Online Schulung Datenschutz und IT-Sicherheit
23. November 2020

Datenschutz vs. Informationssicherheit – Unterschiede und Gemeinsamkeiten


Inhalt:

  1. Definition des Datenschutz
  2. Definition von Informationssicherheit
  3. Drei Säulen der Informationssicherheit
  4. Gemeinsamkeiten und Unterschiede zwischen Informationssicherheit und Datenschutz
  5. Welche Maßnahmen können Unternehmen ergreifen?

Zahlreiche große wie kleine Organisationen sind in den vergangenen Jahren Opfer von Datenschutzverstößen geworden. Unter den betroffenen Unternehmen waren etwa auch British Airways, T-Mobile und die größte Datenschutzverletzung, Marriott Starwood, die Ende 2018 entdeckt wurde. Jeder Arbeitgeber ist mit der Realität konfrontiert, dass er das Ziel einer Attacke auf unternehmensinterne IT-Systeme sein könnte. Ein Verstoß gegen die IT- und Datensicherheit kann die Glaubwürdigkeit nachhaltig gefährden und kleine Unternehmen Tausende von Euro (oder mehr) an Schaden kosten. Diese Umstände wirken sich nicht nur auf den Kundendienst, sondern auch auf die Produktivität und den Ruf aus.

Wenn es um Datenschutz und Informationssicherheit geht, ist häufig zu hören, dass diese Begriffe austauschbar verwendet werden. Sind dies jedoch tatsächlich Synonyme oder bezeichnen sie doch unterschiedliche Konzepte?

In diesem Beitrag werden wir auf Ähnlichkeiten und Unterschiede eingehen. Wir werden sehen, dass das eine nicht ohne das andere existieren kann.

Definition des Datenschutz

Online sind eine Vielzahl von Definitionen zum Datenschutz zu finden. Grundsätzlich befasst sich der Datenschutz mit der ordnungsgemäßen Handhabung, Verarbeitung, Speicherung und Nutzung persönlicher Informationen. Es geht um die Rechte des Individuums in Bezug auf seine persönlichen Daten.

Bereiche, die den Datenschutz betreffen:

  • Datenerhebung für Verträge 
  • Datenerhebung, etwa zu Umfragen oder Forschungszwecken
  • Verarbeitung durch Dritte

Die durch den Datenschutz zu schützende Privatsphäre bezeichnet das Recht des Einzelnen auf Freiheit von Eindringlingen und neugierigen Blicken. Das Recht am eigenen Bild sowie das Recht auf Löschung personenbezogener Daten sind dabei nur zwei Beispiele der zu schützenden Privatsphäre.

In vielen entwickelten Ländern ist die Privatsphäre bereits in der Verfassung garantiert. Somit wird Privatsphäre zu einem grundlegenden Menschenrecht und zu einem der Kernprinzipien der Menschenwürde. In Deutschland sind die Regularien in Bezug auf die Verarbeitung personenbezogener Daten im Bundesdatenschutzgesetz festgelegt. 

Jede Risikobewertung, die zwecks einer Verbesserung des Datenschutz durchgeführt wird, erfolgt unter Berücksichtigung des Schutzes der Rechte und Freiheiten betroffener Personen.

Definition von Informationssicherheit

Informationssicherheit bezieht sich auf den Schutz sensibler Daten auf nicht-digitalen Systeme. Dabei muss es sich nicht zwangsläufig um personenbezogene Daten handeln. Vielmehr können auch Geschäftsgeheimnisse unter den Schutz der Informationssicherheit fallen. Zahlreiche Organisationen haben es auch heute noch mit Papierdokumenten zu tun, die wertvolle und schützenswerte Informationen enthalten. Maßnahmen der Informationssicherheit sollen Unternehmen also vor dem unbefugten Zugriff Dritter sowie böswilligen Angriffen und der Ausbeutung von Daten schützen. 

Während die Informationssicherheit lediglich den Schutz analoger Informationen in den Fokus rückt, befasst sich die IT Sicherheit mit Informationen auf digitalen Speichermedien und Datenträgern. Die IT Sicherheit hat zum Ziel, Schutzmaßnahmen zu ergreifen, die insbesondere digitale Informationen vor menschlichen wie technischen Fehlern sichern. Es gilt, den Zugriff auf personenbezogene Daten durch unbefugte Personen zu verhindern. Dementsprechend ist die IT Sicherheit ein wesentlicher Bestandteil der Informationssicherheit, anstelle eines eigenen Bereichs. 

Somit dient die Informationssicherheit dazu, Daten mit verschiedenen Methoden und Techniken zu schützen, um den Datenschutz zu gewährleisten.

Informationssicherheit stellt die Integrität der Daten sicher, d.h. Daten sind genau, zuverlässig und für autorisierte Parteien verfügbar.

Zu den Methoden und Verfahren der Informationssicherheit können verschiedene Praktiken und Prozesse gehören, die den Datenschutz gewährleisten:

  • Überwachung von Benutzeraktivitäten
  • Netzwerksicherheit
  • Zugriffskontrolle
  • Verschlüsselung
  • Zwei-Faktor-Authentifizierung

Drei Säulen der Informationssicherheit

Vertraulichkeit – verhindert, dass sensible Informationen die falschen Personen erreichen, und stellt gleichzeitig sicher, dass die richtigen Personen sie nutzen können;

Integrität – bewahrt die Konsistenz, Genauigkeit und Vertrauenswürdigkeit von Informationen während ihres gesamten Lebenszyklus; und

Verfügbarkeit – stellt sicher, dass die Informationen verfügbar sind, wenn sie benötigt werden.

Three Pillars

Alle drei Säulen müssen erfüllt sein, um ein zufriedenstellendes Maß an Informationssicherheit zu erreichen.

Generell gilt: ein 100% sicheres System gibt es nicht. Stattdessen gibt es für Unternehmen akzeptable Risikoniveaus.

Das bedeutet, dass eine Organisation zur Sicherung von Informationen zunächst eine formale Risikobewertung durchführen muss.

Die Risikobewertung wird dann mit den sog. Risikoakzeptanzkriterien des Unternehmens abgeglichen (diese werden in Übereinstimmung mit der Risikobereitschaft der Organisation entwickelt, d.h. ihrer Bereitschaft, ein vordefiniertes Risikoniveau zu akzeptieren). Anschließend kann ein Risikobehandlungsplan entwickelt werden.

Erst dann werden Sicherheitskontrollen mit dem Ziel gewählt, spezifische Restrisiken zu mindern. In der Informationssicherheit ist dies als ein risikobasierter Sicherheitsansatz bekannt.

Gemeinsamkeiten und Unterschiede zwischen Informationssicherheit und Datenschutz

Kurz gesagt: Datenschutz und Informationssicherheit sind keineswegs die gleichen Begriffe. Beim Datenschutz geht es um die ordnungsgemäße Verwendung, Sammlung, Aufbewahrung, Löschung und Speicherung von Daten. Informationssicherheit umschließt Richtlinien, Methoden und Mittel zum Schutz sensibler Daten im Allgemeinen.

Beispiel: 

Wenn Sie ein Google Mail-Konto verwenden, stellt das Passwort eine Methode der Informationssicherheit, während die Art und Weise, wie Google Daten zur Verwaltung des Kontos verwendet, dem Datenschutz entspricht.

Der Datenschutz ist durch die DSGVO klar geregelt und jedes Unternehmen muss den dort festgelegten Bestimmungen entsprechen. Die Informationssicherheit dagegen ist nicht formal geregelt und kann von Unternehmen entsprechend der individuellen Risikobewertungen aufgesetzt werden. Das heißt, dass die Informationssicherheit im Gegensatz zum Datenschutz keinen Zwang vorgibt und individuell frei gestaltet werden kann.  

Trotzdem kommt es zwischen Informationssicherheit und Datenschutz immer wieder zu Überschneidungen und sogar Konflikten. Die Tatsache, dass Mitarbeiter in Unternehmen oftmals eigene Zugänge für das Intranet besitzen, ermöglicht das Tracking der Aktivitäten und Änderungen einzelner Benutzer. Eine Maßnahme, die die Informationssicherheit sensibler Daten sicherstellen soll.

Gleichzeitig muss dem Tracking durch die Mitarbeiter zunächst ausdrücklich zugestimmt werden. Andernfalls herrscht ein Verstoß gegen den Datenschutz vor, da unwissentlich personenbezogene Daten der Mitarbeiter erhoben und verarbeitet werden. 

Auch weitere Bestandteile Datenschutzgrundverordnung verdeutlichen, wie sehr Datenschutz und Informationssicherheit miteinander verknüpft sind. Um sensible Daten zu schützen, sieht die DSGVO vor, dass Unternehmen angemessene technische und organisatorische Maßnahmen (TOM) einrichten müssen, also Vorgaben, die die Informationssicherheit betreffen. 

Welche Maßnahmen können Unternehmen ergreifen?

Unternehmen machen es zunehmend zur Priorität, ihre Organisationen vor Datenschutzverstößen zu schützen, indem sie Informationssicherheits-Schulungen anbieten. 

Zusätzlich können Firmen eine unternehmensweite Richtlinie für Datenverstöße mit einem Reaktionsplan erstellen, der bei Bedarf implementiert werden kann. Auch kleine und mittelständische Unternehmen können technische Maßnahmen ergreifen, um Datenverstöße zu verhindern:

Daten sicher aufbewahren: Da viele Datenschutzverletzungen auf Fehler von Mitarbeitern zurückzuführen sind, sollten diese nur Zugang zu den Informationen haben, die für ihre jeweilige Rolle im Unternehmen wichtig sind. 

Programm zum Passwortschutz: Um vor einer Datenverletzung geschützt zu bleiben, sollten kleine Unternehmen und ihre Mitarbeiter für jede Website, auf die täglich zugegriffen wird, sichere Passwörter verwenden. Außerdem sollten Passwörter niemals zwischen Mitarbeitern ausgetauscht oder dort aufgeschrieben werden, wo andere sie sehen können.

Sicherheitssoftware aktualisieren: Unternehmen sollten Firewalls, Antiviren-Software und Anti-Spyware-Programme einsetzen, um sicherzustellen, dass Hacker nicht leicht auf sensible Daten zugreifen können. Diese Sicherheitsprogramme erfordern jedoch auch regelmäßige Aktualisierungen, um sie frei von Schwachstellen zu halten. Schauen Sie also unbedingt auf den Websites der Software-Hersteller nach, um sich über bevorstehende Sicherheits-Patches und andere Aktualisierungen zu informieren.

lawpilots bietet Unternehmen ebenfalls eine Möglichkeit, die IT-Infrastruktur zu schützen und den Datenschutz einzuhalten. Mit unseren innovativen Mitarbeiter-Schulungen haben Firmen die Gelegenheit, organisatorische Maßnahmen zu ergreifen und flächendeckende Aufklärung innerhalb der Belegschaft zu betreiben. Auf diese Weise findet eine Sensibilisierung für potentielle Schwachstellen statt, die Mitarbeiter zunehmend eigenständig erkennen und an die entsprechende Stelle berichten können. Zusätzlich etablieren Sie ein gesundes Bewusstsein für Datenschutz und Informationssicherheit, das nicht zuletzt die Reputation Ihres Unternehmen in seiner Außenwirkung beträchtlich stärken kann. 

Testen Sie unsere E-Learnings kostenlos und unverbindlich mithilfe zahlreicher Demos, unter anderem aus den Bereichen Informationssicherheit und Datenschutz

08. Dezember 2020
Datenschutz in Corona-Zeiten
18. November 2020
Compliance im Mittelstand