Ein solider Datenschutz ist im Wesentlichen auf zwei Säulen aufgebaut, dem technischen und dem organisatorischen Schutz. Neben größtmöglicher Transparenz und einem organisierten und intelligenten Kontrollsystem, einem Monitoring, gibt es verschiedene Mechanismen, die Sie in Ihrer Firma einführen können. Die Basis jedes Sicherheitssystems ist eine umfassende Bestandsaufnahme aller Daten und eine Einstufung, welche davon schützenswert sind. Hierbei sollten Sie auch berücksichtigen, dass Daten heutzutage enorm mobil sind. Es benötigt also ein gerütteltes Maß an Fantasie, um nachzuverfolgen, wohin diese womöglich im Laufe der Zeit gewandert sind und aktuell wandern. Je gründlicher Sie hier vorgehen, desto besser können Sie künftige Kontrollen einführen oder Grenzen setzen. Auch die Möglichkeit von angefertigten Kopien sollten Sie dabei im Auge haben.
Als nächstes müssen Sie herausfinden, wer Zugriff auf welche Daten hat und wem künftig Zugriff auf welche Daten gewährt werden darf. Rechte und Regeln sind oftmals notwendig, Benutzerrichtlinien ein wichtiger Schritt für dauerhafte Sicherheit. Auch Schulungen und Sensibilisierungen sind nötig, denn nicht jeder Ihrer Mitarbeiter hat automatisch dasselbe Interesse an Sicherheit wie Sie. Tipp: An Berufsschulen gibt es inzwischen das Bildungsangebot „Bottom-Up: Berufsschüler für IT-Sicherheit“.
Eine Erkenntnis, die Sie im Zuge einer Bestandsaufnahme erhalten werden ist, welche Daten überhaupt noch gültig, welche veraltet sind und im Zweifel vernichtet oder ausgelagert werden können. Bezüglich des Aufgabenbereichs der Mitarbeiter sollten Sie sich immer auch fragen: Auf welche Daten muss jemand zur Erledigung seiner Arbeit wirklich zugreifen?
Um künftige Risiken so klein wie möglich zu halten, ist es je nach Ausgangslage klug, eine oder einen Daten(schutz)beauftragte/n einzustellen, der oder die sich dem Thema dauerhaft annimmt und auch in Zukunft technische und strategische Weiterentwicklungen erkennt. Sowohl Ihre IT-Abteilung, als auch Fachabteilungen und nicht zuletzt Sie selbst werden dadurch enorm entlastet.
Und nicht zuletzt bedeutet ein zuverlässiger und umfassender Datenschutz nicht nur Arbeit, sondern er bietet auch einige große unternehmerische Chancen: Kunden, die Ihre Gewissenhaftigkeit und Gründlichkeit in der Angelegenheit wahrnehmen, werden Ihnen weit eher geschäftlich vertrauen, als wenn sie bei Ihnen Unachtsamkeit und Nachlässigkeit detektieren. Zudem kann eine gründliche Prüfung aller Arbeitsschritte dazu führen, dass Sie überflüssige erkennen und abschaffen können, eine höhere Transparenz und eine womöglich ohnehin notwendige Modernisierung einkehren und am Ende generell ein effektives Daten-Management steht.
Die Systeme und die Sicherheit
Natürlich sollten Sie nicht nur die organisatorischen Maßnahmen für eine ausreichende Datensicherheit treffen, sondern auch Ihre technischen Systeme so aufsetzen, dass sie möglichst rasch und vor allem auf Dauer eine umfangreiche Sicherheit gewähren. Business-IT-Systeme wie ERP (Enterprise-Resource-Planning), ECM (Enterprise-Content-Management), CRM (Customer-Relationship-Management) oder DMS (Dokumenten-Management-System) benötigen in Sachen Sicherheit dieselbe Sorgfalt wie Strukturen und Mitarbeiter. Denn der Vorteil vernetzter Lösungen ist bei einem Angriff auf die Technik gleichzeitig der Nachteil für jene Firmen, die diese nutzen: Ist einmal eine Malware in das IT-System gelangt, ist es infiziert und der technische und somit wirtschaftliche Schaden kann groß sein – und langwierige unangenehme Folgen nach sich ziehen.
Egal welches System Sie verwenden, es sollte entsprechend sowohl gegen unberechtigten Zugriff als auch gegen Schadsoftware geschützt sein. Ebenso muss Ihr IT-System compliance-relevante Anforderungen erfüllen und eine sichere Archivierung gewährleisten. Stichwort Benutzerautorisierung: Stellen Sie sicher, dass sich ein Benutzer nicht zu leicht in einem System anmelden kann. Starke Passwörter sind eine Grundvoraussetzung, unter Umständen sollten Sie sogar eine biometrische Authentifizierung in Betracht ziehen. Die Verschlüsselungsrate bei der SSL-Verschlüsselung sollte mindestens 256 Bit betragen. Bei der Kommunikation innerhalb eines Systems ist eine verschlüsselte VPN (Virtual Private Network)-Verbindung empfehlenswert. Zur Sicherheit trägt auch eine sogenannte Audit-Trail-Funktion bei, die sicherstellt, dass nachverfolgt werden kann, wer wann was mit welcher Datei angestellt hat. Tipp: Auf den Internetseiten des BSI (Bundesamt für Sicherheit in der Informationstechnik) erhalten Sie Hinweise und Empfehlungen, wie Ihr PC-Client und Ihr Server abgesichert sein sollten. Unter anderem finden Sie hier auch ein „IT-Grundschutz-Kompendium“.
Bildquelle: Statista (https://de.statista.com/infografik/16771/umfrage-zur-verantwortung-beim-thema-datenschutz/)
Checkliste zur Datensicherheit
Welche Maßnahmen die richtigen sind, können Sie mit der folgenden Checkliste zumindest eingrenzen (Quelle: Varonis Datensicherheits-Report 2018). Vor allem soll diese Sie auf Ideen bringen und Fragen, die sensiblen Daten Ihres Unternehmens betreffen, stellen:
- Werden die Unternehmensdaten verschlüsselt gespeichert?
- Gibt es eine aktuell gehaltene Firewall?
- Ist ein Anti-Virenprogramm aktiviert und auf dem neuesten Stand?
- Sind die Bearbeitungs- und Zugriffsrechte für alle Mitarbeiter/innen geregelt?
- Müssen die Zugriffsrechte Ihrer Mitarbeiter/innen gegebenenfalls reduziert werden?
- Sind Räume mit sensiblen Daten gegen den Zutritt Unbefugter geschützt?
- Werden bei der Arbeit mit Externen die Daten in verschlüsselter Form versendet?
- Gibt es einen Cloud Access Security Broker, also einen Service zur Absicherung von Cloud-Applikationen?
- Sind die Verbindungen für die Datenübertragung sicher?
- Haben Sie Ihre Verträge zur Auftragsdatenverarbeitung auf DSGVO-Konformität überprüft?
- Gibt es eine/n Datenschutzbeauftragte/n oder eine/n IT-Sicherheitsbeauftragte/n?
- Werden die Mitarbeiter regelmäßig zu dem Thema sensibilisiert und geschult?
- Haben Sie eine IT-Haftpflichtversicherung mit ausreichender Versicherungssumme?
- Sichern Sie Ihre Unternehmensdaten regelmäßig durch Backups?
- Gibt es in Ihrem Unternehmen jemanden, der die personenbezogenen Daten Ihrer Dienstleister identifiziert beziehungsweise schon einmal identifiziert hat?
- Bewerten Sie das datenfokussierte Risiko ausreichend oft und gehen Sie dabei wie folgt vor: identifizieren – priorisieren – beheben?
- Kennen Sie alle sensiblen Daten Ihres Unternehmens und wissen, wo Sie diese finden?
- Ist die Dokumentation zu Ihrem IT-System sicher hinterlegt?
- Ist Ihr Datenverkehr ausreichend automatisiert, sind sämtliche Speicherorte einbezogen?
- Beinhaltet Ihre Datensicherheitsstrategie eine umfassende Transparenz, die sämtliche Datenspeicher umfasst?
- Werden in Ihrem Unternehmen gegebenenfalls noch haptische Dokumente zerknüllt und weggeworfen und nicht, wie erforderlich, geschreddert?
- Gibt es in Ihrem Unternehmen eine intelligente Nutzerverhaltens-Analyse, die abnormales Verhalten erkennt und entsprechende Maßnahmen einleitet?
- Haben Sie eine für Ihr Unternehmen maßgeschneiderte Datenschutzerklärung von einem spezialisierten Anwalt erstellen lassen?
- Überprüfen Sie bereits getroffene Maßnahmen regelmäßig auf ihre Wirksamkeit?
Passendes Whitepaper zum Thema
Um das Whitepaper herunterzuladen, klicken Sie einfach auf das nachfolgende Bild.