INFORMATIONEN

Tipps für die Sicherheit Ihrer Unternehmensdaten

Cyberangriffe, oft auch gegen große Unternehmen, werden immer häufiger. Dieses Muster ist auch bei sehr kleinen und mittleren Unternehmen und Einzelpersonen zu beobachten.

Die Datenschutz-Grundverordnung sichert nun die Vertraulichkeit der Informationssysteme des Unternehmens zu. Organisationen, die über personenbezogene Nutzerdaten verfügen, müssen auch alles in ihrer Macht Stehende tun, um diese zu schützen, und zwar durch ihren Information Systems Security Manager (CISO) oder ihre Abteilung für Informationssysteme (DSI). Im Folgenden finden Sie einige Richtlinien, die Sie befolgen müssen, um Ihre Geschäftsdaten zu schützen.

1 – Befolgen Sie eine strenge Richtlinie für Passwörter

Erstens muss eine strenge Kennwortpolitik eingeführt werden, wenn dies der erste Mechanismus zum Schutz einer Computerstation ist. Der erste Schutz besteht also darin, den Zugang zu einem Arbeitsplatz oder einer Datei durch eine Kennung und ein Passwort zu begrenzen.

Dieses Passwort muss persönlich, schwer zu erraten und natürlich vertraulich sein. Außerdem sollte es etwa alle drei Monate erneuert werden, zumindest aber regelmäßig. Wenn es von einem Systemadministrator vergeben wird, sollte der Benutzer in der Lage sein, das Passwort bei der ersten Verwendung anzupassen.

2 – Bereitstellen eines Verfahrens zum Erstellen und Löschen von Benutzerkonten

Die Verbindung zu den Arbeitsstationen und Anwendungen darf nur über Nominierungskonten erfolgen, damit alle Beteiligten verantwortlich sind und die Aktivitäten, die an einer Datei durchgeführt werden, möglicherweise überwacht werden können. Solche Konten sollten nicht allgemein sein, sondern sehr individuell gestaltet sein.

Vermeiden Sie Konten wie „compta1, compta2, Kundendienst usw.), die es Ihnen nicht erlauben, eine Person genau zu definieren, sondern eine Abteilung als Ganzes. Dieses Gesetz gilt auch für Konten von System- und Netzwerkadministratoren sowie für andere am Prozess des Informationssystems beteiligte Personen.

3 – Arbeitsplätze sichern, wo immer möglich

Der erste Vorschlag besteht darin, die Arbeitsplätze der einzelnen Mitarbeiter so einzustellen, dass sie nach einer bestimmten Zeit der Inaktivität (höchstens 10 Minuten) automatisch gesperrt werden. Beim Verlassen des Arbeitsplatzes sollten die Bediensteten ebenfalls angewiesen werden, ihren Arbeitsplatz abzuschließen. Diese Regelungen tragen dazu bei, das Risiko der unbefugten Nutzung eines Arbeitsplatzes oder Programms während der vorübergehenden Abwesenheit eines Mitarbeiters zu begrenzen.

4 – Genau festlegen, wer auf geschützte Daten zugreifen darf

Der Zugang zu Akten mit personenbezogenen Daten muss auf bestimmte Personen beschränkt werden, die diese Daten zur Erfüllung ihrer Aufgaben benötigen. Bei der Versetzung oder Ernennung eines Mitarbeiters auf eine Stelle muss der betreffende Vorgesetzte die Akten festlegen, zu denen der Mitarbeiter Zugang haben muss, um ihm die Rechte zu erteilen.

5 – Wahrung der Vertraulichkeit der Daten von Dienstleistern

Bei Outsourcing-Verträgen schreibt das Gesetz vor, dass eine Vertraulichkeitsklausel bezüglich der Daten, zu denen die Dienstleister Zugang haben, festgelegt wird. Die Tätigkeiten der verschiedenen Unterauftragnehmer des Informationssystems müssen ebenfalls angemessenen Schutz- und Vertraulichkeitsgarantien unterworfen sein.

6-Sicherung des lokalen Netzes vor externen Bedrohungen

Sicherheitsausrüstungen, wie z. B. eine Sonde zur Verhinderung von Eindringlingen, Router mit Filterfunktion, Firewalls usw., sollten die erste Stufe des Schutzes für das lokale Netz der Organisation gewährleisten.

Diese Hilfsmittel müssen ständig angepasst werden, um eine gleichbleibende Sicherheit gegen Spyware und Viren zu gewährleisten. Diese Ressourcen müssen sowohl auf der Serverebene als auch auf den Arbeitsplätzen aller Mitarbeiter aktualisiert werden.

Auch der Internetzugang zu verschiedenen elektronischen Verwaltungsinstrumenten erfordert strenge Sicherheitsmaßnahmen: HTTPS, Verwendung von IPsec, SSL/TLS-Protokollen, usw.

7 – Gewährleistung des Schutzes des physischen Zugangs zum Gelände;

Es wäre auch sinnlos, sich virtuell Zugang zu den im Unternehmen gespeicherten Daten zu verschaffen, wenn die sensiblen Räumlichkeiten des Unternehmens unzureichend wären. Der Zugang zu den Räumen, in denen sich Computerserver und andere Netzelemente befinden, muss daher streng auf zugelassenes Personal beschränkt sein. Es sollten alle Maßnahmen ergriffen werden, um ihre Sicherheit zu gewährleisten: Schutz, Überprüfung der Berechtigungen, digitaler Code, verschlossene Türen, Zugang mit Namensschildern, usw.

In gleicher Weise müssen auch technische Dokumente, Verträge und andere Netzverwaltungspläne gesichert werden.

8 – Erwarten Sie den Verlust oder die Verletzung von Daten

Mit Fahrlässigkeit oder böswilliger Handlung eines Mitarbeiters, Diebstahl eines Laptops, Brand, Wasserschaden oder Materialausfall muss gerechnet werden. Die Daten einer Organisation müssen auch in dem dafür vorgesehenen Serverraum gespeichert werden, von dem regelmäßig ein Backup erstellt wird. Auch die Sicherungsmedien müssen sich in einem anderen Raum befinden als die Server, vorzugsweise in einem feuerfesten Raum.

Ein weiterer wichtiger Faktor sind mobile Datenträger (Laptops, USB-Sticks, persönliche Assistenten usw.), bei denen sorgfältig geprüft werden muss, welche Daten sie speichern können. Die Geräte müssen am Ende ihrer Lebensdauer entweder entfernt oder von ihren Festplatten bereinigt werden, bevor sie recycelt werden können.

9 – Dokumentieren Sie die Sicherheitspolitik des Informationssystems in einem Ordner.

Alle IT-Sicherheitsverfahren müssen in einem Bericht formalisiert werden, der für alle Mitglieder der Organisation nützlich ist. Durch eine Bestandsaufnahme möglicher Bedrohungen und Schwachstellen, die das Computernetz beeinträchtigen, können Fortschritte erwartet werden.

Bei jeder Änderung von Systemen oder IT-Tools muss dieser Bericht regelmäßig geändert werden. Schließlich muss bei jedem Projekt im Zusammenhang mit Informationssystemen der Parameter „Sicherheit“ im Vorfeld berücksichtigt werden.

10 – Erinnern Sie das Personal an DSGVO und IT-Risiken

Das größte IT-Sicherheitsrisiko ist nach wie vor das menschliche Versagen. Daher sollten alle Nutzer des Informationssystems eines Unternehmens über die zahlreichen Risiken informiert werden, die mit der Nutzung einer Datenbank verbunden sind. Die Kenntnis aller einschlägigen Gesetze und möglicher schädlicher Handlungen, die durch routinemäßige Vorbereitung, Verbreitung von Memos, häufiges Versenden realistischer Blätter usw. erreicht werden kann.

Datenschutzrisiken im Internet der Dinge

16/08/2022 Keine Kommentare

Das „Internet der Dinge“ ist definiert als ein Netzwerk von physischen und virtuellen Gegenständen, die sowohl mit Menschen als auch untereinander kommunizieren. Alexa von Amazon

mehr »

Arbeitnehmerdatenschutz

11/08/2021 Keine Kommentare

Der Arbeitnehmerdatenschutz ist ein umfassendes Thema, über das sowohl Arbeitnehmer als auch Arbeitgeber Bescheid wissen sollten. Der Arbeitnehmerdatenschutz, auch Beschäftigtendatenschutz, Arbeitnehmerdatenschutz oder Betriebsdatenschutz genannt, bezeichnet

mehr »

How to Implement a Data Protection Impact Assessment

23/03/2021 Keine Kommentare

Die Datenschutz-Folgenabschätzung (DFA) ist das in Artikel 35 der Datenschutz-Grundverordnung festgelegte Protokoll. Es besteht darin, alle Verfahren, die personenbezogene Daten innerhalb einer Organisation betreffen, zu

mehr »

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

INFORMATIONEN

Tipps für die Sicherheit Ihrer Unternehmensdaten

1 – Befolgen Sie eine strenge Richtlinie für Passwörter

2 – Bereitstellen eines Verfahrens zum Erstellen und Löschen von Benutzerkonten

3 – Arbeitsplätze sichern, wo immer möglich

4 – Genau festlegen, wer auf geschützte Daten zugreifen darf

5 – Wahrung der Vertraulichkeit der Daten von Dienstleistern

6-Sicherung des lokalen Netzes vor externen Bedrohungen

7 – Gewährleistung des Schutzes des physischen Zugangs zum Gelände;

8 – Erwarten Sie den Verlust oder die Verletzung von Daten

9 – Dokumentieren Sie die Sicherheitspolitik des Informationssystems in einem Ordner.

10 – Erinnern Sie das Personal an DSGVO und IT-Risiken

Datenschutzrisiken im Internet der Dinge

Arbeitnehmerdatenschutz

How to Implement a Data Protection Impact Assessment

Cookie and External Connections Consent / Einwilligung in Cookies und externe Verbindungen