Was bedeutet Datensicherheit?

Stefanie Siriu
Rechtsanwältin / Fachanwältin für Strafrecht

Kapitel

Was ist Datensicherheit?
Unterschied zwischen Datenschutz und Datensicherheit
Datensicherheit: Maßnahmen definieren
Datensicherheitskonzept: Grundanforderungen und Inhalt

Was ist Datensicherheit? — Bild: pixabay Was genau versteht man unter dem Prozess Datensicherheit?

Unter dem Begriff „Datensicherheit“ versteht man den generellen Schutz aller Daten eines Unternehmens. Es geht also darum, dass geeignete Maßnahmen eingeführt werden, um diesen Schutz gewährleisten zu können. Datensicherheit ist also weniger ein Prozess, sondern vielmehr ein Zustand, der erreicht werden soll.

Dabei handelt es sich sowohl um Daten mit Personenbezug, als auch um Daten, die keinen Bezug zu einer Person herstellen. Solche Daten können beispielsweise Konstruktionspläne oder Unternehmensstrategien sein. Bei den Daten ist es unerheblich, ob diese in analoger oder digitaler Form vorliegen.

Ministerium für Datensicherheit, Bundesamt für Datensicherheit, Gesellschaft für Datensicherheit

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist eine in Bonn ansässige zivile obere Bundesbehörde für Fragen rund um die IT-Sicherheit. Der Aufgabenbereich des BSI wird durch das „Gesetz über das Bundesamt für Sicherheit in der Informationstechnik“ (BSI-Gesetz) festgelegt. Ziel des BSI ist es, die Informationssicherheit und Cybersicherheit zu fördern und voranzutreiben. Dies erfolgt beispielsweise durch ausgearbeitete Handlungsempfehlungen zur IT-Sicherheit, um Risiken zu minimieren oder gar verhindern zu können. Zum Aufgabenbereich des BSI zählt unter anderem:

Prüfung und Zertifizierung von IT-Produkten und angebotenen Dienstleistungen
Information und Sensibilisierung für das Thema „Datensicherheit“
Entwicklung einheitlicher und verbindlicher Sicherheitsstandards
Warnung vor Sicherheitslücken in IT-Produkten und angebotenen Dienstleistungen

Das BSI gibt außerdem die IT-Grundschutz-Kataloge heraus, die Empfehlungen für Standardmaßnahmen für typische IT-Systeme enthalten. Das kann vor allem bei der Sicherung von digitalen Daten für Unternehmen von Nutzen sein.

Wie erreicht allgemeine Datensicherheit?

Das Thema Datensicherheit ist für alle Unternehmen unabdingbar. Fast jedes Unternehmen hat seine Daten heutzutage auch digitalisiert, was eine größere Angriffsfläche der Daten bietet. Es kommt nicht nur darauf an, dass man geeignete Maßnahmen zum Schutz der Daten trifft, sondern die zu schützenden Daten auch richtig bewertet. So kann es sein, dass zwei Prozesse im Unternehmen unterschiedliche Sicherheitsmaßnahmen benötigen, obwohl sie mit den gleichen Daten arbeiten.

Ein kurzes Beispiel hierzu: In einem Unternehmen werden die Kreditkartendaten der Kunden in zwei verschiedenen Systemen abgespeichert. Im System A wird die eine Hälfte der Daten aufbewahrt, während in System B die zweite Hälfte der Daten aufbewahrt wird. Im System A sind somit der Name des Kunden, die Prüfnummer und die Gültigkeit der Karte abgespeichert. Im System B ist dann die Kartennummer abgespeichert. Diese Vorkehrung erschwert möglichen Hackern einen Zugriff auf die Daten, da beide Systeme benötigt werden. An dieser Stelle hätte das Unternehmen eine geeignete Maßnahme zum Schutz der Kreditkartendaten eingeführt. Um das Beispiel jetzt auszuweiten: Ein drittes System C zieht sich automatisch Daten von System A und System B und arbeitet mit diesen. Das würde bedeuten, dass eine weitere Schutzmaßnahme für das System C eingeführt werden muss, da alle Kreditkartendaten dort verfügbar wären.

Welches sind die Ziele der Datensicherheit?

Durch die Datensicherheit sollen alle Daten eines Unternehmens in jeglicher Hinsicht geschützt werden. Damit ist ein Schutz vor Verlust, Verfälschung, Beschädigung oder auch Löschung gemeint. Die Ziele der Datensicherheit sind somit Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität. Unter Vertraulichkeit ist gemeint, dass die Daten nur von berechtigten Personen eingesehen werden dürfen. Geschützt wird also, dass unbefugte Personen keinen Zugriff auf Daten und deren Informationen erhalten. Bei der Integrität geht es darum, dass Daten nicht unbemerkt verändert oder verfälscht werden dürfen. Durch die Verfügbarkeit soll gewährleistet werden, dass der Zugriff auf Daten jederzeit gewährleistet werden kann. Das bedeutet, dass sich ein Unternehmen beispielsweise vor Systemausfällen schützen sollte. Durch den Absturz eines Systems können Daten nicht eingesehen werden, wodurch die Verfügbarkeit von Daten nicht vorhanden ist. Durch die Authentizität sollen die Echtheit und Vertrauenswürdigkeit von Daten gewährleistet werden. Datensicherheit ist somit der Prozess zum Erreichen des Zustandes von Sicherheit und die dazugehörigen Maßnahmen.

Unterschied Daten und Informationen

Eine wichtige Abgrenzung erfolgt in der Praxis aus zwischen „Daten“ und „Informationen“. Bei Daten handelt es sich häufig um Angaben, deren Bedeutung nicht eindeutig zu bestimmen ist. Dazu gehört beispielsweise die Kundennummer eines Unternehmens, welches das Unternehmen an jeden Kunden vergibt, um dadurch die eigene Aktenführung zu vereinfachen. Für Außenstehende ist die Kundennummer selbst nicht aussagekräftig, sodass ohne weitere Angaben eine nähere Identifikation des Datums nicht erfolgen kann. Bei Informationen hingegen handelt es sich um mehrere Angaben, vielmehr um eine Art Kombination von Daten. Das bedeutet, dass eine Information einem Datum eine eindeutige Bedeutung zukommen lässt und es somit konkretisiert. In dem Beispiel mit der Kundennummer würde das bedeuten, dass die Kundennummer in Verbindung mit den Kontaktdaten des Kunden eine Information darstellen würde.