Datensicherheit: Digitale Selbstverteidigung für Unternehmen

Ein Hackerangriff, ein Computervirus oder ganz einfach eine kaputte Festplatte – wenn Sie nicht mehr auf Ihre Geschäftsdaten zugreifen können, wird das schnell sehr teuer. Im schlimmsten Fall steht Ihr Betrieb sogar komplett still. Damit Ihnen das nicht passiert, zeigen wir Ihnen, wie Sie sich und Ihre Daten effektiv vor Diebstahl, Missbrauch und Verlust schützen. Profitieren Sie vom geballten Wissen unserer Experten und erfahren Sie, wie Sie die Datensicherheit in Ihrem Unternehmen nachhaltig erhöhen.

Begriffsdefinitionen

Was ist Datensicherheit eigentlich? Und was ist der Unterschied zwischen Datenschutz und Datensicherheit? Hier finden Sie eine Definition beider Begriffe.

Datensicherheit

Hierunter versteht man den Schutz von Daten unterschiedlichster Art vor:

  • Manipulation
  • Beschädigung
  • Verfälschung
  • Verlust
  • Löschung
  • Diebstahl

Bei der Datensicherheit gibt es Schutzziele. Diese sind:

  • Vertraulichkeit: Damit ist gemeint, dass nur berechtigte Personen auf Daten zugreifen können.
  • Integrität: Das bedeutet, dass Daten nicht unbemerkt manipuliert oder geändert werden.
  • Verfügbarkeit: Heißt in diesem Zusammenhang, dass jederzeit Zugriff auf die Daten besteht.
  • Authentizität: Dies steht für die Echtheit bzw. Originalität der Daten.

Datenschutz

Der Begriff „Datenschutz“ bezieht sich ausschließlich auf den Schutz personenbezogener Daten, wie zum Beispiel E-Mail-Adresse, Name, Anschrift etc. Damit soll vor allem die missbräuchliche Datenspeicherung und -verarbeitung verhindert werden – ganz im Sinne des Rechts auf Selbstbestimmung und Privatsphäre. Mehr zum Thema Datenschutz lesen Sie hier.

Datensicherung

Hierbei handelt es sich um das Speichern bzw. Duplizieren der Daten an einer anderen Stelle (z. B. durch eine Online-Datensicherung in der Cloud), um diese bei einem Datenverlust zurückkopieren zu können. Oft wird dieser Vorgang auch als „Backup“ bezeichnet. 

Schützen Sie Ihre Daten vor Verlust, Diebstahl und Missbrauch

Um Ihnen einen 360-Grad-Überblick über das Thema Datensicherheit zu geben, beleuchten wir es aus verschiedenen Perspektiven. Auf dieser Seite finden Sie grundlegende Informationen zum Thema Datensicherheit. Außerdem erhalten Sie einen Überblick über die gesetzlichen Pflichten, die Sie als Unternehmer in Bezug auf die Sicherheit Ihrer Daten beachten müssen.
Darüber hinaus gibt es drei spezifische Ratgeber, auf denen wir Ihnen zeigen, wie Sie Datenverluste vermeiden, Datenmissbrauch verhindern und Ihre (gelöschten) Daten im Fall der Fälle wiederherstellen.

Fragen und Antworten zur Datensicherheit aus unserem Experten-Chat

In einem Live-Chat konnten an unseren Experten Thomas Schirmer (IT-Journalist und Buchautor) Fragen zu den Themen Datensicherheit, Datenverlust und Datenmissbrauch gestellt werden. Wir haben alle Fragen und die Experten-Antworten in diesem PDF für Sie zusammengestellt. 

Warum ist Datensicherheit auch in kleinen Unternehmen wichtig?

In vielen kleineren Unternehmen wird das Thema Datensicherheit immer noch stiefmütterlich behandelt. Dabei sind Daten das A und O in jedem Betrieb. Egal, ob Kundenadressen, Angebote oder Buchhaltungsbelege – Daten sind der zentrale Faktor für den wirtschaftlichen Erfolg. Datensicherheit sollte deshalb in jedem Unternehmen oberste Priorität haben. Viele kleinere Unternehmen merken allerdings erst, wie wichtig es ist, Daten zu schützen, wenn das Kind bereits in den Brunnen gefallen ist.

Hat ein Unternehmen keinen Zugriff mehr auf seine Geschäftsdaten, kann das schwerwiegende Folgen haben – bis hin zur Existenzbedrohung. Wie wichtig Datensicherheit ist, zeigt sich an dem Beispiel von Kundendaten: Sind auf einmal sämtliche Adressen, Telefonnummern, Auftragshistorien oder hinterlegte Rabatte nicht mehr da, steht der Betrieb still. Diese Daten wieder komplett neu aufzubauen, nimmt sehr viel Zeit in Anspruch und verursacht dadurch hohe Kosten. Von den Lieferausfällen in dieser Zeit einmal ganz abgesehen. Ein solcher Datencrash kann in der Folge sogar existenzbedrohend sein.

Ungenügende Aktualisierung von Software und falsche Bedienung sind die mit Abstand größten Gefahren für die Datensicherheit. Aber kleine Unternehmen werden auch immer häufiger zum Ziel von Angriffen durch Cyberkriminelle und Hacker. Der Grund hierfür liegt auf der Hand: Während sich die Cybergauner an den Sicherheitsvorkehrungen der großen Unternehmen häufig die Zähne ausbeißen, haben sie bei kleineren Unternehmen oft noch ein (zu) leichtes Spiel. Dabei hat der Gesetzgeber den Unternehmen konkrete gesetzliche Pflichten zur Datensicherheit auferlegt.

Datensicherheit bei der Kassenführung

In diesem Bereich spielt die Sicherheit Ihrer Daten ebenfalls eine wichtige Rolle. Denn alle Belege und Informationen benötigen Sie für eine rechtskonforme Buchführung. Worauf Sie achten müssen, erfahren Sie in unserem Artikel „Datensicherheit und -verfügbarkeit bei der Kassenführung“.

Datensicherheit: Diese Pflichten gelten für Unternehmer

Wenn es um die Datensicherheit im Unternehmen geht, gibt es verschiedene gesetzliche Pflichten, an die sich Unternehmer halten müssen. Ein wichtiger Grundsatz hierzu kommt aus dem Aktiengesetz, gilt aber genauso für GmbH, OHG und UG:

Die Geschäftsführung hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit für den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.

Unternehmer stehen also bezüglich Datensicherheit in der Pflicht, mögliche Gefahren und Probleme für das Unternehmen und dessen Umwelt frühzeitig zu erkennen und abzuwenden. Im Hinblick auf das Ausmaß der Digitalisierung ist auch der sichere Umgang mit Daten maßgeblich. Hier können eine Risikoanalyse und die Definition wirksamer Sicherheitsmaßnahmen hilfreich sein.

IT-Compliance

Der Begriff „Compliance“ bedeutet so viel wie „Regeltreue“. Ein Unternehmen, das sich im Sinne der Compliance verhält, hält sich also an gesetzliche Regelungen bezüglich Datensicherheit. Da Unternehmen heute einen Großteil ihrer Geschäftsprozesse digital abwickeln, spielt die IT hinsichtlich der Compliance eine große Rolle. Nur mit einer angemessen hohen IT-Sicherheit können Unternehmen die Anforderungen des Gesetzgebers erfüllen. Die wichtigsten Regelungen finden sich u. a. im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) und im IT-Sicherheitsgesetz (IT-SiG). 

Tipp

Bericht: Die Lage der IT-Sicherheit in Deutschland

Wie hoch ist das Risiko eines Cyberangriffs in Deutschland? Und wie gehen die Angreifer vor? Antworten darauf und Lösungen zur Datensicherheit gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Diese Gesetze sollten Sie als Unternehmer kennen

Die Europäische Datenschutzgrundverordnung (DSGVO)

Die DSGVO bezieht sich zwar „nur“ auf den Schutz der personenbezogenen Daten (Kontaktdaten, Bankverbindung, Gesundheitsdaten etc.). Allerdings ist dieser Begriff sehr weit gefasst. So bringt jede Maßnahme zum Schutz der personenbezogenen Daten fast zwangsläufig auch immer zugleich einen Schutz anderer Daten mit sich, beispielsweise von Geschäftsgeheimnissen. Insofern hat die Datenschutzverordnung einen großen Einfluss auf die Datensicherheit in Unternehmen.

Info

Technische und organisatorische Maßnahmen im Sinne der DSGVO bei der Datensicherheit

Je sensibler die (personenbezogenen) Daten sind, die verarbeitet werden, desto eher müssen auch entsprechende Datensicherheitsmaßnahmen zum Einsatz kommen. Die Datenschutzgrundverordnung zählt hierbei konkret folgende technische und organisatorische Maßnahmen (TOM) auf:

  • Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • Relevant bei der Datensicherheit: Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Datenverarbeitungssysteme
  • die Fähigkeit, die Verfügbarkeit von personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen (Datenrettung)
  • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen, um die Sicherheit der Verarbeitung zu gewährleisten.

Dabei geht es darum, stets ein angemessenes Schutzniveau zu erreichen. Und das sieht natürlich in jeder Branche, für jede Kundenzielgruppe, für jedes Unternehmen anders aus.

GoBD

Neben den Anforderungen durch die DSGVO müssen Unternehmer die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD) beachten. Diese regeln sowohl die Datensicherheit als auch den Umgang steuerrechtlich relevanter Belege und Dokumente in elektronischer Form. Die GoBD legen fest, wie diese erfasst, bearbeitet und (revisionssicher) archiviert werden müssen. Daneben gibt es noch verschiedene – zum Teil branchenabhängige – Einzelpflichten.

Info

Elektronische Archivierung: GoBD-konform Daten speichern

Datensicherheit bedeutet auch, dass Sie gewährleisten, dass gespeicherte Informationen nicht verändert werden können. Seit 2015 sind Sie als Unternehmer dazu verpflichtet, eine Archivierung gemäß den GoBD zu gewährleisten. Wie Sie das bei elektronischen Medien machen, erfahren Sie auf unserer Seite rund um das Thema Archivierung.

Da immer mehr Daten digital verwendet werden, erfolgt auch die Archivierung in digitaler Form. Um eine revisionssichere Archivierung zu gewährleisten, die den Vorgaben der Datensicherheit entspricht, greifen immer mehr Unternehmen zu hilfreichen Softwareprogrammen.

Tipp

Mit Archivierungssoftware rechtssicher arbeiten

Mit Lexware archivierung beispielsweise müssen Sie keine Prüfung mehr fürchten. Sie erhalten nicht nur eine Software, sondern ebenfalls höchste Datensicherheit für alle eingespeisten Informationen.

IT-Sicherheitsgesetz (IT-SiG)

Das IT-Sicherheitsgesetz (IT-SiG) gilt in erster Linie für Betreiber kritischer Infrastrukturen, wie etwa Banken oder Energieversorger. Allerdings wurde durch das Gesetz auch eine Pflicht für alle kommerziellen Website-Betreiber eingeführt, Maßnahmen zur IT- und Datensicherheit zu ergreifen. Zu solchen Datensicherheitsmaßnahmen zählt etwa die Einbindung eines SSL-/TLS-Zertifikats, durch das eine sichere Verbindung (https) zur Unternehmens-Website aufgebaut werden kann.

Info

In Planung: IT-Sicherheitsgesetz 2.0

Vor Kurzem wurde eine Reihe von groß angelegten Datendiebstählen bekannt. Als Reaktion darauf verfasste das Innenministerium ein Papier, das in ein neues IT-Sicherheitsgesetz münden soll. Dieses soll deutlich weiter gehen als das IT-SiG von 2015. U. a. ist die Rede von einem Software-Gütesiegel. Innenminister Seehofer will auch das Strafrecht anpassen, um Cyberkriminalität besser ahnden zu können. Ob und wann das neue IT-Sicherheitsgesetz kommt, steht allerdings noch in den Sternen. Fakt ist jedoch, dass das Thema Datensicherheit ernst zu nehmen ist.

Maßnahmen und Tipps, um Ihre Datensicherheit zu erhöhen

Im Grunde geht es beim Thema Datensicherheit um den Schutz vor Datendieben und den Schutz vor selbst verschuldetem Datenverlust. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist zwar regelmäßig darauf hin, dass die Zahl der gezielten Angriffe auch auf die Daten von kleinen und mittleren Unternehmen immer stärker zunimmt. Trotzdem gilt: Das Problem sitzt meist vor dem Computer. Soll heißen: Ungenügende Updates und falsche Bedienung sind die mit Abstand häufigsten Ursachen für den Verlust wichtiger Daten. Um diesen zu verhindern, sollten Sie systematisch vorgehen.

Schritt 1: Risiken erkennen

Wenn es um das Thema Datensicherheit geht, gilt: Um die Risiken für Ihr Unternehmen richtig einschätzen und angemessen darauf reagieren zu können, sollten Sie sich zunächst einen Überblick über die wichtigsten Firmenwerte verschaffen. Die Fragenliste kann dabei ziemlich lang werden und auch nichttechnische Aspekte umfassen, zum Beispiel:

  • Wie viele Aufträge würden wir verlieren, wenn jemand unsere Bestell-, Kunden- oder Vertragsdaten löscht oder manipuliert?
  • Wie teuer wäre es, die verlorenen Daten mithilfe von Backups oder durch manuelle Eingabe wiederherzustellen?
  • Wären wir im Falle einer unbefugten Veröffentlichung interner Daten gegenüber Vertragspartnern regresspflichtig (z. B. Datenschutzrichtlinien bei Kundendaten eingehalten?)
  • Wie groß wäre der Schaden, wenn unser Wettbewerber unsere wichtigsten Daten in die Hand bekäme?

Anhand der Fragen merken Sie bereits, dass Datensicherungskonzepte zwingend notwendig sind, wenn Sie sich nicht mit den negativen Aspekten der Antworten auseinandersetzen wollen.

Schritt 2: Spielregeln und technische Datensicherungen

Sind erst einmal die größten Risiken erkannt, stellen sich viele Unternehmen nun die Frage: Wie sichere ich meine Daten? Anhand der Risiken können Sie relativ einfach einige Sicherheitsrichtlinien ableiten – sowohl für das Arbeiten auf dem eigenen Desktop als auch im Netzwerk. Für die Datensicherheit getroffene Maßnahmen sollten Sie in Form einer Betriebsvereinbarung verbindlich einführen und zum Bestandteil jedes Arbeitsvertrags machen

Ein weiterer Baustein ist die Passwort- und Zugangsverwaltung. Wenn nachvollziehbar ist, welcher Mitarbeiter wann und von wo auf welche Daten zugegriffen hat, schreckt dies potenzielle Datendiebe genauso ab wie „Datenchaoten“, die es mit der korrekten Sicherung nicht so genau nehmen. Mit individualisierten Zugängen und einem durchdachten Passwort-Management sind Sie auf einem guten Weg.

Als Nächstes sollten konkrete technische Maßnahmen zur Datensicherheit und Informationssicherheit folgen. Der Umfang der Maßnahmen hängt dabei natürlich vom Wert der zu schützenden Daten ab. Technische Ansätze zur Absicherung von Firmeninformationen unterteilen sich prinzipiell in vier Bereiche:

  1. Anti-Virus-Software/Software-Updates: Programme gegen Viren, Würmer und Trojaner sind nur wirksam, wenn sie immer auf dem neuesten Stand sind. Das gilt aber nicht nur für die Sicherheits-Software. Auch die Hersteller-Updates der übrigen Unternehmenssoftware-Lösungen haben einen Sinn: Dort werden aktuelle rechtliche und technische Neuerungen eingearbeitet, Fehler beseitigt oder auch bekannt gewordene Sicherheitslücken geschlossen.
     
  2. Backups: Die billigste Form der Datensicherheit vor Verlust ist die Sicherungskopie. Selbst im Fall eines Totalabsturzes hält sich der Schaden in Grenzen, wenn sich die Daten zumindest auf dem Stand der letzten Sicherungskopie leicht rekonstruieren lassen. Anders sieht es bei physischen Beschädigungen aus – zum Beispiel, wenn der Firmenserver im Keller unter Wasser steht. Davor schützt nur ein zusätzliches, räumlich getrenntes Backup oder die Online-Datensicherung. Einige Software-Hersteller bieten ihren Kunden an, die Firmendaten – immer entsprechend den EU-verbindlichen Datenschutzrichtlinien – über einen verschlüsselten Zugang in Hochsicherheits-Rechenzentren abzulegen (z. B. Lexware datensicherung online).
     
  3. Kryptografie: Ein wichtiger Teil Ihres Datensicherheitskonzepts stellt die Kryptografie dar. Das Verschlüsseln von empfindlichen Daten ist die einfachste und wirkungsvollste Art, sie vor unbefugtem Zugriff zu schützen. Leider wird diese Tatsache in der Unternehmenspraxis viel zu selten beachtet. Allerdings lohnt sich der Einsatz effizienter Verschlüsselungsverfahren nur bei extrem sensiblen Daten, etwa in der Produktentwicklung.
     
  4. Stromversorgung: Sogar in Deutschland gehen bis zu 46 Prozent aller schwerwiegenden Fälle von Datenverlust auf das Konto der E-Werke. Zwar weisen die Stromnetze hierzulande eine durchschnittliche Verfügbarkeit von 99,98 Prozent auf, das heißt aber auch, dass der Strom jedes Jahr für 105 Minuten weg ist. Außerdem gibt es in Deutschland regelmäßig Spannungsschwankungen, die empfindliche Computersysteme fast ebenso stark beeinträchtigen können wie ein Totalausfall. Geld für eine eigene unterbrechungsfreie Stromversorgung kann also gut angelegt sein, wenn es darum geht, geeignete Maßnahmen gegen Datenverlust und für mehr Datensicherheit zu treffen.

Schritt 3: Ein Plan für den Notfall

Der Plan für den Notfall ist ein elementarer Baustein jedes guten Konzepts zur Datensicherheit. Dazu gehört zunächst einmal die Definition: Was ist ein Notfall? Nicht jede kaputte Festplatte ist ein Daten-Gau. Oftmals lassen sich Ausfälle von Computern oder Netzwerken durch geplante Maßnahmen, zum Beispiel durch Ersatzbeschaffung, in kurzer Zeit beheben. 

Der wahre Notfall tritt erst dann ein, wenn innerhalb der erforderlichen Zeit keine Wiederherstellung der Verfügbarkeit möglich ist und sich daraus ein messbarer Schaden ergibt. Das Sicherheitskonzept sollte diese kritische Grenze beschreiben, damit Sie schon bei Eintritt eines zum Notfall führenden Ereignisses alle erforderlichen Maßnahmen ergreifen können, um die Datensicherheit zu erhöhen und den Schaden in Grenzen zu halten, wie beispielsweise:

  • Ersatzbeschaffung
  • Anforderung der Backups
  • Benachrichtigung wichtiger Kunden oder Geschäftspartner

Fazit

Sie sind für die IT-Sicherheit in Ihrem Unternehmen verantwortlich

Als Unternehmer sollten Sie diese Vorschriften und Gesetze zum Thema Datensicherheit im Blick behalten. Immerhin sind Sie als Chef dafür verantwortlich, dass Ihr Unternehmen die Vorgaben einhält und Ihre Daten zuverlässig vor Verlust, Diebstahl und Missbrauchgeschützt sind. Sie müssen nicht nur die Datensicherheit erhöhen, sondern potentielle Risiken erkennen und auf ein Minimum reduzieren.