Datensicherheit und Compliance gehören seit langer Zeit zu den wichtigen Themen in einem Unternehmen. Ein großer Teil der Unternehmensdaten liegt nicht mehr auf Servern im Unternehmen, sondern ist verstreut beim Provider oder in der Cloud.
Ein Verlust der Daten, ob aus Versehen oder durch Vorsatz, kann dem Unternehmen schaden. Durch Verlust von Kundendaten kommt es zu Vertrauensverlust und Rufschädigung, der Verlust von Unternehmensdaten schädigt das Geschäft.
Zudem kommen auf das Unternehmen Bußgelder und Strafen zu, wenn Compliance-Richtlinien zum Schutz von Daten verletzt worden sind. Für Unternehmen führt also kein Weg an einem Rund-um-Schutz vorbei, der größtmögliche Datensicherheit zum Ziel hat.
Vor allem die Verbreitung von Cloud Computing macht den Schutz von Unternehmensdaten zu einer dringenden Aufgabe für deutsche Firmen. Rund 42 Prozent von ihnen zählen, laut einer Studie* von IDC und Sophos, einem der führenden Anbieter von Lösungen für IT- und Datensicherheit, Cloud Computing zu den wichtigsten Herausforderungen im Bereich IT-Sicherheit.
"Was den Schutz von kritischen Unternehmensdaten angeht, so stehen die Firmen vor zwei Problemen. Zum einen gibt es Angriffe aus dem Netz - es bedarf also hier effektiver Abwehrmechanismen. Auf der anderen Seite müssen Unternehmensdaten, die sich auf Datenträgern wie externen Festplatten oder USB-Sticks bei den Mitarbeitern befinden, ebenfalls abgesichert werden", sagt Sascha Pfeiffer, Principal Security Consultant bei Sophos.
"Unternehmenskennzahlen, Marketingkonzepte oder Baupläne von Maschinen werden gerne mal auf Sticks mitgenommen und gehen zu oft verloren. Wenn die Daten verschlüsselt sind, ist das nicht weiter tragisch, das sind sie aber oft nicht."
3 Tipps für Datensicherheit und Compliance-Konformität
1. Verschlüsselung
Der Gartner-Analyst Avivah Litan hatte vor Kurzem den Grund für den Verzicht auf Verschlüsselung von Daten in der Faulheit der Unternehmen festgemacht. Seiner Meinung nach gibt es für diesen Verzicht keine Ausrede. Denn sie gehört zu den wichtigsten Maßnahmen für mehr Datensicherheit. Gerade beim Austausch von Daten zwischen zwei Geräten, zwischen Cloud- und Unternehmensserver sowie bei der Speicherung in der Cloud verhindert die Verschlüsselung, dass diese Daten von Unbefugten gelesen werden können.
Nur die Personen, die zum Zugriff berechtigt sind, erhalten den "Schlüssel" und können die Daten sehen. Kombiniert mit einer Sensibilisierung für mehr Datensicherheit bei den Mitarbeitern kann Verschlüsselung größtmöglichen Schutz bieten. Eine unternehmensweite Festplattenverschlüsselung ist ein weiteres Muss.
2. Compliance - schützt und spart Kosten
Viele Unternehmen zögern aus Kostengründen, umfassende Compliance-Maßnahmen wie operative Prozesse, Richtlinien, geschulte Arbeitskräfte und technologischen Verfahren zu implementieren. Dabei zeigt eine Studie des Ponemon Instituts, dass die Kosten bei mangelnder Compliance um den Faktor 2,6 höher sind als die Kosten für die Implementierung und Anwendung von Compliance-fördernden Maßnahmen.
Unternehmen profitieren also, wenn sie regelmäßig in Sicherheitsvorschriften investieren. Compliance ist unter dem Strich für ein Unternehmen kostengünstiger als der Verzicht darauf und die damit einhergehenden Klagen und Bußgelder. Die Kosten für Compliance lassen sich zudem durch eine aufeinander abgestimmte Kombination aus Verfahrens- und Kontrollprozessen sowie mit einer professionellen und guten Prozesssteuerung reduzieren.
3. Strategie und Verhinderung von Datenverlust
Eine Datenschutzstrategie setzt sich aus drei Hauptkomponenten zusammen: Maßnahmen, die durch geltende Gesetze notwendig sind, operative Prozesse und Maßnahmen, die von Unternehmen selbst aufgestellt und durchgeführt werden sowie technologische Verfahren, die diese Maßnahmen und Prozesse bei der Umsetzung unterstützen. Der Kern der Strategie umfasst die geeignete Bekämpfung von Risiken innerhalb des Unternehmens.
Eine wichtige Datenschutzrichtlinie ist beispielsweise die Verhinderung von Datenverlust (Data Loss Prevention). Diese Richtlinie lässt sich vor allem auf die Übertragung von Daten anwenden. Das Verfahren identifiziert sensible Daten und prüft größere Datenvolumina auf Richtlinienverstöße und kann die Beteiligten und Verantwortlichen sofort alarmieren sowie die Übertragung stoppen.