Wie ein Begriffs-Wirrwarr die IT-Welt durcheinander bringt: Das große Missverständnis

Oft werden Datenschutz und Datensicherheit wie ein und derselbe Begriff verwendet. Was nach einer Formulierungs-Lappalie klingt, führt nicht nur zu rechtlichen Missverständnissen. Es ist auch einer der Gründe für den weit verbreiteten Irrglauben, dass Unternehmen mit der Auslagerung ihrer Daten gleichzeitig die Verantwortung über deren Schutz abgeben.

Ob große Telekommunikationsunternehmen oder staatliche Institutionen – fast keine Woche vergeht ohne Meldungen über verloren gegangene Daten und Sicherheitslecks. Die Dunkelziffer über den Verlust oder den Missbrauch von Daten dürfte weitaus größer als die Anzahl der Berichte in den Medien sein. „Kein Unternehmen möchte öffentlich zugeben, wenn es bei ihm zu einer Datenpanne kommt“, weiß Peter Bodino, Sicherheitsexperte und Geschäftsführer des IT-Beratungshauses Trigonum. Ansonsten wären neben dem ohnehin schon entstandenen Schaden Imageverluste oder der Wegfall von Kundenaufträgen vorprogrammiert.
 

„Die Technik ist an allem Schuld!“
 
Doch wie kommt es zu den eklatanten Datenlecks, die Unternehmen oft Millionen kosten? Allzu voreilig schieben die Verantwortlichen der Technik die Schuld in die Schuhe. Ob es der verloren gegangene Laptop war, auf dem wichtige Konstruktionspläne lagerten, oder die E-Mail, die an den falschen Empfänger adressiert wurde und dadurch in die falschen Hände geriet. Die Wenigsten geben zu, dass in diesen Fällen keineswegs die Technik, sondern einzig und allein der Mensch für den Verlust elektronischer Dokumente verantwortlich war. „Den schwarzen Peter schieben die Beteiligten bei Datenpannen allzu häufig der Informationstechnologie zu“, so Khaled Chaar,Managing Director Business Strategy bei Pironet NDH Datacenter. Das sei ungefähr so, als ob jemand den Schlüssel an seinem Auto stecken lässt und bei dessen Verschwinden den Autohersteller für die mangelnde Sicherheit verantwortlich macht. In diesem Fall liege die Schuld jedoch zweifelsfrei beim Besitzer. Genau so wie die Verantwortung über den Datenverlust aufgrund verloren gegangener Laptops oder falsch adressierter E-Mails weder beim Hersteller der Geräte, noch bei der IT-Abteilung oder dem IT-Dienstleister liegt.
 

Schutz macht der Mensch, Sicherheit die Maschine
 
Den Grund für die unberechtigten Schuldzuweisungen macht Chaar unter anderem in sprachlichen Zusammenhängen aus. So werden die Begriffe „Schutz“ und „Sicherheit“ nicht nur in der Umgangssprache, sondern auch in deutschen Synonymwörterbüchern in einen Topf geworfen. In Wahrheit geht es bei der ‚Datensicherheit’ um technische Lösungen, die Daten vor Diebstahl oder Beschädigung bewahren. Demgegenüber ist mit ‚Datenschutz’ eigentlich der Schutz jedes Einzelnen vor dem Missbrauch seiner personenbezogenen Daten gemeint (siehe auch Kasten).
 
Per Definition klar getrennt. 
 
Der Erfahrung von Khaled Chaar nach betrifft die Verwechslung der beiden grundsätzlich verschiedenen Themen überwiegend den deutschen Sprachraum. „Im Englischen oder Französischen sind die Begriffe klar getrennt“, sagt Chaar. So seien die jeweiligen Bezeichnungen für Datenschutz, also „privacy protection“ im Englischen oder „protection des données personneles“ im Französischen, selbsterklärend und damit auch weniger missverständlich. Denn sie betonen per se den Schutz persönlicher Daten vor unberechtigtem Zugriff. Auch die englischen Begriffe für Datensicherheit – „data security“ beziehungsweise „data integrity“ –verdeutlichen auf Anhieb, dass es hierbei um die Verfügbarkeit sowie die Integrität der Daten geht, also die Vollständigkeit und den nicht veränderbaren Zustand.
 
Doch welche Folgen hat dieses Begriffs-Durcheinander in der Praxis für die Anwender und Dienstleister in der IT-Branche? „Ob Outsourcing oder Cloud Computing“, berichtet IT-Experte Khaled Chaar, „die Diskussion kommt immer wieder auf den Sicherheitsaspekt zu sprechen. Unsere Kunden fragen uns – vollkommen zurecht – ob ihre Daten in unseren Rechenzentren sicher sind. ‚Ja’, lautet unsere Antwort.“Dies kann er sagen, weil Pironet NDH Datacenter als Outsourcing-Dienstleister und Cloud-Computing-Betreiber nach der internationalen Sicherheitsnorm ISO 27001 zertifiziert ist. Diese Norm definiert in einem 134 Punkte umfassenden Katalog genau, welche Anforderungen das IT-Unternehmen an die Datensicherheit erfüllen muss.
   

Das Post-it als Datenschutz-Lücke
 
Insbesondere im Mittelstand ist diese Zertifizierung bislang jedoch eher Ausnahme als Regel. Nur wenn der Dienstleister die strengen ISO-Kriterien erfüllt, haben Anwenderunternehmen Gewissheit über die Sicherheit ihrer Daten. „Diese Gewissheit führt jedoch bei einigen Unternehmen von einem Zweifel an den Security-Maßnahmen zum genauen Gegenteil – nämlich zu einem blinden Technikglauben“, so Chaar. So nützen die besten Sicherheitslösungen nichts, wenn Mitarbeiter ihr Passwort klar leserlich auf einemPost-it an ihren Monitor kleben. Oder die Angestellten im Erdgeschoss während ihrer Abwesenheit die Fenster auflassen und so auch Datendieben Tür und Tor öffnen.
 
„Gegen derartige Fälle ist kein IT-Sicherheitskraut gewachsen“, so Sicherheitsberater Peter Bodino. Er rät dazu, dass Unternehmen sowohl die Sicherheit also auch den Schutz der Daten ernst nehmen. Firmen sollten den Datenschutz genau wie andere schriftlich festgehaltene oder auch gelebte Umgangsformen in ihrer Unternehmensphilosophie verankern, so dass er zum selbstverständlichen Teil des täglichen Handelns wird.
Jan Erlinghagen
 
 
Diesen Artikel lesen Sie auch in der it management , Rubrik IT-Security, Ausgabe 12-2011. 

Anzeige
Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.