Was bedeutet „Datensicherheit“?
Was bedeutet „Datensicherheit“? Wir erläutern die rechtliche Definition aus der Praxis und der Rechtsprechung.
Definition Datensicherheit
Im Gegensatz zum Datenschutz beschäftigt sich die Datensicherheit mit dem allgemeinen Schutz von Daten, wobei es erstmal nicht darauf ankommt, ob diese Daten Personenbezug haben oder nicht. Daher fallen unter diesen Begriff grundsätzlich auch Daten, egal ob digital oder analog, wie beispielsweise Baupläne.
Dabei spielt die Gattung der Daten eigentlich keine Rolle, sondern vielmehr unter welchen Maßnahmen die Daten geschützt werden müssen, um den Zustand der Datensicherheit zu erreichen. Eine Maßnahme zum Schutz von analogen Daten wäre beispielsweise, die Dokumente in einen abgesperrten Raum zu bringen, um sie vor ungewolltem Zugriff zu schützen.
Letzten Endes ist es jedoch sehr schwierig, eine vollkommene Datensicherheit zu gewährleisten, da unendlich viele Faktoren berücksichtigt werden müssen.
Zielsetzungen der Datensicherheit
Unter Datensicherheit versteht man in Deutschland allgemein alle technischen Aspekte, die dem Schutz aller bestehenden Arten von Daten dienen. Bei der Sicherung von Daten werden dabei bestimmte Zielsetzungen verfolgt, welche wir im Folgenden genauer erklären.
Vertraulichkeit:
Unter Vertraulichkeit versteht man, dass der Zugriff auf die Daten nur von befugten Personen vorgenommen werden kann. Die Vertraulichkeit ist nur dann gewährleistet, wenn die Personen, die auf Datensätze zugreifen können, auch wirklich dazu berechtigt sind. Jedoch ist es damit nicht getan, nicht zu vergessen ist auch, dass die Daten bei der Übertragung nicht von unautorisierten Personen gelesen werden dürfen. Daher müssen die Datensätze beim Übermitteln in geeigneter Weise verschlüsselt werden, sodass man diese nicht einfach lesen kann.
Ein Beispiel hierfür ist der E-Mail-Verkehr. Dort werden meist mehrere tausend E-Mails verschickt und damit auch vertrauliche Informationen übertragen. Um Datensicherheit gewährleisten zu können, müssen diese E-Mails zuverlässig verschlüsselt sein.
Auch Daten, welche in Räumlichkeiten, beispielsweise in Form von analogen Dokumenten, verarbeitet oder gelagert werden, müssen entsprechend gesichert werden. Räume mit Inhalten dieser Art müssen so gesichert sein, dass diese nicht frei zugänglich sind und die Daten vor externen Zugriffen geschützt sind.
Verfügbarkeit:
Unter Datenverfügbarkeit bzw. Data Availability versteht man die Zeit, in der das System funktioniert. Anders beschreiben lässt sich dieser Begriff als Grad der Funktionalität der informationstechnischen Systeme. Konkret bedeutet dies, dass die Systeme jeder Zeit betriebsbereit sein sollten und die Verarbeitung der Daten korrekt abläuft.
Um Verfügbarkeit gewährleisten zu können, sollte man sich zuerst einmal einen Überblick über die im Unternehmen vorhandenen Systeme und Datenbestände verschaffen. Danach wäre eine Analyse angebracht, um zu sehen, welche dieser Systeme und Datenbestände unbedingt notwendig sind, damit die Arbeitsabläufe im Unternehmen funktionieren.
Diese sollten dann entsprechend gegen Ausfälle geschützt werden.
Integrität:
Oftmals wird Integrität mit Vertraulichkeit verwechselt. Bei Integrität steht jedoch nicht die Berechtigung zum Zugriff auf vertrauliche Daten im Fokus, viel mehr die Korrektheit von Daten (Datenintegrität), sowie die Funktionalität der informationstechnischen Systeme (Systemintegrität).
Differenziert wird Integrität in eine starke und schwache Ausprägung. Wenn überhaupt keine Möglichkeit besteht, unbefugt Daten zu manipulieren, spricht man von einer starken Integrität. Sobald die Manipulation generell möglich ist, jedoch auf keinen Fall unbemerkt, wird von einer schwachen Integrität gesprochen.
In den meisten Fällen ist eine Beeinflussung der Daten jedoch leider nicht zu verhindern. Unter solch einer Manipulation versteht man …
- die Veränderung,
- das Löschen sowie
- das Einfügen von Daten.
Ein gutes Beispiel ist die Beeinflussung von Forschungs- und Entwicklungsdaten. Wird die Integrität dieser Daten aufgrund einer kleinen, unerkannten Änderung zerstört, könnte man sämtlichen Daten nicht mehr trauen, da diese ja womöglich nicht der Wahrheit entsprechen.
Der Unterschied zwischen Datensicherheit und Datensicherung
Die beiden Begriffe ähneln sich sehr, jedoch sind Datensicherheit und Datensicherung auf keinen Fall dasselbe.
Der Ausdruck Datensicherung ist ein Synonym für das englische Wort Backup. Darunter versteht man den Vorgang, bei dem Daten beispielsweise auf einem externen Medium gesichert werden.
Im Gegensatz dazu, ist die Datensicherheit kein Vorgang, sondern viel mehr ein Zustand. Dieser Zustand wird erreicht, wenn verschiedene Schutzmaßnahmen vorgenommen wurden. Dazu kann aber auch sehr wohl die Datensicherung gehören, da diese schließlich Verluste vorbeugt.
Maßnahmen zur Datensicherheit
Die Maßnahmen, welche vorgenommen werden, um die Datensicherheit zu gewährleisten, lassen sich grob in zwei Bereiche aufteilen. Zum einen die technischen Maßnahmen, zum anderen die organisatorischen Vorkehrungen.
Beispiele für technische Maßnahmen:
- Technische Überwachung des Zugriffs auf Daten
- Verschlüsselung
- Regelmäßige Sicherung der Daten
- Sicherung der Netzwerke zur Datenübertragung
- Sichere Authentifizierung von Prozessen, Anwendungen und Usern
- Kontrolle des Datenverkehrs mithilfe von Firewalls
- Installation von Virenschutzsoftware
- Sicherstellung einer unterbrechungsfreien Stromversorgung
- Protokollierung aller Datenveränderungen und –zugriffe
- Schutz des physischen Zugangs zu den Daten bzw. Gebäudesicherung
Beispiele für organisatorische Maßnahmen:
- Einführung von Rollenkonzepten
- Festlegung von Verantwortlichkeiten
- Schulung der Mitarbeiter
- Kategorisierung der Daten abhängig von Wichtigkeit und Verwendung
- Regelungen von Besuchern
- Erarbeitung von Viren- und Backupschutzkonzepten
- Einführung des Vier-Augen Prinzips
- Regelmäßige Audits zur Prüfung der getroffenen Maßnahmen und der Sicherheit der Daten
Datensicherheitstechnologien
Die folgenden Datensicherheitstechnologien werden verwendet, um Verstöße zu verhindern, das Risiko zu verringern und den Schutz aufrechtzuerhalten.
Datenprüfung
Die Frage ist nicht, ob eine Sicherheitsverletzung existiert, sondern wann eine Sicherheitsverletzung vorliegt.
Es ist von entscheidender Bedeutung, über eine Datenüberwachungslösung zu verfügen, mit der Zugriffssteuerungsänderungen an Daten erfasst und gemeldet werden können. Des Weiteren sollte dokumentiert sein, welche Personen Zugriff auf vertrauliche Daten hatten sowie auf welche Dateien auf welchen Datenpfaden zugegriffen worden ist.
Das Ziel ist dabei Transparenz zu erlangen, um nicht autorisierte Änderungen und mögliche Verstöße zu verhindern.
Bewertung des Datenrisikos
Mithilfe von Datenrisikobewertungen können Unternehmen ihre sensibelsten Daten identifizieren und anschließend zuverlässige und wiederholbare Schritte zur Priorisierung und Behebung schwerwiegender Sicherheitsrisiken anbieten.
Risikobewertungen fassen wichtige Erkenntnisse zusammen, decken Schwachstellen auf, bieten eine detaillierte Erläuterung zur einzelnen Problemstelle und enthalten priorisierte Empfehlungen zur Behebung.