Schutzziele der Informationssicherheit

Die Schutzziele der Informationssicherheit umfassen Prinzipien, die den Schutz von Informationen und Systemen vor Bedrohungen gewährleisten. Sie beinhalten Verfügbarkeit, Integrität und Vertraulichkeit als Kernziele, ergänzt durch Datenminimierung, Transparenz, Intervenierbarkeit und Nichtverkettung. Diese Ziele orientieren sich an rechtlichen und technischen Anforderungen und dienen der Sicherstellung von Datenschutz und Systemsicherheit.

Verfügbarkeit

Verfügbarkeit bedeutet, dass Informationen und Systeme jederzeit zugänglich sind. Sie stellt sicher, dass Benutzer ohne Unterbrechung auf Ressourcen zugreifen können.

• Definition: Sicherstellen, dass Informationen und Systeme jederzeit zugänglich sind.
• Maßnahmen:
  • Implementierung von Redundanz, beispielsweise durch Backup-Systeme.
  • Nutzung von Lastverteilung und Failover-Mechanismen.
  • Regelmäßige Wartung und Updates der Systeme.

Integrität

Integrität gewährleistet, dass Daten unverändert und korrekt bleiben. Sie schützt vor Manipulationen und Fehlern, die die Zuverlässigkeit beeinträchtigen könnten.

• Definition: Gewährleisten, dass Daten unverändert und korrekt sind.
• Maßnahmen:
  • Einsatz von Prüfziffern und Hash-Funktionen zur Datenvalidierung.
  • Implementierung von Zugriffsrechten, um unautorisierte Änderungen zu verhindern.
  • Regelmäßige Audits und Überprüfungen der Datenintegrität.

Vertraulichkeit

Vertraulichkeit stellt sicher, dass Informationen nur von autorisierten Personen eingesehen werden können. Sie verhindert unbefugten Zugriff und schützt sensible Daten.

• Definition: Sicherstellen, dass Informationen nur von autorisierten Personen eingesehen werden können.
• Maßnahmen:
  • Verwendung von Verschlüsselung für Datenübertragungen und -speicherungen.
  • Implementierung von starken Authentifizierungsmechanismen, beispielsweise Zwei-Faktor-Authentifizierung.
  • Schulung der Mitarbeiter über den Umgang mit sensiblen Daten.

Datenminimierung

Datenminimierung bezieht sich auf die Erhebung und Verarbeitung nur der notwendigen Daten. Sie reduziert Risiken durch die Begrenzung der Datenmenge.

• Definition: Erhebung und Verarbeitung nur der notwendigen Daten.
• Maßnahmen:
  • Überprüfung und Anpassung von Datenanforderungen in Prozessen.
  • Anonymisierung oder Pseudonymisierung von Daten, wenn möglich.
  • Regelmäßige Löschung nicht mehr benötigter Daten.

Transparenz

Transparenz umfasst die Offenlegung von Datenverarbeitungsprozessen und -praktiken. Sie fördert Vertrauen durch klare Kommunikation über den Umgang mit Daten.

• Definition: Offenlegung von Datenverarbeitungsprozessen und -praktiken.
• Maßnahmen:
  • Erstellung und Veröffentlichung von Datenschutzrichtlinien.
  • Durchführung von Informationsveranstaltungen für Betroffene.
  • Bereitstellung von klaren Informationen über Datenverarbeitungszwecke.

Intervenierbarkeit

Intervenierbarkeit ermöglicht es, in Datenverarbeitungsprozesse einzugreifen. Sie unterstützt die Wahrnehmung von Rechten durch Betroffene und fördert die Kontrolle über eigene Daten.

• Definition: Möglichkeit, in Datenverarbeitungsprozesse einzugreifen.
• Maßnahmen:
  • Implementierung von Verfahren zur Datenkorrektur und -löschung auf Anfrage.
  • Bereitstellung von Kontaktstellen für Betroffene zur Ausübung ihrer Rechte.
  • Regelmäßige Schulungen für Mitarbeiter über die Rechte der Betroffenen.

Nichtverkettung

Nichtverkettung verhindert die Verknüpfung von Daten, um Rückschlüsse auf Einzelpersonen zu vermeiden. Sie schützt die Privatsphäre durch die Trennung von Datensätzen.

• Definition: Verhindern der Verknüpfung von Daten, um Rückschlüsse auf Einzelpersonen zu vermeiden.
• Maßnahmen:
  • Trennung von Datenbanken, die personenbezogene Daten enthalten, von anderen Daten.
  • Einsatz von Techniken zur Datenanonymisierung.
  • Überprüfung von Datenverarbeitungsprozessen auf mögliche Verkettungen.