Das Wichtigste in Kürze:

Datensicherheit befasst sich mit dem Schutz von Daten und beschränkt sich im Gegensatz zum Datenschutz nicht nur auf personenbezogene Daten. Bei der Datensicherheit ist es nicht von Bedeutung, ob die Daten erhoben und verarbeitet werden durften. Stattdessen geht es um zu ergreifende Maßnahmen, die den Zustand der Datensicherheit herstellen sollen. Diese Maßnahmen sollen den Zugriff fremder oder unbefugter und die Manipulation oder Entwendung der Daten verhindern. Dementsprechend ist es im Sinne eines jeden Unternehmens, die höchstmögliche Datensicherheit herzustellen.

Die Datensicherheit im Unternehmen kann zum Beispiel durch Datenträgerkontrolle verbessert werden. Eine Möglichkeit stellt die Einführung von Regelungen zum Kopieren von Daten dar: Demnach darf das Kopieren von Daten nur im Rahmen der Datensicherung und für die besonders geregelten Fälle der Datenweitergabe erlaubt sein, z.B. notwendiger Datenaustausch mit Kunden/Mandanten. Die Regelungen sollten den Mitarbeitern in einer IT-Nutzungsrichtlinie bekannt gegeben werden. Darüber hinaus sollten USB-Zugänge und andere Speicheranschlüsse an allen Endgeräten (Büro- und externe Arbeitsplätze) gesperrt werden. Damit wird verhindert, dass Nutzer private Speichermedien im Netzwerk oder an den Arbeitsplätzen anschließen können.

Wenn Ihr Unternehmen ein WLAN (Funknetzwerk) eingerichtet hat, sollte das unter anderem den folgenden Anforderungen entsprechen: 

• Access Points haben meist einen voreingestellten SSID, der z.B. den Namen des Herstellers oder des Produktes trägt. Der SSID ist der Name des Netzwerks. Der Standard SSID sollte auf einen individuel­len SSID geändert werden. Dabei sollte der Name so gewählt werden, dass kein Bezug zum Hersteller oder zum Betreiber des WLAN hergestellt werden kann
• Der Netzwerkname (der SSID) sollte versteckt werden, damit das WLAN nicht mehr in den Suchmasken potentieller Angreifer sichtbar ist
• Um ein WLAN sicher zu betreiben, MUSS die Kommunikation über die Luftschnittstelle komplett kryptographisch abgesichert werden. Kryptographische Verfahren unsicherer als WPA2 DÜRFEN NICHT mehr eingesetzt werden

Die Gefahr Schadsoftware über den Besuch von Webseiten auf den lokalen Computer zu laden nimmt ständig zu. Entsprechende Schutzmaßnahmen sind unvermeidbar. Eine Maßnahme ist den Internetzugang über aktive Contentfilter abzusichern, um ungewünschte Webseiten sperren zu können. Die Blacklisten der aktiven Contentfilter werden ständig aktualisiert und bekannte Webseiten mit bekannten Bedrohungen werden automatisch gesperrt. Diese Anforderung wird nur dann erfüllt, wenn der Internetzugang über eine UTM (Unified Threat Management) abgesichert wird. Darüber hinaus sollten nur vom Hersteller aktuell gepatchte Browser eingesetzt werden, wie z.B. Microsoft IE 11, Mozilla Firefox etc.

Ebenso sind die Sicherheitseinstellungen am PC und im LAN von großer Bedeutung. So sollten die Browsereinstellungen unter Berücksichtigung der Anwendungen auf die höchst mögliche Sicherheitsstufe eingestellt werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat dazu entsprechende Empfehlungen ausgegeben. Die Konfiguration der lokalen Sicherheitsgateways (Firewall) inkl. aller Filterregeln ist mit Angabe des Gerätetyps und dem verantwortlichen Techniker zu dokumentieren, d.h. freigegebene Dienste und Ports, WLAN und eingerichtete VPN-Zugänge und ggfs. Contentfilter. Weiterhin sollten die Anwender keine Administrationsrechte auf ihren Arbeitsplätzen haben, da sie ansonsten selbst eigene Browser und andere Programme installieren können und damit die Netzwerksicherheit gefährden.

Ferner sind Zugriffsberechtigungen auf personenbezogene Daten festzulegen. Demnach müssen Personalakten in verschlossenen Aktenschränken aufbewahrt werden und nur der Personalverwaltung zugänglich sein. Außerdem ist von der verantwortlichen Stelle bzw. von der IT-Abteilung dem Datenschutzbeauftragten eine Liste mit allen Anwendungsprogrammen mit denen personenbezogene Daten verarbeitet werden zur Verfügung zu stellen (Art. 38 Abs. 2 DSGVO). Aus der Liste soll ersichtlich sein, wer mit welchen Programmen arbeitet und welche Zugriffsrechte die Benutzer haben. Bezüglich der Zugriffsrechte ist das Need-to-know-Prinzip umzusetzen. Der Datenschutzbeauftragte hat dazu eine Vorlage in Form einer Exceltabelle zur Verfügung gestellt.

Sollte Ihr Unterrnehmen den Mitarbeitern Telearbeit anbieten, sollte der Fernzugriff gegen unbefugte Nutzung abgesichert sein. Der Zugriff des Berechtigten zu personenbezogenen Daten sollte nur mit BenutzerID und PIN oder Zertifikat möglich sein (Zwei-Faktor-Authentifizierung). Dies gilt sowohl für HomeOffice-Arbeitsplätze als auch mobile Arbeitsplätze.

Werden Daten in Ihrem Unternehmen in einer Cloud gespeichert, müssen diese Daten gegen unbefugten Zugriff geschützt werden. Die Datenablage in einer Cloud (Sharepoint, Google Drive, DropBox o.ä.) ist eine Auftragsdatenverarbeitung gem. Art. 28 DSGVO. Ist mit dem Anbieter keine Vereinbarung zur Auftragsdatenverarbeitung möglich, z.B. bei amerikanischen Anbietern, darf die Datenspeicherung demnach nur verschlüsselt erfolgen und eine Datensicherung muss unabhängig von der Cloud organisiert werden. Ein möglicher Lösungsansatz wäre die Automatische Ver- und Entschlüsselung mit „SafeGuard Encryption for Cloud Storage – Sophos“.

Weiterhin sollte für die Datenablage in der Cloud ein Löschkonzept erstellt werden. Danach sollten die Daten in der Cloud gelöscht werden, sobald der Zweck für die Datenablage nicht mehr gegeben ist und keine gesetzlichen Aufbewahrungspflichten einer Löschung widersprechen.
Beispiel: In einer Cloud werden temporär jeden Monat Lohn- und Gehaltsabrechnungen abgelegt. Das Löschkonzept sollte die Daten in der Cloud spätestens nach 3 Monaten automatisch löschen.

Einen weiteren wesentlichen Aspekt der Datensicherheit stellt die Wiederherstellbarkeit von Daten dar. Bei lokalen Servern sollte der Sicherungsalgorithmus mindestens auf 4 Tages- und 5 Wochensicherungen erweitert werden, um auch auf ältere Datenbestände zurück greifen zu können. Des Weiteren werden täglich alle lokalen Server auf einer NAS (Network Attached Storage) gesichert. Als Backup- und Recovery-Software wird Altaro VM Backup eingesetzt, die virtuelle Maschinen in Hyper-V- und VMware-Umgebungen sichert. Dazu wird wöchentlich ein Vollbackup durchgeführt und täglich ein differenzielles Backup. Die Daten lassen sich mindestens über einen Zeitraum von 5 Wochen vollständig wiederherstellen. Alle Datensicherungsmedien werden verschlüsselt, um einen Zugriff durch Unbefugte zu verhindern. 

Sofern auf Einzelarbeitsplätzen (PC/Notebook) Daten lokal gespeichert werden, sollten diese täglich auf einem verschlüsselten Datenträger gesichert werden. Grundsätzlich sollte jeder Nutzer verpflichtet werden alle Daten auf dem Server abzulegen und nur bei technischer Notwendigkeit (kein Zugang zum Firmenserver) Daten lokal abzuspeichern.

Ihr Unternehmen sollte Maßnahmen für ein Notfallszenario vorsehen. Beim Totalausfall des IT-Systems durch Feuer, Diebstahl etc. sollte das Notfallszenario für jede zentrale Komponente (Router, Server, Sternverteiler, Telefonanlage etc.) separat dokumentiert werden, angefangen von der Hardwarelieferung, Datenrücksicherung bis zur vollständigen Wiederherstellung des Produktivsystems. Hierbei ist auch der zeitliche Faktor zu berücksichtigen, d.h. wie lange dauert es im Worst Case, bis das Produktivsystem wiederhergestellt ist und wie groß ist der maximale Ausfall und der maximale Datenverlust.

Ein Datenverlust kann je nach Bedeutung einer Datei zum Systemausfall führen. Eine detaillierte Prozedurbeschreibung ist damit unumgänglich. Diese Beschreibung sollte auch im Unternehmen vorhanden sein, um im Notfall schnell reagieren zu können.

Da der Ausfall eines Servers zu erheblichen Arbeitseinschränkungen führt, sollten die Server mit einem Monitoringsystem (z.B. LabTech, GfI etc.) ausgestattet werden. Dabei sollten folgende Komponenten überwacht und Warnmeldungen oder Störungen per E-Mail automatisch dem Systempartner gemeldet werden:

• Überwachung der RAID-Festplatten
• Überwachung der Servernetzteile
• Lüfterüberwachung im Server
• Notstromversorgung
• Virenscanner
• Windows-Updates
• notwendige Dienste
• Datensicherung

Die Funktion der Serverüberwachung (Monitoring) sollte beschrieben werden, d.h. welche Störungen werden an wen gemeldet und wann werden die Störungen behoben.
Weiterhin ist zu klären, ob das Monitoringsystem passiv oder aktiv ist, d.h. werden nur eingehende Störungen gemeldet (passiv) oder wird der Serverstatus regelmäßig abgefragt (aktiv).