DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Schutz digi­taler Doku­mente im Unternehmen

Die Ablage und Ver­wahrung von aus­ge­druckten Doku­menten ist oft ein­deutig geregelt, aber wie steht es mit digi­talen Doku­menten auf Rechnern?

 

Wichtige und streng geheime Unter­lagen in Papierform werden nach wie vor in Unter­nehmen unter Ver­schluss gehalten und gehen nur an Adres­saten, die auch dafür bestimmt sind. Hier hat sich ein Ver­fahren eta­bliert, das sich über die Jahr­zehnte in vielen Unter­nehmen bewährt hat. Der Vermerk „streng vertraulich/nur zur persönlichen/vertraulichen Info“ ist in den Unter­nehmen geläufig und ein­deutig geregelt. Aber wie steht es mit digi­talen Doku­menten, die auf ver­schie­densten Rechnern oder Spei­cher­medien vor­handen sein können?

Die „ver­schlun­genen Wege“ digi­taler Dokumente
Digitale Doku­mente (Word, Excel, Power­point etc.) werden schnell mal innerhalb des Unter­nehmens wei­ter­ge­leitet. Dadurch ist nicht immer nach­voll­ziehbar welchen Weg diese Dateien dann nehmen und wo sie überall gespei­chert werden/sind. Und…die Mit­ar­beiter des Unter­nehmens gehen davon aus, dass die Dateien die Sicher­heits­in­fra­struktur des Hauses nicht ver­lassen. Aber davon ist (leider) nicht immer auszugehen.

Gefahren durch mobiles Arbeiten
Auf­grund der Fle­xi­bi­lität durch mobiles Arbeiten (Home-Office, Arbeiten in der Freizeit etc.) kann sich ein Unter­nehmen nicht immer darauf ver­lassen, dass die Sicher­heits­be­stim­mungen und Ver­schlüs­se­lungs­vor­schriften sen­sibler Daten bei jedem mobilen End­gerät stets ein­ge­halten werden. Doku­mente werden mal schnell so von einem Gerät auf das andere über­spielt bzw. von unter­schied­lichen Mit­ar­beitern genutzt und landen damit auf Geräten, deren Besitzer nicht unbe­dingt Kenntnis von den Inhalten des Doku­ments erlangen darf. Oder sen­sible Doku­mente werden auf einem Stick gespei­chert, der nicht pass­wort­ge­schützt ist; man stelle sich dann vor dieser wird dann im Zug oder Bus lie­gen­ge­lassen. Nicht aus­zu­denken, welcher (Image-)Schaden dem Unter­nehmen dadurch ent­stehen kann.

Was ist zu tun?
So wie bei ana­logen Doku­menten der Stempel „Streng ver­traulich“ ver­wendet wird, so muss auch bei digi­talen Doku­menten sicher­ge­stellt werden, dass nur berech­tigte Per­sonen innerhalb des Unter­nehmens Zugriff und Wei­ter­ver­wen­dungs­be­rech­tigung auf digitale Doku­mente haben. Ein Pass­wort­schutz ist hier uner­lässlich. Absender und Emp­fänger müssen die gleiche Ent­schlüs­se­lungs­software ein­setzen, um an geheime/wichtige/sensible Doku­mente zu kommen. Zudem ist über sog. Unter­neh­mens­richt­linien fest­zu­legen, wer die Berech­tigung hat auf diese wich­tigen Doku­mente zuzu­greifen und zu bear­beiten. Eine ent­spre­chende Pro­to­kol­lierung der jewei­ligen Vor­gänge ist hier unab­dingbar, um nach­voll­ziehen zu können, welchen Wege zu welchen Per­sonen die jewei­ligen Schrift­stücke genommen haben. Und es muss kon­trol­lierbar sein, auf welchen PC´s  die Unter­lagen gespei­chert werden dürfen und letztlich sind. Hoch­sen­sible Daten gehören nur auf Spei­cher­medien, die dafür vor­ge­sehen sind und auch die not­wen­digen Sicher­heits­maß­nahmen (Pass­wort­schutz, Ver­schlüs­se­lungs­software etc.) vor­weisen können.
Wie sicher Doku­mente auf­be­wahrt werden müssen, das regelt u.a. auch das Bun­des­da­ten­schutz­gesetz.


Fazit:
Ent­scheidend ist aber nicht immer auf welchem Gerät/Medium (Fest­platte, Stick, CD etc.) sich sen­sible Doku­mente oder auch geheime e‑Mails (Artikel zur eMail Archi­vierung beachten) befinden, sondern ob die Person, die mit diesem Gerät arbeitet auch die not­wendige Berech­tigung für den Zugriff auf diese Unterlage hat, und damit auch die Sicherheitsrichtlinien/vorgaben einhält bzw. ver­pflichtet ist diese ein­zu­halten. Ein­deutig fest­ge­legte  Sicher­heits­be­stim­mungen in Unter­nehmen regeln diese Berech­ti­gungen und Zugriffe und können im Bedarfsfall her­an­ge­zogen werden, wenn es darum geht Ver­ant­wor­tungen und Zustän­dig­keiten für wichtige Infor­ma­tionen und Unter­lagen im Unter­nehmen zu defi­nieren. Nur wenn Ver­ant­wor­tungen ein­deutig geregelt sind, können auch die ent­spre­chenden Kon­se­quenzen gezogen werden.

 

 Wei­ter­füh­rende Infos zum Thema finden Sie hier

 

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Joachim Vogel, DATEV eG

Dipl. Betriebswirt (FH)

Studium der Betriebs­wirt­schaft im Schwer­punkt Marketing
Erfah­rungen in der Pro­gram­mier­sprache RPGII

Aufbau einer EDV-Ver­triebs-Abteilung in einem großen Ver­si­che­rungs­konzern (Ver­ant­wortlich für die techn. Infra­struktur in den Filialdirektionen/Disposition und Instal­lation der EDV)

Seit 1989 bei DATEV eG in Nürnberg tätig. Pro­jekt­leitung “esecure bei Behörden und Insti­tu­tionen”; techn. Know-how im TK-Management (Cloud-Lösungen; Beratung und Instal­lation von Tele­kom­mu­ni­ka­tions-Lösungen in Steu­er­kanz­leien; Koordinator/Ansprechpartner bei techn. Tele­kom­mu­ni­ka­ti­ons­an­fragen); Zer­ti­fi­zierung nach ITIL

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.