Bedrohungen abwehren

Daten sichern in vier Schritten

3. Die wichtigsten Daten schützen

Mithilfe von IT-Anwendungen lassen sich sensible Daten schützen. Dabei gibt es verschiedene Ansatzpunkte, abhängig vom Typus der vorliegenden Daten (siehe Abb. 2):

  • Daten, die verschickt werden,

  • Daten, die gerade verarbeitet werden, und

  • Daten, die abgespeichert sind.

Diese Datentypen sollten in der allgemeinen Informationssicherheitsstrategie verankert sein.

Für die Bearbeitung sensibler Daten werden Berechtigungen nur an bestimmte Mitarbeiter erteilt. Andere Mitarbeiter dürfen nicht in der Lage sein, diese Daten zu ändern oder sogar zum Teil, sie zu lesen. Darüber hinaus sollten alle IT-Anwendungen, die Zugriff auf Datenbanken im Unternehmen haben, daraufhin überprüft werden, ob sie den Nutzern Funktionen wie "Speichern" oder "Exportieren" bieten. Diese Funktionen sollten ausgeschaltet oder nur einer kleinen Gruppe von Mitarbeitern zur Verfügung gestellt werden, für deren Arbeit sie unerlässlich sind.

Zum Verschicken von Daten müssen entsprechende Sicherheitsvorkehrungen getroffen werden: Mit IT-Lösungen lassen sich zu verschickende Daten verschlüsseln. Außerdem kann man für bestimmte Daten den Versand über das Internet einschränken. Firewalls und Filter bieten die Möglichkeit, den Zugang zu Services und Websites einzugrenzen, wenn sie ein potenzielles Risiko für die Datensicherheit im Unternehmen darstellen.

Abgespeicherte Daten werden durch wiederum andere Prozesse geschützt. Die Inventur aller sensiblen Daten hilft dabei zu überprüfen, ob Daten sich an den am besten geschützten Speicherplätzen befinden oder ob sie dorthin verschoben werden müssen.

Durch die Analyse der Daten kann festgestellt werden, wer sie vorwiegend nutzt. Basierend darauf kann das Unternehmen Verantwortlichkeiten festlegen, die wichtigen Stakeholder identifizieren, die zum Umgang mit Daten speziell geschult werden, und Zugangsrechte ableiten. Diese müssen regelmäßig auf ihre Aktualität überprüft werden, um sicherzustellen, dass nur die zuständigen Mitarbeiter Zugriff haben. Die Verschlüsselung aller externen Speichermedien hält im Falle eines Verlusts das Risiko für die Daten gering. Gleiches gilt für mobile Endgeräte: Hier sollte der Zugang durch Passwörter und Verschlüsselung besonders gut geschützt sein, da viele der Geräte selbst nicht über ausreichende Sicherungsmaßnahmen verfügen.

Abb. 2: Die im Unternehmen existierenden Daten lassen sich in drei Kategorien einteilen, die verschiedene Datenschutz-Kontrollmechanismen verlangen.
Abb. 2: Die im Unternehmen existierenden Daten lassen sich in drei Kategorien einteilen, die verschiedene Datenschutz-Kontrollmechanismen verlangen.
Foto: Ernst & Young

4. Eine Kultur der Informationssicherheit schaffen

Das Bewusstsein für Informationssicherheit muss in der Unternehmenskultur fest verankert werden. Zuerst gilt es falsch laufende Prozesse, die im Zuge der Analysen bekannt geworden sind, zu adjustieren. Die Fachbereiche sollten bei Informationssicherheitsverstößen direkt einbezogen werden, weil sie die Reichweite des jeweiligen Verstoßes besser einschätzen können.
Um bei allen Mitarbeitern das Bewusstsein für Informationssicherheit zu stärken, bieten sich Trainings anhand konkreter Praxisbeispiele an. Außerdem sollten Konsequenzen definiert werden, die den Mitarbeitern bei vorsätzlichen Verstößen drohen. Eine ganzheitliche Kommunikation sollte all diese Maßnahmen begleiten.

Der Erfolg des Informationssicherheitsprogramms sollte regelmäßig überprüft werden. Dazu bieten sich Messgrößen und Kennzahlen an, die das Bewusstsein für Informationssicherheit bei allen Datennutzern steigern, die Prozesse optimieren und das Business stark bei der Bewertung einbeziehen.

Informationssicherheit ist Partnerarbeit von Fachbereichen und IT

Wenn die Fachbereiche und die IT-Abteilung nicht zusammenarbeiten, entwickeln sich Informationssicherheitsprojekte häufig in die falsche Richtung und scheitern. Deshalb ist es wichtig, dass das Business die entscheidenden Impulse und Hinweise zu sensiblen Daten und möglichen Schwachstellen gibt. Dort kann dann von den Informationssicherheitsverantwortlichen auf IT-Seite effektiv nachjustiert werden. Nur so können Unternehmen ihre Anstrengungen in der Informationssicherheit zum gewünschten Erfolg bringen.