Sie sind hier: HomeTelekommunikation

Security-Strategien: IT-Security-Prozesse systematisch unterstützen

Die EU-DSGVO fordert jetzt von allen Unternehmen, Datenschutz und IT-Sicherheitsprozesse genau zu prüfen, neu zu organisieren und oft deutlich umfassender anzugehen. Damit bei Datenpannen und IT-Notfällen nicht das Chaos regiert, helfen klar definierte IT-Security-Prozesse und ein zentrales System.

Hacker Bildquelle: © anonymus faust ostill-123rf

Im Mai 2018 tritt die neue EU-Datenschutz-Grundverordnung in Kraft. Sie vereinheitlicht das europäische Datenschutzrecht und stärkt die Befugnisse der Datenschutzbehörden gegenüber international tätigen Konzernen. Aber die EU-DSGVO gilt nicht nur für die Branchenriesen, sondern auch für kleine und mittlere Unternehmen. Alle müssen ihre Maßnahmen und Prozesse zum Schutz ihrer Kundendaten umfassend überprüfen und anpassen oder manches ganz neu einrichten. Ein Augenmerk liegt dabei sicherlich darauf, die Gefahrenabwehr gegen Attacken, Viren und Malware oder Erpressungstrojaner auf den „aktuellen Stand der Technik“ zu bringen.

Angesichts der Anforderungen der EU-DSGVO wird es aber auch immer wichtiger, klare interne IT-Security-Prozesse für das Unter-nehmen zu definieren, durchgängig umzusetzen und zu unterstützen. Die EU-Datenschutz-Grundverordnung sieht beispielsweise vor, Datenpannen und Verluste personenbezogener Daten innerhalb von 72 Stunden bei der verantwortlichen Aufsichtsbehörde zu melden – mit der Anzahl der Betroffenen und den Folgen dieser Datenschutzverletzung. Klar definierte Security-Prozesse sorgen dafür, dass alle IT-Sicherheitsvorfälle im Unternehmen überhaupt erfasst und dokumentiert werden. Sie helfen Mitarbeitern durch eine strukturierte und klar definierte Vorgehensweise im Notfall überlegt zu handeln, den Schaden so gering wie möglich zu halten und dabei auch die Richtlinien der EU-DSGVO einzuhalten.

Pragmatisch einsteigen

Große Unternehmen haben vielfach schon entsprechende Prozesse installiert und so genannte Computer Emergency Response Teams (Certs) und Security Operations Center (SOCs) im Einsatz, die sich konsequent um sicherheitsrelevante Vorfälle kümmern. Für viele kleine und mittlere Unternehmen ist dies aber noch Neuland und der Einstieg fällt angesichts der Komplexität des Themas sicher nicht leicht, zumal das professionelle Management der eigenen Sicherheitsprozesse kontinuierliche Aufmerksamkeit fordert und Geld kostet. Die Zeiten allerdings, in denen man hoffen konnte, zu klein für einen Hackerangriff zu sein, sind angesichts systematisch arbeitender Cyber-Krimineller definitiv vorbei. Die neue EU-DSGVO fordert Schutz im Umgang mit sensitiven personenbezogenen Daten. Folgende Maßnahmen unterstützen Unternehmen dabei, durchgängige IT-Sicherheitsprozesse zu etablieren, damit bei ihnen auch im Schadensfall nicht das Chaos regiert.

Die gute Nachricht: Für viele Unternehmen hat es sich bewährt, klein anzufangen und beispielsweise mit der Einrichtung einer „Meldestelle“ für sicherheitsrelevante Vorfälle zu beginnen. Dazu ist es gut, einen klaren Ansprechpartner in Form einer Person oder eines Teams zu etablieren, der sicherheitsrelevante Ereignisse sammelt und weiter bearbeitet. Durch die zentrale Dokumentation entsprechender Vorfälle in einer solchen Meldestelle bekommt das Unternehmen einen Überblick über alle Vorfälle und gewinnt ein klares Bild über die eigene Situation.

Gesetzesvorgaben und Sicherheitsstandards

Neben der neuen EU-Datenschutz-Grundverordnung gelten für manche Branchen – wie beispielsweise Finanzdienstleister oder die Betreiber kritischer Infrastrukturen – weitere rechtliche Regelungen für Datenschutz und IT-Sicherheitsprozesse. Die gilt es auf die Relevanz für das eigene Unternehmen zu prüfen und dann für die neuen Security-Prozesse zu berücksichtigen. Kleine und mittlere Unternehmen haben oft nicht die Kapazitäten, dieses Know-how selbst aufzubauen und kontinuierlich weiterzuentwickeln. Sie sollten deshalb nicht zögern, erfahrene Experten hinzuzuziehen.

Bei der Einrichtung durchgängiger IT-Sicherheitsprozesse im Unternehmen helfen auch Standards und Leitfäden, von denen auf nationaler wie internationaler Ebene ein ganze Menge zur Verfügung stehen: Angefangen vom weithin anerkannten IT-Grundschutzhandbuch des Bundesamts für Sicherheit in der Informationstechnik (BSI) bis hin zur ISO/IEC-Reihe 27000 mit Standards für die IT-Security oder die Reihe 38500 für Corporate Governance und Cobit (Control Objectives for Information and Related Technology), die ein international anerkanntes Framework zur IT-Governance bietet. Angesichts dieser Vielfalt empfiehlt es sich auch hier, erfahrene Experten hinzuzuziehen, wenn man das notwenige Know-how nicht im eigenen Unternehmen vorhält.