Datenschutz durch Datensicherheit

“Datenschutz” und “Datensicherheit”: zwei Begriffe, die häufig miteinander verwechselt werden. Trotz ihrer Unterschiede sind die beiden Aspekte eng miteinander verknüpft. Denn ohne ausreichend Datensicherheit kann Datenschutz in Unternehmen nicht gewährleistet werden.

Datenschutz durch Datensicherheit

Datenschutz: Was ist das?

Der Begriff “Datenschutz” bezieht sich vor allem auf den Schutz personenbezogener Daten. Wie Unternehmen und Behörden mit diesen umzugehen haben, ist in der Europäischen Datenschutz-Grundverordnung (DSGVO) sowie der Neufassung des Bundesdatenschutzgesetzes (BDSG-neu) geregelt.

Durch die gesetzlichen Vorgaben sollen Bürgerinnen und Bürger vor vor missbräuchlicher Datenverarbeitung geschützt werden sowie das Recht auf informationelle Selbstbestimmung und den Schutz der Privatsphäre erhalten.

Personenbezogene Daten

Als “personenbezogen” gelten Daten immer dann, wenn sie eindeutig einer bestimmten natürlichen Person zugeordnet sind oder die Zuordnung mittelbar möglich ist. In diesem Zusammenhang spricht man auch von personenbeziehbaren Daten.

Beispiele für personenbezogene Daten sind Name, Geburtsdatum, Wohnort, Größe, Augenfarbe, KFZ-Kennzeichen und Rentenversicherungsnummer einer natürlichen Person. Besonders sensible personenbezogene Daten lassen Rückschlüsse auf die politische, religiöse und sexuelle Orientierung sowie den Gesundheitszustand einer Person zu.

Das Bundesrecht definiert personenbezogene Daten in § 46 Abs. 1 Bundesdatenschutzgesetz (BDSG) als „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“.

Datensicherheit: die Definition

Als “Datensicherheit” bezeichnet man alle (technischen) Maßnahmen, die dem Schutz personenbezogener und anderweitiger Daten dienen. Ziele der Maßnahmen sind folgende:

1. Vertraulichkeit

Der Zugriff auf Daten soll nur von ausdrücklich dazu autorisierten Personen vorgenommen werden.

2. Integrität

Die Integrität steht für die Unversehrtheit der Daten. Heißt: Datensicherheit muss dafür sorgen, dass Daten nicht manipuliert oder durch technische Defekte verloren gehen können.

3. Verfügbarkeit

Vorhandene Daten müssen so gespeichert werden, dass diese bei Bedarf verfügbar sind und somit jederzeit verwendet werden können.

Datensicherheit vs. Datenschutz: die Unterschiede auf einen Blick

Maßnahmen: Datensicherheit umsetzen

In der Praxis kann Datensicherheit auf verschiedene Art und Weise umgesetzt werden. De facto handelt es sich um Kontrollmechanismen, die Daten vor missbräuchen Zugriffen, Manipulation und Löschung schützen. Als Anhaltspunkt dienen die technischen und organisatorischen Maßnahmen (TOM) gemäß § 9 BDSG (inkl. Anlagen).

Zutrittskontrolle

Mit “Zutrittskontroll” sind alle Maßnahmen gemeint, die Unbefugte davon abhalten, räumlichen Zugriff zu Datenverarbeitungsanlagen zu erhalten. Umgesetzt wird die Zutrittskontrolle beispielsweise durch Videoüberwachung, Chipkartenleser und Alarmanlagen.

Zugangskontrolle

Die “Zugangskontrolle” umfasst alle Maßnahmen zur Umsetzung der Datensicherheit, die sich auf die Datenverarbeitungsanlagen selbst beziehen. Dazu zählen sichere Passwörter (und deren Verwaltung) ebenso wie eine gute Firewall für Unternehmen und zertifikatsbasierte Zugriffsberechtigungen.

Weitergabekontrolle

Im Rahmen der “Weitergabekontrolle” soll verhindert werden, dass Daten während der Übertragung oder der Speicherung von Unbefugten ausgelesen, manipuliert oder gelöscht werden können. Neben einer Datenverschlüsselung und der Nutzung eines VPNs (VPN = Virtual Private Network) gehören auch weitreichende Protokollierungsmaßnahmen dazu.

Eingabekontrolle

Protokollierung und Benutzeridentifikation sind außerdem wichtig, um die Eingabekontrolle umzusetzen. Ziel ist es, jederzeit nachprüfen zu können, durch welche Person zu welcher Zeit Daten eingegeben, verändert oder gelöscht wurden.

Auftragskontrolle

Die Auftragskontrolle stellt sicher, dass die Verarbeitung personenbezogenen Daten durch Dritte ausschließlich gemäß den Vorgaben und Anweisungen des Auftraggeber erfolgt. Hierzu ist ein Datenschutzvertrag gemäß  § 11 BDSG zu erstellen, der Weisungsbefugnisse festlegt, Kontrollrechte definiert und eine Stichprobenprüfung möglich macht.

Verfügbarkeitskontrolle

Die Verfügbarkeitskontrolle umfasst alle Maßnahmen, die Daten vor der zufälligen Zerstörung schützen. Dementsprechend liegt der Fokus hier auf Brandschutzmaßnahmen, einem Überspannungsschutz, einer durchdachten Backup-Strategie und dem Diebstahlschutz. Auch Virenschutzkonzepte sind Bestandteil der Verfügbarkeitskontrolle.

Trennungsgebot

Gemäß Trennungsgebot müssen Unternehmen sicherstellen, dass Daten, die für unterschiedliche Zwecke erhoben wurden, auch getrennt voneinander ausgewertet werden können. Hierzu empfehlen sich beispielsweise getrennte Datenbanken und Ordnerstrukturen sowie eine strikte Trennung von Produktiv- und Testsystemen.

Penetrationstest: der Stresstest für Daten

Im Rahmen eines Penetrationstests wird insbesondere die Zugangskontrolle auf Herz und Nieren geprüft. IT-Sicherheitsexperten versuchen sich dabei mit gängigen Hacker-Methoden Zugriff auf Systeme und Endgeräte zu verschaffen. Anders als bei kriminellen Absichten werden die aufgedeckten Sicherheitslücken protokolliert und geeignete Maßnahmen erörtert, mit denen sich die Schwachstellen schließen lassen. Hierzu zählen nicht nur technische Schwachstellen, sondern auch die “Schwachstelle Mensch”.

ansprechpartner pentest
Ihr persönlicher Ansprechpartner:
Henrik van Bergen

Jetzt Rückruf vereinbaren !

Wir sind Mitglied bei
aaa iteam e1578100554253
allianz fur cyber sicherheit l
kiwiko logo e1578336780701
ITL Logo e1578100416519

Bildnachweis: Adobe Stock (#230581609)