Datensicherheit

Datensicherheit ist ein bedeutendes und komplexes Thema, das sich mit dem Schutz und der Sicherung von Daten vor Verlust, ungewollter Veränderung und unberechtigtem Zugriff befasst. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet äußerst hilfreiche und umfassende Informationen zu diesem Thema. Im IT-Grundschutz-Kompendium des BSI werden potenzielle Gefahren systematisch dargelegt. Zusätzlich werden Prozessbausteine zur Absicherung gegen diese Risiken aufgezeigt. Das Kompendium steht kostenlos zur Verfügung und hat den weiteren Vorteil, dass es als Grundlage für Zertifizierungen gemäß ISO 27001 dienen kann, wie zum Beispiel die Zertifizierung im Bereich Informationssicherheit. Risiken / Kategorien von Risiken „EXTERN“ Hierbei handelt es sich um den Missbrauch von Daten durch externe Personen oder Organisationen wie Hacker, nicht gesperrte ehemalige Mitarbeiter, externe Unternehmen oder Angehörige von Mitarbeitern. „INTERN“ – gezielt Dieser Typus bezieht sich auf den vorsätzlichen Missbrauch von Daten durch unbefugte interne Personen oder nicht erlaubte Handlungen seitens der Mitarbeiter selbst, beispielsweise Sabotagehandlungen im Vorfeld eines Unternehmenswechsels. „INTERN“ – unbeabsichtigt Diese Kategorie beschäftigt sich mit Datenschutzpannen infolge mangelndem Wissen über korrekten Umgang mit Daten sowie unachtsamem Handling oder fehlenden bzw. falschen Regelungen

Risiken / Riskokategorien

  • „EXTERN“
    Datenmissbrauch durch Aussenstehende
    (zB. Hacker, nicht gesperrte ehemalige Mitarbeiter, externe Unternehmen, Angehörige von Mitarbeiten, …)
  • „INTERN“ – gezielt
    Datenmissbrauch durch unbefugte interne Personen oder nicht erlaubte Handlungen durch Mitarbeiter (zB. Sabotage)
    -> Beispielsweise in Vorbereitung auf einen Unternehmenswechesel
  • „INTERN“ – unbeabsichtigt
    Datenschutzpannen aufgrund von fehlendem Wissen, unachtsamen Umgang mit Daten oder fehlenden / „falschen“ Regelungen

Was kann man dagegen tun?

Um diesen Risiken den sicher aus dem Weg zu gehen sollten Prozesse, Regelungen und Betriebsvereinbarungen Eingeführt werden und diese durch Nachweise auch konsequent durchgeführt werden. Dazu gehören könnte beispielsweise folgendes

  • Sicherer Umgang mit Passwörtern
  • Regeln für das Arbeiten im Home Office
  • Beantragung, Genehmigung und Umsetzung von Zugriffsberechtigungen
    zB. im Falle eines Auszubildenden
  • Regelmäßige Prüfung bon Berechtigungen + Anpassung (auch bei externen Unternehmen
  • Regelkonforme Vernichtung von Papier / Löschung von Datenträgern
  • Verschlüsselung von Daten (Notebooks, mobile Datenträger, Smartphones, Cloud)