Datensicherheit – Definition, Ziele, Gesetze, Maßnahmen

Daten zählen in der heutigen digitalen Welt zu den wichtigsten Vermögenwerten nahezu jedes Unternehmens. Und so nimmt auch der Schutz dieser Daten eine immer wichtigere Rolle ein – oder sollte es zumindest. Das Ziel: Alle Daten eines Unternehmens sollen geschützt sein vor Bedrohungen jeglicher Art. Dieser Wunschzustand hat einen Namen: Datensicherheit. Sehen wir uns eine ganz allgemein gehaltene Definition dieses Begriffs an:

Datensicherheit bezeichnet den Schutz sämtlicher Daten jeglicher Art eines Unternehmens vor Bedrohungen jeglicher Art.

In diesem Beitrag werden wir Ihnen natürlich noch genauer erklären, was damit gemeint ist, warum Datensicherheit so wichtig ist und welche Maßnahmen Sie dafür umsetzen müssen.

Was ist Datensicherheit? Definition

Die Datensicherheit beschäftigt sich mit dem Schutz von Daten jeglicher Art vor Manipulation, Diebstahl, unberechtigtem Zugriff oder anderweitigen Bedrohungen. Dies umschließt also nicht nur personenbezogene Daten, sondern auch Daten ohne Personenbezug, wie zum Beispiel Baupläne (im Gegensatz zum Datenschutz, hierzu mehr unter „Datensicherheit vs. Datenschutz“). Inbegriffen sind sowohl analoge als auch digitale Daten.

Der Begriff „Datensicherheit“ bezeichnet den angestrebten Ziel-Zustand, dass alle Daten im Unternehmen ausreichend abgesichert sind. Um den Zustand der Datensicherheit zu erreichen und aufrechtzuerhalten, müssen Unternehmen diverse Maßnahmen ergreifen. Diese können analog oder digital stattfinden sowie organisatorischer oder technischer Natur sein. Die Datensicherung beispielsweise gehört zu den wichtigsten Maßnahmen zum Schutz der Unternehmensdaten. Aber dazu später mehr unter „Maßnahmen für Datensicherheit“.

Ziele von Datensicherheit

Das oberste Ziel von Datensicherheit ist es also, Daten jeglicher Art umfassend vor Bedrohungen zu schützen – von Verlust über Verfälschung bis hin zur Löschung dieser Daten. Damit werden die drei grundlegenden Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit verfolgt.

  • Vertraulichkeit: Zugriff auf Daten wird auf definierte Personen(kreise) eingeschränkt
  • Integrität: Sicherstellung der Richtigkeit und Unversehrtheit der Daten
  • Verfügbarkeit: Daten müssen verfügbar und zugänglich sein im Bedarfsfall

Gesetzliche Grundlagen zur Datensicherheit

„Daten werden immer kostbarer.“

Diese Aussage betrifft nicht nur, aber vor allem auch personenbezogene Daten. Der Schutz von Daten in einem Unternehmen ist von enormer Wichtigkeit – das zeigen auch die diversen inzwischen existierenden gesetzlichen Regelungen zu diesem Thema. Es gibt zahlreiche gesetzliche Vorgaben zu Datensicherheit und Datenschutz, die direkt oder indirekt das Management von IT-Systemen in Unternehmen prägen. Wir möchten Ihnen hier einen kurzen Überblick über diese gesetzlichen Grundlagen geben:

EU-DSGVO und Bundesdatenschutz­gesetz (BDSG)

Die Datenschutz-Grundverordnung der Europäischen Union (EU-DSGVO) vereinheitlicht die Regeln zur Verarbeitung personenbezogener Daten EU-weit. Sie legt fest, welche Rechte, Pflichten und Maßnahmen zum Schutz personenbezogener Daten gelten. Das deutsche Bundesdatenschutzgesetz (BDSG) ergänzt und konkretisiert die den nationalen Regelungen der EU-Staaten überlassenen Vorgaben der EU-DSGVO.

Unterschied zwischen Datenschutz und Informationssicherheit

Ziel des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) ist die Verbesserung der Unternehmensführung (Corporate Governance) in deutschen Unternehmen. Mit diesem umfangreichen Artikelgesetz wurden diverse Vorschriften aus dem Handels- und Gesellschaftsrecht verändert. Überwiegend präzisiert das KonTraG Vorschriften aus dem Handelsgesetzbuch (HGB) und dem Aktiengesetz (AktG).

Cybersecurity

Der Kernpunkt des KonTraG schreibt vor, dass die Unternehmensleitung ein unternehmensweites Früherkennungssystem für Risiken einführen und betreiben muss. Somit zwingt das Gesetz die Geschäftsführungen deutscher Unternehmen dazu, sich stärker mit dem Thema IT-Risikomanagement auseinanderzusetzen. Die Verantwortung für die IT-Sicherheit des Unternehmens liegt damit klar bei der Unternehmensleitung – und diese ist es auch, die im Ernstfall die Konsequenzen zu tragen hat.

Handelsgesetzbuch (HGB)

Auch im Handelsgesetzbuch finden Sie Vorgaben, die sich den drei Schutzzielen Vertraulichkeit, Integrität und Verfügbarkeit zuordnen lassen. Grundsätzlich geht es bei all diesen Regelungen darum, dass Risiken erkannt und durch Maßnahmen verhindert oder reduziert werden müssen, so zum Beispiel bei der Geheimhaltungspflicht.

IT-Sicherheitsgesetz

Das zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) trat am 27. Mai 2021 in Kraft. Dieses Artikelgesetz befasst sich mit der Sicherheit der IT-Systeme bei sogenannten KRITIS (kritische Infrastrukturen, beispielsweise Strom- und Wasserversorgung, Finanzen, Telekommunikation oder Gesundheit). Ziel des Gesetzes ist die Verbesserung der IT-Sicherheit durch die Einführung geeigneter Maßnahmen bei Betreibern kritischer Infrastrukturen. Die Gewährleistung eines gewissen Niveaus an IT-Sicherheitmuss geschaffen und durch Sicherheitsaudits erbracht werden. Das IT-Sicherheitsgesetz 2.0 verpflichtet Unternehmen so auch zur Einführung von Systemen zur Angriffserkennung und -bewältigung ab Mai 2023.

Telemediengesetz (TMG)

Auch im Telemediengesetz, das für alle elektronischen Informations- und Kommunikationsdienste (sogenannte Telemedien) in Deutschland gilt, sind Regelungen bezüglich Datensicherheit und Datenschutz festgehalten. So enthält das TMG u.a. Vorschriften zum Datenschutz beim Betrieb von Telemediendiensten und Regelungen zur Herausgabe von Daten. Das Gesetz weist den Anbietern die Verantwortung für die Informationen zu, die sie über ihre Nutzer erhalten. Es legt weiterhin fest, welche Informationen die Nutzer über diese Informationsverarbeitung erhalten müssen.

Telekommunikations­gesetz (TKG)

Das Telekommunikationsgesetz reguliert den Wettbewerb im Bereich Telekommunikation und betrifft entsprechend Unternehmen, die Telekommunikationsdienstleistungen erbringen. Es beinhaltet dabei auch Regelungen im Bereich Datensicherheit, so u.a. die Vorschriften zum Fernmeldegeheimnis und zum Datenschutz.

IT-Sicherheit wird immer wichtiger – auch vor dem Gesetz

Sie sehen: Inzwischen legen zahlreiche Gesetze diverse Vorschriften in Bezug auf IT- und Datensicherheit fest. Beim Thema Datensicherheit und Datenschutz spielt die DSGVO sicherlich die größte Rolle. Sie hat viele Unternehmen vor große Herausforderungen gestellt und tut es noch heute. Viele Geschäftsführer haben immer noch ein großes Fragezeichen im Kopf: Wie können Sie die Anforderungen der Gesetze erfüllen? Welche Maßnahmen müssen Sie in Ihrem Unternehmen ergreifen? Doch so komplex der Datenschutz auch sein mag – er ist in Zeiten zunehmender Digitalisierung unverzichtbar, für Privatpersonen, vor allem aber für Unternehmen.

Unterschied zwischen Datensicherheit und Datenschutz

Die Begriffe Datensicherheit und Datenschutz werden häufig synonym verwendet, doch das ist falsch. Zwar gehen Datensicherheit und Datenschutz miteinander Hand in Hand und bedingen sich gegenseitig, lassen sich aber dennoch mithilfe der folgenden Faktoren voneinander unterscheiden:

Cybersecurity

Bei allen Unterschieden haben beide das gleiche übergeordnete Ziel, nämlich den Schutz von Daten. Ohne Datenschutz keine Datensicherheit und andersrum: Der angestrebte Zustand der Datensicherheit kann nicht erreicht werden, wenn keine Datenschutzmaßnahmen umgesetzt werden, da der Schutz personenbezogener Daten dann nicht gewährleistet wäre. Andersrum gilt: Angemessene technische und organisatorische Maßnahmen zur Datensicherheit sind maßgeblich entscheidend für die Einhaltung des Datenschutzes nach den geltenden Verordnungen.

Hier geht’s zum umfassenden Ratgeber „Was ist Datenschutz?“ >>

Cybersecurity

Risiken und Gefahren bei mangelnder Datensicherheit im Unternehmen

Daten haben mit der Digitalisierung zunehmend an Wert gewonnen – Tendenz weiterhin steigend. Ein Datenverlust kann für ein Unternehmen demnach gravierende Folgen haben. Je sensibler die Daten, desto schwerwiegender werden die Konsequenzen für die Unternehmensleitung sein, bis hin zur Existenzbedrohung und dem totalen Imageverlust.

Die Bedrohungen für die Datensicherheit im Unternehmen sind ebenso vielfältig wie die möglichen Folgen: Von kleinen Unaufmerksamkeiten im Arbeitsalltag, zum Beispiel bei der ungeschützten Nutzung von USB-Sticks, über technische Lücken in der Firewall bis hin zur groß angelegten Phishing Attacke wissen Cyberkriminelle mittlerweile jede Sicherheitslücke bewusst auszunutzen für ihre professionellen Angriffe auf Unternehmen.

Zur Datensicherheit gehört wie bereits erwähnt auch der Datenschutz. Die zugrundeliegenden rechtlichen Vorgaben, u.a. aus der DSGVO, verpflichten Unternehmen zum Schutz der personenbezogenen Daten. Ist dieser Schutz nicht durch die ergriffenen Maßnahmen im Unternehmen gewährleistet, können Strafen und hohe Geldbußen drohen – hier werden die Konsequenzen bei Datenverlust also sehr konkret.

Worst Case Fallbeispiel

Datendiebstahl von 3 Milliarden Nutzerkonten bei Yahoo

Welche dramatischen Folgen fehlende Datensicherheit haben kann, zeigt der Fall Yahoo: Der Internetkonzern musste 2017 eingestehen, dass sämtliche Userkonten – rund 3 Milliarden an der Zahl – von einem Cyberangriff im Jahr 2013 betroffen waren. Dabei wurden persönliche Daten wie Namen, E-Mail-Adressen, Telefonnummern und Geburtstagen gestohlen. Ein Desaster! Damit Ihrem Unternehmen das nicht passiert, sollten Sie angemessene Maßnahmen zum Schutz der Unternehmensdaten treffen. Wie diese aussehen können, zeigen wir Ihnen jetzt.

Maßnahmen für Datensicherheit

Wir wollen ehrlich zu Ihnen sein: Kein noch so exzellentes Maßnahmenpaket kann Sie zu 100 Prozent vor den Gefahren durch Cyberattacken schützen. Die Cyberkriminalität und die Methoden der Angreifer entwickeln sich so rasant weiter, dass es schlichtweg nicht möglich ist, zu jeder Zeit gegen alle denkbaren Angriffsmethoden abgesichert zu sein. Dennoch können Sie die Risiken und Gefahren durch geeignete Maßnahmen deutlich minimieren und damit den Zustand einer möglichst hohen Datensicherheit in Ihrem Unternehmen erreichen.

 
Cybersecurity

Die Maßnahmen zur Datensicherheit lassen sich in technische und organisatorische Maßnahmen teilen. Einige dieser Maßnahmen werden Ihnen sicher schon bekannt vorkommen, da sie der grundlegenden IT-Sicherheit im Unternehmen dienen und in den meisten Fällen bereits eingesetzt werden. Andere sind vielleicht neu für Sie – gerade diesen Maßnahmen sollten Sie besondere Aufmerksamkeit widmen, da Sie diese scheinbar noch nicht umgesetzt haben, sie aber für die Datensicherheit in Ihrem Unternehmen relevant sind.

Technische Maßnahmen

  • Daten-Zugriffskontrolle: Es muss geregelt und überwacht werden, welche Personen Zugriff auf welche Daten haben, indem beispielsweise verschiedene Zugriffsberechtigungen für definierte Personenkreise im Netzwerk eingerichtet werden.
  • Zutrittskontrolle: Der physische Zugang zu Firmengebäuden oder bestimmten Gebäudeteilen (z.B. Serverräumen) und damit den Daten muss vor unbefugtem Zutritt gesichert werden.
  • Sichere Authentifizierung: Authentifizierung von Usern, Anwendungen und Prozessen über spezielle Verfahren (Mehr-Faktor-Authentifizierung) und sichere Zugangsdaten
  • Netzwerksicherung und Firewalls: Nutzen Sie VPN-Verbindungen und sichern Sie den Zugang zum Netzwerk durch starke Passwörter ab. Eine Firewall ist Pflicht, sie kontrolliert den Datenverkehr und schützt vor unbefugten Netzwerkzugriffen.
  • Virenschutz: Halten Sie Ihre Virenschutzsoftware stets aktuell, sie bildet zusammen mit der Firewall die erste Schutzmauer bei Angriffen.
  • Datenverschlüsselung: Nutzen Sie geeignete Verschlüsselungs-Verfahren, um Ihre Kommunikation sowie den Datentransfer abzusichern.
  • Regelmäßige Datensicherung: Backups sind unerlässlich und gehören zu den Basics der Datensicherheit. Mehr Infos zur Datensicherung gibt’s in unserem Ratgeber zur Datensicherung
  • Unterbrechungsfreie Stromversorgung (USV): Sorgen Sie mit einer USV dafür, dass auch bei Stromausfall Ihre Systeme weiterlaufen können.
  • Logging: Über automatische Protokollierung sämtlicher Datenzugriffe und -veränderungen können Sie alle Vorgänge der Datenverarbeitung dokumentieren und damit langfristig nachvollziehbar machen.

Organisatorische Maßnahmen

  • Mitarbeitersensibilisierung: Über Security Awareness Schulungen und ähnliche Trainings entwickelt Ihre Belegschaft das nötige Bewusstsein für Datensicherheit und den richtigen Umgang mit Daten. Mehr dazu in unserem Security Awareness Ratgeber
  • Verhaltensrichtlinien und Verantwortlichkeiten festlegen: Regeln Sie klar, wer wie mit welchen Daten umgehen darf und soll. Legen Sie Verantwortlichkeiten und Rollen mit den dazugehörigen Aufgaben fest. Auf dieser Basis beruhen dann entsprechende Berechtigungen im Netzwerk etc.
  • Datenklassifizierung: Klassifizieren Sie die in Ihrem Unternehmen verarbeiteten Daten und ordnen Sie sie festgelegten Kategorien zu. Das erleichtert die Risikobewertung, auf der die geeigneten Maßnahmen zur Datensicherheit mit entsprechender Priorisierung aufgebaut werden.
  • Besucherzutrittsregelungen: Legen Sie fest, wie sich Besucher in Ihrem Unternehmen anmelden müssen, damit sämtliche Zutritte in Ihre Gebäude nachvollziehbar sind. Was dürfen Besucher einsehen, was nicht? Regeln Sie, zu welchen Gebäudeteilen Besucher Zutritt haben dürfen und lassen Sie Besucher nie unbeaufsichtigt.
  • Vier-Augen-Prinzip: Vier Augen sehen bekanntlich mehr als zwei. Das gilt besonders bei kritischen Prozessen und Aktionen: Schaffen Sie zusätzliche Sicherheit, indem mindestens zwei Personen unabhängig voneinander kritische Maßnahmen verantworten oder durchführen müssen.
  • Datensicherheitskonzept: Zu guter Letzt sollten Sie all diese Maßnahmen in einem individuellen Datensicherheitskonzept für Ihr Unternehmen festhalten. So haben Sie ein gültiges Dokument, in dem alle Sicherheitsmaßnahmen verschriftlicht sind und das damit auch als Leitfaden für verantwortliche Mitarbeitende dienen kann.

Idealerweise betrauen Sie einen Spezialisten mit der Einführung und Umsetzung dieser Maßnahmen. Das kann eine intern besetzte Stelle sein, wenn Sie die richtigen Fachkräfte im Unternehmen haben, oder aber auch ein externer Dienstleister. So oder so sollten Sie die Wichtigkeit dieser Verantwortlichkeit für das Thema Datensicherheit keinesfalls unterschätzen. Datensicherheit ist kein Thema, das „nur so nebenbei“ läuft – dafür sind die Konsequenzen im Falle eines Datenverlusts zu schwerwiegend.

Fazit: Datensicherheit ist Pflicht-Programm für jedes Unternehmen

Wir haben Ihnen in unserem Ratgeber nun hoffentlich ausreichend aufgezeigt, warum die Datensicherheit zu Recht ein Zustand ist, den jedes Unternehmen anstreben sollte. Der Aufbau höchstmöglicher Sicherheit sämtlicher Unternehmensdaten sollte nicht nur zu Ihren Zielen, sondern auch zur täglichen Routine gehören.

 

Um die Datensicherheit zu erhöhen, muss das gesamte Unternehmen für das Thema sensibilisiert sein: Auch wenn die Geschäftsführung per Gesetz verantwortlich für den Schutz der Daten ist, spielt jede*r Mitarbeitende eine Rolle bei den Sicherheitsmaßnahmen – schließlich muss letztendlich jede einzelne Person vor dem Bildschirm aufmerksam bleiben, um kein Einfallstor für Cyberkriminelle zu bieten.

 
Cybersecurity

Datensicherheit zieht sich durch sämtliche Bereiche eines Unternehmens und ist, auch vor dem Hintergrund der hier aufgeführten gesetzlichen Anforderungen, Pflicht für jedes Unternehmen. Minimieren Sie das Bedrohungsrisiko für Ihr Unternehmen und verhindern Sie schwerwiegende Folgeschäden durch Cyberangriffe.

Ist Ihre IT sicher? IT-Sicherheitscheck bringt Überblick

IT-Sicherheit ist ein komplexes Thema, bei dem es viele Aspekte zu beachten gilt – für viele Unternehmen, die nicht über das nötige interne Knowhow verfügen, häufig zu komplex. Sich deshalb aber nicht mit der Thematik auseinanderzusetzen, ist ein fataler Fehler: Cyberkriminelle nutzen mit professionellen Angriffsmethoden jedes Einfallstor, das sich ihnen bietet. Oder sollten wir in dem Fall eher sagen: das Einfallstor, das Sie den Angreifern bieten?

Sie haben keinen Überblick, ob Ihre IT-Infrastruktur ausreichend geschützt ist? Sie wissen nicht, wo Sie bei der Datensicherheit ansetzen sollen? Mit unserem kostenlosen IT-Sicherheitscheck können Sie sich einen ersten Überblick über den Zustand Ihrer IT verschaffen. Die 25 Fragen aus dem Quick-Check decken alle relevanten Bereiche Ihrer IT ab. Den Termin können wir unkompliziert online durchführen – der Aufwand für Sie bleibt gering. Gemeinsam besprechen wir mit Ihnen die Ergebnisse des kurzen Checks, um Sicherheitslücken in Ihrer IT-Infrastruktur aufzudecken, und zeigen Ihnen mögliche Optimierungspotenziale auf.

Beitrag teilen:

Das könnte Sie auch interessieren:

Cybersecurity

NIS2 – Checkliste

NIS2-Checkliste Kennen Sie eigentlich Ihren NIS2-Reifegrad? Obwohl das Inkrafttreten der EU-Richtlinie spätestens für den Anfang 2025 geplant ist, haben sich

Weiterlesen >
Jetzt anmelden
und auf dem Laufenden bleiben!

Für den Versand unserer Newsletter nutzen wir rapidmail. Mit Ihrer Anmeldung stimmen Sie zu, dass die eingegebenen Daten an rapidmail übermittelt werden. Beachten Sie bitte auch die AGB und Datenschutzbestimmungen.