Datenschutz

Datensicherheit und Datenschutz: Die zwei Seiten einer Medaille

, Check Point

Datensicherheit und Datenschutz: Die zwei Seiten einer Medaille

Von Marco Eggerling, Chief Information Security Officer EMEA bei Check Point Software Technologies

Im Jahr 2018 veränderte der Skandal um Facebook und Cambridge Analytica mit der Enthüllung jahrelangen Datenmissbrauchs die Welt. Dieser Vorfall zog den Vorhang weg, der über der Wirklichkeit der Informationssicherheit, des Datenschutzes und der Eigentumsverhältnisse in der Big-Tech-Branche hing. Bei der beschleunigten und großflächigen Einführung des Homeoffice und der Cloud-Technologie im Zuge der Corona-Krise geriet der Datenschutz jedoch wieder in den Hintergrund. Allerdings sind die Narben des Facebook-Cambridge-Analytica-Skandals noch sichtbar und viele Kunden sind beinahe vollständig intolerant geworden, was lasche Einhaltung von Datenschutzbestimmungen oder sogar den Verstoß dagegen betrifft. Gleichzeitig sorgen sich 75 Prozent der IT-Experten um die Einhaltung von dergleichen Standards.

Daten sichern oder Daten schützen

Der erste Schritt zum Verständnis der beiden Begriffe ist deren Definition. Bei der Datensicherheit geht es in erster Linie um den Schutz der Daten vor unberechtigtem Zugriff, vor Beschädigung, Diebstahl und IT-Bedrohungen. Sie umfasst Technologien, Praktiken und Protokolle, die sicherstellen, dass Daten vertraulich und intakt bleiben und nur denjenigen zur Verfügung stehen, die legitimen Zugriff darauf haben. Hinzu kommt die Verantwortung für die Verschlüsselung und die Systeme zur Erkennung von Bedrohungen, sowie für die Backup- und Wiederherstellungsprozesse. Auf der anderen Seite fällt unter den Datenschutz der rechtmäßige und moralische Umgang mit personenbezogenen Informationen und stellt sicher, dass die Rechte des Einzelnen auf Datenschutz respektiert werden. Neben technischen Maßnahmen und Verwaltungsprotokollen setzt der Datenschutz auch physische Kontrollen ein, wie Schlüsselkarten, biometrische Faktoren und Überwachung von deren Benutzung am Arbeitsplatz, um die wertvollen und oft intimen Daten gegen IT-Angriffe und menschliches Versagen zu schützen.

Datenschutz und Datensicherheit schließen einander nicht aus. Zusammen bilden sie einen umfassenden Ansatz zum Schutz von Daten, der sicherstellt, dass diese sowohl vor unbefugtem Zugriff geschützt sind als auch in einer Weise verwendet werden, welche die Rechte und die Privatsphäre des Einzelnen respektiert. Werden diese beiden Themen nicht ernst genommen, kann der Ruf des Unternehmens stark geschädigt und das Vertrauen der Kunden in die Firma untergraben werden. Denn Kunden sind eher bereit, personenbezogene Informationen, wie Zahlungsdaten, preiszugeben, wenn sie darauf vertrauen, dass die Daten sicher gehandhabt werden.

Technologie gegen Compliance

Die Datensicherheit setzt stark auf technische Maßnahmen zur Sicherung der Daten und verlässt sich auf verschiedene Tools und Strategien, wie Verschlüsselung, Schwachstellen-Scans und Patch-Management, um die digitale Burg zu befestigen. Im Gegensatz dazu legt der Datenschutz großen Wert auf die Einhaltung von Gesetzen und Vorschriften, um einen einwandfreien Umgang mit personenbezogenen Daten zu gewährleisten. Zu diesen Prozessen gehören die Anonymisierung von Informationen, die Dokumentation aller Vorgänge für Audits und die Bereitschaft zur Auskunft über die Verwendung der Daten wie auch zur Löschung der Daten gemäß der EU-DSGVO. Hinzu kommt die Pflicht zur Meldung von Datenschutzverletzungen, um die Einhaltung verschiedener Vorschriften zu gewährleisten, darunter diese:

  • Datenschutzgesetz Schweiz (DSG).
  • European General Data Protection Regulation (GDPR).
  • Europäische Datenschutz-Grundverordnung (EU-DSGVO) in deutscher Auslegung als Gesetze zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG).
  • Health Insurance Portability and Accountability Act (HIPAA).
  • California Consumer Privacy Protection Act (CCPA).

Verhinderung von Datenbeschädigung gegen Datenschutzrechte des Einzelnen

Während die Datensicherheit in erster Linie vorhat, Beschädigung und unbefugten Zugriff zu verhindern (z. B. durch die Abwehr von Cyber-Angriffen und die Aufrechterhaltung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten), will der Datenschutz die Rechte des Einzelnen schützen, indem sichergestellt wird, dass die personenbezogenen Daten im Einklang mit den Datenschutzgesetzen und -vorschriften erhoben, verarbeitet und gespeichert werden.

Technik gegen Richtlinien

Datensicherheit beinhaltet die Implementierung und Verwaltung technischer Lösungen, wie Firewalls, Verschlüsselung und Bedrohungserkennungssysteme. Beispielsweise die Einführung von Lösungen, die bekannte und unbekannte Ressourcen kontinuierlich prüfen und überwachen, um Datendiebstahl oder Beschädigung der Daten zu verhindern. Datenschutz ist eher an Richtlinien interessiert und orientiert und erfordert die Festlegung klarer Regeln und Verfahren für die Datenverarbeitung, den Zugriff und die Verwaltung von Einwilligungen oder Ablehnungen.

Man unterscheidet alle Arten von Daten und personenbezogene Informationen

Mit der zunehmenden Verbreitung von IoT-Geräten und E-Commerce ist die digitale Interaktion zu einer gesellschaftlichen Norm geworden, welche die Nutzer dazu veranlasst, eine breite Spur von Informationen zu hinterlassen. Alle Arten von Daten fallen unter das Konzept der Datensicherheit, unabhängig davon, ob es sich um Finanzunterlagen, geistiges Eigentum oder Kundendatenbanken handelt. Der Datenschutz konzentriert sich jedoch auf den Umgang mit persönlich identifizierbaren Informationen (PII) und sensiblen personenbezogenen Daten (die verwendet werden, um eine Person zu identifizieren, zu kontaktieren oder zu lokalisieren) unter Einhaltung der Datenschutzbestimmungen.

Alle Wege führen nach Rom

Datenschutz und Datensicherheit gehen verschiedene Pfade, aber beide haben dasselbe Ziel vor Augen: Die Sicherheit der Daten unter ihrer Obhut. Daher schließen sie sich nicht aus, sondern gehören fest zusammen. Ob ein Unternehmen diese Synergie erkennt oder nicht, hängt jedoch oft davon ab, ob beide Aspekte durch interne Prozesse verknüpft werden.

Datenschutzbestimmungen verlangen robuste Sicherheitsmaßnahmen, um zu zeigen, dass Unternehmen ihr Bestes geben, um personenbezogene Daten zu schützen. Zugriffskontrolle und Verschlüsselung bilden wiederrum die Grundlage für Datensicherheit, indem sie den Zugriff auf Daten nur autorisierten Nutzer gewährt. Gleichzeitig stärken Datensicherheitsmechanismen, wie Firewalls, Intrusion Detection und regelmäßige Sicherheitsüberprüfungen, auch den Datenschutz und schützen dessen sensible Informationen vor Schwachstellen und Hackern. Daher lautet die Herausforderung für CISOs und IT-Entscheider: Die Gemeinsamkeit erkennen und unter einen Hut bringen, um maximal zu profitieren.