Bedrohungen abwehren

Daten sichern in vier Schritten

Der digitale Wandel schafft neue Möglichkeiten – und neue Bedrohungen. Mit effektiven Informationssicherheitsprogrammen kommen Unternehmen Bedrohungen zuvor.

Unternehmen müssen ihre Daten gegen immer raffiniertere Angriffe und vor zunehmendem Missbrauch schützen: Versagen die Schutzmechanismen, hat das oft schwerwiegende finanzielle Konsequenzen für das Unternehmen und führt zu Imageschäden. Wirksame Informationssicherheitsprogramme sind für Unternehmen deshalb existenziell wichtig.

In vier Schritten stellen Sie Ihre Informationssicherheit professionell auf:

1. Das Programm auf die eigenen Bedürfnisse abstimmen

Zum einen müssen Unternehmen die juristischen, regulatorischen und branchenspezifischen Compliance-Vorgaben einhalten, um bestimmte Daten wie etwa Kreditkartennummern zu sichern. Zum anderen werden diejenigen Daten geschützt, die dem Unternehmen einen Wettbewerbsvorteil bringen. Dazu gehören zum Beispiel Forschungsergebnisse oder neue Produktentwicklungen.

Es gibt keine "one-size-fits-all"-Lösung bei der Informationssicherheit. Unternehmen müssen die jeweiligen Maßnahmen immer auf ihre individuelle Situation abstimmen.
Es gibt keine "one-size-fits-all"-Lösung bei der Informationssicherheit. Unternehmen müssen die jeweiligen Maßnahmen immer auf ihre individuelle Situation abstimmen.
Foto: Maksim Kabakou - shutterstock.com

Zudem müssen die Unternehmen festlegen, welche Daten besonders schützenswert sind. Zum Beispiel sind die Daten zu einem Produkt, das seit Jahren erfolgreich am Markt ist, nicht so sensibel wie die eines Produkts in einem frühen Entwicklungsstadium. Werden zu viele Daten als sensibel deklariert, mindert das jedoch die Effektivität des gesamten Informationssicherheitsprogramms. Ein Blick von außen kann hier hilfreich sein: Das Unternehmen sollte sich Fragen stellen wie

  • Welche Daten würden uns am meisten schaden, wenn sie in falsche Hände gelangen?

  • Welche Informationen sichern unseren Vorteil im Markt?

  • Welche Daten würde jemand stehlen wollen?

Solche Fragen helfen dabei, herauszufinden und zu definieren, was für das Unternehmen wirklich am wichtigsten ist.

Abb. 1: Alle Daten durchlaufen den Datenschutz-Lebenszyklus eines Unternehmens. Hier muss an den verschiedenen Stellen immer wieder nachjustiert werden, damit die kritischen Daten geschützt sind.
Abb. 1: Alle Daten durchlaufen den Datenschutz-Lebenszyklus eines Unternehmens. Hier muss an den verschiedenen Stellen immer wieder nachjustiert werden, damit die kritischen Daten geschützt sind.
Foto: Ernst & Young

2. Eine effektive Struktur implementieren

Ein klarer, durchdachter Aufbau des Informationssicherheitsprogramms stellt sicher, dass alle wichtigen Stakeholder einbezogen werden. Entscheidend ist, dass das Programm nicht nur bei der IT-Abteilung verankert, sondern auch eng mit dem Business verknüpft ist.

Erfolgsfaktoren für eine tragfähige Struktur Ihrer Informationssicherheit sind:

  • ein zentralisiertes Governance-Modell,

  • ein globales Rahmenkonzept für das Programm (Prozesse, Richtlinien und Regeln),

  • ein zentralisierter Support für die verwendeten technischen Lösungen,

  • eine zentralisierte Ersteinschätzung und Reaktion auf Verstöße,

  • festgelegte Prozesse zur Eskalation von Verstößen und zum Workflow.

  • Die Klassifizierung von Daten liegt in der Verantwortung der Business Units.

  • Business Units werden einbezogen, um Informationssicherheitsanforderungen aufzuzeigen und um zu reagieren, wenn Vorkommnisse identifiziert werden.

Darüber hinaus müssen klare Richtlinien für die Klassifizierung der Daten festgelegt werden. Im Allgemeinen wird zwischen sensiblen Daten, die dem Unternehmen bei Veröffentlichung schaden würden, und nicht beschränkten Daten unterschieden. Zwischen diesen Extremen gibt es Abstufungen, die je nach Unternehmen festgelegt werden. Dazu bieten sich Systeme mit drei bis fünf unterschiedlichen Kategorien an, die die Behandlung der zugeordneten Daten definieren. Die Daten werden unter anderem durch Farbkodierung oder die Verwendung von Labels für alle Mitarbeiter deutlich gekennzeichnet. So weiß jeder, wie die Daten zu behandeln sind.