Datenschutz, Informationssicherheit und Qualitätsmanagement
AZ Beratung

Datensicherheit als Geschäftsgrundlage

Daten als Rohstoff

Ob Sie Daten speichern, ins Netz stellen, austauschen oder auf andere Weise verarbeiten, eine wichtige Voraussetzung für alle diese Aktivitäten ist die Gewährleistung der Sicherheit dieser Daten. Mit anderen Worten, die ständige Verfügbarkeit, die Integrität und die Vertraulichkeit der Daten müssen gewährleistet sein. Sind beispielsweise Daten, die Sie Kunden zur Verfügung stellen, nicht verfügbar, dann verletzen Sie unter Umständen Ihre vertraglichen Pflichten. Kommen Daten in unberechtigte Hände, dann verstößt dies gegen die Vertraulichkeit.

Ist die Integrität der Daten verletzt, dann sind sie unvollständig oder wurden verändert. Das ist dann nicht nur ein Problem der Datensicherheit, sondern berührt auch Datenschutzpflichten. Ein weiteres Schutzziel ist die Authentizität der Daten, das heißt, ihre Identität muss sichergestellt sein. Ohne diese Voraussetzungen sind Ihre Daten und damit die Grundlage Ihrer Wertschöpfung gefährdet.

Kundendaten speichert heute niemand mehr auf Karteikarten. Die digitale Datenspeicherung und -verarbeitung hat in beinahe jedem Bereich und jeder Branche einen festen Platz und kann bei einem Ausfall nicht durchgehend von analog gespeicherten Daten und Prozessen ersetzt werden. Informationen über Produkte, Kundendaten, Vertriebskennzahlen, Buchhaltung und Lieferanten, Marketingstatistiken etc. werden so effizient verarbeitet. Daten sind ein Rohstoff geworden, der essentiell für das Funktionieren aller wirtschaftlichen Prozesse und Organisationen ist.

Aber die allgegenwärtige Digitalisierung birgt auch Risiken. Ungenügende Datensicherung, fehlender Schutz, fahrlässige Handhabung und Angriffe von innen oder außen können gravierende Konsequenzen für das Unternehmen oder die Kunden haben.

Informationssicherheit systematisch managen

Laut aktuellen Studien sind Cyberattacken für Unternehmen mittlerweile zur größten Bedrohung geworden. Ransomware-Angriffe auf die Firmenrechner und anschließende Erpressung werden nicht nur immer häufiger, es wird für die Freigabe der verschlüsselten Daten auch immer mehr Geld verlangt. Auch Betriebsunterbrechungen sind zunehmend auf Hackerangriffe zurückzuführen. Ob die Daten ausreichend gesichert sind, merkt man leider oft erst nach einem Datenverlust oder Hackerangriff – wenn Daten verändert oder gestohlen wurden oder kein Zugriff mehr auf sie möglich ist. Mitunter bleibt ein Angriff sogar unentdeckt, bis interne Daten unversehens in den Weiten des Worldwide Web auftauchen.

Der erste Schritt ist die Absicherung der Netzwerke gegen Viren und Trojaner, die Installierung von Backup-Systemen und Verschlüsselung. Doch auch die beste Firewall und der beste Virenscanner können Ihre Daten nicht vollständig schützen. Um das Risiko eines Datenverlusts oder einer Kompromittierung zu verringern, ist es notwendig, systematische Sicherheitsstrukturen zu installieren, beispielsweise ein Managementsystem für Informationssicherheit (ISMS) nach ISO/IEC 27000 ff.

Manche Unternehmen schrecken jedoch davor zurück, sehen einen erheblichen Verwaltungsaufwand auf sie zukommen, der womöglich nicht im Verhältnis zum Nutzen steht. Reicht es nicht, technische Sicherheitsvorkehrungen gegen Hackingangriffe und Ransomware zu treffen?

Die IT-Abteilung ist doch dafür zuständig, oder?

Die Antwort ist: nein. Leider entspricht es nicht den realen Gegebenheiten, dass die IT-Abteilung sich über ihre umfangreichen Aufgaben (Verwaltung und Einrichtung der IT-Infrastruktur, Support und Service, Beschaffung von Hardware, Einrichtung neuer ERP-Systeme) hinaus außerdem organisatorisch um Informationssicherheit kümmern kann. In den meisten Unternehmen und Organisationen gehört nämlich die Verarbeitung von Informationen, anders als die Datenverarbeitung, nicht in ihren Zuständigkeitsbereich, und sie hat dafür auch weder die Kapazität noch die Ausbildung. Und schon gar nicht ist sie für Datenschutzbelange zuständig, die mitunter sogar der IT-Sicherheit entgegenstehen. Denn die IT-Sicherheit bezieht sich allein auf den Schutz der IT-Systeme und der Daten, während Informationssicherheit und Datenschutz darüber hinausgehen.

Doch die meisten Schäden für deutsche Unternehmen sind 2019 durch Phishing-Attacken, Ransomware-Erpressungen und über gefälschte Nachrichten von Lieferanten und Kunden entstanden. So wurden im letzten Jahr in Deutschland durch Cyberangriffe laut Bitkom über 100 Milliarden Euro an Schäden verursacht.

Ein großes Risiko besteht in der Nichtbeachtung von Datensicherheitsmaßnahmen durch die eigenen Mitarbeiter, ob aus Nachlässigkeit, Unkenntnis oder gar Absicht. Durch technische Maßnahmen lassen sich Angriffe zwar abwehren, doch sie bieten niemals komplette Sicherheit oder zeitlich unbegrenzten Schutz. Egal, wie gut Ihre Abwehr ist, die Hacker sind immer einen Schritt voraus, denn Schutzmaßnahmen werden nur für bekannte Schadprogramme und Angriffsmethoden entwickelt. Immer weiter perfektionierte Hacking-Tools und selbst Künstliche Intelligenz wird mittlerweile für Cyberangriffe eingesetzt. Vor allem gezielte Täuschungen von Anwendern sind hier im Fokus.

Nur über organisatorische und technische Maßnahmen können diese Gefährdungen bestmöglich unter Kontrolle gehalten werden. Viele Unternehmen glauben, dass ihre Firewall sie ausreichend schützt. Organisatorische Mängel können jedoch selbst die besten technischen Maßnahmen unterlaufen. Für kleine Unternehmen oder Organisationen ist ein ISMS nach ISO/IEC 27000 ff. überdimensioniert und wegen fehlender Ressourcen auch gar nicht anwendbar. Regelmäßige Awareness-Schulungen für Mitarbeiter sind jedoch trotzdem wichtig. Die Kosten hierfür sind überschaubar und Sie müssen sich nicht für einen längeren Zeitraum verpflichten.

Lassen Sie sich beraten.

Integriertes Managementsystem unter Datenschutzaspekten

Ein umfassendes Informationssicherheitsmanagementsystem (ISMS), das gleichzeitig den Schutz personenbezogener Daten berücksichtigt, ist die beste Voraussetzung, um Hackerattacken keine Chance zu lassen. Viele Datenschutzaspekte werden auch in einem ISMS bereits berührt, jedoch befasst sich die Informationssicherheit nicht explizit mit personenbezogenen Daten. Hier sind also zusätzliche Schritte notwendig. Bei der Konzeption, Einrichtung und Umsetzung eines ISMS nach ISO/IEC 27000 ff. unter Einbeziehung von Datenschutzaspekten unterstützen wir Sie gerne.

Grundsätzlich ist jede Kombination der Schwerpunkte Qualität, Informationssicherheit und Datenschutz in einem Integrierten Managementsystem (IMS) umsetzbar. Ist bereits ein QMS nach DIN EN ISO 9000 ff. vorhanden, dann werden in der Regel die weiteren Aspekte hier integriert, um die Synergie-Effekte optimal zu nutzen. Mit etwas mehr Aufwand verbunden ist es, ein ISMS und ein QMS gemeinsam neu als IMS zu installieren.

Bitte sprechen Sie uns an.


E-Mail
Infos