Dies ist der erste von vier Teilen, die sich mit den Unterschieden in den Bereichen Datenschutz, Datensicherheit, IT- und Informationssicherheit beschäftigen. In diesem Beitrag stehen die Begriffsdefinitionen im Fokus, in weiteren Teilen geht es um deren Praxis-Integration, technische Umsetzung und die Aufarbeitung technischer Schulden.
Einleitung
Wir leben in einer Zeit, in der fast täglich von großen Cyberangriffen in den Medien berichtet wird. Dabei scheint es keine Rolle zu spielen, ob es sich hierbei um eine Kommunalverwaltung, ein Ministerium, ein Krankenhaus, eine Universität oder um einen DAX-Konzern handelt. In nahezu allen Fällen hinterlassen die Täter einen immensen Schaden, den es aufzuarbeiten gilt. Um sich selbst und die eigenen Daten zu schützen, werden daher immer größere Beträge in die präventive IT-Sicherheit investiert. Bei all diesen Maßnahmen darf das Thema Datenschutz jedoch nicht vernachlässigt werden.
Im nachfolgenden Text werden aus Gründen der besseren Lesbarkeit öffentliche Einrichtungen, Institute und Konzerne synonym als „Unternehmen“ bezeichnet. Dieser Artikel ist keine verbindliche Rechtsberatung und hat keinen Anspruch auf Vollständigkeit oder Richtigkeit. Themen wie die Erstellung einer korrekten Datenschutzerklärung werden hier bewusst nicht behandelt. Aufgrund des Umfangs und der Tiefe der hier angeschnittenen Themen kann nicht auf jeden relevanten Aspekt eingegangen werden.
Informationssicherheit, Datensicherheit, IT-Sicherheit und Datenschutz
Nachfolgend sollen die hier genannten Begriffe der Vollständigkeit halber kurz erläutert werden. Es ist jedoch zu berücksichtigen, dass es bei vielen konkreten Maßnahmen zu inhaltlichen Überschneidungen und Wiederholungen kommt.
Unter dem Begriff Datenschutz wird allgemein der Umgang mit personenbezogenen Daten, die gesetzlich festgeschriebenen Rechte von Betroffenen und die umzusetzenden organisatorischen Maßnahmen innerhalb von Unternehmen verstanden. Der Schutz der Privatsphäre eines jeden Menschen sowie das Recht auf informationelle Selbstbestimmung sind hier ebenso verankert, wie die vorgeschriebene Transparenz bei der Erhebung und Verarbeitung von personenbezogenen Daten. Als ein organisatorisches Beispiel aus dem Bereich Datenschutz sei exemplarisch das Auskunftsrecht Art. 15 DSGVO zu nennen.
Datensicherheit hingegen beschäftigt sich mit dem Schutz jeder Art von Daten, unabhängig davon, ob es sich hierbei um personenbezogene Daten handelt oder nicht. Darunter fallen auch auf Papier gedruckte Informationen, handschriftliche Notizen auf einer Serviette oder technische Konstruktionspläne. Der Fokus liegt in der Umsetzung geeigneter technisch-organisatorischer Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit und Integrität dieser Informationen. Daraus folgt, dass es keinen Datenschutz ohne Datensicherheit geben kann. Im Bereich der Datensicherheit wäre beispielsweise die regelmäßige Erstellung von Backups zu nennen. Diese werden vom Datenschutz gefordert und in einem (Daten-)Sicherheitskonzept ausgearbeitet.
Der Begriff der IT-Sicherheit legt den Fokus eher auf den technischen Aspekt von Vertraulichkeit, Verfügbarkeit und Integrität von IT-gestützten Systemen sowie die Abwehr externer sowie interner Bedrohungen. Auch wenn hier ebenfalls organisatorische Maßnahmen angesiedelt sind, so liegt der Schwerpunkt jedoch eher auf den technischen Maßnahmen. Ein Beispiel für solche technischen Maßnahmen wäre die Segmentierung des internen Netzwerks, das Einführen von Firewalls und einer DMZ (demilitarisierte Zone) zum Schutz vor externen Bedrohungen, ein regelmäßiges Patching von Systemen oder der Rezertifizierung von vergebenen Berechtigungen.
Die Informationssicherheit umfasst alle oben genannten Begriffe und ergänzt diese um sogenannte bauliche Maßnahmen. Unter baulichen Maßnahmen versteht man beispielsweise die Absicherung des Betriebsgeländes durch Zäune, das Installieren korrekter Feuerschutzsysteme, das Einbauen von Türen mit Schlüsselkarte oder die Verlagerung der eigenen IT-Systeme in ein hochwassergeschütztes Gebiet. Das Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) hat hierzu in seinem IT-Grundschutz-Kompendium ein eigenes Kapitel für Infrastruktur hinzugefügt. Darin werden unter Anderem die baulichen Maßnahmen für den Betrieb eines eigenen Rechenzentrums, siehe „INF.2 Rechenzentrum sowie Serverraum“, ausführlich erläutert. Da jedoch nicht jedes mittelständische Unternehmen ein eigenes Rechenzentrum unterhält, empfiehlt sich eine individuelle Betrachtung unter Berücksichtigung der betriebenen IT-Systeme.
Sie interessieren sich für IT-Sicherheit und Datenschutz in der Praxis? Steffen Hoyer hat auch hierzu einen Artikel geschrieben. Wir laden Sie gleichzeitig ein, unverbindlich Kontakt zu uns aufzunehmen und das Thema zu vertiefen.