Was ist Datensicherheit?

Datensicherheit bedeutet die Sicherung von Daten jeder Art - analog und digital - gegen unrechtmäßigen Zugriff und Verlust. Ziel ist die Verringerung der Wahrscheinlichkeit der unberechtigten Verwendung, Offenlegung, Änderung und Löschung von Daten und Informationen. Nach Bundesdatenschutzgesetz §9 inkl. Anlage müssen Unternehmen die Datensicherheit durch geeignete organisatorische und technische Maßnahmen gewährleisten. Demgemäß müssen verschiedene Arten der Kontrolle gegeben sein:

  • Trennung von Daten unterschiedlicher Zwecke (Datensicherung)
  • Zutrittskontrolle (räumlicher Zutritt), Zugangskontrolle (Systemzugang), Zugriffskontrolle (Datenzugriff)
  • Eingabekontrolle (Nachverfolgbarkeit von Aktivitäten und Urhebern)
  • Weitergabekontrolle (Datenkopie)
  • Auftragskontrolle (Datenverarbeitung gemäß Auftraggeber:innen)
  • Verfügbarkeitskontrolle (Schutz von Daten gegen Verlust)

Ziele der Datensicherheit

Hauptziele von Sicherheitsmaßnahmen sind Vertraulichkeit, Integrität und Verfügbarkeit aller Unternehmensdaten. Vertraulichkeit bedeutet, dass nur befugte Personen Zugriff haben. Integrität meint, dass die Daten unversehrt vor technischen Defekten und Manipulation bleiben. Verfügbarkeit soll garantieren, dass im Bedarfsfall vorhandene Daten jederzeit genutzt werden können.

Weitere erwünschte Ziele können Daten betreffen, die sich außerhalb des Unternehmensnetzwerks bewegen: Authentizität, Nichtabstreitbarkeit und Zurechenbarkeit. Authentizität bedeutet die Echtheit und Vertrauenswürdigkeit von Daten. Nichtabstreitbarkeit meint, dass durchgeführte Handlungen nicht abgestritten werden können (beim Abschluss elektronischer Verträge). Zurechenbarkeit heißt, dass Handlungen dem Urheber eindeutig zugeordnet werden können.

Gefahren

Häufigste Gefahrenquellen für die Datensicherheit ist fehlerhafte oder nachlässige Bedienung (z.B. schwache Passwörter) sowie vorsätzliches Vorgehen durch Unternehmensmitarbeiter:innen.

Weitere Gefahren sind:

  • Sicherheitslücken in Software und Netzwerkkonfiguration
  • mangelnde Datensicherung (Backups)
  • Sabotage (z.B. Einbruch und Vandalismus auf einer Website durch Schadsoftware (Malware) wie Viren und Trojaner, die das System korrumpieren oder für unautorisierten Zugriff über das Internet öffnen (Backdoor))
  • Überlastung und Lahmlegung einer Website (Distributed Denial of Service)
  • Identitätsdiebstahl (unberechtigte Nutzung angeeigneter Zugangsdaten)
  • Physischer Einbruch und Diebstahl von Geräten; betroffen sind besonders in der Öffentlichkeit mitgeführte mobile Geräte
  • höhere Gewalt wie Brand, Überschwemmung oder Blitzschlag

IT-Sicherheitsmanagement

Unternehmen wählen nach einer Risikoanalyse ihrer IT-Systeme passende Sicherheitsmaßnahmen nach anerkannten Standards. Vorgehensweisen für die IT-Sicherheit werden von der Internationalen Organisation für Normung (ISO) zusammen mit der Internationalen Elektrotechnischen Kommission (IEC) und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegeben. Der Aufwand muss auf den Wert der zu schützenden Unternehmenswerte abgestimmt werden.

Maßnahmen

Ziel ist die effiziente Umsetzung von Sicherheitsmaßnahmen, ohne die Produktivität des Unternehmens zu behindern.

Standardmaßnahmen umfassen Zugangskontrolle, zugriffsmäßig eingeschränkte Nutzerrechte, sichere Passwörter, regelmäßige Aktualisierung der Software, umfassende regelmäßige Datensicherung (Backups), Virenschutzsoftware, Firewalls (Zugriffsfilter zwischen Internet und Intranet (internes Unternehmensnetzwerk)), Verschlüsselung sensibler Informationen, Protokollierung aller Systemvorgänge.

Wichtigste Vorsichtsmaßnahme ist die regelmäßige Aufklärung und Schulung der Nutzer:innen, um ein Sicherheitsbewusstsein zu schaffen.

Datenschutz

Von Datensicherheit zu unterscheiden ist der Begriff Datenschutz, der sich auf personenbezogene Daten bezieht. Laut dem Bundesbeauftragten für Datenschutz und Informationssicherheit (BfDI) soll Datenschutz jedem Bürger das Recht auf informationelle Selbstbestimmung, Schutz vor missbräuchlicher Datenverarbeitung und Schutz der Privatsphäre garantieren.

Personenbezogene Daten müssen gemäß dem Bundesdatenschutzgesetz (BDSG) und den Datenschutzgesetzen der Länder verarbeitet werden. Schutzziel ist demnach Resilienz, d.h. Belastbarkeit der Daten gegenüber Ausspähung und mutwilliger oder irrtümlicher Manipulation.

Während Datensicherheit alle Daten eines Unternehmens betrifft, geht es beim Datenschutz also nur um personenbezogene Daten.