Herausforderung IT-Compliance


Ein "Quantum Sicherheit" ist nicht genug: Datensicherheit ist weit mehr als ein reines Technikthema
Wer erfüllt die Forderung gemäß Bundesdatenschutzgesetz und setzt einen Datenschutzbeauftragten ein, um die Einhaltung der Datenschutzrichtlinien beim Umgang mit personenbezogenen Daten überwachen zu lassen?


Von Christian W. Seehafer, Geschäftsführer der Comp4U EDV-Anlagen GmbH

(01.03.10) - Können Sie garantieren, dass Ihre IT den gesetzlichen Compliance-Anforderungen entspricht? Meist sind Unternehmer IT-Laien und dennoch tragen sie die komplette rechtliche Verantwortung für die EDV. Bereits aus geringen Mängeln können weit reichende Rechtsverletzungen mit schwerwiegenden Folgen entstehen.

Gerade in kleinen und mittleren Unternehmen gerät die Betreuung der IT oft zur lästigen Pflicht und der Sicherheit wird nicht die gebührende Aufmerksamkeit gewidmet. Die Bedrohung von PCs wird eher diffus wahrgenommen, der Fokus meist auf Viren, Trojaner oder schlimmstenfalls den Einbruch eines Hackers ins Firmennetz gerichtet. Nur allzu leicht wird das Thema damit als Freigabe eines ungeliebten Budgets abgehandelt.

Doch Datensicherheit ist weit mehr als ein reines Technikthema und Virenschutz und Firewall sind lediglich das absolute Mindestmaß an Ausstattung. So bedeutet der Verlust von Daten nicht zwangsläufig, dass die Daten nicht mehr da sind, sie können auch als Kopien das Unternehmen verlassen. Gelöschte Daten lassen sich gegebenenfalls rekonstruieren, ausspionierte oder weitergegebene Daten jedoch nicht zurückholen. Gleichzeitig steht der Unternehmer gegenüber der deutschen bzw. internationalen Gesetzgebung in der Verantwortung – eine Kardinalpflicht, die allzu oft ignoriert wird.

Verfügbarkeit sichern
Das technische Versagen von Systemen kommt regelmäßig vor und ist eine Bedrohung, die auch ohne Fremdeinwirkung droht. Nicht selten führt der Ausfall der IT zum Infarkt der täglichen Routinen. Ob Warenwirtschaft, Buchhaltung, Mailsysteme, Kundendaten, Angebote oder Auftragsbearbeitung - Daten sind heute die Grundlage unternehmerischen Handelns. Was, wenn es Tage dauert, bis die Systeme technisch wiederhergestellt sind? Auf Notdienst und Service allein sollten sich Anwender nicht verlassen. Es empfiehlt sich Vorkehrungen zu treffen, die innerhalb einer definierten Zeit eine Wiederherstellung der Systeme garantieren.

Unkontrolliertem Datenabfluss und Spionage vorbeugen
Selbst in großen Unternehmen spielt das Thema "Data Leakage" bislang eine untergeordnete Rolle, in kleinen und mittelständischen Firmen so gut wie nie. Die Tatsache, dass ein wesentlicher Teil der Bedrohung von Innen kommt, wird übersehen. Dabei sind Datenverlust oder -diebstahl heute die Hauptbedrohung für Firmennetze: So gut wie jeder PC hat einen USB-Port oder CD-Brenner, jeder Mitarbeiter kann zumindest aus seinem Zugriffsbereich Daten oft wahllos kopieren und ungesehen aus der Firma bringen.

Sicherlich ist ein Generalverdacht unangebracht, doch als eine wichtige "Grundlage des Unternehmens" müsste der Schutz der Daten oberste Priorität haben. Und vorbeugen ist möglich: Daten auf Servern, Festplatten, CDs oder USB-Sticks lassen sich so verschlüsseln, dass die Mitarbeiter ungehindert arbeiten können, die Daten aber automatisch verschlüsselt und unbrauchbar sind, sobald sie kopiert werden bzw. ein Unbefugter auf USB-Stick oder CD zugreifen will. Eine verlorene oder gestohlene CD, ja selbst ein Notebook, ist für den Finder oder Dieb wertlos.

Rechtliche Compliance-Vorgaben umsetzen
In IT-Fragen ist der Unternehmer der Hauptverantwortliche vor dem Gesetz und haftet für alle Rechtsverstöße in diesem Bereich. Aber wer erfüllt bereits die Forderung gemäß Bundesdatenschutzgesetz und setzt einen Datenschutzbeauftragten ein, um die Einhaltung der Datenschutzrichtlinien beim Umgang mit personenbezogenen Daten überwachen zu lassen? Und welche Firmen sind in der Lage, rechtssicher zu verhindern dass ihre Mitarbeiter auf unerlaubten Webseiten surfen oder deren Inhalte downloaden? Gleichzeitig ist schon das einfache "Verbieten" des Zugriffs auf Inhalte im Internet per Regel heikel, wenn z. B. die Verbindungsversuche mit dem Namen des Nutzers aufgezeichnet werden.

Allein diese Beispiele zeigen, im Gesetzesdschungel von Datenschutz und Compliance geht es ohne den Rat von Experten meist nicht. Dabei sollte der beratende Dienstleister jedoch mit dem rechten Augenmaß für die Realität beraten und unterstützen, nach dem Motto "so wenig Aufwand wie möglich und dennoch soviel wie im rechtlichen Sinne nötig". Sich dagegen nur auf das Minimum von Virenschutz und Firewall zu verlassen, ist keine Option, denn ein Quantum Sicherheit ist nicht genug. (Comp4U EDV-Anlagen: ra)

Comp4U EDV-Anlagen: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Kommentare und Meinungen

  • Dreijährige Hängepartie zu Ende

    Die EU-Kommission hat am 10. Juli 2023 das Data Privacy Framework veröffentlicht. Damit gibt es drei Jahre nachdem das Privacy Shield 2020 vom Europäischen Gerichtshof für ungültig erklärt wurde, eine neue Rechtsgrundlage für die Übertragung personenbezogener Daten aus der EU in die USA.

  • Verfassungswidrigkeit defacto bestätigt

    Das Bundesverfassungsgerichts (BVerfG) seine Entscheidung über eine Verfassungsbeschwerde gegen das Gesetz zur anlasslosen Vorratsdatenspeicherung (VDS) veröffentlicht. Die Entscheidung steht im Schatten eines bereits im September 2022 ergangenen Urteils des Europäischen Gerichtshofs (EUGH), das dieses Gesetz bereits als nicht mit EU-Recht vereinbar bewertet hat.

  • Bitkom zum "Recht auf Reparatur"

    Die EU-Kommission veröffentlichte einen Gesetzentwurf für ein "Recht auf Reparatur". Dazu erklärt Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder: "Je länger IT-Geräte wie Smartphones, Tablets oder Laptops genutzt werden, desto besser ist ihr ökologischer Fußabdruck. Ein gesetzlich verbrieftes "Recht auf Reparatur" kann zur Langlebigkeit der Geräte beitragen, es reicht aber nicht aus. Wer Reparaturen von Geräten fördern will, muss die richtigen Anreize setzen. Eine Mehrwertsteuersenkung auf Ersatzteile und Reparaturdienstleistungen für IT-Hardware wie Smartphones und Laptops wäre ein solcher Anreiz, der direkt und unmittelbar wirkt.

  • Karenzzeit von bis zu drei Jahren gefordert

    Die Antikorruptionsorganisation Transparency Deutschland begrüßt den GRECO-Bericht zur fünften Evaluierungsrunde und fordert die umgehende Umsetzung der Empfehlungen. Die Forderungen der Staatengruppe gegen Korruption des Europarats (GRECO) bestätigen die Kritikpunkte von Transparency Deutschland.

  • Bitkom zum Data Act

    Mit dem Data Act soll unter anderem der Datenaustausch zwischen Unternehmen und von Unternehmen an die öffentliche Hand vorangebracht werden. Dazu erklärt Bitkom-Präsident Achim Berg: "Der Data Act ist aktuell eines der wichtigsten Regulierungsprojekte auf EU-Ebene und entscheidet maßgeblich darüber, ob Europa auf dem Weg in die digitale Welt vorankommt."

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen