3. November 2010 - Nur nicht den Überblick verlieren!

Datensicherheit als Prozess

58 Prozent der Unternehmen im Mittelstand haben pro Woche weniger als drei Stunden Zeit, um die Datensicherheit zu überprüfen. Gleichzeitig hatten 40 Prozent der mittelgroßen Unternehmen in den letzten zwölf Monaten eine Datenpanne, 13 Prozent mehr als im Vorjahr, so das Ergebnis der Studie „The Ongoing Security Paradoxon“ von Bloor Research. Optimieren Sie deshalb Ihre Sicht auf die Datensicherheit und nutzen Sie das Denken in Prozessen, um den Überblick zu behalten.

datensicherheit-als-prozess.jpeg
Wer die Datensicherheit als ganzheitlichen prozess betrachtet, hat schon viel gewonnen (Bild: Thinkstock)

Malware, Hacker und kein Ende

Wenn Sie in den Medien die Meldungen über neue Datenpannen, Hackerangriffe und gefährliche Schadsoftware verfolgen, werden Sie sicherlich bald das Gefühl nicht mehr los, nicht zu wissen, wo Sie mit der Datensicherheit anfangen und wo aufhören sollen.

Botnetze, Drive-by-Downloads oder Spear Phishing: Das Internet ist voller neuer Gefahren, die Sie in Ihrem Datensicherheits-Konzept berücksichtigen müssen. Agieren können Sie schon lange nicht mehr, höchstens reagieren.

Proaktiv in der Datensicherheit sein statt reaktiv

Es ist allerdings kein Geheimnis, dass reines Reagieren immer nur Stückwerk sein kann. Ein durchgehendes Konzept für den Schutz personenbezogener Daten kann sich so nicht entwickeln. Viele Unternehmen stürzen sich auf ein gerade bekannt gewordenes Sicherheitsrisiko und versuchen, die entsprechenden Schwachstellen zu beheben. Währenddessen werden bereits andere Sicherheitslücken ausgenutzt, die zurzeit nicht im Fokus stehen.

Der Wettlauf zwischen Hackern und Datenschützern scheint bereits entschieden zu sein, zu schnell ändern sich die Bedrohungen. Dieser Spirale müssen Sie sich entziehen, um aktive Datensicherheit zu schaffen.


Download:


Immer versuchen, das Ganze zu sehen

Es ist leichter gesagt als getan, aber Sie sollten bei der Datensicherheit immer die kompletten Prozesse in den Blick nehmen, also die Speicherung der Daten bei den verschiedenen Beteiligten wie Mitarbeiter, Partner und Kunden und den Transfer zwischen den Parteien. Sie sollten die verschiedenen Übertragungs- und Transportwege genauso bedenken wie die verschiedenen Speichermöglichkeiten.

Auch wenn zum Beispiel das riesige Internet als eines der größten Risiken im Datenschutz gesehen werden kann, kann doch ein kleiner USB-Stick, der in der Datensicherheit vergessen wurde, unter Umständen viel mehr Schaden anrichten, wenn er verloren geht und in falsche Hände gerät.

Beginnen Sie mit den Kernprozessen

Um kein Sicherheitsrisiko zu vergessen, sollten Sie bei Ihrem Konzept für Datensicherheit die einzelnen Prozesse durchgehen, bei denen personenbezogene Daten erhoben, verarbeitet oder genutzt werden. Dabei sollten Sie sich jeweils fragen,

  • wer wo welche Daten zu welchem Zweck speichert und wie diese dort gegen unerlaubte Zugriffe geschützt sind und
  • wer wem auf welchem Weg und zu welchem Zweck Daten überträgt und wie diese bei der Übertragung geschützt sind.

Berücksichtigen Sie die Infrastruktur

Diese eher abstrakten Überlegungen sollten Sie dann mit der technischen Infrastruktur abgleichen. Denn es reicht nicht festzustellen, dass zum Beispiel Kundendaten von den Sachbearbeitern im Vertrieb zur Auftragsabwicklung auf einem Server gespeichert werden, wo diese über ein Berechtigungssystem gegen unerlaubte Zugriffe geschützt sind.

Um die tatsächliche Datensicherheit beurteilen zu können, gilt es, sich den Server, das Serverbetriebssystem und die Vertriebssoftware genauer anzusehen.

Auch der prozessorientierte Ansatz in der Datensicherheit kommt ohne Detailkenntnisse, wie Sie sie zum Beispiel in dem Werk IT-Know-how für den Datenschutzbeauftragten finden, nicht aus. Aber anstatt nur eine bestimmte Schwachstelle in einer CRM-Software zu untersuchen, die gerade in den Medien gemeldet wurde, behalten Sie den Blick über den ganzen Ablauf, ohne den eine durchgehende Sicherheit der personenbezogenen Daten nicht zu realisieren ist.

Mehr Durchblick auch bei der Infrastruktur

Nun ist die IT-Infrastruktur selbst bei kleinen Betrieben nicht immer einfach, bei einem Unternehmen aus dem Mittelstand kann sie auf den ersten Blick undurchschaubar werden.

Lassen Sie sich auch hier nicht verwirren und unterteilen Sie die Infrastruktur in:

  • Netze (darunter auch das Internet)
  • Server
  • Endgeräte (darunter auch mobile)
  • Identitäten (darunter auch externe Benutzer)
  • Daten mit ihren Speichersystemen (auch hier die mobilen nicht vergessen)

Ordnung in der Datensicherheit

Sie sehen, mit einem klaren Ansatz für Prozesse und Infrastrukturen bekommen Sie langsam Ordnung in die Datensicherheit, und ohne diese Ordnung bleibt Ihr Datensicherheitskonzept immer nur ein Flickenteppich.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln