1. Datensicherung und Notfallwiederherstellung - tomtec
1. Datensicherung und Notfallwiederherstellung - tomtec
1. Datensicherung und Notfallwiederherstellung - tomtec
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
IT Sicherheitshandbuch für KMU<br />
wenn Straftaten von Mitarbeitern nicht durch technische, organisatorische oder personelle<br />
Maßnahmen verhindert wurden. Als Strafen sind Geldbußen vorgesehen, die je nach Ertragslage<br />
des Verbands <strong>und</strong> der Schwere des Vergehens bis zu 1,8 Millionen Euro betragen können. Aus<br />
dem VbVG ergeben sich auch verstärkte Anforderungen an die IT-Sicherheitsmaßnahmen eines<br />
Unternehmens: Wenn ein Mitarbeiter eine Straftat unter Verwendung der vom Unternehmen<br />
zur Verfügung gestellten IT-Systeme begeht <strong>und</strong> das Unternehmen die gebotene Sorgfalt zur<br />
Verhinderung dieser Tat außer Acht gelassen hat, kann das Unternehmen selbst verfolgt werden.<br />
Dazu kann es u.U. ausreichen, wenn ein Mitarbeiter seinen Internetzugang für den Bezug von<br />
Kinderpornographie verwendet <strong>und</strong> vom Unternehmen keinerlei Vorkehrungen gegen diese<br />
Verwendung getroffen wurden.<br />
Zur Abwehr einer strafrechtlichen Verfolgung muss das Unternehmen nachweisen, dass es seinen<br />
Sorgfaltspflichten nachgekommen ist. Das ist insbesondere durch die Einführung einer straffen,<br />
gut dokumentierten Unternehmensorganisation möglich. Für typische Unternehmensrisiken<br />
sollten eigene Verantwortliche eingesetzt <strong>und</strong> ein Risikomanagement eingeführt werden.<br />
Für IT-Risiken bedeutet das im Wesentlichen die Bestellung eines IT-Sicherheitsbeauftragten<br />
<strong>und</strong> die Erstellung von IT-Sicherheitsrichtlinien bzw. einer IT-Sicherheitspolitik.<br />
BESTIMMUNGEN ZU AUFBEWAHRUNGSFRISTEN (DSG, BAO)<br />
Bei der Archivierung von Daten müssen verschiedene gesetzliche Vorschriften zu Aufbewahrungsfristen<br />
beachtet werden. Z.B. schreibt das DSG vor, dass Protokolle, die die Nachverfolgung<br />
von Datenzugriffen ermöglichen, drei Jahre aufbewahrt werden müssen. Die B<strong>und</strong>esabgabenordnung<br />
verlangt, dass Bücher, Aufzeichnungen <strong>und</strong> Belege sieben Jahre aufbewahrt werden;<br />
dies gilt auch für deren Aufbewahrung in elektronischer Form (Buchhaltungsdaten,<br />
elektronische Rechnungen, gegebenenfalls auch E-Mails).<br />
Die Verantwortung für die sichere Aufbewahrung <strong>und</strong> Wiedergabe dieser Daten liegt dabei beim<br />
Unternehmen, d.h. eine derartige Langzeitarchivierung muss gut geplant werden: Über den<br />
Datenträgerbestand sollte ein Bestandsverzeichnis geführt werden; die archivierten Datenträger<br />
müssen regelmäßig geprüft werden; günstigerweise sollte eine Kopie vorliegen, falls das Original<br />
unlesbar wird. Vor allem aber muss bei der Planung der Langzeitarchivierung darauf geachtet<br />
werden, dass die Daten in einigen Jahren noch nutzbar sind. Bei einem Wechsel oder einer<br />
neuen Version der Buchhaltungssoftware muss geprüft werden, ob die alten Datenbestände<br />
verwendet werden können. Andernfalls müssen die Installationsmedien der alten Software<br />
aufbewahrt oder besser noch eine betriebsfähige Installation des alten Programms, eventuell<br />
auf einem älteren Rechner, beibehalten werden.<br />
52