Daten zählen in der heutigen digitalen Welt zu den wichtigsten Vermögenwerten nahezu jedes Unternehmens. Und so nimmt auch der Schutz dieser Daten eine immer wichtigere Rolle ein – oder sollte es zumindest. Das Ziel: Alle Daten eines Unternehmens sollen geschützt sein vor Bedrohungen jeglicher Art. Dieser Wunschzustand hat einen Namen: Datensicherheit. Sehen wir uns eine ganz allgemein gehaltene Definition dieses Begriffs an:
Datensicherheit bezeichnet den Schutz sämtlicher Daten jeglicher Art eines Unternehmens vor Bedrohungen jeglicher Art.
In diesem Beitrag werden wir Ihnen natürlich noch genauer erklären, was damit gemeint ist, warum Datensicherheit so wichtig ist und welche Maßnahmen Sie dafür umsetzen müssen.
Die Datensicherheit beschäftigt sich mit dem Schutz von Daten jeglicher Art vor Manipulation, Diebstahl, unberechtigtem Zugriff oder anderweitigen Bedrohungen. Dies umschließt also nicht nur personenbezogene Daten, sondern auch Daten ohne Personenbezug, wie zum Beispiel Baupläne (im Gegensatz zum Datenschutz, hierzu mehr unter „Datensicherheit vs. Datenschutz“). Inbegriffen sind sowohl analoge als auch digitale Daten.
Der Begriff „Datensicherheit“ bezeichnet den angestrebten Ziel-Zustand, dass alle Daten im Unternehmen ausreichend abgesichert sind. Um den Zustand der Datensicherheit zu erreichen und aufrechtzuerhalten, müssen Unternehmen diverse Maßnahmen ergreifen. Diese können analog oder digital stattfinden sowie organisatorischer oder technischer Natur sein. Die Datensicherung beispielsweise gehört zu den wichtigsten Maßnahmen zum Schutz der Unternehmensdaten. Aber dazu später mehr unter „Maßnahmen für Datensicherheit“.
Das oberste Ziel von Datensicherheit ist es also, Daten jeglicher Art umfassend vor Bedrohungen zu schützen – von Verlust über Verfälschung bis hin zur Löschung dieser Daten. Damit werden die drei grundlegenden Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit verfolgt.
„Daten werden immer kostbarer.“
Diese Aussage betrifft nicht nur, aber vor allem auch personenbezogene Daten. Der Schutz von Daten in einem Unternehmen ist von enormer Wichtigkeit – das zeigen auch die diversen inzwischen existierenden gesetzlichen Regelungen zu diesem Thema. Es gibt zahlreiche gesetzliche Vorgaben zu Datensicherheit und Datenschutz, die direkt oder indirekt das Management von IT-Systemen in Unternehmen prägen. Wir möchten Ihnen hier einen kurzen Überblick über diese gesetzlichen Grundlagen geben:
Die Datenschutz-Grundverordnung der Europäischen Union (EU-DSGVO) vereinheitlicht die Regeln zur Verarbeitung personenbezogener Daten EU-weit. Sie legt fest, welche Rechte, Pflichten und Maßnahmen zum Schutz personenbezogener Daten gelten. Das deutsche Bundesdatenschutzgesetz (BDSG) ergänzt und konkretisiert die den nationalen Regelungen der EU-Staaten überlassenen Vorgaben der EU-DSGVO.
Ziel des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) ist die Verbesserung der Unternehmensführung (Corporate Governance) in deutschen Unternehmen. Mit diesem umfangreichen Artikelgesetz wurden diverse Vorschriften aus dem Handels- und Gesellschaftsrecht verändert. Überwiegend präzisiert das KonTraG Vorschriften aus dem Handelsgesetzbuch (HGB) und dem Aktiengesetz (AktG).
Der Kernpunkt des KonTraG schreibt vor, dass die Unternehmensleitung ein unternehmensweites Früherkennungssystem für Risiken einführen und betreiben muss. Somit zwingt das Gesetz die Geschäftsführungen deutscher Unternehmen dazu, sich stärker mit dem Thema IT-Risikomanagement auseinanderzusetzen. Die Verantwortung für die IT-Sicherheit des Unternehmens liegt damit klar bei der Unternehmensleitung – und diese ist es auch, die im Ernstfall die Konsequenzen zu tragen hat.
Auch im Handelsgesetzbuch finden Sie Vorgaben, die sich den drei Schutzzielen Vertraulichkeit, Integrität und Verfügbarkeit zuordnen lassen. Grundsätzlich geht es bei all diesen Regelungen darum, dass Risiken erkannt und durch Maßnahmen verhindert oder reduziert werden müssen, so zum Beispiel bei der Geheimhaltungspflicht.
Das zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) trat am 27. Mai 2021 in Kraft. Dieses Artikelgesetz befasst sich mit der Sicherheit der IT-Systeme bei sogenannten KRITIS (kritische Infrastrukturen, beispielsweise Strom- und Wasserversorgung, Finanzen, Telekommunikation oder Gesundheit). Ziel des Gesetzes ist die Verbesserung der IT-Sicherheit durch die Einführung geeigneter Maßnahmen bei Betreibern kritischer Infrastrukturen. Die Gewährleistung eines gewissen Niveaus an IT-Sicherheitmuss geschaffen und durch Sicherheitsaudits erbracht werden. Das IT-Sicherheitsgesetz 2.0 verpflichtet Unternehmen so auch zur Einführung von Systemen zur Angriffserkennung und -bewältigung ab Mai 2023.
Auch im Telemediengesetz, das für alle elektronischen Informations- und Kommunikationsdienste (sogenannte Telemedien) in Deutschland gilt, sind Regelungen bezüglich Datensicherheit und Datenschutz festgehalten. So enthält das TMG u.a. Vorschriften zum Datenschutz beim Betrieb von Telemediendiensten und Regelungen zur Herausgabe von Daten. Das Gesetz weist den Anbietern die Verantwortung für die Informationen zu, die sie über ihre Nutzer erhalten. Es legt weiterhin fest, welche Informationen die Nutzer über diese Informationsverarbeitung erhalten müssen.
Das Telekommunikationsgesetz reguliert den Wettbewerb im Bereich Telekommunikation und betrifft entsprechend Unternehmen, die Telekommunikationsdienstleistungen erbringen. Es beinhaltet dabei auch Regelungen im Bereich Datensicherheit, so u.a. die Vorschriften zum Fernmeldegeheimnis und zum Datenschutz.
Sie sehen: Inzwischen legen zahlreiche Gesetze diverse Vorschriften in Bezug auf IT- und Datensicherheit fest. Beim Thema Datensicherheit und Datenschutz spielt die DSGVO sicherlich die größte Rolle. Sie hat viele Unternehmen vor große Herausforderungen gestellt und tut es noch heute. Viele Geschäftsführer haben immer noch ein großes Fragezeichen im Kopf: Wie können Sie die Anforderungen der Gesetze erfüllen? Welche Maßnahmen müssen Sie in Ihrem Unternehmen ergreifen? Doch so komplex der Datenschutz auch sein mag – er ist in Zeiten zunehmender Digitalisierung unverzichtbar, für Privatpersonen, vor allem aber für Unternehmen.
Die Begriffe Datensicherheit und Datenschutz werden häufig synonym verwendet, doch das ist falsch. Zwar gehen Datensicherheit und Datenschutz miteinander Hand in Hand und bedingen sich gegenseitig, lassen sich aber dennoch mithilfe der folgenden Faktoren voneinander unterscheiden:
Bei allen Unterschieden haben beide das gleiche übergeordnete Ziel, nämlich den Schutz von Daten. Ohne Datenschutz keine Datensicherheit und andersrum: Der angestrebte Zustand der Datensicherheit kann nicht erreicht werden, wenn keine Datenschutzmaßnahmen umgesetzt werden, da der Schutz personenbezogener Daten dann nicht gewährleistet wäre. Andersrum gilt: Angemessene technische und organisatorische Maßnahmen zur Datensicherheit sind maßgeblich entscheidend für die Einhaltung des Datenschutzes nach den geltenden Verordnungen.
Hier geht’s zum umfassenden Ratgeber „Was ist Datenschutz?“ >>
Daten haben mit der Digitalisierung zunehmend an Wert gewonnen – Tendenz weiterhin steigend. Ein Datenverlust kann für ein Unternehmen demnach gravierende Folgen haben. Je sensibler die Daten, desto schwerwiegender werden die Konsequenzen für die Unternehmensleitung sein, bis hin zur Existenzbedrohung und dem totalen Imageverlust.
Die Bedrohungen für die Datensicherheit im Unternehmen sind ebenso vielfältig wie die möglichen Folgen: Von kleinen Unaufmerksamkeiten im Arbeitsalltag, zum Beispiel bei der ungeschützten Nutzung von USB-Sticks, über technische Lücken in der Firewall bis hin zur groß angelegten Phishing Attacke wissen Cyberkriminelle mittlerweile jede Sicherheitslücke bewusst auszunutzen für ihre professionellen Angriffe auf Unternehmen.
Zur Datensicherheit gehört wie bereits erwähnt auch der Datenschutz. Die zugrundeliegenden rechtlichen Vorgaben, u.a. aus der DSGVO, verpflichten Unternehmen zum Schutz der personenbezogenen Daten. Ist dieser Schutz nicht durch die ergriffenen Maßnahmen im Unternehmen gewährleistet, können Strafen und hohe Geldbußen drohen – hier werden die Konsequenzen bei Datenverlust also sehr konkret.
Welche dramatischen Folgen fehlende Datensicherheit haben kann, zeigt der Fall Yahoo: Der Internetkonzern musste 2017 eingestehen, dass sämtliche Userkonten – rund 3 Milliarden an der Zahl – von einem Cyberangriff im Jahr 2013 betroffen waren. Dabei wurden persönliche Daten wie Namen, E-Mail-Adressen, Telefonnummern und Geburtstagen gestohlen. Ein Desaster! Damit Ihrem Unternehmen das nicht passiert, sollten Sie angemessene Maßnahmen zum Schutz der Unternehmensdaten treffen. Wie diese aussehen können, zeigen wir Ihnen jetzt.
Wir wollen ehrlich zu Ihnen sein: Kein noch so exzellentes Maßnahmenpaket kann Sie zu 100 Prozent vor den Gefahren durch Cyberattacken schützen. Die Cyberkriminalität und die Methoden der Angreifer entwickeln sich so rasant weiter, dass es schlichtweg nicht möglich ist, zu jeder Zeit gegen alle denkbaren Angriffsmethoden abgesichert zu sein. Dennoch können Sie die Risiken und Gefahren durch geeignete Maßnahmen deutlich minimieren und damit den Zustand einer möglichst hohen Datensicherheit in Ihrem Unternehmen erreichen.
Die Maßnahmen zur Datensicherheit lassen sich in technische und organisatorische Maßnahmen teilen. Einige dieser Maßnahmen werden Ihnen sicher schon bekannt vorkommen, da sie der grundlegenden IT-Sicherheit im Unternehmen dienen und in den meisten Fällen bereits eingesetzt werden. Andere sind vielleicht neu für Sie – gerade diesen Maßnahmen sollten Sie besondere Aufmerksamkeit widmen, da Sie diese scheinbar noch nicht umgesetzt haben, sie aber für die Datensicherheit in Ihrem Unternehmen relevant sind.
Idealerweise betrauen Sie einen Spezialisten mit der Einführung und Umsetzung dieser Maßnahmen. Das kann eine intern besetzte Stelle sein, wenn Sie die richtigen Fachkräfte im Unternehmen haben, oder aber auch ein externer Dienstleister. So oder so sollten Sie die Wichtigkeit dieser Verantwortlichkeit für das Thema Datensicherheit keinesfalls unterschätzen. Datensicherheit ist kein Thema, das „nur so nebenbei“ läuft – dafür sind die Konsequenzen im Falle eines Datenverlusts zu schwerwiegend.
Wir haben Ihnen in unserem Ratgeber nun hoffentlich ausreichend aufgezeigt, warum die Datensicherheit zu Recht ein Zustand ist, den jedes Unternehmen anstreben sollte. Der Aufbau höchstmöglicher Sicherheit sämtlicher Unternehmensdaten sollte nicht nur zu Ihren Zielen, sondern auch zur täglichen Routine gehören.
Um die Datensicherheit zu erhöhen, muss das gesamte Unternehmen für das Thema sensibilisiert sein: Auch wenn die Geschäftsführung per Gesetz verantwortlich für den Schutz der Daten ist, spielt jede*r Mitarbeitende eine Rolle bei den Sicherheitsmaßnahmen – schließlich muss letztendlich jede einzelne Person vor dem Bildschirm aufmerksam bleiben, um kein Einfallstor für Cyberkriminelle zu bieten.
Datensicherheit zieht sich durch sämtliche Bereiche eines Unternehmens und ist, auch vor dem Hintergrund der hier aufgeführten gesetzlichen Anforderungen, Pflicht für jedes Unternehmen. Minimieren Sie das Bedrohungsrisiko für Ihr Unternehmen und verhindern Sie schwerwiegende Folgeschäden durch Cyberangriffe.
IT-Sicherheit ist ein komplexes Thema, bei dem es viele Aspekte zu beachten gilt – für viele Unternehmen, die nicht über das nötige interne Knowhow verfügen, häufig zu komplex. Sich deshalb aber nicht mit der Thematik auseinanderzusetzen, ist ein fataler Fehler: Cyberkriminelle nutzen mit professionellen Angriffsmethoden jedes Einfallstor, das sich ihnen bietet. Oder sollten wir in dem Fall eher sagen: das Einfallstor, das Sie den Angreifern bieten?
Sie haben keinen Überblick, ob Ihre IT-Infrastruktur ausreichend geschützt ist? Sie wissen nicht, wo Sie bei der Datensicherheit ansetzen sollen? Mit unserem kostenlosen IT-Sicherheitscheck können Sie sich einen ersten Überblick über den Zustand Ihrer IT verschaffen. Die 25 Fragen aus dem Quick-Check decken alle relevanten Bereiche Ihrer IT ab. Den Termin können wir unkompliziert online durchführen – der Aufwand für Sie bleibt gering. Gemeinsam besprechen wir mit Ihnen die Ergebnisse des kurzen Checks, um Sicherheitslücken in Ihrer IT-Infrastruktur aufzudecken, und zeigen Ihnen mögliche Optimierungspotenziale auf.
Beratungstermin vereinbaren Informationen gehören zu den wertvollsten Vermögenswerten von Unternehmen. Der Schutz dieser Informationen sollte daher zu den höchsten Zielen
Beratungstermin vereinbaren Operational Technology (kurz: OT) steuert Roboter in der Produktionshalle, Geräte im Krankenhaus und die Energieversorgung Ihrer Stadt –
Beratungstermin vereinbaren Daten zählen in der heutigen digitalen Welt zu den wichtigsten Vermögenwerten nahezu jedes Unternehmens. Und so nimmt auch
Beratungstermin vereinbaren Um das Thema Datenschutz kommt spätestens seit der DSGVO keiner mehr herum. Unternehmen müssen sich mit den Anforderungen
