INFORMATIONEN

Tipps für die Sicherheit Ihrer Unternehmensdaten

Cyberangriffe, oft auch gegen große Unternehmen, werden immer häufiger. Dieses Muster ist auch bei sehr kleinen und mittleren Unternehmen und Einzelpersonen zu beobachten.

Die Datenschutz-Grundverordnung sichert nun die Vertraulichkeit der Informationssysteme des Unternehmens zu. Organisationen, die über personenbezogene Nutzerdaten verfügen, müssen auch alles in ihrer Macht Stehende tun, um diese zu schützen, und zwar durch ihren Information Systems Security Manager (CISO) oder ihre Abteilung für Informationssysteme (DSI). Im Folgenden finden Sie einige Richtlinien, die Sie befolgen müssen, um Ihre Geschäftsdaten zu schützen.

1 – Befolgen Sie eine strenge Richtlinie für Passwörter

Erstens muss eine strenge Kennwortpolitik eingeführt werden, wenn dies der erste Mechanismus zum Schutz einer Computerstation ist. Der erste Schutz besteht also darin, den Zugang zu einem Arbeitsplatz oder einer Datei durch eine Kennung und ein Passwort zu begrenzen.

Dieses Passwort muss persönlich, schwer zu erraten und natürlich vertraulich sein. Außerdem sollte es etwa alle drei Monate erneuert werden, zumindest aber regelmäßig. Wenn es von einem Systemadministrator vergeben wird, sollte der Benutzer in der Lage sein, das Passwort bei der ersten Verwendung anzupassen.

2 – Bereitstellen eines Verfahrens zum Erstellen und Löschen von Benutzerkonten

Die Verbindung zu den Arbeitsstationen und Anwendungen darf nur über Nominierungskonten erfolgen, damit alle Beteiligten verantwortlich sind und die Aktivitäten, die an einer Datei durchgeführt werden, möglicherweise überwacht werden können. Solche Konten sollten nicht allgemein sein, sondern sehr individuell gestaltet sein.

Vermeiden Sie Konten wie „compta1, compta2, Kundendienst usw.), die es Ihnen nicht erlauben, eine Person genau zu definieren, sondern eine Abteilung als Ganzes. Dieses Gesetz gilt auch für Konten von System- und Netzwerkadministratoren sowie für andere am Prozess des Informationssystems beteiligte Personen.

3 – Arbeitsplätze sichern, wo immer möglich

Der erste Vorschlag besteht darin, die Arbeitsplätze der einzelnen Mitarbeiter so einzustellen, dass sie nach einer bestimmten Zeit der Inaktivität (höchstens 10 Minuten) automatisch gesperrt werden. Beim Verlassen des Arbeitsplatzes sollten die Bediensteten ebenfalls angewiesen werden, ihren Arbeitsplatz abzuschließen. Diese Regelungen tragen dazu bei, das Risiko der unbefugten Nutzung eines Arbeitsplatzes oder Programms während der vorübergehenden Abwesenheit eines Mitarbeiters zu begrenzen.

4 – Genau festlegen, wer auf geschützte Daten zugreifen darf

Der Zugang zu Akten mit personenbezogenen Daten muss auf bestimmte Personen beschränkt werden, die diese Daten zur Erfüllung ihrer Aufgaben benötigen. Bei der Versetzung oder Ernennung eines Mitarbeiters auf eine Stelle muss der betreffende Vorgesetzte die Akten festlegen, zu denen der Mitarbeiter Zugang haben muss, um ihm die Rechte zu erteilen.

5 – Wahrung der Vertraulichkeit der Daten von Dienstleistern

Bei Outsourcing-Verträgen schreibt das Gesetz vor, dass eine Vertraulichkeitsklausel bezüglich der Daten, zu denen die Dienstleister Zugang haben, festgelegt wird. Die Tätigkeiten der verschiedenen Unterauftragnehmer des Informationssystems müssen ebenfalls angemessenen Schutz- und Vertraulichkeitsgarantien unterworfen sein.

6-Sicherung des lokalen Netzes vor externen Bedrohungen

Sicherheitsausrüstungen, wie z. B. eine Sonde zur Verhinderung von Eindringlingen, Router mit Filterfunktion, Firewalls usw., sollten die erste Stufe des Schutzes für das lokale Netz der Organisation gewährleisten.

Diese Hilfsmittel müssen ständig angepasst werden, um eine gleichbleibende Sicherheit gegen Spyware und Viren zu gewährleisten. Diese Ressourcen müssen sowohl auf der Serverebene als auch auf den Arbeitsplätzen aller Mitarbeiter aktualisiert werden.

Auch der Internetzugang zu verschiedenen elektronischen Verwaltungsinstrumenten erfordert strenge Sicherheitsmaßnahmen: HTTPS, Verwendung von IPsec, SSL/TLS-Protokollen, usw.

7 – Gewährleistung des Schutzes des physischen Zugangs zum Gelände;

Es wäre auch sinnlos, sich virtuell Zugang zu den im Unternehmen gespeicherten Daten zu verschaffen, wenn die sensiblen Räumlichkeiten des Unternehmens unzureichend wären. Der Zugang zu den Räumen, in denen sich Computerserver und andere Netzelemente befinden, muss daher streng auf zugelassenes Personal beschränkt sein. Es sollten alle Maßnahmen ergriffen werden, um ihre Sicherheit zu gewährleisten: Schutz, Überprüfung der Berechtigungen, digitaler Code, verschlossene Türen, Zugang mit Namensschildern, usw.

In gleicher Weise müssen auch technische Dokumente, Verträge und andere Netzverwaltungspläne gesichert werden.

8 – Erwarten Sie den Verlust oder die Verletzung von Daten

Mit Fahrlässigkeit oder böswilliger Handlung eines Mitarbeiters, Diebstahl eines Laptops, Brand, Wasserschaden oder Materialausfall muss gerechnet werden. Die Daten einer Organisation müssen auch in dem dafür vorgesehenen Serverraum gespeichert werden, von dem regelmäßig ein Backup erstellt wird. Auch die Sicherungsmedien müssen sich in einem anderen Raum befinden als die Server, vorzugsweise in einem feuerfesten Raum.

Ein weiterer wichtiger Faktor sind mobile Datenträger (Laptops, USB-Sticks, persönliche Assistenten usw.), bei denen sorgfältig geprüft werden muss, welche Daten sie speichern können. Die Geräte müssen am Ende ihrer Lebensdauer entweder entfernt oder von ihren Festplatten bereinigt werden, bevor sie recycelt werden können.

9 – Dokumentieren Sie die Sicherheitspolitik des Informationssystems in einem Ordner.

Alle IT-Sicherheitsverfahren müssen in einem Bericht formalisiert werden, der für alle Mitglieder der Organisation nützlich ist. Durch eine Bestandsaufnahme möglicher Bedrohungen und Schwachstellen, die das Computernetz beeinträchtigen, können Fortschritte erwartet werden.

Bei jeder Änderung von Systemen oder IT-Tools muss dieser Bericht regelmäßig geändert werden. Schließlich muss bei jedem Projekt im Zusammenhang mit Informationssystemen der Parameter „Sicherheit“ im Vorfeld berücksichtigt werden.

10 – Erinnern Sie das Personal an DSGVO und IT-Risiken

Das größte IT-Sicherheitsrisiko ist nach wie vor das menschliche Versagen. Daher sollten alle Nutzer des Informationssystems eines Unternehmens über die zahlreichen Risiken informiert werden, die mit der Nutzung einer Datenbank verbunden sind. Die Kenntnis aller einschlägigen Gesetze und möglicher schädlicher Handlungen, die durch routinemäßige Vorbereitung, Verbreitung von Memos, häufiges Versenden realistischer Blätter usw. erreicht werden kann.