Datenschutz und -sicherheit kosten nicht die Welt – aber

Sabotage, Diebstahl und/oder Geldbußen können Ihre Existenz kosten!

Im Zeitalter der Informationstechnik sind Vorkehrungen zur (Daten-)Sicherheit unabdingbar!

Als Unternehmer wissen Sie, dass in unserer Zeit der Datenverarbeitung, Vernetzung und schnellem Austausch von Informationen und Daten die Sicherheit nicht nur der (personenbezogenen) Daten in Ihrem Haus sondern auch Ihrer informationstechnischen Anlagen oberste Priorität haben sollte.

IT-Security

ZB | -IT-Sicherheitsberater analysieren ihre IT-Sicherheit unter verschiedenen Aspekten. Hierzu zählen insbesondere

  • die organisatorische Sicherheit
  • die infrastrukturelle Sicherheit
  • die anwendungs- und prozessbezogene Sicherheit

Im Einzelnen prüfen wir auf folgende Schwachstellen:

Organisation

z.B.

  • Ist die Kontrolle aller „Leitungen“ nach Außen, wie Internet, eMail, Telefon usw. gewährleistet?
  • Ist Ihre IT-Organisation so dokumentiert, dass die Struktur jederzeit wiederherstellbar ist?
  • Gibt es in Ihrem Betrieb Zugriffs- und Zutrittskontrollen? Oder kann jeder Mitarbeiter jederzeit auf alle Daten zugreifen und/oder jeden Raum des Unternehmens jederzeit betreten?
  • Gibt es Möglichkeiten von unberechtigten Zugriffen auf sensible Daten z.B. durch Ihre Mitarbeiter?
  • Wie sieht es aus mit Besuchern, Kunden, Dienstleistern, Klienten, Patienten o.ä.? Können sie sich jederzeit überall aufhalten in Ihren Räumlichkeiten, vielleicht sogar unbeobachtet Blicke auf Bildschirme werfen?

usw.

Infrastruktur

z.B.

  • Sind Ihre Systeme vor An- und Zugriffen von außen hinreichend geschützt?
  • Ist Ihre Hardwareausstattung homogen? Falls nicht, drohen Sicherheitslücken!
  • Für veraltete Betriebssysteme werden keine Updates mehr erstellt und öffnen so Sicherheitslöcher.
  • Bauliche und technische Anforderungen an die IT: Z.B. wo steht Ihr Server, ist Kühlung nötig, wo lagert die Datensicherung usw.
  • Ist Ihre Datensicherung und das zugehörige Konzept passend für Ihren Betrieb? Kennen Sie Alternativen? Und vor allem, haben Sie Ihre Sicherung einmal auf Funktionstüchtigkeit getestet?
  • Zutrittkontrolle: Wenn Sie ein „offenes Haus“ haben müssen, dann sollten Sie zumindest Ihr Herzstück vor unbefugtem Zutritt schützen!

usw.

Anwendungen – Prozesse

z.B.

  • Ist Ihre Standardsoftware so individuell „gestrickt“, dass Sie in Ihrem Haus keine Möglichkeit haben, bei Pannen selbst eingreifen zu können?
  • Haben Sie noch alte Betriebssysteme oder Software im Gebrauch, weil man sich sooo daran gewöhnt hat? Risiken werden durch veraltete Anwendungen erhöht (mehr Sicherheitslücken durch fehlende Updates)!
  • Sind die Anwendungen in Ihrem Haus ausreichend dokumentiert, so dass personelle Ausfälle nicht zu Wissensverlust führen? Und das in ihrer ganzen Hierarchie, für die komplette Pyramide?

usw.

-> Umsetzung und Minimierung der Risiken erfolgt zum einem durch technische Maßnahmen,

zum anderem durch organisatorische und verhaltensorientierte Maßnahmen und Sicherheitsrichtlinien.

 

Hilfe und Unterstützung bei Erstellung eines Notfallplans

Was tun im Falle des schlimmsten Falles?

Wenn Ihr IT-System jetzt abstürzen würde, wie alt wären die Daten, auf die zurückgegriffen werden müsste, um das System wieder zum laufen zu bringen? Oder, anders gefragt, wann findet bei Ihnen im Haus Datensicherung statt? Wo werden die Datenträger gelagert?

Welche Maßnahmen werden wann wie ergriffen? Wo sind Ansprechpartner und Telefonnummern hinterlegt?

usw.

Wenn das Kind im Brunnen liegt, ist die Aufregung groß und das Chaos greift um sich.

Dann hilft der Notfallplan, der im schlimmsten Fall systematisch abgearbeitet werden kann.

Zusatznutzen eines Notfallplans ist die regelmäßige Prüfung der Komponenten, die für die Wiederherstellung notwendig sind –

auf allen Ebenen!

 

§ 9 BDSG Datenschutz durch Datensicherheit

  • Zutrittskontrolle
  • Zugangskontrolle
  • Zugriffskontrolle
  • Weitergabekontrolle
  • Eingabekontrolle
  • Auftragskontrolle
  • Verfügbarkeitskontrolle
  • Gewährleistung, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können