Datensicherheit und Datenschutz

Datensicherheit
Produkte und Dienstleistungen, die Ihre Daten und Informationen sicher machen

Haben Sie darüber nachgedacht, welche Vermögenswerte für das Unternehmen am wichtigsten sind? Dies schließt zweifellos die Daten Ihres Unternehmens ein. Diese Tatsache wird jedoch normalerweise erst offensichtlich, wenn Sie die Folgen einer Cyberattacke, Datenverletzung oder eines Datenverlustes spüren. Kein Wunder, dass das Thema Datensicherheit und Internet Security gerade im Zeitalter der Digitalisierung immer wichtiger wird. Wir bieten Produkte und Dienstleistungen, die Ihre Daten sicher machen.

 

  1. Datensicherheit
    Produkte und Dienstleistungen, die Ihre Daten und Informationen sicher machen
    1. Definition Datenschutz und Datensicherheit als Teilmenge der Informationssicherheit
    2. Datensicherheit für Daten auf Festplatten und Informationen auf Papier
    3. Ziele: Schutz gewährleisten und Datensicherheit sicherstellen
    4. Das Ziel der Datensicherheit ist, die Daten vor Manipulationen, Verlust, unbefugtem Zugriff und anderen Bedrohungen zu schützen
    5. Datenschutzmaßnahmen
      1. IT-Grundschutz vom Bundesamt für Sicherheit in der Informationstechnik (BSI)
      2. Fehlende Maßnahmen gefährden die Sicherheit
      3. Bundesdatenschutzgesetz (BDSG) und Datenschutz-Grundverordnung DSGVO
    6. Beispiele für Datensicherheitstechnologien
      1. Verantwortungsbewusster Umgang mit Informationen
      2. Datenschutz und Datensicherheit hängen voneinander ab
    7. Mögliche Folgen von Datenverlust
    8. Maßnahmen zur Verbesserung der Datensicherheit
    9. Datenschutzkonzept und Datensicherheitskonzept
    10. Mitarbeitersensibilisierung
      1. Wir unterstützen Sie bei der Datensicherheit, praxisorientiert. 

 

Definition Datenschutz und Datensicherheit als Teilmenge der Informationssicherheit

Was bedeutet Datensicherheit eigentlich? Welche Maßnahmen müssen ergriffen werden, um den Datenschutz zu gewährleisten und letztendlich die Datensicherheit zu erreichen? Das technische Ziel besteht darin, alle Arten von Daten vollständig vor Verlust, Manipulation und anderen Bedrohungen zu schützen. Eine angemessene Sicherheit der Daten ist Voraussetzung für einen wirksamen Datenschutz. Wir unterstützen Sie bei dem Schutz Ihrer Daten, praxisorientiert. Eine Definition zur Datensicherheit finden Sie beispielsweise bei Definition Datensicherheit.

Genau wie die Informationssicherheit trägt die Datensicherheit dazu bei, im Unternehmen Gefahren oder Bedrohungen zu verhindern, wirtschaftliche Verluste zu vermeiden und Risiken zu minimieren, die durch Ausfall der Informationstechnik oder durch Diebstahl oder Manipulation der Daten verursacht werden. Zum Schutz der Informationstechnologie (IT) werden Risiken, Gefahren und Schutzmaßnahmen für den sicheren Betrieb (Betriebssicherheit) und zur Schadenverhütung erarbeitet.

Der Begriff Datenschutz und der Begriff Datensicherheit sind eine Teilmenge der Informationssicherheit. Durch eine ordnungsgemäße Verarbeitung der Daten kann der Verlust wichtiger Unternehmensdaten verhindert werden. Kleine und mittlere Unternehmen sollten auch sensible Informationen speziell schützen. Die Datensicherheit bezieht sich auf den allgemeinen Schutz von Daten, unabhängig davon, ob diese persönlich sind oder nicht, ob in digitaler oder analoger Form.

 

Datensicherheit für Daten auf Festplatten und Informationen auf Papier

Das sind Daten auf Festplatten und Informationen auf Papier, es können jedoch auch Gespräche sein, die über das Telefon übertragen werden, Textnachrichten in Online-Besprechungen oder Chats, vor allem Mitschnitte. Datensicherheit umfasst auch Daten ohne persönlichen Bezug. Datensicherheit ist ein idealer (angestrebter) Zustand, der durch eine Vielzahl von Maßnahmen erreicht werden soll.

 

Datensicherheit, Schutz der Daten

 

Datensicherheit bezieht sich in der IT auf digitale Datenschutzmaßnahmen, mit denen der unbefugte Zugriff auf Computer, Dateien, Datenbanken und Websites verhindert wird. Sie kann Informationen auch vor Beschädigung oder Verlust schützen. Für Behörden, Organisationen und Unternehmen aller Größen und Branchen ist die Sicherheit der Daten ein wichtiger Aspekt der Informationstechnik (IT) und Datenverarbeitung (EDV). Datensicherheit wird auch als Informationssicherheit (IS) oder Computersicherheit bezeichnet.

 

Ziele: Schutz gewährleisten und Datensicherheit sicherstellen

Im Gegensatz zum Datenschutz geht es bei der Datensicherheit nicht darum, ob (persönliche) Daten vollständig erfasst und verarbeitet werden dürfen. Im Gegenteil, die Frage ist, welche Maßnahmen ergriffen werden müssen, um den Schutz der Informationen zu gewährleisten und letztendlich Datensicherheit zu erreichen.

Die Gewährleistung und Wahrung von Vertraulichkeit, Verfügbarkeit und Integrität sind die Hauptziele der Informationssicherheit, das bedeutet, dass bei einem Verstoß gegen einen dieser Aspekte die Sicherheit der zu schützenden Informationen gefährdet ist.

  • Die Datensicherheit umfasst technische Maßnahmen zum Schutz aller möglichen Informationen.
  • Bei der Datensicherheit werden folgende Ziele verfolgt: Vertraulichkeit, Integrität und Verfügbarkeit von Daten.
  • Im Gegensatz zum Datenschutz beschränkt sich die Datensicherheit nicht auf personenbezogene Daten.

Vertraulichkeit bedeutet, dass auf die Informationen nur autorisiertes Personal, Betriebe und Prozesse zugreifen können. Die Vertraulichkeit wird verletzt, wenn beispielsweise ein Angreifer eine fremde E-Mail abfängt und lesen kann.

Verfügbarkeit bezieht sich auf die Eigenschaft von Informationen, die autorisierte Benutzer verwenden, wenn sie erforderlich sind. Die Verfügbarkeit bezieht sich gleichermaßen auf ein System oder Netzwerk und seine Funktionalität sowie Daten. Beispielsweise möchte ein Vertriebsmitarbeiter Bestellinformationen zur Verfügung haben, wenn ein Kunde anruft und Fragen zur Bestellung hat.

Ausfallsicherheit oder Verfügbarkeit bedeutet, dass Computerkomponenten, ob Software, Hardware oder das gesamte Netzwerk, ihre Aufgaben kontinuierlich und zuverlässig ausführen müssen. Die Betriebsbereitschaft, Zuverlässigkeit, Verfügbarkeit und Ausfallsicherheit von IT-Infrastruktur und IT-Technik bilden die Grundlage für die Entwicklung, Implementierung und den Betrieb informationstechnischer Systeme (IT-Systeme).

Die Verbindlichkeit bedeutet, dass Ereignisse oder Handlungen und Kausalität ohne Zweifel nachvollzogen werden können. Beispielsweise können Serverprotokolldateien den Nachweis erbringen, welcher Benutzer ein bestimmtes Dokument oder Datensatz in der Datenbank zuletzt geändert hat.

Die Zugriffskontrolle oder Zugriffssteuerung erfordert das Konzept der Autorisierung und steuert die Berechtigungen. Wenn die Authentifizierung erfolgreich ist, kann der Benutzer nur auf sein Konto zugreifen. Dies bestimmt, welche Benutzer berechtigt sind, auf welche Daten zuzugreifen.

Die Zurechenbarkeit ist notwendig, wenn Sie sicherheitsrelevante Vorgänge ausgeführt haben und diese bestimmten Entitäten zuordnen können. Dies könnte beispielsweise im Haftungsfalle wichtig werden, wenn Sie die verantwortliche Person suchen.

Integrität bedeutet, dass die Richtigkeit und Vollständigkeit von Informationen geschützt ist. Beispielsweise stellen Prüfsummen die Integrität von Dateien oder des gesamten Dateisystems sicher.

Authentizität ist, dass die Entität tatsächlich eindeutig zu bestimmend ist. Dieses Attribut wird beispielsweise bei einem Man-in-the-Middle-Angriff verletzt.

Die Autorisierung, Authentisierung oder Authentifizierung ist der Prozess der Überprüfung der Identität der Entität. Anwender werden z.B. über elektronische Schlüssel oder biometrische Daten (wie Ihren Fingerabdruck) authentifiziert.

In Bezug auf die Informationssicherheit ist Zuverlässigkeit oder Verlässlichkeit ebenfalls sehr wichtig. Die verwendeten Komponenten sind zuverlässig, wenn sie konstant arbeiten und ihren Verwendungszweck erfüllen, das gilt vor allem für die IT-Infrastruktur als Fundament der Informations- und Kommunikationstechnik.

Angriffe beim Online-Banking und Online-Shopping, verdächtige Websites, verdächtige E-Mails sind mit einer Internet Security Software kein Problem. Das alleine ist aber nicht alles zum Thema.

 

Das Ziel der Datensicherheit ist, die Daten vor Manipulationen, Verlust, unbefugtem Zugriff und anderen Bedrohungen zu schützen

Das technische Hauptziel der Datensicherheit besteht darin, alle Arten von Daten vor Manipulationen, Verlust, unbefugtem Zugriff und anderen Bedrohungen zu schützen. Im Falle des Datenschutzes gemäß §9 BDSG (einschließlich Anlagen) müssen geeignete technische und organisatorische Maßnahmen zur Gewährleistung der Datensicherheit getroffen werden. Datenschutz und Datensicherheit gehen daher Hand in Hand.

Nicht nur das: Sie sind auch voneinander abhängig. Ohne Datenschutzmaßnahmen kann keine Datensicherheit erreicht werden und eine angemessene Datensicherheit ist Voraussetzung für wirksame Datenschutzmaßnahmen. Datensicherheit ist ein angestrebter, idealer Zustand, und die Verantwortlichen versuchen, dieses Ziel durch die Umsetzung von Datenschutzmaßnahmen zu erreichen. Die Aufgabe jeder Organisation besteht darin, ein Höchstmaß an Sicherheit zu schaffen, um seine Informationen vor Manipulationen oder Verlusten zu schützen.

Wenn die Sicherheit der Unternehmensdaten nicht vollständig gewährleistet werden kann, auch wenn sie keine Auswirkungen auf personenbezogene Informationen (z. B. Industriespionage) hat, kann dies katastrophale Folgen für den Betrieb haben. Dies kann auch zu Datenverlust führen.

 

Datenschutzmaßnahmen

IT-Grundschutz vom Bundesamt für Sicherheit in der Informationstechnik (BSI)

IT-Grundschutz ist eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Methode zur Ermittlung und Umsetzung von Sicherheitsmaßnahmen. So wird die firmeneigene Informationstechnik geschützt. Der IT-Grundschutz umfasst den Prozess und IT-Grundschutz-Kataloge, in denen mögliche Bedrohungen und Gegenmaßnahmen aufgeführt sind.

 

Fehlende Maßnahmen gefährden die Sicherheit

Datensicherheit wird durch verschiedene Maßnahmen geschaffen. Vertraulichkeit muss gewährleistet sein. Nur autorisierte Benutzer dürfen auf Daten zugreifen. Integrität muss gewährleistet sein. Absichtliche oder unbeabsichtigte Änderungen müssen verhindert werden. Verfügbarkeit muss gewährleistet sein. Der Zugriff auf Informationen muss kontinuierlich möglich sein. Wenn einer dieser Aspekte verletzt wird, existiert ein Risiko für die Sicherheit. Kontrollierbarkeit muss gewährleistet sein. Überprüfung und Protokollierung der Maßnahmen muss erfolgen.

Eine der häufigsten Möglichkeiten zur Gewährleistung der Datensicherheit ist die Verwendung der Authentifizierung. Bei der Überprüfung der Identität müssen Benutzer Kennwörter, Codes, biometrische Daten oder andere Arten von Informationen angeben, um die Identität zu überprüfen, bevor der Zugriff auf das System oder die Daten gewährt wird.

Daten sind vor Schäden wie Manipulationen und Nichtverfügbarkeit zu schützen. Dazu gehören physische Sicherheit, Verhinderung von nicht autorisierter Ansicht, Kommunikationsverschlüsselung, Datensicherung sowie Updates und Patches. Das Ergebnis einer guten Datensicherheit sind Informationen, die entsprechend ihrem Risiko geschützt sind.

 

Bundesdatenschutzgesetz (BDSG) und Datenschutz-Grundverordnung DSGVO

Als Beispiele dienen die in § 9 des Bundesdatenschutzgesetzes genannten technischen und organisatorischen Maßnahmen. Als Datensicherheitsmaßnahme sind verschiedene Steuerungsarten angeben, die ausgeführt oder eingeführt werden müssen. Informationen zum Bundesdatenschutzgesetz (BDSG) Bundesdatenschutzgesetz (BDSG) und zur Datenschutz-Grundverordnung finden Sie auf Datenschutz-Grundverordnung DSGVO

  • Zutrittskontrolle
  • Zugangskontrolle
  • Zugriffskontrolle
  • Weitergabekontrolle
  • Eingabekontrolle
  • Auftragskontrolle
  • Verfügbarkeitskontrolle
  • Trennung von Daten unterschiedlicher Zwecke

 

Beispiele für Datensicherheitstechnologien

Beispiele für Datensicherheitstechnologien sind Sicherung, Backup, Datenmaskierung und Datenlöschung. Eine wichtige Maßnahme für die Datensicherheit ist die Verschlüsselung, bei der digitale Informationen, Software / Hardware und Festplatten verschlüsselt werden und von nicht autorisierten Benutzern und Hackern nicht gelesen werden können. Beim Maskieren von Daten bleibt das Datenformat erhalten, lediglich Werte werden verändert.

 

Verantwortungsbewusster Umgang mit Informationen

Ein verantwortungsbewusster Umgang mit Informationen bedeutet nicht nur Sicherung, sondern auch das dauerhafte Löschen von Daten, um unbefugten Abruf zu verhindern. Selbst ein Brand zerstört nicht immer die Daten auf der Festplatte. Experten können die Informationen auf defekten Datenträgern wiederherstellen. Eine drastische Maßnahme zur Datenlöschung ist eine physische Zerstörung der Festplatte durch Sägen, Bohren oder Zerschlagen.

Wenn Sie den Datenträger erneut verwenden möchten, können Sie nur durch wiederholtes Überschreiben jedes Sektors sicherstellen, dass die Dateidaten und ihre Metainformationen (Informationen zum Bootsektor, Betriebssystem- und BIOS-Informationen, Master File Tables und Partitionstabelle) dauerhaft gelöscht werden.

 

Datenschutz und Datensicherheit hängen voneinander ab

Die Datensicherheit muss durch geeignete technische und organisatorische Maßnahmen gewährleistet werden. Datenschutz und Datensicherheit gehen dabei Hand in Hand, sie hängen sogar voneinander ab. Ohne Datenschutzmaßnahmen kann keine Datensicherheit erreicht werden. Eine angemessene Datensicherheit ist Voraussetzung für wirksame Datenschutzmaßnahmen.

Allerdings wird häufig der Unterschied im Widerspruch beider Konzepte offensichtlich: Cloud-Lösungen sind sehr praktisch, Daten werden in die Cloud übertragen und in Rechenzentren gespeichert um Datensicherheit und Sicherheit gegen mögliche physische Angriffe vor Ort zu gewährleisten, werden aber aus datenschutzrechtlicher Sicht in Frage gestellt.

Bei personenbezogenen Daten muss auch darauf geachtet werden, dass die Speicherzeit die für den Zweck unbedingt erforderliche Zeit nicht mehr überschreitet. Dies bedeutet beispielsweise, dass die Antragsunterlagen des abgelehnten Antragstellers gelöscht oder vernichtet werden müssen. Gleichzeitig ist zu beachten, dass andere personenbezogene Daten wie Rechnungen oder Gehaltsabrechnungen von Mitarbeitern eine gesetzliche Aufbewahrungsfrist haben, die nicht unterschritten werden darf.

Die Aufgabe jeder Behörde, Organisation und jedes Unternehmens besteht darin, ein Höchstmaß an Datensicherheit zu schaffen, um die Daten vor Manipulationen oder Verlusten zu schützen. Die Hauptgefahren für die Datensicherheit sind technische Mängel und die unbefugte Einsicht in Daten, was für die Datensicherheit im Internet besonders wichtig ist.

Der Datensicherungsprozess sollte in schriftlicher Form festgehalten werden. Das Sicherungskonzept definiert die zu sichernden Daten, die zu löschenden Daten, die Häufigkeit und den Speicherort.

 

Mögliche Folgen von Datenverlust

Haben Sie darüber nachgedacht, welche Vermögenswerte für das Unternehmen am wichtigsten sind? Diese umfassen zweifellos die Daten. Dies wird jedoch meist nur dann offensichtlich, wenn Sie Opfer von Cyber-Angriffen, Datenverletzungen oder einer Datenverschlüsselung geworden sind und an die möglichen Folgen denken.

Datenverlust tritt normalerweise schneller als erwartet auf, nicht nur aufgrund von Cyberangriffen, Hackern, Viren, Würmern und Trojanern (Trojanische Pferde), sondern auch aufgrund von Hardware- und Softwarefehlern oder einfachen Benutzerfehlern.

Wenn wichtige Daten verloren gehen, kann es verheerende Auswirkungen auf die betreffende Organisation haben und im schlimmsten Fall sogar zu einer Marktverdrängung führen. Das Thema Datensicherheit wird gerade im Zeitalter der Digitalisierung und des Internet der Dinge (IoT) immer wichtiger.

 

Maßnahmen zur Verbesserung der Datensicherheit

Durch die ordnungsgemäße Verarbeitung von Daten kann der Verlust wichtiger Unternehmensdaten verhindert werden. Auch kleine und mittlere Unternehmen müssen sensible Daten speziell schützen.

Maßnahmen zur Verbesserung der Datensicherheit sind verschiedene Kontrollmechanismen, die einen unbefugter Ansicht verhindern und dadurch Wissen, Manipulation oder Löschung von Daten verhindern sollen. Die Maßnahmen zur Gewährleistung der Datensicherheit sind sehr unterschiedlich. Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle,
Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle, Trennung von Daten unterschiedlicher Zwecke.

Datenverlust kann durch sogenannte Backups vorgebeugt werden, die regelmäßig gesichert werden müssen. Es wird empfohlen, den aktuellen Datenbestand mindestens einmal am Tag zu sichern und einmal pro Woche eine Gesamtsicherung durchzuführen. In jedem Fall ist es wichtig, den Datenträger für die Sicherung von der zentralen IT-Infrastruktur zu trennen.

Daher sollten die Sicherungsdaten auf einem zusätzlichen (vorzugsweise externen) Datenträger oder (zusätzlich) in einer sicheren Cloud gespeichert werden. Datenträger, auf denen vertrauliche oder andere wichtige Daten gespeichert sind, sollten darüber hinaus in einem verschließbaren Schrank oder Safe aufbewahrt werden.

Natürlich sollte nicht vergessen werden, dass physische Datenmedien nach einigen Jahren ausfallen werden. Daher müssen diese Speichermedien regelmäßig ausgetauscht werden. Die richtige Lagerung ist ebenfalls wichtig, trocken, dunkel und geringe Temperaturschwankungen.

Staub kann sich bis in den kleinsten Ecken ausbreiten, IT-Geräte und Datensicherheit gefährden. Baustaub wird normalerweise in großen Mengen erzeugt, und ein 19-Zoll-Rack samt Inhalt wird innerhalb weniger Minuten so schmutzig, dass die Server kaum atmen können und ausfallen. Im IT-Gehäuse sind Lüfter, Kühler, Netzteile und elektronische Komponenten der IT-Geräte durch Bauarbeiten so stark mit Baustaub verunreinigt, dass eine professionelle Reinigung im Serverraum notwendig wird.

Organisatorische Maßnahmen, die durch Richtlinien geregelt sind (z. B. Verbot der privaten Nutzung) tragen ebenfalls zur Datensicherheit bei.

 

Datenschutzkonzept und Datensicherheitskonzept

Datenschutz und Datensicherheit sind eng miteinander verbunden. Obwohl sich der Datenschutz nur mit personenbezogenen Daten befasst, umfasst die Datensicherheit verschiedene Daten und einschließlich personenbezogener Daten. Datenschutz ist ein wichtiger Aspekt der Datensicherheit, denn um die höchstmögliche Datensicherheit im Betrieb zu gewährleisten, müssen Sie auch Datenschutzmaßnahmen ergreifen.

Das Datenschutzkonzept beschreibt die Informationen, die für die Datenschutzbewertung erforderlich sind, um personenbezogene Daten zu sammeln, zu verwenden und zu verarbeiten. Es zeichnet Art und Umfang der erhobenen, verwendeten und verarbeiteten personenbezogenen Daten auf und zeigt die Rechtmäßigkeit der einzelnen Daten. Es enthält analoge und digitale Daten.

Das Datensicherheitskonzept wird hauptsächlich zu Zwecken der Informationssicherheit verwendet. Im Gegensatz zum Konzept des Datenschutzes werden alle Daten berücksichtigt, ob es sich um analoge oder digitale Daten handelt, ob es sich um personenbezogene oder nicht personenbezogene Daten handelt. Das Konzept der Datensicherheit stellt daher einerseits die Summe der Konzepte des Datenschutzes und der IT-Sicherheit dar und berücksichtigt andererseits auch alle analogen personenbezogenen Daten.

 

Mitarbeitersensibilisierung

In Unternehmen werden Serverraum, Zugangskontrolle, Antivirensoftware, Firewalls usw. verwendet, um den Betrieb zu schützen. Wenn Mitarbeiter selbst zu einer Sicherheitsverletzung werden, reicht die beste Technologie nicht aus. Was nützen die stärksten und teuersten technischen Sicherheitsmaßnahmen, wenn eines Tages ein Dutzend vermeintlich verlorene USB-Sticks auf dem Mitarbeiterparkplatz liegen und auch nur ein Mitarbeiter einen dieser USB-Sticks in seinen PC einsteckt? Manchmal reicht ebenfalls ein Klick auf den Anhang einer gut gemachten Mail aus, um den gesamten Betrieb lahmzulegen. Normalerweise geschieht diese Verletzung der Datensicherheit aus Unwissenheit.

Damit die IT-Sicherheit in allen Bereichen effektiv funktioniert, müssen Management und Mitarbeiter bei ihrer täglichen Arbeit verschiedene Sicherheitsaspekte berücksichtigen. Aus diesem Grund ist es notwendig, das Bewusstsein für IT-Sicherheit zu schärfen. Experten nennen es "Security awareness" und bedeutet, Sicherheitsbewusstsein schärfen oder Verbesserung der Datensicherheit oder IT-Sicherheit durch Mitarbeitersensibilisierung.

Kenntnisse und Verständnis der Datensicherheit helfen Mitarbeitern dabei, sicher mit der IT-Infrastruktur umzugehen. Wenn das Sicherheitsbewusstsein durch Mitarbeitersensibilisierung in das Unternehmen einzieht, trägt jeder Mitarbeiter zur IT-Sicherheit des Betriebes bei.

 

Wir unterstützen Sie bei der Datensicherheit, praxisorientiert. 

 

Tags: Verfügbarkeit, IT-Grundschutz, Zuverlässigkeit, Informationssicherheit