Datenschutz und Datensicherheit
Beratung, Schulung, Datenschutzbeauftragung
Blog: E-Mail-Marketing

Datensicherheit als Geschäftsgrundlage

Daten sind Rohstoff

Ob Sie Daten speichern, ins Netz stellen, austauschen oder auf andere Weise verarbeiten, eine wichtige Voraussetzung für alle diese Aktivitäten ist die Gewährleistung der Sicherheit dieser Daten. Mit anderen Worten, die ständige Verfügbarkeit, die Integrität und die Vertraulichkeit der Daten müssen gewährleistet sein. Sind beispielsweise Daten, die Sie Kunden zur Verfügung stellen, nicht verfügbar, dann verletzen Sie unter Umständen Ihre vertraglichen Pflichten. Kommen Daten in unberechtigte Hände, dann verstößt dies gegen die Vertraulichkeit.

Ist die Integrität der Daten verletzt, dann sind sie unvollständig oder wurden verändert. Das ist dann nicht nur ein Problem der Datensicherheit, sondern berührt auch Datenschutzpflichten. Ein weiteres Schutzziel ist die Authentizität der Daten, das heißt, ihre Identität muss sichergestellt sein. Ohne diese Voraussetzungen sind Ihre Daten und damit die Grundlage Ihrer Wertschöpfung gefährdet.

Kundendaten speichert heute niemand mehr auf Karteikarten. Die digitale Datenspeicherung und -verarbeitung hat in beinahe jedem Bereich und jeder Branche einen festen Platz und kann bei einem Ausfall nicht durchgehend von analog gespeicherten Daten und Prozessen ersetzt werden.

Informationen über Produkte, Kundendaten, Vertriebskennzahlen, Buchhaltung und Lieferanten, Marketingstatistiken etc. werden so effizient verarbeitet. Daten sind ein Rohstoff geworden, der essentiell für das Funktionieren aller wirtschaftlichen Prozesse und Organisationen ist.
Aber die allgegenwärtige Digitalisierung birgt auch Risiken. Ungenügende Datensicherung, fehlender Schutz, fahrlässige Handhabung und Angriffe von innen oder außen können gravierende Konsequenzen für das Unternehmen oder die Kunden haben.

Informationssicherheit systematisch managen

Laut aktuellen Studien sind Cyberattacken für Unternehmen mittlerweile zur größten Bedrohung geworden.  Die meisten Schäden für deutsche Unternehmen sind 2021 durch Phishing-Attacken, Ransomware-Erpressungen und über gefälschte Nachrichten von Lieferanten und Kunden entstanden. So werden allein in Deutschland durch Cyberangriffe laut dem Branchenverband Bitkom jedes Jahr mehrere 100 Milliarden Euro an Schäden pro Jahr verursacht. Und diese Kosten wachsen pro Jahr unaufhaltsam. So sind beispielsweise die Kosten durch Ransomware und dadurch verursachte Störungen in Betriebsabläufen seit 2019 bereits um 358 Prozent gestiegen.

Auch Betriebsunterbrechungen sind zunehmend auf Hackerangriffe zurückzuführen. Ob die Daten ausreichend gesichert sind, merken viele leider erst nach einem Datenverlust oder Hackerangriff – wenn Daten verändert oder gestohlen wurden oder kein Zugriff mehr auf sie besteht. Oft bleiben Angriffe sogar unentdeckt, bis interne Daten unversehens in den Weiten des Worldwide Web auftauchen.

Der erste Schritt ist die Absicherung der Netzwerke gegen Viren und Trojaner, die Installation von Backup-Systemen und Verschlüsselung. Doch auch die beste Firewall und der beste Virenscanner können Ihre Daten nicht vollständig schützen. Um das Risiko eines Datenverlusts oder einer Kompromittierung zu verringern, ist es notwendig, systematische Sicherheitsstrukturen zu installieren, beispielsweise ein Managementsystem für Informationssicherheit (ISMS) nach DIN ISO 27001. Durch den großen Verwaltungsaufwand ist diese Lösung zwar nicht für jedes kleine Unternehmen geeignet, doch eine reduzierte Version kann bereits einen erheblichen Sicherheitsgewinn bringen.

Organisatorische Aspekte mitberücksichtigen

Die  Auffassung, dass sich alles mit Technik allein lösen ließe, ist nicht nur in der IT weitverbreitet. Nicht umsonst wird die Vorstellung, dass der Mensch irgendwann in vielen Bereichen durch intelligente Roboter ersetzt werden kann, als visionäre Zukunft gesehen. Doch Hackingangriffe richten sich immer häufiger nicht mehr an technische, sondern an soziale "Schwachstellen". Gegen Phishing kann eine Anti-Viren-Software meist nichts ausrichten, da kein System die Fakeseiten, die ein Phishing-Opfer anklickt, als solche identifiziert. Technische Sicherheitsvorkehrungen gegen Hackingangriffe und Ransomware reichen daher nicht mehr aus. Die Norm DIN EN ISO/IEC 27000 ff. enthält aus gutem Grund technische und organisatorische Aspekte. Sie verlangt aus gutem Grund regelmäßige Schulungen der Mitarbeiter.

Oft herrscht die Vorstellung, dass die IT-Abteilung für die Informationssicherheit zuständig sei. Das ist jedoch ein Irrtum. Die IT-Sicherheit bezieht sich auf den Schutz der  Daten und  IT-Systeme, während Informationssicherheit und Datenschutz darüber hinausgehen. Es entspricht in der Regel nicht den realen Gegebenheiten, dass die IT-Abteilung sich über ihre umfangreichen Aufgaben (Verwaltung und Einrichtung der IT-Infrastruktur, Support und Service, Beschaffung von Hardware, Einrichtung neuer ERP-Systeme) hinaus noch organisatorisch um Informationssicherheit kümmern kann. In den meisten Unternehmen und Organisationen gehört die Verarbeitung von Informationen, anders als die Datenverarbeitung, nicht in ihren Zuständigkeitsbereich. Oft hat sie dafür gar keine Kapazitäten, und schon gar nicht ist sie für Datenschutzbelange zuständig. Diese stehen mitunter sogar der IT-Sicherheit entgegen, z. B. beim Schutz vor Straftaten und der Nachverfolgung von Angriffen.

Ein stetiger Wettlauf mit dem Angreifer

Ein großes Risiko besteht in der Nichtbeachtung von Datensicherheitsmaßnahmen durch die eigenen Mitarbeiter, ob aus Nachlässigkeit, Unkenntnis oder gar Absicht. Durch technische Maßnahmen lassen sich Angriffe zwar abwehren, doch sie bieten niemals komplette Sicherheit oder zeitlich unbegrenzten Schutz. Egal, wie gut Ihre Abwehr ist, die Hacker sind immer einen Schritt voraus, denn Schutzmaßnahmen werden nur für bekannte Schadprogramme und Angriffsmethoden entwickelt. Immer weiter perfektionierte Hacking-Tools und selbst künstliche Intelligenz wird mittlerweile für Cyberangriffe eingesetzt. Vor allem gezielte Täuschungen von Anwendern sind hier im Fokus.

Nur über organisatorische und technische Maßnahmen können diese Gefährdungen bestmöglich unter Kontrolle gehalten werden. Viele Unternehmen glauben, dass ihre Firewall sie ausreichend schützt. Organisatorische Mängel können jedoch selbst die besten technischen Maßnahmen unterlaufen. Für kleine Unternehmen oder Organisationen ist ein ISMS nach ISO/IEC 27001 überdimensioniert und wegen fehlender Ressourcen auch gar nicht anwendbar. Regelmäßige Awareness-Schulungen für Mitarbeiter sind jedoch trotzdem wichtig. Die Kosten hierfür sind überschaubar und Sie müssen sich nicht für einen längeren Zeitraum verpflichten.

Lassen Sie sich beraten.


Integriertes Managementsystem unter Datenschutzaspekten

Ein umfassendes Informationssicherheitsmanagementsystem (ISMS), das gleichzeitig den Schutz personenbezogener Daten berücksichtigt, ist die beste Voraussetzung, um Hackerattacken keine Chance zu lassen. Viele Datenschutzaspekte werden auch in einem ISMS bereits berührt, jedoch befasst sich die Informationssicherheit nicht explizit mit personenbezogenen Daten. Hier sind also zusätzliche Schritte notwendig. Bei der Konzeption, Einrichtung und Umsetzung eines ISMS nach ISO/IEC 27001 unter Einbeziehung von Datenschutzaspekten unterstützen wir Sie gerne.

Grundsätzlich ist jede Kombination der Schwerpunkte Qualität, Informationssicherheit und Datenschutz in einem Integrierten Managementsystem (IMS) umsetzbar. Ist bereits ein QMS nach DIN EN ISO 9001 vorhanden, dann werden in der Regel die weiteren Aspekte hier integriert, um die Synergie-Effekte optimal zu nutzen. Mit etwas mehr Aufwand verbunden ist es, ein ISMS und ein QMS gemeinsam neu als IMS zu installieren.

Bitte sprechen Sie uns an.

 
 
 
 
E-Mail
Anruf
Infos