Blog

Digitalisierung braucht IT-Sicherheit

Die digitale Transformation bringt es mit sich, dass zunehmend mehr Daten an immer mehr unterschiedlichen Orten gespeichert, kommuniziert und verarbeitet werden. Viele dieser Daten sind personenbezogene oder vertrauliche Informationen, die dem Datenschutz unterliegen.

Mit zunehmender Vernetzung unserer Wirtschaft wachsen auch die Herausforderungen für die Sicherheit der IT-Systeme. Neue Standards und Sicherheitsarchitekturen erleben derzeit einen starken Aufschwung – Stichwort "Security by Design".

Dieser Artikel gibt Ihnen einen Überblick über die wichtigsten Begriffe, Aspekte und Entwicklungen rund um die Informationssicherheit und die einschlägigen Compliance-Anforderungen.

 

 

Begriffe rund um die IT-Sicherheit

Zunächst möchten wir einige Begriffe klären, die häufig verwechselt oder unscharf benutzt werden.

Informationssicherheit

Die Informationssicherheit bildet den Oberbegriff aller Elemente des IT-Schutzes. Sie soll drei zentrale Ziele sicherstellen:

  • Vertraulichkeit,
  • Verfügbarkeit und
  • Integrität der Daten.

Der IT-Grundschutz dreht sich genau um diese drei Grundwerte.

Weitere Werte der Informationssicherheit sind Authentizität, Verbindlichkeit, Zuverlässigkeit und Nichtabstreitbarkeit. Diese begegnen uns in anderem Gewand in den GoBD wieder, den aktuellen Grundsätzen der ordnungsmäßigen Buchführung mit digitalen Systemen.

IT-Sicherheit

IT-Sicherheit umfasst die Sicherheit der IT-Systeme und der darin gespeicherten Informationen. Was aber sind IT-Systeme? Klare Sache: Damit können nur Computer und Server gemeint sein.

Weit gefehlt. Auch ein hochsicherer Server ist gefährdet, wenn er auf dem Präsentierteller steht, sprich, jedem Einbrecher in die Hände fallen kann. Physische Sicherheit ist also auch ein Element der Datensicherheit.

Dann wäre da noch die so genannte Schatten-IT. Viele Mitarbeiter haben Daten des Unternehmens auf ihren Smartphones, in ihren E-Mail-Accounts, auf ihren Tablets. Sie teilen Daten über unsichere Verbindungen, per Dropbox oder Google Drive, eventuell auch mit Freunden und Bekannten.

Datensicherheit

Die Datensicherheit betrifft den technischen Schutz der Daten gegen Verlust, Verfälschung und andere Bedrohungen.

Backups gehören noch immer zu den wichtigsten Maßnahmen. Früher genügte es, einmal in der Woche im Keller das Bandlaufwerk anzuwerfen. Heute werden Daten in Echtzeit redundant in der Cloud gespeichert, das heißt, sie liegen auf mehreren Servern an unterschiedlichen Standorten. Wenn ein Server ausfällt, übernimmt der nächste seine Funktion, ohne dass es der Endanwender überhaupt merkt.

Datenschutz

Datenschutz ist der Schutz personenbezogener Daten vor Missbrauch und Schäden. Er umfasst das Recht zur informationellen Selbstbestimmung. Dieses Recht wurde in der neuen Datenschutzgrundverordnung (DSGVO) ausgeweitet. Diese postuliert nun auch das "Recht auf Vergessenwerden" sowie umfassende Auskunftsrechte.

In Ihrem Unternehmen sind aber nicht nur personenbezogene Daten schützenswert. Forschungsergebnisse, Konstruktionspläne, Einkaufspreise, Vertragsinhalte, Kalkulationen, Workflows, Finanzdokumente – alle diese Informationen sind ebenso vertraulich und schutzwürdig.

Security by Design

Vernetzte Produktionsumgebungen brauchen zuverlässige, sichere und schnelle Prozesse. Doch hier existieren ebenfalls Stolpersteine. Wenn die Steuerungssoftware zertifiziert sein muss und nicht verändert werden darf, können zum Beispiel Sicherheits-Updates nicht einfach nachgeladen werden. Der Schadcode kann zwar entfernt werden, aber die Sicherheitslücke bleibt bis zur Zertifizierung einer neuen Version offen.

Security by Design bedeutet, dass Sicherheit in der Software-Entwicklung von Anfang an mitberücksichtigt wird. Die Systeme werden so entworfen, dass die IT-Sicherheit in allen Produktionsstufen quasi mit eingebaut wird – von der Ideenfindung bis zur Endabnahme.

Besondere Brisanz bekommt dieses Thema derzeit durch den Aufstieg des Internet der Dinge (IoT). Haushaltsgeräte, Autos, aber auch industrielle Steuerungskomponenten waren ursprünglich nicht für eine universelle Vernetzung über das Internet ausgelegt. Das machte sie in höchstem Maße verwundbar. Security by Design trachtet danach, diese Verwundbarkeit schon im Vorfeld zu eliminieren.

Wen schützt IT-Sicherheit und wovor?

Diese Frage ist nur scheinbar banal. Viele denken zunächst einmal an die Hacker-Angriffe und Erpressungs-Software. Doch das ganze Ausmaß des Problems ist kaum jemandem bewusst. Die folgenden Beispiele decken längst nicht alle Risiken ab, aber sie geben eine Vorstellung davon, wie vielschichtig diese sind.

Wen schützt die IT-Sicherheit?

Sicherheit in der Digitalisierung schützt zunächst Ihr eigenes Unternehmen. Aber es schützt auch all Ihre Geschäftspartner und Kunden entlang der gesamten Wertschöpfungskette.

In einer vernetzten, digitalisierten Wirtschaft setzt der schwächste Partner den Standard für die Gesamtheit. Wenn jemand ein Laptop mit einer Festplatte voller Geschäftsgeheimnisse im Zug liegen lässt, betrifft der Datenverlust nicht nur ihn selbst, sondern seine Kunden, Auftraggeber und sonstige Stakeholder.

Wenn ein Unternehmen noch alte Windows 98-Rechner im Betrieb hat – und sei es bei einem über VPN angeschlossenen Heimarbeiter – dann kann sich ein Erpressungstrojaner im gesamten Netzwerk ausbreiten.

Wovor schützt die IT-Sicherheit?

  • IT-Sicherheit schützt vor Datenraub und Wirtschaftsspionage. Sie möchten nicht, dass Ihre Forschungsergebnisse, Kundendaten und Finanzinformationen in die falschen Hände gelangen.
  • IT-Sicherheit schützt vor Datenverlust. Wenn Ihr Server explodiert und Sie kein Backup haben, könnte das den Ruin bedeuten. Doch auch der Diebstahl oder Verlust von Geräten ist eine unangenehme Erfahrung.
  • IT-Sicherheit schützt vor Erpressung und Sabotage. Im Mai 2017 verbreitete sich der Erpressungstrojaner "WannaCry" in Windeseile durch schlecht gesicherte Netzwerke.
  • IT-Sicherheit schützt vor Bußgeldern und Schadenersatzforderungen. Die neue Datenschutzgrundverordnung (DSGVO) ahndet Compliance-Verstöße mit empfindlichen Strafen.
  • IT-Sicherheit schützt vor Produktionsausfällen. Fehlfunktionen, Ausfälle und verschmorte Leitungen sind nur die Spitze des Eisbergs. Richtig gefährlich wird es, wenn fehlerhafte Berechnungsergebnisse längere Zeit unentdeckt bleiben.

Vielfalt von IT-Risiken

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt in seinen IT-Grundschutz-Katalogen eine schwindelerregende Vielfalt von IT-Risiken. Dazu gehören Elementarschäden, Höhere Gewalt, organisatorische Mängel, menschliches Versagen, technisches Versagen und vorsätzliche Handlungen.

IT-Sicherheit: Welche Maßnahmen auf welchen Ebenen?

Mit den folgenden Maßnahmen sind Sie oder Ihr IT-Provider auf dem richtigen Weg:

  • Firewall, Virenschutz und Backups gehören zur Grundausstattung.
  • Sicherheitspatches jeglicher Software müssen unverzüglich angewendet werden.
  • Cloud-Software sollte in Deutschland oder zumindest in der EU gehostet werden, um den Datenschutz nicht zu verwässern.
  • Daten sollten verschlüsselt übertragen und wenn möglich auch verschlüsselt gespeichert werden.
  • Zugriffsrechte auf Anwendungen und Daten sollten nach dem Grundsatz "so viel wie nötig, so wenig wie möglich" vergeben werden. Es gibt ebenso die Möglichkeit, nur-lesenden Zugriff einzurichten oder Links mit Verfallsdatum und Download-Sperre zu verschicken.
  • Server müssen auch physisch gut gesichert werden, vor Einbruch, Feuer und anderen Elementarschäden.
  • Erarbeiten Sie einen Notfallplan, damit ein IT-Ausfall nicht gleich Ihren ganzen Betrieb lähmt – dies wird auch "Business Continuity Management" genannt.

Gesetzliche Anforderungen an die IT-Sicherheit

Der Gesetzgeber hat eine Vielzahl von Regularien auf den Weg gebracht, um Unternehmen und ihre Kunden in der vernetzten Welt zu schützen und Rechtssicherheit zu schaffen. Auch hier gilt, dass dieser Artikel lediglich einige Schlaglichter setzen kann.

Bundesdatenschutzgesetz (BDSG)

Das BDSG verlangt technische und organisatorische Maßnahmen, um den Datenschutz zu gewährleisten. Die Anforderungen werden genau spezifiziert:

  • Der Zugang zu IT-Anlagen muss kontrolliert werden.
  • Der Zugriff auf Daten muss durch Berechtigungen geregelt werden.
  • Schutzwürdige Daten dürfen nicht einfach weitergegeben werden.
  • Daten müssen richtig und auftragsgemäß erfasst werden.
  • Die Verfügbarkeit der Daten muss gewährleistet sein.
  • Daten, die zu unterschiedlichen Zwecken erhoben wurden, müssen auch getrennt verarbeitet werden können.

Datenschutzgrundverordnung

Die Datenschutzgrundverordnung (DSGVO) wurde zuvor bereits kurz angesprochen. Diese Verordnung regelt die Grundsätze für die Speicherung, Verarbeitung und Übertragung personenbezogener Daten. Die Rechte der betroffenen Personen wurden gestärkt - Stichwort "Recht auf Vergessenwerden". Die Verantwortlichkeiten, insbesondere auf dem Gebiet der Auftragsdatenverarbeitung, wurden geklärt und die Position des Datenschutzbeauftragten gestärkt.

Insbesondere stiegen die Bußgelder bei Verstößen gegen die Verordnung in schwindelerregende Höhen. Die maximale Geldbuße beträgt bis zu 20 Millionen Euro oder bis zu vier Prozent vom Jahresumsatz eines gesamten Konzerns (und nicht etwa der Tochtergesellschaft, in der der Verstoß passiert).

GoBD

Die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) regeln den Umgang mit Buchhaltungs- und Steuerdaten im Betrieb. Sie legen hohe Maßstäbe an die Archivierung von Belegen und an die Authentizität sowie Transparenz von Geschäftsvorfällen an. Auch dürfen die Daten nicht in den USA gespeichert werden, weil das dortige Datenschutzrecht zu lasch ist.

Schon die bloße Möglichkeit von Manipulationen oder Datenverlusten ist für das Finanzamt ein rotes Tuch. Lückenhafte Nachweise können dazu führen, dass die Buchhaltung verworfen und die Steuer geschätzt wird.

Zertifizierungen

Unternehmen

Die meisten seriösen Anbieter für IT- und Cloud-Dienstleistungen haben sich nach ISO 27001 zertifizieren lassen. ISO 27001 ist eine internationale Norm, die den de-facto-Standard für IT-Sicherheit darstellt. In jüngerer Zeit wurde diese Zertifizierung ausgebaut und um ein IT-Grundschutz-Zertifikat des BSI erweitert.

Dieses umfasst Anforderungen, Ziele, Prozesse und Risikomanagement rund um die IT-Sicherheit, einschließlich regelmäßiger interner Audits.

Rechenzentren

Für Rechenzentren existieren noch weitere Zertifizierungen. Relativ neu ist zum Beispiel die Zertifizierung nach EN 50600, die erstmals ganzheitlich alle Aspekte eines Rechenzentrums betrachtet, wo früher eine bunte Palette von Einzelstandards existierten.

Moderne Rechenzentren sind heute durch massive Betonmauern geschützt, die selbst einem Terrorangriff standhalten. Nur autorisiertes Personal hat Zutritt zu den Servern, häufig nach einer biometrischen Überprüfung. Die Luftfeuchte wird reduziert, um Korrosion vorzubeugen. Sogar der Sauerstoff-Gehalt der Luft wird aus Brandschutz-Gründen gesenkt.

 

Letzte Blogs