Datenschutz und Datensicherheit, Informationssicherheit und IT-Sicherheit – klingt alles irgendwie ähnlich. Die Begriffe werden daher häufig synonym verwendet, obwohl sie unterschiedliche Sachverhalte bezeichnen. Dass es Überschneidungen und Unklarheiten gibt, macht die Sache nicht einfacher. Fangen wir an mit der Abgrenzung von Datenschutz und Datensicherheit.
Unter Datenschutz wird der Schutz personenbezogener Daten vor nicht erlaubter Erfassung, Speicherung und Verwendung verstanden. Es geht also darum, die informationelle Selbstbestimmung von Personen zu gewährleisten. Das Recht auf informationelle Selbstbestimmung gehört in Deutschland zu den Grundrechten. Es ist im Grundgesetz zwar nicht explizit erwähnt, aber dennoch als Teil des allgemeinen Persönlichkeitsrechtes aufgefasst. Außerdem wird es durch die Charta der Grundrechte der Europäischen Union geschützt. Vorschriften wie das Bundesdatenschutzgesetz oder die Europäische Datenschutz-Grundverordnung geben vor, wer unter welchen Bedingungen personenbezogene Daten erfassen, speichern, nutzen darf. Zu den Bedingungen gehören auch technische und organisatorische Maßnahmen, mit denen diejenigen, die mit personenbezogenen Daten umgehen, sie vor Missbrauch schützen sollen.
Die Datensicherheit befasst sich mit dem „Wie“, also den Verfahren und Maßnahmen, mit denen Verfügbarkeit, Vertraulichkeit und Integrität von Daten und gegebenenfalls das Erreichen weiterer Schutzziele sichergestellt werden sollen. Sie bezieht sich sowohl auf personenbezogene Daten als auch auf Betriebs- und Geschäftsgeheimnisse und alle anderen Daten, die eine Organisation für schützenswert hält. Bei der Datensicherheit wird nicht verhandelt, welche Daten erfasst und verarbeitet werden dürfen, sondern wie die Daten im Unternehmen vor dem gesamten Spektrum an Bedrohungen geschützt werden können: Wie lässt sich sicherstellen, dass nur Berechtigte auf die Daten zugreifen können? Wie lässt sich verhindern, dass Daten gestohlen werden? Neben technischen Lösungen spielen dabei auch Prozesse und Abläufe, die Organisation und die Mitarbeiter eine Rolle.
Entsprechend handelt es sich auch bei einem Datenschutzkonzept und bei einem Datensicherheitskonzept um unterschiedliche Dinge. Während das Datenschutzkonzept die Rechtmäßigkeit der Datenverarbeitung bei der Erhebung, Verarbeitung und Nutzung personenbezogener Daten darstellt, geht das Datensicherheitskonzept oder IT-Sicherheitskonzept von Bedrohungslage und Risikoanalyse aus und beschreibt die Sicherheitsmaßnahmen.
Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) sind „Datensicherheit“ und „Informationssicherheit“ von der Bedeutung her identisch. Moderner soll der Begriff „Informationssicherheit“ sein. Er macht schließlich deutlich, dass nicht nur Daten als digital vorhandene Informationen, sondern auch Informationen auf Papier und Know-how in den Köpfen der Mitarbeiter schützenswert sein können. Aber er ist wegen der Wortlänge etwas unhandlich und scheint nicht recht beliebt zu sein: Googelt man die Begriffe, ist die Fundmenge bei „Datensicherheit“ sechsmal so groß wie bei „Informationssicherheit“.
Von der Informationssicherheit wird die IT-Sicherheit (IT-Security) unterschieden. Bei ihr geht es um die Funktionssicherheit, also das fehlerfreie und zuverlässige Funktionieren der IT-Systeme. Andere Begriffsbestimmungen ordnen der IT-Sicherheit den Schutz von Systemen und Informationen durch technische Maßnahmen zu und rücken sie damit in den Arbeitsbereich von Daten- und Informationssicherheit. Diese Begriffsbestimmungen beziehen dann für die Informationssicherheit beispielsweise organisatorische Maßnahmen stärker ein. Wieder andere sehen die IT-Sicherheit als Teilbereich der Informationssicherheit, wobei sich IT-Sicherheit ausschließlich auf den Schutz digital verfügbarer Informationen bezieht, während zur Informationssicherheit auch nicht digital verfügbare Informationen gehören.
Wir orientieren uns daran, ob Informationen oder technische Systeme geschützt werden, und bezeichnen unsere Lösung für Data Loss Prevention Endpoint Protector als Lösung für Informationssicherheit. Denn sie verhindert, dass Mitarbeiter personenbezogene Daten oder andere sensible Informationen per E-Mail verschicken, in cloud-basierte Anwendungen laden oder unverschlüsselt auf USB-Sticks speichern und sie so möglicherweise nicht berechtigten Personen zugänglich machen. Im Fall von personenbezogenen Daten unterstützt die Lösung die Firmen bei der Umsetzung von Datenschutz. Und wenn es um betriebliche Informationen geht, schützt sie vor Wirtschafts- und Industriespionage.
