• Datenschutz vs. Datensicherheit

    Der Datenschutz und auch die Datensicherheit sind in der medialen Welt heute von enormer Relevanz.

    Für Unternehmen hat sich die Verarbeitung personenbezogener Daten seit der DSGVO noch einmal deutlich verschärft. Viele Fallstricke und Unsicherheiten führen schnell zu Ahnungslosigkeit. Auch die einzelnen Begriffe zu den verschiedenen Themen lassen sich in der Praxis oftmals nicht so richtig voneinander trennen. Der Artikel soll einen übersichtlichen Einstieg in die Thematik geben und für Klarheit und mehr Verständnis sorgen.

     

    Datenschutz

    Im Datenschutz geht es um den Schutz personenbezogener Daten vor Missbrauch. Zweck des Datenschutzes ist es, den einzelnen Menschen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Recht auf informationelle Selbstbestimmung nicht beeinträchtigt wird. Die Idee hinter dem Datenschutz ist, dass jeder Mensch selbst entscheiden kann, wem wann welche seiner persönlichen Daten zugänglich sein sollen bzw. wie diese weiterverarbeitet werden. Der Datenschutz beinhaltet somit sämtliche technische und organisatorische Maßnahmen gegen den Missbrauch persönlicher Daten durch Dritte.

     

    Datensicherheit

    Im Bereich der Datensicherheit werden alle technischen Aspekte verstanden, die dem Schutz von allen möglichen Arten von Daten dienen. Der häufigste Begriff im Zusammenhang mit der Datensicherheit ist bzw. sind die sogenannten "TOMs"....die technischen und organisatorischen Maßnahmen, die eine datenverarbeitende Stelle vorzusehen hat bzw. werden diese immer weiter entwickelt und einer regelmäßigen Überprüfung unterzogen. Schwachpunkte im Bereich der Datensicherheit sind in erster Linie hier natürlich technischer Natur bzw. der Zugriff durch fremde auf die eigenen Daten.

     

    Der Unterschied zwischen Datenschutz und Datensicherheit ist nicht immer ganz einfach zu verstehen. Man kann trotzdem durch zwei Kontrollfragen zwischen den beiden unterscheiden.

    Darf ich die Daten denn verarbeiten? -> Datenschutz

    Wie kann ich die Daten vor unbefugten Zugriff schützen? -> Datensicherheit

     

    Beispiele aus der Praxis? Ja, bitte!

    Probleme in Verbindung mit dem Datenschutz: Darf ich über die finanziellen Möglichkeiten meiner Kunden Daten erheben?

    Probleme in Verbindung mit der Datensicherheit: Wie stelle ich in meinem Netzwerk sicher, dass die einzelnen Mitarbeiter nur auf Daten zugreifen können, die sie für die tägliche Arbeit benötigen?

     

    Informationssicherheit

    Die Informationssicherheit soll die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherstellen. Dadurch lassen sich Informationen vor Gefahren wie unbefugten Zugriff oder Manipulation schützen. Im Unternehmensumfeld werden wirtschaftliche Schäden verhindert. Hier ist es vor allem bei sensiblen Daten sehr wichtig, ein entsprechendes Konzept zu haben. Bestandteile der Informationssicherheit ist die Datensicherheit, der Datenschutz, die IT-Sicherheit und die Computer-/Netzwerksicherheit. Die Informationssicherheit konzentriert sich nicht nur auf die Sicherheit von IT-Systemen, sondern ist auch in den organisatorischen und personellen Planungen / Regelungen sehr wichtig.

     

    IT-Sicherheit

    Die IT-Sicherheit gehört letztendlich als Bestandteil zur Informationssicherheit und wirkt hier vor allem in die technische Richtung, um IT-Systeme resistent gegen mögliche Angriffe und Datenabfluss abzusichern. Nicht nur der Schutz der technischen Verarbeitung von Informationen zählt dazu, sondern auch die fehlerfreie Funktionaltität und Zuverlässigkeit der eingesetzten IT-Systeme.

     

    Schutzziele von Daten-, Informations- und IT-Sicherheit

    Damit man entsprechende Maßnahmen planen und umsetzen kann, benötigt es auch hier noch einmal eine etwas genauere Definition. Hierfür gibt es die sogenannten Schutzziele, welche in unterschiedlichen Kategorien unterteilt werden. Je nach Literatur unterscheiden sich die Begrifflichkeiten ein wenig voneinander, was den eigentlichen Zweck aber nicht verändert. Die einzelnen Schutzziele dürfen nicht isoliert betrachtet werden, da sie wie die Zahnrädchen bei einem Uhrwerk zusammenspielen und auch ineinandergreifen. Ich habe hier zwischen Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität unterschieden.

     

    Vertraulichkeit (Confidentiality)

    Vertraulichkeit bedeutet, dass Daten nur von den Personen verändert oder eingesehen werden dürfen, die dazu auch berechtigt sind. Um Daten im Unternehmen vertraulich behandeln zu können, muss klar geregelt sein, wer denn eigentlich was machen darf. Jeglicher Angriff auf die Vertraulichkeit stellt die unbefugte Informationsgewinnung dar. Es müssen in einem Sicherheitskonzept Maßnahmen ergriffen und beschrieben werden, damit ein unbefugter Zugriff auf übermittelte Daten oder gespeicherte Daten verhindert werden kann.

     

    Verfügbarkeit (Availability)

    Verfügbarkeit bedeutet, dass die vorhandenen IT-Systeme und Daten zur Verfügung stehen und von autorisierten (berechtigten) Mitarbeitern oder Personen genutzt werden können, wenn benötigt. Was wäre ein "Angriff" auf die Verfügbarkeit? Zum Beispiel durch einen Serverausfall, ein Ausfall des Clusters oder von Kommunikationsmitteln (Telefonanlage, E-Mail-Server, Cloud-Anbindung).

     

    Integrität (Integrity)

    Integrität bedeutet, dass die Daten korrekt sind (Datenintegrität) und schließt die korrekte Funktionsweise des Systems (Systemintegrität) mit ein. Möchte man detailliert unterscheiden, ist es möglich zwischen starker und schwacher Integrität eine Linie zu ziehen. Was bedeutet das konkret? Starke Integrität liegt vor, wenn es keine Möglichkeiten zur unbefugten Datenmanipulation gibt. Schwache Integrität liegt vor, wenn eine Datenmanipulation zwar möglich ist, aber dies in keinem Fall unbemerkt durchgeführt werden kann.

     

    Authentizität (Authenticity)

    Authentizität bedeutet die Echtheit, Zuverlässigkeit und Glaubwürdigkeit einer Mitteilung. Man möchte sicherstellen, dass der Kommunikationspartner auch der ist, für den man ihn hält. Dafür muss eine Instanz einer anderen ihre Identität nachweisen können. Die Authentizität wird häufig als übergeordnetes Schutzziel angesehen, da die anderen Schutzziele sonst wertlos sind, wenn man nicht sicher sein kann, ob man mit dem tatsächlichen Gegenüber kommuniziert oder mit einem Unbekannten.

    Wir benutzen Cookies

    Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.

    Weitere Informationen Impressum