Datensicherheit – die wichtigsten Grundlagen zum Thema Data Security

von | 5. März 2019 | Grundlagen

Datensicherheit ist nicht nur für Data Science Projekte ein essenzielles Thema, sondern für datengetriebene Unternehmen insgesamt. In diesem Blog-Artikel befassen wir uns mit den wichtigsten Aspekten der Datensicherheit, grenzen die Maßnahmen vom Datenschutz ab und zeigen auf, wie Unternehmen Datensicherheit in ihrer Organisation sicherstellen können.

Wenn von Datensicherheit die Rede ist, geht es in der Regel um Themen wie Cyber Security, Hackerangriffe und nicht zu vergessen um den Schutz von Daten. Dabei hat Datensicherheit aber weitere Dimensionen, die bei der Diskussion manchmal untergehen oder nicht scharf genug voneinander abgegrenzt werden.

Was versteht man unter Datensicherheit? Die drei Aspekte von Datensicherheit sind Informationssicherheit, Datenintegrität und Gewährleistung von Zugriff

Datensicherheit lässt sich über drei wesentliche Aspekte definieren und beschreiben:

  • Informationssicherheit
  • Datenintegrität (Schutz vor Verlust und Missbrauch)
  • Gewährleistung des Zugriffs / Steuerung der Zugriffsrechte

Diese drei wesentliche Schutzziele helfen Unternehmen und Organisationen dabei, Daten- und Informationssicherheit herzustellen. Aufgrund der englischen Bezeichnungen werden diese allgemeinen Datenschutzziele auch das „CIA-Prinzip“ genannt. Wörtlich übersetzt lauten diese Begriffe: Vertraulichkeit (engl.: Confidentiality), Integrität (engl.: Integrity) und Verfügbarkeit (engl.: Availability).

Vertraulichkeit bedeutet in diesem Zusammenhang, dass nur solche Nutzer auf Daten und Informationen zugreifen und diese verändern dürfen, denen es erlaubt ist. Der Schutz der Integrität meint, dass niemand Daten heimlich verändern darf. Änderungen müssen entsprechend transparent gemacht werden. Die Verfügbarkeit von Informationen wiederum stellt sicher, dass Daten innerhalb eines vereinbarten Zeitrahmens zugänglich sein müssen.

Zusätzlich gibt es bei der Datensicherheit sogenannte nachgelagerte Schutzziele: Authentizität, Verbindlichkeit, Zurechenbarkeit von Handlungen und Aussagen sowie Anonymität

Um die Datensicherheit zu gewährleisten, können aber mehr Maßnahmen nötig sein, die nicht von diesen drei Hauptprinzipien abgedeckt sind. Den drei allgemeinen, übergeordneten Schutzzielen lassen sich darum weitere, sogenannte „nachgelagerteSchutzziele anfügen.

  1. Authentizität: Damit die Echtheit und die Glaubwürdigkeit von Informationen garantiert werden kann, sind Maßnahmen zur Authentifizierung Insbesondere beim elektronischen Versand von Urkunden ist es von großer Bedeutung, diese als echt überprüfen zu können.
  2. Verbindlichkeit beziehungsweise Nichtabstreitbarkeit: Damit eine Aktion im Nachhinein nicht abgestritten werden kann und beispielsweise auch (Kauf-)Verträge und AGBs online rechtsgültig abgeschlossen werden können, muss dieses Prinzip gewährleistet sein.
  3. Identifizierung oder Zurechenbarkeit: Aussagen und Handlungen müssen eindeutig einer bestimmten Person zugeordnet werden können. Dieses Prinzip dient dazu, die Rechtssicherheit zu gewährleisten und Aktionen im Worst-Case-Szenario bestimmten Personen zuzuordnen.
  4. Anonymität: Scheinbar im Widerspruch steht Anonymität als Schutzziel. Aber: Der Schutz der Privatsphäre und von Privatpersonen ist ebenfalls wichtig und ist zu garantieren.

Die Sicherheit der Daten können durch dreierlei Maßnahmen sichergestellt werden: technische und organisatorische

Zur Gewährleistung der Datensicherheit gibt es einerseits technische Maßnahmen, die ergriffen werden können. In der Regel dominiert dieser Aspekt das Thema Datensicherheit. Zur technischen Seite der Datensicherheit zählen alle Maßnahmen, die ein System beziehungsweise die Systemarchitektur von unerwünschten, nicht-authentifizierten Zugriffen bewahren. Allen voran spielen hier Techniken zur Verschlüsselung oder Firewalls eine Rolle.

Darüber hinaus spielen aber organisatorische Maßnahmen eine wichtige Rolle. Das verwundert insofern nicht, als dass viele der oben formulierten Schutzziele nicht technischer Natur sind. In anderen Worten heißt das: die Menschen innerhalb einer Organisation selbst stellen die Datensicherheit her. Das kann durch Maßnahmen wie Schulungen geschehen, in denen Verhaltensweisen für Mitarbeiter vermittelt werden.

Nicht zuletzt gibt es auch die Möglichkeit des physischen Schutzes von Daten. Auch wenn Daten prinzipiell digital und virtuell sind, so gibt es doch immer einen physischen Träger. Datensicherheit kann darum auch dadurch hergestellt werden, dass nur bestimmten Mitarbeitern der Zugang zu bestimmten Geräten oder Gebäuden gewährt wird, auf denen die Daten gespeichert sind.

Datensicherheit wird durch Organisationen sichergestellt

Data Governance ist in diesem Zusammenhang darum einer der Schlüsselbereiche, wenn es um Verhaltensweisen und Unternehmenskultur geht. Dabei geht es zunächst darum, alle entscheidenden Data Roles im Unternehmen zu identifizieren und zu besetzen. Das Ziel besteht dabei darin, alle kritischen Prozesse zu erkennen und gegebenenfalls Standards oder Lösungen wie beispielsweise einen Datenkatalog zu entwickeln.

Lese-Tipp: Lesen Sie in unserem Grundlagenartikel alles über Data Governance und Data Management.

Data Security lässt sich durch Big-Data-Lösungen herstellen wie am Beispiel Fraud Detection deutlich gemacht werden kann

Wenn es um technische Antworten auf die Herausforderungen rund um Data Security geht, eignen sich vor allem Data-Science-Methoden aus dem Big-Data-Umfeld. Insbesondere das Monitoring von Daten und als Resultat daraus Methoden wie Fraud Detection machen es möglich, auffällige Aktionen oder unerlaubte, unregelmäßige Zugriffe schnell zu erkennen. So können möglichst in Echtzeit Gegenmaßnahmen ergriffen werden.

Datenschutz im Rahmen der DSGVO

Datenschutz, wie er im Rahmen der DSGVO geregelt wird, ist nur ein Teilaspekt von Datensicherheit. Auch wenn es im Bewusstsein vieler Entscheider in den letzten Monaten als das dominante Thema bei der Datensicherheit war, so stellt der Datenschutz doch nur einen Teilaspekt von Datensicherheit insgesamt dar. Auch wenn die Neuregelungen im Rahmen der DSGVO sehr viele Neuerungen brachte, dürfen diesem Komplex andere Maßnahmen nicht als untergeordnet wahrgenommen werden. Der Datenschutz verfolgt explizit das Ziel, personenbezogene Daten zu schützen. Bei der Datensicherheit geht es, wie oben ausgeführt, um weit mehr.

Auch geht es beim Vergleich von Datenschutz bzw. Datenschutzgrundverordnung und Datensicherheit um mehr als das bloße Verhältnis von Theorie und Praxis. Die DSGVO gibt die gesetzlichen Leitlinien zum Schutz von personenbezogenen Daten vor. Datensicherheit wiederum beschränkt sich nicht auf eine bestimmte Kategorie von Daten, sondern zielt auf die Gesamtheit aller in einer Organisation vorhandenen Datenbestände und damit verbundene Prozesse wie Data Pipelines ab.

Wer ist im Unternehmen für Data Security verantwortlich?

Eine der zentralsten Fragen, die sich hinsichtlich der Datensicherheit stellt, ist die nach der Verantwortung dafür im Unternehmen. Unserer Erfahrung nach ist in vielen Fällen das fehlende Bewusstsein für das Thema der wichtigste und erste Ansatzpunkt. Dabei geht es einerseits darum, das Wissen über Datensicherheit in den Unternehmen zu erhöhen.

Andererseits geht es auch darum, die Aufgaben die zur Einhaltung von rechtlichen Anforderungen nötig sind wie beispielsweise das Ernennen eines Datenschutzbeauftragten aber auch die Sicherstellung von Zugriffsrechten entsprechend im Unternehmen zu verteilen.

Datensicherheit sollte auf keinen Fall als ein vernachlässigter Aspekt von Datenprojekten sein. Gerade für datengetriebenen Unternehmen stellt Datensicherheit vielmehr die Grundlage für den Erfolg im Datenzeitalter dar.

Autor:innen

Michaela Tiedemann

Michaela Tiedemann ist seit den jungen Startup Tagen der Alexander Thamm GmbH mit im Team. Sie hat die Entwicklung vom schnelllebigen, spontanen Startup hin zum erfolgreichen Unternehmen aktiv mitgestaltet. Mit der Gründung einer eigenen Familie begann für Michaela Tiedemann dann parallel dazu ein ganz neues Kapitel. Den Job an den Nagel zu hängen, kam für die frisch gebackene Mutter aber nicht in Frage. Stattdessen entwickelte sie eine Strategie, wie sie ihre Stelle als Chief Marketing Officer mit ihrer Rolle als Mutter in Einklang bringen kann.

0 Kommentare

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert