Informationssicherheit und Datenschutz - einfach & effektiv

Man wächst mit der Herausforderung.

Quelle: Unbekannt

Die Informations- und Kommunikationstechnik hat alle Lebensbereiche durchdrungen. Die Geschäftsprozesse von Unternehmen kommen kaum mehr ohne IT-Unterstützung aus. Die horizontale und vertikale Vernetzung von Partnern bis zu Maschinen nimmt immer weiter zu. Nur so kann schnell auf Kundenanfragen und sich ändernde Kundenbedürfnisse reagiert werden. Die hohe Durchdringung mit Informations- und Kommunikationstechnik erhöht jedoch gleichzeitig die Abhängigkeit und die Anfälligkeit für die kontinuierlich zunehmenden Sicherheitsbedrohungen, zum Beispiel im Kontext von Cyber-Security.

Sicherheits- und Datenpannen, wie Massen-E-Mails mit Viren, Veröffentlichung von vertraulichen Daten oder manipulierte, missbräuchlich verwendete, mutwillig zerstörte oder kompromittierte Daten, können für die Unternehmen zu ernsthaften rechtlichen oder wirtschaftlichen Konsequenzen führen. Insbesondere aber auch die Nichtverfügbarkeit von Systemen hat erhebliche wirtschaftliche Auswirkungen. Ein Beispiel hierzu ist die Unterbrechung einer Lieferkette in einer Just-in-time-Fertigung (JIT-Fertigung) aufgrund eines Systemabsturzes, der zu einem Produktionsstillstand führt, da wesentliche Rohstoffe oder Teile nicht angefordert werden und somit fehlen.

Externe Vorgaben wie Gesetze, Regulatoren und Normen sowie Anforderungen interessierter Parteien (z. B. BDSG, UWG, TMG, Regulierungsbehörden) und Verträge erfordern ein angemessenes Sicherheitsniveau und die Einhaltung von Formalien. Vorstände und Geschäftsführer haften persönlich für viele Versäumnisse und mangelnde Risikovorsorge. Ein Beispiel sind die hohen Bußgelder bei Datenpannen im Kontext der EU-DSGVO (europäische Datenschutzgrundverordnung) oder aber der NIS-2-Richtlinie. Imageschäden und Folgekosten erhöhen die Schadensauswirkungen noch erheblich. Die Gewährleistung der Persönlichkeitsrechte Betroffener und die Sicherstellung der Rechenschaftspflicht sind daher Grundanforderungen an ein Datenschutz-Managementsystem.

Informationssicherheit und Datenschutz sind unerlässlich, um sowohl personenbezogene Daten als auch Geschäfts- und Unternehmensgeheimnisse zu schützen und einen zuverlässigen Geschäftsbetrieb und die kontinuierliche Weiterentwicklung des Geschäftsmodells zu gewährleisten. Es geht letztendlich darum, mit Informationssicherheitsmanagement und Datenschutz den Erfolg des Unternehmens abzusichern (siehe Bild 1.1). Gerade im Zeitalter der digitalen Transformation sind "sichere" Daten- und Integrationsplattformen mit vielen Automatismen als integraler Bestandteil des Managementsystems unerlässlich. Nur so kann der Mehrwert aus Daten gehoben und Big Data, Business-Analytics rechtssicher und berechtigt genutzt werden.

Bild 1.1 Nutzenorientiertes Management von Datenschutz und Informationssicherheit

Die Informationssicherheit und der Datenschutz eines Unternehmens müssen einen Handlungsrahmen und Hilfestellungen liefern, um den kontinuierlichen Geschäftsbetrieb und auch die Geschäftsmodellweiterentwicklung hinreichend sicher zu ermöglichen.

Die Herausforderungen in Informationssicherheit und Datenschutz nehmen immer weiter zu und sind eng auch mit der Umsetzung weiterer Compliance-Anforderungen verbunden. Nach einer Einordnung von Informationssicherheit und Datenschutz schauen wir uns die Anforderungen etwas näher an.

In diesem Kapitel finden Sie die Antworten auf folgende Fragen

       Warum sind Informationssicherheit und Datenschutz wichtig?

       Was ist Informationssicherheit?

       Was ist Datenschutz?

       Welche Anforderungen leiten sich aus Gesetzen und Normen ab?

Wie bereits ausgeführt, sind Informationssicherheitsmanagement und Datenschutz essenziell, um den Erfolg des Unternehmens abzusichern. Was versteht man aber unter Informationssicherheit und Datenschutz?

Die Informationssicherheit zielt auf den angemessenen Schutz von Informationen und IT-Systemen in Bezug auf alle festgelegten Schutzziele, wie Vertraulichkeit, Integrität und Verfügbarkeit, ab. Ein unbefugter Zugriff oder die Manipulation von Daten soll verhindert und soweit möglich vorgebeugt werden, um daraus resultierende wirtschaftliche Schäden zu verhindern. Bei den Daten ist es unerheblich, ob diese einen Personenbezug haben oder nicht. Informationen können sowohl auf Papier als auch in IT-Systemen vorliegen.

IT-Sicherheit adressiert als Teilbereich der Informationssicherheit den Schutz elektronisch gespeicherter Informationen und deren Verarbeitung inklusive Funktionssicherheit, also das fehlerfreie Funktionieren und die Zuverlässigkeit der IT-Systeme. Hier müssen auch Systeme einbezogen werden, die häufig nicht unmittelbar als IT-Systeme wahrgenommen werden, wie Steuerungs- (ICS) oder IoT-Systeme. Die IT-Sicherheit ist also Bestandteil der Informationssicherheit. Das Aktionsfeld der klassischen IT-Sicherheit wird bei der Cyber-Sicherheit auf den gesamten Cyber-Raum ausgeweitet.

Unter Datenschutz wird primär der Schutz personenbezogener Daten vor missbräuchlicher Verwendung und Datenverarbeitung verstanden, um das Recht des Einzelnen auf informationelle Selbstbestimmung zu stärken.

Es stellt sich hierbei nicht die Frage, ob man Informationssicherheit und Datenschutz adressiert, sondern nur wann und in welchem Umfang. Die Kernfrage lautet: "Wann ist man hinreichend sicher?"

       Welche Richtlinien, Verfahrensanweisungen und Arbeitsanweisungen sind erforderlich?

Mögliche Antwort: verpflichtende und empfohlene Dokumente aus Informationssicherheit und Datenschutz (u. a. ISO 2700X, BSI IT-Grundschutz, NIS-2-Richtlinie und EU-DSGVO)

       Wie kann man die IT-Systeme hinreichend "technisch" absichern?

Hierauf gibt es eine einfache Antwort: "Systeme sind hinreichend sicher, wenn der Aufwand eines Angreifers dessen Nutzen erheblich übersteigt."

Widerstandsfähige Systeme überstehen absichtliche Angriffe ohne inakzeptablen Schaden für das Unternehmen. Für viele Systeme mit normalem Schutzbedarf reicht eine Absicherung nach dem "Stand der Technik" aus (siehe Abschnitt 1.2.4).

Hinweis

Der Begriff "Stand der Technik" im Kontext des IT-Grundschutzes beschreibt Maßnahmen, Technologien und Verfahren, die aktuell als geeignet und effektiv angesehen werden, um Sicherheitsziele zu erreichen (siehe [BSI23-1]).

       Wann ist die Absicherung hinreichend?

Wie viel Schutz ist notwendig, um einen kontinuierlichen Geschäftsbetrieb sicherzustellen, die sichere Geschäftsmodellweiterentwicklung zu ermöglichen und Imageschäden und Reputationsverlust zu vermeiden?

So dürfen z. B. Hackerangriffe nicht zum Ausfall von Kernsystemen führen.

Schutz ist kein Selbstzweck. Es ist so viel Schutz notwendig, um einen kontinuierlichen Geschäftsbetrieb, keinen Reputationsverlust, die Kundenbindung und allgemein die Voraussetzungen für das Erreichen der Unternehmensziele zu gewährleisten.

Hinreichend ist hierbei das Schlüsselwort. Denn eine hundertprozentige Sicherheit ist auch mit noch so hohem Aufwand nicht zu erreichen. Eine extrem hohe Absicherung ist unverhältnismäßig teuer oder geschäftsverhindernd. Ein Beispiel sind nicht vernetzte Systeme. Diese sind natürlich einfacher abzusichern. Jedoch erfordern die meisten Geschäftsabläufe gerade im Zeitalter der Digitalisierung vernetzte Systeme. Ein Kappen der Vernetzung verhindert oder erschwert den Geschäftsbetrieb so stark, dass wahrscheinlich auf Dauer nicht wirtschaftlich gearbeitet werden kann. Der konkrete Schutzbedarf hängt stark vom unternehmensindividuell eingeschätzten Schutzbedarf der jeweiligen Unternehmenswerte, wie z. B. die Kritikalität von Informationen oder Systemen, ab.

Ein hinreichender Informationsschutz ist für die meisten Werte mit normalem Schutzbedarf schon mit einer Standardabsicherung (siehe Abschnitt 1.2.4) der IT mit verhältnismäßig geringen Mitteln zu erreichen. In Bild 1.2 finden Sie eine Prinzip-Darstellung für die Festlegung des optimalen Sicherheitsniveaus. In der Abbildung werden die Maßnahmenkosten und das Sicherheitsbedürfnis gemessen über das Schadensausmaß in Abhängigkeit vom Restrisiko dargestellt....