Unser Experte

Andreas Kunz
Gründer und Geschäftsführer
Connecting Media

  • Dipl. Wirtsch.-Inf. (FH)
  • 14 Jahre IT-Security Praxiserfahrung
  • Kenner der Datenschutz und Security Branche
  • Weltweite Projekte in unterschiedlichen Branchen
  • Branchenunbhängige Beratung
  • Best of 2018 Prädikat Innovationspreis IT

Weitere Infos

Mehr Sicherheit für Ihr Unternehmen

Warum Sie das Thema Datensicherheit zur Chefsache machen sollten

Bereiten Ihnen die Themen Datenschutz und Datensicherheit Bauchschmerzen? – Kein Wunder, das Thema wirkt auf den ersten Blick unübersichtlich und kompliziert und die neue Datenschutzgrundverordnung (DSGVO) verursacht zusätzlich Unsicherheit. Das ist aber kein Grund, den Kopf in den Sand zu stecken! Im Gegenteil: sobald Sie sich mit dem Thema beschäftigen, werden Sie merken, dass Sie zwar eine auf Ihr Unternehmen zugeschnittene Lösung brauchen, dass Sie diese aber in einfachen Schritten erreichen können.

Damit Sie wissen, wo Sie ansetzen müssen, haben wir hier die wichtigsten Infos zum Thema zusammengestellt. Was sind personenbezogene Daten und was müssen Sie bei deren Verarbeitung beachten? Warum können Sie Datenschutz nur mit Datensicherheit gewährleisten? Und worauf müssen Sie bei der Erstellung Ihres Sicherheitskonzepts achten?

Weil wir hier nur einen ersten Einblick ins Thema geben können, veranstaltet das HubWerk01 im August verschiedene Praxisworkshops, in denen wir auf Ihre Fragen eingehen und Ihr Unternehmen gemeinsam sicher machen.

Anmeldung IT-Sicherheits Events

Die wichtigsten Infos zur DSGVO

Beim Thema Datenschutz geht es immer wieder um die Erhebung, Speicherung und Weitergabe sogenannter personenbezogener Daten.

Expertenfrage: was sind eigentlich personenbezogene Daten?

„Die Fachliteratur besagt, dass es sich nach § 3 Abs. 1 BDSG bei personenbezogenen Daten um Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person handelt. Aber keine Angst, man kann das Ganze auch umgangssprachlich erklären: es kommt dabei schlicht und einfach auf das Wort „Identifizierbarkeit“ an. Kann ich einen Menschen anhand der Daten, die ich über ihn erfasst habe, identifizieren, handelt es sich dabei um personenbezogene Daten. Als Beispiele dafür gelten Name, Adresse, Telefonnummer und biometrische Abdrücke.“

Andreas Kunz, Connecting Media

Das Wichtigste, was Sie sich in Bezug auf personenbezogene Daten merken sollten, ist, dass Sie erstens genau wissen sollten, welche Daten Sie überhaupt erheben, und zweitens, warum. Denn nur Daten, an denen Sie ein berechtigtes Interesse haben, dürfen Sie sammeln und speichern. Kurz gesagt, wenn Sie Ihrem Kunden ein Produkt zusenden möchten, benötigen Sie dessen Namen und Adresse, Sie müssen jedoch nicht wissen, welche Augenfarbe er hat oder was für ein Auto er fährt. Speichern Sie also nur, was Sie wirklich brauchen!

Besondere Aufmerksamkeit ist geboten, wann immer Sie Daten an Dritte weitergeben. Dies geschieht oft, ohne dass Sie sich dessen überhaupt bewusst sind. Wenn Sie zum Beispiel Ihren Newsletter mit MailChimp versenden, Dropbox oder Google Drive für Backups verwenden oder auf Ihrer Website YouTube-Videos einbinden, geben Sie personenbezogene Daten an diese Anbieter weiter. Hier benötigen Sie Auftragsverarbeitungsverträge. Das klingt komplizierter als es ist, da die meisten Anbieter bereits Standardverträge vorbereitet haben, die sie Ihnen gerne zusenden. Das Wichtigste ist also auch hier, dass Sie sich bewusst machen, wer alles Daten von Ihnen erhält.

Und: behalten Sie einen kühlen Kopf. Die DSGVO hat dazu geführt, dass Kleinunternehmer, aber auch einige mittelständische Unternehmen aus Angst vor Abmahnungen ihre Blogs und Webseiten eingestellt und ihre Facebook-Firmenseite gelöscht haben oder sich nicht einmal mehr trauen, Visitenkarten ihrer Kunden anzunehmen. Das führt an den eigentlichen Zielen der Verordnung vorbei. Im HubWerk01 können Sie lernen, wie Sie Datenschutzziele sinnvoll umsetzen und was Sie tun sollten, um sich rechtlich abzusichern.

DSGVO-Checkliste: diese Fragen sollten Sie beantworten können

Machen Sie sich alle Schritte der Datenerfassung und -verwendung bewusst.

    •    Was für Daten erheben Sie?
    •    Woher kommen diese Daten? (Website, Email, telefonisch, über ein Tool)
    •    Wofür erheben Sie die Daten?
    •    Welche Tools/Drittanbieter nutzen Sie, um diese Aufgabe zu erfüllen?
    •    Was passiert mit den Daten, wenn Sie sie nicht mehr brauchen?
    •    Wann werden diese gelöscht?

Ziel Ihrer Datenschutzerklärung ist es, diese Fragen leicht verständlich zu beantworten.

Warum Datenschutz und Datensicherheit Hand in Hand gehen

Neu in der DSGVO verankert ist ein Artikel zur Datensicherheit, nach dem Sie die erhobenen Daten vor Missbrauch durch Dritte schützen müssen. Werden Sie Ziel eines Hackerangriffs, müssen Sie nachweisen, dass Sie ausreichende Maßnahmen getroffen haben, um diese Daten zu schützen. Sind Sie dazu nicht in der Lage, droht ein Bußgeld in Höhe von bis zu 20 Millionen Euro oder 4% Ihres Jahresumsatzes.

Hinzu kommt: Sie verlieren das Vertrauen Ihrer Kunden und Ihr gutes Image. Es ist teuer, das gehackte System wiederherzustellen. Je nach Art des Angriffs werden zudem Ihre Geschäftsabläufe gestört oder komplett lahmgelegt. Auch diese Kosten lassen sich beziffern. Laut einer Studie der Sicherheitsfirma Kaspersky lagen die durch Datenlecks verursachten Kosten bei mittelständischen Unternehmen 2018 bereits bei 100.000 Euro pro Schadensfall, Tendenz steigend. In Großunternehmen kletterten die Ausgaben für die Schadensreduzierung gar auf über eine Million Euro pro Cyber-Angriff.

Was hat es mit den Zielen Vertraulichkeit, Integrität und Verfügbarkeit auf sich?

Das Gesetz sieht drei Schutzziele vor, an denen Sie sich orientieren können:

    •    Vertraulichkeit: Haben Sie Ihre Personalakten sicher weggeschlossen, damit Herr Mayer nicht sehen kann, was Herr Schmidt verdient? Dieses Prinzip sollten Sie auch auf andere personenbezogene Daten anwenden. Fragen Sie sich immer, wer mit diesen Daten arbeiten muss und stellen Sie sicher, dass nur diese Mitarbeiter tatsächlich Zugriff haben.

    •    Integrität: Integrität bedeutet hier, dass es unmöglich sein muss, eine Änderung unerkannt oder unbemerkt vorzunehmen. Stellen Sie sich vor, Ihre Forschungs- und Entwicklungsdaten werden verändert, ohne dass Sie nachvollziehen können, wie genau die Änderung aussieht und wer dafür verantwortlich ist. Die Veränderung mag noch so klein sein, Sie können dem gesamten Datensatz nicht zu trauen. Aus diesem Grund sollten Sie Zugänge nicht nur begrenzen, sondern auch klar zuordnen. Jeder Mitarbeiter benötigt seinen eigenen Account mit Login.

    •    Verfügbarkeit: Das Prinzip Verfügbarkeit bezieht sich auf die Verhinderung von Systemausfällen: wie schnell müssen Sie nach einem Angriff wieder auf Ihre Daten zugreifen können? Dafür sollten Sie in einer Risikoanalyse festlegen, welche Daten Sie in jedem Fall benötigen, um Arbeitsabläufe aufrecht zu erhalten. Diese Daten müssen Sie gesondert schützen und in einem Backup speichern. Das Backup verwahren Sie räumlich getrennt vom übrigen System. Warum? Stellen Sie sich vor, es würde gemeinsam mit dem Original gestohlen oder bei einem Feuer vernichtet.

Denken Sie daran: Angriffe auf diese Schutzziele bedeuten für Sie Angriffe auf reale Unternehmenswerte!

Warum Sicherheit Chefsache sein sollte

Sicherheit hat häufig einen zu geringen Stellenwert in Unternehmen, denn Sicherheitsmängel treten meist nicht unmittelbar zutage und konkreten Kosten steht daher ein vages Risiko gegenüber. Gerade deshalb ist es wichtig, dass Sie die tatsächlichen Risiken einmal für sich beziffern.

Expertenfrage: Wie funktioniert eine Risikoanalyse?

„Oftmals wird eine Risikoanalyse als eierlegende Wollmilchsau angesehen. Da kommt jemand von außen ins Unternehmen, Sie bezahlen Summe X und bekommen am Ende einen schönen, bunten Bericht – und dann warten Sie wieder ein Jahr. Das ist dann aber eher ein Schwachstellenscan. Bei einer Risikoanalyse geht es darum, eine Gefährdung nach Eintrittswahrscheinlichkeit und Schadenshöhe zu bewerten. Und das macht die Risikoanalyse ganz klar zur Chefsache. Nur Sie als Chef können bewerten, welche Risiken geschäftskritisch sind und zu hohem Schaden oder gar zum Aus der Firma führen können. Daher ist es essentiell, dass Sie sich mit risikobehafteten Systemen und Prozessen auseinandersetzen. Haben Sie die Risiken erst einmal identifiziert, können Sie gezielt Maßnahmen im Bereich IT-Sicherheit und Datenschutz ergreifen.“

Andreas Kunz, Connecting Media

Weitere Vorteile eines Sicherheitskonzeptes? Durch nachgewiesene Datensicherheit schaffen Sie Vertrauen bei Ihren Kunden und Geschäftspartnern, die sich seit der Einführung der DSGVO ebenfalls mehr Gedanken zum Thema machen. Außerdem sind Ihre IT-Systeme dann gut dokumentiert, was Wartung, Administration und Fehlerbeseitigung erleichtert.

Sicherheit ist kein Zustand, sondern ein ständiger Prozess

Dabei geht es nicht nur darum, Gefahrenquellen auszumachen. Sie sollten außerdem organisatorische Abläufe entsprechend anpassen. Deshalb ist es wichtig, dass sich die Geschäftsleitung mit dem Thema auseinandersetzt.

Die meisten Mängel entstehen nämlich dort, wo klare Zuständigkeiten fehlen, Sicherheitsvorgaben nicht dokumentiert sind und vereinbarte Maßnahmen nicht überprüft werden. Sorgen Sie dafür, dass alle Mitarbeiter über Richtlinien informiert sind und über das Thema Bescheid wissen. Die größten Sicherheitslücken entstehen nicht auf technischer Ebene, sondern weil Mitarbeiter sich der Risiken schlicht nicht bewusst sind. Dann öffnet Herr Müller aus Versehen einen Emailanhang mit Malware oder Frau Schneider gibt ihr Passwort einem vermeintlichen Sicherheitsbeauftragten weiter – und schon haben sich Hacker Zugriff zum System verschafft.

Expertenfrage: Für welche Bereiche muss ich an Datensicherheit denken?

„Anders als oft gedacht ist das Thema Datensicherheit nicht ausschließlich ein IT-Thema. Zum Beispiel sind auch Teilnehmer- und Besucherlisten, Personalakten, Leadbögen, Verträge, Angebote und Rechnungen in Papierform betroffen. Zusätzlich kommt es darauf an, als wie schützenswert Sie die jeweiligen Daten einstufen. Hier kann es auch innerhalb eines Unternehmens durchaus Unterschiede geben. Daher ist unsere Empfehlung, zuerst eine klare Risikoanalyse zu erstellen, bevor Sie in die Tiefe gehen und sich an Details verzetteln.“

Andreas Kunz, Connecting Media

Ein Artikel von Sophie Burger

Workshops und Veranstaltungen im HubWerk01

Wir als HubWerk01 haben die Wichtigkeit von Datenschutz, Datensicherheit und Mitarbeiterschulung verstanden. Daher haben wir vor der Sommerpause ein Angebot für Sie erarbeitet. Neben größeren Informationsveranstaltungen wird es Seminare und Workshops für kleinere Gruppen geben. Am Ende soll jedes teilnehmende Mitglied DSGVO konform sein und eine Risikoanalyse erstellt haben. Unterstützung erhalten wir dabei vom Sicherheitsexperten Andreas Kunz und seiner Firma ConnectingMedia.

Unsere Events zum Thema IT-Sicherheit

DATUM EVENT LOCATION PREIS PREIS MITGLIEDER
11.07.2019 Tag der IT-Sicherheit Haus der Wirtschaft, IHK Ka 90 € -
15.07.2019 DSGVO einfach & kompakt HubWerk01 178 € 101 €
22.07.2019 Sicheres Arbeiten mit mobilen Endgeräten und Cloud-Lösungen HubWerk01 53 € 29 €
01.08.2019 Bewusstsein für IT-Sicherheit schaffen HubWerk01 53 € 29 €
08.08.2019 Workshop - Networtk Security Skills HubWerk01 89 € 59 €
12.08.2019 Industrial Security HubWerk01 53 € 29 €
15.08.2019 Workshop - Cloud Security Skills / Endpoint Security Skills HubWerk01 89 € 59 €
22.08.2019 Notfallplan für den Cyberangriff HubWerk01 53 € 29 €