Was bedeutet der Datenschutz für die Cyber-Security?

Datenschutz:

Unter dem Begriff Datenschutz wird der Schutz personenbezogener Daten vor missbräuchlichen Zwecken, oft im Zusammenhang auch mit dem Schutz der Privatsphäre verstanden. Ziel des Datenschutzes ist die Sicherung des Grundrechts auf informationelle Selbstbestimmung der natürlichen Einzelperson. Jeder kann selbst bestimmen, wem er wann welche seiner Daten und zu welchem Zweck zugänglich macht. Gesetzesgrundlage ist die EU-Datenschutzgrundverordnung (EU-DSGVO) und das Bundesdatenschutzgesetz neue Fassung (BDSG-Neu).

Die EU-DSGVO schafft ein einheitliches Datenschutzniveau und somit gleiche Datenschutzstandards für alle Mitgliedsstaaten in Europa, stärkt die Rechte der betroffenen natürlichen Personen und misst dem Datenschutz eine höhere Bedeutung in den Unternehmen zu. Schwerpunkte sind die Informationspflicht gegenüber den Betroffenen, der Datenübertragbarkeit, dem Arbeitnehmerdatenschutz, verschärfte Anforderungen im Bereich der Auftragsdatenverarbeitung und dem „Recht auf Vergessen werden“.

Begriffsdefinition Cyber-Security:

„Cyber“ bezeichnet im engeren Sinne eine konkrete virtuelle Welt oder Realität, im erweiterten Sinn die Gesamtheit mittels Computer erzeugter räumlich anmutender oder ausgestalteter Bedienungs-, Arbeits-, Kommunikations- und Erlebnisumgebungen. In der verallgemeinernden Bedeutung als Datenraum umfasst der Cyberspace das gesamte Internet.

Cyber-Sicherheit befasst sich mit allen Aspekten der Sicherheit in der Informations- und Kommunikationstechnik. Das Aktionsfeld der klassischen IT-Sicherheit wird dabei auf den gesamten Cyber-Raum ausgeweitet. Dieser umfasst sämtliche mit dem Internet und vergleichbaren Netzen verbundene Informationstechnik und schließt darauf basierende Kommunikation, Anwendungen, Prozesse und verarbeitete Informationen mit ein. Gesetzesgrundlage für die IT- und Cyber- Sicherheit ist in Deutschland das IT-Sicherheitsgesetz als Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme.

Cyber-Security ist somit der Schutz von Netzwerken, Computersystemen, cyber-physischen Systemen, KI-Systemen und Robotern vor Diebstahl oder Beschädigung ihrer Hard- und Software oder der von ihnen verarbeiteten Daten sowie vor Unterbrechung oder Missbrauch der angebotenen Dienste und Funktionen. Dabei handelt es sich sowohl um persönliche als auch um betriebliche Daten.

 

Überschneidungspunkte zwischen dem Datenschutz und der Cyber-Security:

Der Datenschutz braucht die Cyber-Security, während die Cyber-Security allein durch ihre Zweckbestimmung schon ein Teil des Datenschutzes ist. Um personenbezogene Daten zu schützen und auch die Verarbeitung vertraulich und sicher zu gestalten, ist es unabdingbar, Lösungen der Cyber-Security einzusetzen. Dies fängt im Kleinen bereits bei der Sicherung der Hardware an, auf der personenbezogene Daten verarbeitet werden. Dazu stellen sich schon Fragen wie beispielsweise: Ist eine Firewall installiert? Ein Anti-Viren Schutz aktiv und auf aktuellstem Stand? Ist die eigene Webseite sicher verschlüsselt? Dies sind grundsätzliche Fragen und Anforderungen die der Datenschutz – zu finden im Katalog der technischen & organisatorischen Maßnahmen gemäß Artikel 32 DSGVO – an die Sicherheit der IT-Systeme stellt. Besonders für Unternehmen ab 250 Mitarbeitern sind die Hürden groß – aber nicht unüberwindbar. Doch Cyber-Security schützt noch einiges mehr als die personenbezogenen Daten, die laut EU-DSGVO auch nachweisbar geschützt werden müssen. Was ist mit dem Schutz von Robotern, intelligenten Systemen und hochsensiblen Bereichen, wie etwa einem Atomkraftwerk, Wasser- und Stromversorgungsnetze, Lebensmittelketten etc.? Hier ist die Cyber-Security das Mittel der Wahl, um ganze Infrastrukturen vor schädlichen oder terroristischen Angriffen zu schützen.

Herausforderungen und Chancen der Cyber-Security:

Kleinste Sicherheitslücken in der digitalen Sicherheit kann Unternehmen – und deren Kunden – teuer zu stehen kommen. Mit regelmäßigen gründlichen Sicherheitsüberprüfungen können die meisten Risiken ausgeschlossen werden. Dazu bedarf es einer umfassenden Beratung und Durchführung durch einen Experten, sowie klare Richtlinien, Umsetzungs- und Dokumentationspläne. Die Folgen eines Hackerangriffs auf ein Unternehmen sind dabei meist schwerwiegender als die eigentliche Attacke, hohe Schadensersatzforderungen und massive Imageschäden drohen. Als Beispiel ist hier ein besonders hinterhältiger Angriff auf die US-Baumarktkette Home Depot zu nennen, der im September 2014 einen Millionenschaden verursacht hat. Cyberkriminelle hatten es geschafft, Malware in das Kassensystem von über 2000 Filialen einzuschleusen. Als Folge davon wurden 56 Millionen Kreditkarteninformationen von Kunden aus den USA und Kanada direkt bei der Zahlung in den Filialen gestohlen. Darüber hinaus fielen zusätzlich 53 Millionen E-Mail Adressen in die Hände der nach wie vor nicht identifizierten Hacker. Der finanzielle Schaden wird auf rund 62 Millionen Dollar beziffert. Ein Vorfall wie dieser ist auch in Europa denkbar – zwar sind die europäischen Sicherheitsstandards im Zahlungsverkehr hoch, doch Anlass zur Unaufmerksamkeit bietet dies nicht, denn die Hacker sind fast genauso schnell darin, Sicherheitssysteme zu überwinden wie Sicherheitsexperten diese Systeme laufend verbessern. An dieser Stelle ist auch auf den erfolgreichen Cyber-Angriff 2017 / 2018 auf die vermeintlich als hochsicher geltenden Systeme der Bundesregierung zu verweisen, bei dem Schadsoftware eingeschleust und Daten erbeutet wurden.
Die Aufrüstung der Sicherheitssysteme – auch um den Anforderungen der Datenschutzgrundverordnung Genüge zu tun – stellt einen Gewinn für die Sicherheit eines jeden Unternehmens dar. Die größten Risiken durch Hackerangriffe sind der Datendiebstahl, die Datenmanipulation, die Beeinflussung der firmeninternen Abläufe, Wettbewerbsbetrug und Wirtschafts-/Betriebsspionage. Die Industrie 4.0 stellt dabei ein besonderes Ziel dar, ist sie doch hochtechnisch gerüstet und bereits heute – besonders im verarbeitenden Gewerbe – intern hochvernetzt. Hackerangriffe können ganze Produktionsabläufe lahmlegen, die Sensorik der vernetzten Maschinen manipulieren – was ganze Chargen wertlos macht, weil die Produkte bspw. zu klein oder zu groß geraten – die fatale Folge: eine ganze Zulieferkette kommt zum Erliegen, Millionenschäden werden kettenweise ausgelöst. Wer jetzt sensibel für die Themen Datenschutz und Cyber-Security ist und konsequent an der Umsetzung arbeitet, der kann infolge dessen Störungen und Angriffe früher erkennen und abwehren. Erste Quellen, um sich mit dem Thema Cyber-Security auseinanderzusetzen, werden am Ende des Beitrags aufgeführt.

Datenschutz in die Cyber-Security implementieren

Die Herausforderungen des Datenschutzes und der Cyber-Security laufen ineinander über. Allein die Anforderungen des Datenschutzes – besonders in den technischen & organisatorischen Maßnahmen zu finden – erfordern ein gut durchdachtes Konzept mit einem gesunden Mix aus aktuellem Stand der Sicherheitstechnik, Prozessdefinition, Beobachtung der Systeme und Sensibilisierung der Anwender. Besonders ist die kontinuierliche Verbesserung der operativen Prozesse wichtig, um das erforderliche IT-Sicherheitsniveau aufrecht zu erhalten und dem Datenschutz gerecht zu werden. Dies obliegt keinesfalls der alleinigen Verantwortung des Datenschutzbeauftragten, sondern ist als ganzheitliches IT-Sicherheitskonzept zu sehen und zu verstehen, das sowohl den Herausforderungen des Datenschutzes, als auch den Anforderungen an die Sicherheit der betrieblichen Systeme gereicht. Um den bestmöglichsten Schutz zu gewähren, ist somit eine ausführliche Beratung, Erfassung des IST-Zustandes, Planung des SOLL-Zustandes – unter Beachtung aller gesetzlichen und individuellen Anforderungen – , sowie die Durchführung des Konzeptes und der Sensibilisierung der Mitarbeiter durch einen Experten notwendig, der im besten Falle sowohl mit dem Datenschutz als auch mit der IT-Sicherheit und den technischen Möglichkeiten vertraut ist und dementsprechende Erfahrung vorweisen kann. Hier sollte jeder Unternehmer und jede Unternehmerin bereit für Investitionen sein, ein billiges Angebot kann hier Unerfahrenheit und in deren Folge den absoluten Crash bedeuten. Ein leichtfertiger Umgang führt zu hohen Geldbußen durch die zuständigen Landesdatenschutzbehörden und bedroht zusätzlich die Integrität der IT des Unternehmens und damit die Existenz eines Unternehmens an sich.

Nützliche Tipps zur sofortigen Verbesserung / Umsetzung:
  • Informieren Sie sich – falls noch nicht geschehen – umfassend über die Themen Datenschutz und IT-Sicherheit – gute Quellen finden Sie weiter unten im Quellverzeichnis
  • Überprüfen und dokumentieren Sie die Zugänge zum Firmengelände, bzw. zum Gebäude und den Zutritt zu den Räumlichkeiten. Wie werden diese gesichert? Sensibilisieren Sie Ihre Mitarbeiter – falls notwendig – dazu, die Räumlichkeiten und den Zutritt zum Gebäude verschlossen zu halten. Denken Sie darüber nach, den Schutz des Gebäudes und der Räume zu verbessern, zum Beispiel durch das Einsetzen von Sicherheitsschlössern, Bewegungsmelder, Alarmanlagen etc.
  • Wer hat Zugang zum Gebäude und zu einzelnen Räumlichkeiten? Gibt es eine Schlüsselliste? Sind die Schlüssel – insbesondere für Räume innerhalb des Gebäudes – vor der Anfertigung von Duplikaten geschützt?
  • Betrachten Sie Ihre Übertragungswege von Daten. Sind diese durch Verschlüsselungsverfahren bereits gesichert? Dazu zählt z.B. ein Virtual Private Network (VPN) oder die E-Mail Verschlüsselung.
  • Überprüfen Sie ungenutzte Netzwerkdosen – sind diese deaktiviert? Falls Nein, sorgen Sie für die Deaktivierung!
  • Nutzen Sie ein Anti-Viren System? Ist dieses auf dem aktuellen Stand? Klicken Sie die Update-Meldungen nicht weg – starten Sie sie, und zwar so schnell wie möglich!
  • Kontrollieren Sie die Nutzung mobiler Datenträger! Ist eine Malware einmal ins System eingedrungen, kann sie massiven Schaden anrichten. Eine zusätzliche Schutzmaßnahme ist die Kontrolle / Verbot der Nutzung von mobilen Datenträgern, bzw. die ausschließliche Nutzung firmeneigener – am besten verschlüsselter – Datenträger.

Dies sind einige der Maßnahmen, die für die Ausfertigung einer Datenschutzdokumentation notwendig sind. Allgemein sollten Sie kritisch durch Ihre Systeme und Prozesse gehen um sensibel für Datenschutzvorfälle und Cyberkriminalität zu bleiben. Bitte denken Sie nicht, es wird Sie schon nicht treffen, weil Ihr Unternehmen unter Umständen gar keinen Grund aufweist, in deren Systeme einzudringen! Hacker wählen ihre Opfer auch zufällig aus, wird eine Sicherheitslücke gefunden, wird sie eben auch genutzt – dabei kann es zufällig Ihr Unternehmen treffen!

Fazit:

Beide großen Themen – Datenschutz & Cyber-Security – spielen tragende Rollen für die Entwicklung hochvernetzter, intelligenter und autonomer Systeme. Der technologische Fortschritt ist nicht aufzuhalten, IT-Anforderungen und Sicherheitskonzepte müssen zwingend mitwachsen. Deswegen ist und bleibt die IT das Herzstück eines jeden Unternehmens – nehmen Sie die Bedrohung ernst und handeln Sie!

Inhaltliche Quellen:

https://www.datenschutz-ist-pflicht.de/
https://www.gdv.de/de/themen/news/-dann-ist-die-firma-platt–48486
https://de.wikipedia.org/wiki/Informationssicherheit
https://de.wikipedia.org/wiki/Datenschutz-Grundverordnung
https://www.ldi.nrw.de/index.php
https://www.plesnik.de/

Zurück nach oben