Datenschutz: Konzepte und Struktur für Datensicherheit in Unternehmen

AR-ITcon berät und unterstützt Sie bezüglich Datenschutz.

  • Erarbeiten von organisatorischen Maßnahmen
  • Datenschutzpläne
  • Bewerten der Datenrisiken und Setzen von entsprechenden Maßnahmen
  • Erarbeiten eines Löschkonzepts
  • Schulung von Mitarbeitern
  • Unterstützung bei der IT-Dienstleisterauswahl
  • Unterstützen bei der Auswahl von technischen Maßnahmen
Kontakt AR-ITcon

Kontaktieren Sie AR-ITcon.

Datenschutz // AR-ITcon
Datenschutz ©AT_ITcon

Grundsätzlich lässt sich Datenschutz nach Art der betroffenen Datenkategorien unterteilen. In Unternehmen gibt es vorwiegend zwei Kategorien von Daten, die besonders schützenswert sind:

  • Personenbezogene Daten: Sämtliche Daten, die natürliche Personen identifizieren, sind von Rechts wegen (DSG 2000, EU-DSGVO, usw.) zu schützen.
  • Unternehmenswichtige Daten: Diese gehen über personenbezogene Daten hinaus und beinhalten auch Ideen, Pläne, Buchhaltung usw.; es handelt sich also um Daten, die für den Fortbestand des Unternehmens wichtig sind.

Den Datenschutz betreffende Maßnahmen können grundlegend in organisatorische und technische Maßnahmen unterteilt werden:

  • Organisatorische Maßnahmen: Mit organisatorischen Maßnahmen sind Strukturen, Regeln, Pläne (Notfallpläne), Mitarbeiterschulungen, sowie auch das Festlegen von Verantwortungen und entsprechenden Kontrollmechanismen gemeint. Sehr oft wird organisatorischen Maßnahmen eine nur geringe Bedeutung beigemessen. Ohne entsprechende organisatorische Maßnahmen kann aber die Funktion vieler technischer Maßnahmen nicht sichergestellt werden. Als Beispiel kann hier die Zugriffskontrolle angeführt werden. Wenn Passwörter öffentlich bekannt sind, wird jegliche Art der technischen Zugriffskontrolle ausgehebelt.
  • Technische Maßnahmen: Technische Maßnahmen umfassen die Umsetzung von Datenschutz mit technischen Hilfsmitteln wie Firewalls, Zugangskontrollen, usw. Diese sind meist der Entwicklung der Technologie unterworfen und sollten dem Stand der Technik entsprechen. Insbesondere ist hierbei darauf zu achten, dass ein entsprechendes Patchmanagement betrieben wird.

Datenschutzbezogene Maßnahmen betreffen meist einen oder mehrere Grundwerte der Informationssicherheit, deren Erhalt sichergestellt werden muss.

Im Zusammenhang mit Datenschutz können folgende wichtige Grundwerte definiert werden:

  • Vertraulichkeit
  • Integrität
  • Verfügbarkeit

Weitere Schutzziele sind:

  • Verbindlichkeit, diese sichert die Nachweisbarkeit des Sendens und Empfangens mittels eines Identitätsnachweises.
  • Authentizität, diese weist die Echtheit der Identität eines Kommunikationspartners nach.
  • Zurechenbarkeit, welche bedeutet, dass nachgewiesen werden kann, wer eine Aktion ausgelöst hat.
  • Revisionsfähigkeit, worunter man versteht, dass die Urheberschaft und jeder einzelne Bearbeitungsschritt nachvollziehbar sind.

Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken. Die Informationssicherheit umfasst aber im Gegensatz zur IT-Sicherheit auch nicht-elektronische Komponenten, wie z.B. Informationen, die auf nicht-elektronischen Datenträgern, wie Papier, abgelegt sind. Nachfolgend werden die wichtigsten Grundwerte der Informationssicherheit im Einzelnen erklärt.

Vertraulichkeit

Vertraulichkeit, im Englischen „confidentiality“, bezeichnet die Weitergabe von Information ausschließlich an berechtigte Personen. Vertraulichkeit bezieht sich somit nicht nur auf den IT-Bereich, sondern es kann sich dabei um jegliche Art der Information handeln. Handelt es sich um elektronische Daten, kann man von Zugriffskontrolle und Benutzerrechten sprechen, wobei Benutzer nicht nur natürliche Personen sein können, sondern es sich dabei auch um Programme oder Systeme handeln kann. Es gibt verschiedenste Möglichkeiten, Information vor unerlaubtem Zugriff zu schützen. Ein im Kontext mit Vertraulichkeit häufig anzutreffender Begriff ist jener der Verschlüsselung. Bei der Verschlüsselung sind die Daten verfügbar, aber die darin enthaltene Information wird verschlüsselt. Bei der Zugriffskontrolle werden dagegen auch die Daten vor unerlaubten Zugriff gesichert und nur an autorisierte Benutzer weitergegeben. Es gibt also verschiedenste Wege, um Vertraulichkeit sicherzustellen, und diese unterschiedlichen Möglichkeiten können auch beliebig miteinander kombiniert werden. Vertraulichkeit bezieht sich aber nicht nur auf gespeicherte Information, sondern umfasst auch den Schutz während der Datenübertragung, also die Sicherung von Leitungen. Eine Verletzung der Vertraulichkeit kann Unsicherheit auslösen und zu schwerwiegenden Folgen führen, wobei diese Konsequenzen auch rechtlicher Natur sein können. Eng mit Vertraulichkeit verbunden ist der Begriff Zurechenbarkeit (Accountability), dieser wird auch oft gesondert als Schutzziel definiert. Zurechenbarkeit bedeutet, dass Unberechtigte nicht die Identität Dritter annehmen können und somit die Zugriffskontrolle zu umgehen vermögen.

Integrität

Integrität, im englischen Sprachgebrauch als „integrity“ bezeichnet, bezieht sich darauf, dass keine unsachgemäßen Modifikationen an einen IT-System vorgenommen wurden. Die Integrität eines Inhaltes ist dann gegeben, wenn nachweisbar ist, dass dieser unverändert ist, bzw. man vorgenommene Änderungen nachvollziehen kann. Speziell im Fall von Datenübertragungen ist es wichtig, dass die Korrektheit des Inhalts nachweisbar ist, aber auch die zeitliche (temporale) Korrektheit und somit auch die Reihenfolge der Inhalte sind von besonderer Bedeutung.

Verfügbarkeit

Verfügbarkeit, im Englischen „availability“, bezeichnet die permanente Zugriffsmöglichkeit auf Daten, bzw. auf ein System. Permanent ist dabei allerdings nur ein Ideal, das vertraglich auf einen bestimmten Zeitraum vereinbart werden kann. Diese Kennzahl wird ebenfalls Verfügbarkeit genannt und gibt das Verhältnis von Gesamtlaufzeit zur Ausfallzeit an.

Verfügbarkeit=(Gesamtzeit-Gesamtausfallzeit)/Gesamtzeit

Ein Vertrag über die Verfügbarkeit wird SLA (Service Level Agreement) genannt. Vollständige Verfügbarkeit wird auch als 24/7 bezeichnet. Ausfallzeiten sind meistens in Prozent angegeben. Systeme, die mit einer hohen Verfügbarkeit (99,99 % oder besser) laufen müssen, bezeichnet man als hochverfügbare Systeme. Hochverfügbarkeit bezieht sich damit auf die Fähigkeit eines Systems, auch im Falle eines Ausfalls von Systemkomponenten den Zugriff auf Daten und Dienste jederzeit zu ermöglichen und somit einen uneingeschränkten Betrieb zu gewährleisten.