Informationen schützen und damit den Erfolg sichern Datensicherheit und die Rolle der IKT-Anbieter

Autor / Redakteur: Andreas Kederer / Stephan Augsten

Jedes Unternehmen ist für die Sicherheit der eigenen Daten selbst verantwortlich – unabhängig davon, wo diese liegen und wer sie verarbeitet. Doch welchen Einfluss kann der „Eigentümer“ wirklich nehmen? Dieser Beitrag zeigt, worauf gerade mittelständische Unternehmen achten sollten, um im Wettbewerb zu bestehen.

Firmen zum Thema

Unternehmen müssen Daten unabhägig vom Standort – also auch in der Cloud – vor unberechtigten Zugriffen schützen.
Unternehmen müssen Daten unabhägig vom Standort – also auch in der Cloud – vor unberechtigten Zugriffen schützen.
(Bild: © Scanrail - Fotolia)

Interne Geschäftspläne, sensible Kundeninformationen, vertraulicher E-Mail-Verkehr – heutzutage werden in jedem Unternehmen mehr Daten generiert, verarbeitet und gespeichert als je zuvor. Tendenz steigend. Dabei handelt es sich größtenteils um sensible Daten, die es vor unerlaubtem Zugriff und Verlust zu schützen gilt.

Gerade kleine und mittelständische Unternehmen (KMUs) können die wachsende Datenflut nicht intern verarbeiten und greifen auf die Services von IKT-Anbietern zurück. Aber wenn die Unternehmensdaten in einem externen Rechenzentrum liegen oder von Partnern verarbeitet werden, wer ist dann eigentlich für ihre Sicherheit verantwortlich? Und: Ist das Thema Sicherheit den Dienstleistern ebenso wichtig wie den Auftraggebern?

Die vieldiskutierte NSA-Affäre hat in den vergangenen Monaten die Aufmerksamkeit von Politik und Öffentlichkeit noch stärker auf das Thema Datensicherheit gelenkt. Aber auch der zunehmende Einsatz von Cloud Computing, der Trend zu mehr Telearbeit sowie die häufige Nutzung mobiler und privater Geräte für berufliche Zwecke rücken das Thema weiter in den Fokus.

Gesetzlich geregelt

Natürlich gibt es gesetzliche Vorgaben in Bezug auf den Datenschutz, allerdings können sich diese in verschiedenen Ländern erheblich unterscheiden. Zudem ist es nicht ganz einfach für die Gesetzgeber, mit den technischen Entwicklungen Schritt zu halten. Derzeit arbeitet die Europäische Union an einem Gesetzesentwurf für mehr Datensicherheit im Netz. Den Mindeststandard für den Schutz personenbezogener Daten regelt bereits die Richtlinie 95/46/EG.

In Deutschland gibt es das Bundesdatenschutzgesetz, dessen Novellierung 2009 die Verantwortlichkeit der Unternehmen verstärkt hat. Diese besagt, dass ein Unternehmen jederzeit „Herr seiner Daten“ ist und damit selbst die Verantwortung für die Sicherheit der eigenen Daten trägt – unabhängig davon, welche Dienste zu deren Verarbeitung und Speicherung genutzt werden.

Das gilt auch und gerade dann, wenn ein Unternehmen Cloud-Anwendungen wie Infrastructure-as-a-Service oder Software-as-a-Service nutzt. Bei einer solchen Zusammenarbeit mit einem IKT-Partner muss das Unternehmen als Auftraggeber dafür sorgen, dass sein Dienstleister stets die nötigen Sicherheitsstandards erfüllt.

Schutz in der Wolke

Der Einsatz von Cloud Computing hat stark zugenommen. Gerade für KMUs bietet das Modell viele Vorteile: niedrigere Kosten bei hoher Verfügbarkeit, Flexibilität und Mobilität sowie Unabhängigkeit von spezieller Hardware. Gleichzeitig steigen aber auch die Sicherheitsbedenken der Verantwortlichen: Sind die unternehmenseigenen Daten in der Wolke wirklich ausreichend geschützt?

Um Cloud-Services sicher nutzen zu können, sollte jedes Unternehmen die eigenen Daten zunächst intern kategorisieren. Dabei sollte festgelegt werden, welche Informationen besonders geschützt werden müssen (etwa wettbewerbsrelevante Dokumente, Verträge und Personendaten). Dann erst kann das passende Cloud-Modell ausgewählt werden.

Grundsätzlich empfiehlt es sich, für sensible Daten eine Private Cloud zu nutzen. Bei diesem Ansatz werden die virtuellen Speicherkapazitäten einem Kunden fest zugeteilt. Das erfüllt die Sicherheits- und Compliance-Anforderungen von Geschäftskunden am besten. Je nach Bedarf kann die Private Cloud auch durch eine Public Cloud für weniger sensible Daten ergänzt werden (sogenannte Hybrid-Cloud-Lösung).

Die Rolle des IKT-Partners

Neben der Nutzung des passenden Cloud-Modells ist die sorgfältige Auswahl eines erfahrenen Partners entscheidend für zuverlässige Datensicherheit. Von Seiten des Anbieters gibt es zwei Möglichkeiten, den Kunden bei der Einhaltung der Datensicherheit zu unterstützen.

Zum einen kann der Dienstleister seinem Auftraggeber schriftlich zusichern, dass die Daten durch die bereitgestellten Services ausreichend geschützt sind. Dies kann etwa im Vertrag festgehalten oder in Form von Sicherheitsstandards wie der ISO 27001, dem DQS-Zertifikat oder anderen anerkannten Zertifizierungen bestätigt werden.

Zum anderen können durch Datenschutzaudits die Leistungen des Partners im Hinblick auf Compliance-Standards überprüft werden. Diese Audits können sowohl intern als auch durch einen Drittanbieter ausgeführt werden und prüfen in der Regel Organisation, Richtlinien, Prozesse und Systeme des Dienstleisters. Gibt das Unternehmen die Auditierung des Partners durch einen Drittanbieter in Auftrag, muss es gegebenenfalls auch die entsprechenden Kosten tragen.

So oder so empfiehlt es sich, die Maßnahmen zur Datensicherheit vertraglich zu regeln und deren Umsetzung auch regelmäßig zu kontrollieren. Denn: Verantwortlich für die Daten bleibt das Unternehmen.

Firmeninterne Richtlinien

Es gibt einen weiteren Einflussfaktor auf die Sicherheit der Firmendaten: die Mitarbeiter. Eine Studie von Proofpoint ergab, dass Mitarbeiter – oft ungewollt – leichtfertig mit Sicherheitsstandards ihres Unternehmens umgehen, etwa indem sie auf unsichere Links in E-Mails klicken. Auch die Mitarbeiter müssen also für das Thema sensibilisiert werden.

Gemäß Bundesdatenschutzgesetz muss jedes Unternehmen einen betrieblichen Datenschutzbeauftragten ernennen. Zudem sollte es Richtlinien für den Umgang mit sensiblen Unternehmensdaten geben sowie klare Regeln für Telearbeit und die Nutzung privater Geräte. Dabei ist es wichtig, den Mitarbeiter zu vermitteln, welche Bedeutung der sichere Umgang mit Daten in Bezug auf Unternehmensgeheimnisse, den Wettbewerb und das Image der Firma hat.

Maßnahmen kombinieren

Unternehmenseigene Daten zuverlässig schützen erfordert also Maßnahmen auf verschiedenen Ebenen: Zunächst muss das Unternehmen sicherstellen, dass es die gesetzlichen Anforderungen des eigenen Landes sowie der EU erfüllt. Unternehmensintern sollten Richtlinien klären, worauf Mitarbeiter in puncto Datenschutz achten müssen.

Auf technischer Ebene sollte dafür gesorgt werden, dass die genutzten Technologien entsprechend auf Datensicherheit ausgerichtet sind. Und bezüglich der Zusammenarbeit mit Dienstleistern muss der Auftraggeber dafür sorgen, dass der IKT-Partner die geforderten Maßnahmen zur Datensicherheit auch umsetzt.

Jedes Unternehmen, egal ob klein, mittelständisch oder groß, sollte heutzutage das Thema Datensicherheit aktiv angehen, sich mit den eigenen Anforderungen auseinandersetzen und passende Lösungen finden, denn ein Verlust sensibler Daten hat immer geschäftsschädigende Auswirkungen. Nur wer seine Daten schützt, kann langfristig im Wettbewerb bestehen.

Über den Autor

Andreas Kederer ist Director Product Management für den Bereich Managed Services bei Colt Technology Services.

(ID:42704721)