pe3check - stock.adobe.com

Wichtige Faktoren beim Datenschutz in Zeiten der DSGVO

Wenn es um den Schutz von Daten geht, gibt es immer wieder Verständnisprobleme. Welche Bedeutung versteckt sich jeweils hinter Datensicherheit, Zugriffskontrollen und Datenschutz?

Das Streben nach effektiven Richtlinien und Vorgehensweisen zum Schutz sensibler Daten in Unternehmen hat durch zwei Ereignisse der vergangenen Monate einen deutlichen Schub nach vorne erhalten. So ist die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) seit Mai 2018 in allen Unternehmen umzusetzen, die personenbezogene Daten von EU-Bürgern verarbeiten oder speichern. Außerdem wurde vor ein paar Monaten bekannt, dass persönliche Daten von 87 Millionen Facebook-Nutzern während des Präsidentschaftswahlkampfes in den USA 2016 mit der Analysefirma Cambridge Analytica geteilt wurden.

Auch in Anbetracht des Trends, dass immer mehr Unternehmen CDI-Prozesse (Customer Data Integration) mit modernen Analyse-Applikationen kombinieren, wird der Datenschutz immer wichtiger. Selbst wenn einzelne Datenquellen keine geschützten personenbezogenen Daten enthalten, kann doch die Zusammenführung von Informationen aus verschiedenen Bereichen dazu führen, dass Daten freigelegt werden, die besonders geschützt werden müssen.

Die gestiegenen Ansprüche an den Schutz sensibler Daten beschäftigen alle Menschen intensiv, die tagtäglich in Unternehmen mit Datensätzen umgehen. Viele von ihnen wurden jedoch nicht ausreichend in den Besonderheiten eines modernen Datenschutzes geschult. Aus diesem Grund ist es nicht verwunderlich, dass es immer wieder zu Verständnisproblemen kommt, wenn es um die dabei verwendete Terminologie geht. Das betrifft sowohl die Richtlinien, als auch die Prozesse und Technologien, die zum Schutz vor unerwünschten Zugriffen auf personenbezogene Daten genutzt werden. Insbesondere bei den Begriffen Datensicherheit, Zugriffskontrollen und Datenschutz, die in diesem Zusammenhang am häufigsten genutzt werden, wird oft angenommen, dass sie weitgehend dasselbe bedeuten. Das ist jedoch nicht der Fall. Es gibt ein paar wesentliche Unterschiede bei der Kontrolle und dem operativen Betrieb dieser Maßnahmen, die jeder Mitarbeiter kennen sollte, der mit IT-Sicherheit befasst ist.

Datensicherheit

Der Begriff Datensicherheit bezieht sich auf den konkreten Schutz der Datensätze. Dazu gehört nicht nur, sicherzustellen, dass die Personen oder Anwendungen, die auf bestimmte Daten zugreifen wollen, auch wirklich die sind, als die sie sich ausgeben. Auch Virenschutz und Firewalls gehören zu diesem Bereich.

Methoden zur Authentifizierung wie die bekannten Kombinationen aus Benutzername und Passwort oder auch biometrische Informationen, zum Beispiel ein Fingerabdruck oder der Scan der Iris, werden genutzt, um die Identität eines Anwenders zu überprüfen. Außerdem können weitere Richtlinien in einem Unternehmen festgelegt werden, um den Zugriff und die Nutzung sensibler Daten zu begrenzen. Nicht zuletzt gehören auch verschlüsselte Backups wichtiger Daten und die anschließende Löschung von Rohdaten zum Bereich Datensicherheit.

Zugriffskontrolle

Bei den Zugriffskontrollen für die Daten geht es dagegen um Autorisierung, also um das Definieren und Verwalten spezifischer Rollen im Unternehmen mit unterschiedlichen Zugriffsrechten. Diese Kontrollen werden genutzt, um die verschiedenen Rollen für Einzelpersonen, Gruppen oder Anwendungen festzulegen und zu verwalten. Sie besagen, wer auf die Inhalte der gespeicherten Datensätze zugreifen darf. Unter anderem lassen sich mit diesen Methoden auch die Umstände und Zeiträume festlegen, unter denen bestimmte Daten genutzt werden dürfen.

Darüber hinaus können Zugriffskontrollen auch verwendet werden, um zu protokollieren, wer versucht hat, auf bestimmte Daten zuzugreifen, ob dies zugelassen wurde und welche Inhalte dabei eingesehen und möglicherweise verändert wurden.

Datenschutz

Der eigentliche Datenschutz soll verhindern, dass sensible Daten in fremde Hände gelangen, wenn die anderen Sicherheitsmaßnahmen gehackt oder anderweitig umgangen wurden. Beispiele für diese Art von Datenschutz sind etwa die Verschlüsselung von ruhenden Daten. Dabei werden die gesamten vorhandenen Daten in ein nicht lesbares Format umgewandelt. Eine alternative Methode ist das Maskieren von Daten. Hier werden bestimmte Werte in den Daten so verändert, dass sie den Originalwerten ähneln, aber nicht mehr entsprechen. Es entstehen dabei also zumindest teilweise gefälschte Daten, die den Angreifern keinen Nutzen bringen. Wichtig ist bei diesen Methoden, dass eine genutzte Verschlüsselung auch wieder rückgängig gemacht werden kann. Es muss also möglich sein, dass die verschlüsselten Daten später wieder in ihre ursprüngliche Form transformiert werden können. Beim Maskieren ist das nicht der Fall. Solcherart bearbeitete Daten müssen nicht wiederherstellbar sein.

Datensicherheit, Zugriffskontrolle und Datenschutz sind drei wichtige Säulen beim Schutz sensibler Daten.
Abbildung 1: Datensicherheit, Zugriffskontrolle und Datenschutz sind drei wichtige Säulen beim Schutz sensibler Daten.

Alle drei der hier beschriebenen Konzepte werden eingesetzt, um sensible Daten effektiv zu schützen. Datensicherheit wird benötigt, um technische Barrieren zu errichten und um Daten etwa vor Hackern zu schützen, die personenbezogene oder andere Geschäftsdaten enthalten. Zugriffskontrollen werden genutzt, um sicherzustellen, dass im Unternehmen nur autorisierte Personen und Applikationen die Inhalte der Daten einsehen können. Methoden wie Verschlüsselung und das Maskieren von Daten dienen letztlich dann dazu, zu verhindern, dass eventuell doch in fremde Hände gelangte sensible Daten von den Angreifern genutzt werden können. Sie sind also wichtig, wenn die Sicherheitsbarrieren versagt haben und nicht autorisierte Anwender Zugriff auf die gespeicherten Daten erlangen konnten.

IT-Verantwortliche müssen darüber hinaus die wichtigsten Regelungen kennen, die beim Zugriff auf sensible Daten gelten. Wenn es etwa um personenbezogene Daten geht, können Sie sich auf die Vorgaben der Datenschutz-Grundverordnung der EU stützen: Personenbezogene Daten sind alle Daten, die sich auf ein Individuum beziehen lassen, das auch über nur einen einzigen Wert in den Daten identifiziert werden kann. Dazu gehören zum Beispiel der Name, Identifikationsnummern, E-Mail-Adressen sowie der Wohnort. Jeder Datensatz, der eine Information enthält, die als personenbezogen eingestuft werden kann, wird damit zu einem besonders schützenswerten Objekt. Die Daten müssen dann mit den weiter oben beschriebenen Maßnahmen geschützt werden. So kann verhindert werden, dass sie missbraucht werden.

Es gibt aber noch andere Punkte, die es zu beachten gilt, wenn es um den Schutz sensibler Daten geht. Sind es etwa Daten, die im Zusammenhang mit dem Anwaltsgeheimnis stehen? Wurden sie als geheim eingestuft oder sind es Daten über besonders wichtige geistige Eigentümer? Dazu kommen aber auch alle Informationen über die eingesetzten Methoden zum Schutz dieser Daten. Auch sie bedürfen eines besonderen Schutzes. Das Entwickeln von Richtlinien, die bestimmen, wie wichtig oder unwichtig bestimmte Daten sind, ist ein weiterer wichtiger Schritt in diese Richtung. So kann ein Unternehmen leichter verhindern, dass seine schützenswerten Daten gestohlen oder anderweitig missbraucht werden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

DSGVO: Was sind eigentlich personenbezogene Daten?

Die Datenschutz-Grundverordnung und die Verschlüsselung von E-Mails

Kostenloses E-Handbook: Das müssen Firmen zur DSGVO wissen

Erfahren Sie mehr über Datensicherheit