Information Technology Reference
In-Depth Information
Rahmen der Informationssicherheit ist Datenschutz meist nur ein zufälliges
Nebenprodukt. Oft genug werden die Begriffe von allen Beteiligten munter
miteinander gemischt.
Im Bereich der öffentlichen Verwaltung stößt man immer wieder auf das
Missverständnis, dass in Systemen, in denen Informationen einer hohen
Verschlusssachen-Einstufung verarbeitet werden dürfen - z.B. GEHEIM - auch
unbeschränkt Personaldaten bearbeitet werden können. Offensichtlich herrscht
dort die Meinung vor, dass ein System, dass für Staatsgeheimnisse taugt, für den
Datenschutz lange gut ist. So ist es aber nicht. Der Datenschutz schützt die Daten
des Individuums vor Offenlegung, während der Geheimschutz Staatsgeheimnisse
vor Offenlegung schützt. Was jeweils unter Offenlegung zu verstehen ist, bestimmt
im einen Fall der Besitzer der Daten, nämlich das Individuum, und im anderen Fall
der Besitzer der Geheimnisse, nämlich der Staat.
Derartige Missverständnisse sind genauso wenig selten, wie sie für die betroffenen
Sicherheitsexperten nachzuvollziehen sind. Was jemandem einleuchtet, der sich
täglich mit Datenschutz- und Security-Fragen auseinandersetzt, erschließt sich den
normalen Anwendern meist nicht einmal auf den zweiten Blick. Bei der
Verwendung der Begriffe Datenschutz oder Informationssicherheit muss man
diese daher immer erklären oder sich zumindest rückversichern, dass dem
Gesprächspartner der Unterschied der beiden Ansätze auch bewusst ist. Dazu
gehört es, die Zweideutigkeit des Begriffs
Daten
stets zu berücksichtigen. Für einen
Datenbankadministrator sind Daten eben etwas anderes wie für einen
Datenschutzbeauftragten.
Diese Mehrdeutigkeit der Begrifflichkeiten findet sich überall in der Sicherheits-
Branche und mit ihr umzugehen ist sehr schwer. Wenn Sie die Bezeichnung
Sicherheits-Branche
der Bezeichnung
Security-Branche
gegenüberstellen und dabei
Tabelle 3-1 zugrunde legen, bemerken Sie das Problem: Im Sinne dieser Tabelle
umfasst die Security-Branche nur einen Teil der Sicherheitsbranche, nämlich die
Informationssicherheits-Branche. Eine solche Unterscheidung gibt es aber in der
Praxis nicht. Was konkret gemeint ist, hängt im Einzelfall von Nuancen ab. Wenn
sich also noch nicht einmal die Fachleute auf ein schlüssiges Vokabular einigen
können, wie soll man da von all den anderen Protagonisten auf der Security-Bühne
erwarten, jeden Satz so zu verstehen, wie er gemeint ist? Man kommt daher nicht
umhin, sich im Unternehmen oder der Behörde auf einen gemeinsamen Begriffs-
Pool zu verständigen. Dazu gehört auch, zu klären, wo Datenschutz aufhört, wo
Informationssicherheit anfängt und wo es Überschneidungen gibt.
