DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

PRISM: Eine Her­aus­for­derung an den Daten­schutz

Prism: Herausforderung für Datenschutz

Daten­ver­schlüs­selung, Daten­aus­tausch über ver­schlüs­selte Kanäle: Die erfor­der­liche Technik ist rea­li­siert. Aber der Dieb­stahl eines Note­books führte zum Daten­miss­brauch!

 

 

 

Dieser und weitere Fälle zeigen, dass tech­nische Maß­nahmen nur in Ver­bindung mit geeig­neten orga­ni­sa­to­ri­schen Rege­lungen greifen. Eine besondere Auf­merk­samkeit ver­dient dabei die Sicherheit der all­täg­lichen Kom­mu­ni­kation in Form von E‑Mails oder der direkte Daten­aus­tausch mit Kunden und Lie­fe­ranten.


Daten­klassen

Wie kann der Schaden begrenzt werden? Zunächst sollte man bewerten, welche Arten von Daten im Unter­nehmen ver­ar­beitet und wie kri­tisch diese Daten aus Sicht des Unter­nehmens, aber auch aus Sicht des Daten­schutzes sind. Zu emp­fehlen ist eine Analyse und Klas­si­fi­zierung der Daten. Bspw. könnte für die Klas­si­fi­zierung der Daten fol­gendes Schema genutzt werden:

  • Klasse 0: Daten ohne Ver­trau­lichkeit
  • Klasse 1: Daten ein­facher Ver­trau­lichkeit
  • Klasse 2: Daten geho­bener Ver­trau­lichkeit
  • Klasse 3: Daten höchster Ver­trau­lichkeit

Nach Fest­legung der Daten­klassen sind die Daten­arten zu erheben, den Klassen zuzu­ordnen und die zum Schutz der Daten erfor­der­lichen Vor­gaben pro Daten­klasse fest­zu­legen. In diesem Zusam­menhang sind zugleich orga­ni­sa­to­rische Rege­lungen zum Umgang mit den Daten zu ver­ab­schieden. Dies könnte u. a. zu dem Beschluss führen, dass Daten der höchsten Ver­trau­lich­keits­klasse nicht per E‑Mail über­tragen oder auf ein unge­si­chertes System über­nommen werden dürfen.

Schwach­stellen finden

Dessen unge­achtet ist die Ver­ab­schiedung von Rege­lungen allein nicht aus­rei­chend. Um deren Umsetzung sicher­zu­stellen, sind die Mit­ar­beiter ein­zu­weisen und zu sen­si­bi­li­sieren. Ferner sind die Ver­ant­wort­lichen der Fach­be­reiche sowie die Über­wa­chungs­organe, Daten­schutz­be­auf­tragter, Qua­li­täts­ma­nager, Sicher­heits­be­auf­tragter etc. anzu­weisen, die Ein­haltung regel­mäßig zu veri­fi­zieren.

Ziel muss sein, Schwach­stellen aus­zu­merzen, sich ver­än­dernde Risiken mög­lichst bald zu erkennen und dem Wert der jewei­ligen Daten ent­spre­chende, wirt­schaftlich ver­tretbare Maß­nahmen zu ver­an­lassen. Wesentlich ist dabei, dass die aktu­ellen Rege­lungen den Betrof­fenen trans­parent sind. Daher emp­fiehlt es sich, diese zentral, z. B. in einem elek­tro­ni­schen Daten­schutz­handbuch zu ver­walten.

Besuchen Sie vom 08. bis 10.10. die Sicher­heits­messe it-sa 2013 in Nürnberg. Sie bietet eine gute Gele­genheit, sich hierzu beraten zu lassen. Nam­hafte Aus­steller zeigen neueste Erkennt­nisse und Lösungen zu Daten­schutz und IT-Sicherheit.

Bild:  © S.Hofschlaeger / pixelio.de

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Bosch, DATEV eG

Abschluss der Aus­bildung mit dem zweiten juris­ti­schen Staats­examen 1997. Seitdem in unter­schied­lichen Bereichen bei der DATEV eG in Nürnberg tätig. Prak­tische Erfahrung im IT-Umfeld hat er ins­be­sondere in seiner zehn­jäh­rigen Tätigkeit in der Soft­ware­ent­wicklung gesammelt. Hierbei war er u.a. mit der Ein­richtung und Aktua­li­sierung von Netz­werk­um­ge­bungen in Steu­er­be­rater- und Rechts­an­walts­kanz­leien betraut. Seit fünf Jahren ist Bernd Bosch als externer Daten­schutz­be­rater für Kanz­leien tätig.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.