PL
EN
UK
Was ist die Aufgabe eines Systemadministrators?
Die angemessene Verwaltung und Sicherheit persönlicher Daten innerhalb eines Unternehmens ist für jede Organisation von grundlegender Bedeutung. Jedes Unternehmen muss sowohl die Europäische Datenschutzverordnung (RODO) als auch das Datenschutzgesetz einhalten. Weder das eine noch das andere definiert jedoch die Verpflichtung, einen Mitarbeiter für die Position des ASI, d.h. des Verantwortlichen für Informationssysteme, einzustellen. Sie definieren lediglich die Funktion des für die Datenverarbeitung Verantwortlichen, der befugten Personen oder des Datenschutzbeauftragten. Woher kommt also der IT-Systemadministrator und was gehört zu seinen Aufgaben?
Wer ist der Systemadministrator (ASI)?
Der Verantwortliche für Informationssysteme ist die Person, die verpflichtet ist, das Informationssystem (das für die Verarbeitung personenbezogener Daten verwendet wird) zu verwalten. Die Hauptaufgabe besteht darin, mit dem Datenschutzbeauftragten zusammenzuarbeiten. Der Datenschutzbeauftragte kümmert sich um den Schutz der von der Organisation verarbeiteten personenbezogenen Daten im Hinblick auf die IKT-Garantien. Diese Position war vor dem 25. Mai 2018 besonders wichtig.
Es wurde jedoch erkannt, dass der Datenschutzbeauftragte (DSB) sehr oft nicht über ausreichende Kenntnisse im Bereich der IT-Sicherheit verfügt. Aus diesem Grund hat sich unter den Mitarbeitern, die sich mit der Verwaltung und dem Schutz personenbezogener Daten befassen, eine Position herausgebildet: der IT-Systemadministrator. Der Systemadministrator ist für die Sicherheit der personenbezogenen Daten verantwortlich und muss verhindern, dass Unbefugte Zugang zu dem System erhalten, in dem personenbezogene Daten verarbeitet werden.
Es ist wichtig zu wissen, dass jede Sekunde, in der eine Website oder ein Server ausfällt, Produktivitätsverluste, Umsatzeinbußen und enorme Kosten für Ausfallzeiten bedeutet. Angesichts der zahlreichen Betriebssysteme, Netzwerkkonfigurationen und Sicherheitsprobleme, die es zu beachten gilt, bedeutet ein erfolgreicher Systemadministrator, dass der Systemadministrator (ASI) sein Wissen über IKT-Systeme ständig erweitern muss.
Wer kann ein Systemadministrator (ASI) sein?
Eine Person, die ASI werden möchte, sollte über die notwendigen Kenntnisse im Bereich „Informationstechnologie“ (IT) verfügen sowie ein ständiges Interesse an neuen Bedrohungen und Lösungen zum Thema Datensicherheit haben, die auf dem Markt auftauchen. Dieses Wissen können Sie durch die Teilnahme an speziellen Schulungen, Konferenzen und anderen Treffen, die eng mit diesem Thema verbunden sind, erwerben.
Es gibt auch eine Reihe von verschiedenen Arten von Formalitäten, die mit der Tätigkeit eines IT-Systemadministrators verbunden sind. Eine Person, die intern im Unternehmen arbeitet, erhält die Befugnis, personenbezogene Daten zu verarbeiten. Wenn Sie einer externen Person solche Rechte einräumen wollen, müssen Sie entsprechende Bestimmungen in den Vertrag aufnehmen.
Der ideale Kandidat für den Posten des Systemadministrators hat Erfahrung mit Datenbanken, Netzwerken, Hardware- und Software-Upgrades, Netzwerkdesign, LAN-Infrastruktur, Fehlerbehebung bei Netzwerk- und Benutzerfehlern und die Fähigkeit, klar zu kommunizieren. Er oder sie ist außerdem auf dem neuesten Stand der Sicherheitsprotokolle für LAN und Wide Area Network (WAN) und in der Lage, die Benutzer über den Umgang mit verdächtigen E-Mails und den Grundsatz der Vertraulichkeit von Informationen aufzuklären.
Was ist die Aufgabe eines Systemadministrators?
Die Hauptaufgabe des IT-Systemverantwortlichen besteht darin, mit dem Datenschutzbeauftragten zusammenzuarbeiten. Diese Zusammenarbeit erfolgt im Hinblick auf die Überwachung der Einhaltung der Datenschutzvorschriften des Unternehmens in Bezug auf die IKT-Sicherheit und umfasst eine Reihe von Aufgaben, darunter die folgenden:
Mitarbeit bei der Vorbereitung, Umsetzung und Einhaltung von Dokumenten zum Schutz personenbezogener Daten durch Mitarbeiter
Zunächst einmal betrifft dies das Handbuch für die Verwaltung des IT-Systems. Die Bestimmungen der RODO geben keinen direkten Hinweis auf die Hinlänglichkeit der Verfahren innerhalb eines solchen Dokuments (im Gegensatz zu den vorher geltenden Bestimmungen). Relevant für die RODO ist der so genannte Grundsatz der Rechenschaftspflicht, nach dem der Systemadministrator verpflichtet ist, angemessene technische und organisatorische Sicherheitsvorkehrungen zu treffen, die im Rahmen einer Prüfung nachweisbar sein müssen. Nach der RODO sollte jedes Unternehmen eine entsprechende Richtlinie erlassen, aber auch hier ist der Umfang der Richtlinie nicht definiert. Die Bereiche, die durch organisatorische Schutzmaßnahmen als Teil der entsprechenden Dokumentation geregelt werden müssen, wurden vom Präsidenten der Datenschutzbehörde bereitgestellt.
2. Zusammenarbeit bei regelmäßigen Inspektionen
Dabei geht es um die Kontrolle der Einhaltung der Bestimmungen der RODO, um Sensibilisierungsmaßnahmen, um die Schulung von Mitarbeitern, die an der Verarbeitung personenbezogener Daten beteiligt sind, und um andere damit verbundene Prozesse. In den Vorschriften steht jedoch nichts darüber, in welchen Abständen solche Aktivitäten durchgeführt werden sollten. Die Praxis bei der Anwendung der Vorschriften, die vor der RODO in Kraft waren, hat gezeigt, dass aufgrund der häufig auftretenden Schwierigkeiten, des zeitaufwändigen Charakters der Umsetzung von Sicherheitsmaßnahmen und ihrer Änderungen und vor allem aufgrund der Geschwindigkeit, mit der neue Bedrohungen auftauchen und die Technologien sich weiterentwickeln, solche Überprüfungen der IT-Systeme mindestens einmal pro Jahr durchgeführt werden sollten.
3. Sicherung der Systeme gegen Malware
Die Aufgabe von Malware und Hackern besteht oft genau darin, sich Zugang zu Daten zu verschaffen. Der Administrator muss sicherstellen, dass die Daten nicht in die Hände von Unbefugten gelangen. Antivirenprogramme mit einer aktuellen Virendatenbank sind unverzichtbar und müssen nicht nur auf den IKT-Systemen des Unternehmens implementiert werden, sondern auch auf den Systemen am Arbeitsplatz, ob auf Smartphones oder Tablets.
4. Zusammenarbeit bei der Risikoanalyse
Die Risikoanalyse ist ein Prozess, bei dem Bereiche überprüft werden, die nicht gesichert sind oder die besser geschützt werden müssen, weil sich die derzeitigen Maßnahmen als unzureichend erweisen. Dabei geht es speziell um die Bereiche, in denen die Wahrscheinlichkeit möglicher Bedrohungen am größten ist, was höhere Risiken für die Sicherheit der personenbezogenen Daten bedeutet. Die RODO legt auch nicht fest, wie oft dieser Prozess durchgeführt werden sollte. Es wird nur gesagt, dass es sich um einen laufenden Prozess handelt und nicht um einen einmaligen. In den Leitlinien der Arbeitsgruppe heißt es, dass es sich lohnt, mindestens einmal alle drei Jahre eine Risikoanalyse durchzuführen.
5. Anpassung der Datenverarbeitungssysteme an die Anforderungen der RODO
Dabei muss sichergestellt werden, dass das Recht auf Datenübertragbarkeit, auf Einschränkung der Verarbeitung oder auf Widerspruch gegen Marketingaktivitäten ausgeübt werden kann. Denken Sie dabei an die Möglichkeit, das Datum und die Uhrzeit der Erteilung oder des Widerrufs einer solchen Einwilligung zu überprüfen.
6. Zusammenarbeit bei der Gewährleistung der Kontinuität des Systembetriebs
Die ASI hat auch die Aufgabe, die personenbezogenen Daten selbst sowie die Software, mit der sie verarbeitet werden, zu sichern, was die Erstellung regelmäßiger Sicherheitskopien beinhaltet. Darüber hinaus muss die ASI auch für die Aufbewahrung dieser Kopien sorgen, damit sie nicht in die falschen Hände geraten und verändert, beschädigt oder zerstört werden. In den meisten Fällen werden die Backups auf externen Medien gespeichert und an Orten aufbewahrt, zu denen Unbefugte keinen Zugang haben, oder in Brandzonen.
- Schutz vor Bedrohungen aus dem öffentlichen Netz
Ein solcher Schutz umfasst die Implementierung von physischen oder logischen Sicherheitsvorkehrungen, die vor unbefugtem Zugriff und Software schützen. Dazu können Firewalls, Spamfilter, VLANs, Geräte, die auf Produktionsnetzwerke zugreifen können, und andere Lösungen gehören, die die spezifischen Technologien und finanziellen Ressourcen berücksichtigen.
8. Bereitstellung einer Notstromversorgung und Schutz vor Störungen
Die plötzliche Unterbrechung von persönlichen Datenverarbeitungsgeräten und -programmen führt häufig zu Datenverlusten oder -lecks. Die am häufigsten verwendeten Geräte sind USV-Geräte, die das Netzwerk und die Server kritischer Systeme aufrechterhalten, bevor diese sicher heruntergefahren werden. Es ist auch wichtig, ein Benachrichtigungssystem für das Umschalten auf Notstrom zu implementieren.
9. Beaufsichtigung der Reparatur und Außerbetriebnahme von Computerausrüstung
Geräte und Datenträger, die außer Betrieb genommen, repariert oder an jemanden übergeben werden, der nicht berechtigt ist, die darauf befindlichen Daten zu verarbeiten, müssen so gelöscht werden, dass sie in keiner Weise wiederhergestellt werden können. Dies muss unter der Kontrolle des Systemadministrators geschehen, damit es korrekt ausgeführt wird.
10. die Überprüfung der Inspektion und Wartung von Geräten und Systemen, die zur Verarbeitung personenbezogener Daten verwendet werden
Die Überprüfung und Wartung sollte nur mit Software erfolgen, für die es Herstellersupport und regelmäßige Updates gibt. Der Überprüfungs- und Aktualisierungsprozess sollte nicht nur für Systeme gelten, die auf Server-Hardware und Workstations eingesetzt werden.
11. Sicherheit der Räumlichkeiten, in denen Daten verarbeitet werden
Die angegebenen Räumlichkeiten müssen gegen unbefugtes Betreten oder andere zufällige Ereignisse gesichert sein.
Es ist erwähnenswert, dass die aufgelisteten Aufgaben nicht alle Verantwortlichkeiten des ASI sind. Dies sind nur seine grundlegenden Aufgaben. Oft ist der Umfang der von ihm durchgeführten und überwachten Schutzmaßnahmen größer als in den Verordnungen angegeben, und die Aktivitäten stehen in Zusammenhang mit anderen Verordnungen, nicht nur direkt mit der RODO.
Ein sicheres Netzwerk ist unerlässlich – garantieren Sie es jetzt!
Es nützt dem Datenschutz in der Zusammenarbeit zwischen dem DSB und ASI nichts, wenn es im Unternehmen kein hochwertiges Computernetzwerk und keine Internetverbindung gibt. Dies kann von ITH bereitgestellt werden. ITH bietet professionelle Netzwerk- und Internetdienste an, die jetzt unter dem Krisenschutzschild als Freemium-Service verfügbar sind, der bis zum 31. Dezember 2022 genutzt werden kann.
Im Rahmen des Shields können Sie die Dienste von ITH wie Glasfaseranschluss, öffentliches IP-Subnetz und Hosting für nur einen Zloty ausprobieren und erst dann entscheiden, ob Sie die Nutzung der Dienste erweitern möchten. Die ITH-Gruppe ist wahrscheinlich der erste vollständig flexible Telekommunikationsanbieter, der eine Reihe von Partnern zusammenbringt, die ebenfalls eine Vielzahl von Dienstleistungen im Zusammenhang mit dem Aufbau eines Unternehmensnetzwerks und dessen Schutz anbieten. ITH bietet die volle Sicherheit der Verbindung.
Sie müssen nur das passende Paket auswählen und prüfen, ob der Standort Ihres Unternehmens durch den ITH-Schutzschild abgedeckt ist. Ist dies der Fall, erfolgt die Installation des ITH Net-Dienstes innerhalb von etwa 7 Tagen nach der Bestellung. Der Kauf der Dienste ist wirklich einfach und die Dienste selbst können perfekt auf die Bedürfnisse Ihres Unternehmens zugeschnitten werden. Es lohnt sich nicht zu zögern, denn es bleibt nicht mehr viel Zeit, um die Dienste von ITH zu einem so attraktiven Sonderangebot zu testen. Es lohnt sich, die Dienste zu testen, bevor Sie dafür bezahlen müssen.