Der Unterschied zwischen Informationssicherheit, IT-Sicherheit, Datenschutz und Compliance
Ist Informationssicherheit nicht das gleiche wie IT-Sicherheit? Muss für Compliance nicht immer auch Datenschutz betrachtet werden? Gerne werden diese Begriffe übereinander gelegt und falsch verstanden. Da ich in meinem beruflichen Alltag immer wieder damit zu tun habe und auch Stellenaussschreibungen teilweise zu kuriosen Kombinationen von Titel und Aufgaben führen, greife ich in diesem Beitrag die Unterschiede auf. Die Erläuterungen sind subjektiv und die Grenzen definieren viele Organisationen sicher auch anders, jedoch finde ich es hilfreich eine grobe Orientierung zu geben - ganz besonders, wenn ihr euch gerade in das Thema einlest oder euch beruflich orientieren wollt!
Informationssicherheit
Beginnen wir mit der Informationssicherheit. Die Informationssicherheit (englisch information security) betrachtet den generellen Schutz von Informationen in einer Organisation (d. h. einer Firma, einem Verein, einer beliebigen Personengruppe usw.). Informationen können alles sein, von Patenten, Kundendaten über Quellcode von Software, Bauplänen, Gehaltslisten, Rechnungen, Marketingmaterial, Telefonlisten und und und.. Diese Informationen vor Missbrauch und Diebstahl zu schützen ist die Aufgabe der Informationssicherheit.
Wenn man nun beabsichtigt, einen guten Schutz zu definieren, sprechen wir von Schutzniveau. Um ein hohes Schutzniveau zu erreichen nimmt man dann wiederum die so genannten Schutzziele als Referenz. Diese sind meistens aus der CIA-Triade entnommen:
- Vertraulichkeit (Confidentiality; heißt, ausschließlich ausgewählte Personen dürfen die Informationen sehen),
- Integrität (Integrity; heißt, die Informationen sind vor Verfälschung geschützt) und
- Verfügbarkeit (Availability; heißt, dass die Informationen zur Verfügung stehen, wenn sie gebraucht werden).
Darüber hinaus gibt es noch drei weitere, interessante Schutzziele:
- Authentizität (Authenticity; eindeutige Identifizierbarkeit von Personen),
- Nicht-Abstreitbarkeit (Non-Repudiation; Umgang mit Informationen ist nachweisbar) und
- Autorisierung (Authorization; Zugriffsrechte sind überprüfbar und können Zugriff einschränken).
Ganz wichtig ist auch zu erwähnen, dass es sich bei den Zielen der Informationssicherheit nicht unbedingt um technische Systeme handeln muss. Betrachtet werden z. B. auch der Zugang zu Papierakten oder der Schutz von Briefpost. Hinzu kommt, dass in diesem Kontext auch Risikomanagement angewandt und die wirtschaftliche Betrachtung (Abwägung) von Verteidigungsmaßnahmen ggü. dem potentiellen Schaden vorgenommen wird. Das sind weitere sehr große Felder, die alle in eigenen Blog-Beiträgen erläutert werden müssten..
IT-Sicherheit / IT-Security / Cybersecurity
Im Bereich Cybersecurity (ja, ich wähle cyber in diesem Falle, weil sich Cybersecurity international stark verbreitet hat) wird die Umsetzung der geplanten Schutzmaßnahmen aus technischer Sicht betrachtet. Vom abstrakten Modell der Informationen kommen wir somit auf die Betrachtung der technischen Infrastruktur, der Verbindungen von Computer-Systemen untereinander und der Datenflüsse zwischen Maschinen (data flows). Die Verteidigung besteht aus einer Analyse der Infrastruktur, der Identifizierung von Angriffsvektoren und der darauf basierenden Implementierung von Abwehrmaßnahmen. Meist kommt dann noch die Überwachung (Monitoring) hinzu, so dass die Systeme fortlaufend ihren Status melden. Sobald Probleme oder gar Angriffe erkennbar sind, können Alarme generiert werden.
An dieser Stelle möchte ich euch auf die sehr ausführliche Wikiseite für Computer security verweisen, da eine tiefergehende Erläuterung der Inhalte diesen Artikel sprengen würde.
Zum IT-Sicherheitsmanagement gibt es die anerkannte Standards der ISO/IEC-27000-Reihe und in Deutschland der IT-Grundschutzkatalog des BSI.
Datenschutz
Jetzt haben wir schon in der Informationssicherheit gelernt, dass diese Informationen und somit Daten schützt. Was macht dann nun noch der Datenschutz? Entgegen dem, was man denken könnte, schützt der Datenschutz keine Daten, sondern Menschen. Der Datenschutz schützt Menschen vor dem Missbrauch von Daten, welcher negative Konsequenzen für die betroffenen Personen haben könnte.
Die im Mai 2018 in Kraft getretene DSGVO (Datenschutz-Grundverordnung), welche die deutsche Umsetzung der europäischen GDPR (General Data Protection Regulation) ist, setzt hier die größten Standards. Alle Organisationen in Deutschland, die Daten verarbeiten, müssen sich an die Anforderungen aus der DSGVO halten. Informiert euch gerne auf dsgvo-gesetz.de.
Ein wichtiges Grundpinzip des Datenschutzes ist die Datensparsamkeit, bzw. die Datenminimierung. Auch diese ist in der DSGVO verankert. Das Ziel ist, dass grundsätzlich nur die notwendigsten Daten über Menschen gespeichert werden, um ein Ziel zu erreichen. Beispiel: Ihr interessiert euch für Angebote eines Onlinehändlers und wollt den Newsletter bestellen. Braucht dieser dafür eure Anschrift und Telefonnummer? Nein. Wenn diese Daten beim Eintragen in den Newsletter abgefragt werden, werden sie mit Sicherheit für andere Zwecke als die Zustellung des Newsletters verwendet. Und das ist, was durch Datenminimierung verhindert werden soll.
Seit Jahren ist der Datenschutz ein heißes Thema und er wird auch gerne als Ausrede für schlechte Projekte oder Unwillen missbraucht. Leider hat es größere Vorfälle gebraucht, um die Stimmung in eine andere Richtung zu schwenken - man denke nur an Cambridge Analytica und Co.
Compliance
Zu guter letzt greife ich an dieser Stelle auch nochmal das Stichwort Compliance auf. Die Compliance deckt grundsätzlich die Anweisungen und Kontrollen ab, die darauf abzielen, einen Soll-Ist-Abgleich zu gegebenen rechtlichen Anforderungen zu formulieren. Viele Firmen, besonders größere Konzerne, beschäftigen auch eigene Compliance-Abteilungen, andere formulieren zumindest Richtlinien für den Betrieb.
Klingt abstrakt? Ist es häufig leider auch. Nehmen wir daher als Beispiel die Arbeitsanweisung „Als vertraulich markierte Dokumente sind im Aktenvernichter zu entsorgen“. Nun seid ihr in der Firma angestellt und macht genau dies mit euren Dokumenten - ihr verhaltet euch also konform bzw. compliant. Die bereits erwähnte Compliance-Abteilung hat zuvor die Anweisung formuliert und diese dann an alle verteilt. Tada, Compliance fertig! Meistens wird durch die gleiche Abteilung übrigens auch die Einhaltung kontrolliert, wenn nicht durch die Revision. So leidlich diese Prozesse des öfteren sind, sind wie schon erwähnt meist gesetzliche Auflagen der Hintergrund für Compliance-Vorgaben. In diesem Beispiel könnte es sich z. B. um ein Krankenhaus handeln, welches mit sensiblen Patientenakten im Alltag arbeitet. Diese müssen gesondert beschützt und entsorgt werden. Oder wollt ihr, dass wildfremde Menschen euren Krankenverlauf kennen (Datenschutz!)?
Schlusswort
Mit diesem vierten Begriff beende ich mal diesen Beitrag. Alle vier sind wirklich spannende Themen und es herrschen herausfordernde Zeiten in allen Belangen. Kontaktiert mich gerne, falls ihr mehr erfahren wollt!