IT Security, Informationssicherheit und Datenschutz Einführung und Begriffsklärung (Teil 1)

Do, 11. November 2021, Norbert Rüthers

Ich möchte an dieser prominenten Stelle eine Lanze für IT Security und Datenschutz brechen. Diese Artikelreihe entspricht meiner persönlichen Erfahrung, Ausbildung, und auch meiner persönlichen Meinung. Aufgrund des Umfangs und der Komplexität der Thematik kann ich noch nicht sagen, wie viele Teile dieser Artikel haben wird.

Ich kann es nicht mehr hören, wenn mir angesichts der vergangenen und aktuellen massiven Einbrüche namhafter IT Monstren wie Google, Amazon, Facebook und Apple in die Privatsphäre immer noch viele Leute sagen: "Ach ich habe doch nichts zu verbergen, DIE wissen doch eh schon alles über uns".

Das ist leider wahr, DIE wissen sehr viel über uns, und zwar mehr als unsere engsten Freunde.

Wenn dann noch politische Entscheidungen gefällt werden, dass die Daten offizieller und vom Steuerzahler bezahlter Apps von eben diesen Datenkraken verarbeiten lassen kriege ich "einen Hals". Ich bezweifle das GAIA-X daran etwas ändern wird. Zu gross sind die Verflechtungen und Abhängigkeiten.

Als 2013 Edward Snowden zum Whistleblower wurde und wochenlang ein Aufschrei durch die Medien ging, hatte ich die Hoffnung, dass sich nun, wo die Praktiken bekannt wurden, etwas zum Besseren wenden würde. Politiker wiegelten daraufhin das Problem fleissig ab, um kurz danach festzustellen, dass z.B. ihr eigenes Diensthandy abgehört wurde.

Aber ebenso schnell wie der Volkszorn aufflammte, so verebbte er auch schon wieder, um erneut in alte Gewohnheiten zurückzufallen. Man googelte munter weiter, bestellte bei Amazon und erzählte es seinen Bekannten über Facebook und WhatsApp. Sehr traurig eigentlich, wo doch dieser Mann definitiv sein bisheriges Leben dafür geopfert hat, um genau das zu ändern und seitdem im russischen Exil leben muss, weil kein anderer sich traut ihn aufzunehmen.

Aber nicht nur im privaten Umfeld ist das Bewusstsein um Datenschutz und IT-Security noch nicht in den Köpfen der Menschen angekommen. Auch bei kleinen und mittleren Firmen und ja, auch bei grossen Unternehmen und deren Mitarbeitern mangelt es oft an diesem so wichtigen Bewusstsein.

Aber zunächst einmal sollten die Begriffe geklärt werden. Was unterscheidet IT-Security und Datenschutz und was haben sie gemeinsam? IT-Security und IT-Sicherheit werden verwirrender Weise oft synonym genannt, was stimmt. Ebenso wie Datensicherheit und Data-Security ein und dasselbe sind.

IT-Security

Definiert gemeinhin den Schutz von IT-Systemen vor Schäden und Bedrohungen. Das erstreckt sich von der einzelnen Datei über Computer, Netzwerke, Cloud-Dienste bis hin zu ganzen Rechenzentren. Cyber Security weitet IT-Security auf den gesamten Cyber-Raum aus. Da die meisten Systeme heute mit dem Internet verbunden sind, werden IT-Security und Cyber-Security häufig gleichgesetzt. IT-Security und Cyber Security umfassen alle technischen und organisatorischen Massnahmen, um Systeme vor Cyberangriffen und anderen Bedrohungen zu schützen. Dazu zählen zum Beispiel Zugriffskontrollen, Kryptografie, Rechtemanagement, Firewalls, Proxies, Virenscanner, Vulnerability Management und vieles mehr. Der Begriff Internet Security bezieht sich konkret auf den Schutz vor Bedrohungen aus dem Internet.

Informationssicherheit

Oft werden IT-Security und Informationssicherheit synonym verwendet. Streng genommen ist IT-Security jedoch nur ein Teilaspekt der Informationssicherheit. Während die IT-Security sich auf den Schutz von technischen Systemen bezieht, geht es in der Informationssicherheit allgemein um den Schutz von Informationen. Diese können auch in nicht-technischen Systemen vorliegen, zum Beispiel auf Papier. Die Schutzziele der Informationssicherheit bestehen darin, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherzustellen. Geeignete Massnahmen finden sich zum Beispiel in den international gültigen ISO/IEC-27000-Normreihen. In Deutschland gilt der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) als Leitlinie für die Informationssicherheit. Ein wichtiger Baustein ist die Etablierung eines Informationssicherheits-Management-Systems (ISMS).

Datensicherheit

Datensicherheit hat das Ziel, die Vertraulichkeit, Integrität und Verfügbarkeit von Daten sicherzustellen. Im Unterschied zum Datenschutz beschränkt sie sich nicht auf personenbezogene Daten, sondern erstreckt sich auf alle Daten. Vertraulichkeit bedeutet, dass nur befugte Personen auf die Daten zugreifen können. Integrität heisst: Die Daten wurden nicht manipuliert oder beschädigt. Die Verfügbarkeit bezieht sich darauf, dass Daten verwendet werden können, wenn man sie benötigt. Um Datensicherheit zu etablieren, sind verschiedene technische und organisatorische Massnahmen (TOMs) nötig, zum Beispiel Zugriffskontrollen, Kryptografie oder redundante Speichersysteme.

Datenschutz (DSGVO)

Seit dem 25. Mai 2018 gilt in der EU die DSGVO (Datenschutzgrundverordnung) Link zum Inhalt.

Im Unterschied zur Datensicherheit betrifft sie den Schutz personenbezogener Daten. Es besteht eine Meldepflicht bei Verstössen und es werden, falls diese eintreten, empfindliche Strafen ausgesprochen. Als die DSGVO in Kraft trat, ging wieder ein Aufschrei durchs Land. Was war noch erlaubt und was verboten?

Kurse zum Datenschutzbeauftragten wurden in dieser Zeit tausendfach gebucht (auch von mir).

Webmaster bastelten eilig ein fehlendes Impressum und/oder eine Datenschutzerklärung in ihre Webseiten. Personen durften nicht mehr ohne Einverständnis fotografiert werden und Bilder der Kindermannschaft in der Clubzeitung gab es erstmal nicht mehr. Auch die allseits gehassten Cookies erlebten in dieser Zeit ihre Geburtsstunde. Überall lagen Einwilligungszettel bereit, die man nach gründlichem Studium unterschreiben musste und immer noch muss.

Europäische Ärzte durften sich nicht mehr mit Kollegen in den USA über Patienten austauschen, weil die USA eben nicht an die DSGVO gebunden sind. Auch heute noch besteht in vielen Bereichen noch vielfach Unsicherheit und die Zahl der Ausnahmen wächst täglich. Deshalb wird auch eine zeitnahe Anpassung der DSGVO gefordert.

Wurde hier also mit Kanonen auf Spatzen geschossen?

Nein die DSGVO war nötig, denn keiner möchte, dass seine Patientenakten auf öffentlichen Mülldeponien liegen, wie es geschehen ist. Ebenso wenig wie Daten zur finanziellen persönlichen Lebenssituation, sexuellen Orientierung oder seines Glaubens. Auch Datenschutzverstösse dürfen nicht länger unter den Teppich gekehrt werden. Wenn eine Firma gehackt wurde und Daten abgeflossen sind, so ist das unverzüglich zu melden. Ansonsten drohen erhebliche Strafen die auch grossen Firmen weh tun.

In den nächsten Teilen werden die einzelnen Bereiche genauer beschrieben.

Quellen:

https://www.greenbone.net/

https://www.bsi.bund.de