+49 (0) 8323 – 209 99 40
info@immerce.de
Immerce GmbH Logo
Müns Frank
Ratgeber
Keine Kommentare

Was bedeutet „Datensicherheit“?

Was bedeutet „Datensicherheit“? Wir erläutern die rechtliche Definition aus der Praxis und der Rechtsprechung.

Definition Datensicherheit

Im Gegensatz zum Datenschutz beschäftigt sich die Datensicherheit mit dem generellen Schutz von Daten, unabhängig davon, ob diese einen Personenbezug haben oder nicht.

Daher fallen unter diesen Begriff grundsätzlich auch Daten, wie beispielsweise Baupläne, ganz egal ob sie in digitaler oder analoger Form dargestellt wurden.

Bei der Datensicherheit geht es weniger darum, ob Daten erhoben und verarbeitet werden dürfen.

Das Ziel sind viel mehr die Maßnahmen, die ergriffen werden müssen, um den Zustand der Datensicherheit zu erreichen und um den Schutz der Daten gewährleisten zu können.

Demnach wird Datenschutz erreicht, indem man viele verschiedene Aktionen vornimmt.

Eine Maßnahme zum Schutz von analogen Daten wäre beispielsweise einen Feuerfesten Aktenschrank zum Aufbewahren der Dokumente zu nutzen.

Letzten Endes ist es jedoch sehr schwierig, eine vollkommenen Datensicherheit zu gewährleisten, da unendlich viele Faktoren berücksichtigt werden müssen.

Zielsetzungen der Datensicherheit

Unter Datensicherheit versteht man in Deutschland allgemein alle technischen Aspekte, die dem Schutz aller bestehenden Arten von Daten dienen.

Bei der Sicherung von Daten werden dabei bestimmte Zielsetzungen verfolgt, welche wir im Folgenden genauer erklären.

 

Vertraulichkeit:

Unter Vertraulichkeit versteht man, dass der Zugriff auf die Daten nur von befugten Personen vorgenommen werden kann.

Die Vertraulichkeit ist nur dann gewährleistet, wenn die Personen, die auf Datensätze zugreifen können, auch wirklich dazu berechtigt sind.

Jedoch ist es damit nicht getan, nicht zu vergessen ist auch, dass die Daten bei der Übertragung nicht von unautorisierten Personen gelesen werden dürfen.

Daher müssen die Datensätze beim Übermitteln in geeigneter Weise verschlüsselt werden, sodass man diese nicht einfach lesen kann.

Ein Beispiel hierfür ist der E-Mail-Verkehr. Dort werden meist mehrere tausend E-Mails verschickt und damit auch vertrauliche Informationen übertragen.

Um Datensicherheit gewährleisten zu können, müssen diese E-Mails zuverlässig verschlüsselt sein.

Auch Daten welche in Räumlichkeiten, beispielsweise in Form von analogen Dokumenten, verarbeitet oder gelagert werden, müssen entsprechend gesichert werden.

Räume mit Inhalten dieser Art müssen so gesichert sein, dass diese nicht frei zugänglich sind und die Daten vor externen Zugriffen geschützt sind.

 

Verfügbarkeit:

Unter Datenverfügbarkeit bzw. Data Availability versteht man ganz einfach die Zeit, in der das System funktioniert.

Anders beschreiben lässt sich dieser Begriff als Grad der Funktionalität der informationstechnischen Systeme.

Konkret bedeutet dies, dass die Systeme jeder Zeit betriebsbereit sein sollten und die Verarbeitung der Daten korrekt abläuft.

Um Verfügbarkeit gewehrleisten zu können, sollte man sich zuerst einmal einen Überblick über die im Unternehmen vorhandenen Systeme und Datenbestände verschaffen.

Danach wäre eine Analyse angebracht, um zu sehen welche dieser Systeme und Datenbestände unbedingt notwendig sind, damit die Arbeitsabläufe im Unternehmen funktionieren.

Diese sollten dann entsprechend gegen Ausfälle geschützt werden.

 

Integrität:

Oftmals wird Integrität mit Vertraulichkeit verwechselt.

Bei Integrität steht jedoch nicht die Berechtigung zum Zugriff auf vertrauliche Daten im Fokus, viel mehr die Korrektheit von Daten (Datenintegrität), sowie die Funktionalität der informationstechnischen Systeme (Systemintegrität).

Differenziert wird Integrität in eine starke und schwache Ausprägung.

Wenn überhaupt keine Möglichkeit besteht, unbefugt Daten zu manipulieren, spricht man von einer starken Integrität.

Sobald die Manipulation generell möglich ist, jedoch auf keinen Fall unbemerkt, wird von einer schwachen Integrität gesprochen.

In den meisten Fällen ist eine Beeinflussung der Daten jedoch leider nicht zu verhindern. Unter solch einer Manipulation versteht man …

  •                               die Veränderung,
  •                               das Löschen sowie
  •                               das Einfügen von Daten.

Ein gutes Bespiel ist die Beeinflussung von Forschungs- und Entwicklungsdaten. Wird die Integrität dieser Daten aufgrund einer kleinen, unerkannten Änderung zerstört, könnte man sämtlichen Daten nicht mehr trauen, da diese ja womöglich nicht der Wahrheit entsprechen.

Der Unterschied zwischen Datensicherheit und Datensicherung

Die Beiden Begriffe ähneln sich sehr, jedoch sind Datensicherheit und Datensicherung auf keinen Fall dasselbe.

Der Ausdruck Datensicherung ist ein Synonym für das englische Wort Backup.

Darunter versteht man den Vorgang, bei dem Daten beispielsweise auf einem externen Medium gesichert werden.

Im Gegensatz dazu, ist die Datensicherheit kein Vorgang, sondern viel mehr ein Zustand.

Dieser Zustand wird erreicht, wenn verschiedene Schutzmaßnahmen vorgenommen wurden.

Dazu kann aber auch sehr wohl die Datensicherung gehören, da diese schließlich Verluste vorbeugt.

Maßnahmen zur Datensicherheit

Die Maßnahmen, welche vorgenommen werden, um die Datensicherheit zu gewährleisten, lassen sich grob in zwei Bereiche aufteilen. Zum einen die technischen Maßnahmen, zum anderen die organisatorischen Vorkehrungen.

Beispiele für technische Maßnahmen:

  • Technische Überwachung des Zugriffs auf Daten
  • Verschlüsselung
  • Regelmäßige Sicherung der Daten
  • Sicherung der Netzwerke zur Datenübertragung
  • Sichere Authentifizierung von Prozessen, Anwendungen und Usern
  • Kontrolle des Datenverkehrs mithilfe von Firewalls
  • Installation von Virenschutzsoftware
  • Sicherstellung einer unterbrechungsfreien Stromversorgung
  • Protokollierung aller Datenveränderungen und –zugriffe
  • Schutz des physischen Zugangs zu den Daten bzw. Gebäudesicherung

 

Beispiele für organisatorische Maßnahmen:

  • Einführung von Rollenkonzepten
  • Festlegung von Verantwortlichkeiten
  • Schulung der Mitarbeiter
  • Kategorisierung der Daten abhängig von Wichtigkeit und Verwendung
  • Regelungen von Besuchern
  • Erarbeitung von Viren- und Backupschutzkonzepten
  • Einführung des Vier-Augen Prinzips
  • Regelmäßige Audits zur Prüfung der getroffenen Maßnahmen und der Sicherheit der Daten

Datensicherheitstechnologien

Die folgenden Datensicherheitstechnologien werden verwendet, um Verstöße zu verhindern, das Risiko zu verringern und den Schutz aufrechtzuerhalten.

Datenprüfung

Die Frage ist nicht, ob eine Sicherheitsverletzung existiert, sondern wann eine Sicherheitsverletzung vorliegt.

Es ist von entscheidender Bedeutung, über eine Datenüberwachungslösung zu verfügen, mit der Zugriffssteuerungsänderungen an Daten erfasst und gemeldet werden können.

Des Weiteren sollte dokumentiert sein, welche Personen Zugriff auf vertrauliche Daten hatten sowie auf welche Dateien auf welchen Datenpfaden zugegriffen worden ist.

Das Ziel ist dabei Transparenz zu erlangen, um nicht autorisierte Änderungen und mögliche Verstöße zu verhindern.

Daten-Echtzeitwarnungen

In der Regel dauert es mehrere Monate, bis ein Verstoß festgestellt wird.

Unternehmen erfahren häufig von Verstößen ihrer Kunden oder Dritter anstelle ihrer eigenen IT-Abteilung.

Durch Überwachen der Datenaktivität und des verdächtigen Verhaltens in Echtzeit können Sie Sicherheitslücken schneller erkennen, die zu versehentlicher Zerstörung, Verlust, Änderung, unbefugter Offenlegung oder Zugriff auf personenbezogene Daten führen.

Bewertung des Datenrisikos

Mithilfe von Datenrisikobewertungen können Unternehmen ihre sensibelsten Daten identifizieren und anschließend zuverlässige und wiederholbare Schritte zur Priorisierung und Behebung schwerwiegender Sicherheitsrisiken anbieten.

Risikobewertungen fassen wichtige Erkenntnisse zusammen, decken Schwachstellen auf, bieten eine detaillierte Erläuterung zur einzelnen Problemstelle und enthalten priorisierte Empfehlungen zur Behebung.

Datenminimierung

In den letzten zehn Jahren des IT-Managements hat sich die Wahrnehmung von Daten verändert.

Bisher war es fast immer besser, mehr Daten zu haben als weniger.

Daten sind heute eine Verpflichtung.

Die Bedrohung durch eine Verletzung der Reputation, Millionenverluste oder strenge behördliche Bußgelder bestärken den Gedanken, dass das Sammeln von Daten, die über die Mindestmenge sensibler Daten hinausgehen, äußerst gefährlich ist.

Speichern Sie also nur, was sie wirklich benötigen und entfernen Sie veraltete Daten.

Vorheriger Beitrag
Wie können Sie Ihre Website DSGVO-konform gestalten?
Nächster Beitrag
Wie lange dürfen Mitarbeiterunterlagen gespeichert werden?
Du musst angemeldet sein, um einen Kommentar abzugeben.
Menü
Beratung
Telefon
Beratung Pop-up
Datenschutzerklärung

Hiermit erteile ich meine Einwilligung, ein Angebot per Mail über die Dienstleistung von www.immerce-consulting.de zu erhalten. Dies kann ich jederzeit widerrufen.
Bitte beachten Sie unsere Datenschutzerklärung.

Telefon:

+49 (0)8323 – 209 99 40

Öffnungszeiten:
Mo. - Fr.: 08:00 - 17:30 Uhr