n:etworking - nitsche Computersysteme GmbH

Empfehlungen

Info

06 it-SiCHerHeit & DatenSCHUtZ fÜr UnterneHmer Wenn es um das Thema IT-Sicherheit und Datenschutz geht, nimmt der Gesetzgeber den Unternehmer zwar in die Pfl icht – konkrete Maßnahmen werden jedoch nicht vorgeschrieben. n:<strong>etworking</strong> gibt Ihnen Tipps, wie Sie eine rechtskonforme IT-Nutzung in Ihrem Unternehmen umsetzen können. Bei einem ahnungslosen Hamburger gingen mehr als hundert E-Mails ein, die sensible Daten über Adressen, Kontoverbindungen und Vertragsdetails von Alice-Kunden enthielten. Und das nur, weil er die E-Mail-Adresse „alice@alice.de“ für seine Tochter eingerichtet hatte. Im Zuge einer Steuerprüfung bei den Münchener Stadtwerken wurden versehentlich die Gehaltsdaten der Aufsichtsräte an 300 Mitarbeiter gemailt. Ein Steuerprüfer hatte eine Mail zu früh versendet, im Adressfeld der Mail stand nur der Buchstabe „k“, hinter dem sich der innerbetriebliche Verteiler der Stadtwerke für den kaufmännischen Bereich verbirgt. Zweimal dumm gelaufen – und nur zwei weitere Beispiele für böse Datenschutz- Pannen in den letzten Jahren, von denen es viele auch in die großen Schlagzeilen geschafft haben. Wer erinnert sich nicht an die Fälle bei der Telekom, der Deutschen Bahn, SchülerVZ, Lidl oder AWD? Handelt es sich nur um spektakuläre Einzelfälle, die von der Presse ausgeschlachtet wurden? Könnte Ihnen in Ihrem Unternehmen etwas Vergleichbares nicht passieren? Wie sicher ist Ihr Unternehmen? Der Schutz Ihrer Daten und die IT-Sicherheit sind vor allem in Ihrem eigenen Interesse. Es geht um Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität und die Zurechenbarkeit der verwendeten Daten. Vielen Unternehmern ist gar nicht bewusst, dass in ihrem Unternehmen große Sicherheitslücken klaffen, für die sie selbst im Falle des Falles haftbar gemacht werden können. Muss erst etwas passieren? Die folgenden Fragen und Szenarien geben Ihnen Anhaltspunkte, ob in Ihrer Firma Handlungsbedarf besteht: Was würde passieren, wenn einer Ihrer Mitarbeiter sein Notebook mit Kundendaten in der S-Bahn vergessen würde? Sind die darauf gespeicherten Informationen sicher? Hätte ein soeben gekündigter Mitarbeiter die Möglichkeit, noch schnell Kundendaten und Entwicklungspläne auf einen USB-Stick zu kopieren? Könnten Sie das verhindern? Durch die Installation eines Programmes, das ein Mitarbeiter aus dem Internet geladen hat, nistet sich ein Trojaner in Ihrem System ein, den der Virenscanner leider erst registriert, als es eigentlich schon zu spät ist. Wie sicher ist Ihr System? Vertrauliche Kundendaten tauchen auf einer CD bei den Medien auf. Über die archivierten E-Mails und die internen Web-Logs lässt sich nicht nachvollziehen, wie diese Daten nach außen gedrungen sind. Wie lässt sich das Leck fi nden? Die Problemstellung rund um den Schutz der Daten im Unternehmen ist nicht nur mit drohenden fi nanziellen Schäden, sondern auch mit Haftungsfragen verbunden. Wie steht die Gesetzgebung dazu? Keine speziellen Gesetze Es gibt keine speziellen IT-Sicherheitsgesetze, die die Haftung der verantwortlichen Personen regeln. Allerdings lässt sich aus allgemeinen Gesetzen die Haftung der Unternehmensführung für die IT-Sicherheit ableiten: Grundsätzlich hat die Geschäftsführung dafür Sorge zu tragen, dass die Verfügbarkeit und Sicherheit der Daten gewährleistet ist und Bedrohungen und unerlaubte Zugriffe abgewehrt werden.
Allerdings gibt es durchaus Empfehlungen: Seit 16 Jahren bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit dem IT-Grundschutz eine einfache Methodik für Unternehmen und Behörden, um Informationssicherheit in der Praxis zu strukturieren und umzusetzen. Außerdem spezifi ziert die internationale Norm ISO27001 (Information technology – Security techniques – Information security management systems – Requirements) die Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems. Die Geschäftsführung bzw. Firmenleitung muss sich natürlich nicht persönlich um die Umsetzung der erforderlichen Maßnahmen kümmern, sondern den Rahmen dafür schaffen und entsprechende qualifi zierte Mitarbeiter einsetzen. Der IT-Leiter haftet (mit) So sollte zusätzlich zum gesetzlich vorgeschriebenen Datenschutzbeauftragten ein IT- Sicherheitsbeauftragter benannt werden, der die entsprechenden Maßnahmen überwacht. Dieser steht im Übrigen ggf. auch in der Haftung gegenüber der Unternehmensleitung. Die folgende Checkliste gibt Ihnen in Stichpunkten einen Überblick über die wichtigsten Fragestellungen und Maßnahmen: I. Management der IT-Sicherheit Besteht in Ihrer Firma ein übergreifendes, von der Unternehmensleitung beaufsichtigtes und regelmäßig aktualisiertes IT-Sicherheits-Regelwerk? Erkennen die IT-Spezialisten Sicherheitslücken oder -Probleme in Ihrem Unternehmen, und wird die Geschäftsleitung über die nötigen Gegenmaßnahmen informiert? Hat die Unternehmensleitung stets einen Überblick darüber, welche Informationen oder Geschäftsdaten sensibel sind, in welchen IT-Systemen diese Daten liegen und ob sie dort sicher sind? Werden die Unternehmensmitarbeiter regelmäßig über IT-Sicherheitsthemen informiert und für gefährliche Bedrohungen aus dem Internet – wie z.B. Phishing-Mails – sensibilisiert? Sind private E-Mails verboten, damit die Postfächer der Mitarbeiter keine Tabuzone für den Arbeitgeber werden? Wird die Einhaltung des Verbots überwacht? Gibt es einen IT-Sicherheitsbeauftragten als Ansprechpartner für Sicherheitsfragen, der direkt an die Unternehmensleitung berichtet, für alle Mitarbeiter erreichbar ist und der die Koordination von eventuellen Anfragen von Polizei und Staatsanwaltschaft nach einem Hackerangriff koordinieren kann? II. Betriebsorganisation Gibt es Anweisungen für die E-Mail- und Internet-Nutzung oder für den Umgang mit Passwörtern und anderen sensiblen Daten? Werden E-Mails (wie alle Geschäftsbriefe und Faxe) für Finanz- und Ermittlungsbehörden für zehn Jahre archiviert? Wird dies konsequent umgesetzt? Bestehen auch für Ihre externen Dienstleister – z.B. wie Internet- oder Servicebetreiber und Outsourcing-Anbieter – verbindliche Sicherheitsrichtlinien? Kennen die Mitarbeiter die Inhalte der Sicherheitsrichtlinien, und könnten Sie das zur Not vor Gericht beweisen? Haben Sie aktuelle, getestete Notfallpläne – etwa beim Verlust geschäftskritischer Daten, Virenbefall oder Hackerangriffen – und wissen alle, wie sie sich im Notfall verhalten müssen? III. Technische Maßnahmen Werden vor allem die Geschäftsdaten, die für die Existenz der Firma entscheidend sind, regelmäßig gesichert? Wir die ordnungsgemäße Sicherung auch überprüft? Gibt es eine Rücksicherung, falls trotzdem Daten verloren gehen sollten? Ist Ihr Firmennetzwerk durch Firewalls vor einem unberechtigten Zugriff von außen geschützt? Und ist sichergestellt, dass mobilen Geräte der Mitarbeiter (z.B. Notebooks, Blackberrys, iPhones, etc.) diesen Schutz nicht unterlaufen? Sind auf allen wichtigen Schnittstellen des Netzwerks, vor allem zum Internet, Viren- Scanner installiert? Werden diese auch regelmäßig aktualisiert? Du kommst hier nicht rein Wirkungsvoller Schutz vor unberechtigtem Zugriff ist Grundvoraussetzung 07
Seite 1 und 2: Das Kundenmagazin der Gruppe iP-tel
Seite 3 und 4: eDitoriaL Liebe Leserin, lieber Les
Seite 5 und 6: Gute Gründe für einen Umstieg Der
Seite 7: GeLÖSt! Die klassische Telefonanla
Seite 11 und 12: nitSCHe intern Ständig im Einsatz
Seite 13 und 14: Mandantenkonto in Phantasy mit Buch
Seite 15 und 16: iCH H’aPPS! Das iPhone von Apple

n:etworking - nitsche Computersysteme GmbH

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?