Was ist „sicher“? -
Rechtliche und technische Sicherheit
verstehen und anwenden

Die Frage „Wie können wir uns bestmöglich absichern?“ beschäftigt wohl viele Unternehmen - dabei steht sowohl der Schutz der eigenen Geschäftsgeheimnisse, als auch gesetzeskonformes Handeln im Vordergrund. 

Durch eine einzige Maßnahme wird dies selten getan sein. So können zwar Geheimhaltungsklauseln unterschrieben werden, diese werden Kriminelle jedoch selten abschrecken. Gleichermaßen sind Datenschutzhinweise auf der Website zwar rechtlich erforderlich, verhindern aber keine Hacker-Angriffe. Andererseits schützt ein technisch abgesicherter Server nicht davor, dass selbst wohlwollende Parteien Firmengeheimnisse ausplaudern. Und auch der technisch einwandfreie Umgang mit Mitarbeiterdaten (Verschlüsselung, Zugriffsbeschränkungen) kann einen Gesetzesverstoß darstellen, wenn die falschen Daten erhoben werden.

Es lässt sich also erahnen, dass „Sicherheit“ immer aus mindestens zwei Blickwinkeln betrachtet werden muss, die gleichermaßen wichtig sind. Die rechtliche Sicherheit beugt allgemeinen Fehlern im Geschäftsumgang vor, sowie Gesetzesverstößen und damit einhergehenden Bußgeldern. Die technische Sicherheit wird benötigt, um sich vor externen Gefahren zu schützen und interne Regeln umzusetzen.

Rechtliche Sicherheit
Die rechtliche Sicherheit bezeichnet dabei alle Schutzmaßnahmen, die Unternehmen treffen können, um sich oder ihre Tätigkeiten rechtlich abzusichern. Dazu gehören beispielsweise Unternehmensdokumente wie Verträge, Geheimhaltungsvereinbarungen oder Arbeitsplatzanweisungen, jedoch auch organisatorische Maßnahmen, Audits, Dienstleisterprüfungen und Interessensabwägungen.

In der DSGVO gibt es einige Anforderungen, die ein Unternehmen erfüllen muss, um betroffene Personen vor einer zu weitreichenden Verarbeitung ihrer Daten zu schützen. Hält ein Unternehmen diese Anforderungen nicht ein, riskiert es Verwarnungen durch die Aufsichtsbehörden, bis hin zu Bußgeldern oder Schadensersatzklagen durch betroffene Personen. Der Schutz personenbezogener Daten fängt beispielsweise bereits bei der Auswahl der zu verarbeitenden Daten an. Hier ist die technische Sicherheit noch nicht berührt, das Unternehmen kann sich aber bereits absichern, indem es nur die tatsächlich notwendigen Daten sammelt und verwendet.

Allgemein lebt die Sicherheit von Daten und Geschäftsgeheimnissen davon, dass alle beteiligten Parteien ihre Rechte und Pflichten kennen.

Technische Sicherheit
Die technische Sicherheit bezeichnet dazu passend alle Maßnahmen, die das Unternehmen umsetzt, um die Vertraulichkeit, Integrität und Verfügbarkeit von Daten sicherzustellen. Teilweise werden noch weitere Schutzziele definiert, die je nach Kontext mehr oder weniger wichtig sind. Für den Umfang dieses Artikels konzentrieren wir uns jedoch vorerst auf die grundlegenden Schutzziele.

Das Ziel der Vertraulichkeit beschäftigt sich damit, dass Personen nur diejenigen Informationen erhalten, die für sie freigegeben worden sind. So schützt beispielsweise die Verschlüsselung der Daten davor, dass externe Dritte ohne weiteres Einblick in vertrauliche Daten erhalten.

Integrität bezieht sich darauf, dass Daten nicht unbefugt oder unbeabsichtigt verändert werden. So kann beim Kopieren von Dateien geprüft werden, ob es sich am Ende um die exakt gleiche Datei handelt und sich kein Fehler eingeschlichen hat.

Die Verfügbarkeit ist die ständige Benutzbarkeit des Datenbestands. So sollte auch im Falle eines Ausfalls stets dafür gesorgt sein, dass innerhalb kurzer Zeit alle notwendigen Daten wieder verwendet werden können, zum Beispiel durch regelmäßige Backups.
 

Fazit
Beide Aspekte der Sicherheit arbeiten Hand in Hand. Eine Firewall schützt Unternehmen zwar vor Angriffen von außen, jedoch nicht vor Besuchern, die im Unternehmen unkontrolliert Informationen auf Bildschirmen sehen und mit nach außen tragen. Hier helfen hingegen rechtliche Schutzmaßnahmen wie Geheimhaltungsvereinbarungen. Rechtliche Sicherheit wird ohne technische Sicherheit nicht funktionieren, und technische Sicherheit nicht ohne rechtliche.

In den weiteren Artikeln der Serie „Was ist „sicher“?“ werden wir ausgewählte Beispiele des alltäglichen Unternehmensgeschäfts aus diesen zwei Blickpunkten - rechtliche Sicherheit und technische Sicherheit - näher beleuchten.