3 einfache technisch organisatorische Maßnahmen für Ihr Unternehmen

Diese Maßnahmen erhöhen die Datensicherheit in Ihrem Unternehmen

Share on facebook
Share on twitter
Share on linkedin

Gerade mit der Einführung der DSGVO und den daraus resultierenden Auflagen und der Umsetzung der Datenschutzmaßnahmen entsteht für viele Unternehmen ein hoher Aufwand. Bei vielen Unternehmen entsteht in Sachen Datenschutz das Gefühl, den Wald vor lauter Bäumen nicht zu sehen. Wie macht man das Unternehmen sicher vor Angriffen, wie müssen Anforderungen aus dem Datenschutz so umgesetzt werden, dass keine Bußgelder drohen?

Schnell wird dabei auf technische Lösungen geschielt, eine neue Firewall da, dort ein neues Backupsystem und zu guter Letzt noch eine Archivierungsappliance für alle Mails. 

Wenn die neueste Technik vorhanden ist, dann müsste doch alles sicher sein, so der Irrglaube. Das sind greifbare und nachvollziehbare Maßnahmen, die ein konkretes Gefühl von Sicherheit bieten. Allerdings bedeuten sie auch nicht selten einen hohen finanziellen Aufwand für Investition und Wartung der Anlagen. Und selbst, wenn man die neueste technische Lösung für das Unternehmen anschafft, werden die dazugehörigen organisatorischen Maßnahmen nicht richtig umgesetzt, ist die teuerste Technik nichts wert. Die technischen Maßnahmen sind zwar offensichtlich und sicherlich auch wirksam, die organisatorischen Maßnahmen werden darüber aber schnell übersehen. 

Organisatorische Maßnahmen bieten dabei oft schnellen und wirksamen Schutz vor Datenverlust ohne größeren Aufwand und somit die Sicherstellung des Datenschutzes für personenbezogene Daten. Nur mit dem Zusammenspiel zwischen Organisation und Technik kann ein hohes Maß an Sicherheit erreicht werden.

Technisch organisatorische Maßnahmen im Datenschutz

Technisch organisatorische Maßnahmen (TOM) umfassen alle in der Praxis getroffenen Schritte, um die Sicherheit von personenbezogenen Daten zu garantieren.

Während der Datenschutz alle Informationen, die Rückschlüsse auf eine Person zulassen regelt, befasst sich die Datensicherheit hingegen mit der Frage, welche Maßnahmen zum Schutz von Daten erfordern. Dabei kommen die technischen und organisatorischen Maßnahmen ins Spiel.

Technische Maßnahmen – was ist das?

Zu den technischen Maßnahmen gehören alle Schutzversuche, die im physischem umsetzbar sind, oder Maßnahmen, die in Soft- und Hardware umgesetzt werden. Dazu zählen bauliche bzw. Räumliche Absicherungen, sowie Alarmanlagen und Türsicherungen oder Vorgaben der Passwortkomplexität und automatische Erstellung von Protokollen. 

Organisatorische Maßnahmen – was ist das?

Alle Maßnahmen und Regelungen, die die Datensicherheit sicherstellen und nicht rein technischer Natur sind, nennt man organisatorische Maßnahmen. Das reicht von Schulungen über Prozessbeschreibungen bis hin zu Maßnahmenkatalogen für bestimmte Vorkommnisse. 

Wie Sie mit organisatorischen Maßnahmen die Datensicherheit und so den Datenschutz in Ihrem Unternehmen schnell und einfach erhöhen, erfahren Sie im folgenden Abschnitt.

1. Technisch organisatorische Maßnahme: Regeln Sie den Umgang mit Passwörtern

Der Name der Frau, der aktuelle Monat oder der Geburtstag der Kinder sind sicherlich Passwörter, die sich leicht merken lassen, aber sicher sind sie nicht. Das Gleiche gilt für ein Passwort für verschiedene Konten und das schon seit Jahren. Für den gesunden Menschenverstand ist es völlig logisch, dass solche Passwörter keinen ausreichenden Schutz bieten und für geübte Hacker problemlos zu knacken sind, aber dennoch werden solche Passwörter oft genutzt.

Wenn man ehrlich ist, ist es ja auch verständlich. E-Mail-Konto privat und geschäftlich, PayPal, Netflix, CRM-Software, Outlook etc., so viele Anwendungen, die ein Passwort benötigen damit die enthaltenen Daten geschützt sind vor unbefugtem Zugriff. Aber nur weil etwas nachvollziehbar ist, ist es noch lange nicht sicher. Personenbezogenen Daten und Unternehmensdaten sind besonders sensibel und müssen unbedingt geschützt werden.

Neben Bußgeldern, die auf das Unternehmen zukommen können, wenn gegen die Anforderungen des Datenschutzes verstoßen wird, kann ein Hackerangriff schnell die ganze IT-Infrastruktur zum Erliegen bringen und im schlimmsten Fall das Aus für das Unternehmen bedeuten.

Damit es zu keinem der genannten Fälle kommt, ist es wichtig, gewisse Regeln für Passwörter und deren Umgang festzulegen, die für alle Mitarbeiter verbindlich sind. Ein sicheres Passwort hat mindesten 8 Stellen und besteht aus einer Kombination von Groß- und Kleinbuchstaben mit Sonderzeichen und Zahl. Also keine Passwörter die man durch bloßes Raten herausfinden könnte.

Jetzt wird der eine oder andere vor dem Dilemma stehen nicht zu wissen, wie man sich solche komplexen Passwörter merken soll? Aufschreiben auf Klebezettel, in Notizblöcken oder Worddokumenten ist der falsche Weg. Am einfachsten ist es, wenn Sie Ihren Mitarbeitern direkt die Nutzung eines Passwortverwaltungsprogramms (LastPass, Keepass, 1Password) ans Herz legen. Diese gibt es oft in einer kostenlosen Version, die völlig ausreichend ist. Wenn diese Maßgaben in ihrem Unternehmen umgesetzt werden, ist der erste Schritt in Richtung Datenschutz und Informationssicherheit getan.

2. Technisch organisatorische Maßnahme: Beseitigen Sie die Schwachstelle Mensch

Die stärkste Kette ist nur so stark wie ihr schwächstes Glied. Das Gleiche gilt für Informationssicherheit und Datenschutz. In den meisten Fällen ist der Mensch das schwächste Glied und man ist gut beraten diese Schwachstelle zu stärken, so dass das Risiko so weit reduziert wird wie es geht.

Die Möglichkeiten sind dabei vielfältig und richten sich auch nach dem Budget des Unternehmens. Die Datenschutzgrundverordnung schreibt vor, dass Mitarbeiter, die mit der Verarbeitung personenbezogener Daten betraut sind, regelmäßig geschult werden müssen. Das Risiko, dass es zu Datenpannen kommt, sinkt, wenn Ihre Mitarbeiter in den Themen Datenschutz und Informationssicherheit sensibilisiert sind. Nur wer weiß, wann er was zu tun hat und wer zu informieren ist, kann in den entsprechenden Situationen angemessen reagieren. Daher lassen Sie ihre Mitarbeiter von einem Datenschutzbeauftragten vor Ort Schulen oder buchen Sie einen Onlinekurs.

Eine gute Möglichkeit, Mitarbeitern eine Hilfestellung an die Hand zu geben, sind sogenannte Notfallkarten. Diese stellen in kompakter Form das richtige Verhalten bei einem IT-Notfall dar. Eine entsprechende Vorlage können Sie sich beim Bundesamt für Sicherheit in der Informationssicherheit herunterladen. Ähnliche Merkkarten lassen sich für unterschiedliche Themen im Datenschutz, zum richtigen Umgang mit personenbezogenen Daten oder Datenschutz im Internet erstellen.

Klar geregelt werden müssen auch die Ansprechpartner für Datenschutz und IT-Notfälle, nur so kann sichergestellt werden, dass Datenpannen, Anfragen von Betroffenen oder mögliche Hackerangriffe frühestmöglich gemeldet und bearbeitet werden können. Wenn kein Datenschutzbeauftragter, Datenschutzkoordinator oder Verantwortlicher für IT-Sicherheitsvorfälle bestimmt und benannt wurde, werden Datenpannen im Datenschutz und in der Informationssicherheit untergehen und können in schwerwiegenden Folgen für das Unternehmen resultieren.

Die Theorie ist das eine, aber die Umsetzung das andere. Deshalb ist es wichtig, dass alle im Unternehmen den Ernstfall üben, denn bekanntlich macht Übung den Meister. Am einfachsten ist sicher die tägliche Praxis, aber oftmals ist das nicht so ohne weiteres möglich oder gewollt. Wer hofft schon auf einen Angriff von außen auf die eigenen IT-Systeme oder eine Anfrage eines Betroffenen im Datenschutz?

Die Bandbreite der Übungen ist dabei groß. Durch Experten durchgeführte Phishing-Kampagnen, die testen, ob Mitarbeiter auffällige E-Mail erkennen oder ob Sie in die Falle tappen. Life-Hacking-Veranstaltungen, in denen man zwar nicht selbst übt, aber genau gezeigt bekommt, wie Hacker arbeiten und wie sich schützen können, bis hin zu Krisenübungen, in denen Unternehmen den Ernstfall üben können, so dass im wirklichen Ernstfall alles läuft wie am Schnürchen und größerer Schaden abgewendet werden kann. Auch hier gilt in Sachen Datenschutz: erreicht das Unternehmen einen hohen Grad an Informationssicherheit, so ist auch der Schutz personenbezogener Daten besser.

3. Technisch organisatorische Maßnahme: Erstellen Sie gute Pläne

Wie bereits erwähnt funktionieren technische Maßnahmen nur so wie ihre dazugehörigen organisatorischen Maßnahmen. Nur durch ein gut umgesetztes Informationssicherheitsmanagement wird vollumfassender Datenschutz sichergestellt. Fangen Sie an mit Ihrem IT-Dienstleister über Back-ups zu sprechen. Wie oft werden diese gemacht, entspricht der Back-up-Zyklus den Anforderungen des Unternehmens? Ein wöchentliches Back-up nützt Ihnen nichts, wenn sie mit tagesaktuellen Daten arbeiten müssen. Gehen Daten, egal ob personenbezogene Daten im Datenschutz oder Unternehmensdaten verloren und müssen wiederhergestellt werden, wäre dies dann nicht für alle Daten möglich.

Wo werden die Back-ups gespeichert? Nur intern auf dem gleichen Speicherort wie alle anderen Systeme oder auch extern an einem zweiten Speicherplatz? Auch hier kann es zu einem nicht wiederherstellbaren Datenverlust kommen, wenn die Daten nur an einem einzigen Ort gespeichert werden. Und wird regelmäßig überprüft, ob die Back-ups sich wiederherstellen lassen? All diese Fragen sollten Sie mit Ihrem IT-Dienstleister besprechen und in einem Back-Up-Plan schriftlich festhalten.

Nachdem Sie den Plan für das Back-Up-Management erstellt haben, erstellen Sie einen ähnlichen Plan für das Patchmanagement. Jede Software sollte regelmäßig auf den neuesten Stand gebracht werden, Fehler behoben und so die Angriffsflächen für Hacker geschlossen werden. Sinnvoll ist es auch, die IT-Infrastruktur mit Hilfe von Vulnerability Management regelmäßig auf Schwachstellen überprüfen zu lassen.

Experten überprüfen Ihre IT-Infrastruktur inklusive Systeme, Netzwerk, Webanwendungen und Benutzer auf vorhanden Schwachstellen, wie zum Beispiel Fehlkonfigurationen, veraltete Systeme und schwache Passwörter und stellen Ihnen regelmäßig einen Bericht über die Schwachstellen und die Möglichkeiten zur schnellen Behebung zur Verfügung. So können potenzielle Angriffsflächen für Angreifer schnell und effizient geschlossen werden und die Cybersicherheit wird durch geringen Aufwand erhöht. Sichere IT-Infrastruktur bedeutet auch immer Umsetzung der regulatorischen Anforderungen des Datenschutzes.

Fazit

Wenn Sie es schaffen, Ihr Augenmerk auf die organisatorischen Maßnahmen zu legen und ihnen genauso viel Aufmerksamkeit zu schenken wie den Technischen, dann haben Sie einen großen Schritt für die Sicherheit Ihres Unternehmens und den Schutz personenbezogener Daten im Datenschutz gemacht. Bevor Sie viel Geld in neue Technik investieren, lassen Sie durch einen IT-Experten überprüfen, welches Potential in der vorhanden IT-Infrastruktur steckt und wie man diese am besten nutzt.

Das könnte Sie auch interessieren

Bald folgen weitere Beiträge aus dieser Kategorie.
Jetzt für den OSYSCON Newsletter anmelden
Bleiben Sie auf dem neusten Stand der digitalen Sicherheit
  • Dieses Feld dient zur Validierung und sollte nicht verändert werden.
Mit dem Eintragen akzeptieren Sie unsere Datenschutzrichtlinien, diese finden Sie hier.
Onboarding

Im Onboarding werden wir Sie und Ihr Netzwerk zunächst genauer kennenlernen und bestimmen einen gemeinsamen Fahrplan. Wir fordern Dokumente an, die wir für die Begutachtung benötigen und klären Ihre Bedenken. Sonderwünsche Ihrerseits werden ebenfalls besprochen. Sie möchten bestimmte Geräte von der Prüfung ausschließen? Kein Problem. Sie möchten, dass wir auf etwas besonders viel Augenmerk legen? Auch kein Problem. All dies und vieles mehr muss vor dem Beginn einer jeden Prüfung geklärt werden.

Holen Sie sich ihr individuelles Angebot

Mit dem Absenden akzeptieren Sie unsere Datenschutzrichtlinien, diese finden Sie hier.