Wie hängen Datenschutz und Datensicherheit im Unternehmen zusammen?

Das Wichtigste in Kürze

  • Datensicherheit ist eine Voraussetzung für Datenschutz, dieser ist ohne technische und organisatorische Maßnahmen nicht denkbar.
  • Technische Vorkehrungen müssen stets auf dem neuesten Stand sein.
  • Größter Angriffspunkt ist das Internet: hier setzt Datensicherheit an.
  • Ein guter Cloud-Provider kann die Datensicherheit enorm erhöhen.
  • Weitere Maßnahmen zur Datensicherheit lassen sich durch den Blick von außen identifizieren.

In diesem Beitrag

Die Digitalisierung nimmt rapide zu, immer mehr Inhalte strömen in die Cloud: Hierdurch fallen auch weltweit immer mehr Daten an, die geschützt werden müssen. Wenn Datenbanken gehackt werden, wie es kürzlich dem Hotelkonzern Marriott passierte, sind auf einen Schlag Millionen von Kunden betroffen. Im Zuge von Corona-Soforthilfen in Italien machte jüngst eine Datenpanne von enormem Ausmaß Schlagzeilen. Wer auf einer Website wie deteque.com in Echtzeit Botnetzen auf einer Weltkarte bei ihren Angriffen zusieht, dem wird ganz schwindlig. Böse Zungen sagen: Entweder man ist schon einmal gehackt worden, oder man weiß es nur noch nicht. Es reicht also nicht, theoretisch Datenschutz zu fordern. Man muss sich vor allem mit seiner technischen und organisatorischen Umsetzung befassen: der Datensicherheit.

Wie verhalten sich Datenschutz und Datensicherheit zueinander?

Ohne Datensicherheit ist Datenschutz nicht denkbar. Die pure Menge der heute überall gespeicherten Daten setzt bestimmte technische und organisatorische Maßnahmen für ein gewisses Niveau an Datensicherheit voraus. Dabei ist Datensicherheit immer relativ, nicht absolut: Welche Maßnahmen zu ergreifen sind, hängt von den konkreten Risiken und Gefahren ab. Diese gilt es abzuwägen, um letzten Endes auch einen wirksamen Datenschutz zu ermöglichen.

Welche gesetzlichen Grundlagen gelten für die Datensicherheit?

Datensicherheit ist ein gewünschter Zustand, der sich im Bereich des Schutzes personenbezogener Daten aus den Vorgaben der Datenschutzgrundverordnung (DSGVO) ergibt. Sie definiert Vertraulichkeit, Integrität und Verfügbarkeit als Schutzziele. Diese Ziele können nur unter Berücksichtigung technischer Aspekte erreicht werden, womit wir uns bereits im Feld der Datensicherheit befinden. In Artikel 32 fordert die DSGVO ganz konkret, „geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Dabei schreibt sie auch vor, den aktuellen Stand der Technik zu berücksichtigen. Niemand kann sich also einfach auf einmal getroffenen Sicherheitsmaßnahmen ausruhen. Die DSGVO verpflichtet uns dazu, mit der Zeit zu gehen.

Für wen ist Datensicherheit besonders relevant?

Artikel 9 der DSGVO definiert Kategorien personenbezogener Daten, die in besonders hohem Maße schutzwürdig sind. Hierzu zählen etwa Gesundheitsdaten, Daten zur politischen Gesinnung oder Daten zur sexuellen Orientierung. Wer diese Art von Daten verarbeitet, muss besonders hohe Anstrengungen zu ihrem Schutz unternehmen. Sensible Daten im Zahlungsverkehr oder Kontoinformationen fallen zwar per Definition nicht unter Artikel 9 der DSGVO. Aber auch bei Finanzinstituten, die mit solchen Daten zu tun haben, versteht es sich, dass die Anforderungen an Datensicherheit außerordentlich hoch sind: Das ergibt sich aus dem Wert, den die Daten für die betroffenen Personen haben.

Welche Bereiche umfasst die Datensicherheit?

Die Datensicherheit als Ganzes ist in aller Regel eine Kombination aus verschiedenen Kontrollmaßnahmen. Hierzu zählen etwa Kontrollen in Bezug auf Zugang, Weitergabe, Eingabe, Aufträge oder Verfügbarkeit. Ein wichtiger Aspekt ist zudem das, was sich „Mandantenfähigkeit“ nennt: Hierunter versteht man in der IT die Trennbarkeit von Daten, also die Möglichkeit, dass innerhalb eines Systems unterschiedliche Nutzer arbeiten, die aber keinen Einblick in die Daten des jeweils anderen haben.

Wie lässt sich einfach die Datensicherheit verbessern?

Welche Maßnahmen effektiv sind, kommt immer auf den Einzelfall an. Als größte Schwachstelle eines jeden Systems lassen sich jedoch offene Ports ins Internet identifizieren. Falls möglich, ist die einfachste Schutzmaßnahme, bei lokal laufenden Systemen schlicht den Stecker zu ziehen, sie überhaupt nicht mit dem Internet zu verbinden – das reduziert die Angriffsgefahr enorm. Wer nun ins System möchte, muss physisch vor Ort sein. Ein erfahrener Berater wird in der individuellen Situation weitere Maßnahmen identifizieren können, die dem Umlegen eines Schalters gleichkommen: zehn Sekunden Aufwand, große Wirkung.

Erhöht die Cloud meine Datensicherheit?

Es ist auf den ersten Blick paradox: Während das Internet den größten Angriffspunkt darstellt, kann der Umzug in die Cloud ein Plus an Datenschutz und Datensicherheit bieten. Aber Vorsicht: Ein seriöser Cloud-Anbieter will gut ausgewählt sein. Allein die Frage des physischen Standorts der Server (innerhalb oder außerhalb der EU) wirft Fragen in Hinblick auf den Datenschutz auf. Einen Provider mit hohen Standards vorausgesetzt, bedeutet aber die Nutzung der Cloud gerade für kleinere Unternehmen einen enormen Gewinn an Datensicherheit. Das gilt übrigens auch für viele Behörden, die das Thema lange verschlafen haben. Mit dem Umzug in eine sichere Cloud übergeben Unternehmen ihre Daten in die Hände von Profis, die für sie Backups durchführen, das Monitoring und den Schutz der Server übernehmen. Und gerade jetzt in Zeiten von Corona wichtig: Diese Experten können jederzeit die Verfügbarkeit von Daten gewährleisten, ohne die gar kein Homeoffice möglich wäre.

Welche Standards gibt es für Datensicherheit?

Als wichtiger Standard hat sich der IT-Grundschutz herauskristallisiert, wie er von Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt wurde. Er umfasst wichtige Handlungsempfehlungen für alle IT-Bereiche. Als internationale Norm im Bereich Cyber-Security ist die ISO 27001 zu nennen. Unternehmen können sich sowohl nach den BSI-Standards als auch nach ISO 27001 zertifizieren lassen. Speziell für kleinere und mittlere Unternehmen (KMU) kommen daneben die Richtlinien VdS 10000 in Betracht. Sie sind mit den Anforderungen nach ISO 27001 und den BSI-Standards kompatibel, aber auf die Möglichkeiten und Bedürfnisse von KMUs ausgerichtet. Größere Unternehmen wiederum haben die Möglichkeit, ein Security Operations Center (SOC) aufzubauen oder eine SIEM-Lösung (Security Information and Event Management) zu implementieren. So können sie mithilfe von Algorithmen ihren gesamten Datenverkehr auswerten und Auffälligkeiten im Netzwerk entdecken.

Wie lässt sich die eigene Datensicherheit überprüfen?

Es hilft an dieser Stelle nicht, um den heißen Brei herumzureden: Wenn die IT in Ihrem Unternehmen schon seit Jahren oder sogar Jahrzehnten von einem Kollegen aus einer anderen Abteilung „miterledigt“ wurde, benötigen Sie dringend den Blick von außen. Wer durch lange Routine betriebsblind ist, kann Risiken, die sich ständig weiterentwickeln, in aller Regel nicht mehr adäquat einschätzen. Externe Fachleute für Datensicherheit können im Rahmen der Sicherheitsanalyse einen Pentest durchführen, der alle Bestandteile Ihres Systems auf Schwachstellen prüft. Gemeinsam mit Ihnen können sie Angriffsszenarien durchspielen und geeignete Gegenmaßnahmen entwickeln.

Über den Autor

Robert Mäckle

Schon bevor er Senior Datenschutzbeauftragter bei DataGuard wurde, spielte Datenschutz eine wichtige Rolle in der Karriere von Robert Mäckle: ob während seiner Zeit als Senior Berater bei einem Big Four-Unternehmen oder während seiner Tätigkeit im Bereich IT-Sicherheit und Prozessoptimierung. Heute betreut der Wirtschaftsinformatiker Kunden aus dem Tech-Bereich, darunter KMU, Startups sowie internationale Konzerne. Am Datenschutz reizt ihn vor allem die Herausforderung, digitale Geschäftsmodelle im Einklang mit datenschutzrechtlichen Vorgaben und IT-Security-Standards aufzusetzen. Was ihn bewogen hat, sich im Datenschutz zu engagieren? „Daten sind das Öl des 21. Jahrhunderts. Sie sollten jedoch auf eine Weise gewonnen werden, die sozialen und sicherheitstechnischen Standards genügt. Dazu möchte ich meinen Teil beitragen.“

Weitere Beiträge von Robert Mäckle

Keine Beiträge mehr verpassen!

Möchten Sie zu Datenschutz und Datensicherheit auf dem Laufenden bleiben? Praktische Tipps und Einladungen zu Webinaren und Online-Fragestunden erhalten Sie über unser monatliches E-Mailing.

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

close

Vielen Dank

für Ihre Anfrage.

Wir setzen uns zeitnah mit Ihnen in Verbindung, um Ihr persönliches Erstgespräch zu terminieren.

01

Sie erhalten innerhalb weniger Minuten eine Bestätigungs-E-Mail mit allen wichtigen Informationen. Sie sind nur noch einen Klick von Ihrem Erstgespräch entfernt.

02

Wir rufen Sie zu der vereinbarten Zeit unter der angegebenen Telefonnummer an. Alle Fragen die Sie haben sollten, beantworten wir dann gerne. Wir freuen uns auf das Gespräch mit Ihnen!

Wir machen Ihnen umgehend ein passendes Angebot. Gerne können Sie uns auch einfach anrufen:
089 442 550 - 62649 (wir arbeiten bundesweit)

Buchen sie hier direkt einen Termin mit einem unserer Experten.

Jetzt direkt Termin buchen

Oder senden Sie dieses Formular ab und erhalten erste Informationen. Einer unserer Experten wird Sie daraufhin kontaktieren.






[honeypot fc_website_h]


































Angebot erhalten
089 442 550 - 62649 bundesweiter Service