Informationssicherheit wird unter zunehmenden Cyber-Attacken ein immer größerer Stellenwert zuteil. Doch dieses Thema rückt bei vielen Unternehmen nur langsam in den Fokus. Wir haben für Sie Tipps zusammengestellt, wie Sie die Sicherheit in Ihrem Unternehmen effektiv und nachhaltig verbessern können.
Mitarbeiterschulungen
Das mit Abstand größte Risiko für Datensicherheit in Unternehmen stellen mangelnde Mitarbeiterkenntnis dar. Trotzdem geben lediglich knapp ein Drittel der Unternehmen an, ihre Mitarbeiter mindestens einmal pro Jahr zu schulen.
Durch regelmäßige Mitarbeiterschulungen kann jedoch das Risiko eines Datenverlustes leicht minimiert werden. Ihre Mitarbeiter lernen effektiv, wie sie Gefahren von außen erkennen und abwehren können und wie sie tagtäglich zu mehr Informationssicherheit beitragen.
Zuteilen von Verantwortlichkeiten
Bestimmen Sie einen IT-Verantwortlichen sowie dessen Stellvertretung. Delegieren Sie der verantwortlichen Person alle Sicherheitsaufgaben und lassen Sie sich regelmäßig über die Informationssicherheit in Ihrem Unternehmen unterrichten.
Rat von Datenschutzexperten
Wenn in einem Unternehmen mehr als neun Mitarbeiter regelmäßig personenbezogene Daten verarbeiten, ist laut Gesetz (§ 4f BDSG) ein Datenschutzbeauftragter zu bestellen. Zwar verfügen fast alle großen Unternehmen bereits über einen internen Datenschutzbeauftragten gemäß DSGVO und BDSG, drei Viertel der kleineren- und mittelständischen Unternehmen jedoch nicht. Unternehmen sollten daher ihre Richtlinien auf Einhaltung gesetzlicher Vorschriften prüfen und den Rat professioneller Datenschutzbeauftragter für die korrekte Umsetzung von Datenschutzrichtlinien suchen. Auch wenn die laut Gesetz keinen Datenschutzbeauftragten benötigen, ist es ratsam sich mal von einem externen Datenschutz Profi beraten zu lassen.
Clean-Desk-Policy
Datenschutzrichtlinien lassen sich sehr konkret umsetzen. Beispielsweise durch eine Clean-Desk-Policy: der Benutzerrichtlinie für den Arbeitsplatz. Sie erwartet von den Mitarbeitern, dass am Ende des Arbeitstages der physikalische wie auch der virtuelle Schreibtisch aufgeräumt sind. Allerdings ist es im Endeffekt viel mehr als nur ein aufgeräumter, sauberer Arbeitsplatz. Dahinter verbirgt sich ein Prinzip, das zur Organisation und somit Produktivitätssteigerung, als auch zum Datenschutz für Kunden beiträgt. Denn sorglos umherliegende Dokumente laden praktisch dazu ein, auch von Unbefugten gelesen zu werden. Damit die Beschäftigten genau wissen, wie sie sich zu verhalten haben, sollten Unternehmen hier klare Richtlinien erarbeiten.
Rechtliche Beratung
Rechtlich einzuhaltende Rahmenbedingungen sind komplex und die DSGVO umfangreich. Rechtsexperten helfen Ihnen dabei, schützenswerte Daten zu identifizieren und Unternehmen zu beraten, wie diese rechtlich konform geschützt werden können.
Angemessene Passwörter und Benutzernamen
Diese Forderung nach dem Einrichten von Passwörtern und Benutzernamen für den Rechnerzugang ergibt sich schon allein aus der Datenschutzgrundverordnung und den geigneten technischen und organisatorischen Maßnahmen.. Doch wie sieht ein gutes Passwort aus? Starke Passwörter bestehen niemals aus einfach zu merkenden Worten oder Wort-Zahlen-Kombinationen, sondern aus einer auf den ersten Blick unlogischen Reihenfolge von Groß- und Kleinbuchstaben, Zahlen sowie Sonderzeichen. Außerdem gilt: Je länger ein Passwort, desto sicherer ist es. Ein Passwort sollte wie Unterwäsche behandelt werden: öfter wechseln, nicht teilen, nicht liegen lassen, raffiniert sein und man sollte auf die Länge achten. Und selbstverständlich sollte sein: Niemals das Passwort ohne spezielles Tool auf dem PC speichern!
Daten sichern
Informationssicherheit ist nicht nur der Schutz vor Angriffen, sondern auch das Sicherstellen der Betriebsfähigkeit des Unternehmens. Datenverluste können zum Beispiel auch durch Hardwareschäden auftreten oder durch Unachtsamkeit. Sorgen Sie daher für kontinuierliche Datensicherungen, deren Funktionsfähigkeit ebenso regelmäßig überprüft werden muss, zum Beispiel durch Restore-Versuche. Gerade zurzeit, wo viele Verschlüsselungsviren, wie z.B. Emotet, viele Unternehmen und Behörden lahm legt, kann eine gut geplante Sicherung das Überleben ihres Unternehmens bedeuten.
Delegieren
Geschäftsinhaber lassen sich oft ungern die Zügel aus der Hand nehmen und möchten vieles selbst machen. Dies ist verständlich, doch kann es die Produktivität sehr beeinträchtigen, wenn es um IT und Informationssicherheit geht. Das soll nicht heißen, dass ein CEO oder der Geschäftsinhaber nicht eine gute Sicherheitspolitik einführen kann. Oft brauchen Sie für die Einführung aber sehr viel mehr Zeit, als wenn es ein Fachmann tun würde.
Dasselbe gilt für die laufende Sicherheitswartung – ohne dabei zu berücksichtigen, wie oft die Industrie sich ändert. Sich ständig mit den Änderungen bezüglich der Sicherheitsstandards auf dem Laufenden zu halten, kann ein Vollzeit-Job sein. Es kann daher für die Produktivität sehr gut sein, einen Experten einzustellen oder zu beauftragen, der sich um Ihre Sicherheitsprotokolle und -praktiken Ihres Unternehmens kümmert.
Daten klassifizieren
Legen Sie eine Klassifizierungsregelung fest, die den Umgang mit Informationen in ihrem Unternehmen für jeden Mitarbeiter, egal ob intern oder extern, aber auch für jeden ihrer Partner festlegt.
Deklarieren Sie alle Firmen-Informationen als «intern». Besonders schützenswerte Informationen sind «vertraulich» und öffentlich zugängliche Informationen sind «öffentlich». Darauf aufbauend sollen die Zugriffsrechte so weit eingeschränkt werden, wie sie für die Wahrnehmung der Aufgaben erforderlich sind («need to now»-Prinzip).