Datensicherheit – Definition und Ziele

In vielen Gesprächen und auch in den Artikeln auf diesem Blog verwenden wir Fachbegriffe. Einer der Grundlegenden ist der Begriff der Datensicherheit. Wahrscheinlich ist auch Ihnen dieses Wort schon regelmäßig untergekommen. Datensicherheit – was ist das eigentlich genau? Was versteht man darunter? Was ist der Unterschied zum Datenschutz? Warum ist denn Datensicherheit überhaupt so wichtig? Und vor allem, wie kann man Datensicherheit gewährleisten?

Diesen Fragen möchte ich mich in diesem Artikel widmen.

Was ist eigentlich der Unterschied zwischen Datenschutz und Datensicherheit?

Um diese Frage zu beantworten, möchte ich noch einen weiteren Begriff einführen – den Begriff der Informationssicherheit. Ein eher unbekannter, bzw. selten verwendeter Begriff. Allerdings ist es der Oberbegriff für unsere gesamte Thematik.

Informationssicherheit - Datenschutz und Datensicherheit
Was ist eigentlich Informationssicherheit? Wie stehen Datenschutz und Datensicherheit dazu im Bezug?

Wie das Bild zeigt, ist die Informationssicherheit das große Ganze. Quasi das Dach oder – wie in der Grafik dargestellt – die große Blase, die weitere kleinere Blasen enthält. Wie der Name schon vermuten lässt, handelt es sich ganz allgemein um die Sicherheit von Informationen.

Definition Informationssicherheit
Ergebnis einer guten Informationssicherheit sind Daten, die entsprechend ihrem Risiko geschützt werden.

Arten der Informationen

Diese Informationen können ganz unterschiedlicher Natur sein. Es können Daten sein, die digital vorliegen. Irgendwo im Internet gespeichert, auf Servern in Unternehmen oder zu Hause. Es können Informationen in Papierform sein, die in Ordnern abgelegt sind oder gerade aus dem Drucker kommen. Es können aber auch Informationen sein, die per Sprache am Telefon, im Onlinemeeting oder per Textnachricht in einem Chat übertragen werden.

Schutz der Informationen

Betrachten wir nun den zweiten Teil des Worts „Informationssicherheit“, kommen wir zum Schutz-Aspekt. Wie können diese vielfältigen Arten von Informationen nun geschützt werden? Auch hier gibt es wieder sehr viele Möglichkeiten.

Als Erstes denkt man sicherlich an die Maßnahmen der IT-Sicherheit. Das ist natürlich richtig. Trotzdem gibt es auch noch andere Möglichkeiten, um Informationen zu schützen. Das können physikalische Maßnahmen sein wie ein Zutrittsschutz zu Gebäuden oder Räumen. Es können aber auch rein organisatorische Maßnahmen sein, die über eine Richtlinie regeln, dass zum Beispiel private Nutzung nicht erlaubt ist.

In welchem Umfang und in welcher Tiefe die Schutzmaßnahmen nötig sind, entscheidet das Risiko. Vertraulichkeit, Integrität und Verfügbarkeit stellen die drei Grundwerte der Informationssicherheit dar. Welche Risiken können durch deren Verlust für Ihr Unternehmen resultieren? Das allein ist ein sehr umfangreiches Thema. Mehr dazu erfahren Sie im Artikel zur Risikoanalyse.

Aber beantworten wir nun die Eingangsfrage: Was ist der Unterschied zwischen Datenschutz und Datensicherheit?

Definition Datensicherheit

Datensicherheit ist letztendlich nur ein anderes Wort für den Schutz der Informationen. Bezogen auf das Bild oben repräsentiert „Datensicherheit“ die 2. Säule (Schutz der Informationen).
Beim Begriff Datensicherheit schränkt man nicht ein, welche Arten und Inhalte von Daten geschützt werden sollen. Das können vertrauliche Geschäftsinformationen, Verträge und Entwicklungsunterlagen genauso sein wie Informationen über Mitarbeiter (also Informationen über Personen). Ebenfalls gibt es keine Einschränkungen über die Art der zu schützenden Daten. Papier, elektronisch, per Sprache… Ganz egal welches Medium. Für jede Form muss ein adäquater Schutz entsprechend dem Risiko umgesetzt werden.

Was ist nun der Unterschied zum Datenschutz?

Definition Datenschutz

Der Begriff Datenschutz steht für den Schutz von personenbezogenen Daten. Inhaltlich werden also ausschließlich Informationen betrachtet, die sich auf eine natürliche Person beziehen. Das sind natürlich Klassiker wie Name, Adresse, Geburtsdatum, persönliche Merkmale und so weiter.

Genauso gibt es aber auch Merkmale, die nicht sofort erkennbar sind, Sie dennoch als Person beschreiben oder Ihnen zugehörig sind. Das ist Ihr Autokennzeichen genauso wie Ihr Surfverhalten im Internet, Ihre Kreditkartenabrechnung oder die Bestellung im Onlineversand.

In welcher Form können diese personenbezogenen Daten auftreten?

  • Es können digitale Daten sein, die im Dateisystem liegen oder in Datenbanken gespeichert sind.
  • Die Daten können digital in den sozialen Medien veröffentlicht sein (egal ob durch Dritte oder durch Sie selbst, in beiden Fällen sind es personenbezogene Daten).
  • Die personenbezogenen Daten können in Papierform als Verträge (z.B. Arbeitsvertrag, Versicherungsabschluss…) vorliegen und in Archiven abgelegt sein.
  • Auch wenn wir uns über Dritte unterhalten oder Sie sich telefonisch bei Ihrer Bank identifizieren, werden mündlich personenbezogene Daten übertragen.

Sehen Sie diese Punkte nur als ein paar Beispiele. Die Liste können Sie natürlich beliebig weiterführen.

Personenbezogene Daten sind ja nicht per se schlecht oder deren Verarbeitung verboten. Manchmal kommt es aber so bei uns an. Dies ist nicht der Fall. Wichtig ist nur, dass diese Daten rechtmäßig verarbeitet werden und entsprechend geschützt sind.

Und? Hätten Sie es gewusst? Was macht den Unterschied zwischen Informationssicherheit, Datensicherheit und Datenschutz aus?

Zusammenfassung Informationssicherheit, Datensicherheit und Datenschutz

Informationssicherheit ist der Überbegriff, also das große Ganze. Datenschutz und Datensicherheit sind Teilmengen. Der Datenschutz bezieht sich nur auf den Schutz von personenbezogenen Daten. Ziel ist es, die Person dahinter zu schützen. Datensicherheit bezieht sich auf den Schutz von Informationen allgemein. Inhaltlich gibt es hier keine Einschränkung. Personenbezogene Daten sind ein Teil dieser Daten, die geschützt werden sollen.

Grundwerte der Informationssicherheit: Vertraulichkeit, Verfügbarkeit und Integrität

Das Sicherstellen und Aufrechterhalten der drei Aspekte Vertraulichkeit, Verfügbarkeit und Integrität ist das Hauptziel der Informationssicherheit. Im Umkehrschluss bedeutet das, es existiert ein Risiko für die Sicherheit der zu schützenden Informationen, wenn einer der Aspekte verletzt ist.

Manchmal liest man auch die englische Abkürzung für die Grundwerte der Informationssicherheit: CIA. Sie steht für Confidentiality (Vertraulichkeit), Integrity (Integrität) und Availability (Verfügbarkeit).

Vertraulichkeit

Vertraulichkeit bedeutet in diesem Zusammenhang, dass eine Information nur für autorisierte Personen, Entitäten und Prozesse zugänglich ist. Die Vertraulichkeit ist z.B. verletzt, wenn ein Angreifer eine fremde E-Mail abfängt und lesen kann.

Verfügbarkeit

Verfügbarkeit bezeichnet die Eigenschaft einer Information, für berechtigte Nutzer zur Verfügung zu stehen, wenn diese sie benötigen. Beispielsweise möchte ein Vertriebsmitarbeiter die Bestelldaten eines Kunden verfügbar haben, wenn dieser anruft und Fragen zu seiner Bestellung hat.

Integrität

Unter Integrität versteht man, dass Informationen in Hinblick auf Richtigkeit und Vollständigkeit geschützt sind. So können beispielsweise Prüfsummen die Unversehrtheit einer Datei oder ganzer Dateisysteme sicherstellen.

Authentizität, Verbindlichkeit und weitere Begriffe

Neben Vertraulichkeit, Verfügbarkeit und Integrität gibt es weitere Begriffe, die in Zusammenhang mit der Sicherheit von Informationen von Bedeutung sind. Sie ergänzen die Grundwerte der Informationssicherheit.

Authentizität

So bezeichnet Authentizität die Eigenschaft einer Entität, tatsächlich das zu sein, was sie vorgibt zu sein. Diese Eigenschaft wird zum Beispiel bei einem Man-In-The-Middle-Angriff verletzt. Konkret kann man sich das so vorstellen: Die Teilnehmer Frau Meier und Frau Weber kommunizieren elektronisch. Ein Angreifer unterbricht die Verbindung. Er stellt sich sozusagen zwischen die Frauen Meier und Weber. Gegenüber Frau Meier gibt er sich im weiteren Verlauf der Kommunikation als Frau Weber aus. Umgekehrt gibt er sich gleichzeitig gegenüber Frau Weber als Frau Meier aus.

Authentisierung

In diesem Fall hilft Authentisierung. Das ist ein Vorgang, der zweifelsfrei die Identität einer Entität prüft. In der Kommunikation zwischen Frau Weber und Frau Meier kann die Authentisierung beispielsweise über Protokolle erfolgen. Aber Frau Meier und Frau Weber können sich auch selbst authentisieren. Z.B. über elektronische Schlüssel oder biometrische Daten, wie ihren Fingerabdruck.

Verbindlichkeit

In diesem Zusammenhang spielt auch die Verbindlichkeit eine Rolle. Damit ist gemeint, dass Ereignisse oder Aktionen sowie die verursachenden Entitäten zweifelsfrei nachvollzogen werden können. In der Praxis können beispielsweise Server Log Files einen Nachweis darüber liefern, welcher Benutzer ein bestimmtes Dokument zuletzt verändert hat.

Zurechenbarkeit

Ganz ähnlich ist die Zurechenbarkeit. Werden sicherheitsrelevante Aktionen durchgeführt, sollten diese einer bestimmten Entität verbindlich zugeordnet werden können. Das ist z.B. wichtig, wenn man im Haftungsfall einen Verantwortlichen sucht. Dafür ist es unbedingt notwendig, die Zurechenbarkeit auch technisch umsetzen zu können.

Verlässlichkeit

Auch die Verlässlichkeit ist im Bezug auf die Informationssicherheit von großer Bedeutung. Verhalten sich die eingesetzten Komponenten konsistent und ihrer Bestimmung entsprechend, sind sie verlässlich. So sollte man als Anwender beispielsweise stutzig werden, wenn die Seite des Onlinebankings plötzlich anders aussieht und zur Authentisierung völlig andere Daten abfragt als bisher.

Zugriff und Berechtigungen

Damit kommen wir zur Zugriffssteuerung. Nur bei erfolgreicher Authentifizierung kann der Benutzer auf sein Konto online zugreifen. Die Zugriffssteuerung setzt ein Berechtigungskonzept voraus. Dieses legt fest, welche Benutzer berechtigt sind, auf welche Daten zuzugreifen.

Datensicherheit umsetzen und Maßnahmen auswählen

Jetzt haben wir uns mit den Begriffen der Datensicherheit, des Datenschutzes und vor allem der Informationssicherheit beschäftigt. Was bleibt, ist die Frage, wie setzt man das alles am besten um.

Das würde – wie Sie sich vorstellen können – den Rahmen dieses Beitrags sprengen. Daher haben wir verschiedene Beiträge und Onlinekurse zur Sicherheit der Daten.

Datenschutz im Unternehmen umsetzen

Beiträge zum Thema Datenschutz und DSGVO

Services zum Datenschutz und der DSGVO

Informationssicherheit im Unternehmen umsetzen

Beiträge

Welche Begriffe fehlen?

Welche Fachbegriffe aus dem großen Bereich der Informationssicherheit fehlen Ihnen in der Definition?

Gerne sind wir über Vorschläge und Anregungen dankbar und ergänzen die Punkte im Beitrag! Schreiben Sie einen kurzen Kommentar mit Ihrer Anmerkung! Herzlichen Dank!

Diesen Beitrag teilen

Wie hilfreich war der Artikel?
Danke!
Regina Stoiber

Seit über 10 Jahren bin ich nun im Bereich Informationssicherheit und Datenschutz tätig. Mit Begeisterung für das Thema bin ich seit einigen Jahren nun selbständig. Ich unterstütze Sie, beim Schützen Ihrer Daten. Praxisorientiert, strukturiert und persönlich.

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

f