Ob in der Cloud oder on-premise – die Menge an personenbezogenen und organisatorischen Daten, die Unternehmen nutzen und speichern, hat stark zugenommen. Um auf der sicheren Seite zu bleiben, sind Datenschutzkonzepte eine unerlässliche Maßnahme, denn sie sichern die Compliance und sorgen im Ernstfall für die reibungslose Geschäftskontinuität. [...]
Telefonnummern, E-Mail- sowie Wohnadressen, Geburtsdaten – personenbezogene, sensible Daten sind vertraulich und dürfen weder verloren gehen, noch in unbefugte Hände geraten. Auch wichtige Daten mit eingeschränktem Zugriff oder geschäftskritische Daten, die für die Aufrechterhaltung des Betriebs nötig sind, gehören dazu. Hierfür sollte jedes Unternehmen ein Datenschutzkonzept aufstellen, denn es ist für die Sicherheit der sensibel eingestuften Daten zuständig. Es legt etwa die Verfahren fest, die die Sicherheit wichtiger Unternehmensdaten gewährleisten. Dies betrifft sowohl deren Schutz vor Cyberattacken oder anderen Bedrohungen wie auch ihre Wiederherstellung, falls Daten verloren gehen sollten.
Nicht zu verwechseln ist das Datenschutzkonzept mit den unternehmensweiten Datenschutzrichtlinien. Kombiniert ist beides ein guter Maßnahmenplan für das gesamte Datensicherheitskonzept eines Unternehmens, doch während die Datenschutzrichtlinien in erster Linie für alle Mitarbeitenden formuliert sind, richtet sich ein Datenschutzkonzept an die IT-Teams.
Leitfaden zur Erstellung eines Datenschutzkonzepts
Die Grundlagen
Zuerst gilt es, die zu schützenden Daten im Unternehmen zu definieren. Hierbei sind nicht nur die Anforderungen des allgemeinen Geschäftsbetriebs zu berücksichtigen, auch die des Datenschutzrechts und einzelner Unternehmensbereiche müssen in Betracht gezogen werden. Zudem müssen IT-Verantwortliche sich mit der Datenschutzgrundverordnung (DSGVO) befassen, welche die informationelle Selbstbestimmung der Bürgerinnen und Bürger gewährleisten soll. Bei Nichteinhaltung drohen Unternehmen hohe Bußgelder. Daher gilt es, die zugrundeliegenden Datenschutzgesetze wie die DSGVO bei der Erstellung des Datenschutzkonzepts zu berücksichtigen.
Organisation der Daten
Bei Bedarf dürfen IT-Teams und Mitarbeitende nicht lange nach bestimmten Daten suchen. Ein leichter Zugriff kann im Vorfeld vorbereitet werden, indem die Daten organisiert und strukturiert abliegen. Das hilft jedem Involvierten im Arbeitsalltag genauso wie im Notfall, wenn Daten schnell wiederhergestellt werden müssen.
Wahl der Art und Turnus der Datensicherung
Als IT-Verantwortliche hat man sich sicherlich bereits Gedanken um das passende Backup gemacht, denn es ist wichtig, die Backup-Methode zu wählen, die für das Unternehmen am besten geeignet ist und am besten zu den definierten Datenschutz-Zielen passt. Aber nicht nur die Art und Weise der Datensicherung ist wichtig zu definieren, die Häufigkeit muss ebenfalls festgelegt werden. Zeiten für die regelmäßige Datensicherung sollten von IT-Verantwortlichen bestimmt werden. Ist es zusätzlich sinnvoll, die Backups zu automatisieren? Automatisierte Backups helfen dabei, den festgelegten Turnus einzuhalten und sorgen somit für einen zuverlässigen Datenschutz und -sicherheit.
Steuerung der Zugriffsrechte
Bei den Zugriffsrechten gilt: Weniger ist mehr. Datenzugriff sollten nur Personen erhalten, die jene Daten auch wirklich benötigen. Daher ist die Beschränkung der Zugriffe beim Thema Datenschutz immer ein sicherer Ansatz.
Dokumentation unerlässlich
In jedem Fall muss ein gutes Datensicherheitskonzept dokumentiert und vor allem allen Mitarbeitenden zur Verfügung gestellt werden. Es ist immer hilfreich, im Notfall Richtlinien zu kennen, die es zu befolgen gilt. Auch die IT-Dokumentation ist etwa beim Szenario der Wiederherstellung ein geeignetes Tool. Sollten Daten beschädigt oder vernichtet werden, muss das Datenschutzkonzept unbedingt auch einen Ablaufplan für die Datenwiederherstellung enthalten. IT-Teams sollten ebenfalls Daten-Backups sorgfältig dokumentieren und dafür sorgen, dass diese tatsächlich regelmäßig ausgeführt werden. Wichtig ist auch, die Datenwiederherstellung im Vorfeld zu testen. Dann sind sie im Ernstfall vorbereitet und können Probleme proaktiv bei ihrer Entstehung beheben.
Datenschutzkonzept: Drei zentrale Elemente
Sind die vorab genannten Aspekte für die Erstellung des Konzeptes verinnerlicht und in die Planung eingeflossen, so kommen drei zentrale Regeln ins Spiel, die die Datensicherheit bzw. -schutz im Rahmen eines Datenschutzkonzeptes gewährleisten:
- Sämtliche Phasen mit einbeziehen
Von der Datenerhebung bis zur -löschung deckt ein geeignetes Datenschutzkonzept sämtliche Phasen ab. Dadurch wird Datensicherheit systematisch garantiert, statt bloß ad hoc provisorische Einzelmaßnahmen immer wieder neu entscheiden zu müssen. Die Datenerhebung macht die erste Phase aus: Die Daten werden nach ihrer Sensibilität bewertet und ein geeigneter Speicherort für sie definiert. Im Anschluss an die Datenspeicherung werden die Daten nun jenen Stellen zugeteilt, die sie benötigen. Schließlich geht es in der letzten Phase um die Datensicherheit durch Zugangsbeschränkungen.
- Verwaltung von Zugriffsrechten
Eine der wichtigsten Methoden, die unerwünschte Offenlegung oder betrügerische Verwendung sensibler Daten zu reduzieren, ist die penible Verwaltung der Zugriffsrechte. Die Zuweisung bzw. Verweigerung der Zugriffsrechte erfolgt etwa durch die Verwendung von Passwörtern und Verschlüsselungstechniken. Nur Beschäftigte, die über die richtigen Passwörter oder Entschlüsselungswerkzeuge verfügen, können auf die entsprechend geschützten Daten zugreifen.
- Datensicherung
Um die kritischen Daten im Ernstfall schnell wiederherstellen zu können, ist die Datensicherung eine unabdingbare Voraussetzung. Idealerweise können Unternehmen bei Datenbeschädigung oder -verlust auf Sicherungskopien zurückgreifen. Dies setzt eine entsprechende Datensicherungsstrategie voraus. Eine Backup-Strategie bedeutet, dass ein Plan festgelegt wird, wo, nach welchen Kriterien und wie oft die Daten gesichert werden sollen – individuell angepasst auf die Bedürfnisse des jeweiligen Unternehmens.
Ein einfaches Beispiel ist die 3-2-1-Backup-Strategie: Drei Sicherungskopien, die an jeweils unterschiedlichen Speicherorten liegen. Darunter wiederum sollte ein externer Speicherort sein, der also außerhalb der Unternehmensniederlassung liegt, während die anderen beiden Kopien lokal auf je unterschiedlichen Medien erstellt werden sollten.
Fazit
Kommt es zu einem Ausfall des IT-Systems, weiß das komplette IT-Team dank des Datenschutzkonzepts, was folglich zu tun ist. Mit einem Datenschutzkonzept können IT-Verantwortliche für die systematische Sicherstellung des Datenschutzes sorgen.
So behält ein Unternehmen die Kontrolle über sämtliche sensible Geschäftsdaten. Ein umfangreiches Konzept, das sämtliche Phasen, die Daten im Unternehmen durchlaufen, berücksichtigt sowie aktiv angepasste Zugriffsrechte und eine angepasste Backup-Strategie vorsieht, ist eine ideale Grundlage für die Erstellung eines Datenschutzplans.
Um diesem Konzept in der Praxis gerecht zu werden, lohnt sich ein Blick auf den Einsatz einer einheitlichen IT-Management-Plattform. Sei es über Managed Service Provider oder in-house – IT-Management-Software kann zudem nützliche, automatisierte Cybersicherheits-Tools bereit halten, um Unternehmen vor Datenverlusten zu schützen und die Unternehmensdaten zu schützen.
*André Schindler ist General Manager EMEA bei NinjaOne.
Be the first to comment