Datensicherheit
In der betrieblichen Datenverarbeitung wird der Begriff Datensicherheit verwendet. Als Synonym wird auch oftmals der Begriff Informationssicherheit genannt. Unter dem Ausdruck Datensicherheit versteht man alle organisatorischen und technischen Maßnahmen und Instrumente zum Schutz der Daten vor Verlust, Verfälschung und unzulässiger Weitergabe.
Maßnahmen für Datensicherheit: Regelungen im Gesetz
Maßnahmen, um für Datensicherheit zu sorgen, können ganz unterschiedlich aussehen. Als Beispiel können die technischen und organisatorischen Maßnahmen (TOM) dienen, die in § 9 Bundesdatenschutzgesetz für datenverarbeitende Stellen vorgesehen sind. Sie geben als Datensicherheitsmaßnahmen verschiedene Arten der Kontrolle an, die durchgeführt oder gegeben sein müssen.
– Welche Maßnahmen zur Erhöhung der Datensicherheit gibt es?
– Zutrittskontrolle
– Weitergabekontrolle
– Eingabekontrolle
– Auftragskontrolle
– Verfügbarkeitskontrolle
– Trennung von Daten unterschiedlicher Zwecke
Bei den Maßnahmen zur Erhöhung der Datensicherheit handelt es sich also um verschiedene Kontrollmechanismen, die einen unbefugten Zugriff und somit auch eine Kenntnisnahme, Manipulation oder Entfernung der Daten verhindern sollen.
Malware, Hacking und Phishing
Unter Schadprogrammen, auch Malware (von malicious = bösartig) genannt, versteht man Software (Computerprogramme), die einem Computersystem bzw. einem Netzwerk oder einem anderen elektronischen System Schaden zufügen will. (http://wirtschaftslexikon.gabler.de/Definition/malware.html)
Einteilung:
Computerviren: Älteste Form von Malware, infizieren einen PC durch Reproduktion in anderen Programmen oder Dateien.
Computerwürmer: Ähnelt einem Virus, verbreitet sich aber über Netzwerke oder das Internet (z. B. über E-Mails) und versucht in PCs einzudringen.
Trojaner: Ein Trojanisches Pferd ist eine Kombination aus einem Nutz- und einem Schadprogramm. (oft Spyware oder eine Backdoor)
Backdoor: Öffnet eine „Hintertür“ des PCs, über die eingedrungen werden kann.
Spyware: Spionagesoftware sammelt Informationen über das Verhalten bzw. die Tätigkeit des Users und leitet diese an Dritte weiter.
Adware: Startet unerwünscht Anwendungen, die der Marktforschung bzw. Werbung dienen
Dialer: Wählen sich heimlich bei Mehrwertnummern ein und verursachen dadurch teilweise sehr hohe Kosten für den User.
Hacking
Als Hacking wird der Einbruch in einen Computer bzw. in Computernetzen bezeichnet. In der Computersicherheit wird die Herausforderung des Hackens darin gesehen, Sicherheitsmechanismen zu umgehen oder Sicherheitslücken zu finden und dadurch in ein Computersystem einzudringen.
Phishing
Als Pishing (setzt sich aus fishing und password zusammen, also das Angeln nach Passwörtern) wird das Abfangen von Userdaten über gefälschte Websites, E-Mails oder SMS bezeichnet. Häufig sind Online-Banking-Portale von solchen Fälschungen betroffen, die User werden nach der Anmeldung auf der falschen Seite aufgefordert eine TAN (Transaktionsnummer, dient zum Unterzeichnen von Online-Überweisungen) einzugeben. Mit den Anmeldedaten und der TAN verfügen die Kriminellen über alle notwendigen Daten, um eine Überweisung durchzuführen und sich somit auf Kosten des Users zu bereichern.
Sicherheitskonzepte für optimale Datensicherheit
Um größtmögliche Datensicherheit zu gewährleisten, sollte grundsätzlich ein dynamisches Sicherheitskonzept erstellt werden, welches eine Identifikation sämtlicher möglicher Risiken sowie deren Gewichtung nach Schädigungspotenzial und Eintrittswahrscheinlichkeit umfasst. Datensicherheit liegt hierarchisch stets im Aufgabenbereich der Leitung einer Organisation oder eines Unternehmens und sollte nach dem Top-down-Prinzip auf alle Bereiche und Ebenen eines Unternehmens heruntergebrochen werden. Bei der Dimensionierung von Schutzmaßnahmen gilt das Prinzip der Verhältnismäßigkeit, denn ein Übermaß an Sicherheitsmaßnahmen führt zu erhöhten Kosten, betrieblicher Ineffizienz sowie mangelnder Akzeptanz, wogegen eine zu offene Unternehmens- oder Organisationskultur Unbefugten entsprechende Angriffsmöglichkeiten bietet. Auch sollten die Kosten der Sicherheitsmaßnahmen nicht höher sein als der maximale Schaden, der durch die Einwirkung schädigender Ereignisse entstehen kann. In jedem Fall sind die getroffenen Maßnahmen im Rahmen eines dynamischen Sicherheitsmanagementsystems laufend auf ihre Wirksamkeit sowie den Kosten-Nutzen-Effekt zu überprüfen, die erhaltenen Ergebnisse sind lückenlos zu dokumentieren.
Operative Schutzmaßnahmen dienen vor allem der physischen Sicherstellung von Daten, was durch Zugriffs- und Zutrittskontrollen, fehlertolerante Systeme sowie Datensicherungen und geeignete Verschlüsselungstechniken erreicht werden kann. Weiteren Schutz bietet eine laufende Aktualisierung der verwendeten Software durch vom Hersteller angebotene Updates sowie die Verwendung einer wirksamen Antiviren-Software, welche regelmäßig – mindestens einmal täglich – aktualisiert werden sollte. Darüber hinaus bietet der Einsatz eines strategisch aufgebauten Software-Berechtigungssystems gemeinsam mit modernen Firewalls größtmögliche Datensicherheit. Von großer Bedeutung ist auch eine sichere Verschlüsselung bei der Datenübertragung, denn vor allem bei hochsensiblen Daten wie etwa Kreditkartennummern darf der Zugriff nur gegen Nachweis des richtigen Schlüssels möglich sein. Im täglichen Umgang mit Informationen sollte von wichtigen Daten stets eine Sicherheitskopie auf einem separaten Speichermedium angefertigt werden, je bedeutsamer diese Daten sind bzw. je öfter der Datenbestand aktualisiert wird, desto öfter sollten Datenkopien angelegt werden. Protokolle und Logdateien können im Schadensfall ihren Teil zur Aufklärung des Sachverhaltes beitragen. Ein wichtiger Aspekt in der Datensicherheit ist auch die Sensibilisierung sämtlicher Mitarbeiter des Unternehmens gegenüber dem Thema, denn ein verantwortungsvoller Umgang mit Informationen erschwert Angriffe auf die Datensicherheit des Systems.
