Datensicherheit/ IT-Sicherheit

Was ist der Unterschied zwischen Datenschutz und Datensicherheit?

Bei dem Begriff Datenschutz handelt es sich um das (verfassungsmäßige) Recht jedes einzelnen Bürgers auf Schutz der Persönlichkeit bzw. den Schutz der Privatsphäre vor missbräuchlicher Datenverarbeitung („Recht auf informationelle Selbstbestimmung“).

Datensicherheit, oft auch als Informationssicherheit, IT-Sicherheit oder IT-Security bezeichnet, ist der Schutz der Daten vor Missbrauch, unberechtigter Einsicht oder Verwendung, Änderung oder Verfälschung durch entsprechende Maßnahmen (Hardware, Software, räumliche Zugang, physischer Schutz einschließlich Katastrophenschutz). Daten sind in diesem Fall neben personenbezogene Daten auch Firmendaten, Patente, Geschäftsgeheimnisse u.v.m.

Informationssicherheitsbeauftragter versus Datenschutzbeauftragten?

Neben oder zusätzlich zu einem Datenschutzbeauftragten kann ein Unternehmen auch einen Informationssicherheitsbeauftragten (oder CISO - Chief Information Security Officer) berufen. Da die Schnittmenge zwischen Datenschutz und IT-Sicherheit aufgrund der nach § 9 BDSG zu erfüllenden technisch-organisatorischen Maßnahmen recht hoch ist, kann es, abhängig von Größe und Ressourcen des Unternehmens durchaus sinnvoll sein, den Datenschutzbeauftragten auch als IS-Beauftragten zu berufen. Vorsicht in Bezug auf Interessenskonflikte ist natürlich geboten! Wie der Datenschutzbeauftragte kann der IS-Beauftragte extern berufen werden. In diesem Fall ist dies auch bei Behörden so möglich.

Ist bei einem Informationssicherheitsbeauftragten eine „Fachkunde“ (analog zum Datenschutzbeauftragten) erforderlich?

Eine gesetzliche Vorschrift, wie beim Datenschutzbeauftragten, gibt es beim Informationssicherheitsbeauftragten nicht. Das für die Ausübung der Tätigkeit erforderliche Wissen wird vor allem durch ein (Wirtschafts-) Informatikstudium erworben. Viele dieser Studiengänge enthalten als Vorlesungsreihe oder Schwerpunkt „IT-Sicherheit“ bzw. „IT-Security“. Einer der Forschungs-und Lehrschwerpunkte von Prof. Jäschke an der FOM ist „Netzwerke und IT-Sicherheit“. Auch andere Mitarbeiter der DATATREE AG verfügen über ein abgeschlossenes Studium der Informatik .

Was beinhaltet die Tätigkeit eines Informationssicherheitsbeauftragten?

Die Erstellung von Sicherheitsleitlinien und Sicherheitskonzepten gehört zu den wichtigsten Aufgaben eines IS-Beauftragten. Sie tragen einen wesentlichen Teil dazu bei, Vertraulichkeit, Sicherheit und Verfügbarkeit von Daten, Geschäftsprozesse und IT-Infrastrukturen sicherzustellen und die Einhaltung der technisch-organisatorischen Maßnahmen nach § 9 BDSG aus IT-Aspekten zu gewährleiten.

Die Zusammenarbeit beginnt meist mit einer Dokumentation der Standorte, Netzwerkstrukturen, der genutzten Hard- und Software, eventuell genutzten Cloud-Dienste, bestehenden Sicherheits- und Berechtigungskonzepte sowie einer Analyse, welche Erfordernisse an die Sicherheit durch das Geschäftsmodell des Unternehmens und aufgrund der Sensibilität seiner Daten gestellt werden. Basierend auf den Analyseergebnissen werden Sicherheitskonzepte erstellt und implementiert. Wichtig angesichts der ständigen Veränderungen in der IT ist die kontinuierliche Unterstützung des Unternehmens ebenso wie die Prüfung bei der Einführung neuer Technologien nach IT-Sicherheitsaspekten.

Wie sieht eine Unterstützung auf Projektbasis aus?

Abhängig von Geschäftsmodell und Unternehmensgröße ist nicht bei allen Unternehmen die Berufung eines IS-Beauftragten nötig. In einigen Unternehmen können die beschriebenen Aufgaben durch die IT-Abteilung wahrgenommen werden. Eine Beauftragung auf Projektbasis könnte dann z.B. sein:

  • Unterstützung des internen IS-Beauftragten bei Wahrnehmung seiner Aufgaben, besonders zu Beginn seiner Tätigkeit
  • Unterstützung der IT-Abteilung bei der Einführung neuer Technologien
  • Begleitung bei Auslagerung von Bereichen der IT außerhalb der Unternehmenssphäre (Cloud)
  • Sicherheitsüberprüfung vorhandener Systeme z.B. durch einen Penetration Test
  • Sensibilisierung der Mitarbeiter bezüglich der Umsetzung von IS-Richtlinien in ihrer alltäglichen Arbeit