Clement
Aus ProgrammingWiki
Unterschiede zwischen Datenschutz, Datensicherheit, Informationssicherheit und IT-Sicherheit – Wieso Datensicherheit dem Datenschutz schaden kann?
Datenschutz, Datensicherheit, Informationssicherheit oder IT-Sicherheit: Begriffe, die sich stark unterscheiden, aber oft fälschlicherweise als Synonyme verwendet werden.
Warum eine klare Definition der Begriffe nicht möglich ist?
Eine exakte Abgrenzung und klare Definition ist nicht möglich, weil diese sich je nach Verfasser und Kontext unterscheiden. Trotzdem gibt es einheitliche Definitionen, welche der Abgrenzung dienen.
einheitliche Definitionen
Datenschutz
Beim Datenschutz geht es in erster Linie um den Schutz der Privatsphäre eines jeden Menschen und um den Schutz von personenbezogenen Daten, wobei der Schwerpunkt nicht der Inhalt/die Bedeutung der Daten ist, sondern die informationelle Selbstbestimmung. Falls die Daten einen Personenbezug aufweisen, dann spricht man von personenbezogenen Daten. Diese können direkt, zum Beispiel der Name, oder indirekt sein, z.B. die Telefonnummer, welche unter Einbezug einer anderen Informationsquelle, einer bestimmten Person zugeordnet werden kann. Der Datenschutz garantiert jedem Bürger ein Recht auf informationelle Selbstbestimmung und schützt ihn vor missbräuchlicher Verwendung seiner Daten. Für die Verarbeitung dieser personenbezogener Daten gibt es Regeln und Gesetze, die hauptsächlich im Bundesdatenschutzgesetz (BDSG) bzw. den Datenschutzgesetzen der Länder niedergelegt sind. Der Datenschutz hinterfragt, ob Daten überhaupt verarbeitet werden dürfen?
Datensicherheit
Im Unterschied zum Datenschutz befasst sich die Datensicherheit mit dem Schutz von Daten, unabhängig davon ob diese einen Personenbezug aufweisen oder nicht. Unter den Begriff Datensicherheit fallen daher grundsätzlich auch Daten, die keinen Personenbezug haben (also auch geheime Konstruktionspläne) sowohl digital als auch auch analog (z.B. auf Papier).
Datensicherheit soll Sicherheitsrisiken begegnen und die Daten vor z.B. Manipulation, Verlust oder unberechtigter Kenntnisnahme schützen. Hier geht es also nicht um die Frage, ob Daten überhaupt erhoben und verarbeitet werden dürfen (das ist eine Frage des Datenschutzes), sondern um die Frage, welche Maßnahmen zum Schutz der Daten erhoben werden müssen. Der Datenschutz ist sozusagen "die Theorie" und die Datensicherheit "die Praxis", welche den Datenschutz umsetzt. Die Datensicherheit beschäftigt sich mit der Frage, was im Bereich des Datenschutzes möglich ist und bildet somit das Gegenstück zu ihm, da ansonsten keine Daten geschützt, sondern nur Vorschriften formuliert werden. Sie ist im Kontext des Datenschutzes gemäß § 9 BDSG durch Umsetzung geeigneter technischer und organisatorischer Maßnahmen zu gewährleisten.
Unterschiede
| Datensicherheit | Datenschutz |
| Schutz von Daten | Schutz vor Datenmissbrauch und -pannen (Grundsätze der Datensparsamkeit, Zweckbindung) |
| Schutz aller Daten | Schutz personenbezogener Daten |
| Schutz vor Verlust, Zerstörung, Missbrauch, Zugriff durch Unberechtigte | Schutz der informationellen Selbstbestimmung (Privatsphäre) |
| Technische Maßnahmen / Lösungen | Gesetzliche Vorschiften |
| Praxis: Bei der Datensicherheit geht es unter anderem um die Umsetzung der Anforderungen des Datenschutzes, wobei der praktische Ansatz, „Was ist möglich?“, verfolgt wird. | Theorie: Beim Datenschutz wird der theoretische Ansatz „Was soll erfüllt werden?“ verfolgt werden. |
Informationssicherheit
Des Weiteren gibt es den Begriff der Informationssicherheit, der vor allem in den IT-Grundschutzkatalogen des BSI (Bundesamt für Sicherheit und Informationstechnik) zu finden ist und den Schutz von Informationen als Ziel hat. Hervorzuheben ist zunächst, dass dieser Begriff von Informationen spricht, nicht von Daten, nicht von Systemen und sich auch nicht auf digitale oder elektronische Formen beschränkt. Es spielt auch keine Rolle, ob es personenbezogene Daten sind. Informationen sind interpretierte Daten. Beispielsweise kann eine Zahl n für ein Datum, einen Abstand oder anderes stehen. Das heißt die Zahl n wird erst zu einer Interpretation, wenn ich sie interpretiere.
IT-Sicherheit
Die IT-Sicherheit ist ein Teil der Informationssicherheit und bezieht sich auf elektronisch gespeicherte Informationen und IT-Systeme. Dabei geht es nicht nur um den Schutz von Informationen, sondern auch um die Funktionssicherheit und die Zuverlässigkeit der IT-Systeme.
Schutzziele der Daten-, Informations- und IT-Sicherheit
Um die Angriffe auf Daten/Informationen, Systeme oder Kommunikationswege beschreiben zu können, wurden Schutzziele in unterschiedliche Kategorien unterteilt. Hier wird zwischen Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit unterschieden, allerdings gibt es auch andere Kategorisierungen.
Vertraulichkeit
.. bedeutet, dass Daten nur befugten Personen zugänglich zu machen sind. Ein Angriff auf die Vertraulichkeit stellt die unbefugte Informationsgewinnung dar (z.B. durch das Ausspähen der login-Daten durch einen Unbefugten). Bei der Vertraulichkeit müssen Sicherheitsmaßnahmen erhoben werden, damit ein unbefugter Zugriff auf gespeicherte als auch auf übermittelte Daten verhindert werden kann.
Integrität
.. bedeutet, dass Daten / Systeme korrekt, unverändert bzw. verlässlich sind. Ein Angriff auf die Integrität wäre z.B. die Verfälschung der Daten, wenn der Empfänger eine andere Nachricht erhält, als vom Sender abgeschickt. Die Integrität ist aber auch dann bedroht, wenn Soft- oder Hardware fehlerhaft arbeitet und falsche Ergebnisse liefert. Damit kann ein Angriff nicht nur absichtlich sondern auch versehentlich durch Software- oder Bedienungsfehler erfolgen.
Authentizität
.. bedeutet die Echtheit, Zuverlässigkeit und Glaubwürdigkeit einer Mitteilung. Bedroht ist die Authentizität, wenn unbefugt Nachrichten erzeugt werden, z.B. unter falschen Namen. Typisch für einen Angriff auf die Authentizität ist beispielsweise das Bestellen von Waren unter falscher Identität oder wenn man sich als Bankarbeiter in einer kriminellen E-Mail ausgibt. Des Weiteren muss auch die Authentizität von IT-Systemen gewährleistet sein (z.B. im elektronischen Zahlungsverkehr).
Zu diesem Begriff gehört auch die Verbindlichkeit, d.h. dass ein unzulässiges Abstreiten des Absenders oder Empfängers einer Information verhindert werden soll. Der Empfänger soll also beweisen können, dass die Information tatsächlich von dem berechtigten Absender stammt (wie z.B. bei einer qualifizierten elektronischen Signatur die eine eigenhändige Unterschrift ersetzt). Darüber hinaus kann aber auch der Sender beweisen, dass die Nachricht beim Empfänger angekommen ist (wie bei einem Einschreiben mit Rückschein).
Verfügbarkeit
.. bedeutet, dass Daten und IT-Systeme zur Verfügung stehen und von Personen genutzt werden können, wenn diese dazu autorisiert sind und diese benötigt werden. Eine unbefugte Unterbrechung der Verfügbarkeit kann z.B. durch einen Serverausfall oder Ausfall von Kommunikationsmitteln entstehen.
Alle dieser Schutzziele dürfen nicht getrennt betrachtet werden, da sie ineinander greifen und sich gegenseitig bedingen.
Inwiefern kann die Datensicherheit dem Datenschutz schaden?
Grundsätzlich tragen die Maßnahmen des Datenschutzes zur Datensicherheit bei, aber es gibt auch einige Ausnahmen. Eine dieser ist das Auslagern von Daten in eine Cloud. Das Auslagern von Daten in einen Cloud-Speicher schützt Daten vor Verlust und ist eher förderlich für die Datensicherheit, so verursacht diese Maßnahme zahlreiche Risiken und Probleme in Hinblick auf den Datenschutz. Bei einer Datensicherung in der Cloud, handelt es sich aus Datenschutzrecht bereits um eine Übermittlung, die wieder rum nur erlaubt ist, wenn sie auf einer Rechtsgrundlage oder einer informierten Einwilligung basiert. Hat der Cloud-Anbieter seinen Sitz zudem in einem Drittland, außerhalb der europäischen Union (EU) oder des europäischen Wirtschaftsraums (EWR), so muss die verantwortliche Stelle weitere Maßnahmen umsetzen, so ist üblicherweise ein angemessenes Datenschutzniveau herzustellen.
Quellen
Q1 [1] Q2 [2] Q3 [3] Q4 [4] Q5 [5]
