| Was ist Datensicherheit?
Der Begriff Datensicherheit umschreibt den generellen Schutz von Daten, unabhängig davon, ob diese einen Personenbezug haben oder nicht. Dabei geht es bei dem Thema Datensicherheit nicht um die Frage, ob Daten überhaupt erhoben und verarbeitet werden dürfen. Vielmehr geht es um die Frage, welche Maßnahmen ergriffen werden müssen, um den Schutz der Daten zu gewährleisten und damit schließlich die bestmögliche Datensicherheit zu erreichen. Dieser angestrebte Zustand kann durch eine Vielzahl an Maßnahmen erreicht werden.
Und welches Ziel verfolgt die Datensicherheit? Datensicherheit hat das primäre Ziel, Daten jeglicher Art gegen Manipulation, Verlust, Klau und andere Bedrohungen zu sichern. Im Kontext des Datenschutzes im Unternehmen ist so die Datensicherheit durch Umsetzung geeigneter technischer und organisatorischer Maßnahmen zu gewährleisten. Datenschutz und Datensicherheit gehen somit Hand in Hand. Denn der Zustand der Datensicherheit lässt sich nicht ohne die Maßnahmen des Datenschutzes erreichen. Umgekehrt ist eine hinreichende Datensicherheit die Voraussetzung für effektive Datenschutzmaßnahmen.
| Ist Datensicherheit für mein Unternehmen relevant?
Unsere Daten sind uns heilig. Das hat man mit dem Inkrafttreten der DSGVO nochmal deutlich zu spüren bekommen. Datensicherheit ist somit gerade für Unternehmen zu einem großen Thema geworden. Doch bisher setzen sich gerade kleinere Unternehmen noch viel zu wenig mit dem Thema auseinander. Denn oftmals setzen Unternehmen einfach zu großes Vertrauen in die Technik und verfügen selbst über zu wenig Wissen über die Wichtigkeit der Datensicherheit. Doch mit dem Thema Datensicherheit sollte nicht leichtfertig umgegangen werden. Bei Nichteinhaltung der Vorschriften drohen hohe Bußgelder und Sanktionen.
Neben den personenbezogenen Daten, mit denen entsprechend umgegangen werden muss, zählen natürlich auch andere Daten eine Rolle. Gehen Unternehmen nicht sorgfältig mit diesen um, kann im schlimmsten Fall sogar eine existenzielle Bedrohung bedeuten. Vor diesem Hintergrund sollten Unternehmen ihre Daten regelmäßig sichern. Es wird empfohlen, jegliche Daten mindestens einmal täglich zu sichern. Ein tägliches Backup erfüllt zudem die Anforderungen an eine gesetzeskonforme Archivierung der Daten.
Gefahren für die Datensicherheit lauern im Arbeitsalltag
Oftmals übersehen wir kleine und dennoch wichtige Details, die die Datensicherheit betreffen. Denn die Gefahren von Sicherheitslücken lauern meist im ganz normalen Arbeitsalltag und drohen gar nicht von außen:
- USB-Sticks: Gerade die kleinen Helfer können schnell mal verloren gehen und auch schnell unbemerkt und unbewusst einen Schaden durch das ungeschützte Einstecken in das interne Firmennetz verursachen.
- Endgeräte: Gerade bei der Nutzung von Laptops treten können durch eine fehlende Verschlüsselung, lokal gespeicherte Informationen oder unzureichend gesicherte VPN-Zugänge Probleme auftreten.
- Viren: eine Firewall, täglich aktualisierte Virenscanner und Spamfilter sollten zur Grundausstattung eines jeden PCs gehören.
- Cloud: Firmeninterna und personenbezogene Daten nach Außen zu tragen und so die Verantwortung an externe Anbieter übergeben, stellt ebenfalls eine Gefahr dar.
- Brand / Überflutung / Diebstahl: Sie müssen immer damit rechnen, dass unerwartete Katastrophen eintreten können.
Sie sehen also, Datensicherheit beginnt bereits im ganz normalen Arbeitsalltag. Um diese Gefahrenpunkte vorzubeugen oder zumindest abzuschwächen, bietet sich eine schlüssige Compliance-Strategie an. Diese bewertet die Punkte entsprechend und sieht dafür bewährte Verfahrensweisen vor:
- Erstellung und Umsetzung geeigneter, unternehmensweiter Benutzerrichtlinien für den Umgang mit Technologien mit Gefährdungspotential
- Regelmäßige Schulungen und Sensibilisierungen von Mitarbeitern
- Fortlaufende Unterrichtung der Geschäftsführung und Mitarbeiter über neue Bedrohungsszenarien aufgrund technischer Weiterentwicklungen
Diese fortwährende Tätigkeit ist ein klassisches Tätigkeitsfeld für Ihren Datenschutzbeauftragten.
Meldepflicht bei Schutzverletzung personenbezogener Daten
Was aber wenn ein Vorfall so schlimm, dass er meldepflichtig ist? Wie muss die Meldung genau aussehen? Seit Inkrafttreten der DSGVO im Mai 2018 müssen alle Datenpannen bzw. "Schutzverletzung personenbezogener Daten" die im Unternehmen passieren, dokumentiert werden.
Der Begriff umfasst folgende Verletzungen personenbezogener Daten:
- Daten werden vernichtet und somit unwiederbringlich gemacht
- Ein unvorhergesehener Verlust der Daten
- Es werden inhaltliche Veränderungen an den Daten vorgenommen
- Daten werden ohne Einwilligung an Dritte weitergegeben
- Unbefugte oder fehlende Berechtigung zur Datenverarbeitung
Eine Datenpanne könnte also beispielsweise der Verlust von Aktenordnern oder Datenträgern - in denen personenbezogene Daten enthalten sind - sein. Kann nicht ausgeschlossen werden, dass ein Risiko für die Rechte der betroffenen Personen besteht, müssen solche Datenpannen innerhalb von 72 Stunden an die zuständige Datenschutzaufsichtsbehörde gemeldet werden.
Die Inhalte einer Meldung einer Datenpanne muss Folgendes umfassen:
- Schilderung der Datenpanne mit Angabe der Betroffenen sowie der betroffenen Datensätze,
- Name und Kontaktdaten des Datenschutzbeauftragten,
- eine Darstellung der Folgen der Datenpanne sowie
- eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung oder Abmilderung der Datenpanne.
Wird eine Datenpanne nicht gemeldet und dokumentiert, drohen Bußgelder von bis zu 10.000.000 Euro oder 2% des erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres.
| Datensicherheit vs. Datenschutz
Datenschutz und Datensicherheit: Begriffe, die sich unterscheiden und im täglichen Sprachgebrauch häufig falsch verwendet werden – getreu dem Motto: „Ach, Sie wissen doch wovon ich spreche“. Doch tatsächlich gibt es zwischen den zwei Begriffen enorme Unterschiede:
Datensicherheit | Datenschutz |
Schutz von Daten | Schutz vor Datenmissbrauch und -pannen |
Schutz aller Daten | Schutz personenbezogener Daten |
Schutz vor Verlust, Zerstörung, Missbrauch, Zugriff durch Dritte | Schutz der Privatsphäre |
Technische Maßnahmen / Lösungen | Gesetzliche Vorschiften |
Zusammenfassend lässt sich sagen, dass die Datensicherheit die Praxis beschreibt, bei der es unter anderem um die Umsetzung der Anforderungen des Datenschutzes geht, wobei der praktische Ansatz, „Was ist möglich?", verfolgt wird. Beim Datenschutz wird schließlich der theoretische Ansatz „Was soll erfüllt werden?" verfolgt.
8 Gebote der Datensicherheit
Um für Datensicherheit zu sorgen, gibt es ganz unterschiedliche Maßnahmen. Als Beispiel können die technischen und organisatorischen Maßnahmen (TOM) dienen. Sie geben als Datensicherheitsmaßnahmen verschiedene Arten der Kontrolle an, die durchgeführt oder gegeben sein müssen. Maßnahmen zur Erhöhung der Datensicherheit können sein:
#1 Die Zutrittskontrolle
Alle zu verarbeitenden Daten dürfen räumlich nicht frei zugänglich gemacht werden. Das bedeutet, es muss eine ausreichende Sicherung von Gebäuden, Räumen, Endgeräten etc. gegeben sein.
#2 Die Zugangskontrolle
Unbefugte dürfen keine Datenverarbeitungsanlagen, also bspw. Software, in Betrieb nehmen oder diese verwenden können. Dies kann zum Beispiel durch die Vergabe von Passwörtern gewährleistet werden.
#3 Die Zugriffskontrolle
Wer kann und darf auf die Daten zugreifen kann und darf - darum geht es bei dieser Maßnahme. Hier werden Regelungen festgesetzt, die dafür sorgen sollen, dass nur berechtigte Personen Einblick in Daten erhalten und diese nur ihrer Berechtigung entsprechend nutzen können.
#4 Die Weitergabekontrolle
Hierbei geht es vornehmlich darum, eine Datenweitergabe vorhersehbar und kontrollierbar zu machen, um den Datenschutz und die Datensicherheit dieser zu gewährleisten.
#5 Die Eingabekontrolle
Diese Maßnahme beinhaltet die Forderung einer Eingabekontrolle.
#6 Die Auftragskontrolle
Die Auftragskontrolle ist nur dann relevant, wenn Daten externer Dienstleister verarbeitet werden.
#7 Die Verfügbarkeitskontrolle
Personenbezogene Daten werden vor zufälliger Zerstörung und Verlust geschützt, also beispielsweise durch Stromausfälle oder Wasserschäden.
#8 Das Trennungsgebot
Daten müssen anhand ihres Zweckes getrennt werden. Das hat den Hintergrund, dass so eine leichtere Zuordenbarkeit der Daten gewährleistet wird, zum anderen die Erfüllung des datenschutzrechtlichen Grundprinzips der ausschließlich zweckgebundenen Nutzung von Daten.
Bei den Maßnahmen zur Erhöhung der Datensicherheit handelt es sich also um verschiedene Kontrollmechanismen, die einen unbefugten Zugriff und somit auch eine Kenntnisnahme, Manipulation oder Entfernung der Daten verhindern sollen.
| Umsetzung von Datensicherheit im Unternehmen
Mit der Datenschutzgrundverordnung, kurz DSGVO, kommen auch in Sachen Datensicherheit neue Pflichten auf die Unternehmen zu – so viel dürfte mittlerweile bekannt sein. Dennoch geht die Umsetzung in Unternehmen nur langsam voran. Mit diesen 5 Schritten wird der Einstieg für Gründer, Selbstständige und kleine Unternehmen in die komplexe Thematik einfacher:
- Sensibilisierung und Schulung: Jeder im Unternehmen, auch wenn man nicht direkt für Datenschutz und Datensicherheit verantwortlich ist, muss für das Thema sensibilisiert und geschult werden. Denn so gut wie jeder Mitarbeiter eines Unternehmens hat an irgendeinem Punkt im Arbeitsablauf mit personenbezogenen Daten zu tun. Neben dem Schaffen eines generellen Bewusstseins für das Thema Datensicherheit, ist auch eine eingehende Schulung nötig.
- Verantwortlichkeiten festlegen: Rechtlich ist die Geschäftsführung für den Datenschutz zuständig, doch für die praktische Umsetzung sollte ein fester Ansprechpartner festgelegt und ggf. einen Datenschutzbeauftragten bestellen werden.
- Transparente Infrastruktur: Schaffen Sie Transparenz im Datendschungel Ihres Unternehmens. Nur wenn klar ist, wo sich welche Daten befinden, kann Datensicherheit gewährleistet werden.
- Daten verschlüsseln: Daten sollten im besten Falle stets verschlüsselt werden, um im Ernstfall einen Schaden gering zu halten.
- Schnell handeln: Die Datenschutzgrundverordnung und die dazugehörigen Regelungen sollten Sie bereits umgesetzt haben. Andernfalls drohen hohe Bußgelder. Haben Sie noch nicht? Dann warten Sie nicht mit der Umsetzung: Suchen Sie umgehend Beratung und Unterstützung, um das Unternehmen für die neuen Standards zu rüsten.
| Tipps für Datensicherheit im Unternehmen
Datensicherheit ist ein brisantes Thema. Immer wieder hört man von neuen Skandalen, bei denen sensible Daten in falsche Hände gelangen. Wer seine Daten sichern will, sollte sie sowohl vor illegalem Zugriff, Löschung, Kopie sowie vor physischem Verlust schützen. Doch wie geht das konkret? Wir geben Ihnen eine Übersicht zu 8 wichtigen Schutzmaßnahmen, um Ihrem Unternehmen eine bessere Datensicherheit zu geben:
#1 Verhaltensrichtlinien festlegen
Legen Sie bestimmte Verhaltensrichtlinien fest, wie z.B. wer welche Daten besitzen, einsehen, ändern oder löschen darf oder welche Standards für Datenvernichtung, Datenweitergabe und Datenspeicherung gelten sollen. Diese Punkte sollten für jede Person im Unternehmen nachvollziehbar abgelegt werden. Schulen Sie zudem Ihre Mitarbeiter und sorgen Sie dafür, dass jeder die Richtlinien kennt und befolgt.
#2 Daten verschlüsseln
Verschlüsseln Sie stets alle Daten, ganz gleich auf welchem Medium sie gespeichert sind. So machen Sie es Unbefugten schwerer, auf diese zuzugreifen. Außerdem sollten Sie personenbezogene Daten niemals unverschlüsselt per Mail oder über einen Messengerdienst versenden. Sorgen Sie dafür, dass diese persönlich weitergegeben werden und dokumentieren Sie alle Vorgänge. Alternativ können Sie auf VPN (Virtual Private Network) – Verbindungen zurückgreifen.
#3 Passwörter vergeben
Jeder Ihrer Mitarbeiter sollte einen eigenen Benutzer-Account angelegt bekommen, der so konfiguriert ist, dass auch wirklich nur der Account-Besitzer Aktionen ausführen darf. So ist jederzeit nachvollziehbar wer, wann, was an Daten geändert. Dasselbe gilt für Passwörter. Jeder Mitarbeiter hat für seine Geräte ein individuelles Passwort zu vergeben, um so den Zugriff Dritter zu verhindern. Passwort sollte mindestens 8-12 Zeichen lang sein und aus Buchstaben in Groß- und Kleinschreibung, Ziffern sowie Sonderzeichen bestehen und regelmäßig geändert werden.
#4 Backups und Updates durchführen
Ein weiterer wichtiger Punkt sind Backups und regelmäßige Updates. Sollte der PC oder Laptop, auf dem alle wichtigen Daten vorhanden sind, einmal unerwartet kaputt gehen und Sie haben zuvor kein Backup der Daten gemacht, sind diese verloren. Um das zu verhindern, lassen Sie durch Ihre IT regelmäßig Backups und auch Updates durchlaufen. So sind die Daten stets sicher und der PC immer auf dem aktuellsten Stand.
#5 Firewalls & Viren-Scanner
Anti-Virus-Programme und Firewalls sollten ein Muss in jedem Unternehmen sein, völlig gleich welches Betriebssystem genutzt wird. Auch wenn es wohl niemals einen 100%igen Schutz vor Hackerangriffen und Co. geben wird, können solche Programme einen vor bösen Überraschungen schützen.
Nie war es wichtiger als in Sachen Datensicherheit und Datenschutz auf dem aktuellsten Stand zu sein und vor allem zu bleiben. Nur wer weiß, welche Bedrohungen existieren und wie man sich dagegen verteidigt, kann seine Daten effektiv schützen. Daher halten Sie sich und Ihre Mitarbeiter auf dem Laufenden und besuchen Schulungen zu diesen Themen.