Auf die rasant wachsende Zahl von Cyberangriffen und Datenschutzskandalen reagieren die Gesetzgeber in EU, Bund und Ländern mit strengeren gesetzlichen Vorschriften rund um die Datensicherheit in Unternehmen.
Der Schutz sensibler Unternehmens- und Kundendaten ist in den vergangenen Jahren vielerorts bereits elementarer Bestandteil des Risikomanagements geworden – allerdings längst noch nicht überall. Spätestens mit der NIS2-Richtlinie, die die Resilienz der Wirtschaft gegen Cyber-Gefahren stärken soll, ist Datensicherheit aber auch zu einer Compliance-Anforderung geworden, die nicht mehr ignoriert werden kann.
Compliance-Anforderungen
Die wirtschaftliche Bedeutung von Compliance bezieht sich auf die Einhaltung von gesetzlichen und regulatorischen Vorgaben. Das beinhaltet die Entwicklung und Anwendung von internen Richtlinien sowie Prozessen, die den Schutz der Daten gewährleisten.
Mit der Datenschutzgrundverordnung ist bereits ein rechtlicher Rahmen für den Umgang mit persönlichen Daten etabliert. Mit der in diesem Jahr erfolgten Umsetzung der sogenannten NIS2-Richtlinie in nationales Recht folgt ein solcher Rahmen nun auch für den wesentlich umfangreicheren Bereich des Schutzes vor Cyber-Gefahren. Etwa 30’000 Unternehmen fallen unter diese neuen Richtlinien. Die Zahl zeigt bereits, dass es dabei nicht nur um große Konzerne und Betreiber kritischer Infrastruktur geht, sondern auch um KMU aus den verschiedensten Branchen. Als Sanktionsmaßnahmen im Fall von Verstößen sieht das neue Gesetz nicht nur empfindliche Geldstrafen vor, Geschäftsführungen werden auch persönlich in Haftung genommen.
Der Schutz von Daten
Datenschutz ist eine rechtliche und ethische Verpflichtung. Neben diesen externen Einflussfaktoren sollte die Datensicherheit als Teil der IT-Sicherheit aber auch aus eigenem Antrieb für jedes Unternehmen unabhängig von Größe und Branche hohe Priorität haben. Daten sind ein wertvolles Gut und mittlerweile branchenübergreifend das Fundament des Geschäftes. Gleichzeitig werden die Bedrohungen für die Datensicherheit von Unternehmen vielfältiger, Technologien befinden sich in einem stetigen Wandel und Angreifer nutzen immer komplexere Methoden, um sich unbefugten Zugang zu Daten zu verschaffen.
Für Unternehmen bedeutet das: Datensicherheit kann nicht länger als exotischer Spezialbereich betrachtet werden, der irgendwo innerhalb der IT angesiedelt ist und dort ein wenig beachtetes Eigenleben führt, sondern muss abteilungsübergreifende, ganzheitliche Aufgabe sein. Ein umfassendes, auf die spezifischen Rahmenbedingungen des Unternehmens zugeschnittenes Datensicherheitskonzept sollte heute unabhängig von der Größe in keinem Unternehmen mehr fehlen.
Erstellung eines Datensicherheitskonzepts
Datensicherheitskonzepte sind kein Hexenwerk, müssen aber unbedingt auf die konkreten Anforderungen des jeweiligen Unternehmens zugeschnitten sein. Bei größeren Unternehmen oder Firmen in besonders sicherheitsrelevanten Bereichen kann auch das Hinzuziehen externer Experten hilfreich sein. Zum Start gilt es, die Rahmenbedingungen festzulegen.
Risikoanalyse vornehmen:
Die wertvollsten Daten werden ebenso identifiziert wie die größten Bedrohungen und möglichen Angriffswinkel. Ziel ist es, einen Überblick darüber zu gewinnen, wo konkret im Unternehmen Risiken bestehen.
Sicherheitsrichtlinien erarbeiten:
Es werden möglichst klare und eindeutige Regeln für den Umgang mit Daten aufgestellt, abhängig von Wert und Gefährdung. Umso weniger Mitarbeiter in stressigen Alltagssituationen in diesem Kontext selbst entscheiden müssen, desto sicherer sind die Daten.
Incident Response und Business Continuity vorausplanen:
In der Vergangenheit stellte dieser Punkt oft eine Leerstelle in Sicherheitskonzepten dar, weil sich Unternehmungsleitungen darauf verließen, es werde schon nicht zu einem echten Notfall kommen. Die drastisch angestiegene Zahl von Cyberangriffen hat hier aber ein Umdenken eingeleitet. In diesem Rahmen sollten auch bereits vorab Dienstleister für Aufgaben recherchiert werden, die nicht unternehmensintern abgewickelt werden können. Das können beispielsweise Incident-Response-Experten oder spezialisierte Datenretter sein.
Regelmäßige Überprüfungen:
Die Sicherheitslage für ein Unternehmen ist nicht statisch, sondern stetigen Veränderungen unterworfen. Um immer bestmöglich gewappnet zu sein, muss auch das Datensicherheitskonzept fortwährend angepasst werden.
Maßnahmen unter dem Dach des Datensicherheitskonzepts
Sind die Vorarbeiten so weit fortgeschritten, können die konkreten Maßnahmen beschlossen und implementiert werden. Was notwendig und sinnvoll ist, variiert von Fall zu Fall. Häufig relevant sind aber zum Beispiel die im Folgenden aufgeführten Maßnahmen.
Technische Maßnahmen
- Erhöhung der Endpunktsicherheit (dazu gehörten u.a. moderne Antimalwaresoftware und Endpoint-Detection-and-Response-(EDR)-Lösungen)
- Nutzung von Verschlüsselungstechnologien
- Erhöhung der Netzwerksicherheit (z.B. Next-Generation-Firewalls zur Überwachung des Datenverkehrs)
- Zugriffskontrollen (ein zentrales Sicherheitselement ist hier die Implementierung von Multi-Faktor-Authentifizierung (MFA), aber auch der Einsatz von Identity-and-Access-Management-(IAM)-Systemen und die Berücksichtigung des Prinzips der geringsten Privilegien für Benutzerkonten)
Organisatorische Maßnahmen
- Planung von Incident Response und Business Continuity im Notfall,
- Klärung von Schlüsselpositionen wie IT-Sicherheitsbeauftragte, Verantwortliche für Compliance- sowie Risikomanagement und Datenretter im Notfallbewältigungsteam
- Bewusste Vergabe von Zugriffsrechten und regelmäßige Überprüfung dieser Rechte
- Bereitstellung von Informationen für Mitarbeiter (Schulungen, Übungen etc.)
- Entwicklung klarer Richtlinien für alle sicherheitsrelevanten Abläufe
- Etablierung von Verfahren für die Meldung von Sicherheitsvorfällen
- Implementierung von Prozessen für das Onboarding und Offboarding von Mitarbeitern
- Lieferanten- und Partnermanagement
- Compliance und Dokumentation (z.B. Dokumentation aller Sicherheitsmaßnahmen und -vorfälle sowie regelmäßige interne und externe Audits)
Zusammengefasst
Eine solche Kombination aus technischen und organisatorischen Maßnahmen bildet ein robustes Sicherheitsframework, das zuverlässig vor den vielfältigen Bedrohungen der digitalen Welt schützt und dafür sorgt, dass das Unternehmen auch im Notfall handlungsfähig bleibt. Die sich aus NIS2 und weiteren Vorschriften ergebenden Compliance-Anforderungen werden von einem umfassenden Datensicherheitskonzept ebenfalls erfüllt, das so einen umfassenden Mehrwert für jedes Unternehmen liefern kann.