Datensicherheit – Worauf bei Anbietern achten?

 

In Zeiten der Digitalisierung spielt das Thema Datensicherheit eine immer größere Rolle in Unternehmen. Denn ein Cyber-Angriff oder eine Datenpanne können für Unternehmen schwerwiegende Folgen haben. Ein Datenverlust passiert oft schneller als gedacht. Die Gefahren sind nicht nur Viren, Würmer und Trojaner, sondern auch Hard- und Softwarefehler oder ein einfaches Versehen der Anwender. Dennoch sichern laut einer Auswertung des Netzwerks Elektronischer Geschäftsverkehr ein Viertel der kleinen und mittleren Unternehmen in Deutschland ihre Daten nicht oder nur sehr unregelmäßig. Heute gilt es jedoch mehr als je zuvor, Daten zu sichern und zu schützen. Aber worauf kommt es bei der Sicherheit von Daten an? Und was ist der Unterschied zum Datenschutz?

Was bedeutet Datensicherheit?

Datensicherheit umfasst alle technischen Maßnahmen, die zum Schutz von allen möglichen Arten von Daten dienen. Unabhängig davon, ob Daten personenbezogen sind oder nicht, geht es bei Datensicherheit um den generellen Schutz von Daten. Darunter fallen sowohl digitale Daten als auch analoge Daten auf Papier, wie z.B. Baupläne. In erster Linie geht es dabei nicht um die Datenerhebung und Datenverarbeitung, sondern darum, den Schutz der Daten zu gewährleisten. Eine Maßnahme dafür ist zum Beispiel die Datensicherung.

Welche Ziele verfolgt Datensicherheit?

  • Integrität: Daten vor Manipulation, Verlust, technischen Defekten und anderen Bedrohungen schützen
  • Vertraulichkeit: Datenzugriff nur durch berechtigte Personen
  • Verfügbarkeit: Vorhandene Daten stehen bereit und können nach Bedarf verwendet werden, Schutz vor Systemausfällen
  • Authentizität: Echtheit und Vertrauenswürdigkeit der Daten

Was ist der Unterschied zwischen Datenschutz und Datensicherheit?

Während Datensicherheit die technischen Maßnahmen zum Schutz von Daten meint, versteht man unter Datenschutz Gesetze und Vorschriften, die personenbezogene Daten vor Missbrauch bei der Verarbeitung schützen. Datensicherheit betrifft also alle Daten im Unternehmen, egal ob analog, digital, personenbezogen oder nicht. Datenschutz bezieht sich auf personenbezogene Daten. Die Grundlage für Datenschutz bilden gesetzliche Vorschriften. Zum einen das Bundesdatenschutzgesetz (BDSG) und zum anderen die Datenschutz-Grundverordnung (DSGVO). Die Maßnahmen für Datensicherheit liegen größtenteils im Ermessen des Unternehmens selbst bzw. beim Umsetzer.

Warum ist Datensicherheit so wichtig?

Maßnahmen zur Datensicherheit sind essenziell, um Cyber-Angriffe oder Datenlecks zu verhindern. In erster Linie soll ein Fremd-Zugriff auf Ihre Daten sowie der Verlust von Daten verhindert werden. Immer wieder führen technische Mängel in Punkto Datensicherheit zu Sicherheitslücken, die nicht nur wirtschaftliche Folgen für Unternehmen haben können, sondern auch das Vertrauen von Mitarbeitern, Kunden und Interessenten negativ beeinflussen und rechtliche Risiken mit sich bringen. Besonders bei der Wahl Ihrer Software-Systeme sollten Sie deshalb ausreichend Sicherheitsvorkehrungen treffen. Geben Sie beispielsweise Dritten Zugriff auf Ihre Daten oder speichern Sie Ihre Daten in Cloud-Systemen, sollten Sie die Sicherheitsmaßnahmen des Anbieters kennen und vertraglich festlegen, wie Ihre Daten dort verarbeitet werden.

Welche Maßnahmen führen zu Datensicherheit?

Bei Datensicherheits-Maßnahmen handelt es sich um Kontrollmechanismen, die unbefugten Zugriff und damit auch eine Datenmanipulation oder -entfernung verhindern sollen. Es gibt unterschiedliche Maßnahmen, die zur Erreichung von Datensicherheit beitragen. Diese können sowohl physisch als auch digital sein. Als Basis dienen vorrangig technisch-organisatorische Maßnahmen (TOM), die in §9 Bundesdatenschutzgesetz für datenverarbeitende Stellen beschrieben werden. Dort werden als Datensicherheitsmaßnahmen unterschiedliche Arten der Kontrolle angegeben, die durchgeführt werden oder gegeben sein müssen.

 Beispiele für Datensicherheits-Maßnahmen:

  • Digitale Maßnahmen: Einen Beitrag im digitalen Bereich können beispielsweise IT-Security Lösungen wie Virenscanner oder Firewalls bieten. Daneben spielt auch die Datensicherung wie beispielsweise die Erstellung von regelmäßigen Sicherheitskopien auf einem anderen Speichermedium, sog. Backups, eine wichtige Rolle. Auch eine solide Netzwerk-Infrastruktur und die Verschlüsselung von Daten stellen Grundvoraussetzungen zur Erreichung der Datenschutzziele dar.
  • Physische Sicherheitsmaßnahmen: zum Beispiel Zugangskontrollen oder feuerfeste Aktenschränke für vertrauliche Unterlagen
  • Organisatorische Maßnahmen: Verankern Sie den richtigen Umgang mit Daten in Ihrem Unternehmen durch Mitarbeiterschulungen, Weiterbildungen und Verhaltensrichtlinien
  • Personalpolitische Maßnahmen: Fachkräfte wie IT-Sicherheitsbeauftragte und Datenschutzbeauftragte

Datensicherheit in der Cloud

Cloud Computing nimmt in Punkto Datensicherheit eine besondere Stellung ein. Im Sinne des Bundesdatenschutzgesetzes gilt Cloud Computing als Auftragsdatenverarbeitung. Daraus ergibt sich, gemäß §11 BDSG, dass Nutzer von Cloud-Diensten selbst prüfen müssen, ob der Cloud-Anbieter die geltenden Datenschutzbestimmungen einhält. Daraus ergeben sich einige Faktoren, die bei der Auswahl des Cloud-Anbieters berücksichtigt werden sollten.

Was ist Cloud Computing?

Cloud Computing beschreibt die Nutzung von IT-Ressourcen über das Internet. Daten werden hierbei nicht lokal auf dem PC oder im Büro gespeichert, sondern auf einem Server in der Cloud, einem externen Datenspeicher. Über Cloud Computing können Unternehmen Speicherkapazitäten, Rechenleistung und Software über das Internet beziehen.

Ist der Einsatz einer Cloud sicher?

Seriöse Anbieter halten sich strikt an Sicherheitsvorgaben sowie geltende Gesetze und Vorschriften. Professionelle Rechenzentren sind in den meisten Fällen auf einem wesentlich höheren Sicherheitsniveau, als diese in Unternehmen mit eigenen Serverräumen aufgebaut werden könnte. Hierzu gehören beispielsweise: restriktive Zugangskontrollen, Brandschutzanlagen, Notstromversorgung und regelmäßige Backups in ein georedundantes Data Center.
Wichtig ist, dass entsprechende Anbieter mit Bedacht gewählt und Service Level Agreements genau geprüft werden.

Ein Service Level Agreement (SLA) ist eine Vereinbarung zwischen Dienstleister und Auftraggeber, in dem festgelegt wird in welcher Qualität eine bestellte Dienstleistung erbracht werden muss.

Beim Thema Datensicherheit sollte Sie darauf achten, dass im SLA die notwendigen Verfügbarkeiten, Backups, Ausfallzeiten und lokaler Support gewährleistet werden.

Checkliste Cloud Inhouse

Worauf sollten Sie bei Cloud-Anbietern achten?

Egal ob Sie über eine Cloud Ihre Speicherkapazitäten erweitern, Rechenleistung beziehen oder eine Software-Lösung wie beispielsweise CRM- oder ERP-System verwenden, wählen Sie Ihre Anbieter nicht leichtfertig und achten Sie unbedingt auf mehrere Faktoren:

  • Verschlüsselte Übertragung: Stellen Sie sicher, dass die Datenübertragung über eine verschlüsselte Verbindung erfolgt.
  • Spezialisierte Anbieter: Achten Sie bei Ihrem Cloud-Anbieter darauf, dass er an die Anforderungen der Art der Daten und der jeweiligen Branche angepasst ist.
  • Datensicherung: Seriöse Anbieter bieten eine mehrfache Datenabsicherung und regelmäßige Backups.
  • Ausfallsicherheit: Stellen Sie sicher, dass Ihr Anbieter Ihre Daten an unterschiedlichen Servern und Standorten bereitstellt. Damit erhöhen Sie die Verfügbarkeit Ihrer Cloud-Dienste.
  • Zertifizierungen: Es gibt verschiedene Gütesiegel, die eine erste Orientierung in Hinblick auf einen rechtskonformen und sicheren Datenumgang verschiedener Anbieter geben. Achten Sie dabei auf verschiedene Faktoren. Agiert Ihr Unternehmen beispielsweise überwiegend auf nationaler Ebene, können Zertifikate für den deutschen Raum ausreichend sein. Wenn Sie überwiegend global aktiv sind, sollten Sie zusätzlich europäische und internationale Zertifikate beachten.
  • DSGVO: Achten Sie darauf, dass die Bestimmungen der Datenschutzverordnung eingehalten werden. Im Software-Bereich gibt es auch das Zertifikat „Software hosted in Germany“. Der Bundesverband IT-Mittelstand zeichnet damit aus, dass alle Daten der Cloud-Lösung in Deutschland gehostet werden und bescheinigt den verantwortungsbewussten Umgang nach aktuellem Datenschutzrecht.
  • Unternehmensstandort: Vorsicht vor US-Cloud-Diensten! Legen Sie ein besonderes Augenmerk auf den Standort Ihres Anbieters. Viele Anbieter haben ihren Hauptsitz in den USA, wo andere Richtlinien und Gesetze als in der EU gelten. Besonders erwähnenswert ist in den USA das CLOUD Act Gesetz, das es US-amerikanischen Behörden erlaubt, auf Nutzerdaten ohne deren Wissen zuzugreifen. Dieses Gesetz kann Unternehmen beeinträchtigen, wenn sie einen intensiven Datenschutz verfolgen. Verwenden Unternehmen weiterhin Cloud-Anbieter von US-Firmen, sind sie nicht mehr datenschutzkonform, was auch zu rechtlichen Konsequenzen führen kann. Überlegen Sie sich deshalb sehr genau, welche Cloud-Anbieter Sie nutzen.

Deshalb sollte Ihr Unternehmen auf Cloud-Anbieter aus Deutschland setzen

1. EU-Datenschutz-Grundverordnung

Für Cloud-Anbieter mit Unternehmenssitz und Servern in Deutschland gilt die DSGVO. Die darin enthaltenen Vorschriften müssen alle Unternehmen und Organisationen seit Mai 2018 umsetzen. Darunter fällt ein verbesserter Schutz von personenbezogenen Daten, der auch für die Speicherung und Verarbeitung der Daten auf Servern und Speichersystemen von Cloud-Anbietern greift.

2. Fachliche Hilfestellung

Insbesondere mittelständische Unternehmen stellt die Erweiterung der unternehmensinternen IT-Landschaft um Cloud-Services oft vor Herausforderungen. In diesem Fall ist es von Vorteil, wenn der Cloud-Anbieter fachliche Beratung anbietet und dabei hilft, das passende Bereitstellungsmodell zu ermitteln. Bei großen Cloud-Diensten wird häufig nur ein Selbsthilfemodell angeboten.

3. Service und Support

Anbieter aus Deutschland können Ihnen persönlichen Kundenservice und Kundenbetreuung auf Augenhöhe und nächster Nähe bieten. Dabei ist es natürlich von Vorteil, wenn Nutzer und Cloud-Anbieter dieselbe Sprache sprechen, um Missverständnisse zu vermeiden. Zudem können Support-Dienste auch direkt vor Ort geleistet werden.

4. Vertrauen

Persönliche Nähe, Zertifizierungen und ein fachlicher Ansprechpartner führen letztendlich auch zu einem höheren Vertrauen seitens Unternehmen, Mitarbeitern und Kunden. Laut einer Studie von Bitdefender, einem IT-Sicherheitshersteller, bewerten 89 Prozent der deutschen IT-Entscheider Cloud-Anbieter aus Deutschland als besonders vertrauenswürdig.

Fazit: Gehen Sie bei Datensicherheit auf Nummer sicher

Datensicherheit stellt ein zentrales Thema für jedes Unternehmen dar. Entsprechende Maßnahmen zur Erreichung der Datensicherheit sind essenziell, um Ihre Daten aller Art zu schützen und Hacker-Angriffe und Datenverlust zu verhindern. Treffen Sie notwendige technische, physische, personalpolitische und organisatorische Vorkehrungen, um die Datensicherheit in Ihrem Unternehmen zu gewährleisten. Besonders wenn Sie auf Cloud Computing setzen, ist eine sorgfältige Prüfung und Auswahl der Anbieter notwendig. Achten Sie dabei besonders auf Standort und Zertifizierungen der Provider.

Rating: 4.8/5. From 5 votes.
Please wait...

Das könnte Ihnen auch gefallen Mehr vom Autor

Wir freuen uns über Ihren Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.