Unterschied zw. IT-Sicherheit, Datensicherheit, Datenschutz & Informationssicherheit

it-sicherheit 09
Fachbeitrag

Datenschutz, Datensicherheit, Informationssicherheit oder IT-Sicherheit: Viele Begriffe, die sich unterscheiden und doch oft falsch verwendet werden. In dem heutigen Artikel klären wir über den Unterschied auf und zeigen klassische Schutzziele und Bedrohungen.

Klare Definition der Begriffe nicht möglich

Die Frage nach dem Unterschied der einzelnen Begrifflichkeiten wird oft (vor allem bei Mitarbeiterschulungen) gestellt. Gleichwohl ist eine exakte Abgrenzung und eine klare Definition der Begriffe nicht möglich, da diese je nach Verfasser und Kontext unterschiedlich interpretiert werden können. Trotz der fehlenden einheitlichen Definitionen soll die folgende Abgrenzung als Orientierung dienen:

Datenschutz

Bei dem Datenschutz geht es um den Schutz der Privatsphäre eines jeden Menschen. Datenschutz garantiert jedem Bürger ein Recht auf informationelle Selbstbestimmung und schützt ihn vor missbräuchlicher Verwendung seiner Daten. Für die Verarbeitung personenbezogener Daten gibt es Regeln, die hauptsächlich im BDSG bzw. den Datenschutzgesetzen der Länder niedergelegt sind. Hier wird also danach gefragt, ob personenbezogene Daten überhaupt verarbeitet werden dürfen.

Datensicherheit

Im Unterschied zum Datenschutz befasst sich die Datensicherheit mit dem Schutz von Daten, unabhängig davon ob diese einen Personenbezug aufweisen oder nicht. Unter den Begriff Datensicherheit fallen daher grundsätzlich auch Daten, die keinen Personenbezug haben (also auch geheime Konstruktionspläne) sowohl digital als auch auch analog (z.B. auf Papier).

Datensicherheit soll Sicherheitsrisiken begegnen und die Daten vor z.B. Manipulation, Verlust oder unberechtigter Kenntnisnahme schützen. Hier geht es also nicht um die Frage, ob Daten überhaupt erhoben und verarbeitet werden dürfen (das ist eine Frage des Datenschutzes), sondern um die Frage, welche Maßnahmen zum Schutz der Daten erhoben werden müssen. Die Datensicherheit ist im Kontext des Datenschutzes gemäß § 9 BDSG (inkl. Anlage) durch Umsetzung geeigneter technischer und organisatorischer Maßnahmen zu gewährleisten.

Informationssicherheit

Weiterhin gibt es den Begriff der Informationssicherheit, der vor allem in den IT-Grundschutzkatalogen des BSI oder in der ISO 27001 zu finden ist und den Schutz von Informationen als Ziel hat. Dabei ist hier ebenfalls unerheblich, ob es sich um digitale oder analoge Informationen handelt und ob diese einen Personenbezug haben. Teilweise wird die Datensicherheit als ein Teil der Informationssicherheit angesehen, da Letzteres umfassender ist.

IT-Sicherheit

Auch die IT-Sicherheit ist ein Teil der Informationssicherheit und bezieht sich auf elektronisch gespeicherte Informationen und IT-Systeme. Dabei wird unter IT-Sicherheit nicht nur der Schutz der technischen Verarbeitung von Informationen verstanden. Vielmehr fällt auch die Funktionssicherheit darunter, also das fehlerfreie Funktionieren und die Zuverlässigkeit der IT-Systeme.

Schutzziele der Daten-, Informations- und IT-Sicherheit

Um die Angriffe auf Daten / Informationen, Systeme oder Kommunikationswege besser beschreiben zu können, werden Schutzziele in unterschiedliche Kategorien unterteilt. In diesem Artikel wird zwischen Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit unterschieden, wobei auch andere Kategorisierungen anzutreffen sind.

Vertraulichkeit

Vertraulichkeit bedeutet, dass Daten nur befugten Personen zugänglich zu machen sind. Bedroht sind nicht nur die Daten selbst sondern auch z.B. Systeme, Konfigurationen. Ein Angriff auf die Vertraulichkeit stellt die unbefugte Informationsgewinnung dar (z.B. durch das Ausspähen der login-Daten durch einen Unbefugten). Bei der Vertraulichkeit müssen Sicherheitsmaßnahmen erhoben werden, damit ein unbefugter Zugriff auf gespeicherte als auch auf übermittelte Daten verhindert werden kann.

Integrität

Integrität bedeutet, dass Daten / Systeme korrekt, unverändert bzw. verlässlich sind. Ein Angriff auf die Integrität wäre z.B. die Verfälschung der Daten, wenn der Empfänger eine andere Nachricht erhält, als vom Sender abgeschickt. Die Integrität ist aber auch dann tangiert, wenn Soft- oder Hardware fehlerhaft arbeitet und falsche Ergebnisse liefert (und damit unverlässlich ist). Damit kann ein Angriff nicht nur absichtlich sondern auch versehentlich durch Software- oder Bedienungsfehler erfolgen.

Verschickt ein Händler einen Kaufauftrag an einen Kunden, sollte dies auf einem verschlüsselten Weg erfolgen, damit unterwegs kein Dritter den Kaufauftrag in einen Verkaufsantrag ändern kann.

Authentizität

Authentizität bedeutet die Echtheit, Zuverlässigkeit und Glaubwürdigkeit einer Mitteilung. Ein Angriff auf die Authentizität stellt die unbefugte Erzeugung von Nachrichten dar, z.B. unter einer falschen Identität. Typische Beispiele sind das Bestellen von Waren unter einem falschen Namen oder das Ausgeben eines Kriminellen als Bankmitarbeiter. Zudem muss auch die Authentizität von IT-Systemen gewährleistet sein (z.B. im elektronischen Zahlungsverkehr).

Hierzu gehört auch die Verbindlichkeit, d.h. dass ein unzulässiges Abstreiten des Absenders oder Empfängers einer Information verhindert werden soll. Der Empfänger soll also beweisen können, dass die Information tatsächlich von dem berechtigten Absender stammt (wie z.B. bei einer qualifizierten elektronischen Signatur die eine eigenhändige Unterschrift ersetzt). Darüber hinaus kann aber auch der Sender beweisen, dass die Nachricht beim Empfänger angekommen ist (wie bei einem Einschreiben mit Rückschein).

Verfügbarkeit

Verfügbarkeit bedeutet, dass Daten und IT-Systeme zur Verfügung stehen und von autorisierten Personen genutzt werden können, wenn dies benötigt wird. Eine unbefugte Unterbrechung z.B. durch Serverausfall oder Ausfall von Kommunikationsmitteln stellt einen Angriff auf die Verfügbarkeit dar.

Alle oben genannten Schutzziele dürfen nicht isoliert betrachtet werden, da sie ineinander greifen und sich gegenseitig bedingen. Dabei sollte jedes Unternehmen selbst die Gewichtung einzelfallabhängig vornehmen.

5 Kommentare zu diesem Beitrag

  1. @Agnieszka Czernik:

    Was ist ein “Bedingungsfehler”? ;-)

    Ansonsten kann ich noch ein anschauliches Beispiel beisteuern. Gerade (unbedarfte) Mitarbeiter kann man damit in Schulungen gut abholen.

    Datenschutz = Darf der Arbeitgeber Daten zum Sexualverhalten seiner Mitarbeiter erheben und verarbeiten? (Natürlich nicht! Datenschutz!)

    Datensicherheit = Sind die Daten zum Sexualverhalten der Mitarbeiter so “sicher” gespeichert, dass “nur” der Arbeitgeber darauf zugreifen kann? (Zugriff “nur” für “Befugte”!)

  2. Eine sehr gute Aufstellung wie ich meine. Schon seit einigen Jahren fasse ich in meinen Seminaren Datenschutz und Informationssicherheit zusammen. Wobei die Informationsssicherheit mindestens genauso wichtig, wenn nicht wichtiger als der Datenschutz ist. Aus zwei Gründen, es z. B. um sensible Daten die nicht an Unbefugte gehen dürfen, Stichwort Werkspionage. Zum Zweiten um das “Verkaufen” von Sicherungsmaßnahmen durch den DSB der Geschäftsleitung. Salopp gesagt meine ich damit, die GL gibt zum Beispiel nur unter Zwang Geld zum Schutz persönlicher Daten aus, aber wenn der DSB klar darstellen kann es geht z. B. um Informationen aus der F&E und damit Letzt endlich um den Fortbestand der Firma, dann dürfte das Budget eher freigegeben werden. Wichtig ist mir auch immer daraufhin zu weisen: Nicht nur auf die IT schauen! Gebäude, Zugänge usw gehören auch zur Datensicherheit.
    Richtig interessant und spannend für die verantwortliche Stelle wird es, wenn die GL mit Industrie 4.0 anfängt! Dann betritt der Admin wirklich Neuland: CNC Maschinen, Roboter usw usw, also Systeme mit einem “PC-Anteil” die in ein Netzwerk eingebunden werden müssen. Viel Spass.

  3. Datenschutz benötigt Informationssicherheit
    Datenschutzziele können oft nur mittels des Einsatzes von Informationssicherheitsmaßnahmen erreicht werden.
    Informationssicherheit unterstützt Datenschutz
    Die Absicherung von Informationen schützt natürlich auch personenbezogene Daten.

    Datenschutz ist ein Stakeholder der Informationssicherheit und stellt daher Anforderungen an sie. Umgekehrt ist das nicht der Fall! Es ist also eine klare Hierarchie zu erkennen, ähnlich der Informationssicherheit und der IT. Dementsprechend sollen auch die Rollen des Datenschutzbeauftragten und die des Informationssicherheits-Managers getrennt besetzt werden.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.