Analysen
22. November 2011
AUTOR: Businesscloud.de
„Datenschutz“ und „Datensicherheit“ – Wo liegt denn da der Unterschied? Allzu häufig werden die beiden Begriffe synonym verwendet. Was nach einer Formulierungs-Lappalie klingt, führt in der Praxis zu reichlich Missverständnissen. Und ist auch ein Grund für den verbreiteten Irrglauben, Unternehmen gäben mit dem Outsourcing ihrer Daten gleichzeitig die Verantwortung über deren Schutz ab. Ob große Telekommunikationsunternehmen oder staatliche Institutionen – fast keine Woche vergeht ohne Meldungen über verloren gegangene Daten und Sicherheitslecks. Die Dunkelziffer über den Verlust oder den Missbrauch von Daten dürfte weitaus größer als die Anzahl der Berichte in den Medien sein. Sicherheitsexperte Peter Bodino meint dazu: „Kein Unternehmen möchte öffentlich zugeben, wenn es bei ihm zu einer Datenpanne kommt. Ansonsten sind neben dem ohnehin schon entstandenen Schaden Imageverluste oder der Wegfall von Kundenaufträgen programmiert.“

„Die Technik ist an allem schuld!“

Doch wie kommt es zu den eklatanten Datenlecks, die Unternehmen oft Millionen kosten? Allzu voreilig schieben die Verantwortlichen der Technik die Schuld in die Schuhe. Ob es der verloren gegangene Laptop war, auf dem wichtige Konstruktionspläne lagerten, oder die E-Mail, die an den falschen Empfänger adressiert wurde und dadurch in die falschen Hände geriet. Die Wenigsten geben zu, dass in diesen Fällen keineswegs die Technik, sondern einzig und allein der Mensch für den Verlust elektronischer Dokumente verantwortlich war. Nach meiner Erfahrung schieben die Beteiligten bei Datenpannen den schwarzen Peter vorzugsweise der Informationstechnologie und der dafür zuständigen Abteilung zu. Das ist so, als wenn jemand den Schlüssel an seinem Auto stecken lässt und bei dessen Verschwinden den Autohersteller für die mangelnde Sicherheit verantwortlich macht.

Um den Schutz kümmert sich der Mensch, um Sicherheit die Maschine

Ursache für diesen „Denkfehler“ ist ein Stück weit auch die Sprache: So schmeißen Volksmund und Synonymwörterbücher gleichermaßen die Begriffe „Schutz“ und „Sicherheit“ in einen Topf. In Wahrheit geht es bei der ‚Datensicherheit’ um technische Lösungen, die Daten vor Diebstahl oder Beschädigung bewahren. Demgegenüber ist mit ‚Datenschutz’ eigentlich der Schutz jedes Einzelnen vor dem Missbrauch seiner personenbezogenen Daten gemeint. Die eigentümliche Begriffsmischung ist dabei ein Alleinstellungsmerkmal Made in Germany. Engländer und Franzosen trennen hier sorgfältiger: So sind das englische „privacy protection“ und das französische „protection des données personneles“ selbsterklärend und unmissverständlich, da sie den Schutz persönlicher Daten vor unberechtigtem Zugriff betonen. Auch die englischen Begriffe für Datensicherheit – „data  security“ beziehungsweise „data integrity“ – verdeutlichen auf Anhieb, dass es hierbei um die Verfügbarkeit sowie die Integrität der Daten geht, also die Vollständigkeit und den nicht veränderbaren Zustand. Das deutsche Begriffs-Durcheinander führt in der Praxis bei Anwendern und Unternehmen dann mitunter zu einem unangemessenen und trügerischen Sicherheitsgefühl: Während es um die IT-Sicherheit oft besser bestellt ist, etwa weil ein Outsourcing-Dienstleister für höhere Standards im Vergleich zum Eigenbetrieb von IT-Systemen sorgt, vergessen Unternehmen gerne, dass sie für den Datenschutz weiterhin auch selbst verantwortlich sind. Beispiel Cloud Computing: Gerade hier fragen Unternehmen, so auch unsere Kunden, ihre Dienstleister: Sind meine Daten in euren Rechenzentren sicher? „Ja“ bekommen sie dann zu hören. Und das meist auch zu Recht. Wir bei Pironet NDH zum Beispiel haben unser Informationssicherheits-Management nach der strengen, international anerkannten  ISO-Norm 27001 zertifizieren lassen – mit Folge-Audits alle zwei Jahre. Die ISO-Richtlinie definiert in einem 134 Punkte umfassenden Katalog ganz genau, welche Anforderungen IT-Systeme und Prozesse in punkto Datensicherheit erfüllen müssen. Besonders im Mittelstand ist die Zertifizierung nach ISO 27001 noch die Ausnahme. Meist sind es also spezialisierte Dienstleister wie wir, die den Aufwand eines Zertifizierungsprozesses auf sich nehmen. Die Kunden von Outsourcing-Diensten profitieren davon und haben die Gewissheit, dass die IT-Sicherheit ihrer Systeme strenge Kriterien erfüllt.

Das Post-it als Datenschutz-Lücke

Allerdings verführt diese Gewissheit manches Unternehmen zu blindem Technikglauben. Denn die beste zertifizierte Technik – in Sachen IT-Sicherheit – nützt beim Datenschutz nichts, wenn Mitarbeiter zum Beispiel ihr Passwort für alle lesbar per Post-it an ihren Monitor kleben. Oder die Angestellten im Erdgeschoss während ihrer Abwesenheit die Fenster auflassen und so auch Datendieben Tür und Tor öffnen. Gegen derartige Fälle ist kein IT-Sicherheitskraut gewachsen. Unternehmen müssen  also sowohl die Sicherheit also auch den Schutz der Daten ernst nehmen. Dazu sollten sie Datenschutz genau wie andere schriftlich festgehaltene oder gelebte Umgangsformen in ihrer Unternehmensphilosophie verankern, so dass er zum selbstverständlichen Teil des täglichen Handelns wird.

Seite teilen

Schreibe einen Kommentar

Must Reads von anderen Tech-Seiten
silicon.de: Safe-Harbor-Nachfolger – EU-Datenschützer verlangen Nachbesserungen Weiterlesen

 

CANCOM.info: Drei Gründe für die Hybrid Cloud – Das leistet der Cloud-Mix in Unternehmen Weiterlesen

 

Scope Online: Cloud Computing in der Produktion – Drei Mythen über Business Cloud-Lösungen  Weiterlesen

Pressemitteilungen

Köln, den 21. Juni 2016 – PIRONET macht Anwendern den Umstieg auf die neue Anwendungssuite SAP S/4HANA ab sofort besonders leicht: Kunden ... Weiterlesen
München/Köln, 19. April 2016 – Der IT-Konzern CANCOM hat einen neuartigen Marktplatz für Softwareanwendungen aus der Cloud ... Weiterlesen
München/Köln, den 18. Februar 2016 – Das Immobilien-Unternehmen Tectareal hat nach der Herauslösung aus dem Hochtief-Konzern ... Weiterlesen
Kassel/Köln, den 25. November 2015 – Das Marktforschungshaus techconsult und die CANCOM-Tochter Pironet NDH haben den ... Weiterlesen