Datenschutz und Datensicherheit in der IT.

Die Themen Datenschutz und Datensicherheit in der IT sind Themengebiete, die so unwahrscheinlich komplex und gleichzeitig so bedeutend sind, dass es fast unmöglich ist, dass Unternehmen diese ignorieren können. Dennoch werden diese oftmals nur sehr stiefmütterlich behandelt. Unternehmen bauen teilweise nur auf den bisherigen Maßnahmen, wie der eigenen Firewall oder einen Virenscanner, auf und bieten den Mitarbeitenden im Homeoffice die Nutzung von VPN an. Dies ist jedoch bei Weitem nicht genug. Anpassungen an die sich so schnell veränderlichen Bedingungen sind damit nicht möglich. Folglich steigen die Risikoquellen kontinuierlich. Professionelle Angriffe, der Mitarbeitende selbst, die steigende Mobilität und eine Schatten-IT machen das Übrige.

Begriffsklärungen.

Datenschutz, Datensicherheit, Informations- und IT-Sicherheit – dies sind alles Begrifflichkeiten, die in diesem Zusammenhang jeder schon einmal gehört hat. Hinzu kommen Cyber Resilience und Informationssicherheits-Management-System (ISMS). Diese möchte wir nun zu Beginn unterscheiden.

Datenschutz.

Der Datenschutz schützt die Privatsphäre eines jeden Menschen und ermöglicht es jedem Bürger ein Recht auf informationelle Selbstbestimmung auszuüben. Die Daten können somit nicht missbräuchlich verwendet werden. Die Regelungen sind hauptsächlich im Bundesdatenschutzgesetz (BDSG) und in den Datenschutzgesetzen der Länder geregelt. Zentrale Frage des Datenschutzes ist, welche Maßnahmen zum Schutz der Daten ergriffen werden müssen.

Datensicherheit.

Während sich der Datenschutz auf personenbezogene Daten bezieht, müssen bei der Datensicherheit grundsätzlich alle Daten geschützt werden. Das bedeutet: Es sind sowohl Daten mit und ohne Personenbezug, aber auch digitale und analoge Daten betroffen. Datensicherheit soll Daten unter anderem vor beispielsweise Manipulation, Verlust oder unberechtigter Kenntnisnahme abschirmen.

Die Datensicherheit und deren Umsetzung in Form technischer und organisatorischer Maßnahmen sind gem. §9 BDSG inkl. deren Anlagen zu gewährleisten. In diesem Zusammenhang sind beispielsweise Zugriffskontrollen und redundante Speichersysteme unabdingbar.

Zentrale Frage der Datensicherheit ist es, welche Maßnahmen zum Schutz der Daten erhoben werden müssen.

Informationssicherheit.

Die Informationssicherheit hat, wie der Begriff schon zeigt, den Schutz der Informationen zum Ziel und ist vor allem in den IT-Grundschutzkatalogen des BSI sowie der ISO 27001 geregelt. Im Rahmen der Informationssicherheit sind sowohl analoge als auch digitale sowie personenbezogene und nicht personenbezogene Informationen betroffen. Ein wichtiger Baustein ist die Etablierung eines Informationssicherheits-Management-Systems (ISMS).

IT-Sicherheit.

Die IT-Sicherheit ist Teil der Informationssicherheit und bezieht sich auf elektronisch gespeicherte Informationen und IT-Systeme. Dabei bezieht sie sich nicht nur auf den Schutz der technischen Verarbeitung von Informationen, sondern auch auf deren Funktionssicherheit. Sprich: Das fehlerfreie Funktionieren und die Zuverlässigkeit der IT-Systeme.

Schatten-IT.

Von einer Schatten-IT spricht man, wenn IT-Systeme, Prozesse und Organisationseinheiten genutzt werden, die neben der offiziellen IT-Infrastruktur und auch ohne Wissen der entsprechenden Abteilung verwendet werden. Die Schatten-IT ist dabei weder technisch noch strategisch im Unternehmen eingebunden.

Eine Schatten-IT ist sehr vielseitig. Darunter kann beispielsweise die Nutzung von Social Services zur Kommunikation, über denen Nutzer vertrauliche Informationen austauschen, fallen. Das gegenseitige Helfen bei Problemen hinsichtlich Software und Hardware stellt einen Aufbau eigener Support-Strukturen dar und verhilft somit dem Ausbau einer Schatten-IT.

Dies birgt zahlreiche Risiken und hierbei sind nicht nur der Datenschutz und die Datensicherheit betroffen. Auch hinsichtlich der Compliance kann es zu Konflikten kommen.

Informationsicherheits-Management-System (ISMS).

Beim Informationssicherheits-Management-System (kurz: ISMS) handelt es sich um kein technisches System, sondern es definiert Regeln und Methoden, um die Informationssicherheit nicht nur zu gewährleisten, sondern auch zu überprüfen und immer wieder zu verbessern. Das Tool umfasst die Ermittlung und die Bewertung von Risiken. Es können in diesem auch die Sicherheitsziele und beispielsweise Verantwortlichkeiten und Abläufe festgelegt werden. Die Anforderungen hierzu sind in der ISO27001 definiert und sind somit ein essentieller Baustein eines IT-Sicherheitskonzepts.

Cyber-Reslience.

Bei Cyber Resilience kann ein Unternehmen seine Geschäftsprozesse trotz beispielweise Cyber-Angriffen oder menschlichem Versagen aufrechterhalten. Die Bereiche Informationssicherheit, Business-Kontinuität und organisatorische Resilienz kommen bei Cyber Resilience zusammen. In diesem Zusammenhang ist es besonders erforderlich, dass Schwachstellen frühzeitig erkannt und wirtschaftlich priorisiert werden.

Bedeutung von Informationen und Sicherheit im Rahmen der digitalen Transformation unter Einhaltung der Schutzziele.

Eine zentrale Rolle der digitalen Transformation sind Daten. Sie dienen den Unternehmen als Basis, um Erkenntnisse zu gewinnen und woraus Empfehlungen für Handlungen abgeleitet werden können. In diesem Zusammenhang ist es wichtig, dass Daten sinnvoll gesammelt, ausgewertet und verwendet werden. Für Unternehmen müssen jedoch Schutzziele beachtet werden.

Zu diesen Schutzzielen gehören:

• Vertraulichkeit
• Integrität
• Authentizität und
• Verfügbarkeit.

Diese dürfen keinesfalls isoliert betrachtet werden, sondern gehören zusammen und bedingen sich gegenseitig. Die Gewichtung der einzelnen Ziele ist jedoch einzelfallabhängig.

Vertraulichkeit.

Ein Schutzziel ist die Vertraulichkeit. In diesem Zusammenhang haben ausschließlich befugte Personen Zugang zu den Daten. Dabei sind nicht nur die Daten betroffen, sondern auch beispielsweise Systeme und Konfigurationen. Im Rahmen der Vertraulichkeit sind Sicherheitsmaßnahmen erforderlich, um den unberechtigten Zugriff auf Daten zu verhindern.

Integrität.

Bei der Integrität als Schutzziel geht es darum, dass sowohl Daten als auch Systeme korrekt und unverändert, aber auch verlässlich dargestellt werden. Wenn eine Software fehlerhaft arbeitet und somit falsche Ergebnisse liefert, ist die Integrität betroffen. Dabei spielt es keine Rolle, ob Angriffe bewusst oder unbewusst erfolgen.

Authentizität.

Die Echtheit, Zuverlässigkeit und Glaubwürdigkeit wird im Bereich der Authentizität beschrieben. Eine Bestellung unter falschem Namen würde beispielsweise einen Angriff auf diese darstellen. Es muss durchgängig die Authentizität der IT-Systeme gewährleistet werden. Die Empfänger sollen in der Lage sein zu erkennen, dass Informationen tatsächlich vom Absender kommen. Dies kann zum Beispiel durch eine elektronische Signatur in qualifizierter Form erfolgen.

Verfügbarkeit.

Daten und IT-Systeme müssen zur Verfügung stehen und von berechtigten Personen genutzt werden können, wenn diese benötigt werden. Einen Angriff auf die Verfügbarkeit würde beispielsweise ein Serverausfall sein.

Herausforderungen im Bereich Datensicherheit und Datenschutz.

Die Herausforderungen im Bereich des Datenschutzes und der Datensicherheit werden immer größer und vor allem umfangreicher. Zahlreiche Maßnahmen sind in diesem Zusammenhang notwendig und erforderlich.

Informations-Schutzmaßnahmen.

Bei den zahlreichen Herausforderungen, mit denen Sie im Bereich Datenschutz und Datensicherheit konfrontiert werden, sind Informationsschutz-Maßnahmen erforderlich. In diesem Zusammenhang sind Datenklassifikationen bezüglich der Vertraulichkeit sowie der Sicherheitsanforderungen notwendig. Gleichzeitig muss sichergestellt werden, dass die Daten durchgängig verschlüsselt werden. Diese Datenverschlüsselung ist auch berechtigungsabhängig und auf den unterschiedlichen Endgeräten erforderlich. In E-Mails gilt es im Rahmen von Informationsschutz-Maßnahmen, Anhänge und Links auf Risiko zu überprüfen. Um den Informationsschutz zu gewährleisten, gilt es auch Emails, den GOBD Richtlinien zur Folge langfristig zu archivieren. eDiscovery bietet im Rahmen der Informationsschutz-Maßnahmen die Möglichkeit, personenbezogene Daten bezüglich deren Nutzung und Speicherung überprüfen zu können. Um zeitnah Mitarbeitenden den Zugriff auf Daten und Systeme zu ermöglichen, aber auch zu entziehen, ist ein einfaches System von Nöten.

Standort-Bestimmung.

Die Bedeutung der Themenfelder Datenschutz und Datensicherheit ist mittlerweile in jedem Unternehmen angekommen. Jedoch ist vielen Unternehmen unbekannt, wie gut sie diesbezüglich aufgestellt sind. Hier gilt es eine Standort-Bestimmung vorzunehmen. Hierbei können sogenannte Assessments herangezogen werden. In diesem Rahmen möchten wir Ihnen fünf unterschiedliche Assessments vorstellen:

1. IT-Assessments:
   Bei einem IT Assessment gilt es zu klären, welche Vorteile und Potentiale sich für das Unternehmen ergeben, wenn man Cloud-Dienste nutzt. Gleichzeitig sind diese mit den Gefahren und Nachteilen abzuwägen.
2. Teamwork-Assessments:
   In Zeiten von Homeoffice hat sich das Thema Teamwork um 180 Grad gedreht und musste auf neue Beine gestellt werden. Die zentrale Frage ist hier, welchen Anforderungen sich Unternehmen hierbei stellen müssen.
3. Security-Assessments:
   Bei einem Security Assessment stehen die Aspekte der Datensicherheit sowie deren Umsetzung im Vordergrund.
4. DSGVO-Assessments:
   Im Bereich des DSGVO Assessments gilt es für Unternehmen abzuklären, inwieweit sie bereits die aktuellen DSGVO Anforderungen erfüllen.
5. Schatten-IT-Assessments:
   Die Risiken einer Schatten-IT haben wir bereits angesprochen. Im Bereich des Schatten-IT-Assessments gilt es herauszufinden, welche Apps, Software oder Hardware beispielsweise genutzt werden. In diesem Zusammenhang ist auch eine Risikoabwägung vorzunehmen.

Secure Score Improvement Programm von Microsoft.

Die Themenbereiche Datenschutz und Datensicherheit sind beides Themen, die permanent bearbeitet werden müssen. Microsoft bietet in diesem Rahmen über den Secure Score für Office 365, Windows und Azure die Möglichkeit an, das eigene Sicherheitsniveau zu bestimmen und gleichzeitig auch zu optimieren. Darauf aufbauend wurde das Secure Score Improvement Programm by IT-Improvement entwickelt. Es soll Unternehmen helfen, die Datensicherheit besser im Blick zu behalten. Das Secure Score Improvement Programm deckt die folgenden Kernbereiche der Datensicherheit und des Datenschutzes ab:

1. Sicherheitsrisiken von Innen und Außen
2. Datenschutz-Grundverordnung
3. Kontinuierliche Optimierung

Der Secure-Score-Algorithmus überprüft, welche Office 365 Dienste genutzt werden und erfasst die passenden sicherheitsrelevanten Einstellungen. Anhand dieser Einstellungen wird ein individueller Unternehmensscore ermittelt. Ein Benchmarking mit anderen Unternehmen, die auch Office 365 nutzen, erfolgt anonymisiert. Das Secure Score Improvement Programm baut auf den individuellen Secure Score auf. Um das optimale Sicherheitsniveau zu erarbeiten, implementieren und weiterzuentwickeln, stehen wir gerne für weitere Fragen in einer 20-minütigen, kostenfreien Erstberatung zur Verfügung.

Sensibilisierung der Nutzer.

Unabhängig von der Hard- und Software in der IT ist es dringend erforderlich, dass die Mitarbeitenden regelmäßig im Umgang mit Daten und Datensicherheit geschult werden. Empfehlenswert ist, diese mehrfach im Jahr auf dem aktuellsten Stand hinsichtlich dieser beiden Themengebiete zu bringen und hierfür zu sensibilisieren.

Datenverstöße und Datenlecks.

Die Hauptursache für Datenschutzverletzungen ist auf Fehler , die von Menschen beim Versenden von Mails verursacht werden, zurückzuführen. Auch wenn die Fehler zunächst klein scheinen, können die Auswirkungen dennoch groß sein. Denn seit der Vereinheitlichung der Bußgeldbemessung drohen Millionenstrafen für Unternehmen. Sie müssen sich der Ursachen der Datenverstöße und Datenlecks bewusstwerden. Im Anschluss können diese passende Lösungen für eine Verbesserung der Datensicherheit schaffen.

Datenschutzkonformität externer Partner.

Nach der Datenschutzgrundverordnung (DSGVO) ist es notwendig, dass auch externe Partner wie beispielsweise Lieferanten die Vorschriften daraus einhalten und beachten. Der externe Partner sollte die Vorschriften aus der DSGVO nicht nur einhalten, sondern auch bestätigen können.

Datenschutz und Datensicherheit im Homeoffice.

Seit Anfang 2020 ist das Thema Homeoffice so präsent wie nie zuvor. Das bedeutet gleichzeitig für alle Unternehmen, dass der Datenschutz und die Datensicherheit auf der Prioritätenliste nach ganz oben gerückt ist. Neue Risiken gilt es in diesem Zusammenhang zu berücksichtigen, da unter anderem auch private Endgeräte vermehrt für betriebliche Zwecke genutzt werden. Das Thema Datenschutz haben wir für Sie in einem speziellen Blogartikel näher betrachtet.

Beispiele für Microsoft Cloud-Dienste im Bereich Datensicherheit und Datenschutz.

Microsoft bietet zahlreiche Cloud-Dienste im Bereich Datensicherheit und Datenschutz. Drei davon möchten wir Ihnen vorstellen.

Azure Information Protection.

Mit Azure Information Protection erhalten Unternehmen und Organisationen eine cloudbasierte Lösung seitens Microsoft, die es ermöglicht, Dokumente und E-Mails zu klassifizieren und auf Wunsch auch schützt. So kann ein Dokument beispielsweise als „vertraulich“ eingeordnet werden. In Ergänzung hierzu kann Azure Rights genutzt werden. Damit ist eine Steuerung sowie eine Nachverfolgung möglich und können Unternehmen sehen, wie Dokumente verwendet werden oder wer darauf zugreifen kann. Gleichzeitig kann eingestellt werden, ob das Dokument versendet werden darf oder zu verschlüsseln ist. Azure Information wird im Übrigen von TISAX unterstützt.

Exchange Online Archivierung.

Die Komplexität hinsichtlich Archivierung, Compliance, gesetzlichen Vorschriften und eDiscovery sind groß. Exchange Online Archivierung hilft Unternehmen diese Herausforderung zu bewältigen. Mit einem In-Situ-Speicher werden beispielsweise E-Mails unverändert aufbewahrt. Der Zeitraum der Aufbewahrung kann individuell festgelegt werden.

Azure Advance Threat Protection.

Mit Azure Advanced Threat Protection (ATP) bietet Microsoft eine cloudbasierte Lösung für mehr Sicherheit an. Mit dieser erhalten Unternehmen die Option, schwerwiegende Bedrohungen und gefährdete Identitäten zu erkennen. Gleichzeitig unterstützt Azure Advanced Threat Protection Unternehmen dabei, diese Bedrohungen näher zu untersuchen.

Fazit.

Datenschutz und Datensicherheit in der IT ist ein Themenbereich, der sich nicht einmal nebenbei machen lässt, sondern erfordert Zeit und Wissen hinsichtlich rechtlicher Gegebenheiten und technischer Vorkehrungen und Voraussetzungen. Zugleich müssen Unternehmen erkennen, dass es nahezu unmöglich ist 100% datenschutzkonform zu arbeiten. Der Anspruch der Unternehmen sollte es jedoch sein, dass es Dritten so schwer wie möglich gemacht wird, an unternehmensinterne Daten zu gelangen oder auch Systeme anzugreifen. Microsoft bietet so beispielsweise mit Azure Information Protection eine cloudbasierte Lösung für mehr Datenschutz und Datensicherheit an.

Gerne stehen wir Ihnen unsere Experten für Fragen zur Verfügung. Vereinbaren Sie direkt Ihren kostenfreien Termin zur Datenschutzberatung.