Pentest24.de - Logo

Datenschutz durch Datensicherheit

“Datenschutz” und “Datensicherheit”: zwei Begriffe, die häufig miteinander verwechselt werden. Trotz ihrer Unterschiede sind die beiden Aspekte eng miteinander verknüpft. Denn ohne ausreichend Datensicherheit kann Datenschutz in Unternehmen nicht gewährleistet werden.

Definition

Datenschutz: Was ist das?

Der Begriff “Datenschutz” bezieht sich vor allem auf den Schutz personenbezogener Daten. Wie Unternehmen und Behörden mit diesen umzugehen haben, ist in der Europäischen Datenschutz-Grundverordnung (DSGVO) sowie der Neufassung des Bundesdatenschutzgesetzes (BDSG-neu) geregelt.

Durch die gesetzlichen Vorgaben sollen Bürgerinnen und Bürger vor vor missbräuchlicher Datenverarbeitung geschützt werden sowie das Recht auf informationelle Selbstbestimmung und den Schutz der Privatsphäre erhalten.

Personenbezogene Daten

Als “personenbezogen” gelten Daten immer dann, wenn sie eindeutig einer bestimmten natürlichen Person zugeordnet sind oder die Zuordnung mittelbar möglich ist. In diesem Zusammenhang spricht man auch von personenbeziehbaren Daten.

Beispiele für personenbezogene Daten sind Name, Geburtsdatum, Wohnort, Größe, Augenfarbe, KFZ-Kennzeichen und Rentenversicherungsnummer einer natürlichen Person. Besonders sensible personenbezogene Daten lassen Rückschlüsse auf die politische, religiöse und sexuelle Orientierung sowie den Gesundheitszustand einer Person zu.

Das Bundesrecht definiert personenbezogene Daten in § 46 Abs. 1 Bundesdatenschutzgesetz (BDSG) als „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“.

Penetrationstest: der Stresstest für Daten

Im Rahmen eines Penetrationstests wird insbesondere die Zugangskontrolle auf Herz und Nieren geprüft. IT-Sicherheitsexperten versuchen sich dabei mit gängigen Hacker-Methoden Zugriff auf Systeme und Endgeräte zu verschaffen. Anders als bei kriminellen Absichten werden die aufgedeckten Sicherheitslücken protokolliert und geeignete Maßnahmen erörtert, mit denen sich die Schwachstellen schließen lassen. Hierzu zählen nicht nur technische Schwachstellen, sondern auch die “Schwachstelle Mensch”.

Anfrage senden

Datensicherheit: die Definition

Als “Datensicherheit” bezeichnet man alle (technischen) Maßnahmen, die dem Schutz personenbezogener und anderweitiger Daten dienen. Ziele der Maßnahmen sind folgende:

1. Vertraulichkeit

Der Zugriff auf Daten soll nur von ausdrücklich dazu autorisierten Personen vorgenommen werden.

2. Integrität

Die Integrität steht für die Unversehrtheit der Daten. Heißt: Datensicherheit muss dafür sorgen, dass Daten nicht manipuliert oder durch technische Defekte verloren gehen können.

3. Verfügbarkeit

Vorhandene Daten müssen so gespeichert werden, dass diese bei Bedarf verfügbar sind und somit jederzeit verwendet werden können.

Datensicherheit vs. Datenschutz: die Unterschiede auf einen Blick

“Datensicherheit” beschreibt technische Maßnahmen, mit denen jegliche Daten (auch Baupläne, Produktionspläne etc.) vor missbräulicher Verwendung geschützt werden

“Datenschutz” bezieht sich auf personenbezogene Daten (Daten, die einer konkreten natürlichen Person zugeordnet sind).

Um die gesetzl. Anforderungen an den Datenschutz zu gewährleisten, sind sog. technische und organisatorische Maßnahmen umzusetzen.

Die in § 9 Bundesdatenschutzgesetz definierten technischen und organisatorischen Maßnahmen (TOM) sind Teil der Datensicherheit und notwendig, um Datenschutz in Unternehmen zu gewährleisten.

Aufbau & Durchführung:
Maßnahmen: Datensicherheit umsetzen

In der Praxis kann Datensicherheit auf verschiedene Art und Weise umgesetzt werden. De facto handelt es sich um Kontrollmechanismen, die Daten vor missbräuchen Zugriffen, Manipulation und Löschung schützen. Als Anhaltspunkt dienen die technischen und organisatorischen Maßnahmen (TOM) gemäß § 9 BDSG (inkl. Anlagen).

1
Phase
Zutrittskontrolle
Mit “Zutrittskontroll” sind alle Maßnahmen gemeint, die Unbefugte davon abhalten, räumlichen Zugriff zu Datenverarbeitungsanlagen zu erhalten. Umgesetzt wird die Zutrittskontrolle beispielsweise durch Videoüberwachung, Chipkartenleser und Alarmanlagen.
2
Phase
Zugangskontrolle

Die “Zugangskontrolle” umfasst alle Maßnahmen zur Umsetzung der Datensicherheit, die sich auf die Datenverarbeitungsanlagen selbst beziehen. Dazu zählen sichere Passwörter (und deren Verwaltung) ebenso wie eine gute Firewall für Unternehmen und zertifikatsbasierte Zugriffsberechtigungen.

3
Phase
Weitergabekontrolle
Im Rahmen der “Weitergabe-kontrolle” soll verhindert werden, dass Daten während der Übertragung oder der Speicherung von Unbefugten ausgelesen, manipuliert oder gelöscht werden können. Neben einer Daten-verschlüsselung und der Nutzung eines VPNs (VPN = Virtual Private Network) gehören auch weitreichende Protokollierungs-maßnahmen dazu.
4
Phase
Eingabekontrolle
Protokollierung und Benutzer-identifikation sind außerdem wichtig, um die Eingabekontrolle umzusetzen. Ziel ist es, jederzeit nachprüfen zu können, durch welche Person zu welcher Zeit Daten eingegeben, verändert oder gelöscht wurden.
5
Phase
Auftragskontrolle
Die Auftragskontrolle stellt sicher, dass die Verarbeitung personenbezogenen Daten durch Dritte ausschließlich gemäß den Vorgaben und Anweisungen des Auftraggeber erfolgt. Hierzu ist ein Datenschutzvertrag gemäß § 11 BDSG zu erstellen, der Weisungsbefugnisse festlegt, Kontrollrechte definiert und eine Stichprobenprüfung möglich macht.
6
Phase
Verfügbarkeitskontrolle
Die Verfügbarkeitskontrolle umfasst alle Maßnahmen, die Daten vor der zufälligen Zerstörung schützen. Dementsprechend liegt der Fokus hier auf Brandschutzmaßnahmen, einem Überspannungsschutz, einer durchdachten Backup-Strategie und dem Diebstahlschutz. Auch Virenschutzkonzepte sind Bestandteil der Verfügbarkeitskontrolle.
7
Phase
Trennungsgebot
Gemäß Trennungsgebot müssen Unternehmen sicherstellen, dass Daten, die für unterschiedliche Zwecke erhoben wurden, auch getrennt voneinander ausgewertet werden können. Hierzu empfehlen sich beispielsweise getrennte Datenbanken und Ordnerstrukturen sowie eine strikte Trennung von Produktiv- und Testsystemen.
Wir stehen für Sie zur Verfügung

Kontaktanfrage

Jan Bindig - Pentest Experte für Datenschutz durch Datensicherheit
Jan Bindig & Team
IT-Security Experten
0800 589 024 9
E-Mail schreiben

Unser Versprechen

Schnelle Reaktionszeit

Hohe Vertraulichkeit

Attraktive Konditionen

Professionelle Umsetzung

Individuelles Reporting















    Ich frage für ein Unternehmen an (B2B) und habe den Datenschutz gelesen und akzeptiert




    Spezialisierte Experten
    Vulnerability Management
    Spezialisierte Experten
    News und Infos aus der IT-Security Welt

    Blog

    Telefon
    Kontakt
    Direktkontakt

    Kostenfreie Erstberatung

    0800 589 024 9
    Mo-Fr: 08.00 - 18.00 Uhr
    Ansprechpartner Pentest Datenschutz durch Datensicherheit
    Mein Team und ich sind für Sie da.
    Jan Bindig, Geschäftsführer
    Unsere Partner
    Mitglied in der Allianz für Cyber-SicherheitTransferstelle IT Sicherheit im MittelstandMitglied der kiwiko e.G.
    X
    envelope-ochecklockheadphonesphonecaret-rightangle-double-downmobilevolume-control-phone