600 kleine und mittelständische Unternehmen beteiligten sich an der aktuellen anonymen Online-Umfrage von DsiN. Das Ergebnis ist wenig schmeichelhaft für die Verantwortlichen in den Unternehmen: lediglich ein Drittel der Befragten gibt an, über eine Compliance-Strategie zu verfügen. Vor dem Hintergrund drohender Bußgelder bei Nichteinhaltung von Datenschutz- und Datensicherheitsregeln — gerade im Umgang mit personenbezogenen Daten — schwer nachvollziehbar.
Erfreulich zumindest die Aussage, daß fast 70% immerhin mit der Umsetzung von Einzelmaßnahmen außerhalb eines Strategiekonzepts begonnen haben. Allerdings sind lediglich in 26,7% aller befragten Unternehmen die Mitarbeiter durch regelmäßige Schulungen zum Thema Datenschutz und Datensicherheit sensibilisiert.
Gefahren lauern im (Büro-) Alltag
Spreche ich mit Verantwortlichen in Unternehmen, so höre ich beim Thema Datensicherheit oft einander ähnelnde Aussagen wie “Wir haben alles technisch mögliche gegen Hackerangriffe unternommen”, “Unsere Backup- und Recovery-Strategie wird immer wieder geprüft” oder auch “Unsere IT ist in ein Rechenzentrum outgesourct und daher vollkommen sicher”. In der Summe sicher der richtige Ansatz, als häufig isoliert umgesetzte Einzelmaßnahmen im Sinne einer Compliance-Strategie unzureichend.
Dabei wird oftmals übersehen, daß die Gefahren für die Daten im Unternehmen nicht unbedingt von außen drohen, sondern im ganz normalen Büro-Alltag auftreten:
- USB-Sticks / Mobile Speichermedien: hier lauert gleich doppelte Gefahr. Einerseits durch den Verlust dieser oftmals nur noch daumennagelgroßen Geräte mit eigenen sensiblen und / oder personenbezogenen Daten. Andererseits das Risiko, unbemerkt und unbewußt Schadroutinen durch das ungeschützte Einstecken oder Einlegen in das interne Firmennetz einzuschleusen.
- Mobile Geräte / Laptops / Smartphones: Probleme treten hier bei Verlust schnell zutage durch fehlende Verschlüsselung, lokal gespeicherte Informationen oder unzureichend gesicherte VPN-Zugänge, meist zugunsten eines höheren Bedienkomforts (in einer Studie von 2008 steht Komfort für knapp ein Viertel der IT-Verantwortlichen vor Datensicherheit).
- Multifunktionsgeräte (MFG) / Kopierer: in einer immer mehr vernetzten Welt kommunizieren diese Geräte mittlerweile über das Internet und sind somit von außen angreifbar. Interne Zwischenspeicher können bei Reparatur oder Austausch durch externe Dienstleister ebenfalls Internas nach außen tragen.
- VoIP (Voice over IP): meist komfortabler und preisgünstiger als Telefonanlagen birgt die Technik jedoch auch Gefahren. Wie jede IP-Technologie ist sie von außen angreifbar und im Zweifel aufgrund unzureichender Schutzmaßnehmen abhörbar.
- Cloud Computing: der große Hype aus 2010 setzt sich in 2011 fort — alle wollen “in die Cloud”. Kostendruck und Überall-Verfügbarkeit hin oder her sollten nicht davon ablenken, daß hier Firmeninterna und personenbezogene Daten in “öffentliche” Bereiche außerhalb des Unternehmens ausgelagert und in die Verantwortung externer Anbieter übergeben werden.
- Mitarbeiter: mangelnder Kenntnisstand und fehlende Sensibilisierung Ihrer Mitarbeiter stellten mit die größten Bedrohungspotentiale für Ihre Unternehmensdaten dar. Gesellen sich noch Frust oder Vorsatz hinzu, dann ist Ihr Unternehmen fast chancenlos.
Wie begegnen Sie diesen Gefahren?
Eine schlüssige Compliance-Strategie bewertet diese beispielhaft genannten Gefahrenpunkte entsprechend und sieht dafür — neben IT-gestützten Mechanismen — bewährte Verfahrensweisen vor:
- Erstellen und Umsetzen geeigneter, unternehmensweiter Benutzerrichtlinien für den Umgang mit Technologien mit Gefährdungspotential
- Regelmäßige Schulungen und Sensibilisierungen der Mitarbeiter z.B. im Rahmen der obligatorischen Verpflichtung auf das Datengeheimnis
- Fortlaufende Information der Unternehmensführung und Mitarbeiter über neue Bedrohungsszenarien aufgrund technischer Weiterentwicklungen
Ihr Datenschutzbeauftragter ist gefordert
Diese fortwährende Tätigkeit in Abstimmung mit Unternehmensführung und IT-Leitung ist ein klassisches Tätigkeitsfeld für Ihren Datenschutzbeauftragten. Sie haben keinen Datenschutzbeauftragten? Dann sprechen Sie mich an. Eventuell sind Sie in Ihrem Unternehmen gesetzlich zur Bestellung verpflichtet. Vermeiden Sie unnötige Bußgelder.
- DsiN Sicherheitscheck online: Prüfen Sie, wie fit Ihr Unternehmen in punkto Datensicherheit ist