Bedrohungen abwehren

Daten sichern in 4 Schritten

03. September 2015
Olaf Riedel ist verantwortlicher Partner für die Beratungsgesellschaft EY in der DACH-Region. Als Mitglied im Fachausschuss IT des IDW arbeitet er an der Weiterentwicklung von Rechnungslegungsstandards mit Auswirkungen auf IT-spezifische Aspekte des Risikomanagements.
Der digitale Wandel schafft neue Möglichkeiten – und neue Bedrohungen. Mit effektiven Informationssicherheitsprogrammen kommen Unternehmen Bedrohungen zuvor.

Unternehmen müssen ihre Daten gegen immer raffiniertere Angriffe und vor zunehmendem Missbrauch schützen: Versagen die Schutzmechanismen, hat das oft schwerwiegende finanzielle Konsequenzen für das Unternehmen und führt zu Imageschäden. Wirksame Informationssicherheitsprogramme sind für Unternehmen deshalb existenziell wichtig.

In vier Schritten stellen Sie Ihre Informationssicherheit professionell auf:

1. Das Programm auf die eigenen Bedürfnisse abstimmen

Zum einen müssen Unternehmen die juristischen, regulatorischen und branchenspezifischen Compliance-Vorgaben einhalten, um bestimmte Daten wie etwa Kreditkartennummern zu sichern. Zum anderen werden diejenigen Daten geschützt, die dem Unternehmen einen Wettbewerbsvorteil bringen. Dazu gehören zum Beispiel Forschungsergebnisse oder neue Produktentwicklungen.

Es gibt keine "one-size-fits-all"-Lösung bei der Informationssicherheit. Unternehmen müssen die jeweiligen Maßnahmen immer auf ihre individuelle Situation abstimmen.
Es gibt keine "one-size-fits-all"-Lösung bei der Informationssicherheit. Unternehmen müssen die jeweiligen Maßnahmen immer auf ihre individuelle Situation abstimmen.
Foto: Maksim Kabakou - shutterstock.com

Dazu müssen die Unternehmen festlegen, welche Daten besonders schützenswert sind. Zum Beispiel sind die Daten zu einem Produkt, das seit Jahren erfolgreich am Markt ist, nicht so sensibel wie die eines Produkts in einem frühen Entwicklungsstadium. Werden zu viele Daten als sensibel deklariert, mindert das jedoch die Effektivität des gesamten Informationssicherheitsprogramms. Ein Blick von außen kann hier hilfreich sein: Das Unternehmen sollte sich Fragen stellen, wie

  • "Welche Daten würden uns am meisten schaden, wenn sie in falsche Hände gelangen?"

  • "Welche Informationen sichern unseren Vorteil im Markt?"

  • "Welche Daten würde jemand stehlen wollen?"

Solche Fragen helfen dabei herauszufinden und zu definieren, was für das Unternehmen wirklich am wichtigsten ist.

Abb. 1: Alle Daten durchlaufen den Datenschutz-Lebenszyklus eines Unternehmens. Hier muss an den verschiedenen Stellen immer wieder nachjustiert werden, damit die kritischen Daten geschützt sind.
Abb. 1: Alle Daten durchlaufen den Datenschutz-Lebenszyklus eines Unternehmens. Hier muss an den verschiedenen Stellen immer wieder nachjustiert werden, damit die kritischen Daten geschützt sind.
Foto: Ernst & Young

2. Eine effektive Struktur implementieren

Ein klarer, durchdachter Aufbau des Informationssicherheitsprogramms stellt sicher, dass alle wichtigen Stakeholder einbezogen werden. Entscheidend ist, dass das Programm nicht nur bei der IT-Abteilung verankert, sondern auch eng mit dem Business verknüpft ist.

Erfolgsfaktoren für eine tragfähige Struktur Ihrer Informationssicherheit sind:

  • ein zentralisiertes Governance-Modell

  • ein globales Rahmenkonzept für das Programm (Prozesse, Richtlinien und Regeln)

  • ein zentralisierter Support für die verwendeten technischen Lösungen

  • eine zentralisierte Ersteinschätzung und Reaktion auf Verstöße

  • festgelegte Prozesse zur Eskalation von Verstößen und zum Workflow

  • die Klassifizierung von Daten liegt in der Verantwortung der Business Units

  • Business Units werden einbezogen, um Informationssicherheitsanforderungen aufzuzeigen und um zu reagieren, wenn Vorkommnisse identifiziert werden.

Darüber hinaus müssen klare Richtlinien für die Klassifizierung der Daten festgelegt werden. Im Allgemeinen wird zwischen sensiblen Daten, die dem Unternehmen bei Veröffentlichung schaden würden, und nicht beschränkten Daten unterschieden. Zwischen diesen Extremen gibt es Abstufungen, die je nach Unternehmen festgelegt werden. Dazu bieten sich Systeme mit drei bis fünf unterschiedlichen Kategorien an, die die Behandlung der zugeordneten Daten definieren. Die Daten werden unter anderem durch Farbkodierung oder die Verwendung von Labels für alle Mitarbeiter deutlich gekennzeichnet. So weiß jeder, wie die Daten zu behandeln sind.

3. Die wichtigsten Daten schützen

Mit Hilfe von IT-Anwendungen lassen sich sensible Daten schützen. Dabei gibt es verschiedene Ansatzpunkte, abhängig vom Typus der vorliegenden Daten (siehe Abb. 2):

  • Daten, die verschickt werden

  • Daten, die gerade verarbeitet werden

  • Daten, die abgespeichert sind.

Diese Daten-Typen sollten in der allgemeinen Informationssicherheitsstrategie verankert sein.

Für die Bearbeitung sensibler Daten werden Berechtigungen nur an bestimmte Mitarbeiter erteilt. Andere Mitarbeiter dürfen nicht in der Lage sein, diese Daten zu ändern oder sogar zum Teil sie zu lesen. Darüber hinaus sollten alle IT-Anwendungen, die Zugriff auf Datenbanken im Unternehmen haben, daraufhin überprüft werden, ob sie den Nutzern Funktionen wie "Speichern" oder "Exportieren" bieten. Diese Funktionen sollten ausgeschaltet oder nur einer kleinen Gruppe von Mitarbeitern zur Verfügung gestellt werden, für deren Arbeit sie unerlässlich sind.

Zum Verschicken von Daten müssen entsprechende SicherheitsvorkehrungenSicherheitsvorkehrungen getroffen werden: Mit IT-Lösungen lassen sich zu verschickende Daten verschlüsseln. Außerdem kann man für bestimmte Daten den Versand über das Internet einschränken. Firewalls und Filter bieten die Möglichkeit, den Zugang zu Services und Websites einzugrenzen, wenn sie ein potenzielles Risiko für die Datensicherheit im Unternehmen darstellen. Alles zu Security auf CIO.de

Abgespeicherte Daten werden durch wiederum andere Prozesse geschützt. Die Inventur aller sensiblen Daten hilft dabei zu überprüfen, ob Daten sich an den am besten geschützten Speicherplätzen befinden oder ob sie dorthin verschoben werden müssen.

Durch die Analyse der Daten kann festgestellt werden, wer sie vorwiegend nutzt. Basierend darauf kann das Unternehmen Verantwortlichkeiten festlegen, die wichtigen Stakeholder identifizieren, die zum Umgang mit Daten speziell geschult werden, und Zugangsrechte ableiten. Diese müssen regelmäßig auf ihre Aktualität überprüft werden, um sicherzustellen, dass nur die zuständigen Mitarbeiter Zugriff haben. Die Verschlüsselung aller externen Speichermedien hält im Falle eines Verlusts das Risiko für die Daten gering. Gleiches gilt für mobile Endgeräte: Hier sollte der Zugang durch Passwörter und Verschlüsselung besonders gut geschützt sein, da viele der Geräte selbst nicht über ausreichende Sicherungsmaßnahmen verfügen.

Abb. 2: Die im Unternehmen existierenden Daten lassen sich in drei Kategorien einteilen, die verschiedene Datenschutz-Kontrollmechanismen verlangen.
Abb. 2: Die im Unternehmen existierenden Daten lassen sich in drei Kategorien einteilen, die verschiedene Datenschutz-Kontrollmechanismen verlangen.
Foto: Ernst & Young

4. Eine Kultur der Informationssicherheit schaffen

Das Bewusstsein für Informationssicherheit muss in der Unternehmenskultur fest verankert werden. Zuerst gilt es falsch laufende Prozesse, die im Zuge der Analysen bekannt geworden sind, zu adjustieren. Die Fachbereiche sollten bei Informationssicherheitsverstößen direkt einbezogen werden, weil sie die Reichweite des jeweiligen Verstoßes besser einschätzen können.
Um bei allen Mitarbeitern das Bewusstsein für Informationssicherheit zu stärken, bieten sich Trainings anhand konkreter Praxisbeispiele an. Außerdem sollten Konsequenzen definiert werden, die den Mitarbeitern bei vorsätzlichen Verstößen drohen. Eine ganzheitliche Kommunikation sollte all diese Maßnahmen begleiten.

Der Erfolg des Informationssicherheitsprogramms sollte regelmäßig überprüft werden. Dazu bieten sich Messgrößen und Kennzahlen an, die das Bewusstsein für Informationssicherheit bei allen Datennutzern steigern, die Prozesse optimieren und das Business stark bei der Bewertung einbeziehen.

Informationssicherheit ist Partnerarbeit von Fachbereichen und IT

Wenn die Fachbereiche und die IT-Abteilung nicht zusammenarbeiten, entwickeln sich Informationssicherheitsprojekte häufig in die falsche Richtung und scheitern. Deshalb ist es wichtig, dass das Business die entscheidenden Impulse und Hinweise zu sensiblen Daten und möglichen Schwachstellen gibt. Dort kann dann von den Informationssicherheitsverantwortlichen auf IT-Seite effektiv nachjustiert werden. Nur so können Unternehmen ihre Anstrengungen in der Informationssicherheit zum gewünschten Erfolg bringen.

Zur Startseite