Flexible Security for Your Peace of Mind
Was unterscheidet Datenschutz von Informationssicherheit Header

Was unterscheidet Datenschutz von Informationssicherheit?

Oftmals werden die beiden Begriffe Datenschutz und Informationssicherheit im beruflichen Umfeld gleichwertig verwendet. Dabei handelt es sich allenfalls um Cousin und Cousine und keinesfalls um eineiige Zwillinge. Durch die familiäre Verbindung jedoch kommt es durchaus zu Überschneidungen, aber auch zu Konflikten. Werden Synergien dieser beiden Bereiche genutzt, kann ein effizienteres Sicherheitsmanagement gewährleistet werden.

Wir gehen nachfolgend auf die beiden Begriffe im Einzelnen ein, schauen uns an, was Datenschutz von Informationssicherheit unterscheidet und welche Konflikte es möglicherweise zwischen den beiden gibt. Wir schauen uns aber auch an, welche möglichen Synergien sich ergeben und wie man diese für seine Zwecke sinnvoll einsetzen kann.

Was bedeutet Datenschutz?

Datenschutz ist ein Begriff, der für die korrekte und gesetzeskonforme Handhabung, Verarbeitung, Speicherung und Verwendung personenbezogener Daten steht. Hierbei sollen insbesondere die individuellen Persönlichkeitsrechte von Verbrauchern, Mitarbeitern und anderen Stakeholdern sichergestellt werden. Relevante Bereiche sind unter anderem

  • Kundendaten in Onlineshops
  • Datenerhebung bei Umfragen, Interviews oder durch das Aufzeichnen bei einer Supportanfrage,
  • Mitarbeiterdaten zur Verarbeitung von Lohnunterlagen etc.
  • Datenverarbeitung durch Drittanbieter, z. B. Buchhaltungssoftware

In Deutschland regelt das Bundesdatenschutzgesetz und die DSGVO alle diesbezüglichen Vorgaben und Regelungen. Die besondere Bedeutung der Privatsphäre und des Datenschutzes wird auch durch seine Verankerung im Grundgesetz (Artikel 12), der Europäischen Menschenrechtskonvention (Artikel 8) und der Europäischen Charta der Grundrechte (Artikel 7) besonders deutlich.

Hohe Strafen bei Nichtbeachtung

In Art. 83 Abs. 5 DSGVO sind für gravierende Verstöße Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 % des weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr vorgesehen. Ein Grund mehr, sich intensiv mit dem Thema auseinanderzusetzen und gezieltes Sicherheitsmanagement zu betreiben.

Kein System ist 100 % sicher. Kann man jedoch nachweisen, alles technisch Machbare auch umgesetzt zu haben, kann man einer Bestrafung in aller Regel entgehen.

Was bedeutet Informationssicherheit?

In aller Regel unterscheidet man in diesem Bereich noch einmal zwischen der analogen Informationssicherheit und der IT-Sicherheit. Jedoch sind die Definitionen hier fließend und beziehen sich zumeist auf beide Welten. Im Rahmen der Informationssicherheit gilt es in jedem Fall alle möglichen Arten sensibler Daten zu schützen, die sich nicht nur auf personenbezogene Daten beschränken. Dies könnten z. B. Patentunterlagen, wichtige geschäftliche Verträge oder andere relevante Dokumente sein, die schützenswürdig sind. Sowohl Papierdokumente als auch Datenträger sollen hierbei vor ungewolltem Zugriff, Industriespionage oder Zerstörung geschützt werden.

IT-Sicherheit schwebt ein wenig zwischen beiden Welten und umfasst einerseits den allgemeinen Informationsschutz auf digitaler Ebene, aber auch den Datenschutz auf Datenträgern oder in der Cloud. Man könnte außerdem sagen, dass die Informationssicherheit am Ende dazu dient, einen ausreichenden und gesetzeskonformen Datenschutz sicherzustellen.

Sicherheit in der Informationsspeicherung und Verarbeitung besteht in aller Regel aus 5 Punkten:

  1. Sicherstellung der Netzwerksicherheit
  2. Einsatz von verschlüsselten Verbindungen und Datensafes
  3. Zugriffskontrolle und Passwörter
  4. Zwei-Faktor-Authentifizierung
  5. Protokollierung der Nutzeraktivitäten

Welche Unterschiede sind hier besonders?

Zur Verdeutlichung der Unterschiede schauen wir uns noch einmal die Kurzdefinitionen der beiden Begriffe an. Während sich der Datenschutz mit der ordnungsgemäßen Verwendung, Sammlung, Aufbewahrung, Löschung und Speicherung personenbezogener Daten beschäftigt, beschreibt Informationssicherheit eher Methoden, Vorgaben und Wege, um sowohl digitale als auch analoge Daten zu schützen.

Fallbeispiel: Sie melden sich bei einer SaaS-Anwendung an. Die Tatsache, dass die Verbindung über den Browser verschlüsselt ist, Sie ein Passwort eingeben oder sich per Zwei-Faktor-Authentifizierung anmelden müssen, sind Maßnahmen der Informationssicherheit. Wie das Unternehmen am Ende mit den von Ihnen eingegebenen Daten Ihres Nutzerkontos macht, unterliegt dem Datenschutz.

Ein ganz deutlicher Unterschied liegt zudem in der Tatsache, dass der Datenschutz sehr genau definiert und in der DSGVO geregelt ist. Informationssicherheit hingegen kann von Unternehmen zu Unternehmen unterschiedlich gehandhabt werden und die meisten Industriezweige unterliegen keine direkten gesetzlichen Vorgaben. (S. KRITIS und das IT Sicherheitsgesetz)

Datenschutz von Informationssicherheit

Welche Konflikte können zwischen beiden bestehen?

Um Grunde ergänzen sich die beiden Bereiche Datenschutz und Informationssicherheit an vielen Stellen. Jedoch kann es hierbei zu Konflikten kommen – genau wie sich Cousin und Cousine eben auch mal streiten können, bis eine Lösung gefunden wird.

Fallbeispiel: Um die Datensicherheit zu gewährleisten, nutzen viele Unternehmen Protokollierungsverfahren zur Aufzeichnung der virtuellen Bewegungen und Zugriffe der Mitarbeiter. Hierbei handelt es sich jedoch um persönliche Daten, die nur mit Zustimmung erhoben werden dürfen.

Synergien: Die Schnittmenge von Informationssicherheit und Datenschutz

Auch, wenn es stellenweise zu Konflikten kommt, so überwiegen jedoch die Synergien und Gemeinsamkeiten. Besonders deutlich wird dies bei der Einbeziehung der ISO 27001 bzw. ISO 27701. In dieser Norm geht es vordergründig um die Informationssicherheit, jedoch kommt es zu großen Überschneidungen mit dem Datenschutz. Hierbei besonders zu bemerken sind die gemeinsamen Ziele, die einerseits in Art. 32 DSGVO und andererseits in der genannten ISO fast identisch sind:

  1. Es gilt, die gemeinsamen Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit sicherzustellen.
  2. Es sollen technische und organisatorische Maßnahmen (TOM) gemäß dem Stand der Technik implementiert werden.
  3. Es soll ein angemessenes Risikomanagement erfolgen und Wahrscheinlichkeiten, Schadenshöhe und Bedeutung von Risiken abgewogen werden.

Durch ein gemeinsames Sicherheitsmanagement wird eine zentrale Steuerung aller Maßnahmen im Bereich der Informationssicherheit und des Datenschutzes gewährleistet. Durch die Konzentration an einer organisatorischen Stelle lassen sich auch mögliche Konflikte schneller erkennen und lösen.

Ein Wort zum Risikomanagement

Bitte machen Sie sich stets bewusst, dass im Bereich der IT Murphys Gesetz immer wieder zutrifft. Der US-amerikanische Ingenieur Edward A. Murphy Jr. konstatierte: „Alles, was schiefgehen kann, wird auch schiefgehen“. Über die Zeit wächst einfach die Wahrscheinlichkeit, dass Probleme und Datenlecks entstehen. Regelmäßige Tests und Audits der einzelnen Systeme helfen dabei das Risiko gering zu halten.

Fazit – Wie Specops hier weiterhelfen kann!

Ein System ist immer nur so gut, wie sein schwächstes Glied. Ohne Zweifel können Passwörter genau diese Schwachstelle sein. Leider sind weiterhin zu viele Kennwörter viel zu schwach und können auf sehr einfache Weise geknackt oder gar erraten werden. Dies gefährdet selbstverständlich die Informationssicherheit und möglicherweise auch den Datenschutz.

Daher ist es besonders wichtig als Erstes mit der Stärkung der Passwörter und einer angemessenen Benutzerauthentifizierung zu beginnen. Darauf können dann weiteren Maßnahmen aufgebaut werden. Beginnen Sie hierbei mit einem Audit Ihrer Passwortrichtlinien in Active Directory und prüfen Sie gleichzeitig Ihre Benutzerkonten auf kompromittierte Kennwörter.

Eine modernes Tool, wie Specops Password Policy, zur Umsetzung von Kennwortrichtlinien erfüllt aber nicht nur die Empfehlungen von Behörden wie BSI, NIST, CJIS, NCSC, ANSSI oder CNIL, sondern blockiert auch aktiv kompromittierte Passwörter. So haben Sie schon einmal einen entscheidenden Basisschutz gegen Datenlecks, selbst wenn ein Passwort trotz der Passwortrichtlinien kompromittiert sein sollte. Auf diese Weise setzen Sie stets die neuesten Empfehlungen der Sicherheitsbehörden an die Passwortsicherheit effizient und sehr einfach um.

Dabei werden die User mit dynamischen Feedback und Möglichkeiten zu längenbasierten Ablaufdaten von Kennwörtern voll in den Prozess integriert und wissen genau, welche Anforderungen an das Passwort gestellt werden – und das in verschiedenen Sprachen. Dies hilft dabei Ihre Passwortrichtlinien zu kommunizieren und reduziert so unnötige Anfragen am IT-Helpdesk.

(Zuletzt aktualisiert am 03/01/2023)

Tags: , , , ,

Zurück zum Blog

Related Articles

  • Alles über Passwort Entropie

    Dieser Artikel befasst sich damit, wie wir die Entropie für Passwörter in Specops Password Auditor berechnen. Was ist Entropie? Die Entropie ist ein Konzept, dass der Informationstheorie entlehnt ist. Im Hinblick auf Passwörter lässt sich die Entropie wie folgt zusammenfassen: Wie viele Versuche wären nötig, um ein Passwort mit Brute-Force-Raten zu erraten? In Specops Password…

    Read More
  • Die 7 wichtigsten Trends im Bereich Cybersicherheit 2022

    Für Unternehmen, die sich 2022 mit vielfältigen Bedrohungen auseinandersetzen müssen, ist das Thema Cybersicherheit zu einer Top-Priorität geworden. Da Unternehmen weiterhin ihre Sicherheitsmaßnahmen aufgrund einer sich stets wandelnden Bedrohungslandschaft anpassen müssen, zeichnen sich im Bereich der Cybersicherheit viele Trends ab. Die Herausforderungen könnten nicht größer sein, denn es werden immer neue Bedrohungen entwickelt und bestehende…

    Read More
  • Sichere Passwortverwaltung: Den Überblick behalten

    Wie können potenzielle Sicherheitsrisiken mit modernen Passwortrichtlinien und einer leistungsfähigen Software zur Passwortverwaltung verhindert werden?

    Read More