Darin liegt der Unterschied: Datenschutz und Datensicherheit

Die Digitalisierung nimmt rapide zu, immer mehr Inhalte strömen in die Cloud - und dadurch steigt auch weltweit die Menge an Daten an, die geschützt werden muss.

Wenn Datenbanken gehackt werden, wie es beispielsweise dem Hotelkonzern Marriott passierte, sind auf einen Schlag Millionen von Kunden betroffen. Im Zuge von Corona-Soforthilfen in Italien machte jüngst eine Datenpanne von enormem Ausmaß Schlagzeilen. Wer auf einer Website wie deteque.com in Echtzeit Botnetzen auf einer Weltkarte bei ihren Angriffen zusieht, dem wird ganz schwindlig. Böse Zungen sagen: Entweder man ist schon einmal gehackt worden, oder man weiß es nur noch nicht.

Es reicht also nicht, theoretisch Datenschutz zu fordern. Man muss sich vor allem mit seiner technischen und organisatorischen Umsetzung befassen: der Datensicherheit.

Das Wichtigste in Kürze

  • Datensicherheit ist eine Voraussetzung für Datenschutz, dieser ist ohne technische und organisatorische Maßnahmen nicht denkbar.
  • Technische Vorkehrungen müssen stets auf dem neuesten Stand sein.
  • Größter Angriffspunkt ist das Internet: hier setzt Datensicherheit an.
  • Ein guter Cloud-Provider kann die Datensicherheit enorm erhöhen.
  • Weitere Maßnahmen zur Datensicherheit lassen sich durch den Blick von außen identifizieren.

Was sind Datenschutz und Datensicherheit?

Ohne Datensicherheit ist Datenschutz nicht denkbar. Die pure Menge der heute überall gespeicherten Daten setzt bestimmte technische und organisatorische Maßnahmen für ein gewisses Niveau an Datensicherheit voraus. Dabei ist Datensicherheit immer relativ, nicht absolut: Welche Maßnahmen zu ergreifen sind, hängt von den konkreten Risiken und Gefahren ab. Diese gilt es abzuwägen, um letzten Endes auch einen wirksamen Datenschutz zu ermöglichen.

 

Was sind die Ziele von Datensicherheit?

Datensicherheit ist ein gewünschter Zustand, der sich im Bereich des Schutzes personenbezogener Daten aus den Vorgaben der Datenschutzgrundverordnung (DSGVO) ergibt. Sie definiert Vertraulichkeit, Integrität und Verfügbarkeit als Schutzziele der Informationssicherheit. Diese Ziele können nur unter Berücksichtigung technischer Aspekte erreicht werden, womit wir uns bereits im Feld der Datensicherheit befinden.

In Artikel 32 fordert die DSGVO ganz konkret, „geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Dabei schreibt sie auch vor, den aktuellen Stand der Technik zu berücksichtigen. Niemand kann sich also einfach auf einmal getroffenen Sicherheitsmaßnahmen ausruhen. Die DSGVO verpflichtet uns dazu, mit der Zeit zu gehen.

Für wen ist Datensicherheit besonders relevant?

Artikel 9 der DSGVO definiert Kategorien personenbezogener Daten, die in besonders hohem Maße schutzwürdig sind. Hierzu zählen etwa Gesundheitsdaten, Daten zur politischen Gesinnung oder Daten zur sexuellen Orientierung. Wer diese Art von Daten verarbeitet, muss besonders hohe Anstrengungen zu ihrem Schutz unternehmen.

Sensible Daten im Zahlungsverkehr oder Kontoinformationen fallen zwar per Definition nicht unter Artikel 9 der DSGVO. Aber auch bei Finanzinstituten, die mit solchen Daten zu tun haben, versteht es sich, dass die Anforderungen an Datensicherheit außerordentlich hoch sind: Das ergibt sich aus dem Wert, den die Daten für die betroffenen Personen haben.

Welche Bereiche umfasst die Datensicherheit?

Die Datensicherheit als Ganzes ist in aller Regel eine Kombination aus verschiedenen Kontrollmaßnahmen. Hierzu zählen etwa Kontrollen in Bezug auf Zugang, Weitergabe, Eingabe, Aufträge oder Verfügbarkeit.

Ein wichtiger Aspekt ist zudem das, was sich „Mandantenfähigkeit“ nennt: Hierunter versteht man in der IT die Trennbarkeit von Daten, also die Möglichkeit, dass innerhalb eines Systems unterschiedliche Nutzer arbeiten, die aber keinen Einblick in die Daten des jeweils anderen haben.

Welche Maßnahmen verbessern die
Datensicherheit?

Welche Maßnahmen effektiv sind, kommt immer auf den Einzelfall an. Als größte Schwachstelle eines jeden Systems lassen sich jedoch offene Ports ins Internet identifizieren. Falls möglich, ist die einfachste Schutzmaßnahme, bei lokal laufenden Systemen schlicht den Stecker zu ziehen, sie überhaupt nicht mit dem Internet zu verbinden – das reduziert die Angriffsgefahr enorm.

Wer nun ins System möchte, muss physisch vor Ort sein. Ein erfahrener Berater wird in der individuellen Situation weitere Maßnahmen identifizieren können, die dem Umlegen eines Schalters gleichkommen: zehn Sekunden Aufwand, große Wirkung.

Erhöht die Cloud meine Datensicherheit?

Es ist auf den ersten Blick paradox: Während das Internet den größten Angriffspunkt darstellt, kann der Umzug in die Cloud ein Plus an Datenschutz und Datensicherheit bieten.

Aber Vorsicht: Ein seriöser Cloud-Anbieter will gut ausgewählt sein. Allein die Frage des physischen Standorts der Server (innerhalb oder außerhalb der EU) wirft Fragen in Hinblick auf den Datenschutz auf. Einen Provider mit hohen Standards vorausgesetzt, bedeutet aber die Nutzung der Cloud gerade für kleinere Unternehmen einen enormen Gewinn an Datensicherheit. Das gilt übrigens auch für viele Behörden, die das Thema lange verschlafen haben.

Mit dem Umzug in eine sichere Cloud übergeben Unternehmen ihre Daten in die Hände von Profis, die für sie Backups durchführen, das Monitoring und den Schutz der Server übernehmen.

Und gerade jetzt in Zeiten von Corona wichtig: Diese Experten können jederzeit die Verfügbarkeit von Daten gewährleisten, ohne die gar kein Homeoffice möglich wäre.

Welche Standards gibt es für Datensicherheit?

Als wichtiger Standard hat sich der IT-Grundschutz herauskristallisiert, wie er von Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt wurde. Er umfasst wichtige Handlungsempfehlungen für alle IT-Bereiche. Als internationale Norm im Bereich Cyber-Security ist die ISO 27001 zu nennen. Unternehmen können sich sowohl nach den BSI-Standards als auch nach ISO 27001 zertifizieren lassen. Speziell für kleinere und mittlere Unternehmen (KMU) kommen daneben die Richtlinien VdS 10000 in Betracht. Sie sind mit den Anforderungen nach ISO 27001 und den BSI-Standards kompatibel, aber auf die Möglichkeiten und Bedürfnisse von KMUs ausgerichtet.

Mehr zur Zertifizierung nach ISO 27001 finden Sie übrigens hier.

Größere Unternehmen wiederum haben die Möglichkeit, ein Security Operations Center (SOC) aufzubauen oder eine SIEM-Lösung (Security Information and Event Management) zu implementieren. So können sie mithilfe von Algorithmen ihren gesamten Datenverkehr auswerten und Auffälligkeiten im Netzwerk entdecken.

Wie lässt sich die eigene Datensicherheit überprüfen?

Es hilft an dieser Stelle nicht, um den heißen Brei herumzureden: Wenn die IT in Ihrem Unternehmen schon seit Jahren oder sogar Jahrzehnten von einem Kollegen aus einer anderen Abteilung „miterledigt“ wurde, benötigen Sie dringend den Blick von außen. Wer durch lange Routine betriebsblind ist, kann Risiken, die sich ständig weiterentwickeln, in aller Regel nicht mehr adäquat einschätzen.

Externe Fachleute für Datensicherheit können im Rahmen der Sicherheitsanalyse einen Pentest durchführen, der alle Bestandteile Ihres Systems auf Schwachstellen prüft. Gemeinsam mit Ihnen können sie Angriffsszenarien durchspielen und geeignete Gegenmaßnahmen entwickeln.

Bei weiteren Fragen zu diesem und anderen Themen im Datenschutz stehen Ihnen unsere Experten gerne zur Verfügung. Vereinbaren Sie einfach ein kostenloses Gespräch:

 

 
Top 6 Datenschutzfehler Top 6 Datenschutzfehler

Top 6 Fehler im Datenschutz und wie sie vermieden werden

Fehlende Datensicherheit sorgt für Verstöße im Datenschutz. Die 6 häufigsten Fehler und wie Sie diese vermeiden finden Sie in diesem E-Book.

Jetzt kostenlos herunterladen

Über den Autor

DataGuard Datenschutz-Experten DataGuard Datenschutz-Experten
DataGuard Datenschutz-Experten

Tauchen Sie ein in die Welt der Datensicherheit und DSGVO – mit Tipps und Meinungen unserer zertifizierten Datenschutzbeauftragten in Deutschland, UK und Österreich. Unsere Experten kommen aus den unterschiedlichsten Bereichen wie Wirtschaft, Recht, Technik oder Marketing und teilen mit Ihnen die neuesten Nachrichten sowie Lösungen zu aktuellen Herausforderungen, Urteilen und Rechtsentscheidungen. Ihr Ziel? Ihnen das Wissen und die Werkzeuge an die Hand zu geben, damit Sie die richtigen Entscheidungen treffen, Ihr Unternehmen absichern, Vertrauen aufbauen und Ihren Umsatz steigern können – in Einklang mit geltenden Datenschutzgesetzen. Diese Qualifizierungen unserer Datenschutzberater stehen für Qualität und Vertrauen: Zertifizierter Datenschutzbeauftragter (TÜV), Certified Information Privacy Professional/Europe (IAPP), Certified Information Privacy Manager (IAPP) Information Security, Certified Information Privacy Technologist (IAPP), Certified Practitioner in Data Protection (BCS), Fellow of Information Privacy (IAPP), Certified EU General Data Protection Regulation Practitioner (IBITGQ), Data Protection Officer & Europrivacy Auditor, Practitionier Certificate in Data Protection, PC.dp. (GDPR)

Mehr Artikel ansehen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren