Daten vor Verlust schützen: Schon mit einigen grundlegenden Maßnahmen lässt sich die Datensicherheit deutlich verbessern.
Die Europäische Datenschutz-Grundverordnung (DSGVO) sorgt auch ein halbes Jahr nach ihrem Inkrafttreten für beträchtliche Unsicherheit in den Unternehmen. Einer der Gründe dürfte sein, dass die Verordnung Aufgaben zuweist, ohne aber die Wege der Umsetzung konkret vorzugeben. So werden technische und organisatorische Maßnahmen verlangt, um personenbezogene Daten zu schützen. Was bei der DSGVO oft vergessen wird: Indirekt wird dort auch gefordert, dass die Unternehmen die Datensicherheit gewährleisten müssen. Es ist also Sorge dafür zu tragen, dass die Daten nicht verloren gehen oder gestohlen werden. Der wesentliche Unterschied zum Datenschutz: Es geht um die Sicherheit aller Daten – unabhängig davon, ob personenbezogen oder nicht.
Risiko-Management
Es liegt auf der Hand, dass Konzepte für die Datensicherheit Teil des betrieblichen Risiko-Managements sein müssen. Es ist zu analysieren, welche Risiken es im Einzelfall beim Arbeiten mit den Daten gibt und ob sich allgemeine Unternehmensrisiken auf die Datensicherheit auswirken können. Solche Aspekte gewinnen im Zeitalter der Digitalisierung und der zunehmenden Vernetzung an Brisanz, zumal der Verlust von Daten für die meisten Unternehmen existenzgefährdend ist. Das zeigte sich beispielsweise, als vor zwei Jahren Unternehmen unterschiedlicher Größe durch den sogenannten Locky-Virus und andere Verschlüsselungstrojaner (sogenannte Ransomware) in Bedrängnis gerieten. Erpresser verschlüsselten betriebliche Daten und erklärten, sie erst gegen Zahlung eines „Lösegelds“ wieder freizugeben.
Datensicherung ist kein Archiv
Wichtig ist es, zwischen der Datenarchivierung und der Datensicherung zu unterscheiden: Archivsysteme helfen beispielsweise dabei, die gesetzlichen Aufbewahrungspflichten und die Anforderungen der Finanzverwaltung zu erfüllen. Korrekt verwaltete Archive unterstützen die Unternehmen zudem, um den Compliance-Anforderungen zu genügen und das Qualitätsmanagement zu verbessern. Maßgeblich für eine ordnungsgemäße, IT-gestützte Buchhaltung sind die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD). Elektronische Signaturen und sogenannte Worm-Speicher („write once read many“), die das versehentliche Löschen, Überschreiben und Ändern von Daten verhindern, machen die Archive revisionssicher, sodass die Finanzverwaltung immer auf die korrekten und unveränderten Daten zugreifen kann. Die Archive sollten regelmäßig und automatisiert daraufhin überprüft werden, ob die vorgeschriebenen Archivierungszeiträume abgelaufen sind.
Anders sind die Ziele und Rahmenbedingungen bei der betrieblichen Datensicherheit: Hier steht nicht die Erfüllung gesetzlicher Anforderungen im Vordergrund, sondern der Schutz der Daten vor Verlust, vor unberechtigter Veränderung oder vor unberechtigtem Zugriff. Ziel der Datensicherung ist es, Daten im Verlustfall wieder herzustellen. Diese Sicherungen (Back-ups) müssen aber ebenfalls vor unberechtigtem Zugriff (beispielsweise durch Verschlüsselung) sowie vor Verlust geschützt werden, indem man sie automatisiert in externe Rechenzentren bzw. in die Cloud auslagert. Mit Tests wird überprüft, ob die Wiederherstellung der Daten im Notfall auch wirklich funktioniert und dass keine gelöschten oder veralteten Daten in das System eingespielt werden. Im Gegensatz zum Archivsystem orientiert sich die Speicherdauer nicht an gesetzlichen Vorgaben, sondern wird in der Regel je nach Organisation unterschiedlich gehandhabt. Eine weit verbreitete Back-up-Strategie ist beispielsweise das „Generationenprinzip“, bei dem die Monatssicherungen jeweils ein Jahr lang aufbewahrt werden.
Im Wesentlichen besteht der Unterschied zwischen der Datensicherung und einem Archiv darin, das mit der Datensicherung das Risiko eines Datenverlustes minimiert wird. Aus diesem Grund müssen bei der Datensicherung auch keine Betroffenenrechte im Sinne der Datenschutz-Grundverordnung (wie z. B. Ansprüche auf Löschungen) „aktiv“ umgesetzt werden. Allerdings berechtigt dies die Unternehmen nicht, über längere Zeiträume Datensicherungen aufzubewahren, in denen sich eventuell Daten befinden, die auf Wunsch der Betroffenen gelöscht sein sollten. In Archiven jedoch müssen personenbezogene Daten von Betroffenen im Sinne der DSGVO stets aktiv gelöscht werden, wobei man natürlich auf die erwähnten Aufbewahrungsauflagen gemäß der GoBD achten muss.
Wer die Datensicherung rechtlich korrekt und im Einklang mit den Vorschriften der DSGVO handhaben will, kann sie an spezialisierte IT-Dienstleister auslagern und das Risiko auf ihn übertragen. Denn ein solcher Dienstleister kann im Gegensatz zu einer intern ausgeführten Datensicherung diese extern zertifizieren lassen, was die Haftungsrisiken für den Auftraggeber nochmals mindert. Außerdem muss die IT-Fachfirma gewährleisten, dass auch Rücksicherungstests sowie eine Auslagerung im Zweifel sicher und verlässlich stattfinden. Diese Experten kennen stets die aktuellen technischen und gesetzlichen Anforderungen (z. B. DSGVO), sodass das firmeneigene IT-Personal zeitlich entlastet wird und sich auf wichtige Digitalisierungsprojekte konzentrieren kann.
Unverzichtbare Vorkehrungen
Viele Unternehmen fragen sich, wie weit sie den Aufwand für die Datensicherheit treiben müssen und ab wann sie ein akzeptables Sicherheitsniveau erreicht haben. Das Pareto-Prinzip, auch 80-zu-20-Regel genannt, verdeutlicht diesen Umstand: Demnach können Ziele schon mit einem geringen Aufwand von 20 Prozent zu 80 Prozent erreicht werden. Selbst wenn man diese Faustregel beim Datenschutz nicht allzu wörtlich nehmen sollte, so macht sie doch klar: Es gibt grundlegende Bausteine der Datensicherheit, die ein absolutes Muss sind. Werden sie sorgfältig umgesetzt, erreicht man schon eine beträchtliche Verbesserung des Schutzniveaus.
Zu den unabdingbaren Maßnahmen auch in kleinen Betrieben gehören:
- eine aktuelle Firewall einsetzen
- durchgängig einen professionellen Virenscanner verwenden
- Software immer aktualisieren
- Konzept für Zugriffsberechtigungen erarbeiten
- die IT-Nutzer im Betrieb regelmäßig schulen und für Probleme der Datensicherheit sensibilisieren
- eine Datensicherung regelmäßig und vollständig durchführen.
Damit sind bereits große Bereiche der Datensicherheit abgedeckt. Zusätzlich sollte man die betriebseigenen IT-Systeme daraufhin analysieren, welche individuellen Maßnahmen außerdem noch zu treffen sind. Hilfreich ist es dabei, ein durchgängiges IT-Sicherheitskonzept oder auch eine Datenschutzfolgeabschätzung auszuarbeiten. Ein solches Konzept macht auch Sinn, weil offengelegt wird, wo sich im Betrieb Datenschutzthemen überschneiden und wo bisher möglicherweise Doppelarbeit geleistet wurde.
Wer es an der notwendigen Vorsorge bei der Datensicherheit fehlen lässt, wird die Folgen spätestens dann schmerzlich spüren, wenn es zu Betriebsstörungen oder Datenverlusten kommt. Heute kann es sich kein Unternehmen leisten, dass zentrale IT-Komponenten ausfallen. Beim IT-Notfall-Management (auch „IT Business Continuity Management“ genannt) lässt sich schon mit wenigen Maßnahmen viel erreichen. Kein Unternehmen sollte diese Möglichkeiten ungenutzt lassen, um Risiken zu verringern.
