Datenschutz und Datensicherheit anwenden

c3: Datensicherheit und Datenschutz für ICT-Lösungen planen, implementieren und dokumentieren

Die Informatikerinnen und Informatiker planen Massnahmen zur Datensicherheit und zum Datenschutz, implementieren sie und dokumentieren sie: Sie identifizieren zunächst die sensiblen Daten und kategorisieren sie. Anschliessend modellieren sie die sensiblen Daten nach dem Privacy-by-Design-Prinzip. Sie klären die nach der Sensibilität der Daten erforderlichen Schutzmechanismen ab und qualifizieren sie. Dabei berücksichtigen sie den gesetzlichen Rahmen (u. a. DSGVO) und wenden ihn situationsgerecht an. Auf dieser Basis erarbeiten sie ein Konzept für Datensicherheit und Rollen gemäss dem Auftrag, dokumentieren es und setzen es um (z. B. Backup erstellen, Zugriffsberechtigungen implementieren, Daten verschlüsseln).

d1: Sicherheit der Endgeräte und Daten gewährleisten

Die ICT-Fachperson wendet die Sicherheitsrichtlinien an (Passwörter, Antivirus, Verschlüsselung), sensibilisiert Benutzer:innen für Risiken (Phishing, Social Engineering), überwacht Warnmeldungen und reagiert bei Vorfällen gemäss Verfahren.

d2: Sicherungen und Wiederherstellungen durchführen

Die ICT-Fachperson plant Backup-Strategien (inkrementell, vollständig, Frequenz), führt Backups aus, prüft deren Integrität und testet regelmässig Wiederherstellungen. Führt ein Operations-Logbuch gemäss DSG-Anforderungen.

e4: Netzwerksicherheit implementieren, dokumentieren und überprüfen

Die Informatikerinnen und Informatiker implementieren, dokumentieren und überprüfen die Netzwerksicherheit. Damit gewährleisten sie, dass kritische Systeme angemessen vor Angriffen oder Infektionen geschützt sind: Sie analysieren zunächst die potenziellen Risiken in Bezug auf die Netzwerksicherheit und bewerten sie. Dazu nutzen sie aktuelle und betriebsspezifische Tools (z. B. Portscanner). Auf dieser Grundlage konzipieren sie die physischen und systemischen Sicherheitsmassnahmen im lokalen Netzwerk (e1). Sie setzen die geplanten Sicherheitsmassnahmen um, indem sie Sicherheitsdienste und -komponenten (z. B. Firewall, VPN, NAT, VLAN, DMZ) implementieren. Schliesslich testen sie die Sicherheitsmassnahmen systematisch und dokumentieren deren Funktionsweise.

f6: Sicherheit der Serversysteme und ihrer Dienste implementieren, dokumentieren und überprüfen

Die Informatikerinnen und Informatiker implementieren, dokumentieren und überprüfen die Sicherheit der Serversysteme und deren Dienste: In einem ersten Schritt erarbeiten sie ein Sicherheitskonzept, das den Bedürfnissen der Stakeholder entspricht. Dieses Konzept beschreibt die möglichen Risiken und die geeigneten Sicherheitssysteme/-methoden zur Gewährleistung eines IT-Grundschutzes (z. B. Firewall, Antivirensoftware, Berechtigungen, Single Sign-On [SSO]). Dazu arbeiten sie im Team und ziehen bei Bedarf Partner hinzu. Sie wenden Best Practices auf die verwendeten Lösungen an. Sie konfigurieren die festgelegten Sicherheitselemente und testen deren Wirksamkeit. In regelmässigen Abständen führen sie Sicherheitstests im laufenden Betrieb durch und dokumentieren die Ergebnisse nachvollziehbar. Sie informieren sich regelmässig über die technologischen Entwicklungen der Sicherheitssysteme (z. B. MELANI, CVE) und passen ihre Konzepte an.

f8: Konzepte für Datensicherung und Datenarchivierung erarbeiten und umsetzen

Die Informatikerinnen und Informatiker erarbeiten und setzen Konzepte für die Datensicherung und Datenarchivierung um. Damit gewährleisten sie die langfristige Verfügbarkeit der Daten: In Absprache mit den Stakeholdern definieren sie die zu sichernden und zu archivierenden Daten (z. B. Benutzer-, Konfigurations-, System-, Protokolldaten). Anschliessend erarbeiten sie ein Backup-Konzept (einschliesslich Recoveryund Disaster-Recovery-Konzepte) und/oder ein Archivierungskonzept. Dabei gehen sie ganzheitlich vor: Sie berücksichtigen den Backup-Zyklus, die Aufbewahrungsdauer der Daten und die Compliance-Anforderungen. Sie definieren weitere ausschlaggebende Aspekte wie Periodizität, Grösse, Medientyp, Berechtigungen und Zugriffe. Sie beachten ausserdem die für den Datenschutz geltenden gesetzlichen Vorschriften (z. B. DSGVO).

b3: Kunden in Sachen Datenschutz und Datensicherheit beraten

Die Informatikerinnen und Informatiker beraten Kunden in Bezug auf den Umgang mit sensiblen Daten und schlagen Lösungen für die Umsetzung von Schutzmassnahmen vor: Dazu klären sie die Sicherheitslage beim Auftraggeber, indem sie gezielte Fragen zu Systemen, Netzwerken, Software und Daten stellen. Auf der Grundlage der erhaltenen Informationen schlagen sie die für die untersuchten Bereiche notwendigen und empfohlenen Schutzmassnahmen vor. Sie schaffen beim Auftraggeber ein Bewusstsein für die Gefahren im Zusammenhang mit dem Netzwerk und dem Umgang mit sensiblen Daten. Um diese Aufgaben zu erfüllen, informieren sie sich laufend über Änderungen im rechtlichen Rahmen bzw. in den anwendbaren gesetzlichen Vorschriften. Bei Bedarf schulen sie die Mitarbeitenden in der Anwendung der unternehmensspezifischen IT-Richtlinien.