Oftmals entspricht der Umgang mit personenbezogenen Daten nicht den Anforderungen, insbesondere im Hinblick auf deren Sicherheit. Es bestehen erhebliche Bedenken hinsichtlich der grundlegenden Sicherung verschiedener sensibler personenbezogener Daten, wie beispielsweise Finanz- und Gesundheitsdaten. Ohne angemessene Sicherheitsmaßnahmen und -prozesse hätten Angreifer oder Cyberkriminelle Zugriff auf riesige Mengen sensibler personenbezogener Daten, was zu einem völligen Chaos im Datenmanagement führen würde. Um diese kritischen und enormen Datenmengen zu bewältigen, müssen wir den feinen Unterschied zwischen Datensicherheit und Datenschutz verstehen, die oft synonym verwendet werden.
Heute werden wir den Unterschied zwischen Datensicherheit und Datenschutz sowie verschiedene Faktoren wie beispielsweise … erörtern. Verschlüsselung, Tokenisierung, & Maskierung beide betreffend.
Datensicherheit vs. Datenschutz
Der eigentliche Unterschied zwischen Datenschutz und Datensicherheit liegt darin, welche Daten geschützt werden und wie dieser Schutz erfolgt. Datensicherheit zielt darauf ab, Daten vor böswilligen Bedrohungen und Angreifern zu schützen, während es beim Datenschutz um den verantwortungsvollen Umgang mit Daten geht.
Datensicherheit befasst sich mit dem Schutz sensibler und kritischer Daten. Ihr Hauptaugenmerk liegt darauf, unbefugten und unrechtmäßigen Zugriff auf Daten durch Kompromittierung, Sicherheitslücken oder Datenlecks zu verhindern, unabhängig davon, wer der unbefugte Dritte ist. Unternehmen setzen IT-Tools und -Technologien wie Firewalls, Zugriffskontrolle, Benutzerauthentifizierung und -identifizierung, Netzwerkzugriffskontrolle sowie interne Sicherheitsmaßnahmen ein, um solche Zugriffe zu verhindern. Dazu gehören auch neueste Sicherheitstechnologien wie Verschlüsselung, Tokenisierung und Maskierung, die den Datenschutz weiter verbessern, indem sie die Daten unlesbar machen. Dies kann im Falle einer Sicherheitslücke verhindern, dass Cyberkriminelle große Mengen sensibler Daten offenlegen.
Datenschutz hingegen befasst sich damit, wie sensible personenbezogene Daten unter Einhaltung der Einwilligung des Betroffenen erfasst, verarbeitet, übermittelt oder genutzt werden. Datenschutz bedeutet stets, Einzelpersonen im Voraus darüber zu informieren, welche Art von Daten zu welchem Zweck erhoben und unter welchen Umständen an wen diese weitergegeben werden. Sobald das Unternehmen diese Hinweise veröffentlicht hat, muss der Nutzer den Nutzungsbedingungen zustimmen und dem Unternehmen damit die Nutzung der Daten gemäß den geltenden Datenschutzstandards für den angegebenen Zweck gestatten.
Datenschutz bedeutet weniger den Schutz der Daten selbst vor Missbrauch, sondern vielmehr den verantwortungsvollen Umgang mit Daten, verbunden mit spezifischen Hinweisen, um Missbrauch zu verhindern. Der Anwendungsfall von Datenschutz unterscheidet sich von dem der Datensicherheit; dennoch wird Datenschutz durch Datensicherheitsmaßnahmen wie die Anonymisierung personenbezogener Daten (Verknüpfung personenbezogener Daten mit der betroffenen Person), Verschleierung und vieles mehr ergänzt.
Man sieht häufig, dass die Begriffe „Datensicherheit“ und „Datenschutz“ synonym verwendet werden, obwohl sie sich in ihrer Anwendung stark unterscheiden.
Die Begriffe Datensicherheit und Datenschutz werden häufig synonym verwendet, obwohl sie sich in ihrer Anwendung stark unterscheiden. Datensicherheit kann eigenständig implementiert werden, während Datenschutz Sicherheit als eigenständige Säule benötigt. Vereinfacht ausgedrückt ermöglicht Datenschutz eingeschränkten Zugriff, während Datensicherheit verschiedene Prozesse oder Methoden nutzt, um diesen eingeschränkten Zugriff zu gewährleisten.
Datensicherheit und Datenschutz vs. Compliance
Nachdem wir nun die Grundlagen der Datensicherheit und des Datenschutzes verstanden haben, müssen wir tiefer in die Materie eintauchen, um zu verstehen, wie die verschiedenen Branchenvorschriften Unternehmen dabei helfen, ihre Datenschutzlandschaft zu verändern.
- PCI DSS
Das Branchenstandard für die Datensicherheit der Zahlungskarten (PCI DSS) PCI DSS bietet einen Rahmen zum Schutz von Zahlungskarteninformationen und Karteninhaberdaten. Es ist eng mit Standards für die Sicherheitskontrollen bei der Speicherung, Verarbeitung und Übermittlung von Zahlungsdaten, einschließlich personenbezogener Daten wie Name, Adresse usw., verbunden. Dieser Standard gilt für Händler, Banken, alle beteiligten Drittanbieter und alle anderen Stellen, die Karteninhaberdaten verarbeiten.
- CCPA
Der California Consumer Privacy Act (CCPA) zielt darauf ab, dass Verbraucher, die Bürger des Bundesstaates Kalifornien sind, das Eigentum, die Kontrolle und die Sicherheit ihrer persönlichen Daten behalten, indem er ihnen wichtige Rechte einräumt, wie zum Beispiel:
- Das Recht zu erfahren, welche personenbezogenen Daten über sie erhoben, verkauft und weitergegeben werden und wo diese Daten gespeichert werden.
- Die Möglichkeit, den Verkauf personenbezogener Daten zu verweigern.
- Das Recht auf den gleichen Service und Preis, wenn man sich entscheidet, von seinen Datenschutzrechten Gebrauch zu machen.
- Das Recht, die Löschung personenbezogener Daten zu verlangen.
- HIPAA
Das Krankenversicherungs-Portabilitäts- und Rechenschaftsgesetz (HIPAA) Der HIPAA (Health Insurance Portability and Accountability Act) legt Standards zum Schutz sensibler Patientendaten in den USA fest. Diese Regelung ist komplex, da sie eine große Menge an Gesundheitsdaten von US-Bürgern umfasst. Unternehmen, die mit geschützten Gesundheitsdaten (Protected Health Information, PHI) arbeiten, müssen administrative, physische und technische Sicherheitsmaßnahmen implementieren, um die HIPAA-Bestimmungen zu erfüllen. Zu den betroffenen Einrichtungen zählen Behandlungsanbieter, Zahlungsempfänger, im Gesundheitswesen Tätige sowie Geschäftspartner, einschließlich aller Personen, die über Patientendaten verfügen und Unterstützung bei Behandlung, Zahlung oder Betriebsabläufen leisten. Die allgemeinen Sicherheitsregeln verpflichten die betroffenen Einrichtungen zur Aufrechterhaltung angemessener administrativer, technischer und physischer Sicherheitsvorkehrungen zum Schutz von PHI.
- Die Vertraulichkeit, Integrität und Verfügbarkeit aller geschützten Gesundheitsdaten (PHI) muss gewährleistet sein, die von den betroffenen Einrichtungen erstellt, empfangen, verwaltet oder übermittelt werden.
- Erkennen und schützen Sie sich vor vernünftigerweise vorhersehbaren Bedrohungen der Sicherheit oder Integrität der Informationen.
- Schutz vor vernünftigerweise vorhersehbaren, unzulässigen Verwendungen oder Offenlegungen.
- Sicherstellen, dass die Mitarbeiter der betroffenen Einrichtungen die Vorschriften einhalten.
- Datenschutz
Das Allgemeine Datenschutzverordnung (GDPR/DSGVO) Die DSGVO ist ein Datenschutzstandard für EU-Bürger. Sie legt die allgemeinen Richtlinien für personenbezogene Daten fest, beispielsweise welche Daten geschützt werden müssen, welche Arten von personenbezogenen Daten es gibt und wie diese verwaltet und geschützt werden müssen. Die DSGVO gilt für alle Unternehmen, die Daten von EU-Bürgern erheben und verarbeiten. Unternehmen außerhalb der EU müssen einen DSGVO-Beauftragten benennen und haften für alle Bußgelder und Sanktionen.
- NYDFS
Die Cybersicherheitsverordnung des New Yorker Finanzdienstleistungsministeriums (NYDFS) ist ein Regelwerk, das für die betroffenen Finanzinstitute gilt. Die NYDFS-Verordnung gilt für alle Finanzinstitute, die unter einer Lizenz, Registrierung oder Konzession des New Yorker Finanzdienstleistungsministeriums (DFS) stehen oder von diesem reguliert werden. Sie legt strenge Richtlinien für Cybersicherheitsregeln und einen detaillierten, vom Chief Information Security Officer (CISO) erstellten Cybersicherheitsplan fest, regelt die Umsetzung der Cybersicherheitspolitik sowie ein System zur kontinuierlichen Wartung und Meldung von Cybersicherheitsvorfällen.
- HITECH
Der Health Information Technology for Economic and Clinical Health Act (HITECH) wurde erlassen, um den gezielten Einsatz von elektronischen Patientenakten (EHR) durch in den USA ansässige Gesundheitsdienstleister und deren Geschäftspartner zu fördern. HITECH verpflichtet Gesundheitsdienstleister, nachzuweisen, dass sie zertifizierte EHR-Technologie verwenden, um Datenlecks durch unverschlüsselte EHR-Daten zu vermeiden.
Der HITECH Act förderte zudem die strengere Durchsetzung der Datenschutz- und Sicherheitsbestimmungen des HIPAA, indem er Sicherheitsaudits aller Gesundheitsdienstleister vorschrieb. Diese Audits dienen der Untersuchung und Feststellung, ob Gesundheitsdienstleister die festgelegten Mindeststandards erfüllen bzw. ob sie die Datenschutz- und Sicherheitsbestimmungen des HIPAA einhalten.
Lassen Sie uns besprechen, wie Datensicherheit und Datenschutz mithilfe der folgenden Sicherheitstechnologien erreicht werden können:
- Verschlüsselung
- Tokenisierung
- Masking
- Verschlüsselung für Datensicherheit und Datenschutz:
Verschlüsselung bietet Datensicherheit für verschiedene Arten vertraulicher Daten, wie z. B. Karteninhaberdaten, Gesundheitsdaten (PHI), personenbezogene Daten (PII) usw., indem sie diese mit einem mathematisch abgeleiteten Schlüssel verschlüsselt und entschlüsselt, der einer autorisierten Partei zur Verfügung steht. Datensicherheit ist in der heutigen Zeit, in der überall im Internet Cyberkriminelle aktiv sind, von entscheidender Bedeutung. Viele Verschlüsselungsanwendungen schützen personenbezogene Daten sowohl im Ruhezustand als auch während der Übertragung; sensible Daten lassen sie jedoch ungeschützt. Klartext während der Verarbeitung.
Obwohl die Verschlüsselung zum De-facto-Standard für alle Anwendungsfälle von Datenübertragung und ruhenden Daten geworden ist, bietet sie allein immer noch keine vollständige Lösung für den Datenschutz sensibler Daten während ihres gesamten Lebenszyklus.
- Tokenisierung für Datensicherheit und Datenschutz:
Die Tokenisierung spielt eine wichtige Rolle für Datensicherheit und Datenschutz, da sie die Anforderungen beider Bereiche erfüllt. Durch die Pseudonymisierung dient sie als zusätzliche Sicherheitsmaßnahme im Falle eines Sicherheitsverstoßes. Selbst wenn die Daten im System eines Unternehmens kompromittiert werden, sind sie für Angreifer kaum nutzbar, da die Pseudonymisierung die Daten anonymisiert und sie somit für Cyberkriminelle unbrauchbar macht.
Da die Daten im System des Unternehmens desensibilisiert sind, wird dem Datenschutzrisiko entgegengewirkt. Es ist also klar, dass unsere Datensicherheit durch die Tokenisierung die nötige Stärke erhält und andererseits der Datenschutz durch die Desensibilisierung personenbezogener Daten robuster wird.
- Maskierung für Datensicherheit und Datenschutz:
Die Datenmaskierung spielt eine entscheidende Rolle für den Datenschutz, indem sie vertrauliche Informationen wie Kreditkarteninformationen, PHI, PII usw. schützt, indem die tatsächlichen Daten durch funktionale fiktive Daten ersetzt werden, die in Szenarien verwendet werden, in denen die tatsächlichen Daten nicht benötigt werden. Gartner beschreibt es als eine Technologie, die „sensible Daten dynamisch oder statistisch schützen kann, indem sie durch fiktive, realistisch wirkende Daten ersetzt werden, um Datenverlust in verschiedenen Anwendungsfällen zu verhindern.“ Datenmaskierung nutzt verschiedene Mechanismen, um die Daten durch Zeichen- oder Zahlenersetzung, Zeichenvertauschung oder Verschlüsselungsalgorithmen zu verändern. Datenmaskierung, auch als Datenverschleierung oder Datenpseudonymisierung bekannt, trägt somit maßgeblich zum Umgang mit Datenschutzproblemen bei personenbezogenen Daten bei.
Fazit
Datensicherheit und Datenschutz sind zwei unterschiedliche Ansätze im Umgang mit vertraulichen personenbezogenen Daten; sie werden jedoch oft synonym verwendet. Datenmaskierung und Tokenisierung konzentrieren sich primär auf den Datenschutz, während Verschlüsselung die Datensicherheit in den Mittelpunkt stellt. Betrachtet man die Fakten zu allen drei Sicherheitstechnologien, lässt sich festhalten, dass keine einzelne Technologie personenbezogene Daten vollständig schützen kann. Sie alle müssen zusammenwirken, um sensible personenbezogene Daten in verschiedenen Phasen ihres Lebenszyklus vor Diebstahl zu schützen.
