Datensicherheit: Tipps und Maßnahmen wie Sie Ihr Unternehmen sicherer machen

Sowohl ein umfassender Datenschutz als auch die Datensicherheit sind heutzutage in der medialen Welt von enormer Relevanz – zum einen für jeden, der Daten von sich preisgibt, zum anderen aber auch für jedes Unternehmen, das mit Daten arbeitet. Unklar ist jedoch oft, was mit Datensicherheit gemeint ist.

Wir erläutern Ihnen, was Datensicherheit überhaupt ist, worin der Unterschied zum Datenschutz liegt und wie Sie mit einfachen Tipps die Daten in Ihrem Unternehmen sicherer machen können.

Von
Chefredakteur

Chefredakteur: René Klein
Für-Gründer.de Redaktion

René Klein verantwortet als Chefredakteur seit über 10 Jahren die Inhalte auf dem Portal und aller Publikationen von Für-Gründer.de. Er ist regelmäßig Gesprächspartner in anderen Medien und verfasst zahlreiche externe Fachbeiträge zu Gründungsthemen. Vor seiner Zeit als Chefredakteur und Mitgründer von Für-Gründer.de hat er börsennotierte Unternehmen im Bereich Finanzmarktkommunikation beraten.

  | Was ist Datensicherheit?

Der Begriff Datensicherheit umschreibt den generellen Schutz von Daten, unabhängig davon, ob diese einen Personenbezug haben oder nicht. Dabei geht es bei dem Thema Datensicherheit nicht um die Frage, ob Daten überhaupt erhoben und verarbeitet werden dürfen. Vielmehr geht es um die Frage, welche Maßnahmen ergriffen werden müssen, um den Schutz der Daten zu gewährleisten und damit schließlich die bestmögliche Datensicherheit zu erreichen. Dieser angestrebte Zustand kann durch eine Vielzahl an Maßnahmen erreicht werden.

Und welches Ziel verfolgt die Datensicherheit? Datensicherheit hat das primäre Ziel, Daten jeglicher Art gegen Manipulation, Verlust, Klau und andere Bedrohungen zu sichern. Im Kontext des Datenschutzes im Unternehmen ist so die Datensicherheit durch Umsetzung geeigneter technischer und organisatorischer Maßnahmen zu gewährleisten. Datenschutz und Datensicherheit gehen somit Hand in Hand. Denn der Zustand der Datensicherheit lässt sich nicht ohne die Maßnahmen des Datenschutzes erreichen. Umgekehrt ist eine hinreichende Datensicherheit die Voraussetzung für effektive Datenschutzmaßnahmen.

  | Ist Datensicherheit für mein Unternehmen relevant?

Unsere Daten sind uns heilig. Das hat man mit dem Inkrafttreten der DSGVO nochmal deutlich zu spüren bekommen. Datensicherheit ist somit gerade für Unternehmen zu einem großen Thema geworden. Doch bisher setzen sich gerade kleinere Unternehmen noch viel zu wenig mit dem Thema auseinander. Denn oftmals setzen Unternehmen einfach zu großes Vertrauen in die Technik und verfügen selbst über zu wenig Wissen über die Wichtigkeit der Datensicherheit. Doch mit dem Thema Datensicherheit sollte nicht leichtfertig umgegangen werden. Bei Nichteinhaltung der Vorschriften drohen hohe Bußgelder und Sanktionen.

Neben den personenbezogenen Daten, mit denen entsprechend umgegangen werden muss, zählen natürlich auch andere Daten eine Rolle. Gehen Unternehmen nicht sorgfältig mit diesen um, kann im schlimmsten Fall sogar eine existenzielle Bedrohung bedeuten. Vor diesem Hintergrund sollten Unternehmen ihre Daten regelmäßig sichern. Es wird empfohlen, jegliche Daten mindestens einmal täglich zu sichern. Ein tägliches Backup erfüllt zudem die Anforderungen an eine gesetzeskonforme Archivierung der Daten.

Gefahren für die Datensicherheit lauern im Arbeitsalltag

Oftmals übersehen wir kleine und dennoch wichtige Details, die die Datensicherheit betreffen. Denn die Gefahren von Sicherheitslücken lauern meist im ganz normalen Arbeitsalltag und drohen gar nicht von außen:

  • USB-Sticks: Gerade die kleinen Helfer können schnell mal verloren gehen und auch schnell unbemerkt und unbewusst einen Schaden durch das ungeschützte Einstecken in das interne Firmennetz verursachen.
  • Endgeräte: Gerade bei der Nutzung von Laptops treten können durch eine fehlende Verschlüsselung, lokal gespeicherte Informationen oder unzureichend gesicherte VPN-Zugänge Probleme auftreten.
  • Viren: eine Firewall, täglich aktualisierte Virenscanner und Spamfilter sollten zur Grundausstattung eines jeden PCs gehören.
  • Cloud: Firmeninterna und personenbezogene Daten nach Außen zu tragen und so die Verantwortung an externe Anbieter übergeben, stellt ebenfalls eine Gefahr dar.
  • Brand / Überflutung / Diebstahl: Sie müssen immer damit rechnen, dass unerwartete Katastrophen eintreten können.

Sie sehen also, Datensicherheit beginnt bereits im ganz normalen Arbeitsalltag. Um diese Gefahrenpunkte vorzubeugen oder zumindest abzuschwächen, bietet sich eine schlüssige Compliance-Strategie an. Diese bewertet die Punkte entsprechend und sieht dafür bewährte Verfahrensweisen vor:

  • Erstellung und Umsetzung geeigneter, unternehmensweiter Benutzerrichtlinien für den Umgang mit Technologien mit Gefährdungspotential
  • Regelmäßige Schulungen und Sensibilisierungen von Mitarbeitern
  • Fortlaufende Unterrichtung der Geschäftsführung und Mitarbeiter über neue Bedrohungsszenarien aufgrund technischer Weiterentwicklungen

Diese fortwährende Tätigkeit ist ein klassisches Tätigkeitsfeld für Ihren Datenschutzbeauftragten.

Meldepflicht bei Schutzverletzung personenbezogener Daten

Was aber wenn ein Vorfall so schlimm, dass er meldepflichtig ist? Wie muss die Meldung genau aussehen? Seit Inkrafttreten der DSGVO im Mai 2018 müssen alle Datenpannen bzw. "Schutzverletzung personenbezogener Daten" die im Unternehmen passieren, dokumentiert werden.

Der Begriff umfasst folgende Verletzungen personenbezogener Daten:

  • Daten werden vernichtet und somit unwiederbringlich gemacht
  • Ein unvorhergesehener Verlust der Daten
  • Es werden inhaltliche Veränderungen an den Daten vorgenommen
  • Daten werden ohne Einwilligung an Dritte weitergegeben
  • Unbefugte oder fehlende Berechtigung zur Datenverarbeitung

Eine Datenpanne könnte also beispielsweise der Verlust von Aktenordnern oder Datenträgern - in denen personenbezogene Daten enthalten sind - sein. Kann nicht ausgeschlossen werden, dass ein Risiko für die Rechte der betroffenen Personen besteht, müssen solche Datenpannen innerhalb von 72 Stunden an die zuständige Datenschutzaufsichtsbehörde gemeldet werden.

Die Inhalte einer Meldung einer Datenpanne muss Folgendes umfassen:

  • Schilderung der Datenpanne mit Angabe der Betroffenen sowie der betroffenen Datensätze,
  • Name und Kontaktdaten des Datenschutzbeauftragten,
  • eine Darstellung der Folgen der Datenpanne sowie
  • eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung oder Abmilderung der Datenpanne.

Wird eine Datenpanne nicht gemeldet und dokumentiert, drohen Bußgelder von bis zu 10.000.000 Euro oder 2% des erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres.

Tipp

Sie wissen nicht, wie Sie den für Ihr Unternehmen höchstmöglichen Zustand der Datensicherheit erreichen können? Ein IT-Sicherheitsbeauftragter kann gemeinsam mit Ihrem Datenschutzbeauftragten weiterhelfen. Mehr zum Thema Datenschutzbeauftragter erfahren Sie hier.

  | Datensicherheit vs. Datenschutz

Datenschutz und Datensicherheit: Begriffe, die sich unterscheiden und im täglichen Sprachgebrauch häufig falsch verwendet werden – getreu dem Motto: „Ach, Sie wissen doch wovon ich spreche“. Doch tatsächlich gibt es zwischen den zwei Begriffen enorme Unterschiede:

Datensicherheit Datenschutz
Schutz von Daten Schutz vor Datenmissbrauch und -pannen
Schutz aller Daten Schutz personenbezogener Daten
Schutz vor Verlust, Zerstörung, Missbrauch, Zugriff durch Dritte Schutz der Privatsphäre
Technische Maßnahmen / Lösungen Gesetzliche Vorschiften

Zusammenfassend lässt sich sagen, dass die Datensicherheit die Praxis beschreibt, bei der es unter anderem um die Umsetzung der Anforderungen des Datenschutzes geht, wobei der praktische Ansatz, „Was ist möglich?", verfolgt wird. Beim Datenschutz wird schließlich der theoretische Ansatz „Was soll erfüllt werden?" verfolgt.

8 Gebote der Datensicherheit

Um für Datensicherheit zu sorgen, gibt es ganz unterschiedliche Maßnahmen. Als Beispiel können die technischen und organisatorischen Maßnahmen (TOM) dienen. Sie geben als Datensicherheitsmaßnahmen verschiedene Arten der Kontrolle an, die durchgeführt oder gegeben sein müssen. Maßnahmen zur Erhöhung der Datensicherheit können sein:

#1 Die Zutrittskontrolle

Alle zu verarbeitenden Daten dürfen räumlich nicht frei zugänglich gemacht werden. Das bedeutet, es muss eine ausreichende Sicherung von Gebäuden, Räumen, Endgeräten etc. gegeben sein.

#2 Die Zugangskontrolle

Unbefugte dürfen keine Datenverarbeitungsanlagen, also bspw. Software, in Betrieb nehmen oder diese verwenden können. Dies kann zum Beispiel durch die Vergabe von Passwörtern gewährleistet werden.

#3 Die Zugriffskontrolle

Wer kann und darf auf die Daten zugreifen kann und darf - darum geht es bei dieser Maßnahme. Hier werden Regelungen festgesetzt, die dafür sorgen sollen, dass nur berechtigte Personen Einblick in Daten erhalten und diese nur ihrer Berechtigung entsprechend nutzen können.

#4 Die Weitergabekontrolle

Hierbei geht es vornehmlich darum, eine Datenweitergabe vorhersehbar und kontrollierbar zu machen, um den Datenschutz und die Datensicherheit dieser zu gewährleisten.

#5 Die Eingabekontrolle

Diese Maßnahme beinhaltet die Forderung einer Eingabekontrolle.

#6 Die Auftragskontrolle

Die Auftragskontrolle ist nur dann relevant, wenn Daten externer Dienstleister verarbeitet werden.

#7 Die Verfügbarkeitskontrolle

Personenbezogene Daten werden vor zufälliger Zerstörung und Verlust geschützt, also beispielsweise durch Stromausfälle oder Wasserschäden.

#8 Das Trennungsgebot

Daten müssen anhand ihres Zweckes getrennt werden. Das hat den Hintergrund, dass so eine leichtere Zuordenbarkeit der Daten gewährleistet wird, zum anderen die Erfüllung des datenschutzrechtlichen Grundprinzips der ausschließlich zweckgebundenen Nutzung von Daten.

Bei den Maßnahmen zur Erhöhung der Datensicherheit handelt es sich also um verschiedene Kontrollmechanismen, die einen unbefugten Zugriff und somit auch eine Kenntnisnahme, Manipulation oder Entfernung der Daten verhindern sollen.

  | Umsetzung von Datensicherheit im Unternehmen

Mit der Datenschutzgrundverordnung, kurz DSGVO, kommen auch in Sachen Datensicherheit neue Pflichten auf die Unternehmen zu – so viel dürfte mittlerweile bekannt sein. Dennoch geht die Umsetzung in Unternehmen nur langsam voran. Mit diesen 5 Schritten wird der Einstieg für Gründer, Selbstständige und kleine Unternehmen in die komplexe Thematik einfacher:

  1. Sensibilisierung und Schulung: Jeder im Unternehmen, auch wenn man nicht direkt für Datenschutz und Datensicherheit verantwortlich ist, muss für das Thema sensibilisiert und geschult werden. Denn so gut wie jeder Mitarbeiter eines Unternehmens hat an irgendeinem Punkt im Arbeitsablauf mit personenbezogenen Daten zu tun. Neben dem Schaffen eines generellen Bewusstseins für das Thema Datensicherheit, ist auch eine eingehende Schulung nötig.
  2. Verantwortlichkeiten festlegen: Rechtlich ist die Geschäftsführung für den Datenschutz zuständig, doch für die praktische Umsetzung sollte ein fester Ansprechpartner festgelegt und ggf. einen Datenschutzbeauftragten bestellen werden.
  3. Transparente Infrastruktur: Schaffen Sie Transparenz im Datendschungel Ihres Unternehmens. Nur wenn klar ist, wo sich welche Daten befinden, kann Datensicherheit gewährleistet werden.
  4. Daten verschlüsseln: Daten sollten im besten Falle stets verschlüsselt werden, um im Ernstfall einen Schaden gering zu halten.
  5. Schnell handeln: Die Datenschutzgrundverordnung und die dazugehörigen Regelungen sollten Sie bereits umgesetzt haben. Andernfalls drohen hohe Bußgelder. Haben Sie noch nicht? Dann warten Sie nicht mit der Umsetzung: Suchen Sie umgehend Beratung und Unterstützung, um das Unternehmen für die neuen Standards zu rüsten.

  | Tipps für Datensicherheit im Unternehmen

Datensicherheit ist ein brisantes Thema. Immer wieder hört man von neuen Skandalen, bei denen sensible Daten in falsche Hände gelangen. Wer seine Daten sichern will, sollte sie sowohl vor illegalem Zugriff, Löschung, Kopie sowie vor physischem Verlust schützen. Doch wie geht das konkret? Wir geben Ihnen eine Übersicht zu 8 wichtigen Schutzmaßnahmen, um Ihrem Unternehmen eine bessere Datensicherheit zu geben:

#1 Verhaltens­richtlinien festlegen

Legen Sie bestimmte Verhaltensrichtlinien fest, wie z.B. wer welche Daten besitzen, einsehen, ändern oder löschen darf oder welche Standards für Datenvernichtung, Datenweitergabe und Datenspeicherung gelten sollen. Diese Punkte sollten für jede Person im Unternehmen nachvollziehbar abgelegt werden. Schulen Sie zudem Ihre Mitarbeiter und sorgen Sie dafür, dass jeder die Richtlinien kennt und befolgt.

#2 Daten verschlüsseln

Verschlüsseln Sie stets alle Daten, ganz gleich auf welchem Medium sie gespeichert sind. So machen Sie es Unbefugten schwerer, auf diese zuzugreifen. Außerdem sollten Sie personenbezogene Daten niemals unverschlüsselt per Mail oder über einen Messengerdienst versenden. Sorgen Sie dafür, dass diese persönlich weitergegeben werden und dokumentieren Sie alle Vorgänge. Alternativ können Sie auf VPN (Virtual Private Network) – Verbindungen zurückgreifen.

#3 Passwörter vergeben

Jeder Ihrer Mitarbeiter sollte einen eigenen Benutzer-Account angelegt bekommen, der so konfiguriert ist, dass auch wirklich nur der Account-Besitzer Aktionen ausführen darf. So ist jederzeit nachvollziehbar wer, wann, was an Daten geändert. Dasselbe gilt für Passwörter. Jeder Mitarbeiter hat für seine Geräte ein individuelles Passwort zu vergeben, um so den Zugriff Dritter zu verhindern. Passwort sollte mindestens 8-12 Zeichen lang sein und aus Buchstaben in Groß- und Kleinschreibung, Ziffern sowie Sonderzeichen bestehen und regelmäßig geändert werden.

#4 Backups und Updates durchführen

Ein weiterer wichtiger Punkt sind Backups und regelmäßige Updates. Sollte der PC oder Laptop, auf dem alle wichtigen Daten vorhanden sind, einmal unerwartet kaputt gehen und Sie haben zuvor kein Backup der Daten gemacht, sind diese verloren. Um das zu verhindern, lassen Sie durch Ihre IT regelmäßig Backups und auch Updates durchlaufen. So sind die Daten stets sicher und der PC immer auf dem aktuellsten Stand.

#5 Firewalls & Viren-Scanner

Anti-Virus-Programme und Firewalls sollten ein Muss in jedem Unternehmen sein, völlig gleich welches Betriebssystem genutzt wird. Auch wenn es wohl niemals einen 100%igen Schutz vor Hackerangriffen und Co. geben wird, können solche Programme einen vor bösen Überraschungen schützen.

Nie war es wichtiger als in Sachen Datensicherheit und Datenschutz auf dem aktuellsten Stand zu sein und vor allem zu bleiben. Nur wer weiß, welche Bedrohungen existieren und wie man sich dagegen verteidigt, kann seine Daten effektiv schützen. Daher halten Sie sich und Ihre Mitarbeiter auf dem Laufenden und besuchen Schulungen zu diesen Themen.

  | Unser Fazit

Datensicherheit ist und bleibt auch in der Zukunft ein wichtiges Thema. Denn die Daten in Unternehmen sind ein Schatz von unschätzbarem Wert, die jedoch vielfältigen Risiken und Gefahren ausgesetzt sind. Sie zu erkennen und zu minimieren ist maßgeblich für die Datensicherheit in Unternehmen. Aus diesem Grund müssen Unternehmen sich um die Sicherheit ihrer Daten und der ihrer Kunden kümmern und die Themen Datenschutz und Datensicherheit stets ernst nehmen.

Unterstützung auf den Gebieten Datenschutz und Datensicherheit bietet ein Datenschutzbeauftragter. Unter Umständen unterliegen Sie ohnehin der Pflicht einen Datenschutzbeauftragten zu bestellen. Welche Aufgaben ein Datenschutzbeauftragter übernimmt, wann er zu bestellen ist und ob es stets ein externer Datenschützer sein muss, haben wir Ihnen im Kapitel Datenschutzbeauftragter zusammengestellt.

Chefredakteur: René Klein

René Klein verantwortet als Chefredakteur seit über 10 Jahren die Inhalte auf dem Portal und aller Publikationen von Für-Gründer.de. Er ist regelmäßig Gesprächspartner in anderen Medien und verfasst zahlreiche externe Fachbeiträge zu Gründungsthemen. Vor seiner Zeit als Chefredakteur und Mitgründer von Für-Gründer.de hat er börsennotierte Unternehmen im Bereich Finanzmarktkommunikation beraten.