TeleTrusT
Zusammenfassung des Berichts: “Leitfaden zur Informationssicherheit in der Markt-, Meinungs- und Sozialforschung”
Einleitung und Hintergrund
Der vorliegende Bericht wurde von der Arbeitsgruppe “IT-Sicherheit in der Marktforschung” des Bundesverbandes IT-Sicherheit e.V. (TeleTrusT), des ADM Arbeitskreises Deutscher Markt- und Sozialforschungsinstitute e.V. und der Deutschen Gesellschaft für Online-Forschung e.V. (DGOF) erstellt. Ziel ist es, die Informationssicherheit in der Markt-, Meinungs- und Sozialforschung zu verbessern und den Schutz von Daten in diesen Bereichen zu gewährleisten. Die Arbeitsgruppe wurde 2013 gegründet und hat seitdem verschiedene Initiativen gestartet, um die Sicherheit in der Branche zu erhöhen.
Bedeutung der Informationssicherheit
Mit der zunehmenden Digitalisierung wird der Schutz von Daten und Informationen immer wichtiger. Während der Datenschutz in der Marktforschung traditionell stark auf den Schutz der Anonymität der Teilnehmer fokussiert war, hat sich der Blick mittlerweile erweitert. Es wird erkannt, dass neben personenbezogenen Daten auch andere sensible Informationen, die in den Forschungsinstituten vorhanden sind, geschützt werden müssen. Der Bericht betont die Notwendigkeit eines ganzheitlichen Ansatzes zur Informationssicherheit, der sowohl technische als auch organisatorische Maßnahmen umfasst.
Bestandsaufnahme und Herausforderungen
Im Sommer 2014 führte die Arbeitsgruppe eine Befragung unter den Mitgliedern von ADM und DGOF durch, um den Stand der Informationssicherheit in der Branche zu ermitteln. Die Ergebnisse zeigen, dass viele Institute bereits gut aufgestellt sind, insbesondere in Bereichen wie Virenschutz, Firewall-Systemen, Backup-Strategien und Zutrittskontrollen. Allerdings wurden auch Schwachstellen identifiziert, die dringend angegangen werden müssen. Zu den Hauptproblemen gehören fehlende Sensibilisierung der Mitarbeiter, mangelnde Schulungen, fehlende Sicherheitskonzepte und ein unzureichendes Notfallmanagement.
Rechtliche Aspekte der Informationssicherheit
Ein wesentlicher Teil des Berichts widmet sich den rechtlichen Anforderungen, die an die Informationssicherheit gestellt werden. Dazu gehören die Einhaltung von Verkehrssicherungspflichten, die Vermeidung von Haftungsrisiken und die Umsetzung technisch-organisatorischer Maßnahmen gemäß den gesetzlichen Vorgaben, wie sie etwa im Bundesdatenschutzgesetz (BDSG) verankert sind. Der Bericht betont, dass die Unternehmensleitung die Verantwortung für das Risikomanagement und die Informationssicherheit trägt und empfiehlt eine umfassende Dokumentation aller Maßnahmen, um im Haftungsfall abgesichert zu sein.
Checkliste zur Informationssicherheit
Ein zentrales Element des Berichts ist die ausführliche Checkliste, die den Instituten als Leitfaden zur Umsetzung und Überprüfung ihrer Sicherheitsmaßnahmen dient. Diese Checkliste umfasst verschiedene Bereiche:
- Informationssicherheitsmanagement: Festlegung von Sicherheitszielen, Schulung der Mitarbeiter, Dokumentation von Prozessen und regelmäßige Überprüfung der Maßnahmen.
- Sicherheit von IT-Systemen: Nutzung von Virenschutzprogrammen, Rollen- und Profilverwaltung, Sicherstellung der Datenintegrität und regelmäßige Systemupdates.
- Vernetzung und Internet-Anbindung: Einsatz von Firewall-Systemen, regelmäßige Überprüfung der Firewall-Konfiguration, Nutzung von Intrusion Detection und Prevention Systemen.
- Beachtung von Sicherheitserfordernissen: Schutz von Informationen und Datenträgern, Klassifizierung von Daten nach Vertraulichkeitsstufen und Sicherstellung der Einhaltung bestehender Sicherheitsvorgaben.
- Wartung von IT-Systemen: Zeitnahe Installation von Sicherheitsupdates, Entwicklung eines Testkonzepts für Software-Änderungen und Schulung der Mitarbeiter im Umgang mit sicherheitsrelevanten Updates.
- Passwörter und Verschlüsselung: Implementierung einer Passwort-Richtlinie, Schulung der Mitarbeiter in der Wahl sicherer Passwörter und Verschlüsselung von besonders gefährdeten Daten.
- IT-Notfallvorsorge: Entwicklung eines Notfallplans, regelmäßige Tests des Plans und Schulung der Verantwortlichen.
- Datensicherung: Implementierung einer Backup-Strategie, regelmäßige Überprüfung der Sicherungen und sichere Aufbewahrung der Backup-Medien.
- Infrastruktursicherheit: Schutz der IT-Systeme vor physischen Bedrohungen wie Feuer, Überhitzung, Wasserschäden und Einbruch.
Fazit
Der Bericht unterstreicht die Notwendigkeit eines systematischen und kontinuierlichen Ansatzes zur Informationssicherheit in der Markt-, Meinungs- und Sozialforschung. Durch die Implementierung der vorgeschlagenen Maßnahmen und die regelmäßige Überprüfung und Anpassung der Sicherheitskonzepte können Institute nicht nur ihre Daten besser schützen, sondern auch ihre Haftungsrisiken minimieren.
