IT-Sicherheit kommt heutzutage eine immer größere Bedeutung zu. Schließlich häufen sich die Meldungen in der Presselandschaft über Cyberangriffe, die Offenlegung von Daten oder Informationen und anderen Katastrophen. Ziel der IT-Sicherheit ist es, vertrauliche Informationen einer Organisation und deren Werte vor Bedrohungen zu schützen. Im Kern geht es also darum, alle elektronisch gespeicherten Daten z. B. eines Unternehmens vor Zugriff durch fremde Dritte zu schützen und damit einen wirtschaftlichen Schaden zu verhindern. Natürlich spielt auch der Datenschutz dabei eine wichtige Rolle.
Der Inhalt im Überblick
- Was versteht man unter Informationssicherheit oder IT-Sicherheit?
- Wieso ist Informationssicherheit für Unternehmen so wichtig?
- Risikomanagement ist das A und O in der Informationssicherheit
- Wechselwirkungsverhältnis von Datenschutz und IT-Sicherheit
- IT-Sicherheit und Datenschutz – gemeinsam am stärksten
Was versteht man unter Informationssicherheit oder IT-Sicherheit?
IT-Sicherheit und Informationssicherheit – ist das nicht alles das gleiche? Im Alltag werden diese Begriffe oft synonym verwendet. Das ist zwar nicht völlig falsch, allerdings kommt den genannten Begriffen jeweils eine unterschiedliche Bedeutung zu. Informationssicherheit hat – wie der Name bereits vermuten lässt – den Schutz von Informationen zum Ziel. Dabei geht es konkret um den Schutz von Informationen und Daten vor unbefugtem Zugriff, Veränderung, Zerstörung oder Diebstahl. Informationen können in verschiedenen Formen vorliegen (Datenträger, Papier etc.). Informationssicherheit umfasst verschiedene Maßnahmen und Technologien, die dazu beitragen, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherzustellen.
Die IT-Sicherheit ist ein Teilbereich der Informationssicherheit. Dieser Bereich bezieht sich allerdings auf nur auf elektronisch gespeicherte Informationen und IT-Systeme. Unter IT-Sicherheit versteht man daher im Wesentlichen den Schutz der technischen Verarbeitung von Informationen. Dazu gehört naturgemäß auch die Funktionssicherheit der IT-Systeme, also deren fehlerfreies Funktionieren und deren Zuverlässigkeit. Bei den zu schützenden Informationen muss es sich nicht zwingend um personenbezogene Daten handeln. Vielmehr geht es um sämtliche Daten und Informationen, die für eine Organisationseinheit relevant und schützenswert sind, wie z. B. technisches Know-how, Produktionspläne oder das berühmte Coca-Cola-Rezept. Erst dann, wenn es sich tatsächlich um personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO handelt, kommen die die DSGVO und andere datenschutzrechtliche Vorschriften ins Spiel.
Wieso ist Informationssicherheit für Unternehmen so wichtig?
Die Informationssicherheit ist zwar kein eigenständiges Rechtsgut, ihr kommt aber trotzdem eine hohe Bedeutung zu. Denn sie ist ein Mittel, um hochrangige Rechtsgüter wie z. B. das Recht auf informationelle Selbstbestimmung (bzw. das „Grundrecht auf Datenschutz“ auf europäischer Ebene) oder auch das (geistige) Eigentum zu schützen. Neben der intrinsischen Motivation von Unternehmen, ihr Eigentum zu schützen, ist Informationssicherheit für diese auch ein Compliance-Thema. Denn dem Staat obliegen Schutzpflichten für die oben genannten Rechtsgüter, denen er u. a. mittels Gesetzen wie der DSGVO oder dem IT-Sicherheitsgesetz nachkommt. Diese Gesetze legen den Unternehmen u.a. Verpflichtungen im Bereich der Informationssicherheit auf. Aufgrund schneller technischer Entwicklung beschränken sich diese gesetzlichen Regelungen immer häufiger auf allgemeine Anforderungen, um eine höhere Flexibilität in der Praxis zu ermöglichen. Konkretere Anforderungen werden meist in Verordnungen wie z. B der BSI-KritisV, in technische Richtlinien, Standards und Verwaltungsvorschriften genannt. Erst im Frühjahr 2021 ist das sogenannte „IT-Sicherheitsgesetz 2.0“ in Kraft getreten, welches die Anwendbarkeit und die Bedeutung von Kritischen Infrastrukturen erweitert hat.
Informationssicherheit spielt im Digitalzeitalter in Unternehmen eine sehr wichtige Rolle. Für viele Unternehmen sind Informationen und Daten eine der wertvollsten Ressourcen. Auf diese haben es auch Kriminelle abgesehen. Die zunehmende Zahl von Cyberangriffe bestätigt dies. Zudem sind viele Abläufe heutzutage digitalisiert. Dies hat den Vorteil einer effektiven und standardisierten Arbeitsleistung. Allerdings sind im Falle einer Störung oder eines Ausfalls von Systemen die Auswirkungen auf den Geschäftsbetrieb oftmals verheerend. Zudem verlangen (potenzielle) Vertragspartner immer öfter Nachweise zum Schutz seiner Informationen vor oder während der Zusammenarbeit. Je nach Branche können diese Anforderungen unterschiedlich hoch sein, ein reiner Selbstzweck sind die Vorgaben zur Informationssicherheit und zur IT-Sicherheit aber keineswegs.
Risikomanagement ist das A und O in der Informationssicherheit
Und wie wird das Ganze in der Praxis umgesetzt? Nur mit theoretischen Vorgaben können Informationen nicht geschützt werden. Um Informationssicherheit überprüf- und darstellbar zu machen, muss diese auch messbar sein. Dies passiert in der Regel in Form eines Risikomanagements. Das Herzstück ist die Implementierung eines Informationssicherheitsmanagementsystems (ISMS). Neben zwingenden gesetzlichen Vorgaben können ganz praktische Erwägungen wie z. B. häufige Cyberattacken oder die Erwartungshaltung der Vertragspartner als Motivation dienen, ein ISMS einzuführen. Immer häufiger verlangen auch Cyber-Versicherungen die Implementierung eines ISMS, um überhaupt eine Versicherung gegen Angriffe von außen anzubieten. Die konkreten Anforderungen an das ISMS sind je nach Branche verschieden. So gibt es sicherlich unterschiedliche Schutzrichtungen bezüglich der Informationen, wenn man beispielsweise ein Kreditinstitut mit einem Unternehmen aus dem Gesundheitswesen vergleicht. Alle ISMS haben aber gemeinsam, dass sie für den bestmöglichen Schutz für elementare und vertrauliche Informationen gewährleisten sollen. In diesem Zusammenhang ist es wichtig zu beachten, dass ein ISMS nicht eine technische Maßnahme ist, sondern ein lebendiger, dynamischer Prozess, der im Unternehmen gelebt werden muss. Dabei sind in der Regel sämtliche Abteilungen und Bereiche einzubeziehen.
Um ISMS sowie deren Anforderungen so messbar wie möglich zu implementieren, wurden je nach Branche unterschiedliche Normen entwickelt, nach denen sich Unternehmen auch zertifizieren lassen können. Die weltweit wohl bekannteste Norm ist die ISO 27001, welche grundsätzlich die Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines ISMS spezifiziert. Darüber hinaus beinhaltet die Norm Anforderungen für die Beurteilung und Behandlung von Informationssicherheitsrisiken entsprechend den individuellen Bedürfnissen des Unternehmens. Ein weiteres Beispiel ist der TISAX. Hierbei handelt es sich um einen Standard, der speziell für die Automobilindustrie entwickelt worden ist. Damit soll u. a. den wachsenden Sicherheitsanforderungen zwischen Herstellern und Zulieferern bei der Verarbeitung vertraulicher Informationen Rechnung getragen werden.
Wechselwirkungsverhältnis von Datenschutz und IT-Sicherheit
Hier lässt sich schließlich der Bezug zum Datenschutz herstellen. Mit den oben beschriebenen Maßnahmen lassen sich nicht nur allgemeine und vertrauliche Informationen schützen, sondern auch personenbezogene Daten. Um einen effektiven Datenschutz zu gewährleisten, sind funktionierende IT-Systeme von entscheidender Bedeutung. Ansonsten drohen Datenpannen und Datenschutzverletzungen, welche nicht nur finanzielle Folgen in Form von Schadensersatzzahlungen nach Art. 82 DSGVO und Bußgeldern nach Art. 83 DSGVO haben können, sondern auch die Reputation eines Unternehmens nachhaltig beschädigen können. Die Wechselwirkung zwischen IT-Sicherheit und Datenschutz zeigt sich auch daran, dass viele Maßnahmen zur Informationssicherheit (und zur IT-Sicherheit) ihrerseits am Datenschutzrecht zu messen sind bzw. dort ihre Grenzen finden.
Beispiele hierfür sind die Vorgaben zur „Privacy by Design“ und „Privacy by Default“ nach Art. 25 DSGVO sowie – als wichtigste Vorschrift – zu den technischen und organisatorischen Maßnahmen (TOM) nach Art. 32 DSGVO. Es ist sicherlich kein Zufall, dass beide Vorschriften am Anfang nahezu den gleichen Wortlaut haben. Zwar ist die Tätigkeit als Datenschutzbeauftragter formell nicht an eine bestimmte Ausbildung oder näher bezeichnete Fachkenntnisse geknüpft, allerdings wird auf Grund der oben aufgezeigten Verzahnung von Datenschutz und IT-Sicherheit deutlich, dass für einen Datenschutzbeauftragten theoretische und praktische IT-Kenntnisse quasi unverzichtbar sind. Andersherum sollte auch der Informationssicherheitsbeauftragte über fundierte Kenntnisse im Datenschutz verfügen. Die gegenseitige Wechselwirkung zeigt sich vor allem bei den folgenden Themen:
Technische und organisatorische Maßnahmen
Während Art. 24 DSGVO die Pflicht des Verantwortlichen zur Implementierung von technischen und organisatorischen Maßnahmen (TOM) normiert, werden die möglichen Maßnahmen in Art. 32 DSGVO genauer konkretisiert. Hier werden auch die für die IT-Sicherheit zentralen Schutzziele aufgegriffen, nämlich Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste, und bei der Verarbeitung von personenbezogenen Daten eingefordert. Die dafür zu treffenden Maßnahmen schützen oft auch nicht personenbezogene Daten oder können meist ohne Probleme auf diese ausgeweitet werden.
Auftragsverarbeitungsverträge
Im Rahmen der Auftragsverarbeitung ist der Auftraggeber berechtigt, Kontrollen beim Dienstleister dahingehend vorzunehmen, ob dieser die Vorschriften aus der DSGVO einhält. Dies beinhaltet auch die Kontrolle, ob der Auftragnehmer ausreichende TOM implementiert hat, um die personenbezogenen Daten des Verantwortlichen sicher zu verarbeiten.
Datenschutz-Folgenabschätzung
In bestimmten Fällen sind Unternehmen verpflichtet, eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO durchzuführen. Dies muss immer dann erfolgen, wenn eine Form der Verarbeitung von personenbezogenen Daten wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Wie risikoreich eine Datenverarbeitung im Einzelnen ist, hängt u. a. von der Implementierung und Umsetzung eines ISMS ab.
Schulungen
Der Datenschutzbeauftragte hat auch die Aufgabe, die Beschäftigten des Unternehmens, das er betreut, bezüglich Datenverarbeitung zu sensibilisieren und zu schulen. Unzureichend geschulte Mitarbeiter stellen eine Gefahr für Datenschutz und Datensicherheit im Unternehmen dar. Mangelnde Sensibilität im Umgang mit den in einem Unternehmen verarbeiteten Daten kann im schlimmsten Fall dazu führen, dass personenbezogene Daten und andere Informationen unbefugt offengelegt oder sich unbekannte Dritte Zugang zu diesen Daten verschaffen können.
Neben mangelnder Sensibilität kann es aber auch sein, dass die Mitarbeiter zwar wissen, dass sie sensible Daten verarbeiten, sie aufgrund fehlender technischer Kenntnisse allerdings nicht wissen, wie sie diese Daten ausreichend schützen können. Auch hier gehen Datenschutz und IT-Sicherheit oft Hand in Hand.
Mitarbeiterüberwachung
Die Mitarbeiterüberwachung ist ein Bereich, bei dem die Informationssicherheit ihre Grenzen findet. Denn für Informationen können auch Mitarbeiter eine Bedrohung sein, sei es unabsichtlich oder absichtlich. So mancher Arbeitgeber hat daher vielleicht schon einmal heimlich davon geträumt, seine Mitarbeiter zu überwachen. Dies ist zwar möglich, allerdings sind hier aus datenschutzrechtlicher Sicht enge Grenzen gesetzt. Wenn z.B. eine Software zur Überwachung eingesetzt werden soll, hat der Verantwortliche dafür Sorge zu tragen, dass er eine plausible und umfassende Interessenabwägung durchführt und wichtige Grundsätze wie die Datenminimierung und Transparenz unbedingt einhält.
Log- oder Protokolldaten
Meist dauert es mehrere Wochen bis Monate, bevor ein Angriff auf IT-Systeme erkannt wird. Daher ist es im Sinne der IT-Sicherheit, möglichst viele Log- oder Protokolldaten möglichst lange zu speichern, damit Vorfälle im Nachhinein z.B. von IT-Forensikern aufgedeckt und Angriffsvektoren geschlossen werden können. Oder man möchte als Schutzmaßnahme gleich den kompletten Netzwerkverkehr im Unternehmen mitschneiden und mittels Intrusion Detection Systeme (IDS) und Intrusion Prevention Systeme (IPS) automatisch auswerten. Da die dafür in beiden Fällen notwendigen Log-Daten auch personenbezogen sein können, setzen dann auch hier die Datenschutzgrundsätze wie die Zweckbindung und die Speicherbegrenzung Schranken für die Maßnahmen der IT-Sicherheit.
Informationspflichten
Nach Art. 13 DSGVO muss der Verantwortliche die betroffenen Personen über die Datenverarbeitung informieren. Problematisch wird es natürlich, wenn sich ein Dritter unbefugt Zugriff zu Informationen des Unternehmens verschafft hat. Bei der Aufklärung und zur Abhilfe des Angriffs werden im Regelfall personenbezogene Daten des Täters verarbeitet. Hier kann nach allgemeiner Auffassung eine Ausnahme von der Informationspflicht angenommen werden. Eindeutig gesetzlich geregelt ist dies aber nicht.
IT-Sicherheit und Datenschutz – gemeinsam am stärksten
Informationssicherheit und ihr Teilbereich IT-Sicherheit ist für Unternehmen aus vielen Gründen wichtig. Leider nimmt sie in zu vielen Unternehmen noch nicht den Stellenwert ein, den sie verdient. Einerseits hat zwar der Datenschutz mit seiner gemeinsamen Schnittmenge und den hohen Bußgeldanforderungen der DSGVO in bestimmten Bereichen der IT-Sicherheit in den letzten Jahren gerade bei großen Unternehmen Investitionen gefördert. Anderseits fehlt es bei KMU laut einer Studie im Auftrag des Bundesministeriums für Wirtschaft auch 2022 gerade an Kenntnissen zur allgemeinen Cyber-Bedrohungslage, zum eigenen Risikoprofil oder zu adäquaten Maßnahmen für IT-Sicherheit. Es ist daher immer noch notwendig, dass wir bei Unternehmen ein Bewusstsein für die Wichtigkeit von IT-Sicherheit schaffen, damit angemessene Schritte unternommen werden, um Informationen, Systeme und auch personenbezogene Daten angemessen zu schützen.
