Thought Leadership
Die Digitalisierung schreitet in schnellen Schritten voran und die Themen IT-Sicherheit, Datensicherheit und Datenschutz werden immer wichtiger für Unternehmen. Die Begriffe sind oft nicht klar voneinander zu trennen und werden selbst von Fachleuten und Experten in verschiedenen Zusammenhängen unterschiedlich interpretiert.
Für den langfristigen Unternehmenserfolg ist es wichtig, alle drei Bereiche ganzheitlich zu betrachten und entsprechende Konzepte zu erstellen und umzusetzen. Was gilt es in diesem Zusammenhang zu beachten?
Von Beginn an ein ganzheitliches Sicherheitskonzept erstellen
Jedes Unternehmen hat andere Ansprüche und Bedürfnisse was den Schutz der IT und der Unternehmensrelevanten Daten betrifft. Daher ist eine Einzelfalluntersuchung die Ausgangslage jeglicher Sicherheitskonzepte. In einem solchen Konzept werden Richtlinien festgehalten, welche eine bestmögliche Informationssicherheit im Unternehmen gewährleistet. Dabei müssen alle relevanten Unternehmensdaten, Applikationen und Dienste berücksichtigt, sowie eine sichere IT-Infrastruktur sichergestellt werden. Im Anschluss können gezielte Maßnahmen evaluiert werden, mit welchen Systemausfälle, Hackerangriffe oder andere Probleme wie etwa Datenverlust effektiv verhindert werden können.
Datensicherheit auf allen Ebenen gewährleisten
In vielen Fällen sind Sicherheitslücken bei Unternehmen der Grund, für eine eingeschränkte Wettbewerbsfähigkeit. Im Zusammenhang mit der Erstellung eines entsprechenden IT-Sicherheitskonzepts muss immer auch ein Informationssicherheits-Management konzipiert werden. Dabei ist es besonders wichtig, dass alle Mitarbeiter in diesen Prozess mit einbezogen werden, nicht selten sind Mitarbeiter unbewusst für IT-Sicherheitslücken verantwortlich, etwa indem sie eigene externe Medien an Unternehmensrechner anschließen. Weiterhin sollte das gesamte System gesichert werden. Regelmäßige Backups stellen sicher, dass selbst im Falle eines Datenverlustes alle relevanten Daten erhalten bleiben und neu aufgespielt werden können. Ein Totalverlust der Unternehmensdaten ist in den meisten Fällen existenzbedrohend und sollte daher unbedingt vermieden werden.
Datenschutzgrundverordnung – der Rahmen für Gesetz-konformen Datenschutz
Die Datenschutzgrundverordnung, kurz DSGVO, bildet den Rahmen für die Erstellung eines individuellen Sicherheitskonzepts. Eine Mustervorlage für ein Sicherheitskonzept gibt es nicht, da zu viele individuelle Faktoren mit einbezogen werden müssen. Dennoch können Unternehmen sich an den Leitfäden der DSGVO orientieren, wenn es um die Umsetzung entsprechender Maßnahmen geht. In der DSGVO sind auch rechtliche Aspekte geregelt, welche Unternehmen einhalten müssen. Unter anderem werden dort folgende Anforderungen an Unternehmen und Webseitenbetreiber gestellt:
- Die Verarbeitung von Daten muss nach Rechtmäßigkeit, Treu und Glauben und Transparenz erfolgen.
- Die Datenverarbeitung muss zweckgebunden erfolgen, personenbezogene Daten müssen gelöscht werden, sobald dieser Zweck erfüllt ist.
- Nutzer müssen ein Auskunftsrecht über ihre gespeicherten Daten haben.
- Nutzer müssen einer Nutzung personenbezogener Daten Einwilligen (mehr dazu unter Cookie Hinweis und Datenschutzerklärung).
- Es müssen organisatorische und technische Maßnahmen ergriffen werden, um die Privatsphäre von Nutzern bestmöglich zu schützen.
- Abhängig von Unternehmensgröße und Umfang der erhobenen Nutzer-bezogenen Daten ist das Unternehmen dazu verpflichtet, einen Datenschutzbeauftragten zu benennen.
- Mitarbeiter müssen in den Prozess einbezogen werden und entsprechende Schulungen erhalten, um die Einhaltung der DSGVO sicherzustellen.
Cookie Hinweis und Datenschutzerklärung
Weiterhin zählt auch der sogenannte Cookie-Hinweis zu den Aspekten, welche jede Unternehmenswebseite unbedingt besitzen muss. Dabei reicht es nicht mehr aus Webseitenbesuchern einen einfachen Hinweis zu geben, den dieser mit einem „OK“ bestätigt, vielmehr muss er umfassend über die auf der jeweiligen Webseite eingesetzten Cookies informiert werden. So muss direkt beim ersten Besuch der Webseite ein entsprechender Hinweis-Text auftauchen, auf welchem klar ersichtlich ist, welche Cookies verwendet werden. Diese muss der Nutzer aktiv anklicken und bestätigen. Bis auf essenzielle Cookies, welche etwa die Funktion des Warenkorbs ermöglichen, muss dem Seitenbesucher auch ein Besuch der Seite ermöglicht werden, wenn er explizit keine Cookies zulässt. Dazu gehört auch ein entsprechender Hinweis-Text. Unter folgendem Link wird zusammengefasst, was bei der Formulierung des Cookie Text beachtet werden muss. In diesem Zusammenhang muss auch die Datenschutzerklärung aktualisiert und an die neuen Bestimmungen angepasst werden.
Fazit
Um eine rechtskonforme Umsetzung des Sicherheitskonzeptes zu gewährleisten, ist es wichtig, sich mit allen relevanten Aspekten zu befassen und die Anforderungen an das eigene Unternehmen auch wirklich zu verstehen. Eine Missachtung kann nicht nur erhebliche finanzielle Schäden und einen Imageverlust bewirken, sondern hat immer auch rechtliche Konsequenzen. Um die individuellen Anforderungen und Bedürfnissen eines Unternehmens bestmöglich in dem Sicherheitskonzept zu berücksichtigen, kann es sinnvoll sein sich an einen Spezialisten zu wenden, der langjährige Erfahrung im Bereich IT-Sicherheitskonzepte vorweisen kann. Auch externe Gutachter sind eine sinnvolle Möglichkeit, ein ganzheitliches Sicherheitskonzept zu erstellen. In Zukunft wird der Bereich IT-Sicherheit Datensicherheit und Datenschutz komplexer und vielschichtiger werden, sodass die Anforderungen in den nächsten Jahren sicherlich weiter steigen werden. Die aktuelle Entwicklung sollte demnach immer im Blick gehalten werden um zeitnah auf Veränderungen reagieren zu können.
