Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

17.02.2015 - 

Schutzbedarf aller Daten ermitteln

Datenschutz auch ohne Personenbezug

Der Diplom-Physiker Oliver Schonschek ist freier IT-Fachjournalist und IT-Analyst in Bad Ems.
Einen erhöhten Schutzbedarf haben nicht nur personenbezogene Daten. Unternehmen brauchen eine neue Sicht auf Vertraulichkeit.

Internationale Sicherheitsforscher zeigen sich in Gesprächen überrascht, dass Unternehmen in Deutschland so besorgt sind um personenbezogene Daten, während Industriespione ganz andere Arten von Daten von den deutschen Unternehmen stehlen wollen. Wie die aktuellen Berichte der Verfassungsschützer zu Wirtschaftsschutz und Industriespionage zeigen, besteht zweifellos ein hoher Schutzbedarf auch für Daten, die nichts mit der persönlichen Privatsphäre zu tun haben.

Nicht personenbezogene Daten haben ebenfalls einen hohen Schutzbedarf.
Nicht personenbezogene Daten haben ebenfalls einen hohen Schutzbedarf.
Foto: m00osfoto, Shutterstock.com

Es gibt aber keinen Grund, dem Schutz personenbezogener Daten nun weniger Priorität einzuräumen. Wie die Tätigkeitsberichte der Aufsichtsbehörden für den Datenschutz zeigen, gibt es zahlreiche Mängel im Datenschutz und schwerwiegende Datenpannen. Was Unternehmen aber ändern sollten, ist ihre teilweise begrenzte Sicht, welche Informationen geschützt werden müssen und welche nicht.

Informationsschutz mit weiter Bedeutung

Bereits der Schutz personenbezogener Daten ist weitreichender, als viele Unternehmen glauben. Ein Blick in die geplante EU-Datenschutz-Grundverordnung zeigt zum Beispiel, bei welchen Arten von Daten eine Datenschutz-Folgenabschätzung durchgeführt werden soll. Diese Daten werden also als besonders sensibel betrachtet. Dazu gehören unter anderem Informationen über die wirtschaftliche Lage, den Aufenthaltsort, den Gesundheitszustand, die persönlichen Vorlieben, die Zuverlässigkeit oder das Verhalten von Personen. Das ist vielen Unternehmen im Wesentlichen bewusst.

Ebenfalls besonders zu schützen sind aber auch Informationen aus der weiträumigen Überwachung öffentlich zugänglicher Bereiche, insbesondere mittels Videoüberwachung, sowie umfangreiche Dateien, die Daten über Kinder, genetische Daten oder biometrische Daten enthalten.

Für ein umfassendes Datensicherheitskonzept müssen also auch Videodaten, genetische Daten, biometrische Daten und Daten von Kindern als solche erkannt, als entsprechend vertraulich klassifiziert und mit passenden Schutzmaßnahmen versehen werden. Doch auch der nächste Schritt vom reinen Datenschutz hin zum Informationsschutz darf nicht fehlen. Hier gilt es, auch auf ganz andere Daten zu achten und diese im Schutzkonzept zu berücksichtigen.

Zusätzlichen Schutz für mehr Informationen

Wenn beispielsweise die Leitung eines Unternehmens aus dem Bereich Elektrotechnik an zu schützende Daten denkt, kommen zuerst die Kundendaten in den Sinn. An zweiter Stelle der Überlegung rangieren meist die Mitarbeiterdaten, wobei an die Daten der eigenen Lieferanten schon weitaus weniger gedacht wird.

Fertigungsunternehmen sollten den Schutzbedarf ihrer Konstruktionsdaten prüfen. Die Industriespionage in Deutschland wächst weiter.
Fertigungsunternehmen sollten den Schutzbedarf ihrer Konstruktionsdaten prüfen. Die Industriespionage in Deutschland wächst weiter.
Foto: CNC-Arena GmbH

Die Datenverarbeitung eines solchen Unternehmens hat aber viele weitere wertvolle Informationen im Bestand, die neben den personenbezogenen Daten klassifiziert und dem Schutzbedarf entsprechend abgesichert werden müssen. Dies können Einkaufskonditionen bei Zulieferern sein, für die sich der eigene Wettbewerb durchaus interessieren könnte. Auch Konstruktionspläne für neue Produkte, die Planung des nächsten Messeauftritts, neue Forschungsergebnisse und die Resultate der internen Testabteilung dürften für Mitbewerber von hohem Interesse sein.

Alle Schutzvorgaben berücksichtigen

Der Schutz von Produktinformationen vor Wettbewerbsspionage sollte jeder Unternehmensleistung am Herzen liegen. Andere Informationen ohne direkten Personenbezug können einen erhöhten Schutzbedarf haben, weil sie Gegenstand eines Vertrages mit Kunden sind. Werden zum Beispiel Beratungsleistungen für einen Kunden erbracht, muss die Strategiepräsentation des Kunden ebenfalls besonders geschützt werden.

Viele digitale Dokumente brauchen einen besonderen Schutz, wie zum Beispiel Audit-Berichte. Der Schutz personenbezogener Daten muss zu einem vollständigen Informationsschutz erweitert werden.
Viele digitale Dokumente brauchen einen besonderen Schutz, wie zum Beispiel Audit-Berichte. Der Schutz personenbezogener Daten muss zu einem vollständigen Informationsschutz erweitert werden.
Foto: Brainloop AG

Abhängig von der jeweiligen Branche bestehen verschiedene Compliance-Vorgaben, die bei einem umfassenden Informationsschutz zu beachten sind. Dazu kann unter anderem gehören, dass bestimmte Nachweise manipulationssicher aufbewahrt und langfristig verfügbar sein müssen, auch wenn der Inhalt nicht vertraulich ist. Das können Protokolle zu bestimmten Maschinenabläufen sein, die aus Gründen der Qualitätssicherung vorgehalten werden müssen. Ohne jeden Personenbezug haben solche Protokolle dann einen erhöhten Schutzbedarf.

Ziel: Vollständiger Informationsschutz

So wichtig auch der Schutz personenbezogener Daten ist, der Informationsschutz geht über den reinen Datenschutz hinaus. Jedes Unternehmen sollte genau für sich prüfen, welche Daten keinem unbefugten Dritten zugänglich sein dürfen, welche Daten gegen Manipulationen geschützt sein müssen und welche Daten für eine definierte Zeit verfügbar sein müssen.

Die jeweiligen Fachbereiche sollten zusammen mit der IT-Abteilung den Bedarf an Vertraulichkeit, Verfügbarkeit und Integrität für alle unternehmensrelevanten Datenkategorien festlegen. Auf Basis dieser Vorarbeiten können dann die Daten aufgespürt und entsprechend abgesichert werden. Dafür stehen verschiedene Werkzeuge zur Verfügung, die bei einer vollständigen Datenklassifizierung helfen können.

Mehr zum Thema?

Wollen Sie mehr zum Thema "Datentransparenz" und Werkzeuge zur Datenklassifizierung erfahren, lesen Sie auch unsere Beiträge "Datenschutz durch Datentransparenz" und "Tools für die Datenklassifizierung". (sh)

Newsletter 'Produkte & Technologien' bestellen!