Herausforderung IT-Compliance


Ein "Quantum Sicherheit" ist nicht genug: Datensicherheit ist weit mehr als ein reines Technikthema
Wer erfüllt die Forderung gemäß Bundesdatenschutzgesetz und setzt einen Datenschutzbeauftragten ein, um die Einhaltung der Datenschutzrichtlinien beim Umgang mit personenbezogenen Daten überwachen zu lassen?


Von Christian W. Seehafer, Geschäftsführer der Comp4U EDV-Anlagen GmbH

(01.03.10) - Können Sie garantieren, dass Ihre IT den gesetzlichen Compliance-Anforderungen entspricht? Meist sind Unternehmer IT-Laien und dennoch tragen sie die komplette rechtliche Verantwortung für die EDV. Bereits aus geringen Mängeln können weit reichende Rechtsverletzungen mit schwerwiegenden Folgen entstehen.

Gerade in kleinen und mittleren Unternehmen gerät die Betreuung der IT oft zur lästigen Pflicht und der Sicherheit wird nicht die gebührende Aufmerksamkeit gewidmet. Die Bedrohung von PCs wird eher diffus wahrgenommen, der Fokus meist auf Viren, Trojaner oder schlimmstenfalls den Einbruch eines Hackers ins Firmennetz gerichtet. Nur allzu leicht wird das Thema damit als Freigabe eines ungeliebten Budgets abgehandelt.

Doch Datensicherheit ist weit mehr als ein reines Technikthema und Virenschutz und Firewall sind lediglich das absolute Mindestmaß an Ausstattung. So bedeutet der Verlust von Daten nicht zwangsläufig, dass die Daten nicht mehr da sind, sie können auch als Kopien das Unternehmen verlassen. Gelöschte Daten lassen sich gegebenenfalls rekonstruieren, ausspionierte oder weitergegebene Daten jedoch nicht zurückholen. Gleichzeitig steht der Unternehmer gegenüber der deutschen bzw. internationalen Gesetzgebung in der Verantwortung – eine Kardinalpflicht, die allzu oft ignoriert wird.

Verfügbarkeit sichern
Das technische Versagen von Systemen kommt regelmäßig vor und ist eine Bedrohung, die auch ohne Fremdeinwirkung droht. Nicht selten führt der Ausfall der IT zum Infarkt der täglichen Routinen. Ob Warenwirtschaft, Buchhaltung, Mailsysteme, Kundendaten, Angebote oder Auftragsbearbeitung - Daten sind heute die Grundlage unternehmerischen Handelns. Was, wenn es Tage dauert, bis die Systeme technisch wiederhergestellt sind? Auf Notdienst und Service allein sollten sich Anwender nicht verlassen. Es empfiehlt sich Vorkehrungen zu treffen, die innerhalb einer definierten Zeit eine Wiederherstellung der Systeme garantieren.

Unkontrolliertem Datenabfluss und Spionage vorbeugen
Selbst in großen Unternehmen spielt das Thema "Data Leakage" bislang eine untergeordnete Rolle, in kleinen und mittelständischen Firmen so gut wie nie. Die Tatsache, dass ein wesentlicher Teil der Bedrohung von Innen kommt, wird übersehen. Dabei sind Datenverlust oder -diebstahl heute die Hauptbedrohung für Firmennetze: So gut wie jeder PC hat einen USB-Port oder CD-Brenner, jeder Mitarbeiter kann zumindest aus seinem Zugriffsbereich Daten oft wahllos kopieren und ungesehen aus der Firma bringen.

Sicherlich ist ein Generalverdacht unangebracht, doch als eine wichtige "Grundlage des Unternehmens" müsste der Schutz der Daten oberste Priorität haben. Und vorbeugen ist möglich: Daten auf Servern, Festplatten, CDs oder USB-Sticks lassen sich so verschlüsseln, dass die Mitarbeiter ungehindert arbeiten können, die Daten aber automatisch verschlüsselt und unbrauchbar sind, sobald sie kopiert werden bzw. ein Unbefugter auf USB-Stick oder CD zugreifen will. Eine verlorene oder gestohlene CD, ja selbst ein Notebook, ist für den Finder oder Dieb wertlos.

Rechtliche Compliance-Vorgaben umsetzen
In IT-Fragen ist der Unternehmer der Hauptverantwortliche vor dem Gesetz und haftet für alle Rechtsverstöße in diesem Bereich. Aber wer erfüllt bereits die Forderung gemäß Bundesdatenschutzgesetz und setzt einen Datenschutzbeauftragten ein, um die Einhaltung der Datenschutzrichtlinien beim Umgang mit personenbezogenen Daten überwachen zu lassen? Und welche Firmen sind in der Lage, rechtssicher zu verhindern dass ihre Mitarbeiter auf unerlaubten Webseiten surfen oder deren Inhalte downloaden? Gleichzeitig ist schon das einfache "Verbieten" des Zugriffs auf Inhalte im Internet per Regel heikel, wenn z. B. die Verbindungsversuche mit dem Namen des Nutzers aufgezeichnet werden.

Allein diese Beispiele zeigen, im Gesetzesdschungel von Datenschutz und Compliance geht es ohne den Rat von Experten meist nicht. Dabei sollte der beratende Dienstleister jedoch mit dem rechten Augenmaß für die Realität beraten und unterstützen, nach dem Motto "so wenig Aufwand wie möglich und dennoch soviel wie im rechtlichen Sinne nötig". Sich dagegen nur auf das Minimum von Virenschutz und Firewall zu verlassen, ist keine Option, denn ein Quantum Sicherheit ist nicht genug. (Comp4U EDV-Anlagen: ra)

Comp4U EDV-Anlagen: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Kommentare und Meinungen

  • Leitfäden der Cyber-Versicherungen

    Unternehmen stehen heute mehr denn je unter Druck, ausreichend gegen Angriffe von außen geschützt zu sein. Regelmäßig werden Hacker-Angriffe auf Unternehmen publik - und diese sind nur die Spitze des Eisbergs. Die Zahl der Ransomware-Angriffe auf Unternehmen hat in den letzten Jahren stark zugenommen. Sie suchen daher nach Lösungen zum Schutz gegen den enormen finanziellen Schaden, den eine Lahmlegung ihrer Systeme - oft in Verbindung mit Datendiebstahl - nach sich zieht. Eigens für eine Absicherung gegen finanzielle Einbußen konzipierte Versicherungen, sogenannte Cyber-Versicherungen, erleben derzeit einen Aufschwung.

  • Schutz bei Hinweisen auf Rechtsverletzungen

    Ab dem 1. Januar 2022 sollen Hinweisgebende in Österreich durch das Whistleblowinggesetz (WbG) vor Repressalien geschützt werden. Die Experten der EQS Group AG, Anbieterin von regulatorischen Compliance-Technologien (RegTech), begrüßen es sehr, dass Österreich als einer der ersten EU-Staaten einen Gesetzesentwurf vorgelegt hat, um die EU-Whistleblowingrichtlinie (EU-Direktive 2019/1937) in nationales Recht umzusetzen.

  • TTDSG: Gut gemeint, aber nicht gut gemacht

    Am 1. Dezember 2021, trat das Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) in Kraft. Dazu erklärt Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung: "Das Telekommunikations-Telemedien-Datenschutzgesetz ist gut gemeint und geht in die richtige Richtung, aber leider ist es nicht wirklich gut gemacht und kommt auch noch zur falschen Zeit. Gut gemeint ist das TTDSG, weil in einer aktuellen Bitkom-Studie aus dem Oktober acht von zehn Unternehmen ab 20 Beschäftigten (79 Prozent) angeben, dass Datenschutz-Anforderungen das größte Hemmnis bei der Digitalisierung sind. Mit dem TTDSG versucht die Bundesregierung vor allem für mehr Übersichtlichkeit beim Datenschutzrecht zu sorgen. Dazu werden datenschutzrechtliche Regelungen, die bislang in verschiedenen Gesetzen verstreut waren, in einem neuen Gesetz zusammengefasst und zugleich an neue Erfordernisse angepasst.

  • Data Governance Act auf der Zielgeraden

    Der Digitalverband Bitkom hat den zügigen Abschluss der Trilog-Beratungen über den Data Governance Act gelobt und sieht in ihm eine große Chance, das Teilen von Daten in der EU zu fördern. "Der Data Governance Act schafft neue europaweit einheitliche Regeln für das Teilen von Daten zwischen Unternehmen, Privatpersonen und der öffentlichen Hand", sagt Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung. "Mit dem Data Governance Act wird die Bedeutung von Daten der öffentlichen Hand betont und ihre Weiternutzung gefördert. Dies kann dringend notwendigen Schwung für die europäische Datenwirtschaft liefern."

  • Umsetzung der EU-Whistleblower-Richtlinie

    Whistleblower, die in Deutschland auf Missstände hinweisen, müssen bald keine Repressalien mehr befürchten. SPD, Die Grünen und FDP haben sich darauf verständigt, die EU-Whistleblower-Richtlinie "rechtssicher und praktikabel" umzusetzen, laut Koalitionsvertrag ("Fortschritt wagen") wollen sie dabei auch über die Mindestanforderungen der EU-Direktive 2019/1937 hinausgehen. Die EQS Group AG, Marktführer für Hinweisgebersysteme in Europa, begrüßt diese klare Positionierung der Ampel-Koalition, die den Hinweisgebenden Schutz und Rechtssicherheit bietet.