Die einzelnen Maßnahmen, über die Datensicherheit im Unternehmen sichergestellt wird, lassen sich aufgliedern in technische und organisatorische Maßnahmen.
Technische Maßnahmen zur Datensicherheit im Unternehmen
Zu den technischen Maßnahmen, die Datensicherheit im Unternehmen herstellen, gehören im Einzelnen:
Back-up: Datensicherung stellen Sie durch Redundanz her. Für kleine und mittelständische Unternehmen gilt die 3-2-1-Regel: Alle Ihre Daten sollten neben Ihrem Produktionssystem auf mindestens zwei weiteren Datenträgern gespeichert sein (3-faches Vorhandensein). Die Back-ups sollten auf zwei unterschiedlichen Medien gesichert werden (2-fache Mediensicherheit) und ein Back-up sollte räumlich an einem anderen Ort abgelegt werden – zum Beispiel in einem Tresor außerhalb des Unternehmensgeländes.
Schutz vor Malware: Durch das automatisierte Verteilen und Aufspielen von Updates und Patches halten Sie Ihre Geräte im Firmennetz aktuell. Nutzen Sie aktuelle Antivirenprogramme, um aktuelle Malware abzuwehren. Zugriffsberechtigungungen/Zugriffsrechte: Die Erteilung oder Verweigerung von Zugriffsrechten für Benutzer:innen sind ein elementarer Bestandteil der geschäftlichen Datensicherheit. Sorgen Sie dafür, dass klar definiert ist, ob und in welcher Form Personen in Ihrem Unternehmen auf Anwendungen und Objekte wie zum Beispiel Dateisysteme und Peripheriegeräte zugreifen dürfen. Auch die Zugriffsrechte bei einer erteilten Berechtigung sollten stets im Blick behalten werden: Wer darf bestimmte Daten lediglich lesen? Wer darf sie auch verändern? Welche Personen dürfen welche Programme ausführen? Die Zugriffsrechte in verbreiteten Cloud-Anwendungen wie Microsoft 365 und Google Drive können Sie beispielsweise leicht anpassen und damit für eine höhere Datensicherheit auch beim (unberechtigten) Zugriff durch externe Personen sorgen.
Rechtemanagement: Über das Rechtemanagement legen Sie anknüpfend daran fest, welche Nutzergruppen auf welche Daten zugreifen dürfen. Zusätzlich sollten Sie alle Accounts in regelmäßigen Abständen überprüfen, ob diese überhaupt noch benötigt werden und die jeweili gen Rechtefreigaben noch aktuell sind.
Identifizierung: Das Rechtemanagement kann nur funktionieren, wenn sich auch alle Anwender:innen bei jeder Nutzung authentifizieren. In der Praxis kommen hier heute meist verschiedene Zugangssysteme zum Einsatz, beispielsweise per Passwortschutz oder biometrischem Schutz wie ein Fingerabdruckscan. Auch Kombinationen sind möglich.
Netzwerksicherheit: Wenn Ihre Mitarbeiter:innen auch im Homeoffice auf Ihr Firmen-Netzwerk zugreifen, sollten deren Zugänge grundsätzlich via Virtual Private Network (VPN) angelegt sein. Netzwerksicherheit bedeutet außerdem, nicht benötigte Dienste und Systeme zu deaktivieren. Wenn auf einzelne Systemspeicher beispielsweise nicht von außen zugegriffen wird, sollten diese auch gar nicht durch Ihre Firewall hindurch sichtbar und erreichbar sein.
Firewall: Sichern Sie alle Ihre Systeme nach außen über Firewalls. Beachten Sie, dass beispielsweise IoT-Geräte, deren offene Programmierschnittstellen per Near Field Communication (NFC) oder Mobilfunk erreichbar sind, damit nicht durch Ihre Firewall geschützt sind. Deaktivieren Sie diese Zugänge oder sichern Sie sie technisch ab.
Technische Absicherung Ihrer Stromversorgung: Durch Netzersatzanlagen (NEA) für größere Verbraucher und Systeme sowie nabhängige Stromversorgungen (USV) für Einzelarbeitsplätze sichern Sie Ihre IT gegen Stromausfälle. Haben Sie Ihre IT in die Cloud ausgelagert, müssen Sie nur Ihre lokalen Endgeräte und Ihren Internetzugang absichern.
Verschlüsselung: Verschlüsseln Sie grundsätzlich alle Daten auf Ihren Unternehmensservern. Aktivieren Sie die Verschlüsselungsfunktion auch bei allen Firmen-Notebooks und -Handys, bei Speichersticks und anderen mobilen Datenträgern und kombinieren Sie diese immer mit einem Passwort- oder biometrischen Schutz.
Protokollierung: Die Vergabe von Nutzungsrechten, Zugriffe auf Ihre Systeme, das Erstellen von Back-ups und alle weiteren wichtigen Ereignisse sollten Sie protokollieren und diese Protokolle ebenfalls per Back-up sichern.
Cloud-Sicherheit: Nutzen Sie Cloud-Services, können Sie viele dieser Aufgaben an Ihren Cloud-Anbieter delegieren, beispielsweise den Virenschutz, die regelmäßigen Updates oder das Back-up. Zusätzlich können Sie Ihre Cloud-Daten sicher speichern, indem Sie Ihr Back-up dezentral an mehreren Cloud-Standorten sichern und als Hot Back-up anlegen, das nach einem Stromausfall sofort wieder in Sekundenbruchteilen hochfährt.
Organisatorische Maßnahmen zur Datensicherheit im Betrieb
Zu den organisatorischen Maßnahmen, die Datensicherheit im Unternehmen herstellen, gehören:
Zuständigkeiten: Legen Sie genau fest, wer innerhalb Ihrer Abteilungen und im Gesamtunternehmen für Datensicherheit zuständig ist.
Schulungen: Schulen Sie Ihre Mitarbeiter:innen regelmäßig zu Sicherheitsthemen und zu den neuesten Tricks von Cyberkriminellen. Viele Schäden entstehen, weil Mitarbeiter:innen Hacking-Attacken nicht rechtzeitig erkennen oder beispielsweise Schadprogramme aus dem Internet leichtfertig öffnen und installieren.
Zugangsregelungen: Sichern Sie alle Unternehmensbereiche, an denen kritische Daten verwahrt werden. Server-Räume oder Räume mit Entwicklungssystemen sollten grundsätzlich abgeschlossen, beziehungsweise per Zugangssystem gesichert sein und ausgewählte Mitarbeiter:innen für diese Räume verantwortlich sein.
Pentests: Lassen Sie Ihr Unternehmen regelmäßig auf Schwachstellen testen. Hierbei prüfen Expert:innen sowohl die technischen Systeme als auch die Anfälligkeit Ihres Unternehmens gegen Attacken wie Social Engineering.
Auch hier gilt: Nutzen Sie Cloud-Computing, können Sie einige dieser Aufgaben an Ihren Cloud-Dienstleister delegieren. Verwenden Sie eine externe Cloud, müssen Sie beispielsweise keine Server-Räume auf dem Firmengelände sichern.