Der Einsatz von Computern vereinfacht die Arbeitswelt in allen Bereichen, durch das Internet wurde unser Leben revolutioniert. Trotz der unbestreitbaren Vorteile, welche die Computerisierung mit sich bringt, sind entsprechende Vorsichtsmaßnahmen zur Datensicherheit unerlässlich, da durch die automatisierte Verarbeitung der Daten auch Probleme entstehen können.
Bedeutung von Informations- und Datensicherheit
Hinsichtlich der Sicherheit von Daten unterschied man lange Zeit zwischen dem Datenschutz, welcher Maßnahmen zum Schutz personenbezogener Daten umfasst, der Datensicherheit, welche man durch Herstellung von Kopien verwendeter Daten gewährleistet sah, sowie der Ausfallsicherheit von IT-Systemen, welche eine ständige Verfügbarkeit des Computersystems sicherzustellen hatte.
Der moderne Begriff der Datensicherheit umfasst nun alle Aspekte, welche beim Umgang mit Informationen und Daten beachtet werden müssen und beinhaltet sämtliche Eigenschaften von informationsverarbeitenden und Daten haltenden Systemen, welche ihrer Natur nach den Grundsätzen von Vertraulichkeit, Verfügbarkeit und Integrität unterliegen. Datensicherheit dient darüber hinaus dem Schutz vor schadensverursachenden Ereignissen sowie der Minimierung von Risiken und umfasst neben elektronischem Datentransfer und Datenhaltung stets auch den Schutz von nicht elektronisch verarbeiteten oder gespeicherten Informationen und Daten.
Grundsätze der Datensicherheit
Schutz von Daten im Rahmen der Datensicherheit kann unterschiedliche Maßnahmen erforderlich machen. Personenbezogene Informationen sind aufgrund des Prinzips der informationellen Selbstbestimmung vor Missbrauch zu schützen, rechtliche Grundlage dafür ist das Bundesdatenschutzgesetz. Dieses bestimmt unter anderem, dass die Privatsphäre des Dateninhabers, seine persönlichen Daten sowie seine Anonymität unter allen Umständen zu wahren ist. Dieses Schutzgebot bezieht sich nicht nur auf private Daten, sondern schließt auch alle maßgeblichen Informationen und Daten von Organisationen oder Unternehmen einschließlich deren personenbezogener Daten mit ein.
Des Weiteren ist darauf zu achten, dass Daten nur von autorisierten Benutzern gelesen und modifiziert werden können (Grundsatz der Vertraulichkeit), dies gilt nicht nur für gespeicherte Daten, sondern auch für die Datenübertragung. Darüber hinaus müssen alle Veränderungen, welche an Daten vorgenommen werden, lückenlos nachvollziehbar sein (Grundsatz der Integrität), außerdem ist sicherzustellen, dass der Datenzugriff innerhalb des vereinbarten Zeitraumes stets gewährleistet ist (Grundsatz der Verfügbarkeit.)
Die strategische Zielsetzung der Datensicherheit besteht darin, die Risiken eines IT-Systems oder einer Organisationseinheit durch den Einsatz angemessener Maßnahmen auf ein tragbares Maß zu reduzieren.
Bedrohungsszenarien für die Datensicherheit
Verstand man in den Anfangstagen der Computerisierung unter der Sicherheit eines Computers hauptsächlich die korrekte Funktionalität von Hardware und Software, so sind durch veränderte bzw. gestiegene Anforderungen diese Begriffe heute gänzlich anders konnotiert. Sowohl Unternehmen als auch Personen, welche planvolle Tätigkeiten ausüben, die zueinander in einem organisatorischen Zusammenhang stehen, sind heute generell auf die Unterstützung durch IT-Systeme angewiesen.
Die Tendenz geht dabei in Richtung Auslagerung von IT-spezifischen oder kaufmännischen Tätigkeiten an darauf spezialisierte Dienstleister (Outsourcing), oft in Form eines rein webbasierten Zugriffs auf Daten und Verarbeitungsprozesse (Cloud-Computing.) Die daraus resultierenden rechtlichen Verpflichtungen lassen sich aus den verschiedenen Gesetzeswerken, wie etwa dem Gesellschaftsrecht, dem Haftungsrecht oder dem Datenschutzgesetz ableiten, diese Gesetzesnormen verstehen Datensicherheit als Teil des Risikomanagements.
Die Datensicherheit eines Systems ist dann in Gefahr, wenn Aktivitäten gesetzt werden, welche zum Verlust des Schutzes oder der Sicherheit der Daten führen können. Dabei ist es unerheblich, ob derartige Angriffe vorsätzlich, fahrlässig oder als Resultat der Einwirkung höherer Gewalt erfolgen, diese Unterscheidung ist lediglich für die straf- und zivilrechtliche Beurteilung des Geschehens von Belang. Somit wird auch technisches oder menschliches Versagen im Sinne der Datensicherheit als Angriff auf das System gewertet. Ein datenhaltendes System kann dann als sicher bezeichnet werden, wenn der Aufwand für das Eindringen höher ist als der Nutzen, welcher dem Angreifer dadurch entsteht.
Um auch Angriffen mit Sabotageabsicht oder dem Wirken von höherer Gewalt wirksam entgegentreten zu können, bedarf es allerdings der sogenannten absoluten Sicherheit, welche meist nur mit hohem Aufwand erreicht werden kann. Generell gilt: Je massiver und umfangreicher die Sicherheitsmaßnahmen eines Systems sind, desto eingeschränkter und ineffektiver gestaltet sich der Betrieb dieses Systems, ein Umstand, der in jedem Fall eine sorgfältige Abwägung von Aufwand und Nutzen der einzurichtenden Sicherheitsmaßnahmen erfordert.
Konkrete Bedrohungen eines IT-Systems sind jedenfalls durch technische Systemausfälle, Systemmissbrauch, Sabotage oder Spionage sowie durch Betrug oder Diebstahl denkbar. Der Einsatz entsprechender Software zum Schutz gegen derartige Bedrohungen muss stets mit einer verantwortungsvollen Nutzung des Systems und seiner Ressourcen, einer umsichtigen Analyse und Abwägung potenzieller Risiken sowie individuellen und auf die Situation abgestimmten Abwehr- und Schutzmaßnahmen einhergehen.
Sicherheitskonzepte für optimale Datensicherheit
Um größtmögliche Datensicherheit zu gewährleisten, sollte grundsätzlich ein dynamisches Sicherheitskonzept erstellt werden, welches eine Identifikation sämtlicher möglicher Risiken sowie deren Gewichtung nach Schädigungspotenzial und Eintrittswahrscheinlichkeit umfasst. Datensicherheit liegt hierarchisch stets im Aufgabenbereich der Leitung einer Organisation oder eines Unternehmens und sollte nach dem Top-down-Prinzip auf alle Bereiche und Ebenen eines Unternehmens heruntergebrochen werden.
Bei der Dimensionierung von Schutzmaßnahmen gilt das Prinzip der Verhältnismäßigkeit, denn ein Übermaß an Sicherheitsmaßnahmen führt zu erhöhten Kosten, betrieblicher Ineffizienz sowie mangelnder Akzeptanz, wogegen eine zu offene Unternehmens- oder Organisationskultur Unbefugten entsprechende Angriffsmöglichkeiten bietet. Auch sollten die Kosten der Sicherheitsmaßnahmen nicht höher sein als der maximale Schaden, der durch die Einwirkung schädigender Ereignisse entstehen kann. In jedem Fall sind die getroffenen Maßnahmen im Rahmen eines dynamischen Sicherheitsmanagementsystems laufend auf ihre Wirksamkeit sowie den Kosten-Nutzen-Effekt zu überprüfen, die erhaltenen Ergebnisse sind lückenlos zu dokumentieren.
Operative Schutzmaßnahmen dienen vor allem der physischen Sicherstellung von Daten, was durch Zugriffs- und Zutrittskontrollen, fehlertolerante Systeme sowie Datensicherungen und geeignete Verschlüsselungstechniken erreicht werden kann. Weiteren Schutz bietet eine laufende Aktualisierung der verwendeten Software durch vom Hersteller angebotene Updates sowie die Verwendung einer wirksamen Antiviren-Software, welche regelmäßig – mindestens einmal täglich – aktualisiert werden sollte. Darüber hinaus bietet der Einsatz eines strategisch aufgebauten Software-Berechtigungssystems gemeinsam mit modernen Firewalls größtmögliche Datensicherheit.
Von großer Bedeutung ist auch eine sichere Verschlüsselung bei der Datenübertragung, denn vor allem bei hochsensiblen Daten wie etwa Kreditkartennummern darf der Zugriff nur gegen Nachweis des richtigen Schlüssels möglich sein. Im täglichen Umgang mit Informationen sollte von wichtigen Daten stets eine Sicherheitskopie auf einem separaten Speichermedium angefertigt werden, je bedeutsamer diese Daten sind bzw. je öfter der Datenbestand aktualisiert wird, desto öfter sollten Datenkopien angelegt werden. Protokolle und Logdateien können im Schadensfall ihren Teil zur Aufklärung des Sachverhaltes beitragen.
Ein wichtiger Aspekt in der Datensicherheit ist auch die Sensibilisierung sämtlicher Mitarbeiter des Unternehmens gegenüber dem Thema, denn ein verantwortungsvoller Umgang mit Informationen erschwert Angriffe auf die Datensicherheit des Systems.
Normen in der Informations- und Datensicherheit
Basis für moderne Datensicherheit sind die internationalen Normen ISO/IEC-Standard 2700x und ISO/IEC 15408, bundesweit werden diese Regelwerke durch das DIN-NIA-01-27 IT-Sicherheitsverfahren umgesetzt. Zur Zertifizierung der Sicherheit von computerbasierten Systemen im Sinne eines Qualitätsmanagements wurden die US-amerikanischen TCSEC- und die innerhalb der EU gültigen ITSEC-Standards sowie der kürzlich in Kraft getretene Common Criteria Standard, welcher bei Informationen eine Trennung von Funktionalität und Vertrauenswürdigkeit vornimmt, geschaffen.
Die Anwendung der Standards für das Gebiet der Bundesrepublik obliegt in der Regel dem Bundesamt für Sicherheit in der Informationstechnik (BSI.) Der seitens BSI ausgearbeitete IT-Grundschutz-Katalog definiert für unterschiedliche Aspekte und Zielsetzungen die jeweils einzuleitenden Maßnahmen, welche zur Aufrechterhaltung der informationstechnischen Sicherheit unter der Annahme eines niedrigen bis mittleren Schutzbedarfes erforderlich sind. Der Schutzkatalog berücksichtigt auch webbasierte Online-Dienstleistungen (Cloud-Computing), für den Umgang mit besonders sensiblen Daten existieren spezielle Anforderungsprofile.
Zusammenfassung
Die Datensicherheit ist heutzutage ein komplexes Feld, das weit über die einfache Erstellung von Datenkopien hinausgeht. Sie umfasst die Grundsätze der Vertraulichkeit, Verfügbarkeit und Integrität von Daten. Neben elektronischen Daten bezieht sich dieser Schutz auch auf nicht digitalisierte Informationen.
Ziel ist es, Risiken und Bedrohungen wie Systemausfälle, Sabotage und Datendiebstahl effektiv zu minimieren. Dabei ist eine strategische Planung unabdingbar, die sowohl technische Maßnahmen wie Verschlüsselung und Firewalls als auch menschliche Faktoren berücksichtigt.
Sicherheitskonzepte sollten dynamisch sein und eine regelmäßige Überprüfung der eingesetzten Schutzmaßnahmen beinhalten. Hier spielen internationale und nationale Normen und Standards, etwa ISO/IEC 2700x oder der IT-Grundschutz-Katalog des Bundesamtes für Sicherheit in der Informationstechnik, eine entscheidende Rolle.
Häufige Fragen und Antworten
Was versteht man unter Datensicherheit?
Unter Datensicherheit versteht man alle Maßnahmen, die ergriffen werden, um Informationen und Daten vor unbefugtem Zugriff, Verlust oder Beschädigung zu schützen. Dies umfasst sowohl technische als auch organisatorische Sicherheitsmaßnahmen, die sicherstellen, dass Daten vertraulich, vollständig und verfügbar bleiben.
Welche Grundsätze gelten in der Datensicherheit?
In der Datensicherheit gelten die Grundsätze der Vertraulichkeit, Integrität und Verfügbarkeit. Vertraulichkeit bedeutet, dass Daten nur von autorisierten Personen eingesehen werden können. Integrität stellt sicher, dass Daten unverändert bleiben und nicht unbemerkt manipuliert werden können. Verfügbarkeit garantiert, dass Daten jederzeit zugänglich sind, wenn sie benötigt werden.
Welche Bedrohungen gibt es für die Datensicherheit?
Es gibt verschiedene Bedrohungen für die Datensicherheit, wie z.B. Hackerangriffe, Viren und Malware, physischer Diebstahl von Geräten, menschliches Versagen oder technische Ausfälle. Diese Bedrohungen können zu Datenverlust, Datenschutzverletzungen oder Betriebsunterbrechungen führen.
Welche Sicherheitskonzepte gibt es für optimale Datensicherheit?
Es gibt unterschiedliche Sicherheitskonzepte für optimale Datensicherheit, wie z.B. den Einsatz von Firewalls, Verschlüsselungstechniken und Zugriffskontrollen, regelmäßige Updates von Software und Anti-Viren-Programmen, regelmäßige Sicherungskopien von Daten und die Schulung und Sensibilisierung der Mitarbeiter für Sicherheitsmaßnahmen.
Welche Normen und Standards gibt es in der Informations- und Datensicherheit?
In der Informations- und Datensicherheit gibt es verschiedene Normen und Standards, wie z.B. den ISO/IEC-Standard 2700x, ISO/IEC 15408, ITSEC-Standards und den Common Criteria Standard. Diese Normen und Standards legen Richtlinien fest, wie Informationen und Daten sicher verarbeitet, gespeichert und übertragen werden sollen.