Datensicherheit im Netz

Der Schutz von Daten geht uns alle an

 

Trotz vieler Warnungen wird das Thema Datenschutz und Datensicherheit in der Bevölkerung und Unternehmen noch nicht wirklich ernst genommen. Insbesondere die mobile Technik in Form von Smartphones oder auch die Entwicklung des Internets der Dinge machen es einfacher denn je, unberechtigt Daten zu erheben und diese zu verwenden.

Dank günstiger und leistungsfähiger IT-Technik ist kein immenser Aufwand mehr nötig, Millionen von Daten zu speichern und diese auch zu analysieren. Dies hat zur Folge, dass umfassende Personenprofile erstellt werden und Unternehmen sowie Privatpersonen millionenfach geschädigt werden können.

Der Begriff Datensicherheit umfasst Regelungen des Gesetzgebers, sowie technische Maßnahmen, um die unberechtigte Speicherung, Verarbeitung und Weitergabe von Daten zu verhindern. Aspekte, die darin enthalten sind, lauten:

 

  • Vertraulichkeit

→ Nur Benutzer mit einer Erlaubnis haben Zugang zu den Daten

 

  • Integrität

→ Schutz vor beabsichtigten oder unbeabsichtigten Veränderungen der Daten

 

  • Verfügbarkeit

→ Der ständige Zugriff auf die persönlichen Daten soll gewährleistet sein

 

  • Kontrollierbarkeit

→ Es wird ein Protokoll zur Prüfung der Maßnahmen erstellt

 


Weitere Begriffe gilt es voneinander abzugrenzen

 

Datenschutz

Hierbei geht es um den Schutz der Privatsphäre eines jeden Menschen. Damit wird jedem Bürger ein Recht auf informationelle Selbstbestimmung garantiert und soll ihn vor Missbrauch bei der Verwendung seiner Daten schützen. Zu diesem Zweck wurden Regeln entwickelt, die zum größten Teil im Bundesdatenschutzgesetz (BDSG) und den Datenschutzgesetzen der Länder festgehalten sind. Beim Datenschutz steht oftmals die Frage im Raum, ob Daten überhaupt erhoben und verarbeitet werden dürfen.


Datensicherheit

Im Vergleich zum Datenschutz beschreibt die Datensicherheit den Schutz von Daten, gleich ob diese personenbezogen sind oder nicht. Darunter können deshalb auch bspw. geheime Konstruktionspläne fallen, in digitaler oder auch analoger Form. Hier geht es also hauptsächlich darum Sicherheitsrisiken zu verringern und Daten vor Manipulation, Verlust und unberechtigter Kenntnisnahme zu schützen.

Anders als beim Datenschutz wird hier aber nicht die grundsätzliche Frage gestellt, ob Daten überhaupt erhoben und verarbeitet werden dürfen, sondern welche Schutzmaßnahmen getätigt werden müssen. Gemäß § 9 BDSG inkl. Anlage muss der Schutz durch geeignete technische und organisatorische Maßnahmen gewährleistet werden.


Informationssicherheit

Beim Schutz von Informationen ist es ebenfalls nicht relevant, ob die Informationen in digitaler oder analoger Form vorliegen und ob sie in Bezug zu einer Person stehen. Die Informationssicherheit kann der Datensicherheit übergeordnet werden, da sie noch umfassender ist.


IT-Sicherheit

Die IT-Sicherheit ist ein Teil der Informationssicherheit und bezieht sich auf elektronisch gespeicherte Informationen und IT-Systeme. Damit ist aber nicht nur der Schutz der technischen Verarbeitung von Informationen gemeint, sondern auch die Funktionssicherheit.


Ich hab‘ doch nichts zu verbergen

Gerade in kleinen und mittelständischen Unternehmen hat sich die Ansicht verbreitet, dass Sicherheitsmaßnahmen im IT-Bereich immer mit hohen Kosten in der Investition in Sicherheitstechnik und der Beschäftigung von Experten verbunden sind. Die entscheidenden Faktoren sind jedoch vielmehr der gesunde Menschenverstand, innerbetriebliche Regelungen und geschulte Mitarbeiter, die selbst ein Bewusstsein für Datensicherheit haben.

Oftmals wird die Gefahr, die sich durch Nichtbeachtung notwendiger Maßnahmen ergibt, weit unterschätzt. Schlimmer, es wird angenommen, dass bisher ja noch nichts passiert sei. Dies kann jedoch ohne vollständige Prüfung nicht festgestellt werden. Es kann auch zu Verstößen gekommen sein, ohne dass jemand etwas bemerkt hat.

Eine ebenfalls weit verbreitete Ansicht lautet, die eigenen Daten seien ja nicht so brisant und deshalb nicht derart schutzwürdig. Wenn man jedoch die Schadenszenarien durchgeht, wird schnell klar, dass die vorhandenen Daten sich sehr wohl für Missbrauch eignen. Selbst Personen und Unternehmen, die sich dem Thema annehmen, wird häufig angenommen, das eigene Netz sei sicher.

Das Potenzial kriminellen Datendiebstahls wird hier deutlich unterschätzt. Auch Sicherheitsspezialisten machen gelegentlich Fehler und können keine komplette Sicherheit garantieren. Eine externe Überprüfung kann da oftmals Schwachstellen identifizieren und helfen, die eigene Betriebsblindheit zu überwinden.

Auch das Vertrauen gegenüber Mitarbeitern kann trügen. Die meisten Fälle von Sicherheitsverstößen passieren von Personen innerhalb einer Firma. Da muss nicht immer Absicht dahinter stecken. Auch Versehen, Übereifer oder Neugierde in Kombination mit geringem Problembewusstsein können Schaden anrichten.

 


Noch nichts ist verloren – Selbstschutz ist möglich

 

Sich dem Thema Daten zu widmen ist nicht nur eine Frage der Sicherheit, sondern ist auch Wettbewerbsvorteil gegenüber Unternehmen, die ihre eigene Sicherheitspolitik ignorieren.

 

Hier ein kleiner Überblick über mögliche Maßnahmen:

 

  1. Daten- und Netzwerk-Audit

Am Anfang eines solchen Prozesses steht immer die Analyse, was denn überhaupt geschützt werden muss. Die Datenmenge ist meist sehr groß. Darunter können auch Aufträge und Auftragserstellung gehören und sämtlich gespeicherte und versendete Daten. Das Netzwerk sollte ebenfalls überprüft werden, um festzustellen welche Geräte sich mit dem eigenen Netzwerk und welche sich mit dem Internet verbinden.

 

  1. Regelungen festsetzen

Sobald feststeht, welche Daten schutzwürdig sind und wer darauf zugriffsberechtigt ist, braucht es verbindliche Regeln für die Verwendung. Diese Sicherheitspolitik wird am besten schriftlich festgehalten oder vorhandene Regelungen sollten nochmals überarbeitet werden. Sich dem Thema Daten zu widmen ist nicht nur eine Frage der Sicherheit, sondern ist auch Wettbewerbsvorteil gegenüber Unternehmen, die ihre eigene Sicherheitspolitik ignorieren.

 

  1. Regelungen durchsetzen

Die Formulierung der Sicherheitsrichtlinien reicht nicht aus. Mitarbeiter sollten geschult werden. Im Falle eines Verstoßes sollten dann auch Konsequenzen folgen.

 

  1. Doppelte Absicherung

Die Erstellung starker Passwörter ist bereits ein guter Schritt, doch auch das bietet keinen kompletten Schutz. Unternehmen können ihre starken Passwörter um eine leistungsfähige Zwei-Faktor-Authentifizierung (2FA) ergänzen. Damit wird außer einem klassischen Benutzernamen und Passwort ein zweiter, externer Faktor eingebaut. Dies kann in Form eines Pin-Codes geschehen, der den Nutzer per SMS erreicht. Mithilfe der doppelten Identifizierung kann sichergestellt werden, dass der vorgegebene Anwender die richtige Person ist. So werden unerlaubte Zugriffe auf Netzwerke, Dienste und Daten verhindert.


Fazit

Unternehmen sollten es bei Datenschutz und Datensicherheit nicht darauf ankommen lassen, dass ein Sicherheitsverstoß auftritt. Auf Landesebene gibt es bereits Hilfestellungen für Unternehmen, welche Richtlinien bestehen und wie diese eingehalten werden können. Auch für Privatpersonen gibt es Anlaufstellen, die dabei helfen den eigenen Datenschutz zu verstärken.

 

Hier die Checkliste zur Datensicherheit von der Bayerischen Landesregierung:

https://www.inte.de/BayLDA.pdf


 

Quellen:

 

  1. https://www.selbstdatenschutz.info/ Zugriff am 21.08.2017, Autor und Erstellungsdatum unbekannt
  2. http://www.itwissen.info/Datensicherheit-data-security.html Zugriff am 21.08.2017, Autor unbekannt, erstellt am 18.02.2015
  3. https://glossar.hs-augsburg.de/Datensicherheit Zugriff am 21.08.2017, Autor unbekannt, erstellt am 1.6.2017
  4. https://www.datenschutzbeauftragter-info.de/unterschiede-zwischen-datenschutz-datensicherheit-informationssicherheit-oder-it-sicherheit/ Zugriff am 21.08.2017, Autor Agnieszka Czernik, erstellt am 13.5.2016
  5. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Leitfaden/GS-Leitfaden_pdf.pdf?__blob=publicationFile Zugriff am 21.08.2017, Autor Bundesamt für Sicherheit in der Informationstechnik – BSI, erstellt am Februar 2012
  6. http://www.pc-magazin.de/business-it/datensicherheit-massnahmen-tipps-cyberkriminalitaet-mittelstand-2771454.html Zugriff am 21.08.2017, Autor Thomas Uhlemann, erstellt am 9.12.2014

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.