Das Thema Datensicherheit wird in vielen Unternehmen und Organisationen gerne vernachlässigt, da es bisher noch nie zu Problemen gekommen ist. Ein Blick auf die Seiten des „Projekt Datenschutz“ zeigt hingegen, dass es sehr häufig zu Problemen bei der Datensicherheit kommt und Notwendigkeit besteht das Thema ernst zu nehmen und Forderungen der betreffenden Normen ISO 27001 oder ISO 9001 zu erfüllen. In den letzten Jahren häufen sich Pannen mit vertraulichem Datenmaterial immer weiter und das „Projekt Datenschutz“ versucht einen Überblick über die Vielzahl an Skandalen und Vorfällen im Hinblick auf Kunden- und Unternehmensdaten zu geben. Hieraus wird deutlich wie wichtig funktionierender Datenschutz für das unternehmen ist und es sich für alle Mitarbeiter lohnt die Grundlagen des Datenschutz zu kennen.

Vorlage:

Die Vorlage Risikomanagement im Wert von 19,90€ können Sie hier KOSTENLOS herunterladen

Grundlegende Probleme beim Thema Datensicherheit

Bevor es zur Planung und Erarbeitung von konkreten Maßnahmen des Datenschutz oder der zielgerichteten Einführung eines ISMS (Informationssicherheitsmanagementsystem) kommen kann, muss die Unternehmensführung zuerst die Notwendigkeit von Datenschutz im Allgemeinen anerkennen. Nur so ist bei der späteren Umsetzung eines ISMS gewährleistet, dass die Datenschutzbeauftragten Akzeptanz für ihre Arbeit finden und die Maßnahmen auch im Unternehmen greifen können. Die Diskussion zur Annäherung an das Thema Datenschutz kann mit folgenden Fragen angegangen werden:

• Welche Daten benötigen Schutz?
• Wodurch sind die Daten gefährdet?
• Was sind Ursachen von gefahren?
• Gab es in der Vergangenheit bereits problematische Vorfälle?
• Was fordert der Gesetzgeber?

Das Gesetz stellt die grundlegende Forderung nach informationeller Selbstbestimmung auf, d. h. jede Person hat das Recht selbst zu entscheiden was mit seinen persönlichen Daten passiert und kann somit auch verfügen, dass diese keinesfalls an Dritte weitergegeben werden dürfen. Somit ist der Schutz personenbezogener Daten, z. B. von Kunden oder Mitarbeitern, ein wichtiger Aspekt beim Thema Datenschutz.

ISO 9001 und Datenschutz

Die ISO 9001 weist ausdrücklich darauf hin, dass personenbezogene Daten Eigentum des Kunden sind und daher besondere Sorgfalt beim Umgang mit Kundendaten angebracht ist. Da es ohne Erfassung von Kundendaten in den meisten Unternehmen nicht zur Erbringung von Leistungen kommen kann, werden Forderungen des Datenschutzes gleichzeitig auch zu Forderungen des Qualitätsmanagement. Jede Organisation muss personenbezogene Daten kennzeichnen, verifizieren und schützen.

Datenschutz und Datensicherheit – Grundbegriffe

Hier erläutern wir Ihnen einige Grundbegriffe zur Thematik Datenschutz und Datensicherheit:

• Datenschutz ist der Schutz von Datenmaterial vor Missbrauch im Allgemeine. Unter Missbrauch versteht man hier besonders unberechtigte Einsicht, zweckfremde Verwendung oder Fälschung von Daten
• Datensicherung fasst alle Maßnahmen zusammen, die ergriffen werden um den Verlust von Daten zu verhindern. Im allgemeine Sprachgebrauch spricht man von der Anfertigung von Sicherungskopien.
• Datensicherheit ist der SOLL-Zustand der durch Einführung und dauerhafte Anwendung von Maßnahmen des Datenschutzes erreicht werden soll, aber durch die technischen Möglichkeiten nur annähernd erreicht werden kann.

AUSBILDUNG:

Nutzen Sie unsere praxisorientierte Ausbildung zum Datenscchutzbeauftragten!

Subjekte und Objekte in Datenschutz und Datensicherheit

Bei der Planung eines ISMS muss der erste Schritt immer die Feststellung sein, welche Daten, Materialien und Objekte im Unternehmen besonders geschützt werden müssen. Besonders ist hier auf den Schutz vor bereits erkannten Gefahren zu achten:

• Wo sind wir gefährdet bzw. verwundbar? Datenverarbeitungsanlagen sind besonders anfällig und es sollte eine Aufstellung aller verwendeten Anlagen, die mit der Verarbeitung oder Speicherung personenbezogener Daten befasst sind, angefertigt werden.
• Welche spezifischen Bedrohungen und Gefahren gibt es? Um feststellen zu können, ob es bereits Schädigungen gab oder bevorstehen ist es wichtig den Bedrohungsstatus zu spezifizieren.
• Welche Maßnahmen zum Schutz können ergriffen werden? Erkannte Bedrohungen müssen durch präventive Schutzmaßnahmen eliminiert werden.

Im Folgenden werden Maßnahmen zum Schutz von Daten am Beispiel des PCs am Arbeitsplatz dargestellt.

Maßnahmen zur Datensicherheit

• Sie können ihre Rechner online auf mögliche Sicherheitsrisiken überprüfen lassen. Hierzu können Sie spezifische Internetseiten nutzen. Besonders interessant sind hierbei Seiten zum Browser-Check oder E-Mail-Check.
• Risikoverringerung lässt sich durch Untersuchung der verwendeten Software erreichen. Software unterscheidet sich oft nicht in wesentlich in den Funktionen, aber bei der Anfälligkeit auf externe Zugriffe können deutliche Unterschiede beobachtet werden.
• Datenverschlüsselung schützt Ihre Daten vor Einsicht und Änderung der Daten durch Dritte.
• Eine ebenfalls sehr effiziente Maßnahme ist die Bereitstellung von gesonderten PCs zur Nutzung des Internets. Somit können Sie das Internet und das interne Firmennetzwerk voneinander trennen und so Zugriffe auf Ihre Daten verhindern.

Rechnersicherheit am Arbeitsplatz

Bei der operativen Arbeit ist besonders der Grundsatz der „Organisationskontrolle“ zu beachten, der explizit im Bundesdatenschutzgesetz verankert ist. Hier geht es insbesondere um drei wesentliche Punkte der Organisation von Berechtigung und Verantwortlichkeit in personeller Hinsicht.

1. Abwehr von Bedrohungen aus dem Internet, die v. a. mit folgenden Maßnahmen sichergestellt werden kann:

• regelmäßige Installation von sicherheitsrelevanten Updates
• die Nutzung von Antiviren-Software zur Abwehr von Trojanern und anderen Viren
• die Errichtung von Firewalls für Hard- und Software
• Entwicklung und Schulung von Verhaltensregeln im Umgang mit Phishing und Makerade

2. Verhinderung von Zugriffen Dritter durch:

• verbindliche Festlegung von Sicherheitspasswörtern und deren Gültigkeitsdauer, Sicherheitsstufe und Aufbewahrung
• Verhinderung von automatisch gespeicherten Passwörtern bei Online-Formularen
• Deaktivierung von Programmen, die in ständiger Verbindung mit dem Server stehen
• Prüfung und ggf. Rückgängigmachung von Freigaben für Netzwerkverbindungen
• Verschlüsselungen von kabellosen Internetverbindungen
• Verbot der Nutzung externer Datenspeichergeräte, wie persönliche USB-Sticks usw.

3. Versehentliche Weitergabe persönlicher Daten verhindern, indem:

• solche Daten nur an vertrauenswürdige und bekannte Anbieter weitergeleitet werden
• Anonymisierungsverfahren bei der Nutzung des Internets angewendet werden
• Temporäre Internetdateien im Browser regelmäßig gelöscht werden
• Mitarbeiter für betrügerische E-Mails sensibilisiert werden
• bei Datenlöschung immer auf komplette Löschung geachtet wird, um eine Wiederherstellung der Daten zu verhindern
• vor dem Versand von Dokumenten geheime Inhalte entfernt werden

AUSBILDUNG:

Hier zeigen wir, wie Sie Ihr IT-Sicherheitssystem ISMS - ISO 27001 erfolgreich einführen

Hinweise zur Datensicherung

Fehler bei der Datensicherung machen sich meist erst bemerkbar, wenn eine Rücksicherung durchgeführt wird. Um diesen fall frühzeitig zu erkennen, sollten regelmäßige Test-Rücksicherungen durchgeführt werden. Als weiteren wichtigen Hinweis sollten Sie darauf achten, dass Sicherungsdateien niemals alle an einem Ort gelagert werden sollten, da eventuelle Brände oder andere Einflüsse sonst zu einer Vernichtung des kompletten Datenmaterials führen können.

Datensicherung und –Archivierung

Festplattendefekte führen oftmals zu vollständigem Datenverlust, deshalb sollten regelmäßig Sicherheitskopien, z. B. auf CD, angefertigt werden und diese an unterschiedlichen Orten gelagert werden. In komplexen Organisationen oder bei Daten, die von mehreren Mitarbeitern gleichzeitig genutzt werden, sollte man ein Datensicherungskonzept entwickeln. Dies legt die Verhaltensweisen für jeden Mitarbeiter verbindlich fest. Das meistverwendete Konzept zur Datensicherung ist das sogenannte Generationenprinzip (GVS). Hierbei werden täglich Sicherungskopien durchgeführt, die dann wöchentlich überschrieben werden. Am Ende der Woche wird das gesamte Material gespeichert und erst nach frühestens vier Wochen wieder überschrieben. Zusätzlich wird am Monatsende eine komplette Sicherungskopie erstellt, die für mindestens ein Jahr eingelagert wird.Durch diese Methode wird sichergestellt, dass jederzeit Rücksicherungen möglich sind und ein eventueller Datenverlust auf bis zu einem Jahr wieder rückgängig zu machen ist.

Zur Durchführung eines Systems der Datensicherung und Archivierung ist drauf zu achten, dass die nötigen Ressourcen wie genügend Speicherkapazitäten oder unabhängige Server zur Verfügung stehen.

---

Informationssicherheitsmanagement professionell umsetzen Erkennen Sie mit diesen praxiserprobten Vorlagen die Schwachstellen Ihrer IT Umgebung und potentielle IT Risiken für Ihre Organisation! Audit Paket ISMS - ISO 27001 - Alle Vorlagen für Ihr ISO 27001 Audit ISMS Policies - Toolpaket ISO 27001 Risikomanagement Handbuch für ISMS

---