Datenschutz vs. Datensicherheit vs. Datensicherung – IT-Berufe-Podcast #157

Um den Unterschied zwischen Datenschutz,
Datensicherheit und
Datensicherung geht es in der
einhundertsiebenundfünfzigsten Episode des IT-Berufe-Podcasts.
Datenschutz vs. Datensicherheit vs. Datensicherung

In dieser Episode werden die drei Begriffe zunächst oberflächlich
erläutert und abgegrenzt. Über jedes einzelne Thema kann man aber
noch im Detail sprechen und Prüflinge müssen sich auch intensiv
damit auseinandersetzen.


Die Begriffe klingen zwar sehr ähnlich, sind aber klar
voneinander abzugrenzen und insb. in Prüfungen sauber
auseinanderzuhalten. In der Novellierung der IT-Berufe im Jahr
2018 wurden die Begriffe Datenschutz und Datensicherheit explizit
in den Ausbildungsrahmenplan mit aufgenommen. Und auch in der
Neuordnung 2020 gehören sie zum festen Bestandteil der
Berufsausbildung in den IT-Berufen.
Datenschutz


Datenschutz ist der Schutz personenbezogener
Daten natürlicher Personen vor Missbrauch durch Dritte.


Personenbezogene Daten sind laut DSGVO „alle
Informationen, die sich auf eine identifizierte oder
identifizierbare natürliche Person […] beziehen; als
identifizierbar wird eine natürliche Person angesehen, die
direkt oder indirekt, insbesondere mittels Zuordnung zu einer
Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten,
zu einer Online-Kennung oder zu einem oder mehreren besonderen
Merkmalen identifiziert werden kann, die Ausdruck der
physischen, physiologischen, genetischen, psychischen,
wirtschaftlichen, kulturellen oder sozialen Identität dieser
natürlichen Person sind“. Beispiele: Name, Adresse, IP-Adresse,
Bankdaten, Gesundheitsdaten, Standortdaten.

Das Recht auf informationelle
Selbstbestimmung sichert jedem Bürger das Recht zu, über
die Verwendung seiner Daten selbst zu bestimmen.



Das sogenannte Recht auf informationelle Selbstbestimmung wurde
vom Bundesverfassungsgericht im Volkszählungsurteil von 1983 aus
dem Grundgesetz abgeleitet. Dort heißt es:


Jeder hat das Recht auf die freie Entfaltung seiner
Persönlichkeit, soweit er nicht die Rechte anderer verletzt und
nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz
verstößt. (Grundgesetz, Artikel 2, Satz 1)


Warum ist das wichtig? Menschen sollen in ihrer persönlichen
Freiheit nicht eingeschränkt werden. Sie würden sich aber ggfs.
anders verhalten, wenn anderen Menschen (zu) persönliche Daten
über sie bekannt wären, wie z.B. Krankheiten oder sexuelle
Vorlieben. Außerdem würden viele Menschen sich einschränken, wenn
sie befürchten müssten, dass ihr Verhalten protokolliert würde.


Das Grundgesetz gewährleistet jeder Bürgerin und jedem Bürger das
Recht, über Verwendung und Preisgabe seiner persönlichen Daten zu
bestimmen (Grundrecht auf informationelle Selbstbestimmung).
Geschützt werden also nicht Daten, sondern die Freiheit der
Menschen, selbst zu entscheiden, wer was wann und bei welcher
Gelegenheit über sie weiß. (Bundesbeauftragter für den
Datenschutz und die Informationsfreiheit)


Die EU formuliert es noch deutlicher:


Jede Person hat das Recht auf Schutz der sie betreffenden
personenbezogenen Daten. (Grundrechtecharta der EU, Artikel 8,
Satz 1)


Seit 2018 gilt die DSGVO, die europaweit strenge Richtlinien zum
Datenschutz und auch empfindliche Strafen bei Verstößen
definiert.
Prüfungs- und praxisrelevante Inhalte

Obige Definitionen, insb. personenbezogene Daten

Begründung und Verständnis, warum Datenschutz wichtig ist

Kernaussagen der DSGVO

Betroffenenrechte: Auskunftsrecht, Berichtigung,
Löschung, Datenübertragbarkeit, Widerspruchsrecht

Pflichten von datenverarbeitenden Unternehmen, „goldene
Regeln“ des Datenschutzes: Rechtmäßigkeit, Einwilligung,
Zweckbindung, Erforderlichkeit, Transparenz, Datensicherheit,
Kontrolle



ggfs. Berücksichtigung des Datenschutzes beim eigenen
Abschlussprojekt

Datensicherheit


Datensicherheit umfasst alle technischen und
organisatorischen Maßnahmen, die dem Schutz von Daten dienen.
Dabei handelt es sich nicht nur um personenbezogene Daten. Die
Datensicherheit verfolgt die grundlegenden Schutzziele
Vertraulichkeit, Integrität und Verfügbarkeit der Daten.


Vertraulichkeit der Daten bedeutet, dass nur
befugte Personen auf die Daten zugreifen können.


Integrität soll die Unversehrtheit der Daten
sicherstellen und insb. Manipulation verhindern bzw. vor
technischen Defekten schützen.


Verfügbarkeit stellt sicher, dass die Daten
auch wirklich verwendet werden können, wenn Bedarf besteht.



Bei der Datensicherheit geht es in erster Linie darum, technische
Mängel und unerlaubten Zugriff Dritter auf die Daten zu
verhindern. Hierzu gibt es eine Reihe technischer Maßnahmen wie
z.B. Berechtigungskonzepte, Verschlüsselung und elektronische
Signaturen, aber auch organisatorische, wie z.B. Gebäudesicherung
oder Zutrittskontrollen.


Das Bundesamt für Sicherheit in der Informationstechnik (BSI)
gibt das sogenannte IT-Grundschutz-Kompendium heraus, das in
Deutschland quasi die „Bibel“ der Datensicherheit bzw.
Informationssicherheit darstellt. Viele Unternehmen halten sich
an die dortigen Vorgaben z.B. zur Komplexität von Passwörtern
oder zu verwendenden Verschlüsselungs- oder Hashalgorithmen.


Abgrenzung zum Datenschutz: Datensicherheit umfasst mehr Daten
(nicht nur personenbezogene). Datenschutz umfasst mehr Maßnahmen
(nicht nur technische).
Prüfungs- und praxisrelevante Inhalte

Schutzziele: Vertraulichkeit, Integrität, Verfügbarkeit

Technische und organisatorische Maßnahmen (TOM):
Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle,
Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle,
Verfügbarkeitskontrolle, Trennung von Daten unterschiedlicher
Zwecke

konkrete Bedrohungsszenarien und mögliche Gegenmaßnahmen,
z.B. SQL-Injection, DDoS, Man-in-the-Middle, Trojaner, Viren,
RAID, VPN, (a)symmetrische Verschlüsselung

Authentifizierung vs. Authorisierung

IT-Grundschutz des BSI

Zertifizierungen wie z.B. ISO 27001 und Systeme wie ISMS

Datensicherung

Datensicherung ist quasi das deutsche Wort für
Backup und behandelt das Sichern und
Wiederherstellen von Daten auf Sicherungsmedien wie
Magnetbändern, externen Festplatten oder der Cloud. Es geht
hierbei um den Schutz vor Datenverlust. Die
Datensicherung ist daher ein Teil der
Datensicherheit, der sich um das Schutzziel
Verfügbarkeit kümmert.


Datenverlust kann durch technische Defekte (z.B.
Erschütterung, Überspannung, Stromausfall) verursacht werden,
aber auch durch böswillige Aktionen von Mitarbeitern oder
externen Angreifern.

Bei der Datensicherung müssen geeignete Sicherungsmedien
ausgewählt und sinnvolle Verfahren für die Identifikation
schützenswerter Daten und die konkrete Sicherung inkl.
Wiederherstellungsszenarien angewendet werden.

Dabei sind verschiedene Kriterien wie Sicherungs- und
Wiederherstellungsdauer, Kosten und Langlebigkeit der Medien und
zu sichernde Datenmengen zu berücksichtigen.

Bei der Bewertung der zu schützenden Daten müssen Kriterien
wie ihr Wert für das Unternehmen bzw. den Besitzer, die
Änderungshäufigkeit oder gesetzliche Anforderungen berücksichtigt
werden.

Aber auch die Verschlüsselung der Daten kann nötig sein, wenn
Medien extern aufbewahrt werden (z.B. in einer Bank), und auch
die Kompression der Daten ist von Interesse, um Speicherplatz zu
sparen.

Prüfungs- und praxisrelevante Inhalte

Backup-Medien wie Bänder, CDs, Cloud unterscheiden und
auswählen

Backup-Arten: inkrementell/differentiell/Vollsicherung,
Großvater/Vater/Sohn, hot/cold

Identifikation schützenswerter Daten: maschinell/manuell
wiederherstellbar, unersetzlich

mögliche Gründe für Datenverluste und Gegenmaßnahmen

Literaturempfehlungen

Diese beiden „klassischen“ Romane passen gut zum Oberthema
Datenschutz.


1984 von George Orwell*

Fahrenheit 451 von Ray Bradbury*

Links

Permalink zu dieser Podcast-Episode

RSS-Feed des Podcasts

Datenschutz

GG – Grundgesetz für die Bundesrepublik Deutschland

Die Grundrechtecharta der EU

Datenschutz

Wichtige Datenschutz-Grundlagen

Datenschutz-Grundverordnung (DSGVO)

Internetauftritt des Bundesbeauftragten für den
Datenschutz und die Informationsfreiheit

Informationelle Selbstbestimmung

DSGVO – So definieren sich personenbezogene Daten

Sieben goldene Regeln des Datenschutzes



Datensicherheit

Datensicherheit: Was bedeutet das?

Kryptographie – Schutzziele und Verschlüsselung

BSI – IT-Grundschutz



Datensicherung

Datensicherung

Datensicherung und Datenverlust