Sie wollen keine neuen Beiträge mehr verpassen?
Bleiben Sie mit unserem Newsletter immer auf dem Laufenden.
Ein solider Datenschutz ist im Wesentlichen auf zwei Säulen aufgebaut, dem technischen und dem organisatorischen Schutz. Neben größtmöglicher Transparenz und einem organisierten und intelligenten Kontrollsystem, einem Monitoring, gibt es verschiedene Mechanismen, die Sie in Ihrer Firma einführen können. Die Basis jedes Sicherheitssystems ist eine umfassende Bestandsaufnahme aller Daten und eine Einstufung, welche davon schützenswert sind. Hierbei sollten Sie auch berücksichtigen, dass Daten heutzutage enorm mobil sind. Es benötigt also ein gerütteltes Maß an Fantasie, um nachzuverfolgen, wohin diese womöglich im Laufe der Zeit gewandert sind und aktuell wandern. Je gründlicher Sie hier vorgehen, desto besser können Sie künftige Kontrollen einführen oder Grenzen setzen. Auch die Möglichkeit von angefertigten Kopien sollten Sie dabei im Auge haben.
Als nächstes müssen Sie herausfinden, wer Zugriff auf welche Daten hat und wem künftig Zugriff auf welche Daten gewährt werden darf. Rechte und Regeln sind oftmals notwendig, Benutzerrichtlinien ein wichtiger Schritt für dauerhafte Sicherheit. Auch Schulungen und Sensibilisierungen sind nötig, denn nicht jeder Ihrer Mitarbeiter hat automatisch dasselbe Interesse an Sicherheit wie Sie. Tipp: An Berufsschulen gibt es inzwischen das Bildungsangebot „Bottom-Up: Berufsschüler für IT-Sicherheit“.
Eine Erkenntnis, die Sie im Zuge einer Bestandsaufnahme erhalten werden ist, welche Daten überhaupt noch gültig, welche veraltet sind und im Zweifel vernichtet oder ausgelagert werden können. Bezüglich des Aufgabenbereichs der Mitarbeiter sollten Sie sich immer auch fragen: Auf welche Daten muss jemand zur Erledigung seiner Arbeit wirklich zugreifen?
Um künftige Risiken so klein wie möglich zu halten, ist es je nach Ausgangslage klug, eine oder einen Daten(schutz)beauftragte/n einzustellen, der oder die sich dem Thema dauerhaft annimmt und auch in Zukunft technische und strategische Weiterentwicklungen erkennt. Sowohl Ihre IT-Abteilung, als auch Fachabteilungen und nicht zuletzt Sie selbst werden dadurch enorm entlastet.
Und nicht zuletzt bedeutet ein zuverlässiger und umfassender Datenschutz nicht nur Arbeit, sondern er bietet auch einige große unternehmerische Chancen: Kunden, die Ihre Gewissenhaftigkeit und Gründlichkeit in der Angelegenheit wahrnehmen, werden Ihnen weit eher geschäftlich vertrauen, als wenn sie bei Ihnen Unachtsamkeit und Nachlässigkeit detektieren. Zudem kann eine gründliche Prüfung aller Arbeitsschritte dazu führen, dass Sie überflüssige erkennen und abschaffen können, eine höhere Transparenz und eine womöglich ohnehin notwendige Modernisierung einkehren und am Ende generell ein effektives Daten-Management steht.
Natürlich sollten Sie nicht nur die organisatorischen Maßnahmen für eine ausreichende Datensicherheit treffen, sondern auch Ihre technischen Systeme so aufsetzen, dass sie möglichst rasch und vor allem auf Dauer eine umfangreiche Sicherheit gewähren. Business-IT-Systeme wie ERP (Enterprise-Resource-Planning), ECM (Enterprise-Content-Management), CRM (Customer-Relationship-Management) oder DMS (Dokumenten-Management-System) benötigen in Sachen Sicherheit dieselbe Sorgfalt wie Strukturen und Mitarbeiter. Denn der Vorteil vernetzter Lösungen ist bei einem Angriff auf die Technik gleichzeitig der Nachteil für jene Firmen, die diese nutzen: Ist einmal eine Malware in das IT-System gelangt, ist es infiziert und der technische und somit wirtschaftliche Schaden kann groß sein – und langwierige unangenehme Folgen nach sich ziehen.
Egal welches System Sie verwenden, es sollte entsprechend sowohl gegen unberechtigten Zugriff als auch gegen Schadsoftware geschützt sein. Ebenso muss Ihr IT-System compliance-relevante Anforderungen erfüllen und eine sichere Archivierung gewährleisten. Stichwort Benutzerautorisierung: Stellen Sie sicher, dass sich ein Benutzer nicht zu leicht in einem System anmelden kann. Starke Passwörter sind eine Grundvoraussetzung, unter Umständen sollten Sie sogar eine biometrische Authentifizierung in Betracht ziehen. Die Verschlüsselungsrate bei der SSL-Verschlüsselung sollte mindestens 256 Bit betragen. Bei der Kommunikation innerhalb eines Systems ist eine verschlüsselte VPN (Virtual Private Network)-Verbindung empfehlenswert. Zur Sicherheit trägt auch eine sogenannte Audit-Trail-Funktion bei, die sicherstellt, dass nachverfolgt werden kann, wer wann was mit welcher Datei angestellt hat. Tipp: Auf den Internetseiten des BSI (Bundesamt für Sicherheit in der Informationstechnik) erhalten Sie Hinweise und Empfehlungen, wie Ihr PC-Client und Ihr Server abgesichert sein sollten. Unter anderem finden Sie hier auch ein „IT-Grundschutz-Kompendium“.
Welche Maßnahmen die richtigen sind, können Sie mit der folgenden Checkliste zumindest eingrenzen. Vor allem soll diese Sie auf Ideen bringen und Fragen, die sensiblen Daten Ihres Unternehmens betreffen, stellen:
Quelle: Varonis Datensicherheits-Report 2018
Um das Whitepaper herunterzuladen, tragen Sie einfach Ihren Namen und E-Mail-Adresse in das Formular ein und Sie erhalten den Download-Link sofort per E-Mail.