Bedeuten Informationssicherheit, Datenschutz und IT-Compliance eigentlich das gleiche? Oder gibt es hierbei gravierende Unterschiede? Wir erklären es.
Drei IT-Fachbegriffe und ihre Bedeutung
Im täglichen (Berater-)Leben geraten wir immer wieder in spannende Diskussionen, in denen grundlegende Begriffe durcheinander geworfen werden. Wir erläutern daher in diesem Beitrag die folgenden drei Begrifflichkeiten:
-
- Datenschutz
- Informationssicherheit
- Compliance / IT-Compliance
Begriffsdefinition
Was bedeutet … ?
Datenschutz
Datenschutz ist ein Grundrecht. Die folgenden zwei Zitate aus der Zielsetzung der europaweit geltenden Datenschutz-Grundverordnung (DS-GVO) zeigen das:
“Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.”
“Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.”
Quelle EU DS-GVO Artikel 1, siehe Gesetzestext EU DS-GVO
Definition: Personenbezogene Daten
“(…) personenbezogene Daten [sind] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden “betroffene Person”) beziehen; Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann (…)”
Quelle: EU DS-GVO Artikel 4, siehe Gesetzestext EU DS-GVO
Informationssicherheit
Die Informationssicherheit befasst sich mit technischen und organisatorischen Maßnahmen zur Sicherstellung von Vertraulichkeit, Verfügbarkeit und Integrität von – im einfachsten Fall – Daten in beliebigen EDV-Systemen. In der Wikipedia wird die Informationssicherheit folgendermaßen beschrieben:
“Als Informationssicherheit bezeichnet man Eigenschaften von informationsverarbeitenden und -lagernden (technischen oder nicht-technischen) Systemen, die die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen. Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken.”
Quelle: Wikipedia
IT-Compliance
Frei nach Wikipedia bedeutet IT-Compliance:
“IT-Compliance beschreibt in der Unternehmensführung die Einhaltung der gesetzlichen, unternehmensinternen und vertraglichen Regelungen im Bereich der IT-Landschaft.”
Die IT-Compliance fasst die auf den IT-Betrieb einwirkenden Gesetzgebungen (DS-GVO und weitere Regularien) und die sich daraus ergebenen Anforderungen zusammen. Und sie macht diese für den IT-Betrieb transparent.
Weitere Gesetze, die Anforderungen für die IT enthalten, sind unter anderem:
-
- KonTraG: Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
- GoBD: Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff durch die Finanzverwaltungen
- HGB: Handelsgesetzbuch
- Basel II: Die Eigenkapital-Vorschriften, die vom Basler Ausschuss für Bankenaufsicht vorgeschlagen wurden
- Solvency II: EU-Richtlinie für Versicherungsunternehmen
- (Konzern-)Betriebsvereinbarungen als Beispiel für interne, verbindliche Regelungen
Zusammenfassung: Das bedeuten Informationssicherheit, Datenschutz und Compliance
Der Datenschutz hat das Ziel, Grundrechte von Menschen und die Menschen an sich zu schützen, wenn personenbezogene Daten im Rahmen jedweder Vorgänge verarbeitet werden. Die DS-GVO bildet neben anderen Gesetzen (TMG, TKG, StGB, KuG, SGB, etc.) den formalen Rahmen.
Die Informationssicherheit befasst sich konkret mit den technischen und organisatorischen Maßnahmen zur Einhaltung der Vorgaben. Diese Vorgaben können sich aus der Einhaltung von gesetzlichen Regelungen, Verträgen mit Kunden/Lieferanten sowie Unternehmens-internen Regelungen (IT-Compliance) ergeben. Grundsätzlich sind die Maßnahmen auf dem “Stand der Technik” umzusetzen.
Technische Maßnahmen inklusiver der damit erreichten Schutzziele sind zum Beispiel:
-
- Die Verschlüsselung von Daten zur Wahrung der Vertraulichkeit (“Confidentiality”)
- Signaturen zur Wahrung der Integrität (“Integrity”)
- Penetrations-Tests zur Sicherstellung der Belastbarkeit (“Resilience”)
- Log-Datei-Speicher und Auswertungen darüber zur Sicherstellung von Transparenz und Nachvollziehbarkeit
- Pseudonymisierung von personenbezogenen Daten zur Wahrung der Vertraulichkeit
Organisatorische Maßnahme sind zum Beispiel:
-
- Weiterbildungen von Mitarbeitern in verschiedensten Bereichen, zum Beispiel im Umgang mit Wechseldatenträgern oder dem Verhalten bei einem Viren-Fund
- Etablierung von regelmäßigen Sicherheitsprüfungen bspw. auf Basis von Fragebögen
Dass Informationssicherheit bzw. IT-Security ein aktuelles und wichtiges Thema sind, zeigt die aktuelle Situation auf: Ein beträchtlicher Teil der deutschen Unternehmen sind betroffen von Hacker-Angriffen und “Datenabfluss”. Zahlen, Fakten und Maßnahmen dagegen erhalten Sie in unserem Beitrag “Informationssicherheit: Darum ist sie dieses Jahr wichtiger denn je“.
Was können wir für Sie tun?
Benötigen Sie Unterstützung bei der sicheren Konfiguration von Systemen nach dem “Stand der Technik”? Oder eine Bewertung der Sicherheitsmaßnahmen nach der DS-GVO? Kontaktieren Sie uns!