Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
PRISM: Eine Herausforderung an den Datenschutz
Datenverschlüsselung, Datenaustausch über verschlüsselte Kanäle: Die erforderliche Technik ist realisiert. Aber der Diebstahl eines Notebooks führte zum Datenmissbrauch!
Dieser und weitere Fälle zeigen, dass technische Maßnahmen nur in Verbindung mit geeigneten organisatorischen Regelungen greifen. Eine besondere Aufmerksamkeit verdient dabei die Sicherheit der alltäglichen Kommunikation in Form von E‑Mails oder der direkte Datenaustausch mit Kunden und Lieferanten.
Datenklassen
Wie kann der Schaden begrenzt werden? Zunächst sollte man bewerten, welche Arten von Daten im Unternehmen verarbeitet und wie kritisch diese Daten aus Sicht des Unternehmens, aber auch aus Sicht des Datenschutzes sind. Zu empfehlen ist eine Analyse und Klassifizierung der Daten. Bspw. könnte für die Klassifizierung der Daten folgendes Schema genutzt werden:
- Klasse 0: Daten ohne Vertraulichkeit
- Klasse 1: Daten einfacher Vertraulichkeit
- Klasse 2: Daten gehobener Vertraulichkeit
- Klasse 3: Daten höchster Vertraulichkeit
Nach Festlegung der Datenklassen sind die Datenarten zu erheben, den Klassen zuzuordnen und die zum Schutz der Daten erforderlichen Vorgaben pro Datenklasse festzulegen. In diesem Zusammenhang sind zugleich organisatorische Regelungen zum Umgang mit den Daten zu verabschieden. Dies könnte u. a. zu dem Beschluss führen, dass Daten der höchsten Vertraulichkeitsklasse nicht per E‑Mail übertragen oder auf ein ungesichertes System übernommen werden dürfen.
Schwachstellen finden
Dessen ungeachtet ist die Verabschiedung von Regelungen allein nicht ausreichend. Um deren Umsetzung sicherzustellen, sind die Mitarbeiter einzuweisen und zu sensibilisieren. Ferner sind die Verantwortlichen der Fachbereiche sowie die Überwachungsorgane, Datenschutzbeauftragter, Qualitätsmanager, Sicherheitsbeauftragter etc. anzuweisen, die Einhaltung regelmäßig zu verifizieren.
Ziel muss sein, Schwachstellen auszumerzen, sich verändernde Risiken möglichst bald zu erkennen und dem Wert der jeweiligen Daten entsprechende, wirtschaftlich vertretbare Maßnahmen zu veranlassen. Wesentlich ist dabei, dass die aktuellen Regelungen den Betroffenen transparent sind. Daher empfiehlt es sich, diese zentral, z. B. in einem elektronischen Datenschutzhandbuch zu verwalten.
Besuchen Sie vom 08. bis 10.10. die Sicherheitsmesse it-sa 2013 in Nürnberg. Sie bietet eine gute Gelegenheit, sich hierzu beraten zu lassen. Namhafte Aussteller zeigen neueste Erkenntnisse und Lösungen zu Datenschutz und IT-Sicherheit.
Bild: © S.Hofschlaeger / pixelio.de
Abschluss der Ausbildung mit dem zweiten juristischen Staatsexamen 1997. Seitdem in unterschiedlichen Bereichen bei der DATEV eG in Nürnberg tätig. Praktische Erfahrung im IT-Umfeld hat er insbesondere in seiner zehnjährigen Tätigkeit in der Softwareentwicklung gesammelt. Hierbei war er u.a. mit der Einrichtung und Aktualisierung von Netzwerkumgebungen in Steuerberater- und Rechtsanwaltskanzleien betraut. Seit fünf Jahren ist Bernd Bosch als externer Datenschutzberater für Kanzleien tätig.
Für DATEV sind Datenschutz und Datensicherheit seit Gründung des Unternehmens zentrale Elemente in der Geschäftspolitik. Daher engagiert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.
Neueste Kommentare