IT-Prüfung
Prüfkatalog für das neue IT-Audit-Thema "Gesetzeskonformer Umgang mit IT-Diagnose-Daten"
Stephen Fedtke
Abstract
IT-Diagnose-Daten lenken den Fokus auf ein neues IT-Audit-Thema: die sensiblen Daten in Dumps, Logs und Traces. Sie enthalten IT-Sicher heitsinformationen und gleichzeitig datenschutzrelevante Daten mit Personenbezug. Geraten diese unerlaubterweise und zweckfrei an Dritte, verletzt der Versender Gesetze sowie Normen und Rahmenwerke wie die europäische Datenschutz-Grundverordnung (DSGVO), das Schweizer Bundesgesetz über den Datenschutz (DSG), die Network-and-Information-Security-Richtlinie 2.0 (NIS-2), den Digital Operational Resilience Act (DORA) oder den Payment Card Industry Data Security Standard (PCI-DSS). Für Institutionen kritischer Infrastrukturen (KRITIS), wie u. a. dem Gesundheitswesen, ist das Monitoring dieser potenziellen Datenlecks von besonderer Relevanz.
Der aktuelle Trend auf Basis der Rechtsprechung des EuGH zum immateriellen Schadensersatzanspruch im Sinne des Art. 82 DSGVO geht in Richtung Massenklagen und Beweislastumkehr. Daneben steht die Rechtsentwicklung um Security-bezogene Pflichten, wie NIS-2, DORA, PCI-DSS. Dies führt bei Unternehmen und deren Leitungsebene zu erhöhten Obliegenheiten und Haftungsrisiken. Aus diesem Grund sind IT-Diagnose-Daten künftig ein sehr wichtiges Prüffeld des IT-Audits und der IT-Revision, unabhängig davon, ob die IT-Systeme intern oder extern betrieben werden.
