IT-Sicherheit und Datenschutz: Gemeinsamkeiten und Unterschiede

IT-Sicherheit und Datenschutz

Eine Unterscheidung

Im ersten Moment erscheinen „IT-Sicherheit“ und „Datenschutz“ wie synonyme Begriffe für ein und dieselbe Sache. Tatsächlich gibt es zwischen beiden Konzepten Überschneidungen – was nichts daran ändert, dass es sich um zwei sehr verschiedene Dinge handelt. Die große Bedeutung von digitalen Daten und deren Schutz macht es aber wiederum unmöglich, IT-Sicherheit und Datenschutz getrennt voneinander zu betrachten.

Eine Begriffserklärung

Ohne Frage ist Informationssicherheit im digitalen Zeitalter zu einer der größten Herausforderungen geworden. Die Gründe für diese Entwicklung sind zahlreich, ebenso wie die möglichen Folgen, sollten Daten nur unzureichend geschützt sein.

Dennoch muss gleichzeitig unterschieden werden, was sich bereits anhand der unterschiedlichen Begrifflichkeiten erkennen lässt. Für Verbraucher bzw. Nutzer ohne fachlichen Hintergrund ist die damit einhergehende Trennung jedoch häufig weniger ersichtlich. Was schlicht und ergreifend daran liegt, dass trotz aller scheidenden Kriterien eine enge Verbindung der einzelnen Bereiche besteht.

Mit diesen einzelnen Bereichen sind in erster Linie gemeint:

  • Der Datenschutz. Dieser bezieht sich auf personenbezogene Daten, er beinhaltet außerdem das Recht jedes Einzelnen auf die informationelle Selbstbestimmung. Wie persönliche Daten verwendet oder weitergegeben werden, darüber entscheidet immer die jeweilige Person – so ist es auch im Grundrecht verankert, wenngleich die Praxis oft noch anders aussieht.
  • Die IT-Sicherheit. Auch als IT-Sicherheitsmanagement bezeichnet, gehören hierzu sämtliche technischen Aspekte und Maßnahmen, mit deren Hilfe jegliche Daten sowie die Funktionsfähigkeit von IT-Systemen gesichert werden.

Informationssicherheit

Unterschieden wird dabei zwischen personenbezogenen Daten und Daten eines Unternehmens. Die definitorische Schwierigkeit besteht nun in Folgendem: Zum einen ist recht geläufig, die verschiedenen Begriffe synonym zu verwenden. Zum anderen bildet der Datenschutz innerhalb der Informationssicherheit, also der Summe aller Maßnahmen, mit denen alle Informationen eines Unternehmens geschützt werden, einen Teilbereich.

Überschneidungen sind, spätestens seit dem Inkrafttreten der DSGVO, daher unvermeidbar – ebenso wie eine klare Trennung. Denn innerhalb eines Unternehmens fallen schließlich nicht nur personenbezogene Daten von Kunden und Geschäftspartnern an, sondern ebenso von Mitarbeitern.

Verknüpfungen von Datenschutz und IT-Sicherheit

Was bei der Begriffszuordnung einerseits irreführend ist, aus der inhaltlichen Ausfüllung her aber klar wird: Beim Datenschutz geht es nur vordergründig um den Schutz der Informationen an sich – es geht schlussendlich um den Schutz der Menschen. Das unterscheidet den Datenschutz wiederum von der IT-Sicherheit, in der hauptsächlich prozessbezogene Daten im Mittelpunkt stehen.

Verknüpft sind die beiden Bereiche, nicht nur in der oben beschriebenen Art und Weise, sondern ebenfalls über die gesetzlich definierten Schutzziele, die weiter unten näher erläutert werden.

Tatsächlich, das wird im Folgenden aufgezeigt, unterscheiden sich auch die Mechanismen und Vorgehensweisen in beiden Bereichen nicht sonderlich voneinander – was zu einem erheblichen Teil daran liegt, dass Datenschutz ein elementarer Bestandteil von IT-Sicherheit und diese gar nicht ohne den Schutz personenbezogener Daten denkbar ist.

Datenschutz: Zum Schutz persönlicher Daten

Spätestens seit der DSGVO ist Datenschutz zu einem weithin präsenten Thema geworden, das nicht nur den digitalen Raum betrifft. Wie weitreichend das Thema allerdings wirklich ist, können vermutlich nur die wenigsten Menschen einschätzen.

Worum geht es beim Datenschutz?

Grundsätzlich dreht sich der Datenschutz, wie bereits ausgeführt, um personenbezogene Daten. Das Bundesdatenschutzgesetz (BDSG) versteht darunter „Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“ (§ 3 Abs. 1 BDSG).

Im Einzelnen fallen hierunter neben Namen und Vornamen, Geburtsdaten und Wohnorten auch die Religionszugehörigkeit, Telefonnummern, Steuernummern, Krankenversicherungsnummern, Kontonummern, Kreditkartennummern, Grundbuch- und Katasterbezeichnungen und einiges mehr.

Kurzum: Beim Datenschutz geht es, so irreführend der Begriff sein mag, um den Schutz der betroffenen Personen.

Gesetzliche Geltungsbereiche

Auf gesetzlicher Ebene ist das bereits erwähnte Bundesdatenschutzgesetz der rechtliche Rahmen für den Umgang mit personenbezogenen Daten. Es wurde mit Gültigkeit ab dem 25. Mai 2018 neu konzipiert, im Rahmen des Datenschutz-Anpassungs- und Umsetzungsgesetzes. Hintergrund dieser Veränderungen war das Inkrafttreten der Datenschutz-Grundverordnung DSGVO.

Die EU-weit gültige Verordnung musste zwar nicht erst in nationales Recht umgesetzt werden, ließ den Mitgliedstaaten in Detailfragen aber gewisse Gestaltungsspielräume. Daher wurde das Bundesdatenschutzgesetz angepasst und um einige weitere Vorgaben im Sinne der DSGVO ergänzt.

Neben den EU- und bundesweit geltenden Regelungen bestehen außerdem Landesdatenschutzgesetze. Das ist unter anderem dann relevant, wenn es zu Überschneidungen der Regelungen kommt, in solchen Fällen haben die landesrechtlichen Vorgaben Vorrang.

Gemeinsam umfassen diese Gesetze die allgemeinen Regeln für den Datenschutz, darüber hinaus bestehen für spezifische Bereiche – Gesundheit und Soziales, Polizei und Verfassungsschutz, Telekommunikation etc. – gesonderte Regelungen. Diese gehen im Zweifelsfall vor den allgemeinen gesetzlichen Bestimmungen.

Abhängig von der betroffenen Ebene des Datenschutzrechts, greifen verschiedene Regelungen:

  • Auf der Ebene der Anwendungen und Inhalte (d.h. bei der Behandlung von Kundendaten nach einer Bestellung in einem Online-Shop etc.) sind BDSG und die Landesdatenschutzgesetzt zuständig.
  • Auf der Ebene der Dienste (das betrifft beispielsweise den Clickstream nach dem Zugriff auf einen Web-Server) sind die Regelungen des Telemediengesetzes maßgeblich.
  • Auf der Ebene der Netze (d.h. beim Datenverkehr über die Leitungen des jeweiligen Netzanbieters zwischen Nutzer und Access-Provider) gelten die Bestimmungen des Telekommunikationsgesetzes.

Schutzbedarfe und Schutzziele für personenbezogene Daten

Schutzbedarfe und Schutzziele müssen im Hinblick auf die zu ergreifenden Maßnahmen immer zusammen gedacht werden. Sind die Schutzziele einmal formuliert, lassen sich durch Risikoanalysen die zu erwartenden Bedrohungen und Gefährdungen ermitteln, aus denen sich dann wiederum die Schutzbedarfe und die angemessenen Schutzmaßnahmen ableiten lassen. Angemessen bezieht sich gemäß dem BDSG auf den Aufwand dieser Maßnahmen im Verhältnis zum Schutzbedarf der Daten.

Die Schutzziele dienen in erster Linie dazu, den sicheren Soll-Zustand zu beschreiben. Ist das jeweilige Schutzziel erreicht, ist das gleichbedeutend mit dem Ausschluss von Belastungen oder Gefährdungen. Üblicherweise erfolgt die jeweilige Risikobewertung anhand von drei verschiedenen Schutzklassen (normal, hoch, sehr hoch), sie gilt im Übrigen nicht allein für den Datenschutz, sondern genauso für unternehmensrelevante Informationen.

Zu unterscheiden ist bei den Schutzzielen zwischen denjenigen, die unter die Datensicherheit fallen und denjenigen, die sich schwerpunktmäßig mit dem Schutz von Personen und Persönlichkeitsrechten befassen.

Datensicherheit

Datenschutz

Verfügbarkeit

Der gesicherte Zugriff auf Informationen innerhalb einer festgelegten Zeit ist möglich.

Transparenz

Personenbezogene Verfahren sollen mit zumutbarem Aufwand nachvollzogen, überprüft und bewertet werden können.

Vertraulichkeit

Der gesicherte Nichtzugriff (u.U. für einen begrenzten Zeitraum) ist gewährleistet.

Nichtverkettbarkeit

Daten aus personenbezogenen Verfahren dürfen nicht oder nur mit unverhältnismäßig hohem Aufwand für einen anderen Zweck erhoben, verarbeitet oder genutzt werden können.

Integrität

Die Echtheit der Information ist gesichert.

Intervenierbarkeit

In personenbezogenen Verfahren müssen den Betroffenen Maßnahmen zur Verfügung stehen, um die ihnen zustehenden Rechte wirksam wahrnehmen zu können.

Um die Datenschutzbelange vollständig abdecken zu können, sind die eingangs beschriebenen Schutzziele auf Gesetzesebene erweitert worden. So ist gewährleistet, dass eben nicht allein die Daten selbst geschützt sind, sondern – so wie es gemäß der Definition von Datenschutz vorgesehen ist – vor allem auch die Betroffenen.

Umsetzung der Schutzziele mit geeigneten Maßnahmen

Bei der Umsetzung der Schutzziele mithilfe geeigneter Maßnahmen muss zuerst unterschieden werden zwischen Maßnahmen, die sich Daten, auf Systeme und auf Prozesse beziehen. Dr. Thomas Probst vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein kommt in seiner Einschätzung generischer Schutzmaßnahmen für Datenschutz-Schutzziele zu dem Schluss, dass sich dabei keine klare Trennung zwischen den einzelnen Schutzzielen und den jeweiligen Maßnahmen vollziehen lässt.

Im Zentrum aller Schutzmaßnahmen und grundsätzlich aller Überlegungen, wie die Schutzziele zu erreichen sind, müssen die Rechte der Betroffenen stehen, so die Forderung von Probst. Die Reichweite der Maßnahmen sollte sich dabei über den gesetzlichen Wortlaut der Schutzziele hinausgehen, damit der Schutz der Persönlichkeitsrechte wirklich realisiert werden kann. In diesem Zusammenhang gibt es im Prinzip keine direkte Zuordnung einer Maßnahme zu einem Schutzziel.

Selbst wenn Schutzmaßnahmen auf ein konkretes Schutzziel bzw. einen bestimmten Aspekt dieses Ziels hinwirken sollen, betreffen sie doch in den allermeisten Fällen – mehr oder weniger direkt – auch andere Schutzziele. Das ist insofern kein nachteiliger Effekt, weil dieses „Übergreifen“ üblicherweise unterstützende Wirkung hat. Nicht auszuschließen ist jedoch auch der gegenteilige Fall, in dem die Maßnahmen zueinander im Widerspruch stehen.

Neben dem Verhältnis zu den Risiken, sind für die Schutzmaßnahmen übrigens weitere Faktoren zu berücksichtigen. Beispielsweise müssen die Maßnahmen generell geeignet sein, um die Risiken ausschließen zu können. Wichtig ist auch die Frage nach dem Stand der Technik und ob dieser ausreichend für die zu erreichenden Ziele ist. Neben dem allgemeinen (technischen und organisatorischen) Aufwand gilt es außerdem zu fragen, wie hoch die Kosten ausfallen, um eine Maßnahme zu implementieren.

Datenschutz-Vorgaben gemäß der DSGVO

Mit der Datenschutz-Grundverordnung sind darüber hinaus weitere Maßnahmen hinzugekommen, darunter die Möglichkeiten zur Pseudonymisierung und Verschlüsselung von Daten. Die DSGVO sieht daneben Maßnahmen vor

  • mit denen Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Systemen und Diensten dauerhaft gewährleistet werden können;
  • mit denen bei physischen oder technischen Zwischenfällen die Verfügbarkeit von und der Zugang zu personenbezogenen Daten schnellstmöglich wiederhergestellt werden kann;
  • mit denen eine regelmäßige Überprüfung, Bewertung und Evaluierung der technisch-organisatorischen Maßnahmen und deren Wirksamkeit möglich ist;
  • mit denen sichergestellt ist, dass Mitarbeiter, die in Kontakt mit personenbezogenen Daten kommen, diese auch nur innerhalb der ihnen aufgetragenen Aufgaben verarbeiten.

Bei den Grundsätzen der Verarbeitung personenbezogener Daten, wie sie in der DSGVO festgelegt werden, sind einige bereits aus dem BDSG bekannte Begriffe verwendet. Das betrifft unter anderem Integrität und Vertraulichkeit, womit wie schon erläutert, die angemessene Sicherheit personenbezogener Daten bei der Verarbeitung gemeint ist, so dass weder unbefugt noch unrechtmäßig auf diese zugegriffen werden kann, noch eine unbeabsichtigte Zerstörung oder ein unbeabsichtigter Verlust geschehen kann.

Begrifflich getrennt und mit einer eigenen Bezeichnung versehen wurde in der DSGVO die „Richtigkeit“ personenbezogener Daten, was im BSDG unter „Integrität“ eingeschlossen ist. In der EU-Verordnung steht die Korrektheit der Daten allerdings auch in enger Verbindung mit der Notwendigkeit von Maßnahmen, um unrichtige Daten unverzüglich löschen oder korrigieren zu können.

Die rechtmäßige Verarbeitung in einer vor die Betroffenen nachvollziehbaren Art und Weise ist ebenfalls in beiden Gesetzestexten unter dem Schlagwort „Transparenz“ aufgegriffen.

Neben diesen bekannten Grundsätzen umfasst die DSGVO auch einige neue:

  • Zweckbindung bedeutet, dass personenbezogene Daten nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und verarbeitet werden dürfen. Andere Zwecke, die mit dem ursprünglichen als unvereinbar eingestuft werden müssen, schließen eine Weiterverarbeitung aus. Ausgenommen hiervon sind Archivzwecke im öffentlichen Interesse, wissenschaftliche oder historische Forschungszwecke sowie statistische Zwecke.
  • Datenminimierung umschreibt eine dem Zweck angemessene und dabei auf das notwendige Maß beschränkte Erhebung personenbezogener Daten.
  • Speicherbegrenzung hat tatsächlich nichts mit den Datenmengen zu tun, sondern bezieht sich auf die Form der Datenspeicherung, die eine Identifizierung der Betroffenen nur für den erforderlichen Zeitraum ihrer Verarbeitung ermöglicht. Auch hier gelten die bei der Zweckbindung angeführten Ausnahmen, vorausgesetzt es werden dabei alle Rechte und Freiheiten der betroffenen Person gewahrt.
  • Rechenschaftspflicht bedeutet für die Verarbeiter personenbezogener Daten, persönlich in der Verantwortung zu stehen und die Einhaltung der geforderten Grundsätze nachweisen zu können.

Mit der neu eingeführten Rechenschaftspflicht ist also zugleich eine Dokumentationspflicht verbunden. Dabei handelt es sich tatsächlich um mehrere Pflichten, wie die IHK Frankfurt/Main im Einzelnen erläutert. In der Praxis bedeutet das eine weitreichende Beschäftigung mit der Materie, um die Rechte der Betroffenen gänzlich zu wahren.

Was dabei nicht außer Acht gelassen werden sollte: Unter die Schutzrechte nach der DSGVO fallen nicht nur persönliche Angaben, sondern genauso auch Fotos. Daraus ergibt sich beispielsweise eine komplexe Rechtslage für Event- und Streetfotografen, wie der Bildredakteure und externe Datenschutzbeauftragte Christian Eggers im Interview erklärt. Notwendige Einwilligungen in die Veröffentlichung von Fotos müssen gemäß den Dokumentationspflichten in jedem einzelnen Fall nachweisbar dokumentiert sein.

Für Unternehmen mit mehr als 250 Mitarbeitern sieht die DSGVO übrigens nicht nur die allgemeine Nachweis- und Dokumentationspflicht vor. Sie beinhaltet in Artikel 30 außerdem die ausdrückliche Verpflichtung zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten – gerade vor dem Hintergrund der gestiegenen Bußgelder für Datenschutzverstöße ist in dieser Hinsicht allerhöchste Sorgfalt geboten.

IT-Sicherheit: „Datenschutz“ für Unternehmen

Unternehmen haben, ganz wie Privatpersonen, ein großes Interesse an der Sicherheit gesammelter Daten. IT-Sicherheit umfasst aber gleichermaßen alle Maßnahmen, mit denen Produktions- und Geschäftsprozesse gegen vorsätzliche oder unbeabsichtigte Einwirkungen geschützt werden können.

Um die Bedeutung von Daten in diesem Zusammenhang besser abbilden und in Sicherheitskonzepte integrieren zu können, wird der Begriff der IT-Sicherheit deshalb zunehmend zur allgemeineren Informationssicherheit ausgedehnt. Damit wird auch schnell klar, dass der Datenschutz unbedingt ein Teil dieses Konzepts sein muss.

IT-Grundschutz – Standards und Methoden für die Informationssicherheit

Wichtige Leitlinien für Sicherheitskonzepte – oder genauer: Informationssicherheits-Managementsysteme – gibt der vom Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, entwickelte IT-Grundschutz. Er enthält Standards und Maßnahmen, mit denen Unternehmen und Verwaltungen jeder Größenordnung einerseits eine realistische Einschätzung der Schutzbedarfe zu ermitteln und andererseits geeignete Gegenmaßnahmen zu ergreifen.

Zusammengetragen wurden dazu die wichtigsten elementaren Gefährdungen für Daten, die Bausteine für ein vollständiges Sicherheitskonzept sowie konkrete Umsetzungshinweise. Ziel ist dabei immer, auf IT basierende Produktions- und Geschäftsprozesse systematisch gegen beabsichtigte Angriffe sowie unbeabsichtigte Ereignisse – im Englischen wird hierzu begrifflich zwischen „Security“ und „Safety“ unterschieden – zu schützen.

Grundlagen des Sicherheitsmanagements

Die Grundlage bildet auch hierbei der Kreislauf des Risikomanagements, innerhalb dessen Risiken identifiziert, bewertet, gesteuert und schließlich überwacht werden:

  • Identifikation: Auf dieser Ebene geht es um die Frage, welche Bedrohungen für ein bestimmtes Schutzobjekt relevant sind. Wichtig und besonders herausfordernd ist in diesem Zusammenhang die Aufgabe, wirklich alle Bedrohungen zu erfassen.
    • Bewertung: Hier gilt es einerseits zu ermitteln, wie groß die Eintrittswahrscheinlichkeit eines Schadensereignisses und andererseits, wie groß der dadurch verursachte Schaden ausfallen könnte.
    • Steuerung: Meint die Auswahl der geeigneten Vorgehensweisen und Maßnahmen gegen die jeweils ermittelten Risiken. Wie gut diese in der Umsetzung dann tatsächlich geeignet sind, hängt in erster Linie davon ab, wie tief die Bewertung der Risiken im vorherigen Schritt ausgefallen ist.
    • Überwachung: Schließt sowohl die Risiken als auch die Maßnahmen ein. Damit wird kontrolliert, ob die Risiken effektiv und effizient durch die ergriffenen Gegenmaßnahmen „bekämpft“ oder ausgeschlossen werden konnten.

Umsetzung und Schichtenmodell

Für eine Umsetzung des IT-Grundschutzes gilt es, den gesamten Informationsverbund – also alle Prozesse, Anwendungen und Systeme – zusammen zu betrachten. Als Orientierungshilfe dienen dabei die zum IT-Grundschutz-Kompendium gehörigen Bausteine, die für eine leichtere Auswahl in Prozess- und Systembausteine unterschieden werden können. Jeder Baustein wird dann in Schichten untergliedert.

Damit soll innerhalb eines komplexen Bereichs für mehr Übersichtlichkeit gesorgt werden. Das erleichtert nicht nur das Finden der passenden Bausteine, sondern verhindert gleichzeitig, sicherheitsrelevante Aspekte zu übersehen. Die Trennung bzw. Bündelung von Teilaspekten hilft gleichzeitig dabei, Redundanzen und Wiederholungen bei der Umsetzung zu vermeiden und Zuständigkeiten für die einzelnen Teilbereiche schon im Vorfeld klar zu regeln.

Zu guter Letzt können nach der Fertigstellung eines Sicherheitskonzeptes Aktualisierungen und Erweiterungen unkomplizierter durchgeführt werden, da andere Schichten in diesem Zusammenhang nicht betroffen sind.

Sicherheitsmaßnahmen, Anwendungsgebiete und Datenschutz in der IT-Sicherheit

Was den Datenschutz und die durch die DSGVO erweiterten gesetzlichen Vorgaben anbelangt, so geben die Bestimmungen der Verordnung selbst bereits ein ziemlich genaues Bild davon ab, wie personenbezogene Daten innerhalb der IT-Sicherheit gehandhabt werden sollten.

Die Betroffenen sollten im Sinne der Transparenz immer über verarbeitete Daten und damit zusammenhängende Prozesse informiert werden. Dazu sollten Behörden wie Unternehmen ein Auskunftsverfahren einführen. Der EU Cybersecurity Act bietet in dieser Hinsicht die Möglichkeit, durch Zertifizierungen für IT-Produkte, Dienstleistungen und Prozesse für noch mehr Transparenz gegenüber den Nutzern bzw. Betroffenen zu sorgen.

Umgekehrt gilt es genauso, die Mitarbeiter für die Belange des Datenschutzes und nicht zuletzt für die drohenden Sanktionen bei Verstößen zu sensibilisieren. Regelmäßige Mitarbeiterschulungen etwa können die lückenlose Einhaltung der gebotenen gesetzlichen Vorgaben garantieren.

Außerdem sollte bei der Datenspeicherung ebenfalls ökonomisch gedacht werden: Zwar spielen Informationen im Big Data-Zeitalter eine immer wichtigere Rolle für Unternehmen. Vor dem Hintergrund des (leichter umzusetzenden) Datenschutzes bedeuten weniger Daten schlichtweg weniger Komplikationen.

IT-Sicherheit + Datenschutz = Mehr Informationssicherheit

Die hohe Kunst der Informationssicherheit in Behörden und Unternehmen besteht letztendlich darin, die beiden Bereiche – IT-Sicherheit und Datenschutz – zu einem funktionierenden Gesamtkonzept zu vereinen. Im Prinzip kann die Synthese für beide Seiten nur von Vorteil sein: In der IT-Sicherheit gibt es nur wenige gesetzliche Vorgaben, dafür eine umso größere Zahl etablierter Standards samt konkreter Modelle für entsprechende Vorgehensweisen – siehe den IT-Grundschutz des BSI.

Auf der anderen Seite fehlt es beim Datenschutz vielfach an eben jenen konkreten Vorgaben für die Umsetzung, dafür ist die Reglementierung sehr viel strenger und weitgreifender. Wo IT-Sicherheit auf einer weitgehend – was die gesetzlichen Bestimmungen, nicht aber die Notwendigkeit anbelangt – freiwilligen Basis beruht, ist der Datenschutz verpflichtend. Praktische Vorgaben einerseits, weitreichende gesetzliche Regelungen andererseits, damit scheint die Grundlage für mehr Informationssicherheit im Allgemeinen gegeben zu sein. Sofern die Umsetzung funktioniert.

Bildnachweise

Bild 1: unsplash.com © Jantine Doornbos
Bild 2: unsplash.com © John Schnobrich
Bild 3: unsplash.com © Lewis Ngugi
Bild 4: unsplash.com © Alexandre Debiève
Bild 5: unsplash.com © Giu Vicente
Bild 6: unsplash.com © NEW DATA SERVICES

Rückmeldungen