DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Zuneh­mende Digi­ta­li­sierung von Geschäfts­pro­zessen IV

Die Technik macht’s möglich! Immer mehr mobile End­geräte und Cloud-Tech­­niken schaffen neue Arbeits­mo­delle und erleichtern die Arbeit. Damit diese Effi­zi­enz­vor­teile nicht in Sicher­heits­nach­teile umschlagen, gilt es, erst zu planen und dann zu handeln.

In den bereits erschie­nenen Bei­trägen habe ich gesetz­liche (hier) und tech­nische (hier) Ver­än­de­rungen auf­ge­zeigt, die zur Digi­ta­li­sierung führen und welche Anfor­de­rungen dies an Daten­schutz und –sicherheit (hier) stellt. Nun geht es um Schutz­me­cha­nismen der End­geräte, die den Prozess der Digi­ta­li­sierung abbilden. 

Nach der Digi­ta­li­sierung: viele alte Regeln – aber weiter rei­chende Folgen
Ver­trau­lichkeit, Inte­grität, Ver­füg­barkeit und Ver­bind­lichkeit sind eta­blierte Aspekte im papier­be­haf­teten, ana­logen Geschäfts­verkehr. Sie sind bereits soweit in den Alltag inte­griert, dass sie selbst­ver­ständlich geworden sind. Und gerade das ver­führt bei der Ein­führung neuer Pro­zess­ab­läufe dazu, dies dort als ebenso selbst­ver­ständlich anzu­sehen.

Im digi­talen Medium mit seinen ver­netzten Sys­temen und mit zuneh­mendem Einsatz von mobilen End­ge­räten und Cloud-Fun­k­­tionen bekommen diese Anfor­de­rungen (Ver­trau­lichkeit, Inte­grität, Ver­füg­barkeit und Ver­bind­lichkeit) einen anderen Stel­lenwert:
Durch rein orga­ni­sa­to­rische Ansätze, wie Zugangs­re­ge­lungen zu bestimmten Unter­lagen oder durch soziale Kon­trolle können diese nicht mehr gewähr­leistet werden.

In Art und Umfang müssen also bestehende Maß­nahmen über­prüft und ange­passt werden: Die phy­sische Trennung des Daten­zu­griffs auf per­so­neller Ebene ist ohne zusätz­liche Maß­nahmen nicht zu erreichen. Sind die Gehalts­ab­rech­nungen und Unter­­nehmens-BWA nur auf dem Chef-PC im Unter­neh­mensnetz abgelegt, bedeutet dies nicht selbst­ver­ständlich, dass ein Mit­ar­beiter nicht darauf zugreifen kann.

Darüber hinaus müssen jedoch neue, dem Medium ange­passte Maß­nahmen eta­bliert werden. Hoch­ver­füg­barkeit gibt es nur gegen Auf­preis. Ein Webshop sollte bei­spiels­weise per­manent erreichbar sein. Die Ver­trau­lichkeit kann nur durch die Abwicklung innerhalb der Zone euro­päi­schen (Datenschutz-)Rechts gewähr­leistet und durch den Einsatz zusätz­licher Software erreicht werden. Das Erfor­dernis einer Soft­ware­lösung gilt ebenso für die Inte­grität, also die unver­fälschte Infor­mation.
Eine ein­deutige Iden­ti­fi­kation für den ver­bind­lichen Rechts- und Geschäfts­verkehr kann im Web nur durch Besitz­kom­po­nenten rea­li­siert werden.

Neues Aus­weis­system für  über­grei­fende, digitale Zusam­men­arbeit

Durch die Kon­zen­tration der ver­schie­denen Quellen und Daten auf ein ein­ziges, über­grei­fendes, infor­ma­ti­ons­ver­ar­bei­tendes System fallen die tra­di­tio­nellen orga­ni­sa­to­ri­schen und räum­lichen Zugriffs­schranken. In Folge dessen sollte mit­hilfe einer Benut­zer­ver­waltung ein adäquates Aus­weis­system eta­bliert werden, das die elek­tro­ni­schen Zugriffe ebenso regle­men­tiert wie eigene und fremde End­geräte. Die digitale Abwicklung der Geschäfts­pro­zesse umfasst bei­spiels­weise in vielen Unter­nehmen bereits das Auf­trags­wesen, die Abwicklung der Ver­kaufs­seite vom Angebot bis zur Rechnung, die Doku­men­ten­ablage, das Scannen, Archivieren/Organisieren von Doku­menten, die Abwicklung des Zah­lungs­ver­kehrs, die Ver­waltung der Bank­kon­to­um­sätze, das Rech­nungs­wesen und das Per­so­nal­wesen.

Sicherheit in fle­xiblen Sys­temen – Mobile Cloud Security

Auf­grund des durch­gän­gigen Infor­ma­ti­ons­flusses via Internet und den neuen Mög­lich­keiten durch Smart­phones, Apps und Cloud-Dienst­­leis­­tungen ergeben sich neue Formen der Arbeits­or­ga­ni­sation, die durch Fle­xi­bi­lität, Mobi­lität, Vir­tua­lität, Team- und Pro­jekt­ori­en­tiertheit sowie Selbst­stän­digkeit der Mit­ar­beiter gekenn­zeichnet sind. Von der stan­dar­di­sierten, indus­tri­ellen Arbeits­or­ga­ni­sation führt die Digi­ta­li­sierung hin zur „Krea­ti­v­öko­nomie“. Doch müssen die Daten in einem solchen fle­xiblen System dennoch sicher sein. Sicher­heits­software kann in einem solchen System gute Arbeit leisten, sie muss aber in einem orga­ni­sa­to­ri­schen Rahmen ein­ge­bettet werden, der räum­liche Aspekte und Schnitt­stellen ebenso berück­sichtigt wie die betei­ligten Per­sonen.

Orga­ni­sa­to­rische Plattform für sichere Pro­zesse

Eine gute Basis für jeden Betrieb ist die phy­sische Zutritts­re­gelung: Wer darf in welche Bereiche des Unter­nehmens? Zwangs­läufig müssen hier für Mit­ar­beiter andere Rechte gelten als für die Putz­ko­lonne oder Tech­niker und Besucher: Können bei­spiels­weise Siche­rungs­bänder, Pro­gramme, mobile Daten­träger oder Akten einfach ent­wendet werden, ist eine Aus­ein­an­der­setzung mit dif­fi­zilen Sicher­heits­vor­keh­rungen für das Medium Internet obsolet. Mit der gleichen Sorgfalt muss geregelt werden, was in welcher Form das Unter­nehmen ver­lässt. Die unbe­darfte Ent­sorgung von Akten, Daten­trägern oder Mul­ti­funk­ti­ons­ge­räten mit ein­ge­bauten Daten­trägern sorgte in der Ver­gan­genheit immer wieder für negative Publicity.

Der Zugang zur EDV sollte soweit möglich unter­bunden werden, um unbe­merkten Ein- und Ausbau von Hardware oder Inbe­trieb­nahme von uner­wünschter Software wie Key­logger, zusätz­liche Fest­platten, Sniffer-Software oder den Einbau von Funk-Kom­­po­­nenten zu ver­hindern. Räum­liche Trennung, abschließbare PCs und geschützte BIOS-Ein­stel­­lungen schützen vor unge­wünschten Ver­än­de­rungen an PCs und Servern.

Die grund­le­gende Maß­nahme beim Betrieb der EDV ist eine wir­kungs­volle Daten­si­cherung, die im Pro­blemfall als Fall­back­stra­tegie fun­giert. Prak­tisch ebenso wichtig ist die Absi­cherung sen­sibler Daten gegen unbe­rech­tigten Zugriff. Gerne wird ver­gessen, dass die Digi­ta­li­sierung ihren Ursprung innerhalb des Unter­nehmens hat. Arbeits­pro­zesse müssen bei der Umstellung auf digitale Pro­zesse ange­passt werden.

Im nächsten Beitrag, der Anfang Januar erscheinen wird, zeige ich auf, wie die Risiken, die mit der Digi­ta­li­sierung ein­her­gehen, ein­ge­dämmt werden können.

Die wei­teren Bei­träge zu dieser Serie:

Teil 1 “Hand­lungs­bedarf bei neu ent­stan­denen Sicher­heits­lücken

Teil 2 “Die Rolle des eGo­vernments bei der digi­talen Kor­re­spondenz

Teil 3 “Daten­schutz und Daten­si­cherheit beginnen am Arbeits­platz

Teil 5 “Risiken ein­dämmen

Teil 6 “Sicher mit dem Internet agieren

Teil 7 “Wie viel Sicherheit ist nötig — Wie viel ist genug

Bild: © Gerd Altmann / pixelio.de

Ein Kommentar zu Zunehmende Digitalisierung von Geschäftsprozessen IV

Schreiben Sie einen Kommentar zu Wassili Antworten abbrechen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Feuchter, DATEV eG

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unter­schied­liche DATEV IT-Lösungen. Nach seinem Studium zum Infor­matik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kom­mu­ni­kation zu Sicher­heits­themen und die über­grei­fende Ver­marktung der ent­spre­chenden Sicher­heits­pro­dukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicher­heits­themen im Unter­neh­mens­alltag” tätig; seine Spe­zia­lität sind Vor­träge mit Live-Demos und –Hacking.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.