Das Risiko sitzt vor dem Bildschirm

Es muss aber gar nicht immer der ganz große Fall von Netz-Kriminalität sein – auch und gerade der Mittelstand ist im Falle mangelnder Informations-sicherheit unkalkulierbaren Risiken ausgesetzt. Denn was oft vergessen wird: dem Informationsfluss sind keine räumlichen und nationalen Grenzen gesetzt, sondern Daten über Unternehmensgrenzen hinweg weltweit verfügbar. Sogar nur temporär auftretende Datenlecks können maximalen Schaden anrichten. Zusätzlich zum wirtschaftlichen Schaden gehen Fälle dieser Art stets mit schlimmem Vertrauensverlust einher – ein Problem, dass zum Beispiel für Unternehmen, die im Auftrag ihrer Kunden Daten verarbeiten, schnell zur Existenzbedrohung werden und im schlimmsten Fall sogar auf den Auftraggeber selbst zurückfallen kann – denn zumindest in Deutschland ist dieser nach Bundesdatenschutzgesetz (BDSG) direkt für die Sicherheit personenbezogener, durch ihn erhobener Daten verantwortlich.

Die Erfahrung zeigt, dass auch durch interne Angriffe schwere und kostspielige Schäden entstehen können. Tragbare Speichermedien wie iPods oder USB-Sticks machen wegen ihrer geringen Außenmaße und ihrer hohen Speicherkapazität den Datendiebstahl und andere Arten von Sabotage im Innern des Unternehmens heutzutage kinderleicht.

Doch egal ob von innen oder außen: ein großer Teil der Risiken geht nicht unmittelbar auf die Technik zurück. Denn die Fokussierung auf technische Aspekte klammert eine wesentliche Komponente des Problems meist vollständig aus: den Unsicherheitsfaktor Mensch. So machen Datenverluste und -schäden durch schlichte Nachlässigkeit oder den arglosen Umgang durch Mitarbeiter die Mehrzahl aller bekannten Schadenfälle aus. Selbst modernste Sicherheitssysteme nützen nichts, wenn sie von den Mitarbeitern nicht richtig oder gar nicht eingesetzt werden. Kommt beides zusammen – schlechter oder fehlender technischer Schutz und leichtfertige oder kriminelle Handlungen –, so erhöht sich das Risiko hohen Datenverlusts um ein Vielfaches.

Mögliche Beispiele sind zahlreich: Das kann die Putzfrau sein, die aus Bequemlichkeit mit Hilfe des Putzeimers die Türe zum Serverraum offenstehen lässt und so selbst das durchdachteste Zutrittskontrollsystem außer Kraft setzt. Oder oft wird bei der Vergabe von Zugriffsrechten geschlampt. Besonders anfällig zeigen sich Beschäftigte außerdem immer wieder gegenüber dem „Social Engineering“: Dabei ruft ein Eindringling beim Mitarbeiter eines Unternehmens an und gibt sich zum Beispiel als Techniker aus, der vertrauliche Zugangsdaten benötigt, um wichtige Arbeiten abzuschließen. Allzu leichtgläubig und arglos werden dann ohne Bedacht schützenswerte Informationen herausgegeben.

All das führt zu dem Schluss, dass sensible Daten unter allen Umständen vor Schädigungen, Manipulation oder Ausspähung zu schützen sind – und dass dieser Schutz nicht allein auf technischer Ebene erreicht werden kann. Die Lösung liegt in einem ganzheitlichen Ansatz zur Risikominimierung, der den Menschen als Risikofaktor mit einbezieht. Durch die Einführung eines auf die Anforderungen der Firma angepassten Datenschutzmanagementsystems oder eines Informationssicherheits-Managementsystems (ISMS) lassen sich sowohl Kundendaten als auch firmeneigenes Know-how effektiv vor kriminellen Übergriffen, technisch bedingtem Verlust und auch vor durch Arglosigkeit entstehenden Schäden schützen. Einen strukturierten Rahmen für ein solches Managementsystem bietet beispielsweise die ISO 27001. Dieser internationale Standard bildet die Grundlage für Zertifizierungen im Bereich der Informationssicherheit und kann als Ergänzung zum BDSG für Datenschutzaudits verwendet werden.

Für die Art und Weise, wie ein Unternehmen seine Informationen angemessen schützt, zeigt die ISO 27001 einen Gestaltungsrahmen auf. Ganz konkret verlangt die ISO 27001 eine umfassende Analyse, Bewertung und Behandlung von Informationssicherheitsrisiken, um den Verlust von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sowie den damit verbundenen Schaden abzuwenden. Die Ergebnisse der Risikoanalyse bilden dann das Fundament aller weiteren Maßnahmen, die ergriffen werden müssen, um Informationen im Unternehmen systematisch zu lenken und zu schützen. Dazu zählen eine Aufstellung der Informationswerte und die Klassifizierung ebenso wie die Durchführung von organisatorischen und technischen Maßnahmen.

Im Zuge der systematischen Analyse werden die IT- und Kommunikationsstrukturen umfassend hinsichtlich möglicher Schwachstellen beleuchtet. Gleichzeitig wird dadurch auch die Einhaltung der gesetzlichen Forderungen im Umgang mit Daten beurteilt. Analog dazu können Unternehmen auch ein Datenschutzmanagementsystem aufbauen und dessen Wirksamkeit begutachten lassen.

Wesentliches Ziel aller Bemühungen muss stets sein, sowohl in den Führungsetagen als auch bei der Belegschaft ein Bewusstsein für die hohe Bedeutung von Informationssicherheit zu schaffen – vor allem im Hinblick auf den wirtschaftlichen Erfolg des Unternehmens. Als fester Bestandteil der Unternehmenskultur muss das Thema fest in den Köpfen aller Mitarbeiter verankert werden. Dabei sollte auch klar sein: IT-Sicherheit ist kein Thema, das, hat man sich einmal damit beschäftigt, abgehakt und wieder vergessen werden kann. Der dauerhaft sichere Umgang mit Daten kann nur gewährleistet sein, wenn Informationssicherheit als stetiger Prozess begriffen und in die unternehmensinternen Abläufe integriert wird.