Wissen schützt: Begriffsverwirrung um Sicherheit und Datenschutz

Wien (pts007/25.09.2018/09:05) – Datenschutz und Informationssicherheit werden gerne in einem Atemzug genannt. Manchmal werden auch die gängigen Anglizismen Privacy und Security verwendet. Der Unterschied zwischen den beiden Begriffen ist oft nicht deutlich verständlich, besonders, wenn man Publikationen liest oder politischen Diskussionen folgt, in der beide Worte gerne synonym verwendet werden. Es kommt dann meist „irgendwas mit Schutz und Privatsphäre, möglichst digital“ heraus. Die unvermeidliche Folge ist dann ein hochgefährliches Halbwissen, welches zu Sicherheitslücken führt. Privatsphäre und Geheimnisse sind schützenswert, sie sind jedoch nicht völlig gleich. Die DeepSec Konferenz und die Privacy Week möchten daher im Oktober und November diesen Jahres Aufklärungsarbeit durch Vorträge und Workshops leisten.

Informationssicherheit als Fundament

Ohne Grundmauern bleibt bei Gebäuden kein Stein auf dem anderen. Die Informationssicherheit ist daher immer die grundlegende Komponente, wenn es um Sicherheit oder Schutz geht. Darauf baut alles andere auf. Das oberste Ziel ist, Daten vor unbefugtem Zugriff zu bewahren, und die Integrität der Daten zu gewährleisten. Damit ist Schutz vor Manipulation, digitaler Diebstahl (sprich das Kopieren von Daten) oder der Missbrauch von Systemen der Informationsverarbeitung automatisch enthalten.

Die Tücke liegt in der praktischen Umsetzung, da der moderne Alltag zu Hause und in der Arbeitswelt stark vernetzt und vom ständigen Zugriff auf Daten lebt. Baut man Schleusen und Schranken ein, so muss man sich sehr gut überlegen wie man das im produktiven Betrieb umsetzen kann. Es ist kein unlösbares Problem, es bedarf nur guter Planung. Um die simple Analogie zur Datenautobahn zu strapazieren: Im Straßenverkehr hat man es ja auch geschafft. Vordergründig ist immer eine intelligente Architektur, gepaart mit Expertinnen, die interdisziplinär arbeiten. Dabei muss man auch wissen, wer wie zu welchem Zweck Daten verarbeitet. Wer Vorschriften und Sicherheitsmaßnahmen implementiert, ohne zu wissen, was dies für jeden einzelnen Arbeitsplatz bedeutet, der setzt die Grundlage für eine endlose Serie von Ausnahmen und Sonderregelungen, letztlich also Sicherheitslücken.

Datenschutz involviert Bürger mit Rechten

Sobald personenbezogene Daten ins Spiel kommen, wird es – im wahrsten Sinne des Wortes – persönlich. Bürgerinnen haben Rechte, die ihnen die Verfassung zugesteht. Damit kommt die Privatsphäre ins Spiel. Zusätzlich wird der Fokus geändert. Die Informationssicherheit schützt Daten und Systeme generell. Beim Datenschutz ist der Schutz persönlicher Daten im Vordergrund. Dazu gehören auch Logiken, um aus Daten Profile zu erstellen, die wiederum einzelnen Personen zugeordnet werden können.

An diesem Punkt gibt es Unterschieden zwischen den beiden Disziplinen. Informationssicherheit muss zuweilen feststellen, wie ein fehlgeschlagener Loginversuch oder ein Zugriff auf Daten geschehen konnte. Dazu müssen zwangsläufig Protokolle geschrieben und personenbezogene Informationen verarbeitet werden. Jeder Systemadministrator hat schon zu Diagnosezwecken Logdateien durchsucht. Man sieht dort automatisch Zeitstempel, eindeutige Kennungen oder Namen, abhängig vom verwendeten System. Natürlich gilt der Schutz auf für diese Daten, und genau da beginnen die inhaltlichen Abstimmungen, die zwischen beiden Disziplinen notwendig sind. Die DeepSec Konferenz und die Privacy Week möchten daher Datenschützerinnen und Informationsschützer an einen Tisch bringen, um Wissen und Erfahrungen auszutauschen.

Vortrag auf der Privacy Week 2018

René Pfeiffer, Geschäftsführer der DeepSec GmbH, wird auf der Privacy Week einen Vortrag mit dem Titel „Das Verhältnis zwischen Privacy und Security“ halten. Datenschutz bedient sich der Datensicherheit, um die gesteckten Ziele – den Schutz privater Daten – umzusetzen. Umgekehrt muss Datensicherheit nicht automatisch mit persönlichen Daten zu tun haben. Betriebssysteme und Applikationen dürfen sich jederzeit auch selbst ohne die Präsenz von Anwenderinnen schützen. Abhängig vom Kontext kommt Informationssicherheit allerdings durchaus mit Profilen und Persönlichkeiten in Berührung. Die unsägliche Biometrie für Logins ist ein (schlechtes) Beispiel, da man körperliche Merkmale nicht ändern kann; dasselbe gilt für die Analyse von Verhalten, um die Benutzung von Konten durch Menschen zu prüfen, oder simple Nachrichten mit Namen, Telefonnummern oder ähnlichem. Überwachung ist oft ein Problem für den Datenschutz, ist aber fallweise eine Komponente von Datensicherheit. Wieder hängt es stark vom Kontext ab.

Der Vortrag möchte daher nicht relativieren, sondern Klarheit in die Verwirrung bringen. Die Gemeinsamkeiten sowie Unterschiede zwischen den beiden Disziplinen müssen verstanden werden bevor man eine Umsetzung von Maßnahmen wagt. Der Inhalt des Vortrags soll beim semantischen Navigieren helfen und dem Publikum die Chance geben, Scharlatanerie von echtem Schutz zu unterscheiden. Man wird nach der Präsentation klar erkennen, dass Daten definitiv nicht das Rohöl des 21. Jahrhunderts sind. Gründerinnen und Mitarbeiter von Start-Ups sind explizit eingeladen, um sich weiterzubilden.

Präsentationen auf der DeepSec Konferenz

Der Vortrag „Blinding the Watchers: The Growing Tension between Privacy Concerns and Information Security“ von Mark Baenziger beleuchtet das Spannungsfeld von Informationssicherheit und Privatsphäre. An Beispielen wird erläutert wie Sicherheitsbeauftragte Datenschutzmassnahmen bei Untersuchungen von Vorfällen deaktiviert haben. Der Fokus der Präsentation liegt auf den Mechanismen, die IT Sicherheitsabteilungen einsetzen, um ihre Ziele zu erreichen. Die Werkzeuge, die Angriffe und Betrugsversuche aufklären, müssen zwangsläufig auf Daten zugreifen, die personenbezogen sein können. Es werden Wege aufgezeigt wie man alternative Analyseansätze verwenden kann. Schließlich gelten rechtliche Vorgaben sowohl für Sicherheit von Infrastruktur, Geschäftsdaten und persönlichen Daten. Compliance kann man nicht nach Belieben ignorieren. Beschäftigen Sie sich mit den Lösungen bevor die Probleme auftreten. Zur DeepSec Konferenz sind zahlreiche Experten vor Ort, die Sie während der Veranstaltung ansprechen können.

Programme und Buchung

Die DeepSec-Konferenztage sind am 29. und 30. November. Die Trainings finden an den zwei vorangehenden Tagen, dem 27. und 28. November statt. Der Veranstaltungsort ist das Hotel The Imperial Riding School Vienna – A Renaissance Hotel, Ungargasse 60, 1030 Wien. Sie finden das aktuelle Programm unter dem Link: https://deepsec.net/schedule.html

Tickets für die DeepSec Konferenz und die Trainings können Sie jederzeit unter dem Link https://deepsec.net/register.html bestellen. Die Privacy Week findet vom 22. bis 28. Oktober 2018 im Volkskundemuseum im 8. Bezirk in Wien statt. Das Programm findet sich unter https://fahrplan.privacyweek.at . DieTickets für die Privacy Week können Sie online unter diesem Link https://privacyweek.at/tickets bestellen.

(Ende)

Aussender: DeepSec GmbH Ansprechpartner: René Pfeiffer Tel.: +43-676-5626390 E-Mail: deepsec@deepsec.net Website: deepsec.net