Datenschutz vs. Datensicherheit vs. Datensicherung – IT-Berufe-Podcast #157

Um den Unterschied zwischen Datenschutz, Datensicherheit und Datensicherung geht es in der einhundertsiebenundfünfzigsten Episode des IT-Berufe-Podcasts.

Probeabo bei Audible (Affiliate)

Datenschutz vs. Datensicherheit vs. Datensicherung

In dieser Episode werden die drei Begriffe zunächst oberflächlich erläutert und abgegrenzt. Über jedes einzelne Thema kann man aber noch im Detail sprechen und Prüflinge müssen sich auch intensiv damit auseinandersetzen.

Die Begriffe klingen zwar sehr ähnlich, sind aber klar voneinander abzugrenzen und insb. in Prüfungen sauber auseinanderzuhalten. In der Novellierung der IT-Berufe im Jahr 2018 wurden die Begriffe Datenschutz und Datensicherheit explizit in den Ausbildungsrahmenplan mit aufgenommen. Und auch in der Neuordnung 2020 gehören sie zum festen Bestandteil der Berufsausbildung in den IT-Berufen.

Datenschutz

  • Datenschutz ist der Schutz personenbezogener Daten natürlicher Personen vor Missbrauch durch Dritte.
  • Personenbezogene Daten sind laut DSGVO „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind“. Beispiele: Name, Adresse, IP-Adresse, Bankdaten, Gesundheitsdaten, Standortdaten.
  • Das Recht auf informationelle Selbstbestimmung sichert jedem Bürger das Recht zu, über die Verwendung seiner Daten selbst zu bestimmen.

Das sogenannte Recht auf informationelle Selbstbestimmung wurde vom Bundesverfassungsgericht im Volkszählungsurteil von 1983 aus dem Grundgesetz abgeleitet. Dort heißt es:

Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt. (Grundgesetz, Artikel 2, Satz 1)

Warum ist das wichtig? Menschen sollen in ihrer persönlichen Freiheit nicht eingeschränkt werden. Sie würden sich aber ggfs. anders verhalten, wenn anderen Menschen (zu) persönliche Daten über sie bekannt wären, wie z.B. Krankheiten oder sexuelle Vorlieben. Außerdem würden viele Menschen sich einschränken, wenn sie befürchten müssten, dass ihr Verhalten protokolliert würde.

Das Grundgesetz gewährleistet jeder Bürgerin und jedem Bürger das Recht, über Verwendung und Preisgabe seiner persönlichen Daten zu bestimmen (Grundrecht auf informationelle Selbstbestimmung). Geschützt werden also nicht Daten, sondern die Freiheit der Menschen, selbst zu entscheiden, wer was wann und bei welcher Gelegenheit über sie weiß. (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit)

Die EU formuliert es noch deutlicher:

Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten. (Grundrechtecharta der EU, Artikel 8, Satz 1)

Seit 2018 gilt die DSGVO, die europaweit strenge Richtlinien zum Datenschutz und auch empfindliche Strafen bei Verstößen definiert.

Prüfungs- und praxisrelevante Inhalte

  • Obige Definitionen, insb. personenbezogene Daten
  • Begründung und Verständnis, warum Datenschutz wichtig ist
  • Kernaussagen der DSGVO
    • Betroffenenrechte: Auskunftsrecht, Berichtigung, Löschung, Datenübertragbarkeit, Widerspruchsrecht
    • Pflichten von datenverarbeitenden Unternehmen, „goldene Regeln“ des Datenschutzes: Rechtmäßigkeit, Einwilligung, Zweckbindung, Erforderlichkeit, Transparenz, Datensicherheit, Kontrolle
  • ggfs. Berücksichtigung des Datenschutzes beim eigenen Abschlussprojekt

Datensicherheit

  • Datensicherheit umfasst alle technischen und organisatorischen Maßnahmen, die dem Schutz von Daten dienen. Dabei handelt es sich nicht nur um personenbezogene Daten. Die Datensicherheit verfolgt die grundlegenden Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit der Daten.
  • Vertraulichkeit der Daten bedeutet, dass nur befugte Personen auf die Daten zugreifen können.
  • Integrität soll die Unversehrtheit der Daten sicherstellen und insb. Manipulation verhindern bzw. vor technischen Defekten schützen.
  • Verfügbarkeit stellt sicher, dass die Daten auch wirklich verwendet werden können, wenn Bedarf besteht.

Bei der Datensicherheit geht es in erster Linie darum, technische Mängel und unerlaubten Zugriff Dritter auf die Daten zu verhindern. Hierzu gibt es eine Reihe technischer Maßnahmen wie z.B. Berechtigungskonzepte, Verschlüsselung und elektronische Signaturen, aber auch organisatorische, wie z.B. Gebäudesicherung oder Zutrittskontrollen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt das sogenannte IT-Grundschutz-Kompendium heraus, das in Deutschland quasi die „Bibel“ der Datensicherheit bzw. Informationssicherheit darstellt. Viele Unternehmen halten sich an die dortigen Vorgaben z.B. zur Komplexität von Passwörtern oder zu verwendenden Verschlüsselungs- oder Hashalgorithmen.

Abgrenzung zum Datenschutz: Datensicherheit umfasst mehr Daten (nicht nur personenbezogene). Datenschutz umfasst mehr Maßnahmen (nicht nur technische).

Prüfungs- und praxisrelevante Inhalte

  • Schutzziele: Vertraulichkeit, Integrität, Verfügbarkeit
  • Technische und organisatorische Maßnahmen (TOM): Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle, Trennung von Daten unterschiedlicher Zwecke
  • konkrete Bedrohungsszenarien und mögliche Gegenmaßnahmen, z.B. SQL-Injection, DDoS, Man-in-the-Middle, Trojaner, Viren, RAID, VPN, (a)symmetrische Verschlüsselung
  • Authentifizierung vs. Authorisierung
  • IT-Grundschutz des BSI
  • Zertifizierungen wie z.B. ISO 27001 und Systeme wie ISMS

Datensicherung

Datensicherung ist quasi das deutsche Wort für Backup und behandelt das Sichern und Wiederherstellen von Daten auf Sicherungsmedien wie Magnetbändern, externen Festplatten oder der Cloud. Es geht hierbei um den Schutz vor Datenverlust. Die Datensicherung ist daher ein Teil der Datensicherheit, der sich um das Schutzziel Verfügbarkeit kümmert.

  • Datenverlust kann durch technische Defekte (z.B. Erschütterung, Überspannung, Stromausfall) verursacht werden, aber auch durch böswillige Aktionen von Mitarbeitern oder externen Angreifern.
  • Bei der Datensicherung müssen geeignete Sicherungsmedien ausgewählt und sinnvolle Verfahren für die Identifikation schützenswerter Daten und die konkrete Sicherung inkl. Wiederherstellungsszenarien angewendet werden.
  • Dabei sind verschiedene Kriterien wie Sicherungs- und Wiederherstellungsdauer, Kosten und Langlebigkeit der Medien und zu sichernde Datenmengen zu berücksichtigen.
  • Bei der Bewertung der zu schützenden Daten müssen Kriterien wie ihr Wert für das Unternehmen bzw. den Besitzer, die Änderungshäufigkeit oder gesetzliche Anforderungen berücksichtigt werden.
  • Aber auch die Verschlüsselung der Daten kann nötig sein, wenn Medien extern aufbewahrt werden (z.B. in einer Bank), und auch die Kompression der Daten ist von Interesse, um Speicherplatz zu sparen.

Prüfungs- und praxisrelevante Inhalte

  • Backup-Medien wie Bänder, CDs, Cloud unterscheiden und auswählen
  • Backup-Arten: inkrementell/differentiell/Vollsicherung, Großvater/Vater/Sohn, hot/cold
  • Identifikation schützenswerter Daten: maschinell/manuell wiederherstellbar, unersetzlich
  • mögliche Gründe für Datenverluste und Gegenmaßnahmen

Literaturempfehlungen

Diese beiden „klassischen“ Romane passen gut zum Oberthema Datenschutz.

Links

Stefan Macke
Polyglot Clean Code Developer
About the Author
Ausbildungsleiter für Fachinformatiker Anwendungsentwicklung und Systemintegration, IHK-Prüfer und Hochschuldozent für Programmierung und Software-Engineering.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

To create code blocks or other preformatted text, indent by four spaces:

    This will be displayed in a monospaced font. The first four 
    spaces will be stripped off, but all other whitespace
    will be preserved.
    
    Markdown is turned off in code blocks:
     [This is not a link](http://example.com)

To create not a block, but an inline code span, use backticks:

Here is some inline `code`.

For more help see http://daringfireball.net/projects/markdown/syntax