IT-Security: Tipps für Unternehmen
Januar 6, 2020
IT-Security: Tipps für Unternehmen Es sind nicht mehr nur Trojaner und Viren, welche die IT-Sicherheit in Unternehmen bedrohen. Mittlerweile setzen Hacker auch auf menschliche Schwachstellen,
“Datenschutz” und “Datensicherheit”: zwei Begriffe, die häufig miteinander verwechselt werden. Trotz ihrer Unterschiede sind die beiden Aspekte eng miteinander verknüpft. Denn ohne ausreichend Datensicherheit kann Datenschutz in Unternehmen nicht gewährleistet werden.
Der Begriff “Datenschutz” bezieht sich vor allem auf den Schutz personenbezogener Daten. Wie Unternehmen und Behörden mit diesen umzugehen haben, ist in der Europäischen Datenschutz-Grundverordnung (DSGVO) sowie der Neufassung des Bundesdatenschutzgesetzes (BDSG-neu) geregelt.
Durch die gesetzlichen Vorgaben sollen Bürgerinnen und Bürger vor vor missbräuchlicher Datenverarbeitung geschützt werden sowie das Recht auf informationelle Selbstbestimmung und den Schutz der Privatsphäre erhalten.
Als “personenbezogen” gelten Daten immer dann, wenn sie eindeutig einer bestimmten natürlichen Person zugeordnet sind oder die Zuordnung mittelbar möglich ist. In diesem Zusammenhang spricht man auch von personenbeziehbaren Daten.
Beispiele für personenbezogene Daten sind Name, Geburtsdatum, Wohnort, Größe, Augenfarbe, KFZ-Kennzeichen und Rentenversicherungsnummer einer natürlichen Person. Besonders sensible personenbezogene Daten lassen Rückschlüsse auf die politische, religiöse und sexuelle Orientierung sowie den Gesundheitszustand einer Person zu.
Das Bundesrecht definiert personenbezogene Daten in § 46 Abs. 1 Bundesdatenschutzgesetz (BDSG) als „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“.
Als “Datensicherheit” bezeichnet man alle (technischen) Maßnahmen, die dem Schutz personenbezogener und anderweitiger Daten dienen. Ziele der Maßnahmen sind folgende:
Der Zugriff auf Daten soll nur von ausdrücklich dazu autorisierten Personen vorgenommen werden.
Die Integrität steht für die Unversehrtheit der Daten. Heißt: Datensicherheit muss dafür sorgen, dass Daten nicht manipuliert oder durch technische Defekte verloren gehen können.
Vorhandene Daten müssen so gespeichert werden, dass diese bei Bedarf verfügbar sind und somit jederzeit verwendet werden können.
In der Praxis kann Datensicherheit auf verschiedene Art und Weise umgesetzt werden. De facto handelt es sich um Kontrollmechanismen, die Daten vor missbräuchen Zugriffen, Manipulation und Löschung schützen. Als Anhaltspunkt dienen die technischen und organisatorischen Maßnahmen (TOM) gemäß § 9 BDSG (inkl. Anlagen).
Mit “Zutrittskontroll” sind alle Maßnahmen gemeint, die Unbefugte davon abhalten, räumlichen Zugriff zu Datenverarbeitungsanlagen zu erhalten. Umgesetzt wird die Zutrittskontrolle beispielsweise durch Videoüberwachung, Chipkartenleser und Alarmanlagen.
Die “Zugangskontrolle” umfasst alle Maßnahmen zur Umsetzung der Datensicherheit, die sich auf die Datenverarbeitungsanlagen selbst beziehen. Dazu zählen sichere Passwörter (und deren Verwaltung) ebenso wie eine gute Firewall für Unternehmen und zertifikatsbasierte Zugriffsberechtigungen.
Im Rahmen der “Weitergabekontrolle” soll verhindert werden, dass Daten während der Übertragung oder der Speicherung von Unbefugten ausgelesen, manipuliert oder gelöscht werden können. Neben einer Datenverschlüsselung und der Nutzung eines VPNs (VPN = Virtual Private Network) gehören auch weitreichende Protokollierungsmaßnahmen dazu.
Protokollierung und Benutzeridentifikation sind außerdem wichtig, um die Eingabekontrolle umzusetzen. Ziel ist es, jederzeit nachprüfen zu können, durch welche Person zu welcher Zeit Daten eingegeben, verändert oder gelöscht wurden.
Die Auftragskontrolle stellt sicher, dass die Verarbeitung personenbezogenen Daten durch Dritte ausschließlich gemäß den Vorgaben und Anweisungen des Auftraggeber erfolgt. Hierzu ist ein Datenschutzvertrag gemäß § 11 BDSG zu erstellen, der Weisungsbefugnisse festlegt, Kontrollrechte definiert und eine Stichprobenprüfung möglich macht.
Die Verfügbarkeitskontrolle umfasst alle Maßnahmen, die Daten vor der zufälligen Zerstörung schützen. Dementsprechend liegt der Fokus hier auf Brandschutzmaßnahmen, einem Überspannungsschutz, einer durchdachten Backup-Strategie und dem Diebstahlschutz. Auch Virenschutzkonzepte sind Bestandteil der Verfügbarkeitskontrolle.
Gemäß Trennungsgebot müssen Unternehmen sicherstellen, dass Daten, die für unterschiedliche Zwecke erhoben wurden, auch getrennt voneinander ausgewertet werden können. Hierzu empfehlen sich beispielsweise getrennte Datenbanken und Ordnerstrukturen sowie eine strikte Trennung von Produktiv- und Testsystemen.
Im Rahmen eines Penetrationstests wird insbesondere die Zugangskontrolle auf Herz und Nieren geprüft. IT-Sicherheitsexperten versuchen sich dabei mit gängigen Hacker-Methoden Zugriff auf Systeme und Endgeräte zu verschaffen. Anders als bei kriminellen Absichten werden die aufgedeckten Sicherheitslücken protokolliert und geeignete Maßnahmen erörtert, mit denen sich die Schwachstellen schließen lassen. Hierzu zählen nicht nur technische Schwachstellen, sondern auch die “Schwachstelle Mensch”.
IT-Security: Tipps für Unternehmen Es sind nicht mehr nur Trojaner und Viren, welche die IT-Sicherheit in Unternehmen bedrohen. Mittlerweile setzen Hacker auch auf menschliche Schwachstellen,
Bildnachweis: Adobe Stock (#230581609)
Wir testen Ihre IT-Landschaft und suchen in Ihrem Auftrag Schwächen und Sicherheitslücken. Wir informieren über alle gefundenen Probleme und unterbreiten Vorschläge zur Behebung.
Setzen Sie auf einen ganzheitlichen Sicherheitsansatz mit Pentest24. Wir sind Langjähriger Profi für IT und Modernes Arbeiten. Wir sind Ihre IT Security Experten für Penetrationstests und IT-Sicherheitsberatung.