Cybersecurity für den Mittelstand: Jeden Mittwoch, 16 Uhr

IT-Security wissen by enginsight

Sicherheit Ihrer Daten – So werden Unternehmen sicherer

Inhalt

Nicht erst seit der digitalen Vernetzung spielt die Sicherheit von Daten in jedem Unternehmen eine entscheidende Rolle. Das betrifft vom kleinen Betrieb bis zum Großkonzern jede Unternehmensform. Die Datensicherheit in Unternehmen ist vor allem aufgrund der gravierenden finanziellen und rechtlichen Folgen von Datenlecks oder Diebstählen von enormer Wichtigkeit.

Allgemein werden unter der Sicherheit von Daten sämtliche technische Aspekte verstanden, die den Schutz von allen möglichen Arten von Informationen beinhalten. Welche Ziele dahinter stehen und welche Maßnahmen sich dafür treffen lassen, erfahren Sie im nachfolgenden Beitrag.

Was ist Datensicherheit?

Datensicherheit ist ein Begriff, der grundsätzlich die Sicherheit von allen Daten beschreibt, unabhängig ob es sich um personenbezogene oder andere Daten handelt. Auch in welcher Form die Daten vorliegen – digital oder analog – spielt keine Rolle.

Was ist der Unterschied zwischen Datenschutz, Datensicherheit und Informationssicherheit?

Die Begriffe Datenschutz, Datensicherheit und Informationssicherheit werden in unserem Sprachgebrauch häufig synonym verwendet. Doch dabei handelt es sich um gänzlich unterschiedliche Begrifflichkeiten. Während es beim Datenschutz typischerweise lediglich um den Schutz von Personendaten geht, befasst sich die Datensicherheit mit dem generellen Schutz jeglicher Datenformen vor Verlust, Diebstahl oder Missbrauch. Das können beispielsweise auch vertrauliche Konstruktionspläne sein. Zudem geht es bei der Sicherheit von Daten nicht also um die Grundsatzfrage, ob sie überhaupt erhoben werden dürfen, sondern um die Maßnahmen, mit denen schon bestehende Daten geschützt werden.

Mit Informationssicherheit ist vor allem der Schutz von Informationen gemeint. Auch hier sind digitale und analoge sowie personenbezogene und nicht personenbezogene Informationen inbegriffen. Als Maßnahme kann beispielsweise ein ISMS (Information Security Management System) etabliert werden.

Der Begriff der Datensicherheit wird auch häufig als Teilbereich der umfassenderen Informationssicherheit angesehen.

Die Schutzziele von Informationssicherheit

Für die Sicherheit von Daten gilt das Primärziel, dass sämtliche Daten gegen Verlust, Manipulation, unberechtigte Kenntnisnahme und jegliche andere Gefahren zu sichern sind. Gemäß §9 BDSG (Bundesdatenschutzgesetz) ist die Datensicherheit durch geeignete Maßnahmen zu gewährleisten – dazu zählen sowohl technische als auch organisatorische Maßnahmen. Ohne entsprechende Maßnahmen des Datenschutzes könnte somit keine Sicherheit gewährleistet werden. Im Umkehrschluss ist die Datensicherheit eine nötige Voraussetzung für wirksame Datenschutzmaßnahmen. Die beiden Begriffe Datenschutz und Datensicherheit bedingen sich also gegenseitig.

Die Schutzziele für die Informationssicherheit werden in unterschiedliche Kategorien unterteilt, um unterschiedliche Arten von Angriffen besser beschreiben zu können. Dazu gehören:

  • Vertraulichkeit
  • Integrität
  • Authentizität
  • Verfügbarkeit 

Da alle Schutzziele ineinandergreifen, dürfen sie nicht separiert betrachtet werden. Wie wichtig die jeweiligen Ziele für ein Unternehmen sind, sollte im Einzelfall abgewogen werden.

Vertraulichkeit

Vertraulichkeit als Schutzziel bedeutet, dass nur berechtigten Personen der Datenzugang erlaubt ist. Für diese Vertraulichkeit braucht es Sicherheitsmaßnahmen, um unbefugte Zugriffe auf Informationen, Systeme und Konfigurationen zu verhindern.

Integrität

Ein weiteres Schutzziel für die Sicherheit von Informationen ist die Integrität, also die Korrektheit und Verlässlichkeit der Daten. Ein potenzieller Angriff auf die Integrität wäre eine Verfälschung der Informationen. Das können veränderte Nachrichten oder fehlerhaft arbeitende Soft- oder Hardware sein.

Authentizität

Bei der Authentizität handelt es sich um ein Schutzziel, das die Echtheit und Glaubwürdigkeit einer Information gewährleisten soll. Ein möglicher Angriff auf die Authentizität wäre die unautorisierte Erzeugung oder Verbreitung von Nachrichten – beispielsweise unter einer falschen Identität.

Verfügbarkeit

Verfügbarkeit bedeutet wiederum, dass Informationen generell zur Verfügung stehen und von den jeweils berechtigten Personen genutzt werden können. Bei einem Ausfall des Servers oder anderer Kommunikationsmittel würde die Verfügbarkeit bedroht werden.

Maßnahmen für die Datensicherheit

Um für die Sicherheit von Daten zu sorgen, werden in §9 BDSG (Bundesdatenschutzgesetz) unterschiedliche Maßnahmen festgelegt. Beispielsweise dienen technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO (Datenschutz-Grundverordnung) datenverarbeitenden Stellen für die Sicherheit von personenbezogenen Informationen. Darunter fallen verschiedene Kontrollarten:

MaßnahmenZielBeispiel  
Zugriffskontrollenur Befugte dürfen auf Daten zugreifenProtokollierung  
ZutrittskontrolleUnbefugten soll der Zutritt zu Informationen verweigert werdenAlarmanlage/Security  
ZugangskontrolleUnbefugte dürfen keine Datenverarbeitungsanlagen nutzenPasswortsystem/Codierung  
EingabekontrolleNachträgliche Überprüfung, wer Informationen verändert oder entfernt hatProtokollauswertung  
VerfügbarkeitskontrolleDaten werden Beschädigung oder Verlust geschütztDatensicherung/Backup/Firewall  
AuftragskontrolleInformationen dürfen nur Auftragsgemäß verarbeitet werdenVertragsgestaltung   
WeitergabekontrolleDaten dürfen bei elektronischer Übertragung nicht von Unbefugten gelesen oder verändert werden.Verschlüsselungssysteme/VPN  
TrennungsgebotZu unterschiedlichen Zwecken erhobene Informationen dürfen nur getrennt verarbeitet werdenTrennung von Systemen   

Die verschiedenen Kontrollmechanismen sollen also die Sicherheit vor unbefugten Zugriffen, Manipulation und Zerstörung von Datensätzen gewährleisten.

Zudem können regelmäßige Schulungen von Mitarbeiten sowie unternehmensweite Benutzerrichtlinien für den Umgang mit Informationen helfen, das Gefährdungspotential zu verringern.

Gefahren und Risiken

Wird die Sicherheit von Informationen als primäres Ziel vorausgesetzt, ergeben sich Gefahren und Risiken vor allem in technischer Hinsicht und durch den Zugriff von unbefugten Personen. Insbesondere bei der Sicherheit im Internet spielt der technische Aspekt eine entscheidende Rolle. Beispielsweise Viren oder interne Cloud-Systeme sind potenzielle Schwachstellen der Sicherheit.

Durch die oben genannten Kontrollmechanismen werden eben solche technischen Gefahren reduziert bzw. beseitigt und die Sicherheit der Daten gewährleistet. Auch für die Gefahr durch den unbefugten Zugriff von Personen gibt es entsprechende Maßnahmen.

Datenschutz und Informationssicherheit bleibt für jedes Unternehmen ein wichtiges Thema

Die Sicherheit von Daten, egal ob personenbezogen oder nicht, bleibt in jedem Unternehmen von unschätzbarem Wert, die sie jederzeit Bedrohungen ausgesetzt sind. Diese zu erkennen und zu reduzieren ist entscheidend für die Sicherheit von Informationen in Ihrem Unternehmen, um keine schwerwiegenden Konsequenzen befürchten zu müssen. Die Durchführung der technischen und organisatorischen Maßnahmen gemäß DSGVO sollte daher von primären Interesse sein.

« Zurück zur Glossar-Übersicht
Share on linkedin
Share on twitter
Share on facebook

Sie haben Fragen?

Gerne können Sie mir uns zum Thema IT-Sicherheit und Enginsight kontaktieren.

hello@enginsight.com
+49 (0)3641 2714966

Enginsight Logo