Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Wie viel Sicherheit braucht eigentlich die Unternehmens-IT?
„Ich will unsere IT absolut sicher sehen!“ „Eine 100 prozentige Sicherheit können wir nicht erreichen!“ oder ähnliche Aussagen fallen zuweilen in Meetings zum Thema IT-Sicherheit und Datenschutz. Wie hoch muss das Sicherheitsniveau im Unternehmen aber sein? Welche Maßnahmen sind unverzichtbar, welche notwendig und welche sind sogar unnötig? Gibt es einen Maßnahmenkatalog, der die Unternehmenspraxis an dieser Stelle durch Objektivität erleichtert?
WER bestimmt eigentlich, WAS zu tun ist? Auch beim Thema IT- und Datensicherheit muss das Unternehmen den Interessen vieler Beteiligter (und Unbeteiligter) gerecht werden. Die unterschiedlichen Ansprüche von Gesellschaftern, Arbeitnehmern, Kunden und dem Staat wollen in Einklang gebracht werden. Wer kann also welches Sicherheitsniveau verlangen?
Sicherheitsinteressen der Gesellschafter
Beginnen wir mit den Gesellschaftern, sie wollen hohe Unternehmensperformance und gleichzeitig hohe Sicherheit. Zwei Ziele die sich nur selten im Gleichklang erreichen lassen. Der Gesetzgeber hat jedoch einen eleganten Weg gefunden, ohne konkrete Vorgaben eine Regelung zu treffen. Die Unternehmensführung einer Kapitalgesellschaft ist verpflichtet Risiken zu managen. Sie muss alle Risiken dokumentieren, auch jene die auf die IT wirken oder aus der IT erwachsen. Sind Risiken nicht dokumentiert oder keine adäquaten Maßnahmen ergriffen worden, wird die Unternehmensführung zur Rechenschaft gezogen, spätestens wenn sich das Risiko zu einer Krise entwickelt hat. Schwere Schäden, die durch Systemausfälle oder Datenverluste entstehen, können für Geschäftsführer Kündigung und Schadensersatzforderungen zur Folge haben. (siehe auch: “Pflichtverletzungen im Bereich Compliance”)
Forderungen des Gesetzgebers
Für bestimmte Daten und Informationen scheint dem Gesetzgeber eine derart flexible Lösung ohne konkrete Vorgaben dann aber nicht ausreichend sicher zu sein. Bei der Besteuerungsgrundlage, gerade den Buchhaltungsdaten, verlässt den Staat das Vertrauen in die Lagebeurteilung durch die Unternehmensführung. Konkrete Maßnahmen wie Aufbewahrungsfristen und revisionssichere Speicherung sind vorgeschrieben.
Sicherheitsansprüche von Kunden und Mitarbeitern
Auch die Kunden und Mitarbeiter haben natürlich Vorstellungen von einem gewissen Sicherheitsniveau der Unternehmens-IT und in der Folge „ihrer“ Daten. Diese personenbezogenen Daten sind besonders zu schützen. Der Gesetzgeber verlangt eine Dokumentation der Prozesse, in denen Daten mit Personenbezug verwendet werden. Die Unternehmen haben zu diesen Prozessen adäquate Maßnahmen zu treffen, um die Sicherheit dieser Daten zu gewährleisten.
Unternehmen „…, die personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.“ schreibt § 9 BDSG vor.
Erforderlich sind Maßnahmen mit denen das Ziel — in aller Regel die Verhinderung unbefugter Kenntnisnahme personenbezogener Daten — erreicht werden kann. Dieses absolute Ziel wird durch das mögliche Schadenspotential relativiert, also die Schwere des Eingriffs in die informationelle Selbstbestimmung. Eine bekanntgewordene Postanschrift stellt nachvollziehbar eine geringere Beeinträchtigung dar als ein bekanntgewordener Schriftsatz in einem Familienrechtsstreit.
Klassifizierung von Daten nach Schutzbedarfskategorien
Der gesuchte Maßstab für die IT- und Datensicherheit ergibt sich damit durch die Klassifizierung der genutzten Daten nach den Schadenspotentialen. Dazu bietet sich zum einen die Definition von Schutzbedarfskategorien nach dem BSI-Standard 100–2, Kapitel 4.3 an. Alternativ lässt sich für die personenbezogenen Daten die Klassifizierung nach dem Schutzstufenkonzept des Landesbeauftragten für den Datenschutz Niedersachsen recht leicht übernehmen. Das ist folgendermaßen aufgebaut.
Quelle: http://www.lfd.niedersachsen.de/download/52033/Schutzstufenkonzept_LfD_Niedersachsen_.pdf
Sicherer Umgang mit personenbezogenen Daten — analog und digital
Die dargestellten Auswirkungen von Datenschutzverletzungen und die angefügten Beispiele geben eine Hilfestellung bei der Auswahl der notwendigen Sicherheitsmaßnahmen, beispielsweise bei der Auswahl eines notwendigen Aktenvernichters. Der Fehldruck eines Werbebriefes kann der Schutzstufe B zugeordnet werden, ein geeigneter Aktenvernichter der Zerkleinerungsstufe 2 sollte demnach genügen (vgl. BSI Grundschutzkataloge M.2435). Eine zu vernichtende Mitarbeiterbeurteilung wäre der Schutzstufe D zugeordnet und erfordert zumindest die Zerkleinerungsstufe 3, besser Stufe 4. Im Ergebnis wäre nach unternehmensinterner Definition also im Unternehmen zumindest ein Aktenvernichter der Zerkleinerungsstufe 3 einzusetzen.
In die digitale Welt übertragen, dürften unternehmensinterne Telefonverzeichnisse der Schutzstufe B zugeordnet werden. In einem geschützten Intranet des Unternehmens dürften die Daten damit veröffentlicht werden. Für die elektronische Personalakte mit Daten der Schutzstufe D dagegen empfiehlt sich die sichere Verwahrung auf verschlüsselten Festplatten, mobilen Geräten bzw. auch die sichere Löschung durch vertrauenswürdige Dienstleister. Werden Beurteilungen bzw. Zeugnisse per E‑Mail versendet, so ist ebenfalls auf eine Verschlüsselung zu achten.
Die Notwendigkeit bestimmter Sicherheitsmaßnahmen lässt sich mit Hilfe dieser Klassifizierung der verarbeiteten Daten nach ihrer Sensibilität beurteilen. Damit kann eine zuständige Person im Unternehmen, der IT-Sicherheitsbeauftragte oder Datenschutzbeauftragte recht unkompliziert und pragmatisch eine objektivierte Arbeitsgrundlage erstellen.
Was, wenn Sicherheitsmaßnahmen und Datenschutz kollidieren oder das Mitbestimmungsrecht zu beachten ist? Im nächsten Beitrag dieser Reihe soll es darum gehen, wie man die vielen Meinungen im Unternehmen zum Thema Sicherheitsmaßnahmen unter einen Hut bekommt.
4 Kommentare zu Wie viel Sicherheit braucht eigentlich die Unternehmens-IT?
Schreiben Sie einen Kommentar

Über den Autor:
Lars Kripko berät in Projekten zum Datenschutz und ist Datenschutzbeauftragter verschiedener Unternehmen. Bereits in seiner Diplomarbeit hat er sich mit dem Datenschutzaudit auseinandergesetzt, danach viele Jahre als interner Datenschutzbeauftragter und Controller gearbeitet. Er ist Referent und Coach in der Ausbildung von Datenschutzbeauftragten und Autor verschiedenster Datenschutzpublikationen, u.a. der Studien „Datenschutz im HR“.

DELL-PC Vostro 260MT D260-9926 Liefrg. 04.05.2012 OEMFehlerinsta
WIN 7 Prorf. 64 Bit. Wir hatten bisher bei allen Schwierigkeiten immer die Möglichkeit mit Win XP oder Vista eine Installation vor zu nehmen. Der PC hatte fehlerhaft keine Speicher mehr.
Die Nachinst. scheiterten, weil der normale WIN 7‑Start so schnell war, dass keine NeuInstall. eines anderen Systems Erfolg haben konnte.Wie kann man die CPU-Geschwindigkeit heraufsetzen ?
DELL-PC Vostro 260MT D260-9926
siehe oben
Wie oft noch
Wie oft noch
CPU-Geschwindigkeit
Sehr geehrter Herr Reuber,
zu dieser konkreten, technischen Frage können wir Ihnen leider keine Auskunft geben. Hierzu wenden Sie sich am besten an einen IT-Dienstleister bzw. Compterspezialisten in Ihrer Nähe.
Mit freundlichen Grüßen
Katrin Böhme