Der Bundesbeauftragte für den Datenschutz und das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben erstmals international anerkannten Schutzprofile -- so genannte Protection Profiles -- für einen sicheren Informationsfluss in IT-Systemen vorgestellt. Mit den Protection Profiles können Anwender Sicherheitsanforderungen -- zum Beispiel verschlüsselte Speicherung oder signierte Übertragung -- auf der Grundlage technischer, organisatorischer und rechtlicher Rahmenbedingungen selbst festlegen.
Anlass für die Entwicklung der Datenfluss-Schutzprofile war das Gesundheitsreformgesetz 2000, nach dem niedergelassene Ärzte, Labore und Krankenhäuser verpflichtet sind, sensible Patientendaten elektronisch an die Krankenkassen zu übermitteln. Erarbeitet wurden die Protection Profiles vom Deutschen Forschungszentrum für Künstliche Intelligenz (DFKI), evaluiert wurden sie von T-Systems ISS. Bei der Übergabe der Sicherheitszertifikate in Bonn erläuterte BSI-Projektleiter Marcel Weinand: "Aus der Datenbank dürfen dann nur noch Daten aus bestimmten Datenfeldern in andere Dateisysteme oder an das E-Mail-System übermittelt werden". Mit der "regelbasierten Sicherheit" werde, so Weinand, eine "bessere Beherrschbarkeit" erreicht.
Künftig sollen die neuen Schutzprofile über den Gesundheitssektor hinaus auch Verbreitung im E-Government und E-Commerce finden. Das BSI will Firmen bei der Produktentwicklung beraten und die Schutzprofile unter anderem in Richtung Pseudonymisierung und Anonymisierung weiterentwickeln.
Quelle: Heise Online