Begriffsdefinitionen: Datensicherheit vs. Datenschutz
Was ist Datensicherheit eigentlich? Und was ist der Unterschied zwischen Datenschutz und Datensicherheit? Hier finden Sie eine Definition beider Begriffe und die Bedeutung der Ziele für Unternehmen.
Datensicherheit: Definition
Unter Datensicherheit versteht man den Schutz von Daten unterschiedlichster Art vor bestimmten Bedrohungen:
- Manipulation
- Beschädigung
- Verfälschung
- Verlust
- Löschung
- Diebstahl
Darüber hinaus gibt es bei der Datensicherheit konkrete Schutzziele. Diese sind:
- Vertraulichkeit: Damit ist gemeint, dass nur berechtigte Personen auf Daten zugreifen können.
- Integrität: Das bedeutet, dass Daten nicht unbemerkt manipuliert oder geändert werden.
- Verfügbarkeit: Heißt in diesem Zusammenhang, dass jederzeit Zugriff auf die Daten besteht.
- Authentizität: Dies steht für die Echtheit bzw. Originalität der Daten.
Neben Schutzmaßnahmen für die Datensicherheit im Internet ist eine umfassende Strategie für Unternehmen und Organisationen jeglicher Größe besonders wichtig.
Überwachung: Datensicherheit begutachten
Im breiten Feld der Datensicherheit gibt es viele Ansätze bzw. Methoden, wie Sie Ihre Informationen überwachen können. Das Bundesdatenschutzgesetz spricht in § 9 von technischen und organisatorischen Maßnahmen. Mit Fokus auf die Datensicherheit listet die Anlage zu § 9 BDSG unterschiedliche Varianten auf, die Kontrolle über Daten zu behalten. Diese Kontrollarten sind folgende:
- Organisationskontrolle
- Zutrittskontrolle
- Zugangskontrolle
- Zugriffskontrolle
- Weitergabekontrolle
- Eingabekontrolle
- Auftragskontrolle
- Verfügbarkeitskontrolle
- Trennung von Daten unterschiedlicher Zwecke
Datenschutz: Definition
Im Gegensatz zu den umfassenden Zielen der Datensicherheit bezieht sich der Begriff „Datenschutz“ ausschließlich auf den Schutz personenbezogener Daten, wie zum Beispiel:
- E-Mail-Adresse
- Name
- Anschrift
- etc.
Damit soll vor allem die missbräuchliche Datenspeicherung und -verarbeitung verhindert werden – ganz im Sinne des Rechts auf Selbstbestimmung und Privatsphäre. Datensicherheit und Datenschutz behandeln demnach unterschiedliche Aspekte in Bezug auf den Schutz von Daten, finden Ihre Schnittmenge jedoch bei Schutzmaßnahmen personenbezogener Daten.
Datensicherung
Die Datensicherung ist Teil der Datensicherheit. Hierbei handelt es sich um das Speichern bzw. Duplizieren der Daten an einer anderen Stelle (z. B. durch eine Online-Datensicherung in der Cloud oder einem externen Datenträger), um diese bei einem Datenverlust zurückkopieren zu können. Oft wird dieser Vorgang auch als „Backup“ bezeichnet.
Sichern Sie Ihre Daten vor Verlust, Diebstahl und Missbrauch
Um Ihnen einen 360-Grad-Überblick über das Thema Datensicherheit zu geben, beleuchten wir es aus verschiedenen Perspektiven:
- Auf dieser Seite finden Sie grundlegende Informationen zum Thema Datensicherheit.
- Außerdem erhalten Sie einen Überblick über die gesetzlichen Pflichten, die Sie als Unternehmer in Bezug auf die Sicherheit Ihrer Daten beachten müssen.
- Darüber hinaus gibt es drei spezifische Ratgeber, auf denen wir Ihnen zeigen, wie Sie Datenverluste vermeiden, Datenmissbrauch verhindern und Ihre (gelöschten) Daten im Fall der Fälle wiederherstellen.
Warum ist Datensicherheit auch in kleinen Unternehmen wichtig?
In vielen kleineren Unternehmen wird das Thema Datensicherheit immer noch stiefmütterlich behandelt. Dabei sind Daten das A und O in jedem Betrieb. Egal, ob Kundenadressen, Angebote oder Buchhaltungsbelege – Daten sind der zentrale Faktor für den wirtschaftlichen Erfolg. Die Umsetzung der Datensicherheit sollte deshalb in jedem Unternehmen oberste Priorität haben. Viele kleinere Betriebe merken allerdings erst, wie wichtig es ist, Daten zu schützen sowie Richtlinien für die Nutzung von Geräten einzuhalten, wenn das Kind bereits in den Brunnen gefallen ist.
Info
Warum ist Datensicherheit wichtig? Ein Beispiel
Hat ein Unternehmen keinen Zugriff mehr auf seine Geschäftsdaten, kann das schwerwiegende Folgen bis hin zur Existenzbedrohung haben. Wie wichtig Datensicherheit ist, zeigt sich an dem Beispiel von Kundendaten:
Sind auf einmal sämtliche Adressen, Telefonnummern, Auftragshistorien oder hinterlegte Rabatte nicht mehr da, steht der Betrieb still. Diese Daten wieder komplett neu aufzubauen, nimmt sehr viel Zeit in Anspruch und verursacht dadurch hohe Kosten – von den Lieferausfällen in dieser Zeit einmal ganz abgesehen. Ein solcher Datencrash kann in der Folge sogar existenzbedrohend sein.
Ungenügende Aktualisierung von Software und falsche Bedienung sind die mit Abstand größten Gefahren für die Datensicherheit. Aber kleine Unternehmen werden auch immer häufiger zum Ziel von Angriffen durch Cyberkriminelle und Hacker. Der Grund hierfür liegt auf der Hand: Während sich die Cybergauner an den Sicherheitsvorkehrungen der großen Unternehmen häufig die Zähne ausbeißen, haben sie bei kleineren Betrieben aufgrund von diversen Schwachstellen durch Sicherheitslücken oft noch ein (zu) leichtes Spiel. Dabei hat der Gesetzgeber den Unternehmen konkrete gesetzliche Pflichten zur Datensicherheit auferlegt.
Datensicherheit bei der Kassenführung
In diesem Bereich spielt die Sicherheit Ihrer Daten ebenfalls eine wichtige Rolle. Denn alle Belege und Informationen benötigen Sie für eine rechtskonforme Buchführung. Worauf Sie hinsichtlich der Datensicherheit beim Einsatz von Kassensystemen achten müssen, erfahren Sie in unserem Artikel „Kassenführung“.
Datensicherheit: Diese Pflichten gelten für Unternehmer
Wenn es um die Unternehmensdatensicherheit geht, gibt es verschiedene gesetzliche Pflichten, an die sich Unternehmer halten müssen. Ein wichtiger Grundsatz hierzu kommt aus dem Aktiengesetz, gilt aber genauso für Unternehmensnetzwerke innerhalb einer GmbH, OHG und UG:
Die Geschäftsführung hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit für den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.
Zu den Pflichten zählen also:
- frühe Erkennung und Abwendung von Gefahren und Problemen
- sicherer Umgang mit Daten
- Durchführen einer Risikoanalyse
- Definition wirksamer Sicherheitsmaßnahmen
Was ist IT-Compliance?
Der Begriff „Compliance“ bedeutet so viel wie „Regeltreue“. Ein Unternehmen, das sich im Sinne der Compliance verhält, hält sich also an gesetzliche Regelungen bezüglich Datensicherheit. Da Unternehmen heute einen Großteil ihrer Geschäftsprozesse digital abwickeln, spielt die IT hinsichtlich der Compliance eine große Rolle. Nur mit einer angemessen hohen IT-Sicherheit können Unternehmen die Anforderungen des Gesetzgebers erfüllen. Die wichtigsten Regelungen finden sich u. a. im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) und im IT-Sicherheitsgesetz (IT-SiG).
Tipp
Bericht: die Lage der IT-Sicherheit in Deutschland
Wie hoch ist das Risiko eines Cyberangriffs in Deutschland? Wie gehen die Angreifer vor? Und welche Standards gibt es für Datensicherheit? Im Lagebericht der IT-Sicherheit in Deutschland des Bundesamts für Sicherheit in der Informationstechnik (BSI) erhalten Sie Antworten darauf sowie auf weitere Fragen rund um das Thema Datensicherheit.
Diese Gesetze sollten Sie als Unternehmer kennen
Die Europäische Datenschutzgrundverordnung (DSGVO)
Einerseits greift bezüglich der Datensicherheit die DSGVO „nur“ auf den Schutz der personenbezogenen Daten (Kontaktdaten, Bankverbindung, Gesundheitsdaten etc.). Allerdings ist dieser Begriff sehr weit gefasst. So bringt jede Maßnahme zum Schutz der Daten mit Personenbezug fast zwangsläufig auch immer zugleich einen Schutz anderer Daten mit sich, beispielsweise von Geschäftsgeheimnissen. Insofern hat die Datenschutzverordnung einen großen Einfluss auf die Datensicherheit in Unternehmen.
Info
Technische und organisatorische Maßnahmen im Sinne der DSGVO bei der Datensicherheit
Je sensibler die (personenbezogenen) Daten sind, die verarbeitet werden, desto eher müssen auch entsprechende Datensicherheitsmaßnahmen gegen Cyberangriffe zum Einsatz kommen. Die Datenschutzgrundverordnung zählt hierbei konkret folgende technische und organisatorische Maßnahmen (TOM) auf:
- Datensicherheit durch Verschlüsselung und Pseudonymisierung personenbezogener Daten
- Relevant bei der Datensicherheit: Sicherstellung der Integrität, Vertraulichkeit, Verfügbarkeit und Belastbarkeit der Datenverarbeitungssysteme
- die Fähigkeit, die Verfügbarkeit von personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen (Datenrettung)
- ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen, um die Sicherheit der Verarbeitung zu gewährleisten.
Dabei geht es darum, stets ein angemessenes Schutzniveau zu erreichen. Und das sieht natürlich in jeder Branche, für jede Kundenzielgruppe, für jedes Unternehmen anders aus.
Die GoBD
Neben den Anforderungen durch die DSGVO müssen Unternehmer die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD) beachten. Diese regeln sowohl die Datensicherheit als auch den Umgang steuerrechtlich relevanter Belege und Dokumente in elektronischer Form. Die GoBD legen fest, wie diese erfasst, bearbeitet und (revisionssicher) archiviert werden müssen. Daneben gibt es noch verschiedene – zum Teil branchenabhängige – Einzelpflichten.
Info
Elektronische Archivierung: GoBD-konform Daten speichern
Datensicherheit bedeutet auch, dass Sie gewährleisten, dass gespeicherte Informationen nicht verändert werden können. Seit 2015 sind Sie als Unternehmer dazu verpflichtet, eine Archivierung gemäß den GoBD zu garantieren. Wie Sie das bei elektronischen Medien machen, erfahren Sie auf unserer Seite rund um das Thema Archivierung.
Da immer mehr Daten digital verwendet werden, erfolgt auch die Archivierung in digitaler Form. Um eine revisionssichere Archivierung zu gewährleisten, die den Vorgaben der Datensicherheit sowie einem geschützten Datenzugriff entspricht, greifen immer mehr Unternehmen für die Datensicherheit zu hilfreichen Softwares.
Tipp
Mit Archivierungssoftware rechtssicher arbeiten
Mit Lexware archivierung beispielsweise müssen Sie keine Prüfung mehr fürchten. Sie erhalten nicht nur eine Software, sondern ebenfalls höchste Datensicherheit für alle eingespeisten Informationen.
IT-Sicherheitsgesetz (IT-SiG) und IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0)
Das IT-Sicherheitsgesetz (IT-SiG) und das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) gelten in erster Linie für Betreiber kritischer Infrastrukturen, wie etwa Banken oder Energieversorger. Allerdings wurde durch das IT-Sicherheitsgesetz auch eine Pflicht für alle kommerziellen Website-Betreiber eingeführt, Maßnahmen zur IT- und Datensicherheit zu ergreifen. Zu solchen Datensicherheitsmaßnahmen zählt etwa die Einbindung eines SSL-/TLS-Zertifikats, durch das eine sichere Verbindung (https) zur Unternehmens-Website aufgebaut werden kann. Seit Mai 2023 ordnet das IT-Sicherheitsgesetz 2.0 Unternehmen an, ein System zur Angriffserkennung und -bewältigung zu etablieren.
Das IT-Sicherheitsgesetz 2.0 bestimmt unter anderem, dass das BSI zur zentralen Meldestelle für Informationen von Dritten über IT-Sicherheitsrisiken wird und dass das BSI auf dem Markt bereitgestellte IT-Produkte und IT-Systeme untersuchen und hierfür auch von Herstellern Auskünfte zu technischen Details verlangen darf.
Maßnahmen und Tipps, um Ihre Datensicherheit zu erhöhen
Im Grunde geht es beim Thema Datensicherheit um den Schutz vor Datendieben und selbst verschuldeten Datenverlusten. Das BSI weist zwar regelmäßig darauf hin, dass die Zahl der gezielten Angriffe auch auf die Daten von kleinen und mittleren Unternehmen immer stärker zunimmt. Trotzdem gilt: Das Problem sitzt meist vor dem Computer. Soll heißen: Ungenügende Updates und falsche Bedienung sind die mit Abstand häufigsten Ursachen für den Verlust wichtiger Daten. Um diese zu verhindern, sollten Sie nach einem durchdachten System vorgehen.
Schritt 1: Risiken erkennen
Wenn es um das Thema Datensicherheit geht, gilt: Um die Risiken für Ihr Unternehmen richtig einschätzen und angemessen darauf reagieren zu können, sollten Sie sich zunächst einen Überblick über die wichtigsten Firmenwerte verschaffen. Die Fragenliste kann dabei ziemlich lang werden und auch nichttechnische Aspekte umfassen, zum Beispiel:
- Wie viele Aufträge würden wir verlieren, wenn jemand unsere Bestell-, Kunden- oder Vertragsdaten löscht oder manipuliert?
- Wie teuer wäre es, die verlorenen Daten mithilfe von Backups oder durch manuelle Eingabe wiederherzustellen?
- Wären wir im Falle einer unbefugten Veröffentlichung interner Daten gegenüber Vertragspartnern regresspflichtig (z. B. Datenschutzrichtlinien bei Kundendaten eingehalten?)
- Wie groß wäre der Schaden, wenn unser Wettbewerber unsere wichtigsten Daten in die Hand bekäme?
Anhand der Fragen merken Sie bereits, dass Datensicherungskonzepte zwingend notwendig sind, wenn Sie sich nicht mit den negativen Konsequenzen der Antworten auseinandersetzen wollen.
Schritt 2: Spielregeln und technische Datensicherungen
Sind erst einmal die größten Risiken erkannt, stellen sich viele Unternehmen nun die Frage: Wie sichere ich meine Daten?
Anhand der Risiken können Sie relativ einfach einige Sicherheitsrichtlinien ableiten – sowohl für das Arbeiten auf dem eigenen Desktop als auch im Netzwerk. Für die Datensicherheit getroffene Maßnahmen sollten Sie in Form einer Betriebsvereinbarung verbindlich einführen und zum Bestandteil jedes Arbeitsvertrags machen.
Ein weiterer Baustein ist die Passwort- und Zugangsverwaltung. Wenn nachvollziehbar ist, welcher Mitarbeiter wann und von wo auf welche Daten zugegriffen hat, schreckt dies potenzielle Datendiebe genauso ab wie „Datenchaoten“, die es mit der korrekten Sicherung nicht so genau nehmen. Mit individualisierten Zugängen und einem durchdachten Passwort-Management sind Sie auf einem guten Weg.
Als Nächstes sollten konkrete technische Maßnahmen zur Datensicherheit und Informationssicherheit erfolgen. Der Umfang der Maßnahmen hängt dabei vom Wert der zu schützenden Daten ab. Technische Ansätze zur Absicherung von Firmeninformationen unterteilen sich prinzipiell in 4 Bereiche:
- Anti-Virus-Software/Software-Updates: Programme gegen Viren, Würmer und Trojaner sowie Firewalls sind nur wirksam, wenn sie immer auf dem neuesten Stand sind. Das gilt aber nicht nur für die Sicherheits-Software. Auch die Hersteller-Updates der übrigen Unternehmenssoftware-Lösungen sind sinnvoll: Innerhalb der Anwendungen werden aktuelle rechtliche und technische Neuerungen eingearbeitet, Fehler beseitigt oder auch bekannt gewordene Sicherheitslücken und Schwachstellen geschlossen.
- Backups: Die billigste Form der Datensicherheit vor Verlust ist die Sicherungskopie. Selbst im Fall eines Totalabsturzes hält sich der Schaden in Grenzen, wenn sich die Daten zumindest auf dem Stand der letzten Sicherungskopie leicht rekonstruieren lassen. Anders sieht es bei physischen Beschädigungen aus – zum Beispiel, wenn der Firmenserver im Keller unter Wasser steht. Davor schützt nur ein zusätzliches, räumlich getrenntes Backup, auf dem die Daten gesichert werden, oder die Online-Datensicherung. Einige Software-Hersteller bieten ihren Kunden Dienste an, um die Datensicherheit in einer Cloud zu erhöhen. Unternehmen legen am besten die Firmendaten – immer entsprechend den EU-verbindlichen Datenschutzrichtlinien – über einen verschlüsselten Zugang in Hochsicherheits-Rechenzentren ab (z. B. Lexware datensicherung online).
- Kryptografie: Ein wichtiger Teil Ihres Datensicherheitskonzepts stellt die Kryptografie dar. Das Verschlüsseln von empfindlichen Daten ist die einfachste und wirkungsvollste Art, sich vor unbefugtem Zugriff zu schützen. Leider wird diese Tatsache in der Unternehmenspraxis viel zu selten beachtet. Allerdings lohnt sich der Einsatz effizienter Verschlüsselungsverfahren nur, um äußerst sensible Unternehmensdaten zu schützen, etwa in der Produktentwicklung.
- Stromversorgung: Sogar in Deutschland gehen bis zu 46 Prozent aller schwerwiegenden Fälle von Datenverlust auf das Konto der E-Werke. Zwar weisen die Stromnetze hierzulande eine durchschnittliche Verfügbarkeit von 99,98 Prozent auf, das heißt aber auch, dass der Strom jedes Jahr für 105 Minuten weg ist. Außerdem gibt es in Deutschland regelmäßig Spannungsschwankungen, die empfindliche Computersysteme fast ebenso stark beeinträchtigen können wie ein Totalausfall. Geld für eine eigene unterbrechungsfreie Stromversorgung kann also gut angelegt sein, wenn es darum geht, geeignete Maßnahmen gegen Datenverlust und für mehr Datensicherheit zu treffen.
Schritt 3: Mitarbeiter schulen
Damit für die Datensicherheit ein allgemeines Verständnis herrscht und eine Umsetzung im Arbeitsalltag erfolgt, sollten Sie Ihre Mitarbeiter regelmäßig darüber aufklären.
- Führen Sie in wiederkehrenden Intervallen Schulungen durch, die Ihrem Team die wichtigsten Signale für Cyberangriffe nahebringen.
- Ernennen Sie, je nach Unternehmensgröße, einen oder mehrere Datenschutzbeauftragte. Diese sorgen dafür, dass alltägliche Maßnahmen eingehalten und umgesetzt werden.
Schritt 4: Ein Plan für den Notfall
Der Notfallplan ist ein elementarer Baustein jedes guten Konzepts zur Datensicherheit. Dazu gehört zunächst einmal die Definition: Was ist ein Notfall? Nicht jede kaputte Festplatte ist eine fatale Datenpanne. Oftmals lassen sich Ausfälle von Computern oder Netzwerken durch geplante Maßnahmen, zum Beispiel durch Ersatzbeschaffung, in kurzer Zeit beheben.
Der wahre Notfall tritt erst dann ein, wenn innerhalb der erforderlichen Zeit keine Wiederherstellung der Verfügbarkeit möglich ist und sich daraus ein messbarer Schaden ergibt. Das Sicherheitskonzept sollte diese kritische Grenze beschreiben, damit Sie schon bei Eintritt eines zum Notfall führenden Ereignisses alle erforderlichen Maßnahmen ergreifen können, um die Datensicherheit zu erhöhen und den Schaden in Grenzen zu halten, wie beispielsweise:
- Ersatzbeschaffung
- Anforderung der Backups
- Benachrichtigung wichtiger Kunden oder Geschäftspartner
Zusammenfassung
Sie sind für die IT-Sicherheit in Ihrem Unternehmen verantwortlich
Als Unternehmer sollten Sie die Vorschriften und Gesetze zum Thema Datensicherheit im Blick behalten. Immerhin sind Sie als Chef dafür verantwortlich, dass Ihr Unternehmen die Vorgaben einhält und Ihre Daten zuverlässig vor Verlust, Diebstahl und Missbrauch geschützt sind. Sie müssen nicht nur die Datensicherheit erhöhen, sondern potenzielle Risiken erkennen und auf ein Minimum reduzieren.