IT-Sicherheit: Wie kann ich die Datensicherheit erhöhen?

IT-Sicherheit erhöhen in 3 Schritten
Von Tim Cole
Aktualisiert am: 18.08.2015

Kennen Sie das Gefühl, wenn die Festplatte plötzlich wichtige Auftrags- und Kundendaten nicht mehr herausrückt? Datenwiederherstellung ist teuer und aufwendig. Deutlich günstiger ist es, wichtige Daten angemessen zu schützen. Mit Backups, aktueller Software, ein paar Sicherheitsregeln und einem Plan für den Notfall lässt sich der Daten-Gau vermeiden. Wie Sie dabei vorgehen sollten, lesen Sie hier.

Erhöhen Sie in 3 Schritten Ihre Datensicherheit

Im Grunde geht es beim Thema Datensicherheit um den Schutz vor Datendieben und den Schutz vor selbst verschuldetem Datenverlust. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist zwar regelmäßig darauf hin, dass die Zahl der gezielten Angriffe auch auf die Daten von kleinen und mittleren Unternehmen immer stärker zunimmt. Trotzdem gilt: Das Problem sitzt meist vor dem Computer. Soll heißen: Ungenügende Updates und falsche Bedienung sind die mit Abstand häufigsten Ursachen für den Verlust wichtiger Daten. Um diesen zu verhindern, sollten Sie systematisch vorgehen.

Erster Schritt: Risiken erkennen

Um die Risiken für Ihr Unternehmen richtig einschätzen und angemessen darauf reagieren zu können, sollten Sie sich zunächst einen Überblick über die wichtigsten Firmenwerte verschaffen. Die Fragenliste kann dabei ziemlich lang werden und auch nichttechnische Aspekte umfassen, zum Beispiel:

  • Wie viele Aufträge würden wir verlieren, wenn jemand unsere Bestell-, Kunden- oder Vertragsdaten löscht oder manipuliert?
  • Wie teuer wäre es, die verlorenen Daten mithilfe von Backups oder durch manuelle Eingabe wiederherzustellen?
  • Wären wir im Falle einer unbefugten Veröffentlichung interner Daten gegenüber Vertragspartnern regresspflichtig (z. B. Datenschutzrichtlinien bei Kundendaten eingehalten? etc.)
  • Wie groß wäre der Schaden, wenn unser Wettbewerber unsere wichtigsten Daten in die Hand bekäme?

Zweiter Schritt: Spielregeln und technische Sicherungen

Sind erst einmal die größten Risiken erkannt, lassen sich daraus relativ einfach einige Sicherheitsrichtlinien ableiten – sowohl für das Arbeiten auf dem eigenen Desktop als auch im Netzwerk. Diese Sicherheitsrichtlinien sollten in Form einer Betriebsvereinbarung verbindlich eingeführt und zum Bestandteil jedes Arbeitsvertrags gemacht werden. Ein weiterer Baustein ist die Passwort- und Zugangsverwaltung. Wenn nachvollziehbar ist, welcher Mitarbeiter wann und von wo auf welche Daten zugegriffen hat, schreckt dies potenzielle Datendiebe genauso ab wie „Datenchaoten“, die es mit der korrekten Sicherung nicht so genau nehmen. Mit individualisierten Zugängen und einem durchdachten Passwort-Management sind Sie auf einem guten Weg.

Als Nächstes sollten konkrete technische Maßnahmen folgen. Der Umfang der Maßnahmen hängt dabei natürlich vom Wert der zu schützenden Daten ab. Technische Ansätze zur Absicherung von Firmeninformationen unterteilen sich prinzipiell in vier Bereiche:

  1. Anti-Virus-Software/Software-Updates: Programme gegen Viren, Würmer und Trojaner sind nur wirksam, wenn sie immer auf dem neuesten Stand sind. Das gilt aber nicht nur für die Sicherheits-Software. Auch die Hersteller-Updates der übrigen Unternehmenssoftware haben einen Sinn: Dort werden aktuelle rechtliche und technische Neuerungen eingearbeitet, Fehler beseitigt oder auch bekannt gewordene Sicherheitslücken geschlossen.
  2. Backups: Die billigste Form des Datenschutzes vor Verlust ist die Sicherungskopie. Selbst im Fall eines Totalabsturzes hält sich der Schaden in Grenzen, wenn sich die Daten zumindest auf dem Stand der letzten Sicherungskopie leicht rekonstruieren lassen. Anders sieht es bei physischen Beschädigungen aus – zum Beispiel wenn der Firmenserver im Keller unter Wasser steht. Davor schützt nur ein zusätzliches, räumlich getrenntes Backup oder die Online-Datensicherung. Einige Software-Hersteller bieten ihren Kunden an, die Firmendaten – immer entsprechend den EU-verbindlichen Datenschutzrichtlinien – über einen verschlüsselten Zugang in Hochsicherheits-Rechenzentren abzulegen (z.B. Lexware datensicherung online). 
  3. Kryptografie: Das Verschlüsseln von empfindlichen Daten ist die einfachste und wirkungsvollste Art, sie vor unbefugtem Zugriff zu schützen. Leider wird diese Tatsache in der Unternehmenspraxis viel zu selten beachtet. Allerdings lohnt sich der Einsatz effizienter Verschlüsselungsverfahren nur bei wirklich sensiblen Daten, etwa in der Produktentwicklung.
  4. Stromversorgung: Sogar in Deutschland gehen bis zu 46 Prozent aller schwerwiegenden Fälle von Datenverlust auf das Konto der E-Werke. Zwar weisen die Stromnetze hierzulande eine durchschnittliche Verfügbarkeit von 99,98 Prozent auf, das heißt aber nach Adam Riese, dass der Strom jedes Jahr für 105 Minuten weg ist. Außerdem gibt es auch bei uns regelmäßig Spannungsschwankungen, die empfindliche Computersysteme fast ebenso stark beeinträchtigen können wie ein Totalausfall. Geld für eine eigene unterbrechungsfreie Stromversorgung kann also gut angelegt sein.

Dritter Schritt: Ein Plan für den Notfall

Der Plan für den Notfall ist ein elementarer Baustein jedes guten Sicherheitskonzepts. Dazu gehört zunächst einmal die Definition: Was ist ein Notfall? Nicht jede kaputte Festplatte ist ein Daten-Gau. Oftmals lassen sich Ausfälle von Computern oder Netzwerken durch geplante Maßnahmen, zum Beispiel durch Ersatzbeschaffung, in kurzer Zeit beheben. Der wahre Notfall tritt erst dann ein, wenn innerhalb der erforderlichen Zeit keine Wiederherstellung der Verfügbarkeit möglich ist und sich daraus ein messbarer Schaden ergibt. Das Sicherheitskonzept sollte diese kritische Grenze beschreiben, damit schon bei Eintritt eines Ereignisses, das zu einem Notfall führen könnte, die erforderlichen Maßnahmen (Ersatzbeschaffung, Anfordern der Backups, Benachrichtigen wichtiger Kunden oder Geschäftspartner etc.) ergriffen und der Schaden in Grenzen gehalten werden kann.

IT-Sicherheitskonzept

Auch das ausgefeilteste Sicherheitssystem ist nur so gut wie das schwächste Glied der „Sicherheitskette“ – und dies ist in den meisten Fällen der einzelne Mitarbeiter. Mitarbeiterschulungen und eine kontinuierliche Anpassung des Sicherheitskonzeptes sind daher ein absolutes Muss.

Diese Themen sollten vor allem abgedeckt sein:

  • die allgemeine IT-Sicherheit,
  • Schutzmaßnahmen,
  • Konfiguration von Browsern und E-Mail-Clients,
  • Bedienung und Einstellung von Virenscannern,
  • Umgang mit E-Mail-Anhängen.

Praxis-Beispiel

Gerade für Kleinunternehmen lohnt es sich häufig nicht, das erforderliche Know-how für die komplexen technischen Anforderungen im Unternehmen aufzubauen. Dass diese trotzdem nicht auf den wirkungsvollen Schutz ihrer Firmendaten verzichten müssen, zeigt das Beispiel einer Kölner Druckerei:

Rund 1.000 EUR pro Jahr zahlt das Unternehmen an einen Managed-Security-Services-Anbieter, der im Gegenzug das Sicherheitsmanagement der Firmendaten übernimmt. Über mehrstufige Firewalls blockiert der Dienstleister Angriffe auf die Rechner seiner Kunden, schützt mit in regelmäßigen Abständen aktualisierten Virenscannern die Computer vor versehentlich verwendeten, verseuchten Datenträgern und legt über eine verschlüsselte Internetverbindung regelmäßig Backups wichtiger Daten in einem Hochsicherheitsrechenzentrum an. Die Vorteile bringt Geschäftsführer Friedhelm Spohr auf den Punkt: „Der Dienstleister liefert immer State of the Art, ohne dass für uns große Investitionen anfallen.“

Jetzt Newsletter abonnieren

Jetzt Newsletter abonnieren


War dieser Beitrag hilfreich?
Bitte tragen Sie einen Kommentar ein.