Christian Szidzek - Datenschutzgrundverordnung für Dummies

Die folgenden Begriffe lassen sich leicht verwechseln. Dass Sie sich bei der nächsten hitzigen Diskussion nicht blamieren, sollten Sie diese sorgfältig unterscheiden:

Datensicherheit soll Sicherheitsrisiken begegnen und Daten – also auf Datenträgern abgelegte Informationen – vor Manipulation, unberechtigter Kenntnisnahme, Verlust oder Beschädigung schützen. Dabei ist es unerheblich, ob es sich um personenbezogene oder sonstige Daten handelt.

Daneben gibt es den Begriff der Informationssicherheit . Die Informationssicherheit umfasst die Sicherheit aller Informationen. Dazu gehören auch solche, die nicht auf Datenträgern gespeichert sind, wie zum Beispiel das Wissen von Personen um bestimmte Dinge. Wie bei der Datensicherheit können die Informationen aber auch auf Datenträgern gespeichert sein, und es ist dabei egal, ob der Datenträger aus Papier besteht oder elektronisch ist. Der Begriff der Informationssicherheit umfasst damit den Begriff der Datensicherheit und findet sich vor allem in den IT-Grundschutzkatalogen des Bundesamts für Sicherheit in der Informationstechnik ( BSI ) oder der ISO 27001 . Auch hier kommt es nicht darauf an, ob es sich um Informationen über Personen handelt oder andere.

Wenn man dagegen von IT-Sicherheit spricht, bezieht sich dies ausschließlich auf elektronisch abgespeicherte Informationen und die Sicherheit der dafür verwendeten IT-Systeme . Gegenüber der Informationssicherheit kommt es bei der IT-Sicherheit also vor allem auf die Funktionsfähigkeit und Zuverlässigkeit dieser IT-Systeme an. Die IT-Sicherheit ist daher ein wesentlicher Bestandteil der Informationssicherheit.

Die Datensicherheit hat spezielle Schutzziele und ist spezifischen Gefahren ausgesetzt. Sie dient in erster Linie der Vertraulichkeit der verarbeiteten Daten, der Sicherstellung ihrer Richtigkeit (Integrität) sowie deren Verfügbarkeit . Die Schutzziele sind also

Vertraulichkeit ( Confidentiality )

Integrität ( Integrity )

Verfügbarkeit ( Availability )

Diese Schutzziele werden als sogenannte CIA-Schutzziele bezeichnet. CIA hat dabei aber nichts mit der Central Intelligence Agency zu tun, sondern steht als Akronym für Confidentiality ( C ), Integrity ( I ) und Availability ( A ).

Vertraulichkeit liegt vor, wenn eine unberechtigte Informationsgewinnung nicht möglich ist. Das bedeutet, dass auf Informationen nur von Personen mit einer vorhandenen Zugriffsberechtigung zugegriffen werden darf und von anderen nicht.

Das Schutzziel der Integrität umfasst zum einen die Richtigkeit der Daten ( Datenintegrität ) und speziell bei der IT-Sicherheit auch die korrekte Funktionsweise von Datenverarbeitungssystemen ( Systemintegrität ), um unberechtigte Manipulationen an den Informationen zu verhindern. Man unterscheidet dabei zwischen starker und schwacher Integrität . Eine starke Integrität liegt vor, wenn es tatsächlich keine Möglichkeit einer unbefugten Datenmanipulation gibt. Von einer schwachen Integrität ist die Rede, wenn eine Datenmanipulation zwar möglich, aber auf keinen Fall unbemerkt möglich ist. Mögliche Manipulationen sind das Verändern, Löschen oder Einfügen von Daten. Geeignete Mittel zur Sicherstellung der Integrität sind Message Authentication Codes ( MAC ), also Nachrichtenidentifizierungscodes, oder Tamper Resistant Security Modules ( TRSM ), also manipulationssichere Sicherheitsmodule, mit denen die Erkennbarkeit von Manipulationen möglich wird und dann automatisch Folgemaßnahmen wie zum Beispiel eine Datenlöschung durchgeführt werden.

Mit dem Begriff der Verfügbarkeit meint man, dass IT-Systeme jederzeit betriebsbereit sein sollen und die Verarbeitung der Daten ordnungsgemäß abläuft. Berechnet wird die Zuverlässigkeit in der Praxis regelmäßig über das Verhältnis der Zeit, in der das System tatsächlich zur Verfügung stand, und der vereinbarten Zeit, in der das System zu Verfügung hätte stehen sollen. Angestrebt werden dabei zwar 100 Prozent, was aber nur unter sehr hohen Kosten erreicht werden kann. Bei Anwendungen, die nicht unternehmensintern betrieben, sondern zugekauft werden, vereinbaren Unternehmen mit dem Anbieter deshalb bestimmte Verfügbarkeitszeiten in sogenannten Service-Level-Agreements ( SLA ), die Strafgelder ( Pönalen ) enthalten können, falls von der vereinbarten Verfügbarkeit abgewichen wird.

Die CIA-Schutzziele sind dabei nicht die einzigen möglichen Schutzziele der IT-Sicherheit, aber die wichtigsten. Daneben kommen als weitere Schutzziele die Authentizität von Daten, die Nichtabstreitbarkeit oder die Zurechenbarkeit in Betracht.

Jede Form der Datenverarbeitung birgt Gefahren für die Sicherheit der Daten. Typische Gefahren für die Datensicherheit ergeben sich aus Hackerangriffen auf IT-Systeme, der Manipulation von internen Mitarbeitern zur Preisgabe von Informationen ( Social Engineering ), unsachgemäßem Umgang mit Passwörtern oder Datenträgern sowie aus Einsparungen bei der IT-Sicherheit. Typische Gefahren für die Informationssicherheit sind also

Hacking

Phishing

Social Engineering

Passwortausspähung

Einsparungen an der falschen Stelle

unsachgemäße Datenträgerbehandlung und -entsorgung

Beim Hacking kommen verschiedene Szenarien in Betracht. Eigen ist allen Szenarien, dass der Hacker sich Zugang zu einem IT-System verschafft und dann entweder Daten ausliest, verändert, löscht oder das System beschädigt. Regelmäßig werden hierzu kleine Spähprogramme, sogenannte Trojaner eingesetzt, die beim unbedachten Öffnen von kompromittierten E-Mail-Anhängen oder unbekannten Dateien auf das IT-System aufgespielt werden. Diese Programme erlauben es dem Hacker, aus der Ferne Aktionen auf Ihrem System auszuführen. Sobald das System online geht, meldet sich das Spähprogramm bei dem Hacker und dient diesem als Server , den er von seinem Client aus der Ferne bedienen kann.

Der Client ist das Programm, das der Hacker selbst auf seinem eigenen Rechner installiert und ausführt. Das ist praktisch die Kommandozentrale . Und der Server ist – wie es der Name schon sagt, lateinisch servus bedeutet nämlich Sklave – das Programm auf Ihrem Rechner, das willenlos ausführt, was der Hacker über seinen Client vorgibt.

Je nach Funktionalität des Schadprogramms können damit lediglich vereinzelte Informationen gewonnen, aber auch ganze Systeme überwacht und gesteuert werden. Hacker können aber Schwachstellen Ihres Systems identifizieren und Sie auch ohne vorheriges Aufspielen von Schadprogrammen angreifen. Je nachdem, ob der Hacker edle oder düstere Absichten verfolgt, unterscheidet man den sogenannten White-Hat-Hacker vom Black-Hat-Hacker . Mit Hüten ( Hat ) hat das nur insofern etwas zu tun, als man wohl gemeinhin davon ausgeht, dass Leute mit schwarzen Hüten auf dem Kopf eher schlechte Absichten und Leute mit weißen Hüten eher gute haben. Ich selbst bevorzuge den Strohhut.