Bild vieler Menschen, die ein Vorhängeschloss bilden

Sicher ist sicher - Datenschutz und Datensicherheit im Unternehmen

Eine Reise in die Karibik: Für 1000 von insgesamt 4000 befragten Mitarbeitern Anreiz genug um interne Unternehmensdaten weiterzugeben. 120 Befragte tun es schon für 150 Euro.
Um die Bedeutung von Datensicherheit und Datenschutz und was jeder Arbeitnehmer zum Schutz von Unternehmensdaten beachten sollte.

Sicherheitslücke Mitarbeiter?!

Der globale Sicherheitssoftwareanbieter Clearswift veröffentlichte erst vor Kurzem die Ergebnisse seiner Studie zum Thema Datensicherheit im Unternehmen. Befragt wurden 4000 Mitarbeitern in Deutschland, Großbritannien, Australien und den USA. Das Ergebnis: Ein Drittel der Mitarbeiter würde vertrauliche Unternehmensinformationen verkaufen, wenn der Preis stimmt. 25 Prozent der befragten wäre die Weitergabe von Daten 7000 Euro wert, 18 Prozent werden schon bei 1500 Euro schwach, 3 Prozent geben sich mit 150 Euro zufrieden. Der Verlust ihres Arbeitsplatzes oder gar juristische Verfolgung wäre den Bestechlichen dabei egal. Perfekte Bedingungen also für Wettbewerber, Kriminelle und andere Dateninteressierte um mit der Sicherheitslücke „Mitarbeiter“ auf einfachem Weg komplexe Sicherheitssysteme zu umgehen. So können relativ kleine Bestechungssummen einen Millionenschaden im Unternehmen verursachen oder im schlimmsten Fall die Existenz des Unternehmens bedrohen, wenn die Daten in falsche Hände gelangen.

So erschreckend die Ergebnisse der Studie auch sein mögen, sie sind sicherlich kein Grund Mitarbeiter unter Generalverdacht zu stellen. Immerhin erwiesen sich 65 Prozent der Befragten als absolut vertrauenswürdig und gaben an, dass sie Unternehmensinterna für keinen Preis herausgeben würden. Jedoch liefert die Studie einen interessanten Denkanstoß. Die teuerste und ausgetüfteltste Sicherheitstechnik ist nur so sicher wie das Verantwortungsbewusstsein der Person, die Zugriff auf sensible Unternehmensdaten hat. Mehr als die Hälfte von 504 befragten IT-Sicherheits-Spezialisten gehen davon aus, dass Mitarbeiter zu wenig über mögliche Konsequenzen eines Sicherheitsverstoßes nachdenken - so die Ergebnisse einer weiteren Clearswift-Befragung.

Wissen ist Sicherheit.

Dabei muss dem Mitarbeiter nicht einmal böse Absicht oder das Ziel einer Karibikreise unterstellt werden. Verstöße gegen die Datensicherheit können banal und versehentlich sein. Aus Nichtwissen. Ein mitunter teures Nichtwissen. Fast zwei Drittel (65 Prozent) der zwischen 2010 und 2012 verursachten IT-Sicherheitsvorfälle wurden laut Aussagen der betroffenen Unternehmen „vor Ort“ verursacht. Ursachen waren neben dem gezielten Datenklau auch das Einschleusen von mit Schadenssoftware infizierten Datenträgern. So die Ergebnisse einer Studie von Bitkom. Umso wichtiger ist es für Unternehmen entsprechende Vorkehrungen auch außerhalb der Administrationsebene zu treffen – beim Mitarbeiter. Durch Schulungen, Regelungen, Sensibilisierung und nicht zuletzt einen Datenschutzbeauftragten, der als koordinierende Stelle über allen Maßnahmen steht. Jeder Mitarbeiter kann die Risiken im Umgang mit Daten selbst minimieren. Bevor wir Ihnen wichtige Tipps geben, zunächst die Frage: was ist eigentlich der Unterschied zwischen Datenschutz und Datensicherheit?

Datensicherheit ist nicht gleich Datenschutz aber ohne Datensicherheit kein Datenschutz.

Auch wenn die Begriffe fälschlicherweise oft synonym gebraucht werden, Datensicherheit ist nicht gleich Datenschutz.
Bei dem so oft gebrauchten Begriff Datenschutz geht es ausschließlich um den Umgang mit personenbezogenen Daten. Also Informationen, die eine Person bestimmen und damit Daten, wie sie in jedem Unternehmen vorliegen (z.B. persönliche Daten wie Name, Adresse oder Bankdaten).Wie werden diese Daten erfasst, gespeichert, genutzt? Jedes Individuum soll entscheiden und somit selbstbestimmt seine Privatsphäre schützen dürfen. Das Persönlichkeitsrecht des Menschen steht also im Mittelpunkt. Geregelt wird der Umgang mit solchen personenbezogenen Daten im Bundesdatenschutzgesetz BDSG.

Der Begriff Datensicherheit oder auch Informationssicherheit stammt aus dem Datenschutz und zielt auf den Schutz vor Verlust, Zerstörung, Verfälschung, Missbrauch, unbefugter Kenntnisnahme und unberechtigter Verarbeitung von Daten. Neben den personenbezogene Daten geht es bei der Datensicherheit auch um Firmendaten, Patente u.v.m. Ohne Datensicherheit kann also kein Datenschutz gewährleistet werden.

Wie sehr beide einander bedingen und was eine Verletzung der Datensicherheit für Folgen haben kann, ist übrigens gerade in den Medien zu verfolgen - anhand der gehackten Seitensprung-Website Ashley Madision. Dort hatte ein ehemaliger Mitarbeiter Kundendaten also personenbezogene Daten entwendet und mit der damit verbundenen Verletzung des Datenschutzes dem Unternehmen einen erheblichen Schaden zugefügt.

Soviel Datensicherheit muss sein. Das kann jeder Mitarbeiter zur Wahrung der Datensicherheit am Arbeitsplatz tun:

Unter Verschluss

  • bei Abwesenheit Papierunterlagen und Datenträger (USB usw.) mit sensiblen Daten wegschließen (Schrank, Schreibtisch)
  • Büro verschließen
  • Büro- und Schreibtischschlüssel sicher verwahren
  • PC-Bildschirm beim Verlassen des Arbeitsplatzes sperren
    (Tastenkombination: Strg + Alt + Entf)
  • E-Mails mit personenbezogenen Daten nur in verschlüsselter Form versenden und empfangene E-Mails nach Bearbeitung löschen (Endgültiges Löschen: Shift + Entf)

 

Vorbeigeschaut – wenn sich Besuch ankündigt

  • Besuchern nur unter Anwesenheit Bürozutritt gewähren
  • Besuchern Blick auf Daten (PC-Bildschirm, offen liegende Papierunterlagen) verwehren durch Bildschirmausrichtung und/oder Bildschirmsperre

 

Der virtuelle Schlüsselbund - Passwortsicherheit

  • Passwörter nicht an Kollegen etc. weitergeben
  • Passwörter nicht notieren
  • Ein Mindestmaß an Passwortkomplexität einhalten

 

Tipp: Als Faustregel gilt: Jedes Passwort, dass leicht zu merken ist, ist leicht zu knacken.

In seinem sogenannten „Schneier Scheme“ verrät der Experte für Computersicherheit Bruce Schneier 2008 eine Methode um sichere Passwörter zu erstellen. Der Ansatz: man merkt sich einen Satz und verwendet für das Passwort nur die darin vorkommenden Wortanfangsbuchstaben und Zahlen. Das ganze könnte so aussehen: „Ein 52 jähriger Mann geht über die Straße“ Passwort – „E52jMgüdS“
Weitere Hinweise von Schneier:
1. Niemals dasselbe Passwort auf mehreren Websites verwenden
2. Passwörter regelmäßig erneuern
3. Von einem Passwortmanager Gebrauch machen
4. Das Angebot einer Zwei-Faktor-Authentifizierung auf Websites nutzen

 

Das große Reinemachen – richtig Ausmisten

  • Wichtig: überhaupt und regelmäßig ausmisten: Daten löschen, die nicht mehr gebraucht werden
  • "alte" oder defekte Datenträger (Disketten, CD-ROMs) nicht einfach wegwerfen, sondern sie beim Administrator zur zentralen Vernichtung abgeben
  • Papierunterlagen schreddern

Fremdeinfluss unerwünscht

  • keine private Software oder private Datenträger mitbringen
  • personenbezogene Daten außerhalb der Räumlichkeiten Ihrer Behörde/Stelle nur auf dienstlichen mobilen PC zu dienstlichen Zwecken verarbeiten
  • nur mobile PC‘s benutzen, deren Festplatten verschlüsselt sind

 

Papierkram

  • Gedruckte Unterlagen gleich nach Druck oder Kopiervorgang aus dem Gerät entnehmen vor allem, wenn sich der Kopierer / Drucker auf Fluren oder in Gemeinschaftsräumen befindet
  • Papierunterlagen sicher und unter Verschluss aufbewahren

 

Flüstermodus

  • Besprechen (telefonisch, persönlich) von vertraulichen Belangen im ruhigen abgetrennten Bereich (z.B. Besprechungszimmer)

 

Die aufgelisteten Datensicherheitsmaßnahmen mögen banal erscheinen. Sind sie auch. Banal und effektiv. Macht sie sich jeder Mitarbeiter zur Gewohnheit, ist ein großer Schritt Richtung Datensicherheit getan. Vor der Verlockung einer Reise in die Karibik schützen sie dann allerdings auch nicht.


Die in diesem Artikel verwendeten Daten stammen aus einer Untersuchung des Forschungsunternehmens Loudhouse im Auftrag von Clearswift sowie einer Befragung von Bitkom Research in Zusammenarbeit mit dem Meinungsforschungsinstitut Aris im Auftrag des deutschen Digitalverbandes Bitkom.
Louhouse hat mehr als 500 IT-Entscheidungsträger und 4000 Mitarbeiter zum Thema IT-Sicherheit im Unternehmen befragt.
Für Bitkom wurden 458 Geschäftsführer und IT-Verantwortliche in Unternehmen ab 20 Mitarbeitern befragt.