Datensicherheit: Datenschutz und IT Sicherheit sind nicht alles

23.02.2017

1switch-490025_1280

Nie zuvor spielen IT-Systeme für Unternehmen eine solch große Rolle. Längst werden Daten überwiegend oder sogar ausschließlich elektronisch verarbeitet. So ist es möglich, ein hohes Maß an Effizienz zu erlangen und wettbewerbsfähig zu bleiben.

Doch sobald sich IT-Systeme im Einsatz befinden, ergeben sich daraus besondere Anforderungen für den Datenschutz. Die damit in Verbindung stehenden Begriffe werden oft falsch verstanden. So dreht sich vor allem die IT-Sicherheit um andere Aspekte, als oft vermutet wird. Anstelle der IT-Sicherheit ist häufig die Datensicherheit gemeint. Nachfolgend haben wir die Begriffe näher erläutert.

Datenschutz - Daten mit Personenbezug

Da wäre zunächst der Datenschutz. Im Mittelpunkt stehen Daten mit Personenbezug. Es ist nicht nur Aufgabe des Unternehmens (z.B. mit Unterstützung vom Datenschutzbeauftragten), vorhandene Daten mit Personenbezug zu schützen. Datenschutz beginnt bereits mit der Frage, ob es überhaupt notwendig ist, bestimmte Daten zu erfassen und zu verarbeiten. Außerdem sollte geprüft werden, ob die Erfassung (gilt auch für Maßnahmen, wie z.B. Bearbeitung und Archivierung) bestimmter Daten aus rechtlicher Sicht gestattet ist.

IT-Sicherheit - Funktionalität der IT-Systeme

Beim Begriff IT-Sicherheit denken viele Menschen sofort an Firewalls und Antiviren-Programme. Tatsächlich steht der Begriff jedoch vorrangig mit der Funktionalität der IT-Systeme in Verbindung. Anders gesagt: Wenn ein Unternehmen mit IT-Systemen arbeitet, sollte gewährleistet sein, dass die Systeme auch so funktionieren, wie es vorgesehen ist. Außerdem sollte ein hohes Maß an Zuverlässigkeit gewährleistet sein - Ausfälle könnten die einleitend angesprochene Effizienz maßgeblich verringern.

Datensicherheit - Maßnahmen zum Schutz der Daten

Kommen wir nun zur Datensicherheit. Nicht nur personenbezogene Daten, sondern auch andere Daten gilt es zu schützen. Zum einen muss gewährleistet sein, dass sie nicht einfach vernichtet werden können. Handelsrechtliche Vorschriften verlangen von Unternehmen beispielsweise, Rechnungen und ähnliche Dokumente über längere Zeit hinweg aufzubewahren. Zum anderen hat ein Unternehmen sicherzustellen, dass die Daten nicht in falsche Händle gelangen.

Damit wären wir wieder bei den Firewalls und Antiviren-Programmen. Wir leben in einer Zeit, in der es schon lange nicht mehr genügt, IT-Systeme einfach nur angemessen zu konfigurieren und ergänzend mit Firewalls abzusichern. Es gibt unterschiedlichste Wege und Möglichkeiten, über die sich Angreifer direkten Zugriff auf Daten (mit und ohne Personenbezug) verschaffen können und damit Sicherheitskonzepte austricksen. Zur besseren Veranschaulichung haben wir einige Beispiele zusammengetragen.

USB-Schnittstelle: Zahlreiche Sicherheitsvorkehrungen drohen zu versagen, wenn Mitarbeiter private USB-Sticks am Arbeitsplatz einstecken. So könnten mit Leichtigkeit Schadenprogramme auf Computer gelangen. Außerdem wäre es ggf. möglich, Daten heimlich zu entwenden.

Druckerport: Kaum zu glauben, aber wahr - ein unzureichend konfigurierter Druckerport kann genügen, damit sich Angreifer in das Netzwerk einloggen und Zugriff auf Daten erhalten.

Home Office: Ein Unternehmen kann nicht kontrollieren, was in einem Home Office vor sich geht. Umso wichtiger ist es, dort hohe Sicherheitsvorkehrungen zu treffen. Details hierzu haben wir im Beitrag Datenschutz im Home Office zusammengetragen.

Dies waren nur ein paar Beispiele für die Risiken, mit denen es sich beim Thema Datensicherheit zu befassen gilt. Gleichzeitig dürfte deutlich geworden sein, dass es nur bedingt möglich ist, mit standardisierten Lösungen zu arbeiten. Jedes Unternehmen hat seine ganz individuelle IT-Infrastruktur, für die ein maßgeschneidertes Sicherheitskonzept entwickelt werden muss. Das Sicherheitskonzept will bis in das kleinste Detail abgestimmt sein, damit ein angemessener Schutz der Daten gewährleistet ist.

Unterstützung vom Datenschutzbeauftragten

Um solche Maßnahmen kümmert sich - wenn auch nicht immer allein - der Datenschutzbeauftragte. Er kann z.B. in enger Zusammenarbeit mit den hauseigenen Experten für IT-Sicherheit ermitteln, wo Risiken bestehen und mit welchen Maßnahmen er sie einschränken und absichern möchte. Für den Datenschutzbeauftragten ist es daher wichtig, nicht nur Experte für Datenschutz zu sein, sondern sich auch mit IT-Sicherheit und Datensicherheit auszukennen.

Falls es schwer fällt, solch einen Mitarbeiter zu finden, ist es ebenso möglich, einen externen Datenschutzbeauftragten zu bestellen. Bundesweit stehen wir Ihnen zur Verfügung, u.a. in Städten wie Berlin, Frankfurt am Main und Stuttgart. Falls Sie mehr erfahren möchten, erreichen Sie uns unter 0800 5600831 (gebührenfrei) oder über unser Kontaktformular.

Schreibe einen Kommentar