TT Datenschutz Logo

Datensicherheit für Unternehmen

Themen auf dieser Seite

IT-Sicherheitskonzept und Rolle des Informations­sicherheits­beauftragten

Was verstehen wir unter Datensicherheit?

Im Unterschied zum Datenschutz befasst sich die Datensicherheit mit dem Schutz von Daten, unabhängig davon, ob diese einen Personenbezug aufweisen oder nicht. Unter den Begriff Datensicherheit fallen daher grundsätzlich auch Daten, die keinen Personenbezug haben - sowohl digital als auch analog.

Datensicherheit soll Sicherheitsrisiken begegnen und die Daten z. B. vor Manipulation, Verlust oder unberechtigter Kenntnisnahme schützen.

Es geht also nicht um die Frage, ob Daten überhaupt erhoben und verarbeitet werden dürfen (das ist eine Frage des Datenschutzes), sondern um die Frage, welche Maßnahmen zum Schutz der Daten ergriffen werden müssen.

Die Datensicherheit ist im Kontext des Datenschutzes gemäß § 9 BDSG durch Umsetzung geeigneter technischer und organisatorischer Maßnahmen zu gewährleisten.

Wann sprechen wir von Informationssicherheit?

Weiterhin gibt es den Begriff der Informationssicherheit, der vor allem in den IT-Grundschutz-Katalogen des BSI oder in der ISO 27001 zu finden ist und den Schutz von Informationen als Ziel hat.

Dabei ist hier ebenfalls unerheblich, ob es sich um digitale oder analoge Informationen handelt und ob diese einen Personenbezug haben. Teilweise wird die Datensicherheit als ein Teil der Informationssicherheit angesehen, da Letzteres umfassender ist.

Die Informationssicherheit kann Teil eines integrierten Managementsystems sein.

Was wird unter IT-Sicherheit verstanden?

Auch die IT-Sicherheit ist ein Teil der Informationssicherheit und bezieht sich auf elektronisch gespeicherte Informationen und IT-Systeme. Dabei wird unter IT-Sicherheit nicht nur der Schutz der technischen Verarbeitung von Informationen verstanden. Vielmehr fällt auch die Funktionssicherheit darunter, also das fehlerfreie Funktionieren und die Zuverlässigkeit der IT-Systeme.

Unterschiede von Datensicherheit und Datenschutz

Datensicherheit

  • Schutz von Daten

  • Schutz aller Daten

  • Schutz vor Verlust, Zerstörung, Missbrauch, Zugriff durch Unberechtigte

  • Technische und organisatorische Maßnahmen und Lösungen

  • Praxis:

    Bei der Datensicherheit geht es um die Umsetzung der Anforderungen des Datenschutzes, wobei der praktische Ansatz „Was ist möglich?“ verfolgt wird.

Datenschutz

  • Schutz vor Datenmissbrauch und -pannen

  • Schutz personenbezogener Daten

  • Schutz der informationellen Selbstbestimmung

  • Gesetzliche Vorschriften

  • Theorie:

    Beim Datenschutz wird der theoretische Ansatz „Was soll erfüllt werden?“ verfolgt.

IT-Sicherheits­konzept

Im Rahmen der Datenschutzdokumentation und zur Realisierung der Anforderungen aus Datenschutz und Datensicherheit sollte ein Konzept zur Datensicherheit erstellt werden (IT-Sicherheitskonzept)!

Dieses Konzept enthält u. a. die technischen und organisatorischen Maßnahmen, die in Art. 32 DSGVO zur  “Sicherheit der Verarbeitung” gefordert werden.

Schutzziele von Daten-, Informations- und IT-Sicherheit

Um die Angriffe auf Daten und Informationen, Systeme oder Kommunikationswege besser beschreiben zu können, werden Schutzziele in vier unterschiedliche Kategorien unterteilt:

  • Vertraulichkeit

    Vertraulichkeit bedeutet, dass Daten nur befugten Personen zugänglich zu machen sind. Bei der Vertraulichkeit müssen Sicherheitsmaßnahmen erhoben werden, damit ein unbefugter Zugriff auf gespeicherte, als auch auf übermittelte Daten verhindert werden kann.

  • Integrität

    Integrität bedeutet, dass Daten und Systeme korrekt, unverändert bzw. verlässlich sind.

  • Authentizität

    Authentizität bedeutet die Echtheit, Zuverlässigkeit und Glaubwürdigkeit einer Mitteilung.

  • Verfügbarkeit

    Verfügbarkeit bedeutet, dass Daten und IT-Systeme zur Verfügung stehen und von autorisierten Personen genutzt werden können, wenn dies benötigt wird.

Alle oben genannten Schutzziele dürfen nicht isoliert betrachtet werden, da sie ineinander greifen und sich gegenseitig bedingen. Dabei sollte jedes Unternehmen selbst die Gewichtung einzelfallabhängig vornehmen.

Technische und organisatorische Maßnahmen zur Umsetzung der Schutzziele

  • Pseudonymisierung

  • Verschlüsselung

  • Gewährleistung der Vertraulichkeit

  • Gewährleistung der Integrität

  • Gewährleistung der Verfügbarkeit

  • Gewährleistung der Belastbarkeit der Systeme

  • Verfahren zur Wiederherstellbarkeit von Daten nach einem Zwischenfall

  • Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Maßnahmen

Bundesamt für Sicherheit in der Informations­technik (BSI)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat detaillierte Richtlinien, Kataloge und Standards veröffentlicht, die richtungsweisend auf dem Weg zur Informationssicherheit sind. Folgend einige Auszüge:

In drei Schritten zur Informationssicherheit

Sicherheitsrelevante Themen für die Leitungsebene

  • Risiken analysieren

    Sicherheitsrisiken für das Unternehmen ermitteln und darüber informieren

  • Sicherheitsanforderungen ermitteln

    Ermittlung von Sicherheitsanforderungen, die sich aus gesetzlichen und vertraglichen Vorgaben ergeben

  • Auswirkungen eines Schadenfalls

    Auswirkungen von Sicherheitsvorfällen für kritische Geschäftsprozesse analysieren

  • Handlungsempfehlungen Informationssicherheit

    Kenntnis des aktuellen Standes der Informationssicherheit im Unternehmen und der davon abgeleiteten Handlungsempfehlungen

  • Vorgehen im Bereich Informationssicherheit

    Branchentypische Vorgehensweisen zur Informationssicherheit erkennen und anwenden

  • Kosten im Schadensfall

    Auswirkungen ermitteln und die Kosten im Schadensfall benennen

Verantwortung der obersten Leitung

  • Die Leitungsebene trägt die Gesamtverantwortung für die Informationssicherheit.

  • Die oberste Leitung muss jederzeit über mögliche Risiken und Konsequenzen informiert  sein.

  • Die oberste Leitung initiiert den Informationssicherheitsprozess und benennt einen verantwortlichen Informationssicherheitsbeauftragten (ISB).

  • Die Leitungsebene unterstützt den ISB umfassend und stellt die notwendigen Ressourcen bereit, um die gesetzten Ziele zu erreichen.

Zuständigkeiten und Aufgaben des Informa­tions­sicherheits­beauftragten (ISB)

  • Steuern des Informa­tions­sicherheits­prozesses und Mitwirkung bei allen damit zusammenhängenden Aufgaben

  • Unterstützung der Leitungsebene bei der Erstellung der Leitlinie zur Informationssicherheit

  • Koordinierung der Erstellung des Sicherheitskonzeptes, des Notfall-Vorsorge-Konzeptes und der Sicherheitsrichtlinien und Erlassen von Regelungen zur Informationssicherheit

  • Regelmäßiges Informieren der Leitungsebene über den Status der Informationssicherheit

  • Koordinierung von sicherheits­relevan­ten Projekten

  • Initiieren, Fördern und Überprüfen der Realisierung von Sicherheits­maß­nahmen

Beispiele für Sicherheitsziele

  • Hohe Verlässlichkeit des Handelns

    Hohe Verlässlichkeit des Handelns, auch in Bezug auf den Umgang mit Informationen - Gewährleistung von Verfügbarkeit, Integrität und Vertraulichkeit

  • Gewährleistung der Reputation

    Gewährleistung der Reputation des Unternehmens in der Öffentlichkeit

  • Erhaltung der Werte

    Erhaltung der in Technik, Informationen, Arbeitsprozesse investierten Werte

  • Sicherung der Werte

    Sicherung der hohen, möglicherweise unwiederbringlichen Werte der verarbeiteten Informationen

  • Gewährleistung der Anforderungen

    Gewährleistung der aus gesetzlichen Forderungen resultierenden Anforderungen

  • Geistige und körperliche Unversehrtheit

    Schutz von natürlichen Personen hinsichtlich ihrer geistigen und körperlichen Unversehrtheit

IT-Grundschutz-Bausteine

  • Organisatorische und personelle Sicherheitsaspekte

  • Konzepte und Vorgehensweisen

  • Sicherheitsaspekte des operativen IT-Betriebs, aber auch solche, die bei einem IT-Betrieb für Dritte zu beachten sind

  • Überprüfung der umgesetzten Sicherheitsmaßnahmen

  • Detektion von Sicherheitsvorfällen sowie Festlegen geeigneter Reaktionen darauf

  • Absicherung von Anwendungen und Diensten, unter anderem in den Bereichen Kommunikation, Verzeichnisdienste, netzbasierte Dienste sowie Business- und Client-Anwendungen

  • Sicherheit der einzelnen IT-Systeme des Informationsverbunds, die, falls erforderlich, in Gruppen zusammengefasst wurden

  • Betrachtung der Vernetzung, die sich nicht auf bestimmte IT-Systeme, sondern auf die Netzverbindungen und die Kommunikation beziehen

  • Beachtung baulich-technischer Gegebenheiten, Anwenden von Aspekten der infrastrukturellen Sicherheit

  • Industrielle IT-Nutzung

Das können wir für Sie tun

  • Beratung zur Informationssicherheit

  • Erstellung des IT-Sicherheitskonzeptes gemeinsam mit Ihnen

  • Überprüfung der eingeführten technischen und organisatorischen Maßnahmen

  • Suche nach neuen Lösungen und Beschreibung der Maßnahmen

  • Zusammenarbeit mit Ihrem IT-Verantwortlichen

Icon - Schild

Datenschutz fängt bei Ihnen an!

Seien Sie anders als die Anderen! Ihre Daten gehören Ihnen! Lassen Sie uns gemeinsam mit einem kostenfreien Erstgespräch starten! Gern sind wir Ihr Ansprechpartner, Berater oder Dienstleister zum Thema Datenschutz und Datensicherheit in Dresden und Radebeul, Sachsen sowie Europa. Bestellen Sie uns als externe Datenschutz­beauftragte oder Konzerndaten­schutzbeauftragte.

Kontaktieren Sie uns!