10 Tipps für die Datensicherheit im Unternehmen

prudsys, prudsys RDE, Omnichannel, Handel, E-Commerce, Echtzeit, Personalisierung, Data Security, Datenschutz

Datensicherheit bzw. Informationssicherheit ist ein brisantes Thema. Immer wieder hört man von neuen Skandalen, bei denen sensible Daten in falsche Hände gelangen. Wer seine Daten sichern will, sollte sie sowohl vor illegalem Zugriff, Änderung, Löschung, Kopie sowie vor physischen Verlust schützen. Doch wie geht das konkret?

Als datenverarbeitendes Unternehmen werden wir oft gefragt, wie man die Sicherheit von Daten gewährleisten kann. Im Folgenden möchte ich eine Übersicht zu den 10 wichtigsten Schutzmaßnahmen und -mechanismen für die optimale Datensicherheit geben.

1. Verhaltensrichtlinien

Dieser Punkt klingt im ersten Augenblick trivial, ist aber elementar für einen effektiven Schutz Ihrer Daten. Legen sie Folgendes detailliert fest:

  • Wer, welche Daten besitzen, einsehen, ändern oder löschen darf
  • Wie und von wo auf Daten zugegriffen werden darf
  • Welche Standards für Datenvernichtung, Datenweitergabe und Datenspeicherung gelten sollen

Alle diese Punkte sollten für jede Person im Unternehmen nachvollziehbar abgelegt werden. Schulen Sie zudem Ihre Mitarbeiter und sorgen Sie dafür, dass jeder die Richtlinien kennt und befolgt.

2. Medien für den Datenaustausch

Wählen Sie für den Austausch Ihrer Daten immer sichere Medien. Verschicken sie nie Kundeninformation oder andere sensible Daten unverschlüsselt in einer E-Mail. Auch sensible Daten verschlüsselt via E-Mail zu versenden sollte die Ausnahme sein.

Wenn möglich, geben sie die Daten auf verschlüsselten Datenträgern wie Festplatten, SD-Karten oder USB-Sticks weiter. Sorgen Sie dafür, dass diese persönlich weitergegeben werden und dokumentieren Sie alle Vorgänge. Alternativ können Sie auf VPN (Virtual Private Network) – Verbindungen zurückgreifen. Diese erstellen einen „Tunnel“ durch das öffentliche Internet, welcher das Mitlesen Dritter verhindert.

Zuletzt noch ein wichtiger Punkt: Verwenden Sie zum Austausch sensibler Daten unter keinen Umständen Messenger wie WhatsApp oder ICQ. Hier ist nur selten nachvollziehbar, wer mitliest.

3. Nutzer-Accounts

Vergeben Sie Nutzer-Accounts für Ihre Mitarbeiter sowie für jeden der mit Ihren Daten und Systemen arbeitet. Beschränken Sie diese Accounts so, dass jeder Account-Besitzer nur die Aktionen ausführen darf, die für seine Arbeit notwendig sind. So ist jederzeit nachvollziehbar wer, wann, was an Ihren Daten verändert hat und Sie verhindern Änderungen durch unqualifiziertes/nicht berechtigtes Personal.

4. Authentifizierung

Spricht man über Nutzer-Accounts, landet man zwangsläufig auch bei Passwörtern, die diese schützen. Ein Nutzer-Account ist sinnlos, wenn er nicht oder nur unzureichend geschützt wird. Ein Passwort sollte 8-12 Zeichen lang sein und aus Buchstaben in Groß- und Kleinschreibung, Ziffern sowie Sonderzeichen bestehen und regelmäßig geändert werden.

Will man sein System schützen, ist es nicht mehr zeitgemäß nur auf Passwörter zu vertrauen. Besser ist es mindestens eine Zwei-Wege-Authentifizierung zu nutzen. Das bedeutet, dass man mehr als eine Information besitzen muss, um sich in ein System einloggen zu können. Dies kann zum Beispiel die Nutzung eines Passwortes und eines sogenannten Tokens sein. Das Token sollte mit Hilfe eines Token-Generators erstellt werden. Wichtig hierbei ist, dass bei jedem Login-Vorgang ein neues Token erstellt wird. Das Token entspricht also in etwa einer TAN, wie Sie sie vielleicht aus dem Online-Banking kennen.

 

5. Backups

Eine weitere Säule der Datensicherheit sind Backups. Sie haben es sicherlich auch schon erlebt, dass Ihr privater Computer oder Laptop kaputt geht. Die wenigsten Menschen haben privat ein Backup und fürchten nun ihre privaten Daten auf immer zu verlieren. Was das heißt, können Sie sicher nachvollziehen. Das Schlimme ist: vielen Unternehmen geht es ähnlich. Ihre Backup-Strategie ist unzureichend oder nicht vorhanden. Sorgen Sie daher für ein möglichst sicheres und vollständiges Backup.

6. Updates

Halten Sie alle Ihre Systeme immer aktuell. Spielen Sie Updates für sämtliche in Ihrem Unternehmen genutzte Software (auch Firmware) ein. Prüfen Sie mindestens einmal in der Woche, ob neue Updates für Ihr System und die genutzte Software vorliegen.

7. Verschlüsselung

Verschlüsseln Sie alle Ihre Daten. Egal auf welchem Medium (Server, PC, Laptop, USB-Sticks etc.) sie gespeichert sind. So machen Sie es Unbefugten schwerer, auf Ihre Daten zuzugreifen. Bis vor einiger Zeit war Truecrypt das Verschlüsselungstool der Wahl. Leider wird dieses nicht mehr weiterentwickelt, sodass hier Alternativen gefunden werden müssen. Es gibt viele namhafte Anbieter für Verschlüsselung wie BitLocker oder Steganos. Welchem Sie trauen, bleibt Ihnen überlassen.

8. Firewalls & Viren-Scanner

Dieses Thema wird oft unterschätzt. Viren-Scanner & Firewalls empfehlen sich immer für ein Unternehmen. Nicht nur für jene, die Windows als Betriebssystem einsetzen. Auch unter Linux und Mac OS (Apple) sowie auf allen Mobilgeräten und deren Betriebssystemen besteht die Notwendigkeit eines Viren-Scanners. Einen hundertprozentigen Schutz vor Viren und Co. wird es allerdings nie geben.

9. Intranet & Internet

Sie sollten entscheiden, welche Daten Sie wie verfügbar machen. Daten die öffentlich zugänglich sein sollen, wie zum Beispiel den Webauftritt Ihres Unternehmens, können Sie im Internet zur Verfügung stellen. Andere Daten wie zum Beispiel Kunden- und Mitarbeiterdaten sollten nicht direkt aus dem Internet verfügbar sein. Entkoppeln Sie diese und legen Sie sie im Intranet ab, welches vom Internet aus nur über eng definierte Schnittstellen erreichbar ist.

Sicherlich ist eine solch strikte Trennung nicht immer realisierbar, aber wenn Sie sich genau überlegen, welche Daten aus dem Internet verfügbar sein müssen und nur diese auch wirklich freigeben, können Sie viel für die Sicherheit Ihrer Daten tun.

10. Wissen

„Wissen ist Macht.“, heißt es in einem geflügelten Wort. Nie war dies wichtiger, als in Bezug auf Datensicherheit. Nur wer weiß, welche Bedrohungen existieren und wie man sich dagegen verteidigt, kann seine Daten effektiv schützen. Daher halten Sie sich und Ihre Mitarbeiter auf dem Laufenden. Besuchen Sie Schulungen zu diesen Themen. Schließen Sie niemanden im Unternehmen aus. Vom Systemadministrator bis hin zum Auszubildenen sollte jeder (im Rahmen seiner Tätigkeiten) über Bedrohungen und Schutzmechanismen Bescheid wissen.

Fazit:

Die Daten in Ihrem Unternehmen sind ein Schatz von unschätzbarem Wert. Sie sind jedoch vielfältigen Risiken und Gefahren ausgesetzt. Sie zu erkennen und zu minimieren ist maßgeblich für die Informationssicherheit in Ihrem Unternehmen und somit Voraussetzung für einem erfolgreichen Einsatz Ihrer Daten.

 

Weiterführende Links:

Vertrauenshebel Datenschutz: Welche Daten werden bei Echtzeit-Personalisierung verarbeitet?

Recommendation Engine inside: Erfolgsfaktor Verhaltensdaten
Autorin: Elisa Preißner | prudsys AG

0 Kommentare

Dein Kommentar

Want to join the discussion?
Feel free to contribute!

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *