DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Wie viel Sicherheit braucht eigentlich die Unter­­nehmens-IT?

„Ich will unsere IT absolut sicher sehen!“ „Eine 100 pro­zentige Sicherheit können wir nicht erreichen!“ oder ähn­liche Aus­sagen fallen zuweilen in Mee­tings zum Thema IT-Sicherheit und Daten­schutz. Wie hoch muss das Sicher­heits­niveau im Unter­nehmen aber sein? Welche Maß­nahmen sind unver­zichtbar, welche not­wendig und welche sind sogar unnötig? Gibt es einen Maß­nah­men­ka­talog, der die Unter­neh­mens­praxis an dieser Stelle durch Objek­ti­vität erleichtert?

WER bestimmt eigentlich, WAS zu tun ist? Auch beim Thema IT- und Daten­si­cherheit muss das Unter­nehmen den Inter­essen vieler Betei­ligter (und Unbe­tei­ligter) gerecht werden. Die unter­schied­lichen Ansprüche von Gesell­schaftern, Arbeit­nehmern, Kunden und dem Staat wollen in Ein­klang gebracht werden. Wer kann also welches Sicher­heits­niveau ver­langen?

Sicher­heits­in­ter­essen der Gesell­schafter

Beginnen wir mit den Gesell­schaftern, sie wollen hohe Unter­neh­mens­per­for­mance und gleich­zeitig hohe Sicherheit. Zwei Ziele die sich nur selten im Gleich­klang erreichen lassen. Der Gesetz­geber hat jedoch einen ele­ganten Weg gefunden, ohne kon­krete Vor­gaben eine Regelung zu treffen. Die Unter­neh­mens­führung einer Kapi­tal­ge­sell­schaft ist ver­pflichtet Risiken zu managen. Sie muss alle Risiken doku­men­tieren, auch jene die auf die IT wirken oder aus der IT erwachsen. Sind Risiken nicht doku­men­tiert oder keine adäquaten Maß­nahmen ergriffen worden, wird die Unter­neh­mens­führung zur Rechen­schaft gezogen, spä­testens wenn sich das Risiko zu einer Krise ent­wi­ckelt hat.  Schwere Schäden, die durch Sys­tem­aus­fälle oder Daten­ver­luste ent­stehen, können für Geschäfts­führer Kün­digung und Scha­dens­er­satz­for­de­rungen zur Folge haben. (siehe auch: “Pflicht­ver­let­zungen im Bereich Com­pliance”)

For­de­rungen des Gesetz­gebers

Für bestimmte Daten und Infor­ma­tionen scheint dem Gesetz­geber eine derart fle­xible Lösung ohne kon­krete Vor­gaben dann aber nicht aus­rei­chend sicher zu sein. Bei der Besteue­rungs­grundlage, gerade den Buch­hal­tungs­daten, ver­lässt den Staat das Ver­trauen in die Lage­be­ur­teilung durch die Unter­neh­mens­führung. Kon­krete Maß­nahmen wie Auf­be­wah­rungs­fristen und revi­si­ons­si­chere Spei­cherung sind vor­ge­schrieben.

Sicher­heits­an­sprüche von Kunden und Mit­ar­beitern

Auch die Kunden und Mit­ar­beiter haben natürlich Vor­stel­lungen von einem gewissen Sicher­heits­niveau der Unter­­nehmens-IT und in der Folge „ihrer“ Daten. Diese per­so­nen­be­zo­genen Daten sind besonders zu schützen. Der Gesetz­geber ver­langt eine Doku­men­tation der Pro­zesse, in denen Daten mit Per­so­nen­bezug ver­wendet werden. Die Unter­nehmen haben zu diesen Pro­zessen adäquate  Maß­nahmen zu treffen, um die Sicherheit dieser Daten zu gewähr­leisten.

Unter­nehmen „…, die per­so­nen­be­zogene Daten erheben, ver­ar­beiten oder nutzen, haben die tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nahmen zu treffen, die erfor­derlich sind, um die Aus­führung der Vor­schriften dieses Gesetzes, ins­be­sondere die in der Anlage zu diesem Gesetz genannten Anfor­de­rungen, zu gewähr­leisten. Erfor­derlich sind Maß­nahmen nur, wenn ihr Aufwand in einem ange­mes­senen Ver­hältnis zu dem ange­strebten Schutz­zweck steht.“ schreibt § 9 BDSG vor.

Erfor­derlich sind Maß­nahmen mit denen das Ziel — in aller Regel die Ver­hin­derung unbe­fugter Kennt­nis­nahme per­so­nen­be­zo­gener Daten — erreicht werden kann. Dieses absolute Ziel wird durch das mög­liche Scha­dens­po­tential rela­ti­viert, also die Schwere des Ein­griffs in die infor­ma­tio­nelle Selbst­be­stimmung. Eine bekannt­ge­wordene Post­an­schrift stellt nach­voll­ziehbar eine geringere Beein­träch­tigung dar als ein bekannt­ge­wor­dener Schriftsatz in einem Fami­li­en­rechts­streit.

Klas­si­fi­zierung von Daten nach Schutz­be­darfs­ka­te­gorien

Der gesuchte Maßstab für die IT- und Daten­si­cherheit ergibt sich damit durch die Klas­si­fi­zierung der genutzten Daten nach den Scha­dens­po­ten­tialen. Dazu bietet sich zum einen die Defi­nition von Schutz­be­darfs­ka­te­gorien nach dem BSI-Standard 100–2, Kapitel 4.3 an. Alter­nativ lässt sich für die per­so­nen­be­zo­genen Daten die Klas­si­fi­zierung nach dem Schutz­stu­fen­konzept des Lan­des­be­auf­tragten für den Daten­schutz Nie­der­sachsen recht leicht über­nehmen. Das ist fol­gen­der­maßen auf­gebaut.

Datenschutzstufen

Quelle: http://www.lfd.niedersachsen.de/download/52033/Schutzstufenkonzept_LfD_Niedersachsen_.pdf

Sicherer Umgang mit per­so­nen­be­zo­genen Daten — analog und digital

Die dar­ge­stellten Aus­wir­kungen von Daten­schutz­ver­let­zungen und die ange­fügten Bei­spiele geben eine Hil­fe­stellung bei der Auswahl der not­wen­digen Sicher­heits­maß­nahmen, bei­spiels­weise bei der Auswahl eines not­wen­digen Akten­ver­nichters. Der Fehl­druck eines Wer­be­briefes kann der Schutz­stufe B zuge­ordnet werden, ein geeig­neter Akten­ver­nichter der Zer­klei­ne­rungs­stufe 2 sollte demnach genügen (vgl. BSI Grund­schutz­ka­taloge M.2435). Eine zu ver­nich­tende Mit­ar­bei­ter­be­ur­teilung wäre der Schutz­stufe D zuge­ordnet und erfordert zumindest die Zer­klei­ne­rungs­stufe 3, besser Stufe 4. Im Ergebnis wäre nach unter­neh­mens­in­terner Defi­nition also im Unter­nehmen zumindest ein Akten­ver­nichter der Zer­klei­ne­rungs­stufe 3 ein­zu­setzen.

In die digitale Welt über­tragen, dürften unter­neh­mens­in­terne Tele­fon­ver­zeich­nisse der Schutz­stufe B zuge­ordnet werden. In einem geschützten Intranet des Unter­nehmens dürften die Daten damit ver­öf­fent­licht werden. Für die elek­tro­nische Per­so­nalakte mit Daten der Schutz­stufe D dagegen emp­fiehlt sich die sichere Ver­wahrung auf ver­schlüs­selten Fest­platten, mobilen Geräten bzw. auch die sichere Löschung durch ver­trau­ens­würdige Dienst­leister. Werden Beur­tei­lungen bzw. Zeug­nisse per E‑Mail ver­sendet, so ist eben­falls auf eine Ver­schlüs­selung zu achten.

Die Not­wen­digkeit bestimmter Sicher­heits­maß­nahmen lässt sich mit Hilfe dieser Klas­si­fi­zierung der ver­ar­bei­teten Daten nach ihrer Sen­si­bi­lität beur­teilen. Damit kann eine zuständige Person im Unter­nehmen, der IT-Sicher­heits­­­be­auf­­tragte oder Daten­schutz­be­auf­tragte recht unkom­pli­ziert und prag­ma­tisch eine objek­ti­vierte Arbeits­grundlage erstellen.

Was, wenn Sicher­heits­maß­nahmen und Daten­schutz kol­li­dieren oder das Mit­be­stim­mungs­recht zu beachten ist? Im nächsten Beitrag dieser Reihe soll es darum gehen, wie man die vielen Mei­nungen im Unter­nehmen zum Thema Sicher­heits­maß­nahmen unter einen Hut bekommt.

4 Kommentare zu Wie viel Sicherheit braucht eigentlich die Unternehmens-IT?

  • Walter Reuber sagt:

    DELL-PC Vostro 260MT D260-9926 Liefrg. 04.05.2012 OEM­Feh­ler­insta
    WIN 7 Prorf. 64 Bit. Wir hatten bisher bei allen Schwie­rig­keiten immer die Mög­lichkeit mit Win XP oder Vista eine Instal­lation vor zu nehmen. Der PC hatte feh­lerhaft keine Speicher mehr.
    Die Nachinst. schei­terten, weil der normale WIN 7‑Start so schnell war, dass keine Neu­In­stall. eines anderen Systems Erfolg haben konnte.Wie kann man die CPU-Geschwin­digkeit her­auf­setzen ?

  • Walter Reuber sagt:

    DELL-PC Vostro 260MT D260-9926
    siehe oben

  • Gast sagt:

    Wie oft noch
    Wie oft noch

  • Katrin Böhme sagt:

    CPU-Geschwin­digkeit
    Sehr geehrter Herr Reuber,
    zu dieser kon­kreten, tech­ni­schen Frage können wir Ihnen leider keine Aus­kunft geben. Hierzu wenden Sie sich am besten an einen IT-Dienst­leister bzw. Comp­ter­spe­zia­listen in Ihrer Nähe.

    Mit freund­lichen Grüßen
    Katrin Böhme

Schreiben Sie einen Kommentar zu Katrin Böhme Antworten abbrechen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Lars Kripko, T‑Systems MMS

Über den Autor:

Lars Kripko berät in Pro­jekten zum Daten­schutz und ist Daten­schutz­be­auf­tragter ver­schie­dener Unter­nehmen. Bereits in seiner Diplom­arbeit hat er sich mit dem Daten­schutz­audit aus­ein­an­der­ge­setzt, danach viele Jahre als interner Daten­schutz­be­auf­tragter und Con­troller gear­beitet. Er ist Referent und Coach in der Aus­bildung von Daten­schutz­be­auf­tragten und Autor ver­schie­denster Daten­schutz­pu­bli­ka­tionen, u.a. der Studien „Daten­schutz im HR“.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.