Es gibt insgesamt drei Hauptschutzziele der Informationssicherheit. Dabei handelt es sich um Vertraulichkeit, Integrität und Verfügbarkeit. Weitere Schutzziele sind Authentizität, Zurechenbarkeit und Verbindlichkeit. In diesem Artikel erfahren Sie, was das Schutzziel Vertraulichkeit bedeutet und wie Sie es erreichen können.
Definition Vertraulichkeit
Sie kennen wahrscheinlich den Hinweis in einem Brief oder einer E-Mail: vertraulich. Eine solche Kennzeichnung besagt, dass der Inhalt nur für eine bestimmte Person oder einen Personenkreis gedacht ist. Ebenso ist die Vertraulichkeit auch im Bereich der Datensicherheit gemeint. Daten eines Unternehmens dürfen nur von Personen eingesehen oder offengelegt werden, die dazu berechtigt sind. Um das sicherzustellen, müssen bestimmte Maßnahmen ergriffen werden.
Beispiele für Maßnahmen, um Vertraulichkeit zu gewährleisten
Zutrittskontrolle
Die Zutrittskontrolle stellt sicher, dass nur berechtigte Personen physischen Zutritt zum Gebäude, zu einem Raum oder zum Beispiel zu einem Dokumentenschrank haben. Die Zutrittskontrolle kann unter anderem gesteuert werden durch:
- eine Empfangskraft
- einen Wachdienst
- Mitarbeiter- oder Besucherausweise
- eine Einbruchmeldeanlage
- eine Schließanlage
- Videoüberwachung
Hinweise aus der Praxis
Wir erleben es häufiger, dass zum Beispiel der Serverraum gleichzeitig als Lager für Büromaterial oder Arbeitskleidung verwendet wird. Das birgt einerseits das Risiko, dass auch unbefugte Personen Zugang zum Server, auf dem alle Unternehmensdaten gespeichert sind, haben. Außerdem geht von den Textilien und dem Papier eine Brandgefahr aus, die die Sicherheit des Servers gefährden.
Ein weiterer wichtiger Aspekt betrifft die Besucherausweise. Wir empfehlen allen Unternehmen, die Besucherausweise vergeben, dass sie auch ihre Mitarbeitenden mit Ausweisen ausstatten. Ansonsten besteht die Gefahr, dass Besucherinnen und Besucher als Mitarbeitende identifiziert werden, sobald sie ihren Besucherausweis abnehmen und so unbegrenzten Zutritt innerhalb des Unternehmens haben.
Zugangskontrolle
Mit der Zugangskontrolle sind technische Maßnahmen gemeint, um den Zugang zum Netzwerk zu kontrollieren bzw. um es vor unbefugtem Zugriff zu schützen. Beispiele sind ein VPN-Zugang, eine Firewall, Passwörter, gesperrte Bildschirme, ein Gast-WLAN oder Anonymisierung bzw. Pseudonymisierung von personenbezogenen Daten.
Hinweise aus der Praxis
Lesen Sie hier unsere Tipps für sichere Passwörter.
Außerdem sollten Sie Ihre Mitarbeitenden sensibilisieren, ihren Bildschirm zu sperren, sobald sie ihren Arbeitsplatz verlassen. Dadurch schützen sie das Unternehmen und sich selbst, denn werden Daten von ihrem Computer gestohlen oder manipuliert, fällt das zunächst auf sie selbst zurück.
Das betriebliche WLAN sollte ausschließlich von betrieblichen Geräten genutzt werden, da betriebsfremde Geräte ein Risiko für Schadsoftware bergen und Unternehmensdaten von unbefugten Personen eingesehen werden könnten. Eine einfache Lösung ist, ein Gast-WLAN einzurichten. Dieses sollte zudem nicht nur von Gästen, sondern auch von Mitarbeitenden genutzt werden, wenn sie in ihrer Pause private Smartphones oder Tablets verwenden.
Zugriffskontrolle
Eine weitere Maßnahme zum Schutz der Vertraulichkeit ist die Zugriffskontrolle. Hierzu zählen abschließbare Schränke, Verschlüsselungen, Sperrung von Anschlüssen (USB) sowie ein Berechtigungskonzept und eine Zugriffsprotokollierung.
Trennungsgebot
Des Weiteren gilt ein Trennungsgebot, um das Schutzziel Vertraulichkeit zu erreichen. Das bedeutet, Daten, die zu unterschiedlichen Zwecken verarbeitet werden, sollten getrennt voneinander gespeichert werden. Dies wird in der Regel durch unterschiedliche Softwarelösungen, Hardware, Datei-Ordner oder Datenbanken realisiert (Buchhaltung, Bestellwesen, Personalabrechnungen etc.)
HUBIT Datenschutz sorgt für Datensicherheit
Sind Ihre Daten sicher? Gerne überprüfen wir das für Sie und empfehlen ggf. entsprechende Maßnahmen, damit Sie das Schutzziel erreichen. Kontaktieren Sie uns!