Monatsarchiv für November 2014

 
 

#634 Datenschutz abschaffen!

Natürlich nur eine Polemik! Wie könnte man sonst so etwas fordern? Sind personenbezogene oder besondere personenbezogene Daten nicht besonders schützenswert? Anscheinend nicht, denn die behördlichen Datenschützer sind längst übergelaufen und haben eine Bankrotterklärung abgegeben. Im Web grassiert gerade eine sarkastische Suchmeldung nach der Bundesdatenschutzbeauftragten, die nach ihrem Amtsantritt vermeintlich nicht mehr gesehen wurde.

Eine weitere Bankrotterklärung habe ich gerade bekommen auf eine Anfrage bzgl. des Umgangs mit meinen Gesundheitsdaten durch meine Krankenkasse. Und unsere Behördenvertreter haben sich längst mit der Versicherungswirtschaft arrangiert und nahezu einen Freibrief für die Interessen der Versicherungen ausgestellt. Im konkreten Fall hatte die Krankenkasse bei einer Tarifumstellung gezielt eingereichte Abrechnungsunterlagen ausgewertet und daraus Risikozuschläge abgeleitet. Meine Argumentation im Sinne des Bundesdatenschutzgesetzes war, dass die Abrechnungsunterlagen der Krankenkasse zweckgebunden (zur Abrechnung) überlassen waren und deswegen nicht für andere Zwecke (vertragliche) ausgewertet werden dürfen. Doch dieses Verständnis spiegelt nicht die Meinung unserer obersten Datenschützer:

Die Vorgehensweise ist im Ergebnis zulässig und die eingereichten Abrechnungsunterlagen sind letztlich nicht zweckgebunden. Sie dürfen von der Versicherung im Rahmen einer möglichen Vertragsumstellung zur Risikobeurteilung herangezogen werden.

Die perfide Argumentation geht sogar weiter, die von Behörde und Versicherungswirtschaft  abgestimmten Einwilligungs- und Schweigepflichtentbindungserklärungen sehen ausdrücklich die Erhebung, Speicherung und Nutzung der Gesundheitsdaten vor soweit dies zur Antragsprüfung sowie zur Begründung, Durchführung, oder Beendigung des Versicherungsvertrages erforderlich ist. Nachdem alle solche Klauseln haben, sind wir dieser staatlich unterstützten Willkür ausgeliefert.

Wie qualifiziert dies geschieht zeigt das konkrete Beispiel: Wenn aus der Diagnose auf einem Rezept Rückschlüsse gezogen werden, dann werden schnell flüchtige, längst auskurierte Erkrankungen gleich zu systemischen Risiken, die mit unverhältnismäßigen Aufschlägen sanktioniert werden.

Solche Regelungen brauchen wir genauso wenig, wie solche Datenschützer.

Daher: Datenschutz abschaffen! Dann wissen wir wenigstens woran wir sind.

#633 schlossBlock auf dem PM Camp Poster

#632 Die Mutter aller PMCamps – PMCampDOR

Zurück von der Mutter aller PM-Camps – vom PMCampDOR14 in Dornbirn.

Es war spannend, inspirierend, kreativ, voller Diskussionslust und vieler Impulse. Also halt so, wie immer!

Nachzulesen auf Twitter oder demnächst in der Sessiondoku, die jetzt langsam im Nachgang der Veranstaltung auf openPM entsteht. PM-Camps sind immer ein großes Klassentreffer und so ist mir z.B. diesmal @marcusschwemer wieder über den Weg gelaufen, den ich das letzte mal im Studium getroffen habe. Neue Gesichter gab es insbesondere aus der Region und es ist zu „befürchten“, dass die auch wieder kommen, denn die Resonanz von Roman, Alois, Rolands Schweizer Fraktion und vielen anderen war (wieder einmal) überwältigend. Aber natürlich auch ein Wiedersehen mit alten PMCamp-Veteranen:

 


Einen gewissen Sucht-Faktor kann man den PM-Camps einfach nicht abstreiten.

Meine Higlights diesmal waren die Keynotes (Danke an Gebhard Borck und Melanie Kaiser), deren Beiträge schon in der Sessiondoku verfügbar sind. Auch wenn Gebhard sich ein Spielchen gemacht hat und im Auditorium gefragt hat, ob er mit Folien, an der Tafel oder völlig frei referieren soll (die Entscheidung fiel für die Tafel, d.h. seine Folien wurden eigentlich nicht gezeigt), außerdem hat er sich noch ein bisschen Improvisationstheater eingebaut und alle Zuhörer für das Feedback mit roten Clownsnasen ausgestattet. Ein persönliches Erfolgserlebnis war auch, dass ich langsam dann doch einmal die Barcamp-Prinzipien verinnerlicht habe und mich langsam zu einer „Hummel“ entwickelt habe. (Ein „Schmetterling“ ist einfach nicht die richtige Metapher für mich.)

Von den Sessions möchte ich keine wirklich hervorheben, nicht weil es an Qualität gemangelt hätte, sondern weil es wieder die gewohnte Dichte intensiver Impulse gab. Die Gespräche, nicht nur in den Sessions, sondern auch am Rand sind einfach das Besondere am Camp. Ein weiteres Highlight ist immer schon der Check-In am Vorabend, der immer wieder mit großem Hallo beim Bier endet, ganz zu Schweigen von der Party am Freitag mit einem herausragenden Host Stefan Hagen, von der ich mich erkältungsbedingt allerdings etwas frühzeitig verabschiedet habe (für das Whisky-Tasting hat es aber doch noch gereicht).

Persönliches Fazit: Ich komme wieder!

#631 Informationssicherheit – Guiding Questions

Bei dem ganzen Hype, der dem Thema Informationssicherheit in den letzten Jahren widerfahren ist, darf man eines nicht vergessen: Informationssicherheit ist kein Selbstzweck, sie dient lediglich zur Sicherstellung des eigentlichen Geschäftszweckes/des eigentlichen Auftrags. Demnach gilt: Business first!

Beim Thema Informationssicherheit darf es nicht um die Befriedigung aus Normen abgeleiteter Anforderungen gehen, sondern es ist stets eine Abwägung aus Business Sicht. Dies gilt insbesondere, da es eine 100%-Sicherheit nicht gibt, insofern ist Informationssicherheit immer auch ein Risikomanagement-Prozess.

Bei einem großen Rollout-Projekt zur Implementierung eines IT-Security-Prozesses im IT Service-Management, mussten wir lernen, dass wir die Kollegen immer wieder überfordert haben. Zum Einen ging die eben erwähnte Business-Perspektive in den Köpfen immer wieder verloren, zum Anderen verloren die Kollegen bei der Vielzahl der Security Requirements schnell den Überblick und haben den Wald vor lauter Bäumen nicht mehr gesehen. Da wurden dann technische Betriebs-Details  formal mit dem Provider geklärt, anstatt sich grundsätzlich mit der Frage auseinander zu setzen, was (im konkreten Fall) eine Cloud-Lösung überhaupt ist und ob man die eigenen Daten wirklich in fremde Hände geben möchte. Natürlich braucht es auch dedizierte Anforderungen, aber ohne ein entsprechendes Mindset wurde die Bearbeitung schnell zum sinnentleerten Papiertiger.

Vor diesem Hintergrund habe ich eine Reihe von Guiding Questions formuliert, um die Kollegen wieder „abzuholen“. Natürlich gilt als oberster Grundsatz die Orientierung am Geschäftszweck (1), dann ist ein generelles Lösungsverständnis erforderlich (2) um überhaupt die klassischen Dimensionen der Informationssicherheit bearbeiten zu können (3-5). Zur Visualisierung habe ich mich des IT Security Canvas bedient:

(1) Business first!

(2) Lösung & Architektur
Um ein allgemeines Verständnis unserer Lösung zu entwickeln:

  • Wie sieht das generelle Design/die Architektur der Lösung aus?
  • Gibt es Schnittstellen zu anderen Systemen?
  • Wo sind diese Systeme räumlich angesiedelt?
  • Wo werden Daten gespeichert, verarbeitet oder transportiert?
  • Welche Parteien sind involviert (Benutzer, Administratoren, Dienstleister,…)?
  • Gibt es ein IT-Service-Management?


 
 
 
 
 

(3) Vertraulichkeit / Confidentiality
Wenn Vertraulichkeit von besonderer Relevanz für unsere Lösung ist:

  • Welche Personengruppen und Systeme sind beteiligt bzw. haben Zugriff?
  • Deckt die Zugriffskontrolle all diese ab?
  • Werden Verschlüsselungstechniken eingesetzt? Bei der Speicherung? Bei der Übertragung?


 
 
 
 
 

(4) Integrität / Integrity
Wenn Integrität von besonderer Relevanz für unsere Lösung ist:

  • Wie kann ein Integrationsverlust bemerkt werden?
  • Gibt es Optionen zur Wiederherstellung?
  • Werden unterstützende Features wie Plausibilisierungen, Verschlüsselung, Backups, etc. genutzt?


 
 
 
 
 

(5) Verfügbarkeit / Availability
Wenn die Verfügbarkeit von besonderer Relevanz für unsere Lösung ist:

  • Ist unsere Lösung in einem IT Disaster Recovery und/oder in einem Business Continuity Management zu berücksichtigen?
  • Decken Disaster Recovery und Business Continuity Pläne alle beteiligten Systeme und Parteien ab?