Datensicherheit, Datensicherung, Datenschutz – diese Begriffe werden oft synonym verwendet, bezeichnen aber unterschiedliche Sachverhalte. Erfahren Sie, was genau mit Datensicherheit gemeint ist und wie Sie Ihre Unternehmensinformationen besser vor Verlust und Angriffen schützen.
Inhalt dieses Blogbeitrags
- Definition: Was ist Datensicherheit?
- Warum Datensicherheit und Datensicherung nicht dasselbe sind
- Datensicherheit vs. Datenschutz – die Unterschiede
- Wie Datensicherung und Datenschutz voneinander profitieren
- Die 3 Ziele von Datensicherheit
- Die wichtigsten Maßnahmen
- Wie Sie ein Sicherheitskonzept erstellen
- Steigern Sie Ihre Datensicherheit mit der ahd!
Schön, dass Sie hier sind! Wie Ihnen vielleicht schon aufgefallen ist, verwenden wir aus Gründen der Lesbarkeit in erster Linie die männliche Form in unseren Texten. Im Sinne der Gleichbehandlung meinen wir damit selbstverständlich immer alle Geschlechter (m/w/d). Und jetzt wünschen wir Ihnen viel Spaß beim Lesen.
Definition: Was ist Datensicherheit?
Der Begriff Datensicherheit bezeichnet einen Zustand, in dem Ihre Daten möglichst optimal vor Verlust, Diebstahl und Verfälschung geschützt sind. Datensicherheit sollte sowohl interne als auch externe Gefahren adressieren. Eine interne Gefahr wäre beispielsweise die versehentliche Löschung von Daten durch einen Mitarbeiter. Dagegen stellt ein Hackerangriff eine externe Gefahr dar.
Datensicherheit ist ein Bestandteil der Informationssicherheit. Dazu zählt auch der von der Datensicherheit zu unterscheidende Datenschutz. Die Datensicherheit hat drei Ziele: Es sollen die Vertraulichkeit, Integrität und Verfügbarkeit der Daten sichergestellt werden. Dafür kommen verschiedene technische und organisatorische Maßnahmen zum Einsatz.
Warum Datensicherheit und Datensicherung nicht dasselbe sind
Auch wenn sich die beiden Begriffe ähnlich anhören: Datensicherheit und Datensicherung sind nicht dasselbe. Der Ausdruck Datensicherung ist synonym mit dem englischen Wort Backup. Er bezeichnet einen Vorgang, bei dem Ihre Daten auf einem externen Medium gesichert werden, beispielsweise auf einem Backup-Tape oder in der Cloud.
Dagegen ist Datensicherheit kein Vorgang, sondern ein Zustand. Er wird erreicht, nachdem verschiedene Schutzmaßnahmen ergriffen wurden. Dazu kann sehr wohl auch die Datensicherung gehören, weil diese schließlich Verlusten vorbeugt. Insofern ist die Datensicherung – also der Backup-Vorgang – der allgemeineren Datensicherheit vorgeschaltet.
Datensicherheit vs. Datenschutz – die Unterschiede
Unterschieden werden muss auch zwischen Datensicherheit und Datenschutz. Hierbei spielen drei Kriterien eine Rolle: der Personenbezug, die Frage nach der Datenerfassung und die Intention.
Personenbezug
Datenschutz befasst sich immer mit personenbezogen Daten. Das beinhaltet beispielsweise den Namen Ihres Kunden, seine E-Mail-Adresse oder seine Kontoinformationen. Ziel des Datenschutzes ist es, das Recht auf informationelle Selbstbestimmung zu gewährleisten. Ihr Kunde soll also selbst festlegen können, zu welchen Zwecken seine Daten eingesetzt werden.
Im Vergleich dazu ist der Begriff Datensicherheit weiter gefasst. Hier geht es um den technischen Schutz aller Unternehmensdaten, mit und ohne Personenbezug. So hat ein Architekturbüro wahrscheinlich großes Interesse daran, seine Konstruktionspläne vor dem Zugriff Unbekannter zu schützen, auch wenn diese Pläne keine personenbezogenen Daten enthalten.
Datenerfassung
Ein weiterer wichtiger Unterschied: Der Datenschutz stellt die Frage, welche Informationen überhaupt erhoben, verarbeitet und weitergegeben werden dürfen. Insbesondere gilt es, die gesetzlichen Vorgaben der Datenschutz-Grundverordnung (DSGVO) einzuhalten.
Bei der Datensicherheit steht diese Frage nicht im Vordergrund. Hier liegt der Fokus auf dem Schutz der bereits vorliegenden Daten unter technischen und organisatorischen Gesichtspunkten.
Es handelt sich damit um einen zeitlichen Unterschied. Der Datenschutz setzt früher an, noch bevor die Informationen vorliegen. Im Anschluss interessiert ihn außerdem, wie die Informationen weiterverwendet werden.
Intention
Datenschutz und Datensicherheit haben unterschiedliche Stoßrichtungen. Beim Datenschutz stehen rechtliche Überlegungen im Vordergrund. Es wird auf einer grundsätzlichen Ebene diskutiert, wie die Privatsphäre des Einzelnen geschützt werden kann. Bei der Datensicherheit liegt das Augenmerk auf dem technischen Aspekt. Beispielsweise geht es um den Schutz von Netzwerken oder die Hochverfügbarkeit von Systemen.
Wie Datensicherheit und Datenschutz voneinander profitieren
Datenschutz und Datensicherheit sind nicht identisch, sie arbeiten sich aber gegenseitig zu. Wenn personenbezogene Daten im Unternehmen datenschutzkonform verarbeitet werden, dann profitiert davon auch die allgemeine Datensicherheit.
Umgekehrt trägt ein hohes technisches Sicherheitslevel, wie es die Datensicherheit anstrebt, auch zum Datenschutz bei. Denn dann können personenbezogene Daten schwerer entwendet werden, weil sie zum Beispiel durch Firewalls oder Verschlüsselungstechnologien effektiv geschützt werden.
Die 3 Ziele von Datensicherheit
Datensicherheit verfolgt drei Ziele, nämlich Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability). In Anlehnung an die englischen Bezeichnungen verwendet man auch das Akronym CIA.
Vertraulichkeit
Vertraulichkeit liegt dann vor, wenn ein Datensatz nur für autorisierte Personen, Einrichtungen oder Prozesse zugänglich ist. Beispielsweise sollen Kunden-E-Mail-Adressen nur bestimmten Mitarbeitern eines Unternehmens zur Verfügung stehen, nicht aber an Dritte weitergegeben werden.
Integrität
Integrität bedeutet, dass Daten unversehrt vorliegen, also nicht unbemerkt verändert oder gefälscht werden können. Auch technische Defekte können die Vollständigkeit von Daten beeinträchtigen. Ein typischer Anwendungsfall sind Prüfsummen bei der Datenübertragung. Sie stellen sicher, dass die Ausgangsnachricht und die Empfängernachricht mit hoher Wahrscheinlichkeit identisch sind.
Verfügbarkeit
Verfügbarkeit ist dann gegeben, wenn Informationen für berechtigte User innerhalb eines vereinbarten Zeitraums abrufbar sind. Es geht hier vor allem darum, Systemausfällen vorzubeugen. Wenn Sie zum Beispiel Ihr Kunde anruft, um eine Bestellung zu reklamieren, dann möchten Sie direkt auf seine Bestelldaten zugreifen können. Andernfalls drohen finanzielle Einbußen und Imageverluste.
Die wichtigsten Maßnahmen
Bei der Umsetzung von Datensicherheit muss zwischen technischen und organisatorischen Maßnahmen unterschieden werden.
Technische Maßnahmen
- Datenzugriff: Regeln Sie, wer berechtigt ist, auf welche Daten zuzugreifen und diese weiterzugeben.
- Authentifizierung: Sorgen Sie für eine wirksame Authentifizierung von Usern, Programmen und Prozessen, zum Beispiel durch sichere Zugangsdaten oder eine Zwei-Faktor-Authentifizierung.
- Netzwerksicherung: Sichern Sie Ihre Server und Netzwerke, indem Sie entbehrliche Dienste deaktivieren, VPN-Zugänge nutzen, Passwörter ändern und Log-Dateien beobachten.
- Firewalls: Installieren Sie Firewalls, um Ihren Datenverkehr zu kontrollieren und unerlaubte Netzwerkzugriffe zu unterbinden.
- Verschlüsselung: Verwenden Sie geeignete kryptologische Verfahren, um beispielsweise Ihre E-Mail-Kommunikation abzusichern.
- Datensicherung: Erstellen Sie regelmäßig Backups Ihrer Unternehmensdaten, zum Beispiel in einer besonders gesicherten Private Cloud. Verwenden Sie außerdem die 3-2-1-Regel.
- Protokollierung: Vermerken Sie alle Datenzugriffe und -veränderungen, um Vorgänge zurückverfolgen zu können.
- Virenschutzsoftware: Achten Sie darauf, eine leistungsfähige Virenschutzsoftware zu verwenden, die regelmäßig geupdatet wird.
- Physischer Zugang: Regeln Sie, wer Zutritt zu bestimmten Gebäudeteilen hat, beispielsweise zu Ihrem Serverraum.
- Stromversorgung: Stellen Sie den ununterbrochenen Betrieb Ihres Netzwerks durch Notstromaggregate sicher.
Organisatorische Maßnahmen
- Verantwortlichkeiten: Regeln Sie, wer in Ihrem Unternehmen beim Thema Datensicherheit für welche Aufgaben zuständig ist.
- Datenkategorisierung: Teilen Sie Ihre Daten nach Verwendung und Wichtigkeit in Kategorien ein, um zum Beispiel Risiken besser beurteilen zu können.
- Rollenkonzepte: Definieren Sie Rollen und damit einhergehende Berechtigungen innerhalb Ihres Unternehmens, um Einzelfallentscheidungen zu vermeiden.
- Mitarbeiterschulungen: Vertiefen Sie das Sicherheitsbewusstsein Ihrer Mitarbeiter durch regelmäßige Schulungen.
- Besucherregelungen: Finden Sie klare Regelungen, welche Daten, Anwendungen und Gebäudeteile Besuchern gezeigt werden dürfen und welche nicht.
- Vier-Augen-Prinzip: Schaffen Sie mehr Sicherheit bei kritischen Prozessen, indem mindestens zwei Personen unabhängig voneinander zur selben Einschätzung gelangen müssen.
Wie Sie ein Sicherheitskonzept erstellen
Jede Organisation hat unterschiedliche Sicherheitsbedürfnisse. Vielleicht hat Unternehmen A Defizite bei der Protokollierung von Daten, während bei Unternehmen B keine Rollenkonzepte existieren.
Deswegen sollten Sie ein individuelles Datensicherheitskonzept für Ihr Unternehmen erstellen. So können Sie sich sicher sein, alle relevanten Aspekte abzudecken, ohne unnötigen Verwaltungsaufwand zu erzeugen.
Datensicherheitsbeauftragten benennen
Benennen Sie im ersten Schritt einen Datensicherheitsbeauftragten. Ihm obliegt es, das Datensicherheitskonzept zu entwerfen und seine zukünftige Einhaltung zu kontrollieren. Sie können hierfür entweder jemanden intern abstellen oder einen externen Managed-Services-Provider (MSP) beauftragen.
Letzteres macht vor allem dann Sinn, wenn Sie intern nicht über das entsprechende Datensicherheits-Know-how verfügen. Außerdem betrachten externe Experten Ihr Unternehmen mit frischen Augen. Sie identifizieren so Sicherheitslücken, die Ihnen bisher gar nicht bewusst waren.
Schutzbedarfsanalyse erstellen
Im zweiten Schritt führen Sie eine Schutzbedarfsanalyse durch. Fragen Sie sich für jede der oben genannten Datensicherheitsmaßnahmen, ob hierfür in Ihrem Unternehmen Handlungsbedarf besteht. Betrachten Sie auch jeden Ihrer Prozesse einzeln: An welchen Stellen könnten durch Mitarbeiterfehler oder Cyberangriffe Daten kompromittiert werden?
Der Datensicherheitsbeauftragte sollte sich außerdem mit Vertretern aller Abteilungen zusammensetzen. Denn diese haben oft eine bessere Vorstellung davon, was im Detail verbessert werden müsste. Im Idealfall bildet der Beauftragte sogar ein Datensicherheitskomitee, das auch externe Stakeholder wie Lieferanten und Kunden einschließen kann.
Fortlaufendes Monitoring betreiben
Häufig besteht das größte Problem nicht im fehlenden Konzept, sondern darin, dass dieses Konzept nicht mehr aktualisiert wird. Das gilt insbesondere für mittlere und große Unternehmen, die längere Entscheidungswege haben. Hier wird teilweise nach Datensicherheitsstandards gearbeitet, die mehrere Jahre alt sind.
Setzen Sie sich deshalb einen jährlichen Reminder, zu dem Sie Ihr Datensicherheitskonzept auf den Prüfstand stellen. Berufen Sie hierzu Ihr Datensicherheitskomitee ein. Fragen Sie sich im Plenum:
- Was hat sich seit unserem letzten Treffen im Unternehmen verändert?
- Welchen neuen Prozesse sind hinzugekommen?
- Welche bestehenden Prozesse wurden modifiziert?
- Welche Konsequenzen ergeben sich hieraus für unser Datensicherheitskonzept? Welche neuen Maßnahmen müssen wir einführen, welche überholten
- Maßnahmen können wir abstoßen?
- Haben sich in der Zwischenzeit neue gesetzliche Anforderungen ergeben, die wir berücksichtigen müssen?
- Gibt es in der Zwischenzeit neue, bessere Technologien, die wir verwenden sollten, um unsere Daten effektiver zu schützen?
Steigern Sie Ihre Datensicherheit mit der ahd!
Sie möchten die Datensicherheit in Ihrem Unternehmen erhöhen? Dann sollten wir uns unterhalten. Die Experten der ahd helfen Ihnen bei der Erstellung eines Datensicherheitskonzepts, realisieren Backuplösungen und schützen Ihr Netzwerk vor Angriffen. Auch bei personenbezogenen Daten, Stichwort DSGVO, sind wir Ihr kompetenter Ansprechpartner. Kontaktieren Sie uns jetzt für eine unverbindliche Erstberatung!