Datensicherheit – was ist das?

Illustration einer Burg zu Datensicherheit

Was ist Datensicherheit?

Unter dem Begriff der Datensicherheit wird der Schutz sämtlicher Daten vor Bedrohungen durch unbefugte Zugriffe verstanden – ob mit oder ohne Personenbezug. Die Bezeichnung Datensicherheit wird insbesondere im Kontext der Datenschutzgrundverordnung (DSGVO) gebraucht und stellt einen Idealzustand dar, den es durch verschiedene Maßnahmen zu erreichen gilt. Im Bereich der Informationssicherheit sollen drei zentrale Schutzziele von Daten gewährleistet werden: die Vertraulichkeit, Integrität und Verfügbarkeit. In Zeiten der fortschreitenden Digitalisierung, in denen Daten zu den wichtigsten Werten eines Unternehmens zählen, wird deren Sicherheit zu einem immer bedeutenderen Thema für Betriebe aller Art.

Datenschutz und Datensicherheit – was ist der Unterschied?

Die Begriffe Datenschutz und Datensicherheit sind zwar eng miteinander verbunden, bezeichnen jedoch nicht das Gleiche. Sie synonym zu verwenden, ist folglich nicht wirklich präzise. Aber was genau ist eigentlich der Unterschied?

Datenschutz umfasst nicht den Schutz sämtlicher Daten, sondern meint konkret personenbezogene Daten, zu denen beispielsweise Telefonnummer, Kontodaten oder auch äußerliche Merkmale zählen. Diese Daten müssen Unternehmen, Vereine und Co. nicht nur sicher verwahren, sondern auch bei der Erhebung, Verarbeitung und Weitergabe besondere Sorgfalt an den Tag legen. Ebenso müssen betroffene Personen über die Nutzung ihrer Daten informiert werden. Der Datenschutz setzt damit schon vor der Übermittlung der Daten an und schützt die Privatsphäre der Menschen in rechtlicher Hinsicht, basierend auf dem Bundesdatenschutzgesetz (BDSG) und der DSGVO.

Im Gegensatz dazu umfasst die Datensicherheit jegliche Form von Daten und fokussiert deren technischen und organisatorischen Schutz. Ob personenbezogene Daten oder Unternehmensdaten: Maßnahmen der Datensicherheit sorgen beispielsweise dafür, dass Unbefugte keinen Zugriff auf die Daten erhalten – etwa durch eine entsprechende Zugangskontrolle mithilfe von Verschlüsselungen und Passwörtern.

Im Gegensatz dazu umfasst die Datensicherheit jegliche Form von Daten und fokussiert deren technischen und organisatorischen Schutz. Ob personenbezogene Daten oder Unternehmensdaten: Maßnahmen der Datensicherheit sorgen beispielsweise dafür, dass Unbefugte keinen Zugriff auf die Daten erhalten – etwa durch eine entsprechende Zugangskontrolle mithilfe von Verschlüsselungen und Passwörtern.

Das bedeutet auch, dass ein einwandfreier Datenschutz der Datensicherheit bedarf. Nur wenn die personenbezogenen Daten bei einem Unternehmen oder einer anderen Institution vor unerwünschten Zugriffen geschützt sind, ist auch gewährleistet, dass Dritte diese nicht ohne Zustimmung verwenden.

Ein gängiges Beispiel zur Unterscheidung der Begriffe ist der betriebliche Einsatz von Cloud-Speichern. In der Regel werden Cloud-Dienste von spezialisierten Firmen angeboten. Unternehmen nutzen deren Angebot, um ihre eigenen Daten auf die Server des jeweiligen Anbieters auszulagern. Geht es dabei beispielsweise um Backups zur Datensicherung von Bauzeichnungen, ist das Ganze problemlos möglich und eine sinnvolle Maßnahme zur Erhöhung der Datensicherheit. Sollen hingegen Kundenkontakte – und mit ihnen personenbezogene Daten – kopiert werden, ist das mit Blick auf den Datenschutz problematisch und nicht ohne Weiteres möglich. Denn die Daten werden an Dritte weitergegeben – und dafür braucht es die Zustimmung der betroffenen Person.

Datensicherheit im Gesetz

Die gesetzliche Grundlage für den Datenschutz und die Datensicherheit bilden die europäische Datenschutzgrundverordnung (DSGVO) sowie auf nationaler Ebene ergänzend das Bundesdatenschutzgesetz (BDSG). Insbesondere in der DSGVO sind Datensicherheit und Datenschutz sehr eng miteinander verknüpft. So muss mithilfe „technischer und organisatorischer Maßnahmen (TOM)“ ein angemessenes Schutzniveau sichergestellt werden, das der Schutzbedürftigkeit verschiedener Daten gerecht wird. Beispielsweise müssen Daten besonders gut geschützt werden, die gemäß Art. 9 DSVGO zu den besonderen Kategorien personenbezogener Daten zählen. Das sind unter anderem sensible Daten wie ethnische Herkunft, religiöse oder weltanschauliche Überzeugungen, biometrische Daten, Daten zur sexuellen Orientierung oder Gesundheitsdaten einer natürlichen Person.

Ziele und Risiken der Datensicherheit

In Zeiten, in denen Daten für Unternehmen zunehmend an Bedeutung gewinnen, stellen Datenverluste oder -diebstähle ein ernstzunehmendes Risiko für Unternehmen dar. Meist sind die Fälle auf Schwachstellen in der Datensicherheit zurückzuführen – sei es, wenn durch die Unachtsamkeit eines Mitarbeiters ein USB-Stick mit wichtigen Entwicklungsdaten verloren geht oder bei einem Hackerangriff wegen Sicherheitslücken in der Firewall sensible Daten gestohlen werden können.

Mit dem Begriff „Datensicherheit“ wird ein Idealzustand beschrieben, bei dem alle Unternehmensdaten ausreichend abgesichert sind und Szenarien wie die beschriebenen nicht vorkommen können. In der Praxis ist dieser Zustand im Grunde nie zu erreichen. Es gilt daher, ihm so nahe wie möglich zu kommen. Dafür müssen entsprechende Sicherheitsmaßnahmen ergriffen werden.

Datensicherheit im Unternehmen

Um dem Idealzustand der Datensicherheit so nah wie möglich zu kommen, können und müssen Unternehmen Maßnahmen zur Datensicherheit ergreifen. Solche Sicherheitsmaßnahmen lassen sich unterteilen in technische Maßnahmen und organisatorische Maßnahmen.

Gemäß der Schutzbedürftigkeit der Daten müssen technische und organisatorische Maßnahmen darauf abzielen, verschiedene Schutzziele einzuhalten:

  • Vertraulichkeit

    • Integrität

      • Verfügbarkeit und Belastbarkeit (Widerstandsfähigkeit und Resilienz von Systemen und Diensten)

        • Regelmäßige Überprüfung, Bewertung und Evaluierung

          Während der Aspekt der Vertraulichkeit vorrangig auf Zutritts-, Zugangs- und Zugriffskontrollen für Anlagen und Systeme zur Datenverarbeitung abzielt, steht bei der Integrität die Nachvollziehbarkeit der Bearbeitung und Weitergabe der Daten im Mittelpunkt.

          Karriere Auszubildende Fachinformatiker Zwei Frauen unterhalten sich am Laptop

          Technische Maßnahmen zur Datensicherheit in Unternehmen

          Zu den wichtigsten, gängigen technischen Maßnahmen zur Datensicherheit, die Unternehmen ergreifen können, zählen:

          Physische Zutrittskontrolle – sorgt dafür, dass Unbefugte keinen Zugang zu Unternehmensgebäuden und -räumen haben. So erhalten nur befugte Mitarbeiter Zugang zu Daten in physischer und digitaler Form.

          Zugriffskontrolle für Daten – regelt die Zugriffsrechte von Benutzern für bestimmte Daten. So wird sichergestellt, welche Personen oder Personenkreise Zugriff auf bestimmte Daten haben.

          Virenschutz, Firewalls, VPN-Verbindungen – stellen einen Basisschutz für einen kontrollierten und sicheren Datenverkehr dar und schützen vor unbefugten Netzwerkzugriffen und Computerviren.

          Datenverschlüsselung – sorgt für eine sichere Datenübertragung, die es Unbefugten nicht ermöglicht, Daten zu lesen.

          Backups – stellen eine wichtige Maßnahme zur Datensicherheit dar. Regelmäßige Backups ermöglichen es, Daten wiederherzustellen, wenn es beispielsweise durch einen Software-Fehler, einen Hardware-Defekt oder andere Gründen zu einem Datenverlust gekommen ist. Eine gute Möglichkeit für Backups bieten Clouds. Dank der räumlichen Trennung und hoher Sicherheitsstandards bieten Cloudspeicher eine hohe Datensicherheit.

          Organisatorische Maßnahmen zur Datensicherheit in Unternehmen

          Mitarbeiter sensibilisieren: Mitarbeiter müssen ein Datenbewusstsein entwickeln, um im Sinne der Datensicherheit handeln zu können. Schulungen und Trainings vermitteln dieses Bewusstsein.

          Daten klassifizieren: Manche Daten sind wichtiger und wertvoller als andere und sollten entsprechend behandelt werden. Mit einer Klassifizierung der Daten lassen sich Daten in Gruppen einteilen, die den Mitarbeitern den Umgang mit den jeweiligen Daten erleichtern.

          Verhaltensrichtlinien und Verantwortlichkeiten definieren: Wer darf mit welchen Daten arbeiten und darauf zugreifen? Das sollte klar geregelt sein. Diese Einteilung sollte sich in den Zugriffsrechten für Dateien widerspiegeln.

          Datensicherheit ist in Unternehmen ein Dauerthema. Es lässt sich nicht einmalig erledigen. Stattdessen gilt es, die eigenen Konzepte zum Datenschutz und zur Datensicherheit regelmäßig zu überprüfen, an neue Bedrohungsszenarien und Sicherheitsrisiken anzupassen und im Zuge dessen auch potenzielle Sicherheitslücken zu schließen. Nur so gelingt es, ein möglichst hohes Maß an Datensicherheit im Unternehmen dauerhaft zu gewähren.

          Häufige Fragen & Antworten zur Datensicherheit