Datensicherheit: Standards so hoch wie möglich ansetzen

Der Slogan »Daten sind das neue Öl« ist natürlich vor allem eine Marketing-Weisheit. Trotzdem legt die Wichtigkeit von Unternehmensdaten mehr denn je zu. Gleichzeitig sind Cyberattacken eine reale Bedrohung. Deswegen sollten Firmen nach den für sie höchstmöglichen Sicherheitsstandards streben, auch wenn dies mehr oder weniger einem Fass ohne Boden gleicht. Wir fassen in diesem Beitrag die wichtigsten Regeln und Maßnahmen zusammen.

Per Definition bedeutet Datensicherheit, die unternehmensweit gespeicherten Daten vor Gefahren und unberechtigten Zugriff zu schützen. Soweit so einfach, die Wichtigkeit kann man aber gar nicht genug hervorheben, vor allem in einer Zeit in der Cyberkriminalität zu einem Milliarden-Business mutiert.

Datensicherheit: Standards so hoch wie möglich ansetzen

Unterschied Datenschutz & Datensicherheit

Datenschutz bezieht sich auf personenbezogene Daten, Datensicherheit schließt alle Daten mit einHervorzuheben ist, Datensicherheit bezieht sich auf den Schutz alle Daten, egal ob mit oder ohne Personenbezug. Im Gegensatz dazu betrifft der Datenschutz ausschließlich personenbezogene Daten. Selbstverständlich sind beide eng miteinander verknüpft: Letztendlich bilden Datensicherheitsmaßnahmen, wie technische und organisatorische Maßnahmen (TOMs) die Voraussetzung für einen ausreichenden Datenschutz, wie ihn das Bundesdatenschutzgesetz und die DSGVO (Datenschutz-Grundverordnung) fordern.

Zur Erinnerung, die DSGVO regelt die Verarbeitung personenbezogener Daten. Sie gibt Personen das Recht auf informelle Selbstbestimmung, schützt die Privatsphäre jedes einzelnen und vor allem vor einem Missbrauch persönlicher Daten. Zumindest soll sie das. Für Unternehmen ist wichtig, ohne ausreichender Datensicherheit, lässt sich auch der Datenschutz gemäß DSGVO nicht erfüllen.

Bei fahrlässiger Zuwiderhandlung kann dies auch Bußgelder nach sich führen. Für die Geschäftsführung sollten die Maßnahmen aber eher als Investition ins eigene Unternehmen verstehen, um die IT-Sicherheit zu stärken und das eigene Wissen, in der Form der gespeicherten Daten zu schützen.

Maßnahmen für mehr Datensicherheit

Maßnahmen für mehr DatensicherheitWobei sich die Datensicherheit auch auf nicht digitale Informationen bezieht. Das heißt, auch wichtige Dokumente auf Papier, oder welchem Medium auch immer, dürfen nicht für unbefugte Dritte zugänglich sein.

Neben den technischen sind auch organisatorische Maßnahmen zu treffen. Dies beginnt beim Zutritt zu den Geschäftsräumen und Büros und der damit nötigen Schlüsselverwaltung. Je größer das Unternehmen, desto wichtiger wird es, darauf zu achten, dass nicht jeder Mitarbeiter ungehinderten Zugang zu allen Gebäudeteilen hat. Außenstehende dürfen gar nicht allein in der Firma unterwegs sein und auf keinen Fall Zugang zu Dokumenten verschaffen können.

Vertrauliche Dokumente sind in abschließbaren Schränken aufzubewahren, idealerweise in feuerfesten Schränken bzw. einem Safe. Für physische und digitale Informationen wird eine Zugangsregelung und -kontrolle benötigt.

Auf die IT-Systeme können nur Mitarbeiter nur in Abhängigkeit von ihrer Berechtigung zugreifen. Die Zugänge müssen mit einem sicheren Passwort geschützt sein. Hier gilt es den Mitarbeitern verbindliche Regeln an die Hand zu geben, inklusive der Vorgabe, dass wenn der Arbeitsplatz verlassen wird, wenn auch nur kurz, der Bildschirm zu sperren ist (Tastenkombi Windows und L).

Sollten externe Personen einen IT-Zugang benötigen, wie zum Beispiel Administratoren oder Freiberufler, müssen sich diese ebenfalls über alle Richtlinien belehrt werden. Zudem empfiehlt sich eine Vertraulichkeitsvereinbarung und gegebenenfalls ein Auftragsverarbeitungsvertrag.

Ransomware verändert Backup-Konzepte nachhaltig Zur Datensicherheit gehört auch das Erstellen von Sicherheitskopien, nach der 3-2-1-Backup-Regel. Das heißt, drei Kopien der Daten, gespeichert auf zwei unterschiedlichen Speichermedien (Medienbruch) und mindestens einer Offsite-Kopie. Hier verweisen wir auf den Beitrag Unersetzlich: die 3-2-1-Backup-Regel im eMagazine Backup für den Mittelstand sowie unseren digitalen Roundtable zu Ransom-Abwehr: Offsite-Backup & Air-Gap sind Pflicht.

Cybersicherheit so hoch wie möglich ansetzen

Auch, wenn es lästig erscheint, Unternehmen sollten nach einem für ihre Zwecke geeigneten höchstmöglichen Sicherheitsstandard streben. Es gilt klar definierte Regeln aufzustellen (Stichwort Compliance), inklusive der dazugehörigen Mitarbeiterschulungen. Es darf sich keiner der Kollegen herausreden dürfen, »ich wusste von nichts«. Regelmäßige Weiterbildungsmaßnahmen für alle sollten ebenfalls etabliert werden, wie auch fachspezifische Schulungen für die IT-Abteilungen und alle, die im Detail mit der Datensicherheit betraut sind. Unternehmen sollten sich auch nicht scheuen, externe Fachleute hinzuzuziehen, wie IT-Sicherheits- und Datenschutzbeauftragte.

Unzureichende Richtlinien zur Einhaltung von Datensicherheit erleichtern es Cyberkriminellen, Daten von Unternehmen als Druckmittel zu benutzen. Die Erpresser haben ihre Taktik längst weiterentwickelt. Anstatt Dateien »einfach nur« zu verschlüsseln, drohen sie damit, die Daten zu veröffentlichen, wenn kein Lösegeld gezahlt wird. Sie bringen so das geschädigte Unternehmen in eine Lage, in der es mit Geldstrafen belegt werden könnte, ganz zu schweigen von möglichen Rufschädigung der Marke.

Zehn Best-Practices für die Daten-Compliance, um Ransomware einzudämmen

Die Einhaltung von Vorschriften und die Informationssicherheit sind eng miteinander verwoben. Die Einhaltung von Datenschutzbestimmungen wird damit nach Meinung von Pure Storage zu einer noch wichtigeren Säule der unternehmensweiten Sicherheitsstrategie.

Die folgende kurze Liste von Pure Storage zeigt bewährte Maßnahmen (Best-Practices) auf, die Unternehmen helfen, die Vorschriften einzuhalten und Ransomware-Kriminellen aus dem Weg zu gehen.

1. Erstellen eines Compliance-Framework. Ein Rahmenwerk für die Sicherheit oder die Reaktion auf Vorfälle erklärt, wie man Vorfälle erkennt, darauf reagiert und sich davon erholt. In ähnlicher Weise bietet ein Compliance-Framework eine Struktur für alle Compliance-Vorschriften, die sich auf ein Unternehmen beziehen, wie interne Compliance- und Datenschutzkontrollen zu bewerten sind. Ein solches Rahmenwerk hilft auch bei der Identifizierung von Daten, von personenbezogenen oder sensiblen Daten, die strengere Sicherheitsprotokolle erfordern.
2. Definieren von Richtlinien darüber, welche Daten gesammelt werden und warum. Dieser Schritt ist Teil der Erstellung eines Rahmenwerks. Es gibt viele Gründe, das Was und das Warum der Datenerfassung zu dokumentieren. Die Aufsichtsbehörden können verlangen, dass solche Richtlinien festgelegt werden; wenn die Daten von Verbrauchern stammen, können sogar noch strengere Anforderungen an die Beschreibung der Erfassungsrichtlinien gestellt werden (siehe Nr. 4).
3. Erstellen von Datenschutzrichtlinien. Information der Kunden darüber, welche Daten gesammelt werden, wofür sie verwende werden und wie und wie lange sie gespeichert werden. Kunden auch drüber informieren, wie sie Zugang zu ihren persönlichen Daten erhalten oder »vergessen« werden können, das heißt wie ihre Daten aus den Systemen entfernt werden.
4. Verstärken des Engagements für die Offenlegung. Öffentlich zugängliche Datenschutzrichtlinien weitergeben, diese veröffentlichen und pflegen.
5. Auf dem Laufenden über die neuesten gesetzlichen Bestimmungen, die sich auf die Compliance auswirken, bleiben. Ein »Privacy by Design«-Betriebsmodell kann Ihnen helfen, mit den sich ständig ändernden Vorschriften Schritt zu halten und sich an sie anzupassen. Das bedeutet, dass Sie den Datenschutz in die Entwicklung und den Betrieb von IT-Systemen, Infrastrukturen und Geschäftspraktiken einbeziehen, anstatt zu versuchen, ihn nachträglich einzubauen.
6. Richtlinien zur Aufbewahrung und Löschung von Daten festlegen. Dieser Schritt ist von entscheidender Bedeutung. Aufbewahrungszeitpläne legen fest, wie lange Daten auf einem System gespeichert werden, bevor sie gelöscht werden, und die Zeitpläne können je nach Branche variieren. Ein regelkonformes, ausgereiftes und sicheres Unternehmen zeichnet sich dadurch aus, dass es solide Richtlinien für die Datenaufbewahrung und -löschung entwickelt, die ständig überprüft werden.
7. Ein Datenverschlüsselungsprotokoll wählen. Festlegen, welche Art von Datenverschlüsselung eingesetzt werden soll und wo – vor Ort, in der Cloud etc. Je nachdem, wo die Daten gespeichert sind, können die Entscheidungen unterschiedlich ausfallen.
8. Mit dem CISO über Netzwerkkontrollen sprechen. Da Compliance eng mit Sicherheit zusammenhängt, sollten Unternehmen ihren CISO in Gespräche über die Konfiguration von Netzwerkgeräten, die Zugriffskontrolle mit minimalen Rechten, die Ereignisprotokollierung und die mehrstufige Authentifizierung miteinbeziehen.
9. Anonymisierung sensibler Daten. Falls erforderlich, sollten Daten anonymisiert werden, um persönliche Identifizierungsdaten durch Maskierung, Tokenisierung, Hashing oder Anonymisierung zu entfernen.
10. Dokumentieren, wie alle von einer Sicherheitsverletzung betroffenen Parteien benachrichtigen werden. Entsprechend der DSGVO sind solche Benachrichtigungen obligatorisch – und Unternehmen möchten auf jeden Fall, dass der Benachrichtigungsprozess reibungslos abläuft. Es gilt festzulegen, wer für die Benachrichtigung verantwortlich ist, wie man das Problem löst und was man tun, um weitere Vorfälle zu verhindern.