Die Digitalisierung nimmt rapide zu, immer mehr Inhalte strömen in die Cloud - und dadurch steigt auch weltweit die Menge an Daten an, die geschützt werden muss.
Wenn Datenbanken gehackt werden, wie es beispielsweise dem Hotelkonzern Marriott passierte, sind auf einen Schlag Millionen von Kunden betroffen. Im Zuge von Corona-Soforthilfen in Italien machte jüngst eine Datenpanne von enormem Ausmaß Schlagzeilen. Wer auf einer Website wie deteque.com in Echtzeit Botnetzen auf einer Weltkarte bei ihren Angriffen zusieht, dem wird ganz schwindlig. Böse Zungen sagen: Entweder man ist schon einmal gehackt worden, oder man weiß es nur noch nicht.
Es reicht also nicht, theoretisch Datenschutz zu fordern. Man muss sich vor allem mit seiner technischen und organisatorischen Umsetzung befassen: der Datensicherheit.
Das Wichtigste in Kürze
- Datensicherheit ist eine Voraussetzung für Datenschutz, dieser ist ohne technische und organisatorische Maßnahmen nicht denkbar.
- Technische Vorkehrungen müssen stets auf dem neuesten Stand sein.
- Größter Angriffspunkt ist das Internet: hier setzt Datensicherheit an.
- Ein guter Cloud-Provider kann die Datensicherheit enorm erhöhen.
- Weitere Maßnahmen zur Datensicherheit lassen sich durch den Blick von außen identifizieren.
Was sind Datenschutz und Datensicherheit?
Ohne Datensicherheit ist Datenschutz nicht denkbar. Die pure Menge der heute überall gespeicherten Daten setzt bestimmte technische und organisatorische Maßnahmen für ein gewisses Niveau an Datensicherheit voraus. Dabei ist Datensicherheit immer relativ, nicht absolut: Welche Maßnahmen zu ergreifen sind, hängt von den konkreten Risiken und Gefahren ab. Diese gilt es abzuwägen, um letzten Endes auch einen wirksamen Datenschutz zu ermöglichen.
Was sind die Ziele von Datensicherheit?
Datensicherheit ist ein gewünschter Zustand, der sich im Bereich des Schutzes personenbezogener Daten aus den Vorgaben der Datenschutzgrundverordnung (DSGVO) ergibt. Sie definiert Vertraulichkeit, Integrität und Verfügbarkeit als Schutzziele der Informationssicherheit. Diese Ziele können nur unter Berücksichtigung technischer Aspekte erreicht werden, womit wir uns bereits im Feld der Datensicherheit befinden.
In Artikel 32 fordert die DSGVO ganz konkret, „geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Dabei schreibt sie auch vor, den aktuellen Stand der Technik zu berücksichtigen. Niemand kann sich also einfach auf einmal getroffenen Sicherheitsmaßnahmen ausruhen. Die DSGVO verpflichtet uns dazu, mit der Zeit zu gehen.
Für wen ist Datensicherheit besonders relevant?
Artikel 9 der DSGVO definiert Kategorien personenbezogener Daten, die in besonders hohem Maße schutzwürdig sind. Hierzu zählen etwa Gesundheitsdaten, Daten zur politischen Gesinnung oder Daten zur sexuellen Orientierung. Wer diese Art von Daten verarbeitet, muss besonders hohe Anstrengungen zu ihrem Schutz unternehmen.
Sensible Daten im Zahlungsverkehr oder Kontoinformationen fallen zwar per Definition nicht unter Artikel 9 der DSGVO. Aber auch bei Finanzinstituten, die mit solchen Daten zu tun haben, versteht es sich, dass die Anforderungen an Datensicherheit außerordentlich hoch sind: Das ergibt sich aus dem Wert, den die Daten für die betroffenen Personen haben.
Welche Bereiche umfasst die Datensicherheit?
Die Datensicherheit als Ganzes ist in aller Regel eine Kombination aus verschiedenen Kontrollmaßnahmen. Hierzu zählen etwa Kontrollen in Bezug auf Zugang, Weitergabe, Eingabe, Aufträge oder Verfügbarkeit.
Ein wichtiger Aspekt ist zudem das, was sich „Mandantenfähigkeit“ nennt: Hierunter versteht man in der IT die Trennbarkeit von Daten, also die Möglichkeit, dass innerhalb eines Systems unterschiedliche Nutzer arbeiten, die aber keinen Einblick in die Daten des jeweils anderen haben.
Welche Maßnahmen verbessern die
Datensicherheit?
Welche Maßnahmen effektiv sind, kommt immer auf den Einzelfall an. Als größte Schwachstelle eines jeden Systems lassen sich jedoch offene Ports ins Internet identifizieren. Falls möglich, ist die einfachste Schutzmaßnahme, bei lokal laufenden Systemen schlicht den Stecker zu ziehen, sie überhaupt nicht mit dem Internet zu verbinden – das reduziert die Angriffsgefahr enorm.
Wer nun ins System möchte, muss physisch vor Ort sein. Ein erfahrener Berater wird in der individuellen Situation weitere Maßnahmen identifizieren können, die dem Umlegen eines Schalters gleichkommen: zehn Sekunden Aufwand, große Wirkung.
Erhöht die Cloud meine Datensicherheit?
Es ist auf den ersten Blick paradox: Während das Internet den größten Angriffspunkt darstellt, kann der Umzug in die Cloud ein Plus an Datenschutz und Datensicherheit bieten.
Aber Vorsicht: Ein seriöser Cloud-Anbieter will gut ausgewählt sein. Allein die Frage des physischen Standorts der Server (innerhalb oder außerhalb der EU) wirft Fragen in Hinblick auf den Datenschutz auf. Einen Provider mit hohen Standards vorausgesetzt, bedeutet aber die Nutzung der Cloud gerade für kleinere Unternehmen einen enormen Gewinn an Datensicherheit. Das gilt übrigens auch für viele Behörden, die das Thema lange verschlafen haben.
Mit dem Umzug in eine sichere Cloud übergeben Unternehmen ihre Daten in die Hände von Profis, die für sie Backups durchführen, das Monitoring und den Schutz der Server übernehmen.
Und gerade jetzt in Zeiten von Corona wichtig: Diese Experten können jederzeit die Verfügbarkeit von Daten gewährleisten, ohne die gar kein Homeoffice möglich wäre.
Welche Standards gibt es für Datensicherheit?
Als wichtiger Standard hat sich der IT-Grundschutz herauskristallisiert, wie er von Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt wurde. Er umfasst wichtige Handlungsempfehlungen für alle IT-Bereiche. Als internationale Norm im Bereich Cyber-Security ist die ISO 27001 zu nennen. Unternehmen können sich sowohl nach den BSI-Standards als auch nach ISO 27001 zertifizieren lassen. Speziell für kleinere und mittlere Unternehmen (KMU) kommen daneben die Richtlinien VdS 10000 in Betracht. Sie sind mit den Anforderungen nach ISO 27001 und den BSI-Standards kompatibel, aber auf die Möglichkeiten und Bedürfnisse von KMUs ausgerichtet.
Mehr zur Zertifizierung nach ISO 27001 finden Sie übrigens hier.
Größere Unternehmen wiederum haben die Möglichkeit, ein Security Operations Center (SOC) aufzubauen oder eine SIEM-Lösung (Security Information and Event Management) zu implementieren. So können sie mithilfe von Algorithmen ihren gesamten Datenverkehr auswerten und Auffälligkeiten im Netzwerk entdecken.
Wie lässt sich die eigene Datensicherheit überprüfen?
Es hilft an dieser Stelle nicht, um den heißen Brei herumzureden: Wenn die IT in Ihrem Unternehmen schon seit Jahren oder sogar Jahrzehnten von einem Kollegen aus einer anderen Abteilung „miterledigt“ wurde, benötigen Sie dringend den Blick von außen. Wer durch lange Routine betriebsblind ist, kann Risiken, die sich ständig weiterentwickeln, in aller Regel nicht mehr adäquat einschätzen.
Externe Fachleute für Datensicherheit können im Rahmen der Sicherheitsanalyse einen Pentest durchführen, der alle Bestandteile Ihres Systems auf Schwachstellen prüft. Gemeinsam mit Ihnen können sie Angriffsszenarien durchspielen und geeignete Gegenmaßnahmen entwickeln.
Bei weiteren Fragen zu diesem und anderen Themen im Datenschutz stehen Ihnen unsere Experten gerne zur Verfügung. Vereinbaren Sie einfach ein kostenloses Gespräch:
Top 6 Fehler im Datenschutz und wie sie vermieden werden
Fehlende Datensicherheit sorgt für Verstöße im Datenschutz. Die 6 häufigsten Fehler und wie Sie diese vermeiden finden Sie in diesem E-Book.
Jetzt kostenlos herunterladen
