Datenschutz und Datensicherheit – Definition und Ziele
Datenschutz und Datensicherheit – Definition und Ziele Datenschutz,Informationssicherheit No Comments
In vielen Gesprächen und auch in den Artikeln auf diesem Blog verwenden wir Fachbegriffe. Einer der Grundlegenden ist der Begriff der Datensicherheit. Wahrscheinlich ist auch Ihnen dieses Wort schon regelmäßig untergekommen. Datensicherheit – was ist das eigentlich genau? Was versteht man darunter? Was ist der Unterschied zum Datenschutz? Warum ist denn Datensicherheit überhaupt so wichtig? Und vor allem, wie kann man Datensicherheit gewährleisten?
Diesen Fragen möchte ich mich in diesem Artikel widmen.
Was ist eigentlich der Unterschied zwischen Datenschutz und Datensicherheit?
Um diese Frage zu beantworten, möchte ich noch einen weiteren Begriff einführen – den Begriff der Informationssicherheit. Ein eher unbekannter, bzw. selten verwendeter Begriff. Allerdings ist es der Oberbegriff für unsere gesamte Thematik.
Was ist eigentlich Informationssicherheit? Wie stehen Datenschutz und Datensicherheit dazu im Bezug?
Wie das Bild zeigt, ist die Informationssicherheit das große Ganze. Quasi das Dach oder – wie in der Grafik dargestellt – die große Blase, die weitere kleinere Blasen enthält. Wie der Name schon vermuten lässt, handelt es sich ganz allgemein um die Sicherheit von Informationen.
Ergebnis einer guten Informationssicherheit sind Daten, die entsprechend ihrem Risiko geschützt werden.
Arten der Informationen
Diese Informationen können ganz unterschiedlicher Natur sein. Es können Daten sein, die digital vorliegen. Irgendwo im Internet gespeichert, auf Servern in Unternehmen oder zu Hause. Es können Informationen in Papierform sein, die in Ordnern abgelegt sind oder gerade aus dem Drucker kommen. Es können aber auch Informationen sein, die per Sprache am Telefon, im Onlinemeeting oder per Textnachricht in einem Chat übertragen werden.
Schutz der Informationen
Betrachten wir nun den zweiten Teil des Worts „Informationssicherheit“, kommen wir zum Schutz-Aspekt. Wie können diese vielfältigen Arten von Informationen nun geschützt werden? Auch hier gibt es wieder sehr viele Möglichkeiten.
Als Erstes denkt man sicherlich an die Maßnahmen der IT-Sicherheit. Das ist natürlich richtig. Trotzdem gibt es auch noch andere Möglichkeiten, um Informationen zu schützen. Das können physikalische Maßnahmen sein wie ein Zutrittsschutz zu Gebäuden oder Räumen. Es können aber auch rein organisatorische Maßnahmen sein, die über eine Richtlinie regeln, dass zum Beispiel private Nutzung nicht erlaubt ist.
In welchem Umfang und in welcher Tiefe die Schutzmaßnahmen nötig sind, entscheidet das Risiko. Vertraulichkeit, Integrität und Verfügbarkeit stellen die drei Grundwerte der Informationssicherheit dar. Welche Risiken können durch deren Verlust für Ihr Unternehmen resultieren? Das allein ist ein sehr umfangreiches Thema. Mehr dazu erfahren Sie im Artikel zur Risikoanalyse.
Aber beantworten wir nun die Eingangsfrage: Was ist der Unterschied zwischen Datenschutz und Datensicherheit?
Definition Datensicherheit
Datensicherheit ist letztendlich nur ein anderes Wort für den Schutz der Informationen. Bezogen auf das Bild oben repräsentiert „Datensicherheit“ die 2. Säule (Schutz der Informationen).
Beim Begriff Datensicherheit schränkt man nicht ein, welche Arten und Inhalte von Daten geschützt werden sollen. Das können vertrauliche Geschäftsinformationen, Verträge und Entwicklungsunterlagen genauso sein wie Informationen über Mitarbeiter (also Informationen über Personen). Ebenfalls gibt es keine Einschränkungen über die Art der zu schützenden Daten. Papier, elektronisch, per Sprache… Ganz egal welches Medium. Für jede Form muss ein adäquater Schutz entsprechend dem Risiko umgesetzt werden.
Was ist nun der Unterschied zum Datenschutz?
Definition Datenschutz
Der Begriff Datenschutz steht für den Schutz von personenbezogenen Daten. Inhaltlich werden also ausschließlich Informationen betrachtet, die sich auf eine natürliche Person beziehen. Das sind natürlich Klassiker wie Name, Adresse, Geburtsdatum, persönliche Merkmale und so weiter.
Genauso gibt es aber auch Merkmale, die nicht sofort erkennbar sind, Sie dennoch als Person beschreiben oder Ihnen zugehörig sind. Das ist Ihr Autokennzeichen genauso wie Ihr Surfverhalten im Internet, Ihre Kreditkartenabrechnung oder die Bestellung im Onlineversand.
In welcher Form können diese personenbezogenen Daten auftreten?
Es können digitale Daten sein, die im Dateisystem liegen oder in Datenbanken gespeichert sind.
Die Daten können digital in den sozialen Medien veröffentlicht sein (egal ob durch Dritte oder durch Sie selbst, in beiden Fällen sind es personenbezogene Daten).
Die personenbezogenen Daten können in Papierform als Verträge (z.B. Arbeitsvertrag, Versicherungsabschluss…) vorliegen und in Archiven abgelegt sein.
Auch wenn wir uns über Dritte unterhalten oder Sie sich telefonisch bei Ihrer Bank identifizieren, werden mündlich personenbezogene Daten übertragen.
Sehen Sie diese Punkte nur als ein paar Beispiele. Die Liste können Sie natürlich beliebig weiterführen.
Personenbezogene Daten sind ja nicht per se schlecht oder deren Verarbeitung verboten. Manchmal kommt es aber so bei uns an. Dies ist nicht der Fall. Wichtig ist nur, dass diese Daten rechtmäßig verarbeitet werden und entsprechend geschützt sind.
Und? Hätten Sie es gewusst? Was macht den Unterschied zwischen Informationssicherheit, Datensicherheit und Datenschutz aus?
Zusammenfassung Informationssicherheit, Datensicherheit und Datenschutz
Informationssicherheit ist der Überbegriff, also das große Ganze. Datenschutz und Datensicherheit sind Teilmengen. Der Datenschutz bezieht sich nur auf den Schutz von personenbezogenen Daten. Ziel ist es, die Person dahinter zu schützen. Datensicherheit bezieht sich auf den Schutz von Informationen allgemein. Inhaltlich gibt es hier keine Einschränkung. Personenbezogene Daten sind ein Teil dieser Daten, die geschützt werden sollen.
Grundwerte der Informationssicherheit: Vertraulichkeit, Verfügbarkeit und Integrität
Das Sicherstellen und Aufrechterhalten der drei Aspekte Vertraulichkeit, Verfügbarkeit und Integrität ist das Hauptziel der Informationssicherheit. Im Umkehrschluss bedeutet das, es existiert ein Risiko für die Sicherheit der zu schützenden Informationen, wenn einer der Aspekte verletzt ist.
Manchmal liest man auch die englische Abkürzung für die Grundwerte der Informationssicherheit: CIA. Sie steht für Confidentiality (Vertraulichkeit), Integrity (Integrität) und Availability (Verfügbarkeit).
Vertraulichkeit
Vertraulichkeit bedeutet in diesem Zusammenhang, dass eine Information nur für autorisierte Personen, Entitäten und Prozesse zugänglich ist. Die Vertraulichkeit ist z.B. verletzt, wenn ein Angreifer eine fremde E-Mail abfängt und lesen kann.
Verfügbarkeit
Verfügbarkeit bezeichnet die Eigenschaft einer Information, für berechtigte Nutzer zur Verfügung zu stehen, wenn diese sie benötigen. Beispielsweise möchte ein Vertriebsmitarbeiter die Bestelldaten eines Kunden verfügbar haben, wenn dieser anruft und Fragen zu seiner Bestellung hat.
Integrität
Unter Integrität versteht man, dass Informationen in Hinblick auf Richtigkeit und Vollständigkeit geschützt sind. So können beispielsweise Prüfsummen die Unversehrtheit einer Datei oder ganzer Dateisysteme sicherstellen.
Authentizität, Verbindlichkeit und weitere Begriffe
Neben Vertraulichkeit, Verfügbarkeit und Integrität gibt es weitere Begriffe, die in Zusammenhang mit der Sicherheit von Informationen von Bedeutung sind. Sie ergänzen die Grundwerte der Informationssicherheit.
Authentizität
So bezeichnet Authentizität die Eigenschaft einer Entität, tatsächlich das zu sein, was sie vorgibt zu sein. Diese Eigenschaft wird zum Beispiel bei einem Man-In-The-Middle-Angriff verletzt. Konkret kann man sich das so vorstellen: Die Teilnehmer Frau Meier und Frau Weber kommunizieren elektronisch. Ein Angreifer unterbricht die Verbindung. Er stellt sich sozusagen zwischen die Frauen Meier und Weber. Gegenüber Frau Meier gibt er sich im weiteren Verlauf der Kommunikation als Frau Weber aus. Umgekehrt gibt er sich gleichzeitig gegenüber Frau Weber als Frau Meier aus.
Authentisierung
In diesem Fall hilft Authentisierung. Das ist ein Vorgang, der zweifelsfrei die Identität einer Entität prüft. In der Kommunikation zwischen Frau Weber und Frau Meier kann die Authentisierung beispielsweise über Protokolle erfolgen. Aber Frau Meier und Frau Weber können sich auch selbst authentisieren. Z.B. über elektronische Schlüssel oder biometrische Daten, wie ihren Fingerabdruck.
Verbindlichkeit
In diesem Zusammenhang spielt auch die Verbindlichkeit eine Rolle. Damit ist gemeint, dass Ereignisse oder Aktionen sowie die verursachenden Entitäten zweifelsfrei nachvollzogen werden können. In der Praxis können beispielsweise Server Log Files einen Nachweis darüber liefern, welcher Benutzer ein bestimmtes Dokument zuletzt verändert hat.
Zurechenbarkeit
Ganz ähnlich ist die Zurechenbarkeit. Werden sicherheitsrelevante Aktionen durchgeführt, sollten diese einer bestimmten Entität verbindlich zugeordnet werden können. Das ist z.B. wichtig, wenn man im Haftungsfall einen Verantwortlichen sucht. Dafür ist es unbedingt notwendig, die Zurechenbarkeit auch technisch umsetzen zu können.
Verlässlichkeit
Auch die Verlässlichkeit ist im Bezug auf die Informationssicherheit von großer Bedeutung. Verhalten sich die eingesetzten Komponenten konsistent und ihrer Bestimmung entsprechend, sind sie verlässlich. So sollte man als Anwender beispielsweise stutzig werden, wenn die Seite des Onlinebankings plötzlich anders aussieht und zur Authentisierung völlig andere Daten abfragt als bisher.
Zugriff und Berechtigungen
Damit kommen wir zur Zugriffssteuerung. Nur bei erfolgreicher Authentifizierung kann der Benutzer auf sein Konto online zugreifen. Die Zugriffssteuerung setzt ein Berechtigungskonzept voraus. Dieses legt fest, welche Benutzer berechtigt sind, auf welche Daten zuzugreifen.
Datensicherheit umsetzen und Maßnahmen auswählen
Jetzt haben wir uns mit den Begriffen der Datensicherheit, des Datenschutzes und vor allem der Informationssicherheit beschäftigt. Was bleibt, ist die Frage, wie setzt man das alles am besten um.
Das würde – wie Sie sich vorstellen können – den Rahmen dieses Beitrags sprengen. Daher haben wir verschiedene Beiträge und Onlinekurse zur Sicherheit der Daten.
Datenschutz im Unternehmen umsetzen
Beiträge zum Thema Datenschutz und DSGVO
Services zum Datenschutz und der DSGVO
Informationssicherheit im Unternehmen umsetzen
Beiträge
Welche Begriffe fehlen?
Welche Fachbegriffe aus dem großen Bereich der Informationssicherheit fehlen Ihnen in der Definition?
Gerne sind wir über Vorschläge und Anregungen dankbar und ergänzen die Punkte im Beitrag! Schreiben Sie einen kurzen Kommentar mit Ihrer Anmerkung! Herzlichen Dank!
Diesen Beitrag teilen
Datensicherheit – GlossarWiki
1 Definition
Allgemein versteht man unter Datensicherheit die Vertraulichkeit (nur autorisierte Benutzer haben Zugang zu übertragenen und gespeicherten Daten), die Integrität (Schutz vor beabsichtigten oder unbeabsichtigten Veränderungen), die Verfügbarkeit (Gewährleistung des ständigen Zugriffs auf die Daten) und die Kontrollierbarkeit (Prüfung der Maßnahmen durch Protokollierung). Datensicherheit hat also zum Ziel, beliebige Daten vor Schäden wie Manipulation und Nicht-Verfügbarkeit schützen. Hierzu zählen unter anderem Aspekte wie die pysische Sicherheit, der Schutz vor Fremdzugriffen, der Schutz vor internen Zugriffen, die Verschlüsselung der Kommunikation, die Datensicherung wie auch Updates und Patches.
1.1 Bemerkungen
Vollständige Sicherheit lässt sich bei Content-Management-Systemen aufgrund der hohen Komplexität nur schwer verwirklichen.
1.2 Beispiele
Sicherheitsmaßnahmen können beispielsweise durch Verschlüsselungs- bzw. Kryptographieverfahren, Firewalls, Virenscanner, Backups oder Protokollierung getroffen werden.
1.3 Quellen
Bruce Schneider (2001): "Secrets & Lies – IT-Sicherheit in einer vernetzten Welt", dpunkt.verlag
Verbraucherzentrale Bundesverband e.V., "Sicherheit im Internet", http://www.verbraucherbildung.de/projekt01/media/pdf/FB_Sicherheit_Internet_Wischniewski_1004.pdf, Stand: 29.06.2006
Dieser Artikel ist GlossarWiki-konform
Datensicherheit: So schützen Sie Ihre Unternehmensdaten
In vielen kleineren Unternehmen wird das Thema Datensicherheit immer noch stiefmütterlich behandelt. Dabei sind Daten das A und O in jedem Betrieb. Egal, ob Kundenadressen, Angebote oder Buchhaltungsbelege – Daten sind der zentrale Faktor für den wirtschaftlichen Erfolg. Datensicherheit sollte deshalb in jedem Unternehmen oberste Priorität haben. Viele kleinere Unternehmen merken allerdings erst, wie wichtig es ist, Daten zu schützen, wenn das Kind bereits in den Brunnen gefallen ist.
Hat ein Unternehmen keinen Zugriff mehr auf seine Geschäftsdaten, kann das schwerwiegende Folgen haben – bis hin zur Existenzbedrohung. Wie wichtig Datensicherheit ist, zeigt sich an dem Beispiel von Kundendaten: Sind auf einmal sämtliche Adressen, Telefonnummern, Auftragshistorien oder hinterlegte Rabatte nicht mehr da, steht der Betrieb still. Diese Daten wieder komplett neu aufzubauen, nimmt sehr viel Zeit in Anspruch und verursacht dadurch hohe Kosten. Von den Lieferausfällen in dieser Zeit einmal ganz abgesehen. Ein solcher Datencrash kann in der Folge sogar existenzbedrohend sein.
Ungenügende Aktualisierung von Software und falsche Bedienung sind die mit Abstand größten Gefahren für die Datensicherheit. Aber kleine Unternehmen werden auch immer häufiger zum Ziel von Angriffen durch Cyberkriminelle und Hacker. Der Grund hierfür liegt auf der Hand: Während sich die Cybergauner an den Sicherheitsvorkehrungen der großen Unternehmen häufig die Zähne ausbeißen, haben sie bei kleineren Unternehmen oft noch ein (zu) leichtes Spiel. Dabei hat der Gesetzgeber den Unternehmen konkrete gesetzliche Pflichten zur Datensicherheit auferlegt.
