Datensicherheit für Unternehmen
Unterschiede von Datensicherheit und Datenschutz
Datensicherheit
-
Schutz von Daten
-
Schutz aller Daten
-
Schutz vor Verlust, Zerstörung, Missbrauch, Zugriff durch Unberechtigte
-
Technische und organisatorische Maßnahmen und Lösungen
-
Praxis:
Bei der Datensicherheit geht es um die Umsetzung der Anforderungen des Datenschutzes, wobei der praktische Ansatz „Was ist möglich?“ verfolgt wird.
Datenschutz
-
Schutz vor Datenmissbrauch und -pannen
-
Schutz personenbezogener Daten
-
Schutz der informationellen Selbstbestimmung
-
Gesetzliche Vorschriften
-
Theorie:
Beim Datenschutz wird der theoretische Ansatz „Was soll erfüllt werden?“ verfolgt.
IT-Sicherheitskonzept
Im Rahmen der Datenschutzdokumentation und zur Realisierung der Anforderungen aus Datenschutz und Datensicherheit sollte ein Konzept zur Datensicherheit erstellt werden (IT-Sicherheitskonzept)!
Dieses Konzept enthält u. a. die technischen und organisatorischen Maßnahmen, die in Art. 32 DSGVO zur “Sicherheit der Verarbeitung” gefordert werden.
Schutzziele von Daten-, Informations- und IT-Sicherheit
Um die Angriffe auf Daten und Informationen, Systeme oder Kommunikationswege besser beschreiben zu können, werden Schutzziele in vier unterschiedliche Kategorien unterteilt:
-
Vertraulichkeit
Vertraulichkeit bedeutet, dass Daten nur befugten Personen zugänglich zu machen sind. Bei der Vertraulichkeit müssen Sicherheitsmaßnahmen erhoben werden, damit ein unbefugter Zugriff auf gespeicherte, als auch auf übermittelte Daten verhindert werden kann.
-
Integrität
Integrität bedeutet, dass Daten und Systeme korrekt, unverändert bzw. verlässlich sind.
-
Authentizität
Authentizität bedeutet die Echtheit, Zuverlässigkeit und Glaubwürdigkeit einer Mitteilung.
-
Verfügbarkeit
Verfügbarkeit bedeutet, dass Daten und IT-Systeme zur Verfügung stehen und von autorisierten Personen genutzt werden können, wenn dies benötigt wird.
Alle oben genannten Schutzziele dürfen nicht isoliert betrachtet werden, da sie ineinander greifen und sich gegenseitig bedingen. Dabei sollte jedes Unternehmen selbst die Gewichtung einzelfallabhängig vornehmen.
Technische und organisatorische Maßnahmen zur Umsetzung der Schutzziele
-
Pseudonymisierung
-
Verschlüsselung
-
Gewährleistung der Vertraulichkeit
-
Gewährleistung der Integrität
-
Gewährleistung der Verfügbarkeit
-
Gewährleistung der Belastbarkeit der Systeme
-
Verfahren zur Wiederherstellbarkeit von Daten nach einem Zwischenfall
-
Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Maßnahmen
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat detaillierte Richtlinien, Kataloge und Standards veröffentlicht, die richtungsweisend auf dem Weg zur Informationssicherheit sind. Folgend einige Auszüge:
In drei Schritten zur Informationssicherheit
-
1. Initiierung des Sicherheitsprozesses
-
Verantwortung übernehmen
-
Informationssicherheitsbeauftragter als zentrale Rolle
-
Geltungsbereich festlegen
-
Sicherheitsziele festlegen
-
Leitlinien erstellen
-
-
2. Organisation des Sicherheitsprozesses
-
Aufbau einer Organisation zur Informationssicherheit
-
Integration in bestehende Abläufe und Prozesse
-
Konzeption und Planung des Sicherheitsprozesses
-
-
3. Durchführung des Sicherheitsprozesses
-
Auswahl und Priorisierung der Bausteine
-
IT-Grundschutz-Check
-
Umsetzung der Sicherheitskonzeption
-
Sicherheitsrelevante Themen für die Leitungsebene
-
Risiken analysieren
Sicherheitsrisiken für das Unternehmen ermitteln und darüber informieren
-
Sicherheitsanforderungen ermitteln
Ermittlung von Sicherheitsanforderungen, die sich aus gesetzlichen und vertraglichen Vorgaben ergeben
-
Auswirkungen eines Schadenfalls
Auswirkungen von Sicherheitsvorfällen für kritische Geschäftsprozesse analysieren
-
Handlungsempfehlungen Informationssicherheit
Kenntnis des aktuellen Standes der Informationssicherheit im Unternehmen und der davon abgeleiteten Handlungsempfehlungen
-
Vorgehen im Bereich Informationssicherheit
Branchentypische Vorgehensweisen zur Informationssicherheit erkennen und anwenden
-
Kosten im Schadensfall
Auswirkungen ermitteln und die Kosten im Schadensfall benennen
Verantwortung der obersten Leitung
-
Die Leitungsebene trägt die Gesamtverantwortung für die Informationssicherheit.
-
Die oberste Leitung muss jederzeit über mögliche Risiken und Konsequenzen informiert sein.
-
Die oberste Leitung initiiert den Informationssicherheitsprozess und benennt einen verantwortlichen Informationssicherheitsbeauftragten (ISB).
-
Die Leitungsebene unterstützt den ISB umfassend und stellt die notwendigen Ressourcen bereit, um die gesetzten Ziele zu erreichen.
Zuständigkeiten und Aufgaben des Informationssicherheitsbeauftragten (ISB)
-
Steuern des Informationssicherheitsprozesses und Mitwirkung bei allen damit zusammenhängenden Aufgaben
-
Unterstützung der Leitungsebene bei der Erstellung der Leitlinie zur Informationssicherheit
-
Koordinierung der Erstellung des Sicherheitskonzeptes, des Notfall-Vorsorge-Konzeptes und der Sicherheitsrichtlinien und Erlassen von Regelungen zur Informationssicherheit
-
Regelmäßiges Informieren der Leitungsebene über den Status der Informationssicherheit
-
Koordinierung von sicherheitsrelevanten Projekten
-
Initiieren, Fördern und Überprüfen der Realisierung von Sicherheitsmaßnahmen
Beispiele für Sicherheitsziele
-
Hohe Verlässlichkeit des Handelns
Hohe Verlässlichkeit des Handelns, auch in Bezug auf den Umgang mit Informationen - Gewährleistung von Verfügbarkeit, Integrität und Vertraulichkeit
-
Gewährleistung der Reputation
Gewährleistung der Reputation des Unternehmens in der Öffentlichkeit
-
Erhaltung der Werte
Erhaltung der in Technik, Informationen, Arbeitsprozesse investierten Werte
-
Sicherung der Werte
Sicherung der hohen, möglicherweise unwiederbringlichen Werte der verarbeiteten Informationen
-
Gewährleistung der Anforderungen
Gewährleistung der aus gesetzlichen Forderungen resultierenden Anforderungen
-
Geistige und körperliche Unversehrtheit
Schutz von natürlichen Personen hinsichtlich ihrer geistigen und körperlichen Unversehrtheit
IT-Grundschutz-Bausteine
-
Organisatorische und personelle Sicherheitsaspekte
-
Konzepte und Vorgehensweisen
-
Sicherheitsaspekte des operativen IT-Betriebs, aber auch solche, die bei einem IT-Betrieb für Dritte zu beachten sind
-
Überprüfung der umgesetzten Sicherheitsmaßnahmen
-
Detektion von Sicherheitsvorfällen sowie Festlegen geeigneter Reaktionen darauf
-
Absicherung von Anwendungen und Diensten, unter anderem in den Bereichen Kommunikation, Verzeichnisdienste, netzbasierte Dienste sowie Business- und Client-Anwendungen
-
Sicherheit der einzelnen IT-Systeme des Informationsverbunds, die, falls erforderlich, in Gruppen zusammengefasst wurden
-
Betrachtung der Vernetzung, die sich nicht auf bestimmte IT-Systeme, sondern auf die Netzverbindungen und die Kommunikation beziehen
-
Beachtung baulich-technischer Gegebenheiten, Anwenden von Aspekten der infrastrukturellen Sicherheit
-
Industrielle IT-Nutzung
Das können wir für Sie tun
-
Beratung zur Informationssicherheit
-
Erstellung des IT-Sicherheitskonzeptes gemeinsam mit Ihnen
-
Überprüfung der eingeführten technischen und organisatorischen Maßnahmen
-
Suche nach neuen Lösungen und Beschreibung der Maßnahmen
-
Zusammenarbeit mit Ihrem IT-Verantwortlichen
Datenschutz fängt bei Ihnen an!
Seien Sie anders als die Anderen! Ihre Daten gehören Ihnen! Lassen Sie uns gemeinsam mit einem kostenfreien Erstgespräch starten! Gern sind wir Ihr Ansprechpartner, Berater oder Dienstleister zum Thema Datenschutz und Datensicherheit in Dresden und Radebeul, Sachsen sowie Europa. Bestellen Sie uns als externe Datenschutzbeauftragte oder Konzerndatenschutzbeauftragte.