DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Daten­schutz und Daten­si­cherheit beginnen am Arbeits­platz

IT-Sicherheit beginnt am Arbeitsplatz!

Sicher­heits­software braucht es schon allein wegen der Menge neuer Malware, die täglich hin­zu­kommt. Der dritte Teil der Serie zur Digi­ta­li­sierung zeigt, wie wichtig das orga­ni­sa­to­ri­schen Fun­dament für den wirk­samen Schutz des Unter­nehmens ist.

 

Im Zuge der Digi­ta­li­sierung ver­ändern sich Arbeits­weisen und damit Anfor­de­rungen an die IT. Zum einen erfolgt dies durch vor­an­schrei­tende Technik (vgl. Teil 1 “Hand­lungs­bedarf bei neu ent­stan­denen Sicher­heits­lücken”), zum anderen durch recht­liche Anfor­de­rungen (vgl. Teil 2 “Die Rolle des eGo­vernments bei der digi­talen Kor­re­spondenz”). Wer in den dichter wer­denden Netz­werken den Über­blick ver­liert, kann schnell für teures Geld sinnlose Lösungen ein­kaufen. Ein Konzept für Daten­schutz und Sicherheit für die Infor­ma­ti­ons­technik ist hilf­reich, um Risiken zu mindern und Kosten zu sparen.

Dabei handelt es sich in erster Linie nur um ein paar wenige Punkte:

  • Welche Art von Daten, also Infor­ma­tionen, Berech­nungen, Mar­ke­ting­un­ter­lagen, Patente, Geschäfts­kor­re­spondenz, Lie­­fe­ranten- und Kun­den­daten etc. haben Sie?
  • Wie wichtig ist der Schutz dieser Infor­ma­tionen
  1. Für die Auf­recht­erhaltung des Geschäfts­be­triebes
  2. Zur Sicherung der Wett­be­werbs­po­sition
  3. Zur Wahrung des Daten­schutzes
  • Welche Arten von Sicher­heits­vor­keh­rungen sind zu treffen (räumlich, tech­nisch, orga­ni­sa­to­risch)
  • Bauen die Sicherheitsvorkehrungen/Maßnahmen auf­ein­ander auf (Abhän­gig­keiten)?

Zunächst sind Daten­schutz und Daten­si­cherheit grund­sätzlich keine tech­nische Ange­le­genheit und somit nicht allein über tech­nische Hilfs­mittel zu erreichen. Ein gesprä­chiger Mit­ar­beiter, Doku­mente im Papiermüll und Ent­sorgung von PCs, Note­books, Fest­platten, USB-Sticks etc. aber auch „her­um­lie­gende“ Daten­träger, die „mal eben“ ange­steckt werden, bergen weitaus höhere Risiken für Geschäfts­ge­heim­nisse als das Internet! Dies spiegelt sich auch im Maß­nah­men­ka­talog des Bun­des­da­ten­schutz­ge­setzes (BDSG) wider, welcher in gleicher Weise dem Schutz sen­sibler Daten dient. Hier werden in der „Anlage zu § 9 Satz 1“  zu Beginn sin­ni­ger­weise Maß­nahmen genannt, die zunächst einmal die Orga­ni­sation betreffen.

Sen­sible und betriebs­not­wenige Infor­ma­tionen müssen darüber hinaus vor Risiken wie Zer­störung (Verlust), vor unbe­rech­tigter Ver­än­derung (Inte­grität), vor unbe­rech­tigter Kennt­nis­nahme (Ver­trau­lichkeit) und vor Fäl­schung der Absender-Iden­­tität (Authentifikation/Integrität) geschützt werden.
Hier­unter fallen in beson­derer Weise die per­so­nen­be­zo­genen Daten über Kunden, Geschäfts­partner, Mit­ar­beiter, wie sie das Daten­schutz­gesetz vorgibt.
Schüt­zenswert sind darüber hinaus aber auch betrieb­liche Daten wie fach­liches Know-how, Kal­ku­la­tionen, Auf­trags­daten, Patente, Bau­pläne, Ent­wick­lungs­ent­würfe oder Betriebs­wirt­schaft­liche Aus­wer­tungen.

Gelangen der­artige Infor­ma­tionen in die Hände von Kon­kur­renten, geht dies in der Regel zu Lasten der eigenen Wett­be­werbs­po­sition. Werden Daten auf­grund von Stö­rungen der IT wie Unver­träg­lich­keiten oder Fehl­funk­tionen zer­stört oder in uner­wünschter Weise ver­ändert, leidet die Betriebs­fä­higkeit. Im schlimmsten Fall wird die Geschäfts­grundlage zer­stört oder das Unter­nehmen ist für Tage han­d­­lungs- und geschäfts­un­fähig.

Das Fun­dament

Das Fun­dament des digi­talen Schutzes beruht auf einem simplen Prinzip: Der Besitzer der Maschine kann mehr oder weniger leicht auf Pro­gramme und Daten zugreifen. Grund­legend für alle (software-)technischen Absi­che­rungen ist also der Zugang zu den End­ge­räten wie PC, Notebook, Smart­phone, also deren phy­si­scher Schutz. Die Video­platt­formen im Internet zeigen ein­drucksvoll, wie leicht der Zugriff auf Daten erfolgt, wenn man im Besitz des Gerätes ist.
Grund­regel 2 ist also Daten­ver­meidung an Arbeits­plätzen, besonders auf mobilen End­ge­räten. In einem Netzwerk sollte ein WTS-System ein­ge­setzt werden, bei dem die Daten nicht mehr am Arbeits­­platz-PC liegen und auch Pro­gramme über den WTS auf­ge­rufen werden. Extern ein­ge­setzter Geräte besitzen eine Remote-Anbindung,  wählen sich also immer in das Netzwerk ein, sodass die Daten­haltung im einen Netzwerk erfolgt.

Erst nach der­ar­tigen Vor­be­rei­tungen kann und sollte man sich Gedanken über eine ergän­zende, tech­nische Lösung machen. Auch wenn dies als Tat­sache bereits längst in den Köpfen der Ver­ant­wort­lichen fest ver­ankert ist, mangelt es dennoch oft an einer ver­nünf­tigen Umsetzung. Ver­nünftig meint hier nicht das Gegenteil eines plan­losen Umgangs mit der Materie, sondern die Berück­sich­tigung von Wirk­zu­sam­men­hängen. Diese gehen auf­grund ihrer höheren Kom­ple­xität, räum­licher Gege­ben­heiten oder Bequem­lichkeit gerne unter.

Hierzu mehr im nächsten Teil.

Die wei­teren Bei­träge zu dieser Serie:

Teil 1 “Hand­lungs­bedarf bei neu ent­stan­denen Sicher­heits­lücken

Teil 2 “Die Rolle des eGo­vernments bei der digi­talen Kor­re­spondenz

Teil 4 “Pro­zesse orga­ni­sieren, sicher arbeiten

Teil 5 “Risiken ein­dämmen

Teil 6 “Sicher mit dem Internet agieren

Teil 7 “Wie viel Sicherheit ist nötig — Wie viel ist genug

Bild: © B. Stolze / pixelio.de

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Feuchter, DATEV eG

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unter­schied­liche DATEV IT-Lösungen. Nach seinem Studium zum Infor­matik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kom­mu­ni­kation zu Sicher­heits­themen und die über­grei­fende Ver­marktung der ent­spre­chenden Sicher­heits­pro­dukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicher­heits­themen im Unter­neh­mens­alltag” tätig; seine Spe­zia­lität sind Vor­träge mit Live-Demos und –Hacking.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.