Datenwucher: Unternehmen brauchen ein Datenschutzkonzept

Ob in der Cloud oder on-premise – die Menge an personenbezogenen und organisatorischen Daten, die Unternehmen nutzen und speichern, hat stark zugenommen. Um auf der sicheren Seite zu bleiben, sind Datenschutzkonzepte eine unerlässliche Maßnahme, denn sie sichern die Compliance und sorgen im Ernstfall für die reibungslose Geschäftskontinuität. [...]

André Schindler, General Manager EMEA bei NinjaOne. (c) NinjaOne

Telefonnummern, E-Mail- sowie Wohnadressen, Geburtsdaten – personenbezogene, sensible Daten sind vertraulich und dürfen weder verloren gehen, noch in unbefugte Hände geraten. Auch wichtige Daten mit eingeschränktem Zugriff oder geschäftskritische Daten, die für die Aufrechterhaltung des Betriebs nötig sind, gehören dazu. Hierfür sollte jedes Unternehmen ein Datenschutzkonzept aufstellen, denn es ist für die Sicherheit der sensibel eingestuften Daten zuständig. Es legt etwa die Verfahren fest, die die Sicherheit wichtiger Unternehmensdaten gewährleisten. Dies betrifft sowohl deren Schutz vor Cyberattacken oder anderen Bedrohungen wie auch ihre Wiederherstellung, falls Daten verloren gehen sollten.

Nicht zu verwechseln ist das Datenschutzkonzept mit den unternehmensweiten Datenschutzrichtlinien. Kombiniert ist beides ein guter Maßnahmenplan für das gesamte Datensicherheitskonzept eines Unternehmens, doch während die Datenschutzrichtlinien in erster Linie für alle Mitarbeitenden formuliert sind, richtet sich ein Datenschutzkonzept an die IT-Teams.

Leitfaden zur Erstellung eines Datenschutzkonzepts

Die Grundlagen

Zuerst gilt es, die zu schützenden Daten im Unternehmen zu definieren. Hierbei sind nicht nur die Anforderungen des allgemeinen Geschäftsbetriebs zu berücksichtigen, auch die des Datenschutzrechts und einzelner Unternehmensbereiche müssen in Betracht gezogen werden. Zudem müssen IT-Verantwortliche sich mit der Datenschutzgrundverordnung (DSGVO) befassen, welche die informationelle Selbstbestimmung der Bürgerinnen und Bürger gewährleisten soll. Bei Nichteinhaltung drohen Unternehmen hohe Bußgelder. Daher gilt es, die zugrundeliegenden Datenschutzgesetze wie die DSGVO bei der Erstellung des Datenschutzkonzepts zu berücksichtigen.

Organisation der Daten

Bei Bedarf dürfen IT-Teams und Mitarbeitende nicht lange nach bestimmten Daten suchen. Ein leichter Zugriff kann im Vorfeld vorbereitet werden, indem die Daten organisiert und strukturiert abliegen. Das hilft jedem Involvierten im Arbeitsalltag genauso wie im Notfall, wenn Daten schnell wiederhergestellt werden müssen.

Wahl der Art und Turnus der Datensicherung

Als IT-Verantwortliche hat man sich sicherlich bereits Gedanken um das passende Backup gemacht, denn es ist wichtig, die Backup-Methode zu wählen, die für das Unternehmen am besten geeignet ist und am besten zu den definierten Datenschutz-Zielen passt. Aber nicht nur die Art und Weise der Datensicherung ist wichtig zu definieren, die Häufigkeit muss ebenfalls festgelegt werden. Zeiten für die regelmäßige Datensicherung sollten von IT-Verantwortlichen bestimmt werden. Ist es zusätzlich sinnvoll, die Backups zu automatisieren? Automatisierte Backups helfen dabei, den festgelegten Turnus einzuhalten und sorgen somit für einen zuverlässigen Datenschutz und -sicherheit.

Steuerung der Zugriffsrechte

Bei den Zugriffsrechten gilt: Weniger ist mehr. Datenzugriff sollten nur Personen erhalten, die jene Daten auch wirklich benötigen. Daher ist die Beschränkung der Zugriffe beim Thema Datenschutz immer ein sicherer Ansatz.

Dokumentation unerlässlich

In jedem Fall muss ein gutes Datensicherheitskonzept dokumentiert und vor allem allen Mitarbeitenden zur Verfügung gestellt werden. Es ist immer hilfreich, im Notfall Richtlinien zu kennen, die es zu befolgen gilt. Auch die IT-Dokumentation ist etwa beim Szenario der Wiederherstellung ein geeignetes Tool. Sollten Daten beschädigt oder vernichtet werden, muss das Datenschutzkonzept unbedingt auch einen Ablaufplan für die Datenwiederherstellung enthalten. IT-Teams sollten ebenfalls Daten-Backups sorgfältig dokumentieren und dafür sorgen, dass diese tatsächlich regelmäßig ausgeführt werden. Wichtig ist auch, die Datenwiederherstellung im Vorfeld zu testen. Dann sind sie im Ernstfall vorbereitet und können Probleme proaktiv bei ihrer Entstehung beheben.

Datenschutzkonzept: Drei zentrale Elemente

Sind die vorab genannten Aspekte für die Erstellung des Konzeptes verinnerlicht und in die Planung eingeflossen, so kommen drei zentrale Regeln ins Spiel, die die Datensicherheit bzw. -schutz im Rahmen eines Datenschutzkonzeptes gewährleisten:

  1. Sämtliche Phasen mit einbeziehen

Von der Datenerhebung bis zur -löschung deckt ein geeignetes Datenschutzkonzept sämtliche Phasen ab. Dadurch wird Datensicherheit systematisch garantiert, statt bloß ad hoc provisorische Einzelmaßnahmen immer wieder neu entscheiden zu müssen. Die Datenerhebung macht die erste Phase aus: Die Daten werden nach ihrer Sensibilität bewertet und ein geeigneter Speicherort für sie definiert. Im Anschluss an die Datenspeicherung werden die Daten nun jenen Stellen zugeteilt, die sie benötigen. Schließlich geht es in der letzten Phase um die Datensicherheit durch Zugangsbeschränkungen.

  1. Verwaltung von Zugriffsrechten

Eine der wichtigsten Methoden, die unerwünschte Offenlegung oder betrügerische Verwendung sensibler Daten zu reduzieren, ist die penible Verwaltung der Zugriffsrechte. Die Zuweisung bzw. Verweigerung der Zugriffsrechte erfolgt etwa durch die Verwendung von Passwörtern und Verschlüsselungstechniken. Nur Beschäftigte, die über die richtigen Passwörter oder Entschlüsselungswerkzeuge verfügen, können auf die entsprechend geschützten Daten zugreifen.

  1. Datensicherung

Um die kritischen Daten im Ernstfall schnell wiederherstellen zu können, ist die Datensicherung eine unabdingbare Voraussetzung. Idealerweise können Unternehmen bei Datenbeschädigung oder -verlust auf Sicherungskopien zurückgreifen. Dies setzt eine entsprechende Datensicherungsstrategie voraus. Eine Backup-Strategie bedeutet, dass ein Plan festgelegt wird, wo, nach welchen Kriterien und wie oft die Daten gesichert werden sollen – individuell angepasst auf die Bedürfnisse des jeweiligen Unternehmens.

Ein einfaches Beispiel ist die 3-2-1-Backup-Strategie: Drei Sicherungskopien, die an jeweils unterschiedlichen Speicherorten liegen. Darunter wiederum sollte ein externer Speicherort sein, der also außerhalb der Unternehmensniederlassung liegt, während die anderen beiden Kopien lokal auf je unterschiedlichen Medien erstellt werden sollten.

Fazit

Kommt es zu einem Ausfall des IT-Systems, weiß das komplette IT-Team dank des Datenschutzkonzepts, was folglich zu tun ist. Mit einem Datenschutzkonzept können IT-Verantwortliche für die systematische Sicherstellung des Datenschutzes sorgen.
So behält ein Unternehmen die Kontrolle über sämtliche sensible Geschäftsdaten. Ein umfangreiches Konzept, das sämtliche Phasen, die Daten im Unternehmen durchlaufen, berücksichtigt sowie aktiv angepasste Zugriffsrechte und eine angepasste Backup-Strategie vorsieht, ist eine ideale Grundlage für die Erstellung eines Datenschutzplans.

Um diesem Konzept in der Praxis gerecht zu werden, lohnt sich ein Blick auf den Einsatz einer einheitlichen IT-Management-Plattform. Sei es über Managed Service Provider oder in-house – IT-Management-Software kann zudem nützliche, automatisierte Cybersicherheits-Tools bereit halten, um Unternehmen vor Datenverlusten zu schützen und die Unternehmensdaten zu schützen.

*André Schindler ist General Manager EMEA bei NinjaOne.


Mehr Artikel

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

News

Risiken beim Einsatz von GenAI in vier Schritten senken

Die Themen Datenschutz und Modellverwaltung sind in der Datenwissenschaft zwar nicht neu, doch GenAI hat ihnen eine neue Dimension der Komplexität verliehen, die Datenschutzbeauftragte vor neue Herausforderungen stellt. Die Data-Science-Spezialisten von KNIME haben die Potenziale und Risiken der KI-Nutzung beim Einsatz bei der Datenarbeit zusammengefasst und empfehlen vier Schritte zur Risikominimierung. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*