Data Protection Academy » Data Protection Wiki » Praktische Maßnahmen zur Datensicherheit

Datensicherheitsmassnahmen für mehr Datenschutz

Praktische Maßnahmen zur Datensicherheit

If data protection is about the protection of personal data., so soll die Datensicherheit bzw. die IT-Sicherheit allgemeine Daten schützen. Beim Schutz der Gesamtheit aller Daten einer Organisation ist es also notwendig sowohl das Thema Data protection als auch Datensicherheit regelmäßig zu überprüfen und zu optimieren.

Bestenfalls analysiert der IT-Sicherheitsbeauftragte zusammen mit dem Datenschutzbeauftragten regelmäßig den Schutz der Daten Ihrer Organisation und stellt entsprechende praktische Datensicherheitsmassnahmen für mehr Datenschutz zusammen. Oftmals verfügen Datenschutzbeauftragte auch über die Zertifizierung zum IT-Sicherheitsbeauftragten.

Konkrete Maßnahmen zum technischen Schutz von Daten ohne Personenbezug können ganz unterschiedlich aussehen. Beispielsweise geben die technischen und organisatorischen Maßnahmen (TOMs) verschiedene Arten von Kontrollen an. TOMs spielen auch in der General Data Protection Regulation eine bedeutende Rolle und sind im Gesetzestext näher definiert.

How is the topic of data security integrated into the basic data protection regulation?

Die Vorgaben für die „Sicherheit der Verarbeitung“ finden sich in Article 5(1)(f) GDPR, in Article 32 GDPR and in the Erwägungsgrund 78 DSGVO. However, in Article 32 GDPR wenige konkrete Maßnahmen benannt. Genauer eingegangen wird in Article 32 GDPR on the subject only pseudonymisation und Verschlüsselung. Aus diesem Grund beantworten wir im Folgenden grundlegende Fragen zu technischen Sicherheitsvorkehrungen für mehr Datenschutz.

What is two-factor authentication?

Mit der Zwei-Faktor-Authentifizierung, häufig auch Zwei-Faktor-Authentisierung genannt, weist der Nutzer seine Identität mit der Kombination zweier unterschiedlicher und unabhängiger Komponenten nach. Die Authentifizierung ist nur dann erfolgreich, wenn beide Faktoren zusammen eingesetzt werden. Sie müssen immer durch getrennte Übertragungskanäle übermittelt werden. Gängige Beispiele sind Bankkarte plus PIN beim Geldautomaten, Fingerabdruck plus Zugangscode in Gebäuden sowie Passphrase und TAN im Online-Banking. Weitere Beispiele für Faktoren sind Sicherheits-Token, physischer Schlüssel, Kennwort, Iriserkennung und Stimme. Für sicherheitskritische Anwendungsbereiche empfiehlt das BSI (Bundesamt für Sicherheit in der Informationstechnik) die Zwei-Faktor-Authentisierung.

How can I determine whether an account or computer has been hacked?

Es gibt viele Anzeichen dafür, dass der eigene Account oder Computer gehackt wurde. Offensichtliche Zeichen sind Fake-Warnmeldungen des Virenscanners, neue Toolbars im Browser, zufällige aufpoppende Fenster auf Websites, die dafür nicht bekannt sind, und Installationsprozesse, die aus dem Nichts starten. Verdächtig ist ebenso, wenn sich ein Passwort plötzlich ändert. Meist ist der Anwender zuvor auf eine Phishing-Mail hereingefallen, die ihn zur Erneuerung des Passworts aufgefordert hat. Auch wenn der Mauszeiger unkontrolliert über den Bildschirm springt und dabei Aktionen ausführt, ist der Computer kompromittiert worden.

IT-Attacken können auch zu handfesten wirtschaftlichen Nachteilen führen, so dass man daran merkt, Opfer von Cyberkriminellen geworden zu sein. Das gilt für den Fall, wenn auf dem Bankkonto plötzlich Geld fehlt, aber auch für überraschende Mahnbescheide wegen nicht bezahlter Waren, die in Ihrem Namen eingekauft wurden.

Wie erzeugt man sichere Passwörter und bewahrt sie sicher auf?

Ein sicheres Passwort sollte mindestens acht Zeichen lang sein und Buchstaben (in Groß- und Kleinschreibung), Zahlen und mittendrin Sonderzeichen wie /[(%&§$_:?!+#)] enthalten. Vermeiden Sie Zahlen- oder Buchstabenreihen. Ebenso sollten Namen und Geburtsdaten von Ihnen oder Ihrem Umfeld tabu sein. Gestalten Sie stattdessen individuelle Passwörter, die zum Beispiel auf einem persönlichen Merksatz beruhen. Darüber hinaus müssen Sie mit Login-Daten sorgsam umgehen, um Datendiebstahl zu verhindern. Last but not least: Nutzen Sie für jede Registrierung ein neues Passwort. Sollte eines geknackt werden, bleiben andere Zugänge dann geschützt.

Auch Software kann hilfreich sein: So können Passwort-Generatoren online ein Passwort nach Ihren Vorgaben erzeugen. Als Gedächtnisstütze dienen Tresor-Programme, in denen Sie Ihre ganzen Passwörter speichern, von denen aktive Nutzer leicht Dutzende haben. Den Zugang gewährt ein Masterpasswort.

External Data Protection Officer

Gern können Sie uns als external data protection officer (DPO) order. We also offer individual consulting services as well as audits and will be happy to provide you with a non-binding offer. You can find more information about our external data protection officers on our website.

Discover DSB services

What is the difference between http and https?

Ein Schloss im Browserfenster und ein https anstelle von http zeigen an, dass die Website https-verschlüsselt und somit sicherer ist als eine, die nur auf http (Hypertext Transfer Protocol) basiert. Das „s“ steht für secure. Es handelt sich um die zusätzliche verschlüsselnde Transportschicht TLS zwischen Webserver und Browser. Dritte können dann den Traffic auf dem Weg vom Nutzer zur Webseite nicht abhören. Auf dem Webserver muss dafür ein SSL-Zertifikat installiert sein.

Einerseits ist der generelle Anstieg der Verwendung von https zu begrüßen, andererseits zeigen inzwischen über die Hälfte aller Phishing-Seiten das Schloss-Symbol in der Browserleiste. Wer sich also darauf verlässt, kann Opfer von Betrügern werden. Mittlerweile schaffen daher viele Browser-Hersteller dieses Symbol ab. Nutzer müssen selbst wachsam sein, um Phishing-Seiten und andere Betrugsversuche im Netz zu erkennen.

Was ist die Ende-zu-Ende Verschlüsselung bei E-Mails?

Bei einer Ende-zu-Ende-Verschlüsselung werden übertragene Daten über alle beteiligten Übertragungsstationen bis zum Empfänger verschlüsselt. Sie funktioniert nach dem Schlüssel-Schloss-Prinzip: Die Nachricht des Absenders ist mit einem Schloss versehen und kann nur vom Schlüssel des gewünschten Empfängers geöffnet werden. Alle anderen Instanzen wie der Anbieter des Kommunikationsdienstes, der Telekommunikation oder der Internet-Provider können nicht auf die Nachricht zugreifen. Daher ist die Sicherheit bei dieser Art der Verschlüsselung sehr hoch, denn ohne den geheimen Schlüssel kann kein Text entschlüsselt werden. Das Gegenstück zur Ende-zu-Ende-Verschlüsselung ist die Punkt-zu-Punkt-Verschlüsselung bzw. Leitungsverschlüsselung: Hier können die Nachrichten bei den Übertragungsstationen im Klartext vorliegen und durch Angreifer eingesehen werden. Man sollte also darauf achten, dass genutzte Software und Geräte mit einer Ende-zu-Ende-Verschlüsselung arbeiten.

Kein Sicherheitssystem bewahrt Sie vor den ansteigenden Cybercrime-Vorfällen. Geben Sie Acht auf Anzeichen, die andeuten, dass Ihr Rechner oder Ihre Daten kompromittiert wurden. Ein Großteil der Schäden können Sie verhindern, indem Sie Ihre Software und Sicherheitsprogramme immer auf dem neuesten Stand halten, keine fragwürdigen Programme starten, nicht auf Spammails hereinfallen und regelmäßig Datensicherheitsmaßnahmen für mehr Datenschutz validieren und optimieren.

Ulrich Hottelet
Latest posts by Ulrich Hottelet (see all)

Das könnte Sie auch interessieren:

Löschkonzept nach DSGVO

Muster, Vorlagen und Beispiele für Ihr DSGVO Löschkonzept gemäß DIN 66398. Automatisiert das Löschkonzept erstellen.
Read more

Verzeichnis von Verarbeitungstätigkeiten

Verzeichnis von Verarbeitungstätigkeit nach Art. 30 DSGVO. Schritt für Schritt erklärt mit umfangreichen Informationen. Datenschutz einfach gemacht.
Read more

Technisch organisatorische Maßnahmen (TOMs)

Alle Informationen zu den Technisch Organisatorischen Maßnahmen nach DSGVO. Was müssen Verantwortliche bei der Umsetzung und Dokumentation beachten?
Read more