Definition

Unter Datensicherheit werden alle präventiven Maßnahmen physischer und technischer Art verstanden, die dem Schutz digitaler und auch analoger Daten dienen. Datensicherheit soll deren Verfügbarkeit sicherstellen, sowie die Vertraulichkeit und Integrität der Daten gewährleisten.

Grafik: Datensicherheit mit Passwortschutz, Anne Voigt mit CoCoMaterial, 2025, lizenziert unter CC BY-SA 4.0

Einführung

In Copyshops, auf Dienstreise, in Hörsälen, Bibliotheken oder Archiven vergessene USB-Sticks, in Druckern liegengebliebene Ausdrucke, gehackte E-Mail-Konten oder Cloud-Speicher, verlorene Passwörter … und die Daten sind in unbefugten Händen oder verloren. Wer kennt bzw. fürchtet das nicht? Die Sicherheit, Unversehrtheit und Authentizität von Daten gewinnt nicht zuletzt in Zeiten von Hackerangriffen, Spysoftware u. a. sowie im Kontext der Diskussionen um künstliche Intelligenz und Deepfakes rasant an Bedeutung.
Persönliche Daten im Allgemeinen und Forschungsdaten im Besonderen sind wertvolle Daten, die so aufbewahrt werden sollten, dass sie vor Verlust und fremdem Zugriff geschützt sind. Die sichere Ablage und Speicherung von Forschungsdaten sind daher wichtige Bestandteile des Forschungsdatenmanagements und Voraussetzung für gutes wissenschaftliches Arbeiten.
Eine effektive Datensicherheit umfasst neben Maßnahmen zur physischen Sicherheit die Sicherheit von Computersystemen, das sichere Löschen von Daten sowie sicheres Arbeiten und Kommunizieren im Netz und verfolgt i. d. R. folgende Ziele:

• Vertraulichkeit: Der Zugriff auf die Daten darf nur von dazu Befugten erfolgen.
• Integrität: Die Daten sollen frei von unerwünschten Änderungen und Beschädigungen sein.
• Verfügbarkeit: Der Zugriff auf die Daten soll für Berechtigte jederzeit möglich sein.

Motivation

Im Rahmen von Forschungsprojekten generierte Daten sind einzigartig und sollten daher besonders gesichert werden. Es gilt nicht nur das Recht an geistigem Eigentum'Das Urheberrecht (UrhG) schützt bestimmte geistige Schöpfungen (Werke) und Leistungen. Unter Werke fallen Sprachwerke, Lichtbild-, Film- und Musikwerke sowie Darstellungen wissenschaftlicher oder technischer Art, wie Zeichnungen, Pläne, Karten, Skizzen, Tabellen und plastische Darstellungen (Gesetz über Urheberrecht und verwandte Schutzrechte 2021, §2). Die künstlerischen, wissenschaftlichen Leistungen von Personen oder die getätigte Investition gelten dagegen als schützenswerte Leistungen (Leistungsschutzrecht). Der*die Urheber*in ist berechtigt, das Werk zu veröffentlichen und zu verwerten.' (Data Affairs, Glossar) Weiterlesen, sondern auch besonders schutzbedürftige personenbezogene DatenPersonenbezogene Daten sind: 'alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser Person sind, identifiziert werden kann;...' (EU-DSGVO, Artikel 4 Nr. 1; BDSG, §46 Abs. 1; BlnDSG, §31). Weiterlesen oder vertragsrechtlich zugesicherte Informationen – wie z. B. Nutzungsbedingungen in Archiven oder im Rahmen von Auftragsforschung bereitgestellte Materialien und erzielte Forschungsergebnisse zu schützen. Noch nicht publizierte wissenschaftliche Erkenntnisse bedürfen ebenfalls des Schutzes (Biernacka, 2021, p. 116).
In historischen Fachgebieten, die sich z. B. mit zeithistorischen Fragestellungen beschäftigen, etwa wenn sie Zeitzeugen interviewen oder mit Quellen von noch lebenden Personen arbeiten oder sich mit postkolonialen Fragestellungen beschäftigen, werden oft sensiblen Daten'Einen eigenen Teilbereich innerhalb der personenbezogenen Daten bilden die sog. besonderen Kategorien personenbezogener Daten. Ihre Definition geht auf den EU-DSGVO Artikel 9 Abs. 1, 2016 zurück, der besagt, dass es sich hierbei um Angaben über Weiterlesen verwendet, die vertrauliche, persönliche und geschützte Informationen enthalten und datenschutzrechtlich kritische Bereiche berühren können.

Es ist also durchaus sinnvoll, sich möglichst frühzeitig, im Idealfall schon bei der Planung der eigenen Forschungsarbeit, Gedanken zu einem Sicherheitskonzept zu machen. Zudem verlangen einige Forschungsförderer für die Antragsstellung Angaben zur Gewährleistung der Datensicherheit wie z. B. die DFG (DFG, 2022). Dies könnte künftig zunehmen, da mittlerweile vermehrt auch Hochschulen und Universitäten Opfer von Cyberangriffen werden, bei denen Hacker z. T. auch personenbezogene Daten entwendeten und im Darknet veröffentlichten. Dass dies kein Einzelfall ist, zeigen die Beispiele aus der Universität Duisburg-Essen (Reule, 2023), der Heinrich-Heine-Universität Düsseldorf (HUU, 2023) oder der Universität Heidelberg (Universität Heidelberg, 2025).
Nicht zuletzt aus eigenem Interesse und dem Bedürfnis, die arbeitsintensiven Forschungsarbeiten und -ergebnisse nicht zu verlieren, sollten die Maßnahmen auch während des Projekts immer wieder auf Tauglichkeit überprüft und ggf. optimiert werden.

Vorgehen

Neben Datenkopien mittels regelmäßiger Backups'Der Begriff Backup bedeutet Datensicherung beziehungsweise Datenrettung und bezeichnet das Kopieren von Daten als Vorsorge für den Fall, dass es durch einen Schaden z. B. an der Festplatte oder durch versehentliches Löschen zu Datenverlusten kommt. Mit einem Backup können die Daten wiederhergestellt werden. Dafür wird der Datensatz auf einem anderen Datenträger zusätzlich gesichert (Sicherungskopie) und offline oder online abgelegt.' (Data Affairs, Glossar) Weiterlesen, um Daten im Notfall zu retten (vgl. Artikel zur Datensicherung), können folgende Maßnahmen (Forschungs-)Daten vor einem unerlaubten Zugriff Dritter schützen:

1. Maßnahmen zur physischen Sicherheit in gemeinsam genutzten Räumen

• Fenster und Türen abschließen bei Verlassen eines Raumes.
• Desktop durch Bildschirmsperre vor Zugriff schützen.¹Mit: Tastenkombinationen: Crtl+Alt+l oder Windows-Taste+l, Apple-Geräte: Ctrl+Befehlstaste+q
• Mobile Speichermedien wie Festplatten und USBs nicht offen herumliegen lassen und je nach Möglichkeit sicher verschließen.

2. Maßnahmen zur Sicherheit von Computersystemen und zum sicheren Arbeiten und Kommunizieren im Netz

2.1 Passwortschutz (Geräte, Ordner/Dateien, Zugänge)

Die zunehmenden Datenlecks und Hackerangriffe auch auf öffentliche Einrichtungen scheinen deutsche Internetnutzer*innen nicht besonders zu beunruhigen, denn nach wie vor führen leicht zu knackende Passwörter wie 12345678, hallo oder password die Hitliste der beliebtesten deutschen Passwörter an (HPI, 2023). Die Verwendung sicherer und starker Passwörter ist essentiell, um digitale Systeme und persönliche Daten vor unbefugtem Zugriff, Identitätsdiebstahl und Cyberangriffen zu schützen. Ebenso ist der regelmäßige Wechsel der Passwörter wichtig und ein Passwort nur für einen Login zu verwenden und nicht mehrfach.

Es gibt keinen 100%igen Schutz vor Hackerangriffen im Internet, aber starke individuelle Passwörter erschweren diese, da eine Entschlüsselung viel Zeit und Rechenleistung erfordert. Passwörter können den Zugang zur Hardware wie PCs und Internet-Zugängen wie z. B. zu E-Mail-Konten, Social-Media-Plattformen, Clouds und Streamingdiensten schützen. Mit einem Passwortschutz können aber auch einzelne komprimierte (gezippte) Dateien oder Ordner belegt werden.

Tipps zur Passwortgenerierung:

• Lange Passwörter (mindestens 8 Zeichen)
• Groß-, Kleinbuchstaben, Zahlen und Sonderzeichen verwenden
• Keine Wörter aus dem Wörterbuch
• Keine Wiederverwendung von gleichen oder ähnlichen Passwörtern
• Wortschreibung ändern durch Ersetzen von Zeichen durch optisch ähnliche:
  BESEN wird so z. B. zu I3€5EN
• Verwendung von Passphrasen auch gekürzt und verändert:
  IchHabeEinNeuesPasswort. IchHabe1nPa$$Wort.
• Passwörter sicher und verschlossen aufbewahren
• Verwendung von Passwortmanagement-Software wie Keepass
• Wenn möglich Zwei-Faktor-AuthentisierungFür den Zugriff auf Onlineaccounts und auf manche Hardware wird von den Nutzenden ein Passwort verlangt. Viele Systeme verlangen neben der Passwortabfrage oder PIN zudem einen Zugangscode über externe Systeme (Anruf, SMS oder biometrische Verfahren), um eine zweistufige Überprüfung durchzuführen. Diese Kombination verschiedener Faktoren wird Zwei-Faktor-Authentisierung (2FA) genannt und potenziert den Schutz vor unbefugtem Zugang Dritter. Weiterlesen verwenden

Folgendes Video erklärt das Prinzip des Knackens von Passwörtern und der Generierung von sicheren Passwörtern (ca. 4:30 min):

2.2 Verschlüsselung

Verschlüsselung ist ein Verfahren zur Geheimhaltung von Daten, um einen Zugriff Unbefugter zu verhindern. Die Daten werden mithilfe von Algorithmen und Verfahren so konvertiert, dass sie für unautorisierte Personen nicht lesbar sind. Sie können nur mithilfe des richtigen „Schlüssels“ wieder entschlüsselt und damit lesbar gemacht werden.

a) Verschlüsselung von Dateien

Folgendes Video erklärt das Prinzip der Ver- und Entschlüsselung (2 min):

Es gibt zahlreiche, z. T. kostenlose Programme, die das Verschlüsseln von Dateien, Ordnern, Datenträgern, ganzer Betriebssysteme oder auch E-Mails ermöglichen. Hier werden einige kostenlose Open-Source-Anwendungen vorgestellt:

7-zip: https://7-zip.org/
7-zip ist eine Software, die über die Option verfügt, Daten (für das Versenden) verschlüsselt zu komprimieren. Um die bestmögliche Sicherheit zu erreichen, sollte das Archivformat 7z gewählt und die Verschlüsselung von Dateinamen eingeschaltet werden. Ebenso ist auf ein sicheres Passwort zu achten, das separat von der Datei an den Empfänger übermittelt werden muss.

Gpg4Win: https://www.gpg4win.de/
Gpg4Win ist eine Programmsammlung zum Verschlüsseln von E-Mails, Dateien und Ordnern für Windows-Systeme, deren Entwicklung vom Bundesamt für Sicherheit in der Informationstechnik beauftragt wurde und durch dieses empfohlen wird (vgl. BSI, 2023c). Unter anderen in Betriebssystemen wie GNU/Linux können die in Gpg4Win enthaltenen Programme als einzelne Komponenten installiert werden.

VeraCrypt: https://www.veracrypt.fr/en/Home.html
VeraCrypt ist eine Software für die vollständige oder partielle Verschlüsselung von Festplatten und Wechseldatenträgern unter Windows, Mac OSX und Linux.

b) Verschlüsselte Kommunikation im Netz

Folgendes Video erklärt das Prinzip von verschlüsselter Kommunikation (2 min):

Ein gängiges und sicheres Verfahren, Mitteilungen zu verschlüsseln, ist die End-to-End-Verschlüsselung. Diese ist mittlerweile als Standard in diverse E-Mail- und Messenger-Dienste integriert und verhindert zuverlässig ein Mitlesen durch Dritte, da ein Schlüssel des zum Entschlüsseln benötigten Schlüsselpaares beim Empfänger liegt. E-Mails sind standardmäßig jedoch nicht Ende-zu-Ende-Verschlüsselt, weswegen zusätzliche Tools wie Gpg4Win zu deren Schutz benötigt werden.

2.3 Weitere Maßnahmen

• Nutzung von Firewalls und Virussoftware²Zunehmend werden die Betriebssysteme aber immer sicherer, sodass auch diskutiert wird, ob Antivirussoftware verzichtbar ist. Siehe z. B.: https://www.experte.de/antivirus/braucht-man-antivirus
• Regelmäßige Softwareaktualisierung (Betriebssystem u. a.) bzw. Installation aktueller Sicherheitspatches
• Möglichst keine Nutzung von offenem, ungesicherten WLAN
• Beim Aufladen von Geräten wie Smartphones an öffentlichen USB-Buchsen ist die Nutzung eines USB-Datenblockers empfehlenswert.³Dies ist ein Adapter, der einen ungewollten Datentransfer (so genanntes "juice jacking") an Dritte verhindert und nur den Ladestrom durchlässt (Schieb, 2025).

3. Sicheres Löschen von Daten in digitalen Systemen

Um Daten auf einem Rechner oder mobilen Geräten zu löschen, schiebt man sie i. d. R. in den Papierkorb und leert diesen danach. Bei diesem Vorgang werden aber nur die Verweise zu den Daten gelöscht, nicht jedoch die Daten selbst. Die so „gelöschten Daten“ lassen sich meist mit verschiedenen Spezialprogrammen wiederherstellen. Um ganz sicher zu gehen, dass vor allem besonders sensible Daten'Einen eigenen Teilbereich innerhalb der personenbezogenen Daten bilden die sog. besonderen Kategorien personenbezogener Daten. Ihre Definition geht auf den EU-DSGVO Artikel 9 Abs. 1, 2016 zurück, der besagt, dass es sich hierbei um Angaben über Weiterlesen auch wirklich vernichtet werden, ist es ratsam, spezielle Programme zum „Schreddern von Daten“ zu nutzen bzw. den physischen Datenträger direkt zu zerstören.

• Löschen von Daten und Verzeichnissen auf klassischen, magnetischen Festplatten mit kostenlosen Programmen, die die Daten mehrfach überschreiben und so sicher entfernen wie z. B.
  • File Shredder (Windows und Mac OS)
  • CCleaner (überschreibt freien Speicherplatz oder ganze Festplatten)
  • Eraser (überschreibt Daten beim Windows-Start)
• Löschen von Daten auf mobilen Endgeräten (vor Verkauf oder Recycling):
  • Wenn noch nicht geschehen: Daten verschlüsseln (bei den meisten aktuellen Smartphone-Betriebssystemen standardmäßig aktiviert)
  • Daten und Nutzerdaten löschen, danach Speicher mit zufälligen Daten (z. B. großen Videodateien ohne persönliche Informationen) vollschreiben
  • Mobiles Gerät auf Werkseinstellung zurücksetzen (vgl. Tipps vom BSI 2023b).
• Löschen von Daten auf Flashspeichern wie z. B. USB oder SSDs:
  • Nach dem Löschen freien Speicher überschreiben mit Programmen wie z. B. CCleaner
  • oder freien Speicher mit einer großen, nichtssagenden Datei wie einem Video überschreiben (Schieb, 2022).

Im Bedarfsfall lohnt es sich jedoch immer, die aktuellen Hinweise des BSI zum sicheren Löschen der verschiedenen Geräte und Daten zu recherchieren und umzusetzen (BSI, 2023b).

Ressourcen

• Software für ein Passwortmanagement:
  • Keepass (open source und kostenlos): https://keepass.info/
  • Funktionsweise von Passwortmanagern vom BSI (2023a): https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/Passwort-Manager/passwort-manager_node.html
• Software für Verschlüsselung vom Bundesamt für Sicherheit in der Informationstechnik BSI (2023c):
  • Download Software: Gpg4.org https://www.gpg4win.de/
  • Dokumentation: http://www.gpg4win.de/documentation-de.html
  • Vergleichbares Toolset für macOS: https://gpgtools.org/
  • Unter GNU/Linux können die mit Gpg4Win zur Verfügung gestellten Tools i. d. R. direkt aus den Repositorien der Distribution installiert werden.
• Betriebssystem: GrapheneOS
  • https://grapheneos.org/
  • Android-ROM für ausgewählte Smartphones mit besonderem Fokus auf Sicherheit und Datenschutz
  • Die Nutzung bedarf einer Einarbeitung, eines grundlegenden technischen Verständnisses, aber auch Kenntnisse über die Einschränkungen und Limitationen von GrapheneOS.
• Messenger: Signal
  • https://signal.org/de/
  • Echtzeit-Messenger mit Fokus auf Verschlüsselung, Datenschutz und Privatsphäre, leichter zu bedienen als bspw. E-Mail-Verschlüsselung, Entwicklung durch gemeinnützige Stiftung
• Tool für das Checken von E-Mail-Adressen auf Leaks: https://sec.hpi.de/ilc/search
• Tool zum Errechnen, wie lange das Knacken eines Passworts dauert: https://www.passwortcheck.ch