen Projekten der Grundsatz der Datensparsamkeit eingehalten. Das Vier-Augen-Prinzip wird in besonders sensiblen Bereichen strikt angewandt, sodass z. B. nie eine Person alleine Arbeiten im Serverraum durchführt.

Das Zi versteht IT-Sicherheit als kontinuierlichen Prozess. Ein Team aus dem vom Vorstand bestellten IT-Sicherheitsbeauftragten, einer Projektleitung und Mitarbeitern aus dem Bereich Querschnittsaufgaben betreiben ein aktives Sicherheitsmanagement.

Normgerechtes Handbuch

Das IT-Sicherheitskonzept für die „Zi-Datenstelle“ wurde in Begleitung eines nach ISO 27001 zertifizierten Auditors nach den Vorgaben der IT-Grundschutz-Kataloge (Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellt und wird jährlich überarbeitet.

Ihr Ansprechpartner

Weitere Informationen