In der beruflichen Welt werden die Begriffe Datenschutz und Informationssicherheit oft synonym verwendet. Doch sie sind wie Cousin und Cousine – ähnlich, aber dennoch unterschiedlich. Durch ihre Verbindung können sich Überschneidungen ergeben, aber auch Konflikte entstehen. Wenn man die Synergien beider Bereiche nutzt, kann ein effizientes Sicherheitsmanagement gewährleistet werden.
Was ist Datenschutz?
Datenschutz bezeichnet die korrekte und gesetzeskonforme Handhabung, Verarbeitung, Speicherung und Nutzung personenbezogener Daten. Dabei geht es vor allem um den Schutz der individuellen Persönlichkeitsrechte von Verbrauchern, Mitarbeitern und anderen Stakeholdern. Relevant sind beispielsweise Kundendaten in Onlineshops, Daten aus Umfragen oder Interviews, Mitarbeiterdaten für die Lohnabrechnung und die Datenverarbeitung durch Drittanbieter wie Buchhaltungssoftware.
In Deutschland regeln das Bundesdatenschutzgesetz und die DSGVO alle entsprechenden Vorschriften und Bestimmungen. Die hohe Bedeutung des Datenschutzes zeigt sich auch in seiner Verankerung im Grundgesetz (Artikel 12), der Europäischen Menschenrechtskonvention (Artikel 8) und der Europäischen Charta der Grundrechte (Artikel 7).
Hohe Strafen bei Nichtbeachtung
Verstöße gegen den Datenschutz können mit Bußgeldern von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes geahndet werden. Es lohnt sich also, sich intensiv mit dem Thema auseinanderzusetzen und gezieltes Sicherheitsmanagement zu betreiben. Obwohl kein System zu 100 % sicher ist, kann man Strafen in der Regel vermeiden, wenn man nachweisen kann, dass alle technisch möglichen Maßnahmen umgesetzt wurden.
Was ist Informationssicherheit?
Im Allgemeinen unterscheidet man zwischen analoger Informationssicherheit und IT-Sicherheit. Die Definitionen sind jedoch fließend und beziehen sich auf beide Bereiche. Im Rahmen der Informationssicherheit geht es darum, alle Arten sensibler Daten zu schützen, die nicht nur personenbezogene Daten umfassen. Das können zum Beispiel Patentunterlagen, wichtige geschäftliche Verträge oder andere relevante Dokumente sein, die schützenswert sind. Sowohl Papierdokumente als auch digitale Datenträger sollen vor ungewolltem Zugriff, Industriespionage oder Zerstörung geschützt werden.
Die IT-Sicherheit bewegt sich zwischen beiden Welten und umfasst den Schutz von Informationen auf digitaler Ebene sowie den Datenschutz auf Datenträgern oder in der Cloud. Man könnte sogar sagen, dass die Informationssicherheit letztendlich dazu dient, einen ausreichenden und gesetzeskonformen Datenschutz sicherzustellen. Zu den Sicherheitsmaßnahmen gehören unter anderem die Gewährleistung der Netzwerksicherheit, der Einsatz verschlüsselter Verbindungen und Datensafes, Zugriffskontrolle und Passwörter, Zwei-Faktor-Authentifizierung sowie die Protokollierung von Nutzeraktivitäten.
Was sind die Unterschiede?
Um die Unterschiede zu verdeutlichen, betrachten wir noch einmal die Kurzdefinitionen beider Begriffe. Während sich der Datenschutz mit der Verwendung, Sammlung, Aufbewahrung, Löschung und Speicherung personenbezogener Daten befasst, beschreibt die Informationssicherheit Methoden, Vorgaben und Wege, um sowohl digitale als auch analoge Daten zu schützen.
Ein weiterer deutlicher Unterschied liegt in der Tatsache, dass der Datenschutz sehr genau definiert und in der DSGVO geregelt ist. Informationssicherheit hingegen kann von Unternehmen zu Unternehmen unterschiedlich gehandhabt werden, da die meisten Branchen keinen direkten gesetzlichen Vorgaben unterliegen.
Konflikte zwischen Datenschutz und Informationssicherheit
Obwohl sich die Bereiche Datenschutz und Informationssicherheit an vielen Stellen ergänzen, können auch Konflikte auftreten – genau wie bei Cousin und Cousine, bis eine Lösung gefunden wird. Ein Beispiel ist die Protokollierung der virtuellen Bewegungen und Zugriffe von Mitarbeitern zur Gewährleistung der Datensicherheit. Dabei handelt es sich jedoch um persönliche Daten, die nur mit Zustimmung erhoben werden dürfen.
Synergien zwischen Datenschutz und Informationssicherheit
Trotz möglicher Konflikte überwiegen die Synergien und Gemeinsamkeiten zwischen Datenschutz und Informationssicherheit. Dies wird besonders deutlich bei der Einbeziehung der Normen ISO 27001 und ISO 27701. In diesen Normen geht es zwar hauptsächlich um Informationssicherheit, es gibt jedoch große Überschneidungen mit dem Datenschutz. Gemeinsame Ziele sind die Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit der Daten, die Implementierung technischer und organisatorischer Maßnahmen gemäß dem Stand der Technik sowie ein angemessenes Risikomanagement.
Ein gemeinsames Sicherheitsmanagement ermöglicht eine zentrale Steuerung aller Maßnahmen im Bereich der Informationssicherheit und des Datenschutzes. Dadurch lassen sich mögliche Konflikte schneller erkennen und lösen.
Ein Wort zum Risikomanagement
Im Bereich der IT gilt das Murphys Gesetz: “Alles, was schiefgehen kann, wird auch schiefgehen.” Daher ist es wichtig, regelmäßig Tests und Audits durchzuführen, um das Risiko von Problemen und Datenlecks zu minimieren.
Fazit: Wie Specops helfen kann!
Die Sicherheit eines Systems hängt immer von seinem schwächsten Glied ab. Passwörter sind oft die Schwachstelle. Es gibt immer noch zu viele schwache Passwörter, die leicht geknackt oder erraten werden können. Dies gefährdet die Informationssicherheit und möglicherweise auch den Datenschutz.
Daher ist es besonders wichtig, zuerst die Passwörter zu stärken und eine angemessene Benutzerauthentifizierung einzurichten. Auf dieser Basis können weitere Maßnahmen aufgebaut werden. Ein modernes Tool wie Specops Password Policy erfüllt nicht nur die Empfehlungen verschiedener Behörden, sondern blockiert auch aktiv kompromittierte Passwörter. Dadurch wird ein umfassender Basisschutz gegen Datenlecks gewährleistet, selbst wenn ein Passwort trotz der Richtlinien kompromittiert ist. Das Tool integriert die Benutzer vollständig in den Prozess und informiert sie dynamisch über die Anforderungen an das Passwort. Dadurch werden unnötige Anfragen an den IT-Helpdesk reduziert.
