Datenschutz ODER Datensicherheit?

Wie kann ich Datenschutz und Datensicherheit unter einen Hut bringen?

Datenschutz und Datensicherheit sind eng miteinander verbunden, aber sie haben unterschiedliche Schwerpunkte. Während sich der Datenschutz auf den Schutz personenbezogener Daten und die Einhaltung gesetzlicher Vorgaben konzentriert, dreht sich die Datensicherheit um den Schutz vor unbefugtem Zugriff, Verlust oder Manipulation von Daten. Um beides miteinander in Einklang zu bringen, empfehlen wir diese Maßnahmen:

1. Zugriffssteuerung und Identitätsmanagement

Die Frage, „welcher Nutzer hat mit welchen Geräten und welchen Applikationen Zugriff auf welche Unternehmensressourcen und Daten“, wird durch eine effektive Zugriffskontrolle beantwortet. Dies umfasst:

  • Rollenbasierte Zugriffskontrolle (RBAC): Zugriff basierend auf der Rolle des Nutzers gewähren, damit nur die nötigen Daten und Anwendungen verfügbar sind (Beispiel: „Buchhalter“ oder „Chef“)
  • Multi-Faktor-Authentifizierung (MFA): Zusätzliche Sicherheitsschicht, die sicherstellt, dass der Zugriff nur durch verifizierte Benutzer erfolgt.
  • Identitäts- und Zugriffsmanagement (IAM): Verwaltung von Identitäten, Benutzerrollen und Berechtigungen, um sicherzustellen, dass nur berechtigte Benutzer Zugriff haben.

2. Datenverschlüsselung

Um sowohl den Datenschutz als auch die Datensicherheit zu gewährleisten, sollte die Verschlüsselung auf mehreren Ebenen erfolgen:

  • Verschlüsselung ruhender Daten: Daten, die auf Servern oder Endgeräten gespeichert sind, sollten verschlüsselt werden, um sie vor unbefugtem Zugriff zu schützen. Bei Laptops mit Windows 10 pro kann man zB mit geringem Aufwand die Festplatte sicher verschlüsseln.
  • Verschlüsselung während der Übertragung: Sicherstellung, dass Daten, die über Netzwerke übertragen werden, verschlüsselt sind (z. B. durch Verwendung von HTTPS oder VPNs) beim Surfen oder E-Mailen.

3. Mobile Geräte und BYOD (Bring Your Own Device)

Da Mitarbeiter oft auf Unternehmensressourcen von verschiedenen Geräten zugreifen, ist es wichtig, eine sichere Nutzung dieser Geräte zu gewährleisten:

  • Mobile Device Management (MDM): Verwaltung und Sicherung mobiler Geräte, die auf Unternehmensdaten zugreifen. Das geht am besten von einer zentralen Plattform aus.
  • Applikationssicherheit: Beschränkung des Zugriffs auf Unternehmensdaten nur auf bestimmte genehmigte Anwendungen.

4. Regelmäßige Schulungen und Sensibilisierung

Mitarbeiter sind oft die schwächste Stelle in Bezug auf Datenschutz und Datensicherheit. Daher sind regelmäßige Schulungen wichtig, um sicherzustellen, dass sie Phishing und Social Engineering erkennen können und auch verantwortungsvoll mit Daten umgehen, insbesondere mit personenbezogenen Daten.

5. Monitoring und Audits

Ein kontinuierliches Monitoring und regelmäßige Audits helfen, potenzielle Schwachstellen zu erkennen und proaktiv Maßnahmen zu ergreifen. Die siplan kann für Sie zB Log-Überwachung (also die Protokollierung von Zugriffsversuchen und sicherheitsrelevanten Ereignissen) oder auch regelmäßige Sicherheitsüberprüfungen (Audits und Schwachstellenanalysen zur Bewertung der Sicherheits- und Datenschutzmaßnahmen) übernehmen.

6. Einhaltung von Datenschutzgesetzen (Compliance)

Unternehmen sind per gesetz verprlichtet, dass sie geltende Datenschutzgesetze wie die DSGVO einhalten. Dazu gehört auch eine Datenschutz-Folgenabschätzung (DPIA): Bei der Verarbeitung personenbezogener Daten erforderlich, wenn ein hohes Risiko für die Rechte der betroffenen Personen besteht sowie die Löschung personenbezogener Daten nach festgelegten Fristen und auf Anforderung.

Mit einem ganzheitlichen Ansatz, der Zugriffskontrolle, Verschlüsselung, Schulung und Compliance kombiniert, lassen sich Datenschutz und Datensicherheit in Einklang bringen. Die zentrale Frage nach dem „Wer“, „Was“ und „Wie“ des Zugriffs ist dabei der Ausgangspunkt für die Umsetzung eines umfassenden Sicherheits- und Datenschutzkonzepts. Unsere zertifizierten Berater unterstützen Sie gerne mit angemessenen Maßnahmen.