Gratis-Download

Bei vielen unternehmensinternen Regelungen mit Datenschutz-Bezug ist der Betriebsrat zu beteiligen. Hierbei kommt Ihnen als Datenschutzbeauftragten...

Jetzt downloaden

Wie sich Unternehmen schützen können

0 Beurteilungen
Datenschutz
Urheber: MK-Photo | Fotolia

Von Bernd Fuhlert,

Die verstärkte Digitalisierung der Unternehmensbereiche, als Stichwort sei hier Industrie 4.0 genannt, bietet zahlreiche neue Angriffspunkte. Trotz aller Vorsichtsmaßnahmen können Sie Datenschutzpannen im Unternehmen nicht gänzlich ausschließen.

Ein Datenleck kann es immer geben, sei es, dass Mitarbeiter Daten unberechtigt herausschleusen oder Hacker in das Computersystem eindringen. Böser Wille und kriminelle Energie vorausgesetzt sind die Möglichkeiten, Unternehmen zu schaden, unbegrenzt. Eine Unterbrechung etwa der Kommunikation einer Flugleitzentrale kann dazu führen, dass in großen Teilen Deutschlands kein Flugverkehr mehr stattfinden kann. Selbst Schiffe sind ein potenzielles Opfer von Hackerangriffen, auch sie sind komplett mit IT durchdrungen und fahren computergesteuert über die Ozeane. Oft bleibt ein Angriff jedoch lange Zeit unentdeckt. Doch wie schütze ich mein Unternehmen?

Cyberversicherung abschließen

Laut dem Cyber-Allianz-Zentrum im Bayerischen Landesamt für Verfassungsschutz dauert es durchschnittlich 260 Tage, bis ein Angriff vom attackierten Unternehmen überhaupt bemerkt wird. In dieser Zeit kann beispielsweise eine manipulierte Software installiert werden, die eine Maschine Bauteile nur um wenige Millimeter falsch zuschneiden lässt. Damit muss die gesamte Produktion der vergangenen Monate zurückgerufen werden. Die Aufzählung von möglichen Angriffszielen mit großen Gefahren für die Wirtschaft lässt sich unendlich erweitern. Dies hat auch der Gesetzgeber erkannt und sinnvollerweise mit dem IT-Sicherheitsgesetz erste Maßnahmen auf den Weg gebracht, um kritische Infrastrukturen wie Banken und Kraftwerke zu schützen.

Prüfpunkte der Versicherer

Absolut sinnvoll kann es sein, für das Unternehmen eine Versicherung gegen Hacking-Risiken abzuschließen. Diese sogenannten Cyberversicherungen müssen in der digitalen Wirtschaft zur Selbstverständlichkeit werden. Das Risiko durch Cyberangriffen ist für viele Unternehmen wesentlich höher als die bekannten „klassischen“ Risiken, wie etwa eine Versicherung gegen Feuer, Wasserschaden und andere bekannte Gefahren.

In Bezug auf einen Hacking-Angriff stellt sich nicht die Frage, ob er passieren wird sondern nur wann! Cyberversicherungen decken verschiedenste finanzielle Schäden ab und unterstützen im Schadensfall. Bevor Unternehmen versichert werden, prüfen allerdings die Versicherungen die technischen und organisatorischen Maßnahmen und geben Empfehlungen, wie sich diese minimieren lassen. In diesem Moment kommt dann auch wieder die Auftragsdatenverarbeitung in Spiel. Ist alles vollständig dokumentiert? Ist die Liste der Dienstleister vollständig und ist mit allen Geschäftspartnern, die personenbezogene Daten verarbeiten, ein Vertrag gemäß § 11 BDSG geschlossen? Als Datenschutzbeauftragter sollten Sie auch die Hersteller und Lieferanten von Komponenten und Software in die Mitverantwortung für Sicherheitslücken in ihren Produkten nehmen.

Fragen Sie hier nach, welche technischen und organisatorischen Maßnahmen schon „ab Werk“ ergriffen worden sind oder was im Vorfeld schon geleistet werden kann. Datenschutz ist ohne Datensicherheit nur eine leere Hülle. Oft als „Showstopper“ empfunden, sind es aber gerade solche Fragen, die ein Qualitätsverbesserungsmerkmal darstellen. Leider ist bei der Entwicklung ein Ansatz nach dem Prinzip „privacy by design“ noch eher selten.

Anzeige

 

Sicherheitsfachleute als Koordinatoren

Damit der Datenschutz aber gewissen Sicherheits- und Qualitätsstandards folgen kann und Angreifer bei der Datenkommunikation nicht diverse Sicherheitslücken vorfinden, ist es fundamental, diese Angriffsszenarien bei der Entwicklung zu bedenken.

Da Hacking-Angriffe und andere Cyberattacken immer häufiger speziell auf Firmen und Branchen zugeschnitten und damit nur sehr schwer abzuwehren sind, empfiehlt es sich, im Unternehmen über den Aufbau eines Computer-Emergency-Repsonse-Team (kurz: CERT) nachzudenken. Dies ist eine Gruppe von IT-Sicherheitsfachleuten, die bei der Lösung von konkreten IT-Sicherheitsvorfällen als Koordinator mitwirkt bzw. sich allgemein mit Computersicherheit befasst, indem sie Warnungen vor Sicherheitslücken herausgibt, aber auch direkt Lösungsansätze anbietet.

Notfallkonzept & Wiederanlaufplan

Natürlich kostet so etwas Ressourcen und je nach Größe des Unternehmens gestaltet sich der Aufbau eines solchen Teams schwierig. Was aber vor allem entscheidend ist: Wenn Sie sich mit der Bildung eines solchen Teams auseinandersetzen, werden automatisch die wichtigen Fragen gestellt: Wer kümmert sich bei einem Angriff um die IT? Gibt es einen Partner, den wir zu Hilfe holen müssen? Wer spricht mit der Presse? Gibt es für ein solches Szenario Notfallkonzepte und Wiederanlaufpläne – gerade auch in Bezug auf das Einspielen eines Backups?

Datenschutz-Ticker

Mit jeder Ausgabe neue Tipps, Anregungen, Hinweise auf aktuelle Urteile und Gesetzesänderungen, aber auch auf so manche vorteilhafte Gestaltungsmöglichkeit, die sich Ihnen als Datenschutzbeauftragten bietet.

Herausgeber: VNR Verlag für die Deutsche Wirtschaft AG
Sie können den kostenlosen E-Mail-Newsletter jederzeit wieder abbestellen.

Datenschutz

Anzeige

Produktempfehlungen

Praxisnahes Wissen zur Verbesserung und Erleichterung Ihrer Arbeit als betrieblicher Datenschutzbeauftragter!

IT-Know-how und Praxistipps für Datenschutzbeauftragte

Spezifische Schulungspräsentationen für verschiedene Unternehmensbereiche

Schnelle und einfache Mitarbeiterschulung

Umfassender Überblick für Datenschutzbeauftragte

Damit Sie auch die neuen Herausforderungen des betrieblichen Datenschutzes erfolgreich meistern!

Jobs