Datenschutz, Datensicherheit, Cybersicherheit und weitere Definition und Ziele

In vielen Gesprächen und auch in den Artikeln auf diesem Blog verwenden wir Fachbegriffe. Einer der Grundlegenden ist der Begriff der Datensicherheit. Wahrscheinlich ist auch Ihnen dieses Wort schon regelmäßig untergekommen. Datensicherheit – was ist das eigentlich genau? Was versteht man darunter? Was ist der Unterschied zum Datenschutz? Warum ist denn Datensicherheit überhaupt so wichtig? Und vor allem, wie kann man Datensicherheit gewährleisten?

Im täglichen Business merken wir immer wieder, dass die Begriffe ganz unterschiedlich verwendet werden. Viele Definitionen sind nicht klar und werden teilweise auch falsch verwendet. In diesem Beitrag möchte ich damit aufräumen und verständlich erklären, um was es bei den Begriffen geht.

Zudem ist mir auch wichtig, auf den immer häufiger verwendeten Begriff der Cybersecurity oder Cybersicherheit einzugehen. Gerade die Frage nach Cybersicherheit für Unternehmen wird immer häufiger gestellt. Was versteht man dahinter eigentlich?

Was ist eigentlich der Unterschied zwischen Datenschutz und Datensicherheit?

Um diese Frage zu beantworten, möchte ich noch einen weiteren Begriff einführen – den Begriff der Informationssicherheit. Ein eher unbekannter, bzw. selten verwendeter Begriff. Allerdings ist es der Oberbegriff für unsere gesamte Thematik.

Wie das Bild zeigt, ist die Informationssicherheit das große Ganze. Quasi das Dach oder – wie in der Grafik dargestellt – die große Blase, die weitere kleinere Blasen enthält. Wie der Name schon vermuten lässt, handelt es sich ganz allgemein um die Sicherheit von Informationen.

Für die Gourmets unter uns, lässt sich das Thema sogar auf’s Kochen übertragen. Manchmal ist es ok, ein Rezept in Nuancen zu variieren. Nicht jedem schmeckt dasselbe gleich gut. So ist es auch bei der Informationssicherheit. Nicht jedes Unternehmen hat zum Beispiel dieselben Anforderungen an den Datenschutz oder die physikalische Sicherheit. Hier macht es Sinn, das Rezept (die Vorgaben) an den eigenen Geschmack (Risikoniveau) anzupassen. Komplettes Weglassen oder Verändern von Zutaten kann gut gehen, aber nur wenn der Koch wirklich genau weiß, was er tut.

Arten der Informationen

Diese Informationen können ganz unterschiedlicher Natur sein. Es können Daten sein, die digital vorliegen. Irgendwo im Internet gespeichert, auf Servern in Unternehmen oder zu Hause. Es können Informationen in Papierform sein, die in Ordnern abgelegt sind oder gerade aus dem Drucker kommen. Es können aber auch Informationen sein, die per Sprache am Telefon, im Onlinemeeting oder per Textnachricht in einem Chat übertragen werden.

Schutz der Informationen

Betrachten wir nun den zweiten Teil des Worts „Informationssicherheit“, kommen wir zum Schutz-Aspekt. Wie können diese vielfältigen Arten von Informationen nun geschützt werden? Auch hier gibt es wieder sehr viele Möglichkeiten.

Als Erstes denkt man sicherlich an die Maßnahmen der IT-Sicherheit. Das ist natürlich richtig. Trotzdem gibt es auch noch andere Möglichkeiten, um Informationen zu schützen. Das können physikalische Maßnahmen sein wie ein Zutrittsschutz zu Gebäuden oder Räumen. Es können aber auch rein organisatorische Maßnahmen sein, die über eine Richtlinie regeln, dass zum Beispiel private Nutzung nicht erlaubt ist.

In welchem Umfang und in welcher Tiefe die Schutzmaßnahmen nötig sind, entscheidet das Risiko. Vertraulichkeit, Integrität und Verfügbarkeit stellen die drei Grundwerte der Informationssicherheit dar. Welche Risiken können durch deren Verlust für Ihr Unternehmen resultieren? Das allein ist ein sehr umfangreiches Thema. Mehr dazu erfahren Sie im Artikel zur Risikoanalyse.

Aber beantworten wir nun die Eingangsfrage: Was ist der Unterschied zwischen Datenschutz und Datensicherheit?

Definition Datensicherheit

Datensicherheit ist letztendlich nur ein anderes Wort für den Schutz der Informationen. Bezogen auf das Bild oben repräsentiert „Datensicherheit“ die 2. Säule (Schutz der Informationen).
Beim Begriff Datensicherheit schränkt man nicht ein, welche Arten und Inhalte von Daten geschützt werden sollen. Das können vertrauliche Geschäftsinformationen, Verträge und Entwicklungsunterlagen genauso sein wie Informationen über Mitarbeiter (also Informationen über Personen). Ebenfalls gibt es keine Einschränkungen über die Art der zu schützenden Daten. Papier, elektronisch, per Sprache… Ganz egal welches Medium. Für jede Form muss ein adäquater Schutz entsprechend dem Risiko umgesetzt werden.

Was ist nun der Unterschied zum Datenschutz?

Definition Datenschutz

Der Begriff Datenschutz steht für den Schutz von personenbezogenen Daten. Inhaltlich werden also ausschließlich Informationen betrachtet, die sich auf eine natürliche Person beziehen. Das sind natürlich Klassiker wie Name, Adresse, Geburtsdatum, persönliche Merkmale und so weiter.

Genauso gibt es aber auch Merkmale, die nicht sofort erkennbar sind, Sie dennoch als Person beschreiben oder Ihnen zugehörig sind. Das ist Ihr Autokennzeichen genauso wie Ihr Surfverhalten im Internet, Ihre Kreditkartenabrechnung oder die Bestellung im Onlineversand.

In welcher Form können diese personenbezogenen Daten auftreten?

• Es können digitale Daten sein, die im Dateisystem liegen oder in Datenbanken gespeichert sind.
• Die Daten können digital in den sozialen Medien veröffentlicht sein (egal ob durch Dritte oder durch Sie selbst, in beiden Fällen sind es personenbezogene Daten).
• Die personenbezogenen Daten können in Papierform als Verträge (z.B. Arbeitsvertrag, Versicherungsabschluss…) vorliegen und in Archiven abgelegt sein.
• Auch wenn wir uns über Dritte unterhalten oder Sie sich telefonisch bei Ihrer Bank identifizieren, werden mündlich personenbezogene Daten übertragen.

Sehen Sie diese Punkte nur als ein paar Beispiele. Die Liste können Sie natürlich beliebig weiterführen.

Personenbezogene Daten sind ja nicht per se schlecht oder deren Verarbeitung verboten. Manchmal kommt es aber so bei uns an. Dies ist nicht der Fall. Wichtig ist nur, dass diese Daten rechtmäßig verarbeitet werden und entsprechend geschützt sind.

Und? Hätten Sie es gewusst? Was macht den Unterschied zwischen Informationssicherheit, Datensicherheit und Datenschutz aus?

Zusammenfassung Informationssicherheit, Datensicherheit und Datenschutz

Informationssicherheit ist der Überbegriff, also das große Ganze. Datenschutz und Datensicherheit sind Teilmengen. Der Datenschutz bezieht sich nur auf den Schutz von personenbezogenen Daten. Ziel ist es, die Person dahinter zu schützen. Datensicherheit bezieht sich auf den Schutz von Informationen allgemein. Inhaltlich gibt es hier keine Einschränkung. Personenbezogene Daten sind ein Teil dieser Daten, die geschützt werden sollen.

Aber was ist eigentlich Cybersicherheit oder Cybersecurity?

Gibt es eine einheitliche Definition für Cybersicherheit?

Die Frage stelle ich mir jedesmal, wenn ich das höre? In den Anfängen des Internets (damals, als das Modem noch gepiepst hat…), sprach man häufig vom Cyberspace. Der Weltraum der Daten, so hat sich das bei mir im Gedächtnis eingebrannt.

Wenn ich jetzt beim BSI die Definition dazu nachlese, dann sehen die das zu meiner Freude sogar recht ähnlich:

Der Cyber-Raum ist der virtuelle Raum aller weltweit auf Datenebene vernetzten bzw. vernetzbaren informationstechnischen Systeme. Dem Cyber-Raum liegt als öffentlich zugängliches Verbindungsnetz das Internet zugrunde, welches durch beliebige andere Datennetze erweitert werden kann.

https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Glossar-der-Cyber-Sicherheit/Functions/glossar.html

(M)einer logischen Schlussfolgerung nach, wäre demnach Cybersecurity Internetsicherheit, oder? Liest oder hört man allerdings, in welchen Zusammenhängen Cybersicherheit verwendet wird, ergibt meine Logik keinen Sinn.

Cybersicherheit oder Cybersecurity wird quasi als Synonym für Informationssicherheit verwendet oder manchmal auch für IT-Sicherheit. Also so gesehen, gibt es keine einheitliche Verwendung und keine einheitliche Definition.

Selbst bei Recherchen im Internet findet man unterschiedliche Auslegungen und Definitionen des Begriffs.

Cyber-Sicherheit befasst sich mit allen Aspekten der Sicherheit in der Informations- und Kommunikationstechnik. Das Aktionsfeld der Informationssicherheit wird dabei auf den gesamten Cyber-Raum ausgeweitet. Dieser umfasst sämtliche mit dem Internet und vergleichbaren Netzen verbundene Informationstechnik und schließt darauf basierende Kommunikation, Anwendungen, Prozesse und verarbeitete Informationen mit ein. Häufig wird bei der Betrachtung von Cyber-Sicherheit auch ein spezieller Fokus auf Angriffe aus dem Cyber-Raum gelegt.

https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Glossar-der-Cyber-Sicherheit/Functions/glossar.html

Die Definition von Gabler – Wirtschaftslexikon ist ähnlich:

Cybersecurity oder IT-Sicherheit ist der Schutz von Netzwerken, Computersystemen, cyber-physischen Systemen und Robotern vor Diebstahl oder Beschädigung ihrer Hard- und Software oder der von ihnen verarbeiteten Daten sowie vor Unterbrechung oder Missbrauch der angebotenen Dienste und Funktionen. Bei den Daten handelt es sich sowohl um persönliche als auch um betriebliche (die wiederum persönliche sein können).

https://wirtschaftslexikon.gabler.de/definition/cybersecurity-99856

Und abschließend an dieser Stelle (natürlich nicht zum Thema) noch eine amerikanische Definition der Regierung, der Cybersecurity & Infrastructure Security Agency:

Cybersecurity is the art of protecting networks, devices, and data from unauthorized access or criminal use and the practice of ensuring confidentiality, integrity, and availability of information. It seems that everything relies on computers and the internet now—communication (e.g., email, smartphones, tablets), entertainment (e.g., interactive video games, social media, apps ), transportation (e.g., navigation systems), shopping (e.g., online shopping, credit cards), medicine (e.g., medical equipment, medical records), and the list goes on.

https://www.cisa.gov/uscert/ncas/tips/ST04-001

Cybersicherheit ist nicht gleich Informationssicherheit

Auch wenn es keine einheitliche und festgeschriebene Definition für Cybersecurity gibt, kommt doch in den referenzierten Zitaten an, dass Cybersicherheit nicht gleich Informationssicherheit ist. In meinem Verständnis bezieht sich Cybersicherheit sehr stark auf den IT-technischen Aspekt der Informationssicherheit. Am besten könnte man Cybersicherheit als Synonym zur IT-Sicherheit sehen. Damit könnte ich auch mitgehen.

Dann bin ich an dieser Stelle auch so frei und definiere den Begriff aus dem Mund der Datenbeschützerin.

Definition Cybersicherheit / Cybersecurity durch die Datenbeschützerin

Cybersicherheit oder Cybersecurity kann als Synonym des Begriffs IT-Sicherheit verwendet werden. Es betrachtet alle technischen Schutzmaßnahmen, die übertragene, verarbeitete oder gespeicherte digitale Daten hinsichtlich Verfügbarkeit, Vertraulichkeit und Integrität schützt.

Cybersicherheit gehört damit zur Informationssicherheit und deckt speziell die IT-Technik ab.

Definition Cybersicherheit durch die Datenbeschützerin

Verwendung des Begriffs Cybersicherheit

Spricht man im Expertenkreis über die Themen Datensicherheit, IT-Sicherheit und Informationssicherheit, dann fällt der Begriff Cybersicherheit oder Cybersecurity überhaupt nicht. Tatsächlich wird der Begriff im deutschen Sprachgebrauch häufig zu Werbezwecken verwendet. Cybersecurity klingt eben mehr sexy und interessant, als Informationssicherheit, oder?

Wir werden auch bei unseren Begriffen, wie Informationssicherheit und Datensicherheit bleiben. Vielleicht lassen wir uns im Marketing nun doch häufiger zur Verwendung des Wortes Cybersicherheit hinreißen. Wer weiß?

Cybersicherheit für Unternehmen

Trotzdem möchte ich noch kurz auf die Frage eingehen, was Cybersicherheit für Unternehmen bedeutet. Diese Frage wird immer wieder gestellt.

An dieser Stelle muss man nachfragen, was das Ziel ist. Soll eine gesamtheitliche Betrachtung der Informationssicherheit erfolgen? Dann wäre es sinnvoll in Richtung Managementsystem für Informationssicherheit zu gehen.

Steht tatsächlich nur die Betrachtung der IT-Sicherheitsmaßnahmen im Fokus, dann reicht vielleicht auch ein rein technisches Audit oder ein Schwachstellenscan.

Gerne unterstützen wir Sie dabei, wenn Sie Ihr Unternehmen bezüglich Cybersicherheit fit machen möchten. Schreiben Sie uns eine kurze Mail oder füllen Sie das Anfrageformular aus.

Grundwerte der Informationssicherheit: Vertraulichkeit, Verfügbarkeit und Integrität

Das Sicherstellen und Aufrechterhalten der drei Aspekte Vertraulichkeit, Verfügbarkeit und Integrität ist das Hauptziel der Informationssicherheit. Im Umkehrschluss bedeutet das, es existiert ein Risiko für die Sicherheit der zu schützenden Informationen, wenn einer der Aspekte verletzt ist.

Manchmal liest man auch die englische Abkürzung für die Grundwerte der Informationssicherheit: CIA. Sie steht für Confidentiality (Vertraulichkeit), Integrity (Integrität) und Availability (Verfügbarkeit).

Vertraulichkeit

Vertraulichkeit bedeutet in diesem Zusammenhang, dass eine Information nur für autorisierte Personen, Entitäten und Prozesse zugänglich ist. Die Vertraulichkeit ist z.B. verletzt, wenn ein Angreifer eine fremde E-Mail abfängt und lesen kann.

Verfügbarkeit

Verfügbarkeit bezeichnet die Eigenschaft einer Information, für berechtigte Nutzer zur Verfügung zu stehen, wenn diese sie benötigen. Beispielsweise möchte ein Vertriebsmitarbeiter die Bestelldaten eines Kunden verfügbar haben, wenn dieser anruft und Fragen zu seiner Bestellung hat.

Integrität

Unter Integrität versteht man, dass Informationen in Hinblick auf Richtigkeit und Vollständigkeit geschützt sind. So können beispielsweise Prüfsummen die Unversehrtheit einer Datei oder ganzer Dateisysteme sicherstellen.

Authentizität, Verbindlichkeit und weitere Begriffe

Neben Vertraulichkeit, Verfügbarkeit und Integrität gibt es weitere Begriffe, die in Zusammenhang mit der Sicherheit von Informationen von Bedeutung sind. Sie ergänzen die Grundwerte der Informationssicherheit.

Authentizität

So bezeichnet Authentizität die Eigenschaft einer Entität, tatsächlich das zu sein, was sie vorgibt zu sein. Diese Eigenschaft wird zum Beispiel bei einem Man-In-The-Middle-Angriff verletzt. Konkret kann man sich das so vorstellen: Die Teilnehmer Frau Meier und Frau Weber kommunizieren elektronisch. Ein Angreifer unterbricht die Verbindung. Er stellt sich sozusagen zwischen die Frauen Meier und Weber. Gegenüber Frau Meier gibt er sich im weiteren Verlauf der Kommunikation als Frau Weber aus. Umgekehrt gibt er sich gleichzeitig gegenüber Frau Weber als Frau Meier aus.

Authentisierung

In diesem Fall hilft Authentisierung. Das ist ein Vorgang, der zweifelsfrei die Identität einer Entität prüft. In der Kommunikation zwischen Frau Weber und Frau Meier kann die Authentisierung beispielsweise über Protokolle erfolgen. Aber Frau Meier und Frau Weber können sich auch selbst authentisieren. Z.B. über elektronische Schlüssel oder biometrische Daten, wie ihren Fingerabdruck.

Verbindlichkeit

In diesem Zusammenhang spielt auch die Verbindlichkeit eine Rolle. Damit ist gemeint, dass Ereignisse oder Aktionen sowie die verursachenden Entitäten zweifelsfrei nachvollzogen werden können. In der Praxis können beispielsweise Server Log Files einen Nachweis darüber liefern, welcher Benutzer ein bestimmtes Dokument zuletzt verändert hat.

Zurechenbarkeit

Ganz ähnlich ist die Zurechenbarkeit. Werden sicherheitsrelevante Aktionen durchgeführt, sollten diese einer bestimmten Entität verbindlich zugeordnet werden können. Das ist z.B. wichtig, wenn man im Haftungsfall einen Verantwortlichen sucht. Dafür ist es unbedingt notwendig, die Zurechenbarkeit auch technisch umsetzen zu können.

Verlässlichkeit

Auch die Verlässlichkeit ist im Bezug auf die Informationssicherheit von großer Bedeutung. Verhalten sich die eingesetzten Komponenten konsistent und ihrer Bestimmung entsprechend, sind sie verlässlich. So sollte man als Anwender beispielsweise stutzig werden, wenn die Seite des Onlinebankings plötzlich anders aussieht und zur Authentisierung völlig andere Daten abfragt als bisher.

Zugriff und Berechtigungen

Damit kommen wir zur Zugriffssteuerung. Nur bei erfolgreicher Authentifizierung kann der Benutzer auf sein Konto online zugreifen. Die Zugriffssteuerung setzt ein Berechtigungskonzept voraus. Dieses legt fest, welche Benutzer berechtigt sind, auf welche Daten zuzugreifen.

Datensicherheit umsetzen und Maßnahmen auswählen

Jetzt haben wir uns mit den Begriffen der Datensicherheit, des Datenschutzes und vor allem der Informationssicherheit beschäftigt. Was bleibt, ist die Frage, wie setzt man das alles am besten um.

Das würde – wie Sie sich vorstellen können – den Rahmen dieses Beitrags sprengen. Daher haben wir verschiedene Beiträge und Onlinekurse zur Sicherheit der Daten.

Datenschutz im Unternehmen umsetzen

Beiträge zum Thema Datenschutz und DSGVO

• Erstellung eines Verfahrensverzeichnisses
• Die Aufgaben des Datenschutzbeauftragten
• Umsetzen der Informationspflicht
• Wann handelt es sich um einen Auftragsverarbeiter?
• Rund um die Betroffenenrechte
• Haftung des Datenschutzbeauftragten
• DSFA – Datenschutzfolgenabschätzung
• Rechtsgrundlage Einwilligung

Services zum Datenschutz und der DSGVO

• Onlinekurs DSGVO Umsetzung
• DSB Mentoring – 3-monatige Begleitung des betrieblichen DSBs bei der Umsetzung der Anforderungen

Informationssicherheit im Unternehmen umsetzen

Beiträge

• Risikoanalyse
• IT-Sicherheitsrichtlinie einführen mit Muster

Welche Begriffe fehlen?

Welche Fachbegriffe aus dem großen Bereich der Informationssicherheit fehlen Ihnen in der Definition?

Gerne sind wir über Vorschläge und Anregungen dankbar und ergänzen die Punkte im Beitrag! Schreiben Sie einen kurzen Kommentar mit Ihrer Anmerkung! Herzlichen Dank!

Ganz besonders interessiert uns natürlich auch Ihre Interpretation des Begriffs der Cybersicherheit. Wie stehen Sie dazu? Modename oder sinnvolle Begriff aus der Branche?