Was sind die Grundlagen der Datensicherheit nach dem revidierten Bundesgesetz über den Datenschutz?

Was erfordert ein funktionierender Datensicherheitsprozess?

Um die Datensicherheit zu gewährleisten, muss sichergestellt werden, dass Kontrollmechanismen in den Geschäftsprozessen korrekt umgesetzt werden. Es lohnt sich, in eine angemessene Datensicherheit zu investieren, auch wenn die Vorteile nicht sofort ersichtlich sind. Wir hören oft, dass sich nicht die Frage stellt, ob ein Angriff stattfinden wird, sondern wann. Aus diesem Grund müssen verschiedene Bereiche einbezogen werden – das heisst, nicht nur rein technische Gefahren müssen bewältigt werden. Physische Massnahmen, wie etwa Zugangskontrollen in Gebäuden, spielen ebenfalls eine wichtige Rolle für die Datensicherheit.

Im Allgemeinen hängen die relevanten Kontrollen vom Unternehmen und seinen Prozessen ab. Typische Kontrollen sind Zugangskontrollen, Datenträgerkontrollen und Speicherkontrollen. Darüber hinaus sollten Rahmenwerke und Standards, wie die des National Institute of Standards and Technology (NIST) und der International Organization for Standardization (ISO), bei der Durchsetzung der Datensicherheit in Ihrem Unternehmen berücksichtigt werden.

Was ist der Unterschied zwischen Datenschutz und Datensicherheit?

Die Datenschutz-Grundverordnung (DSGVO) und das revidierte Datenschutzgesetz (revDSG) verlangen, dass Datensicherheit gewährleistet ist. Es ist wichtig zu erwähnen, dass Datenschutz und Datensicherheit keine Synonyme sind. Die Datensicherheit schützt Daten, indem sie Vertraulichkeit, Integrität und Verfügbarkeit gewährleistet. Der Datenschutz hingegen schützt die Person, deren Daten verarbeitet werden, indem er die Bedingungen für die Verarbeitung festlegt und bestimmt, wer auf die Daten zugreifen kann. Folglich ist die Datensicherheit von wesentlicher Bedeutung, um den Datenschutz zu gewährleisten. Anders ausgedrückt: Es nützt wenig, Daten gemäss den Gesetzen und Vorschriften zu verarbeiten, wenn sie an einem unsicheren Ort aufbewahrt werden, wo jeder leicht auf sie zugreifen kann.

Welche Massnahmen sollte Ihr Unternehmen ergreifen, um die Risiken zu mindern?

• Die Datensicherheit muss ständig angepasst werden, um Cyberkriminalität zu verhindern. Die Taktiken der Cyberkriminellen entwickeln sich rasch weiter. Neben technischen Kontrollen wie Penetrationstests sollten auch technische Lösungen wie Threat Intelligence Software eingesetzt werden.
• Stellen Sie sicher, dass Ihre Mitarbeitenden nur nach dem Need-to-know-Prinzip auf Informationen zugreifen, das heisst nur auf die Informationen, die sie für ihre Arbeit benötigen. Denken Sie daran, dass Bedrohungen nicht nur von aussen, sondern auch aus dem Inneren Ihrer Organisation kommen.
• Bei Firmengeräten ist es wichtig, dass die Daten mit einem starken Passwort gesichert werden. Idealerweise sollte die Fernlöschung im Falle eines Diebstahls durch eine Sicherheitsapp implementiert werden.
• Führen Sie eine "clean desk Policy" ein. Wenn Mitarbeitende ihren Arbeitsplatz verlassen, müssen sie sicherstellen, dass keine persönlichen oder geschäftlichen Daten von Unbefugten eingesehen werden können, indem sie Computer und Dokumente sicher aufbewahren.
• Sie sollten regelmässig interne Phishing-Kampagnen durchführen und die Statistiken auswerten. Wie viele Mitarbeitende klicken auf die bösartige E-Mail? Bieten Sie ihnen erforderlichenfalls eine Schulung an.
• Regelmässige Krisensimulationen helfen, die Mitarbeitenden für Notfallszenarien zu schulen. Daher ist es unerlässlich, über zuverlässige Pläne für das Management der Geschäftskontinuität und der Wiederherstellung im Notfall zu verfügen.
• Am wichtigsten ist, dass die Mitarbeitenden regelmässig geschult werden müssen, da der Mensch der anfälligste Teil der Kette ist. Die beste Architektur und die besten Massnahmen sind wertlos, wenn Ihre Mitarbeitenden nicht nach den internen Richtlinien handeln.

#social#