Daten und Code

Daten als Gold der Digitalisierung: Datenschutz in Unternehmen muss ganzheitlich gedacht werden

Die Buchhaltung wird über die Cloud abgehandelt, Verträge werden per E-Mail versandt. Daten und Informationen werden heutzutage wie selbstverständlich über digitale Wege übertragen und verarbeitet. Um vor Datenlecks und gezielten Angriffen geschützt zu sein, stehen Unternehmen in der Herausforderung, ihre Kommunikation und Datenverarbeitung zu sichern.



In der Digitalisierung werden Daten zu einem wertvollen Gut

Die Nutzung digitaler Hilfsmittel für die Verarbeitung und Übertragung von Daten ist inzwischen selbstverständlich. Die Datenmenge, die täglich über das Internet übertragen wird, ist enorm – beispielsweise werden allein rund 3,8 Millionen Suchanfragen pro Minute bei Google gestellt. Und die Tendenz dieser Datenflut ist nach wie vor steigend.

Das macht Daten zum sprichwörtlichen „Gold der Digitalisierung“. Digitale Daten und Informationen sind ein Gut von höchstem Interesse und entsprechend schützenswert. Das zeigt sich auch in dem Anstieg der Cyberkriminalität. Cyberkriminelle arbeiten stetig daran, durch breit angelegte und gezielte Angriffe Zugang zu Daten und Informationen zu erlangen. Aus überwiegend finanziellen Motiven werden diese häufig anschließend weiterverkauft oder erst gegen Lösegeldforderung wieder freigegeben. Diese Angriffe müssen dabei nicht zwangsweise von außen erfolgen – laut dem Verizon Data Breach Investigations Report 2020 sind ein Drittel der Angriffe auf interne Angreifer zurückzuführen.

Dieses hohe (kriminelle) Interesse an den Daten und Informationen zeigt deren Wert. Eine Sicherheitslücke kann für Unternehmen schnell hohe Kosten und Reputationsverlust verursachen, die das Unternehmen insgesamt gefährden. Umso wichtiger ist es, für eine umfassende Daten- und Informationssicherheit zu sorgen.



Datenschutz und IT-Sicherheit betreffen jedes Unternehmen

Zunehmende Vernetzung und technologische Entwicklungen wie Blockchain, Cloud Computing, Internet der Dinge oder Machine Learning bringen die Digitalisierung direkt in Unternehmen. Quer über alle Branchen hinweg ist die Digitalisierung ein Thema, das kurz- oder langfristig über die Wettbewerbsfähigkeit und Strategie der nächsten Jahre entscheidet.

Virtuelle Kommunikation, Einsatz von Cloud-Lösungen, digitale Transaktionen – der komplexe Datenfluss in Unternehmen kann schnell unübersichtlich werden und birgt Sicherheitsrisiken. Daher muss er gut überwacht und organisiert werden. Je vertraulicher die Informationen, desto wichtiger ein sicherer Umgang damit.

Spätestens seit dem Inkrafttreten der DSGVO (Datenschutzgrundverordnung) im Mai 2018 ist außerdem das spezifische Thema Datenschutz in den Fokus gerückt. Dies betrifft zwar nicht nur digitale Aspekte, aber mehrere Punkte der DSGVO machen deutlich, dass die Umsetzung eine ganzheitliche Strategie erfordert und Datenschutz einen wichtigen Part der Informationssicherheit ausmacht. 



Abgrenzung der Begriffe Datenschutz, Datensicherheit und IT-Sicherheit

Die Begrifflichkeiten Datenschutz, Datensicherheit und IT-Sicherheit werden im Alltag häufig synonym verwendet, oder aber auf unterschiedliche Weise interpretiert. Da diese Bereiche Hand in Hand gehen und sich zum Teil gegenseitig bedingen, ist eine ganz klare Trennung nicht möglich. Dennoch setzen sie unterschiedliche Schwerpunkte, die im Folgenden kurz erläutert werden.


1) Datenschutz

Beim Datenschutz geht es um den Schutz des Einzelnen und seines Persönlichkeitsrechts. Datenschutz umfasst die Privatsphäre eines jeden Menschen und garantiert die sogenannte informationelle Selbstbestimmung, also das Recht jedes Einzelnen, über die Verarbeitung seiner personenbezogenen Daten zu entscheiden. Es geht darum, den Einzelnen vor einer missbräuchlichen Verwendung seiner Daten zu schützen. Der Datenschutz betrifft daher die Frage, ob personenbezogene Daten überhaupt verarbeitet werden dürfen.


2) Datensicherheit

Die Datensicherheit bezieht sich im Unterschied zum Datenschutz auf den generellen Schutz von Daten, egal ob mit oder ohne Personenbezug. Datensicherheit dient dem Ziel, jegliche Daten (analog oder digital) zu schützen – zum Beispiel vor unbefugtem Zugriff, Manipulation oder Verlust. Dies wird durch technische und organisatorische Maßnahmen gewährleistet. Bei der Datensicherheit geht es daher primär um die Frage, welche Maßnahmen zum Schutz der Daten umgesetzt werden müssen.


3) IT-Sicherheit

Die IT-Sicherheit ist ein Teil der Informations- und Datensicherheit. Bei der IT-Sicherheit geht es im Kern um den Schutz von elektronisch gespeicherten Daten und IT-Systemen (eine Abgrenzung der Begriffe IT-Sicherheit, Informationssicherheit und Cyber-Sicherheit können Sie hier in unserem Blogartikel nachlesen). IT-Sicherheit wird ebenfalls durch technische und organisatorische Maßnahmen gewährleistet. IT-Sicherheit ist eine wichtige Voraussetzung für den Datenschutz, was auch durch die Vorgaben der DSGVO deutlich wird.



Gemeinsame Schutzziele von Datenschutz und IT-Sicherheit

Datenschutz, Datensicherheit und IT-Sicherheit überschneiden sich an vielen Stellen und bedingen sich gegenseitig. Ohne IT-Sicherheit ist keine Datenschutzkonformität möglich, und der Datenschutz ist fest in der IT-Sicherheit verankert. Und auch wenn es sich bei Datenschutz und IT-Sicherheit um unterschiedliche Schwerpunktbereiche handelt, so verfolgen Sie im Kern dieselben Schutzziele, die ineinandergreifen und sich gegenseitig bedingen:


Vertraulichkeit

Zugriff, Änderung und Übertragung der gespeicherten und übermittelten Daten werden nur autorisierten Personen gestattet. Beim Datenschutz geht es hierbei primär um personenbezogene Daten, die IT-Sicherheit verfolgt das Ziel, jegliche Daten und auch die Systeme und Konfigurationen vor dem Zugriff Unbefugter zu schützen.


Integrität

Die Daten und Informationen müssen korrekt und unverändert sein. Dieses Schutzziel wird zum Beispiel dann bedroht, wenn die Daten verfälscht werden oder die Soft- oder Hardware Fehler aufweist. Manipulationen werden beispielsweise durch eine verschlüsselte Übertragung verhindert.


Authentizität

Alle Daten sowie Soft- und Hardware sollen echt, überprüfbar und vertrauenswürdig sein. Ein typischer Fall, der gegen dieses Schutzziel verstößt, ist beispielsweise die Möglichkeit, eine Bestellung unter falscher Identität zu tätigen.


Verfügbarkeit

Jeder befugten Person soll die Nutzung der Daten und Ressourcen bei Bedarf jederzeit gewährleistet sein. Ein Serverausfall oder Ausfall von Kommunikationsmitteln werden somit zu einem Angriff auf die Verfügbarkeit.



Datenschutz erfordert einen ganzheitlichen Ansatz und stetige Weiterbildung

Da digitale Kommunikation und Datenübertragung immer vielschichtiger und komplexer werden, können die einzelnen Bereiche nicht isoliert betrachtet werden, sondern greifen ineinander. Informations- und Datensicherheit erfordert eine ganzheitliche Strategie, die die technischen und organisatorischen Maßnahmen ebenso berücksichtigt wie ein grundsätzliches Sicherheits- und Datenschutzbewusstsein im Unternehmen. Ein ganzheitliches Sicherheitskonzept muss auch den „Faktor Mensch“ berücksichtigen und Mitarbeiter und Verantwortliche sensibilisieren und informieren.

Datenschutz und IT-Sicherheit sind außerdem langfristige Prozesse, die sich stets an die aktuellen technischen und organisatorischen Anforderungen anpassen müssen, um die Schutzziele zu erreichen. Das erfordert, dass die Verantwortlichen auf dem neusten Stand bleiben und sich zu den aktuellen Entwicklungen weiterbilden.

Aus diesem Grund bieten wir jetzt neu drei Schulungen zum Thema Datenschutz an. Je nachdem, an welchem Punkt Sie sich in Bezug auf die Datenschutz-Thematik befinden, bieten diese drei Webinare verschiedene Anknüpfungspunkte:




geschrieben von
Annika Brockhaus, für die isits AG International School of IT Security