Veröffentlicht: 5. April 2024
Mitwirkende: Annie Badman, Matthew Kosinski
Datenschutz ist die Praxis, sensible Informationen vor Datenverlust und -korruption zu schützen. Ziel ist es, Daten zu schützen und ihre Verfügbarkeit sowie die Einhaltung gesetzlicher Vorschriften zu gewährleisten.
Eine effektive Datenschutzstrategie leistet mehr als nur den Schutz von Daten. Sie repliziert auch Daten und stellt sie im Falle eines Verlusts oder einer Beschädigung wieder her. Das liegt daran, dass die wichtigsten Grundsätze des Datenschutzes darin bestehen, Daten zu sichern und die Datenverfügbarkeit zu unterstützen. Verfügbarkeit bedeutet, dass die Benutzer für den Geschäftsbetrieb auf die Daten zugreifen können, selbst wenn diese beschädigt werden, verloren gehen oder beschädigt werden, z. B. bei einem Data Breach oder einem Malware-Angriff.
Der Fokus auf die Verfügbarkeit von Daten erklärt, warum der Datenschutz eng mit der Datenverwaltung verbunden ist – einer umfassenderen Praxis, die sich auf die Verwaltung von Daten während ihres gesamten Lebenszyklus konzentriert, um sicherzustellen, dass sie korrekt und sicher sind und für strategische Geschäftsentscheidungen genutzt werden können.
Heute umfassen Datensicherungsstrategien sowohl traditionelle Datensicherungsmaßnahmen wie Daten-Backup und Datenwiederherstellung als auch Pläne für Geschäftskontinuität und Disaster Recovery (BCDR). Aus diesem Grund setzen viele Unternehmen Services wie Disaster Recovery as a Service (DRaaS) als Teil ihrer umfassenderen Datenschutzstrategien ein.
Obwohl viele die Begriffe Datenschutz und Datensicherheit synonym verwenden, handelt es sich um zwei verschiedene Bereiche mit entscheidenden Unterschieden.
Datensicherheit ist ein Teilbereich des Datenschutzes, der sich auf den Schutz digitaler Informationen vor unbefugtem Zugriff, Beschädigung oder Diebstahl konzentriert. Es umfasst verschiedene Aspekte der Informationssicherheit, darunter Physical Security, organisatorische Richtlinien und Zugriffskontrollen.
Im Gegensatz dazu umfasst Datenschutz die gesamte Datensicherheit und geht noch weiter, indem er die Verfügbarkeit der Daten in den Vordergrund stellt.
Sowohl der Datenschutz als auch die Datensicherheit umfassen den Datenschutz. Der Datenschutz konzentriert sich auf Richtlinien, die den allgemeinen Grundsatz unterstützen, dass eine Person die Kontrolle über ihre persönlichen Daten haben sollte, einschließlich der Möglichkeit zu entscheiden, wie Unternehmen ihre Daten erfassen, speichern und verwenden.
Mit anderen Worten: Datensicherheit und Datenschutz sind beides Teilbereiche des umfassenderen Bereichs des Datenschutzes.
Um die Bedeutung des Datenschutzes zu verstehen, muss man sich die Rolle von Daten in unserer Gesellschaft vor Augen führen. Jedes Mal, wenn jemand online ein Profil erstellt, einen Kauf in einer App tätigt oder eine Webseite durchsucht, hinterlässt er eine immer größere Spur personenbezogener Daten.
Daten dieser Art sind für Unternehmen von entscheidender Bedeutung. Sie helfen ihnen, Abläufe zu optimieren, Kunden besser zu bedienen und wichtige Geschäftsentscheidungen zu treffen. Tatsächlich verlassen sich viele Unternehmen so sehr auf Daten, dass selbst eine kurze Ausfallzeit oder ein geringer Datenverlust ihre Betriebsabläufe und Gewinne ernsthaft beeinträchtigen könnte.
Laut dem IBM Bericht „Kosten einer Datenschutzverletzung“ lagen die durchschnittlichen Kosten einer Datenschutzverletzung im Jahr 2023 weltweit bei 4,45 Millionen US-Dollar – ein Anstieg um 15 Prozent innerhalb von drei Jahren.
Aus diesem Grund konzentrieren sich viele Unternehmen im Rahmen ihrer allgemeinen Bemühungen um Cybersicherheit auf den Datenschutz. Mit einer zuverlässigen Datenschutzstrategie können Unternehmen Schwachstellen beheben und sich besser vor Cyberangriffen und Datenverletzungen schützen. Im Falle eines Cyberangriffs können Datenschutzmaßnahmen überlebenswichtig sein, indem sie die Ausfallzeit durch Sicherstellung der Datenverfügbarkeit verkürzen.
Datenschutzmaßnahmen können Unternehmen auch dabei unterstützen, die sich ständig wandelnden gesetzlichen Anforderungen zu erfüllen, deren Nichteinhaltung oft mit hohen Geldstrafen geahndet werden kann. So verhängte beispielsweise die irische Datenschutzbehörde im Mai 2023 eine Geldbuße von 1,3 Milliarden USD gegen das in Kalifornien ansässige Unternehmen Meta wegen Verstößen gegen die DSGVO (Link befindet sich außerhalb von ibm.com). Der Datenschutz kann – durch seine Betonung der Privatsphäre – Unternehmen bei der Vermeidung dieser Verstöße unterstützen.
Datenschutzstrategien bieten auch viele Vorteile eines effektiven Informationslebenszyklusmanagements (ILM), wie z. B. die Rationalisierung der Verarbeitung personenbezogener Daten und die bessere Erschließung kritischer Daten für wichtige Erkenntnisse.
In einer Welt, in der Daten für viele Unternehmen lebenswichtig sind, wird es für diese immer wichtiger, zu wissen, wie sie ihre kritischen Daten bestmöglich verarbeiten, handhaben, schützen und nutzen können.
Regierungen und andere Behörden haben die Bedeutung des Datenschutzes erkannt und eine wachsende Anzahl von Datenschutzbestimmungen und Datenstandards geschaffen, die Unternehmen erfüllen müssen, um mit ihren Kunden Geschäfte zu machen.
Zu den gängigsten Vorschriften und Standards zur Datenregulierung gehören:
Die Datenschutz-Grundverordnung (DSGVO) ist ein umfassendes Framework für den Datenschutz, das von der Europäischen Union (EU) zum Schutz der personenbezogenen Daten ihrer Bürger erlassen wurde, die als „betroffene Personen” bezeichnet werden.
Die DSGVO konzentriert sich in erster Linie auf personenbezogene Daten und stellt strenge Compliance-Anforderungen an Datenanbieter. Es schreibt vor, dass Unternehmen innerhalb und außerhalb Europas ihre Datenerfassungspraktiken transparent machen müssen. Unternehmen müssen auch einige spezifische Datenschutzmaßnahmen ergreifen, wie die Ernennung eines Datenschutzbeauftragten, der den Umgang mit Daten überwacht.
Die DSGVO gewährt EU-Bürgern auch mehr Kontrolle über ihre personenbezogenen Daten und mehr Schutz für personenbezogene Daten wie Name, ID-Nummer, medizinische Informationen, biometrische Daten und mehr. Die einzigen Datenverarbeitungsaktivitäten, die von der DSGVO ausgenommen sind, umfassen Tätigkeiten im Bereich der nationalen Sicherheit oder der Strafverfolgung sowie die rein persönliche Verwendung von Daten.
Einer der auffälligsten Aspekte der Datenschutz-Grundverordnung ist ihre kompromisslose Haltung bei Nichteinhaltung. Wer sich nicht an die Datenschutzbestimmungen hält, muss mit empfindlichen Geldstrafen rechnen. Diese Geldbußen können bis zu 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens oder 20 Millionen Euro betragen, je nachdem, welcher Betrag höher ist.
Der Health Insurance Portability and Accountability Act (HIPAA) wurde 1996 in den USA verabschiedet. Es legt die Richtlinien dafür fest, wie Einrichtungen und Unternehmen des Gesundheitswesens mit persönlichen Gesundheitsinformationen (Personal Health Information, PHI) von Patienten umgehen, um deren Vertraulichkeit und Sicherheit zu gewährleisten.
Gemäß HIPAA müssen alle „abgedeckten Einrichtungen“ bestimmte Datensicherheits- und Compliance-Standards einhalten. Zu diesen Einrichtungen gehören nicht nur Gesundheitsdienstleister und Versicherungspläne, sondern auch Geschäftspartner mit Zugang zu PHI. Anbieter von Datenübertragungsdiensten, medizinischen Transkriptionsdiensten, Softwareunternehmen, Versicherungsunternehmen und andere müssen die HIPAA-Vorschriften einhalten, wenn sie mit PHI umgehen.
Das California Consumer Privacy Act (CCPA) ist ein wegweisendes Datenschutzgesetz in den Vereinigten Staaten.
Wie die DSGVO verpflichtet auch der CCPA die Unternehmen zur Transparenz in Bezug auf ihre Datenschutzpraxis und gibt den Bürgern mehr Kontrolle über ihre persönlichen Daten. Nach dem CCPA können die Einwohner Kaliforniens Einzelheiten über die von Unternehmen über sie erhobenen Daten anfordern, sich gegen den Verkauf von Daten entscheiden und deren Löschung verlangen.
Im Gegensatz zur DSGVO handelt es sich beim CCPA (und vielen anderen US-Datenschutzgesetzen) jedoch eher um eine Opt-Out- als um eine Opt-In-Regelung. Das bedeutet, dass Unternehmen Verbraucherdaten in Kalifornien verwenden können, solange sie nicht ausdrücklich anderweitig angewiesen werden. Der CCPA gilt außerdem nur für Unternehmen, die einen bestimmten Jahresumsatz überschreiten oder große Mengen personenbezogener Daten verarbeiten, wodurch er für viele, wenn auch nicht alle, kalifornischen Unternehmen relevant ist.
Der Payment Card Industry Data Security Standard (PCI-DSS) besteht aus einer Reihe von gesetzlichen Richtlinien zum Schutz von Kreditkartendaten. Der PCI-DSS ist keine staatliche Vorschrift, sondern eine Reihe von vertraglichen Verpflichtungen, die von einer unabhängigen Aufsichtsbehörde, dem Payment Card Industry Security Standards Council (PCI SSC), durchgesetzt werden.
Der PCI-DSS gilt für jedes Unternehmen, das mit Daten von Karteninhabern umgeht, sei es durch Erfassung, Speicherung oder Übermittlung dieser Daten. Selbst wenn Drittanbieter an Kreditkartentransaktionen beteiligt sind, bleibt das Unternehmen, das die Karte akzeptiert, für die Einhaltung des PCI-DSS verantwortlich und muss die notwendigen Maßnahmen ergreifen, um die Daten der Karteninhaber sicher zu verwalten und zu speichern.
Da sich die Datenschutzlandschaft weiterentwickelt, prägen mehrere Trends die Strategien, die Unternehmen zum Schutz ihrer sensiblen Informationen einsetzen.
Einige dieser Trends sind:
Bei der Datenübertragbarkeit steht die nahtlose Bewegung von Daten zwischen Plattformen und Diensten im Vordergrund. Dieser Trend gibt Einzelpersonen mehr Kontrolle über ihre Daten, indem er deren Übertragung zwischen Apps und Systemen erleichtert. Die Datenportabilität entspricht auch dem allgemeinen Trend zu mehr Transparenz und Selbstbestimmung für die Kunden und ermöglicht es den Nutzern, ihre persönlichen Daten effizienter zu verwalten.
Angesichts der weit verbreiteten Nutzung von Smartphones sind Unternehmen zunehmend über die Datensicherheit auf mobilen Geräten besorgt. Daher konzentrieren sich viele Unternehmen zunehmend auf den mobilen Datenschutz, der robuste Datensicherheitsmaßnahmen für Smartphones und Tablets, einschließlich Verschlüsselung und sicherer Authentifizierungsmethoden, umfasst.
Die Zunahme von Ransomware-Angriffen hat viele Unternehmen dazu veranlasst, fortschrittliche Datenschutzstrategien einzuführen.
Bei Ransomware handelt es sich um eine Art von Malware, die die Daten oder das Gerät eines Opfers sperrt und damit droht, sie nicht mehr freizugeben – oder sie nur dann freizugeben, wenn das Opfer ein Lösegeld zahlt. Laut dem IBM Security X-Force Threat Intelligence Index 2023 machten Ransomware-Angriffe im Jahr 2022 17 % aller Cyberangriffe aus. Darüber hinaus wird erwartet, dass Ransomware-Angriffe die Opfer im Jahr 2023 insgesamt schätzungsweise 30 Milliarden USD kosten werden (Link befindet sich außerhalb von ibm.com).
Angesichts der sich ständig weiterentwickelnden Art dieser Angriffe müssen Unternehmen proaktive Sicherheitsmaßnahmen wie regelmäßige Backups, Echtzeit-Bedrohungserkennung und Mitarbeiterschulungen einführen, um die Auswirkungen von Ransomware zu mildern und vertrauliche Daten zu schützen.
Da Cyberangriffe immer komplexer werden, erkennen Unternehmen die entscheidende Bedeutung der kontinuierlichen Aufrechterhaltung des Betriebs während einer Notfallsituation. Folglich investieren viele in Disaster Recovery as a Service (DRaaS).
DRaaS ist eine Drittanbieterlösung, die Funktionen für den Datenschutz und die Notfallwiederherstellung (DR) bereitstellt. Es nutzt einen hohen Grad an Automatisierung, um Ausfallzeiten zu minimieren und Disaster-Recovery-Services auszulagern, und bietet Unternehmen eine skalierbare und kostengünstige Lösung, um ihre kritischen Daten und ihre IT-Infrastruktur im Katastrophenfall wiederherzustellen.
Unternehmen können zwischen drei Optionen wählen: Rechenzentren, Cloud-basierte Lösungen und hybride Backups, die physische Rechenzentren und Cloud-Speicher kombinieren.
Copy Data Management (CDM) hilft Unternehmen, doppelte Daten besser zu verwalten und zu kontrollieren, wodurch Speicherkosten gesenkt und die Datenverfügbarkeit verbessert werden. CDM ist ein wesentlicher Bestandteil des Information-Lifecycle-Managements (ILM), da es dazu beiträgt, den Wert von Daten zu maximieren und gleichzeitig Redundanzen sowie ineffiziente Speicherungen zu minimieren.
Unternehmen setzen häufig verschiedene Datenschutzlösungen und -technologien ein, um sich vor Cyberbedrohungen zu schützen und die Integrität, Vertraulichkeit und Verfügbarkeit von Daten zu gewährleisten.
Zu diesen Lösungen gehören:
- Data Loss Prevention (DLP) bezieht sich auf die Strategien, Prozesse und Technologien, mit denen Cybersicherheitsteams vertrauliche Daten vor Diebstahl, Verlust und Missbrauch schützen. DLP überwacht die Benutzeraktivitäten und meldet verdächtiges Verhalten, um unbefugten Zugriff, unbefugte Übertragung oder die Offenlegung vertraulicher Informationen zu verhindern.
- Datenbackups umfassen die regelmäßige Erstellung und Speicherung einer sekundären Version kritischer Informationen. Backups unterstützen die Datenverfügbarkeit, indem sie sicherstellen, dass Unternehmen ihre Systeme im Falle eines Datenverlusts oder einer Beschädigung schnell wiederherstellen können, um Ausfallzeiten und potenzielle Verluste zu minimieren.
- Firewalls dienen als erste Verteidigungslinie für Daten, indem sie den ein- und ausgehenden Netzwerkverkehr überwachen und kontrollieren. Diese Sicherheitsbarrieren setzen vorab festgelegte Sicherheitsregeln durch und verhindern unbefugten Zugriff.
- Authentifizierungs- und Autorisierungstechnologien wie die Multi-Faktor-Authentifizierung überprüfen die Identität von Benutzern und regeln ihren Zugriff auf bestimmte Ressourcen. Gemeinsam stellen sie sicher, dass nur autorisierte Personen auf sensible Informationen zugreifen können, und erhöhen so die allgemeine Datensicherheit.
- Identitäts- und Zugriffsmanagement (IAM) Lösungen zentralisieren die Verwaltung von Benutzeridentitäten und Berechtigungen. Durch die Verwaltung des Benutzerzugriffs auf der Grundlage von Rollen und Zuständigkeiten können Unternehmen das Risiko eines unbefugten Datenzugriffs mindern und Insider-Bedrohungen reduzieren, die wichtige Daten gefährden können.
- Die Verschlüsselung wandelt Daten in ein codiertes Format um, sodass sie ohne den entsprechenden Entschlüsselungscode nicht mehr lesbar sind. Diese Technologie schützt die Datenübertragung und -speicherung und bietet eine zusätzliche Barriere gegen unbefugten Zugriff.
- Endpoint Security konzentriert sich auf den Schutz einzelner Geräte wie Computer und Mobilgeräte vor bösartigen Aktivitäten. Sie kann eine Reihe von Lösungen wie Antivirensoftware, Firewalls und andere Sicherheitsmaßnahmen umfassen.
- Antivirus- und Anti-Malware-Lösungen erkennen, verhindern und entfernen schädliche Software, die Daten gefährden könnte, einschließlich Viren, Spyware und Ransomware.
- Patch-Management stellt sicher, dass Software, Betriebssysteme und Anwendungen über die neuesten Sicherheits-Patches verfügen. Regelmäßige Updates helfen, Sicherheitslücken zu schließen und vor potenziellen Cyberangriffen zu schützen.
- Programme zur Datenlöschung gewährleisten eine sichere und vollständige Entfernung von Daten von Speichergeräten. Das Löschen ist besonders wichtig, wenn Hardware außer Betrieb genommen wird, um den unbefugten Zugriff auf sensible Informationen zu verhindern.
- Archivierungstechnologien erleichtern die systematische Speicherung und Abfrage älterer Daten. Die Archivierung unterstützt bei der Einhaltung von Vorschriften sowie bei der effizienten Verwaltung von Daten, wodurch das Risiko von Datenverlusten verringert wird.
- Zertifizierungs- und Audit-Tools helfen Unternehmen dabei, die Einhaltung von Branchenvorschriften und internen Richtlinien zu bewerten und nachzuweisen. Regelmäßige Audits stellen außerdem sicher, dass Datenschutzmaßnahmen effektiv umgesetzt und aufrechterhalten werden.
- DisasterRecovery-Lösungen, wie DRaaS, stellen IT-Infrastruktur und Daten nach einem disruptiven Ereignis wieder her. Desaster-Recovery umfasst häufig eine umfassende Planung, Strategien für Daten-Backups und Mechanismen zur Minimierung von Ausfallzeiten.
Schützen Sie Daten über Hybrid-Clouds hinweg und vereinfachen Sie Compliance-Anforderungen.
Schützen Sie vertrauliche Daten lokal und in der Cloud. IBM Security Guardium ist eine Datensicherheitslösung, die sich an eine veränderte Bedrohungslage anpasst und während des gesamten Datensicherheitszyklus umfassende Transparenz, Konformität und Schutz gewährleistet.
Holen Sie sich unternehmensweiten Datenschutz. IBM Storage Protect ist eine Software für Daten-Backup und Wiederherstellung.