Wie hängen Datenschutz und Datensicherheit im Unternehmen zusammen?

Die Digitalisierung nimmt rapide zu, immer mehr Inhalte strömen in die Cloud: Hierdurch fallen auch weltweit immer mehr Daten an, die geschützt werden müssen. Wenn Datenbanken gehackt werden, wie es kürzlich dem Hotelkonzern Marriott passierte, sind auf einen Schlag Millionen von Kunden betroffen. Im Zuge von Corona-Soforthilfen in Italien machte jüngst eine Datenpanne von enormem Ausmaß Schlagzeilen. Wer auf einer Website wie deteque.com in Echtzeit Botnetzen auf einer Weltkarte bei ihren Angriffen zusieht, dem wird ganz schwindlig. Böse Zungen sagen: Entweder man ist schon einmal gehackt worden, oder man weiß es nur noch nicht. Es reicht also nicht, theoretisch Datenschutz zu fordern. Man muss sich vor allem mit seiner technischen und organisatorischen Umsetzung befassen: der Datensicherheit.

Das Wichtigste in Kürze

  • Datensicherheit ist eine Voraussetzung für Datenschutz, dieser ist ohne technische und organisatorische Maßnahmen nicht denkbar.
  • Technische Vorkehrungen müssen stets auf dem neuesten Stand sein.
  • Größter Angriffspunkt ist das Internet: hier setzt Datensicherheit an.
  • Ein guter Cloud-Provider kann die Datensicherheit enorm erhöhen.
  • Weitere Maßnahmen zur Datensicherheit lassen sich durch den Blick von außen identifizieren.

In diesem Beitrag

 

Wie verhalten sich Datenschutz und Datensicherheit zueinander?

Ohne Datensicherheit ist Datenschutz nicht denkbar. Die pure Menge der heute überall gespeicherten Daten setzt bestimmte technische und organisatorische Maßnahmen für ein gewisses Niveau an Datensicherheit voraus. Dabei ist Datensicherheit immer relativ, nicht absolut: Welche Maßnahmen zu ergreifen sind, hängt von den konkreten Risiken und Gefahren ab. Diese gilt es abzuwägen, um letzten Endes auch einen wirksamen Datenschutz zu ermöglichen.

Welche gesetzlichen Grundlagen gelten für die Datensicherheit?

Datensicherheit ist ein gewünschter Zustand, der sich im Bereich des Schutzes personenbezogener Daten aus den Vorgaben der Datenschutzgrundverordnung (DSGVO) ergibt. Sie definiert Vertraulichkeit, Integrität und Verfügbarkeit als Schutzziele. Diese Ziele können nur unter Berücksichtigung technischer Aspekte erreicht werden, womit wir uns bereits im Feld der Datensicherheit befinden. In Artikel 32 fordert die DSGVO ganz konkret, „geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Dabei schreibt sie auch vor, den aktuellen Stand der Technik zu berücksichtigen. Niemand kann sich also einfach auf einmal getroffenen Sicherheitsmaßnahmen ausruhen. Die DSGVO verpflichtet uns dazu, mit der Zeit zu gehen.

Für wen ist Datensicherheit besonders relevant?

Artikel 9 der DSGVO definiert Kategorien personenbezogener Daten, die in besonders hohem Maße schutzwürdig sind. Hierzu zählen etwa Gesundheitsdaten, Daten zur politischen Gesinnung oder Daten zur sexuellen Orientierung. Wer diese Art von Daten verarbeitet, muss besonders hohe Anstrengungen zu ihrem Schutz unternehmen. Sensible Daten im Zahlungsverkehr oder Kontoinformationen fallen zwar per Definition nicht unter Artikel 9 der DSGVO. Aber auch bei Finanzinstituten, die mit solchen Daten zu tun haben, versteht es sich, dass die Anforderungen an Datensicherheit außerordentlich hoch sind: Das ergibt sich aus dem Wert, den die Daten für die betroffenen Personen haben.

Welche Bereiche umfasst die Datensicherheit?

Die Datensicherheit als Ganzes ist in aller Regel eine
Kombination aus verschiedenen Kontrollmaßnahmen. Hierzu zählen etwa Kontrollen
in Bezug auf Zugang, Weitergabe, Eingabe, Aufträge oder Verfügbarkeit. Ein
wichtiger Aspekt ist zudem das, was sich „Mandantenfähigkeit“ nennt: Hierunter
versteht man in der IT die Trennbarkeit von Daten, also die Möglichkeit, dass
innerhalb eines Systems unterschiedliche Nutzer arbeiten, die aber keinen Einblick
in die Daten des jeweils anderen haben.

Wie lässt sich einfach die Datensicherheit verbessern?

Welche Maßnahmen effektiv sind, kommt immer auf den Einzelfall an. Als größte Schwachstelle eines jeden Systems lassen sich jedoch offene Ports ins Internet identifizieren. Falls möglich, ist die einfachste Schutzmaßnahme, bei lokal laufenden Systemen schlicht den Stecker zu ziehen, sie überhaupt nicht mit dem Internet zu verbinden – das reduziert die Angriffsgefahr enorm. Wer nun ins System möchte, muss physisch vor Ort sein. Ein erfahrener Berater wird in der individuellen Situation weitere Maßnahmen identifizieren können, die dem Umlegen eines Schalters gleichkommen: zehn Sekunden Aufwand, große Wirkung.

Erhöht die Cloud meine Datensicherheit?

Es ist auf den ersten Blick paradox: Während das Internet
den größten Angriffspunkt darstellt, kann der Umzug in die Cloud ein Plus an
Datenschutz und Datensicherheit bieten. Aber Vorsicht: Ein seriöser
Cloud-Anbieter will gut ausgewählt sein. Allein die Frage des physischen
Standorts der Server (innerhalb oder außerhalb der EU) wirft Fragen in Hinblick
auf den Datenschutz auf. Einen Provider mit hohen Standards vorausgesetzt,
bedeutet aber die Nutzung der Cloud gerade für kleinere Unternehmen einen enormen
Gewinn an Datensicherheit. Das gilt übrigens auch für viele Behörden, die das
Thema lange verschlafen haben. Mit dem Umzug in eine sichere Cloud übergeben
Unternehmen ihre Daten in die Hände von Profis, die für sie Backups
durchführen, das Monitoring und den Schutz der Server übernehmen. Und gerade
jetzt in Zeiten von Corona wichtig: Diese Experten können jederzeit die
Verfügbarkeit von Daten gewährleisten, ohne die gar kein Homeoffice
möglich wäre.

Welche Standards gibt es für Datensicherheit?

Als wichtiger Standard hat sich der IT-Grundschutz
herauskristallisiert, wie er von Bundesamt für Sicherheit in der
Informationstechnik (BSI) entwickelt wurde. Er umfasst wichtige
Handlungsempfehlungen für alle IT-Bereiche. Als internationale Norm im Bereich
Cyber-Security ist die ISO 27001 zu nennen. Unternehmen können sich sowohl nach
den BSI-Standards als auch nach ISO 27001 zertifizieren lassen. Speziell für
kleinere und mittlere Unternehmen (KMU) kommen daneben die Richtlinien VdS
10000 in Betracht. Sie sind mit den Anforderungen nach ISO 27001 und den
BSI-Standards kompatibel, aber auf die Möglichkeiten und Bedürfnisse von KMUs
ausgerichtet. Größere Unternehmen wiederum haben die Möglichkeit, ein Security
Operations Center (SOC) aufzubauen oder eine SIEM-Lösung (Security Information
and Event Management) zu implementieren. So können sie mithilfe von Algorithmen
ihren gesamten Datenverkehr auswerten und Auffälligkeiten im Netzwerk
entdecken.

Wie lässt sich die eigene Datensicherheit überprüfen?

Es hilft an dieser Stelle nicht, um den heißen Brei herumzureden: Wenn die IT in Ihrem Unternehmen schon seit Jahren oder sogar Jahrzehnten von einem Kollegen aus einer anderen Abteilung „miterledigt“ wurde, benötigen Sie dringend den Blick von außen. Wer durch lange Routine betriebsblind ist, kann Risiken, die sich ständig weiterentwickeln, in aller Regel nicht mehr adäquat einschätzen. Externe Fachleute für Datensicherheit können im Rahmen der Sicherheitsanalyse einen Pentest durchführen, der alle Bestandteile Ihres Systems auf Schwachstellen prüft. Gemeinsam mit Ihnen können sie Angriffsszenarien durchspielen und geeignete Gegenmaßnahmen entwickeln.

Bei weiteren Fragen zu diesem und anderen Themen im Datenschutz stehen Ihnen unsere Experten gerne zur Verfügung. Vereinbaren Sie einfach ein kostenloses Gespräch und wir melden uns bei Ihnen:Kostenloses Erstgespräch buchen

Über den Autor

Robert Mäckle Robert Mäckle
Robert Mäckle

Datenschutz hat schon immer eine wichtige Rolle in der Karriere von Robert Mäckle gespielt: ob während seiner Zeit als Senior Berater bei einem Big-Four-Unternehmen oder während seiner Tätigkeit im Bereich IT-Sicherheit und Prozessoptimierung. Heute betreut der Wirtschaftsinformatiker Kunden aus dem Tech-Bereich, darunter KMU, Start-ups sowie internationale Konzerne. Am Datenschutz reizt ihn vor allem die Herausforderung, digitale Geschäftsmodelle im Einklang mit datenschutzrechtlichen Vorgaben und IT-Sicherheitsstandards aufzusetzen. Was ihn bewogen hat, sich im Datenschutz zu engagieren? „Daten sind das Öl des 21. Jahrhunderts. Sie sollten jedoch auf eine Weise gewonnen werden, die sozialen und sicherheitstechnischen Standards genügt. Dazu möchte ich meinen Teil beitragen.“

Mehr Artikel ansehen

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile auf einen Blick

  • Datenschutz, Informationssicherheit und Compliance aus einer Hand
  • Individuelle Beratung durch qualifizierte Experten – ganz ohne Fachjargon
  • Zeitsparende Technologie zur Automatisierung repetitiver Aufgaben
  • Faire und transparente Preise für optimale Planbarkeit und Budgetierung

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Externer Informationssicherheitsbeauftragter (ISB) oder Expertenbetreuung auf Augenhöhe
  • Persönlicher Ansprechpartner
  • Vorbereitung auf Ihre Zertifizierung nach ISO 27001 & TISAX®️
  • 100+ Experten aus Recht, Wirtschaft & IT
 

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Jetzt Termin vereinbaren

ODER RUFEN SIE UNS AN:(089) 8967 551 000