Wie finde ich heraus, welche Daten meine „Kronjuwelen“ sind?
Mit der Beantwortung dieser Frage geht es jetzt wirklich ans Eingemachte. Denn genau hier haben es Unternehmerinnen und Unternehmer in der Hand, selbst etwas zu tun und den Cyber-Stier bei den Hörnern zu packen.
Denn nicht alle Daten und Informationen, die ein Unternehmen „besitzt“, also speichert und verarbeitet, sind gleich wichtig oder gleichermaßen gefährdet. Da gilt es nun einmal genau hinzusehen.
Einige Daten benötigt jedes Unternehmen, um zu funktionieren: Personaldaten der Belegschaft, Kundendaten für Rechnungsstellungen, Informationen zu Lieferanten usw. Andere Informationen sind spezifisch für eine Branche oder ein Geschäftsmodell:
- Datenbanken mit Bewerberinnen und Bewerbern für Personalberatungen
- Medizinische oder gesundheitsbezogene Daten in Krankenhäusern oder für spezielle Überwachungsapps
- Fitnessdaten in Sportapps
- Zutatenlisten und Rezepte in der Lebensmittel- oder Pharmaindustrie
- Patente und Fertigungsdetails für produzierende Unternehmen
Abhängig davon, in welcher Form diese Informationen aufbewahrt oder gespeichert oder gar weiterverarbeitet werden, sollte die Sicherheit der Information gewährleistet sein. In manchen Fällen gibt es für die Definition von „Sicherheit“ gesetzliche Vorgaben, die aus gutem Grund erfüllt werden müssen. Dies gilt z.B. für Finanzdaten oder- transaktionen und Gesundheitsdaten. In anderen Fällen entscheiden Unternehmerinnen und Unternehmer selbst, welchen Grad von Sicherheit sie den Daten angedeihen lassen.
Vor allem bei elektronischen Daten und Informationen für häufige Anwendungsfälle gibt es bereits etablierte fertige Lösungen, die man einfach einkaufen kann. Das beste Beispiel ist der Service für E-Mail: in der Regel wird ein Sicherheitspaket zum Schutz der Unternehmensemails vom Dienstleister angeboten, der eine gewisse Grundsicherheit gewährleistet.
Für speziellere oder komplexe IT-Lösungen sollte allerdings gezielt und explizit festgelegt werden, welche Maßnahmen zum Schutz der Daten und Informationen getroffen werden. Warum? Weil der Verlust oder die Nicht-Verfügbarkeit einiger dieser Daten unter Umständen den Geschäftsbetrieb empfindlich stören oder gar komplett zum Stillstand bringen kann.
Welche Daten das sind, wissen Sie im Management am besten. Wie man sie dann schützt, dabei können Spezialistinnen und Spezialisten helfen.
In 5 Schritten führen Sascha Maier und Sandra Aengenheyster Geschäftsführerinnen und Geschäftsführer von KMU zu einem individuellen, widerstandsfähigen und robusten Sicherheits-Ökosystem für ihr Unternehmen. (Springer Gabler, November 2020)*
—————————/BUCHTIPP—————————
Wo soll man denn anfangen? Das hört sich kompliziert an!
Ja, das hört sich zunächst einmal kompliziert und aufwändig an, alle Daten und Informationen zu betrachten und zu beurteilen, wie wertvoll oder wie sehr sie einem Risiko ausgesetzt sind. Die gute Nachricht: es gibt Vorlagen und Listen, die Punkt für Punkt abgearbeitet und kommentiert werden können. Zum Beispiel auf den Seiten des BSI zum BSI-Grundschutz. Diese fertigen Checklisten gibt es auch für kleine und mittelständische Unternehmen und sie helfen dabei, ganz systematisch zu prüfen und zu beurteilen, welche Informationen und Daten in Ihrem Unternehmen genutzt werden, wie wichtig sie für die Handlungs- und Lebensfähigkeit Ihres Unternehmens sind und ob bereits ein ausreichender technischer Schutz besteht oder noch nicht.
Apropos technischer Schutz: der ist eine enorm wichtige Grundlage und sollte gewährleistet sein, reicht aber keinesfalls aus. Ihre Organisation muss auch in der Lage sein, diese technischen Schutzmaßnahmen zu bedienen und zu verstehen, warum sie wichtig sind. Aber das ist ein anderes Thema, mehr dazu im Beitrag „Cyber-Security Awareness: internes Marketing Ihrer Sicherheitslösungen“.
Was bedeutet „Schutz“ meiner Daten und Informationen?
Nehmen wir an, Sie wissen nun genau, was Ihr Unternehmen besonders wertvoll macht. Welche Werte – physische wie nichtphysische – Sie schützen müssen. Im nächsten Schritt haben Sie auch die Frage beantwortet, wie gefährdet sind diese Werte sind. Bleibt die Frage zu klären, welcher Art von Gefahr oder Risiko Ihre Daten und Informationen ausgesetzt sind. Oder umgekehrt, was ist an diesen wichtig, zu schützen?
- Vertraulichkeit:
Nur ein bestimmter, zuvor definierter Personenkreis soll überhaupt den Zugang zu diesen Informationen erhalten, z.B. Umsatzzahlen oder Personaldaten. Um Vertraulichkeit zu gewährleisten, ist es am wichtigsten, den Zugriff durch Unbefugte zu verhindern. - Integrität:
Integrität von Daten sicherzustellen bedeutet, dass diese nicht verändert werden dürfen. Nicht verändern bedeutet auch, nicht ergänzen oder löschen. Das kann bedeuten, dass Personen die Information zwar lesen, aber nicht verändern dürfen. - Verfügbarkeit:
An die Möglichkeit Tag und Nacht auf Informationen zugreifen zu können, haben wir uns alle in Zeiten des Internets gewöhnt. Dies ist aber nicht für alle Daten und Informationen gleichermaßen wichtig oder überlebenswichtig. So ist es vermutlich weniger wichtig, dass die elektronischen Urlaubsanträge zu jeder Tag- und Nachtzeit erreichbar sind, wohl aber, dass Ihre Kunden über die Website bestellen können. Denn wenn sie die Nachricht „Die Webseite ist nicht erreichbar“ lesen und zum Wettbewerb wechseln, kann das sehr ärgerlich sein.
*Amazon-Partnerlink