Bedrohungen abwehren

Daten sichern in 4 Schritten

03.09.2015 von Olaf Riedel
Der digitale Wandel schafft neue Möglichkeiten – und neue Bedrohungen. Mit effektiven Informationssicherheitsprogrammen kommen Unternehmen Bedrohungen zuvor.

Unternehmen müssen ihre Daten gegen immer raffiniertere Angriffe und vor zunehmendem Missbrauch schützen: Versagen die Schutzmechanismen, hat das oft schwerwiegende finanzielle Konsequenzen für das Unternehmen und führt zu Imageschäden. Wirksame Informationssicherheitsprogramme sind für Unternehmen deshalb existenziell wichtig.

In vier Schritten stellen Sie Ihre Informationssicherheit professionell auf:

1. Das Programm auf die eigenen Bedürfnisse abstimmen

Zum einen müssen Unternehmen die juristischen, regulatorischen und branchenspezifischen Compliance-Vorgaben einhalten, um bestimmte Daten wie etwa Kreditkartennummern zu sichern. Zum anderen werden diejenigen Daten geschützt, die dem Unternehmen einen Wettbewerbsvorteil bringen. Dazu gehören zum Beispiel Forschungsergebnisse oder neue Produktentwicklungen.

Es gibt keine "one-size-fits-all"-Lösung bei der Informationssicherheit. Unternehmen müssen die jeweiligen Maßnahmen immer auf ihre individuelle Situation abstimmen.
Foto: Maksim Kabakou - shutterstock.com

Dazu müssen die Unternehmen festlegen, welche Daten besonders schützenswert sind. Zum Beispiel sind die Daten zu einem Produkt, das seit Jahren erfolgreich am Markt ist, nicht so sensibel wie die eines Produkts in einem frühen Entwicklungsstadium. Werden zu viele Daten als sensibel deklariert, mindert das jedoch die Effektivität des gesamten Informationssicherheitsprogramms. Ein Blick von außen kann hier hilfreich sein: Das Unternehmen sollte sich Fragen stellen, wie

Solche Fragen helfen dabei herauszufinden und zu definieren, was für das Unternehmen wirklich am wichtigsten ist.

Abb. 1: Alle Daten durchlaufen den Datenschutz-Lebenszyklus eines Unternehmens. Hier muss an den verschiedenen Stellen immer wieder nachjustiert werden, damit die kritischen Daten geschützt sind.
Foto: Ernst & Young

2. Eine effektive Struktur implementieren

Ein klarer, durchdachter Aufbau des Informationssicherheitsprogramms stellt sicher, dass alle wichtigen Stakeholder einbezogen werden. Entscheidend ist, dass das Programm nicht nur bei der IT-Abteilung verankert, sondern auch eng mit dem Business verknüpft ist.

Erfolgsfaktoren für eine tragfähige Struktur Ihrer Informationssicherheit sind:

Darüber hinaus müssen klare Richtlinien für die Klassifizierung der Daten festgelegt werden. Im Allgemeinen wird zwischen sensiblen Daten, die dem Unternehmen bei Veröffentlichung schaden würden, und nicht beschränkten Daten unterschieden. Zwischen diesen Extremen gibt es Abstufungen, die je nach Unternehmen festgelegt werden. Dazu bieten sich Systeme mit drei bis fünf unterschiedlichen Kategorien an, die die Behandlung der zugeordneten Daten definieren. Die Daten werden unter anderem durch Farbkodierung oder die Verwendung von Labels für alle Mitarbeiter deutlich gekennzeichnet. So weiß jeder, wie die Daten zu behandeln sind.

EU-Datenschutzreform 2014/15: Die zehn wichtigsten Änderungen
Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten.
"Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen.
"Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher).
Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden.
Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können.
Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen.
Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben.
Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden.
Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben.
Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes.
Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen.
Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen.
Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)

3. Die wichtigsten Daten schützen

Mit Hilfe von IT-Anwendungen lassen sich sensible Daten schützen. Dabei gibt es verschiedene Ansatzpunkte, abhängig vom Typus der vorliegenden Daten (siehe Abb. 2):

Diese Daten-Typen sollten in der allgemeinen Informationssicherheitsstrategie verankert sein.

Für die Bearbeitung sensibler Daten werden Berechtigungen nur an bestimmte Mitarbeiter erteilt. Andere Mitarbeiter dürfen nicht in der Lage sein, diese Daten zu ändern oder sogar zum Teil sie zu lesen. Darüber hinaus sollten alle IT-Anwendungen, die Zugriff auf Datenbanken im Unternehmen haben, daraufhin überprüft werden, ob sie den Nutzern Funktionen wie "Speichern" oder "Exportieren" bieten. Diese Funktionen sollten ausgeschaltet oder nur einer kleinen Gruppe von Mitarbeitern zur Verfügung gestellt werden, für deren Arbeit sie unerlässlich sind.

Zum Verschicken von Daten müssen entsprechende Sicherheitsvorkehrungen getroffen werden: Mit IT-Lösungen lassen sich zu verschickende Daten verschlüsseln. Außerdem kann man für bestimmte Daten den Versand über das Internet einschränken. Firewalls und Filter bieten die Möglichkeit, den Zugang zu Services und Websites einzugrenzen, wenn sie ein potenzielles Risiko für die Datensicherheit im Unternehmen darstellen.

Abgespeicherte Daten werden durch wiederum andere Prozesse geschützt. Die Inventur aller sensiblen Daten hilft dabei zu überprüfen, ob Daten sich an den am besten geschützten Speicherplätzen befinden oder ob sie dorthin verschoben werden müssen.

Durch die Analyse der Daten kann festgestellt werden, wer sie vorwiegend nutzt. Basierend darauf kann das Unternehmen Verantwortlichkeiten festlegen, die wichtigen Stakeholder identifizieren, die zum Umgang mit Daten speziell geschult werden, und Zugangsrechte ableiten. Diese müssen regelmäßig auf ihre Aktualität überprüft werden, um sicherzustellen, dass nur die zuständigen Mitarbeiter Zugriff haben. Die Verschlüsselung aller externen Speichermedien hält im Falle eines Verlusts das Risiko für die Daten gering. Gleiches gilt für mobile Endgeräte: Hier sollte der Zugang durch Passwörter und Verschlüsselung besonders gut geschützt sein, da viele der Geräte selbst nicht über ausreichende Sicherungsmaßnahmen verfügen.

Abb. 2: Die im Unternehmen existierenden Daten lassen sich in drei Kategorien einteilen, die verschiedene Datenschutz-Kontrollmechanismen verlangen.
Foto: Ernst & Young

4. Eine Kultur der Informationssicherheit schaffen

Das Bewusstsein für Informationssicherheit muss in der Unternehmenskultur fest verankert werden. Zuerst gilt es falsch laufende Prozesse, die im Zuge der Analysen bekannt geworden sind, zu adjustieren. Die Fachbereiche sollten bei Informationssicherheitsverstößen direkt einbezogen werden, weil sie die Reichweite des jeweiligen Verstoßes besser einschätzen können.
Um bei allen Mitarbeitern das Bewusstsein für Informationssicherheit zu stärken, bieten sich Trainings anhand konkreter Praxisbeispiele an. Außerdem sollten Konsequenzen definiert werden, die den Mitarbeitern bei vorsätzlichen Verstößen drohen. Eine ganzheitliche Kommunikation sollte all diese Maßnahmen begleiten.

Der Erfolg des Informationssicherheitsprogramms sollte regelmäßig überprüft werden. Dazu bieten sich Messgrößen und Kennzahlen an, die das Bewusstsein für Informationssicherheit bei allen Datennutzern steigern, die Prozesse optimieren und das Business stark bei der Bewertung einbeziehen.

Informationssicherheit ist Partnerarbeit von Fachbereichen und IT

Wenn die Fachbereiche und die IT-Abteilung nicht zusammenarbeiten, entwickeln sich Informationssicherheitsprojekte häufig in die falsche Richtung und scheitern. Deshalb ist es wichtig, dass das Business die entscheidenden Impulse und Hinweise zu sensiblen Daten und möglichen Schwachstellen gibt. Dort kann dann von den Informationssicherheitsverantwortlichen auf IT-Seite effektiv nachjustiert werden. Nur so können Unternehmen ihre Anstrengungen in der Informationssicherheit zum gewünschten Erfolg bringen.