5 typische Schwachstellen und wie Sie diese beheben können
„Datenschutz in Deutschland bedeutet „mit Gürtel + Hosenträger“ weiß Thomas Ströbele von yourIT aus seiner Erfahrung als externer Datenschutzbeauftragter. Das BDSG ist bekannt für seine Strenge. Für Unternehmen, die sich an die gesetzlichen Vorgaben halten, bringt Datenschutz aber auch einige Vorteile.
Dabei wird aber oft der Datenschutz vernachlässigt, also die sichere Handhabung personenbezogener Daten. Dabei hängen Informationssicherheit und Datenschutz eng zusammen, denn was personenbezogene Daten schützt, schützt auch Betriebs- und Geschäftsgeheimnisse.
yourIT - Datenschutz im Informationssicherheits-Kontext |
Das Bundesdatenschutzgesetz (BDSG) kümmert sich um personenbezogene Daten und verpflichtet Unternehmen dazu, Mitarbeiter-, Kunden und Lieferantendaten zu schützen und nur zweckgebunden zu verwenden.
Verbot mit Erlaubnisvorbehalt
„Das BDSG verbietet jegliche Nutzung von personenbezogenen Daten, es sei denn, diese ist erlaubt.“ Für Thomas Ströbele, Geschäftsführer der yourIT aus Hechingen ist damit der Auftrag klar. Als externer Datenschutzbeauftragter und Lead Auditor ISO27001 hilft er mittelständischen und großen Unternehmen, personenbezogene Daten genau so zu schützen wie andere für das Unternehmen wertvolle Daten – und bringt damit den Unternehmen Vorteile.
Win-win durch Datenschutz
Zu
den Vorteilen für Unternehmen gehört eine geringere Geschäftsführer-Haftung
durch die Einhaltung gesetzlicher Vorgaben. Daneben macht sich die Vorbeugung
gegen Schäden wie Umsatzeinbußen bei Datenverlust sowie Bußgelder bezahlt.
Kunden bevorzugen immer häufiger sichere Unternehmen und die Maßnahmen führen
zudem zu einer besseren Organisation und zu effektiveren Prozessen.
„Investitionen in Datenschutz und Informationssicherheit machen bereits aus
gesundem Menschenverstand Sinn.“
Um Unternehmen ohne große Reibungsverluste in das Thea Datenschutz einzuführen, hat yourIT ein Datenschutzkonzept in 4 Phasen entwickelt. „In der ersten Phase analysieren wir den aktuellen Zustand des Unternehmens sowie was in welcher Form geschützt werden muss, um den Umfang – und die Kosten - klein zu halten.“ erklärt Ströbele den Start in den Datenschutz.
In der nächsten Phase wird das Datenschutz-Pflichtenheft erstellt. Welche Maßnahmen sind zu ergreifen, um die gefundenen Schwachstellen zu eliminieren? „Als Schwabe liebe ich es, nach dem Minimax-Prinzip zu arbeiten: Wie kann ein Unternehmen mit minimalem Ressourcenaufwand die maximalen Fortschritte machen!“ Dieser Plan gefällt den Verantwortlichen in den Unternehmen verständlicherweise.
Datenschutz - mit yourIT |
Datenschutzkonzept in 4 Phasen
Um Unternehmen ohne große Reibungsverluste in das Thea Datenschutz einzuführen, hat yourIT ein Datenschutzkonzept in 4 Phasen entwickelt. „In der ersten Phase analysieren wir den aktuellen Zustand des Unternehmens sowie was in welcher Form geschützt werden muss, um den Umfang – und die Kosten - klein zu halten.“ erklärt Ströbele den Start in den Datenschutz.
In der nächsten Phase wird das Datenschutz-Pflichtenheft erstellt. Welche Maßnahmen sind zu ergreifen, um die gefundenen Schwachstellen zu eliminieren? „Als Schwabe liebe ich es, nach dem Minimax-Prinzip zu arbeiten: Wie kann ein Unternehmen mit minimalem Ressourcenaufwand die maximalen Fortschritte machen!“ Dieser Plan gefällt den Verantwortlichen in den Unternehmen verständlicherweise.
Erst jetzt in Phase 3 macht sich der Datenschutz-Experte an die Umsetzung der notwendigen Maßnahmen im Unternehmen. Dabei unterscheidet er technische, organisatorische und qualifizierende Maßnahmen. Letztere bedeuten die Sensibilisierung der Mitarbeiter. „Die meisten Datenschutzpannen entstehen wegen Fehlern von Mitarbeitern!“ warnt Ströbele. Eine sinnvolle Einweisung der Mitarbeiter ist unverzichtbar. yourIT setzt hier auf kurze Präsenz- und Onlineschulungen gemäß dem Prinzip „Man kann über alles reden, aber nicht über 45 Minuten! Bewährt hat sich auch die Mandantenzeitung „Datenschutz Now!“, welche yourIT ihren Kunden 6x im Jahr kostenfrei zur Verfügung stellt.
Unsere Mandantenzeitung Datenschutz Now! |
In der vierten und letzten Phase übt Ströbele mit den Unternehmen das Dranbleiben. Dazu gehören die Aufnahme neuer Verfahren genauso wie die Durchführung von Kontrollen zur Einhaltung der getroffenen Schritte.
5 typische Schwachstellen
Zum Schluss nennt Ströbele noch 5 typische Schwachstellen, die Sie selbst eliminieren können.
1. Rechner nicht gesperrt
Damit führen Mitarbeiter jedes Berechtigungskonzept ad absurdum. Schulen Sie Ihre Mitarbeiter, beim Verlassen des Arbeitsplatzes den Rechner zu sperren. Unglaublich, aber oft scheitert dies am mangelnden Wissen der Mitarbeiter um die Tastenkombination Windows-Taste + L.
2. Verwendung unsicherer Passwörter
Der Name des Ehepartners oder Hundes ist genauso ungeeignet wie ein Geburtsdatum. Schulen Sie ihren Mitarbeitern, wie sie ein sicheres Passwort mit 8-12 Klein-/Großbuchstaben, Zahlen und Sonderzeichen generieren und es sich merken, ohne es aufzuschreiben. Unterschiedliche Passwörter je Anwendung und ein regelmäßiger Wechsel der Passwörter machen Angreifern das Leben schwer.
3. Sorgloses Klicken auf Links und Öffnen von Dateianhängen
Ein falscher Klick und ein Trojaner verschlüsselt alle Unternehmensdaten. Meist folgt auf diesen Angriff eine erpresserische Zahlungsaufforderung. Aber egal ob Sie bezahlen oder nicht – die Daten bleiben meist verloren. Hier helfen nur vorbeugende Schulung der Mitarbeiter und funktionierende Viren-, Spam und Backup-Konzepte.
4. Steuernummer auf der Website
In vielen Finanzämtern ist Datenschutz noch immer ein Fremdwort. Wenn ein Unbefugter geschickt anfragt, funktioniert die Steuernummer wie eine Art „PIN“ zur Steuerakte und damit zu vertraulichen Finanzdaten. Verwenden Sie stattdessen ausschließlich die Umsatzsteuer-ID.
5. Newsletter-Versand an offenen E-Mail-Verteiler
Sicher haben auch Sie schon einmal eine Serienmail erhalten, bei der sie sehen können, wer außer Ihnen diese noch erhalten hat. E-Mail-Adressen sind personenbezogene Daten. Manche Empfänger finden diese unerlaubte Veröffentlichung unpassend. So wurde unlängst in einem solchen Fall ein Bußgeld festgesetzt. Hier hilft nur Schulung.
„IT’s not your business!“
So lautet die Empfehlung von yourIT an mittelständische Geschäftsführer. „Holen Sie sich externe Experten für Datenschutz und IT-Sicherheit ins Haus und nutzen Sie deren Erfahrung aus anderen Projekten. Dann bleibt mehr Zeit für Ihre eigentlichen Wertschöpfungsprozesse.“
Ihr Thomas Ströbele
BEST OF CONSULTING 2015 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT
Unsere Beratungspakete
wurden beim Innovationspreis-IT der Initative Mittelstand mit dem Preis BEST OF CONSULTING 2015 ausgezeichnet.