IT-Sicherheit "3 Securityargumente"

Eine Information vom bundesweiten IT-Service-Net in zusammenarbeit mit Kasel iT

Wussten Sie schon dass 80% aller Firmen in Konkurs gehen wenn diese einen kompletten Datencrash erleben und keine Sicherung vorhanden war.

Sicherung von geschäftsrelevanten Daten ist Pflicht

Vielen Gewerbetreibenden ist es noch nicht bewusst dass die Sicherung von Daten eine Pflicht ist. Niemand würde auf die Idee kommen einen Ordner aus der Buchhaltung zu nehmen und zu verbrennen. Genau das machen versehentlich manche Unternehmen indem Sie den Inhalt ihrer Festplatten nicht sichern oder aus Versehen mit anderen Inhalten überspielen.

Das Finanzamt prüft auch die EDV

Im Rahmen von Betriebsprüfungen hat das Finanzamt Zugriffsrechte auf die EDV von Unternehmen. Im Vorfeld einer möglichen Prüfung, also praktisch schon bei der Gewerbeanmeldung, besteht eine Mitwirkungspflicht. Diese regelt die technischen und gesetzlichen Hintergründe um den Finanzamt das Leben zu erleichtern. Das nennt sich dann „ Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen" (GDPdU).

Bei Zuwiderhandlungen drohen Zwangsgelder und bei fehlenden Daten kann eine Steuerschätzung vorgenommen werden. Da diese über der realen Steuerschuld liegen kann, wird dies zu Problemen des Betriebs führen. Die Richtlinien der (GDPdU) gelten mittlerweile für alle Betriebsgrößen also auch für kleine - und mittlere Unternehmen. Informationen findet man auf: www.gdpdu-portal.com/

Größere Betriebe verfügen über einen - oder mehrere Systemadministratoren, die hoffentlich ihre Lehrgänge besucht und damit, das Problem im Griff haben. Was aber machen kleinere Betriebe die über keine eigenen IT- Mitarbeiter verfügen?

Es stellten sich einige Fragen, zum Beispiel die der Archivierungsmethode. Mit welchem Medium wird gesichert Bandlaufwerk, CD oder gleich ein Raid-System. Altdaten müssen fachgerecht in neue Systeme überführt werden (Migration) dies muss nachvollziehbar dokumentiert werden. Dies gilt nicht nur für die Buchhaltung sondern auch für geschäftrelevante E-Mails die dauerhaft gesichert werden müssen.

Um dies zu bewerkstelligen müssen die Daten, auf nicht manipulierbare Datenträger, überspielt werden und es muss die Lebensdauer der Datenträger beachtet werden. Es muss auf die Formate geachtet werden damit das Finanzamt die Daten auch nachvollziehbar auswerten kann.

Der Datenschutzbeauftragte

Arbeiten in Ihrem Unternehmen mehr als 9 Mitarbeiter am Computer mit personenbezogenen Daten, wie z. B. Name, Anschrift, Telefonnummer von Kunden? Wenn ja, dann sind Sie als Geschäftsführer gesetzlich verpflichtet, einen DSB zu bestellen.

Nach § 4f BDSG müssen Sie außerdem für die Aus- und Weiterbildung Ihres DSB sorgen. Werden Datenschutzvorschriften nicht eingehalten, haftet das Unternehmen oder auch Sie persönlich.

Erfüllen Sie jetzt mühelos Ihre gesetzlichen Pflichten, indem Sie für die nötige Fachkenntnis Ihres DSB sorgen. Wir zeigen Ihrem DSB, welche Maßnahmen er sofort und zukünftig regelmäßig ergreifen muss, um Ihr Unternehmen vor Datenschutzpannen und Haftungsansprüchen zu schützen. Kennt Ihr DSB die verschärften Vorschriften des BDSG und alle seine Pflichten – so kann er schnell und mühelos den Handlungsbedarf in Ihrem Unternehmen ermitteln.

Kann Ihr DSB anhand eines konkreten Maßnahmenplans alle erforderlichen Datenschutzmaßnahmen systematisch in Ihrem Unternehmen umsetzen – und nachweissicher dokumentieren!

Weiß Ihr DSB, welche rechtlichen Konsequenzen im Falle einer Datenschutzpanne drohen, wann das Unternehmen haftbar gemacht werden kann und wie er Haftungsrisiken minimiert.

Kein Kredit ohne einwandfreie EDV

Ab Januar 2007: Ohne IT-Sicherheit keinen Kredit?

IT-Sicherheit wird ab 2007 wird als operationelles Risiko des kreditsuchenden Unternehmens bei der Kreditvergabe noch stärker als bisher berücksichtigt. Ein fehlendes oder mangelhaftes IT-Sicherheitsmanagement führt künftig zu schlechten Kreditkonditionen und damit zum Wettbewerbsnachteil. Aber auch heute schon enthalten zahlreiche Rechtsregeln umfangreiche Pflichten zur Sicherung der Informationstechnik in Unternehmen. Daraus ergeben sich für die Unternehmensleitung sowie für die IT-Sicherheitsbeauftragten erhebliche Haftungsrisiken, die in der Praxis noch immer unterschätzt werden. Das neue Gesetz sollte also Grund genug sein, sich insgesamt mit den rechtlichen Aspekten der IT-Sicherheit zu befassen, um ausreichend vorbereitet zu sein.

IT-Sicherheit ist ein operationelles Risiko

Nicht aktualisierte Virenscanner, offene Ports wegen schlecht programmierter Firewalls, Sicherheitslücken in Betriebssystemen und Browsern oder unverschlüsselte Kommunikation über das Internet, LANs oder WLANs bieten ein erhebliches Angriffsrisiko für jedes Unternehmen. Die Folgen: zerstörte oder beschädigte (Abrechnungs-, Kunden-) Daten, ihr System wird zum Angriff auf andere Computer missbraucht, das Firmennetzwerk wird "überflutet" (Denial of Service) und ist nicht mehr erreichbar oder als worst-case: der Betriebsablauf kommt zum Stehen. Zahlreiche Unternehmensprozesse hängen unmittelbar von einer funktionierenden Informationstechnologie ab. Damit ist IT-Sicherheit ein entscheidender Faktor für den Unternehmenserfolg und schlägt auch bei der Kreditgewährung durch. Werden die Vorgaben des Baseler Ausschusses für Bankenaufsicht, kurz: Basel 11 ab 2007 Gesetz, sind die Banken verpflichtet, vor jeder Kreditvergabe individuell zu prüfen, wie wahrscheinlich es ist, dass das kreditsuchende Unternehmen den Kredit zurückzahlt. Mittels bankinterner oder extremer Rating-Verfahren wird dazu aus den allgemeinen Mark- und Kreditrisiken sowie den operationellen Risiken des jeweiligen kreditsuchenden Unternehmens die Bonität individuell ermittelt und die Kreditkonditionen festgelegt. Je höher das Ausfallrisiko des kreditbeantragenden Unternehmens ist, umso mehr Eigenkapital muss die Bank nach Basel 11 für diesen Kredit hinterlegen. Und eben diese Pflicht geben die Geldinstitute an die geldsuchenden Unternehmen weiter.

Was bedeutet das für die Praxis?

Zu den operationellen Risiken eines Unternehmens zählen nach Basel 2 all jene Gefahren "von Verlusten, die in Folge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen und Systemen oder externen Ereignissen eintreten." Ziel muss es also sein, die Risiken eines Angriffs oder gar Ausfall der eigenen ITK-Infrastruktur nachweisbar zu reduzieren. Welche Maßnahmen dafür zu treffen sind hängt stark vom Einzelfall ab, da die IT-Systeme eines jeden Unternehmens verschieden ausgestaltet sind und die Unternehmensabläufe unterschiedlich stark von IT-Technik abhängen. Einen konkreten Anforderungskatalog bietet weder der Bankenausschuss noch das neue Gesetz. Mit einem aktiven IT-Risiko-Management müssen Unternehmen künftig gegenüber der Bank beispielsweise nachweisen können, dass ihre ITK -Infrastruktur über einen Virenscanner verfügt, dessen Virensignatur regelmäßig via Internet aktualisiert wird, dass Zugangsund Zugriffsrechte geregelt sind, dass sensible Daten zugriffssicher und Notfallregelungen für den worst case vorhanden sind. Da die größte Schwachstelle nicht die Technik sondern der Mensch ist, muss dieser Aspekt ausreichend berücksichtigt werden, bspw. durch Betriebsvereinbarungen über die private Internetnutzung am Arbeitsplatz, über den Einsatz von E-Mail- oder Web-Filter sowie über die Schaffung einer Sicherheits-Awareness bei den Mitarbeitern durch Schulungen etc.

Hilfe für die Erarbeitung eines solchen Konzepts bieten die Standard-Sicherheitsmaßnahmen des IT-Grundschutzhandbuch des Bundesamtes für Sicherheit & Informationstechnologie (www.bsi.de) sowie der Standard ISO 17799 als international anerkannte Basis zum Management für Informationssicherheit oder der Standard BS 7799.

Ein leistungsfähiges IT- Sicherheitssystem ruht also auf drei Säulen: der Technik (geeignete Hard-und Software), der Organisation (Handlungsanweisungen, Kontrolle) und dem Recht, welches die Grenzen des erlaubten zieht (z.B. Zulässigkeit von E-Mail-Filtern).

Die Unternehmensleitung haftet

Muss das Unternehmen wegen eines mangelhaften IT-Sicherheitsmanagements erhöhte Zinssätze zahlen oder mehr Eigenkapital stellen, kann die Geschäftsführung für diese finanzielle Einbuße des Unternehmens persönlich zur Verantwortung gezogen werden. Denn die Geschäftsführung ist gesetzlich und vertraglich verpflichtet, das Unternehmen vor finanziellen Einbußen zu schützen. IT Sicherheit ist und bleibt also Chef-Sache.

Das Mittelstands-Paket: Dem Mittelstand soll die Kreditaufnahme erleichtert werden. So sieht der Gesetzesentwurf vor, dass die Bank Kredite unter 1 Mio. EUR einem "Retail- Portfolio" zuordnen kann, wofür geringere Anforderungen an das Eigenkapital gelten.

Weitere Rechtspflichten zur IT-Sicherheit

Rechtspflichten des Unternehmens zur Schaffung einer sicheren IT-Struktur ergeben sich weiterhin u.a. aus vertraglichen Vereinbarungen, dem Wirtschaftsverwaltungsrecht (GewO), dem Datenschutzrecht (BDSG, TKG, TDDSG) sowie aus der Pflicht zur Risikofrüherkennung nach dem KonTraG.

Vertrag: Regelmäßig finden sich in Verträgen zahlreiche Verpflichtungen zur IT-Sicherheit. So enthält nahezu jeder Software-Erstellungsvertrag eine strafbewährte Vertraulichkeitsvereinbarung hinsichtlich des Source-Codes bzw. anderer Geschäftsgeheimnisse, oder der Vertrag enthält eine Klausel zur Prüfungspflicht von Dateien und Datenträgem auf Virenbefall. Gelangen geheime Informationen nun an unberechtigte Dritte, weil der E-Mail-Verkehr nicht verschlüsselt oder das LAN bzw. WLAN nicht ausreichend geschützt war, drohen empfindliche Vertragsstrafen. Aber auch direkt aus dem Gesetz, nämlich aus § 241 BGB, ergibt sich eine allgemeine Pflicht, die Rechtsgüter und Interessen der anderen Partei zu schützen, wozu auch der Schutz der Daten zählt.

Datenschutz: Umfangreiche Handlungspflichten sieht das Bundesdatenschutzgesetz (BDSG) vor, welches entgegen landläufiger Ansicht auch für private Unternehmen gilt. Danach dürfen persönliche Daten von Geschäftspartnern, Kunden und Mitarbeitern nur erhoben, verarbeitet sowie an Dritte weitergegeben werden, wenn das Gesetz dies erlaubt oder der Betroffene vorab darüber informiert wurde und eingewilligt hat. Der oberste Grundsatz des BDSG lautet: "Es ist grundsätzlich verboten, was nicht ausdrücklich erlaubt ist." Bekannt sein dürfte mittlerweile, dass ein betrieblicher Datenschutzbeauftragter (DSB) zu bestellen ist, sobald mind. 5 Mitarbeiter mit der automatischen Verarbeitung personenbezogener Daten beschäftigt sind (§ 4 f BDSG). Anderenfalls wird ein Bußgeld von bis zu 25.000 Euro fällig (§ 42 BDSG). Hierbei kann nicht oft genug darauf hingewiesen werden, dass die Benennung eines DSB die Unternehmensleitung keinesfalls aus ihrer Generalverantwortung für die Einhaltung des Datenschutzes entlässt. Denn trotz rechtlich zulässiger Aufgabendelegation entscheiden sie letztlich, welche technischen und organisatorischen Maßnahmen im Unternehmen eingesetzt werden.

Telekommunikationsdienste: Ergänzend zum BDSG werden die Nutzer von Telekommunikations-und Telediensten speziell durch das Telekommunikationsgesetz (TKG) und das Teledienstedatenschutzgesetz (TDDSG) geschützt. So werden in Bestellformularen von Internet Shops oder anderen IT-Dienstleistungen oft zu viele Daten abgefragt oder die Einwilligung des Kunden zur Erhebung, Verarbeitung und/oder Weitergabe seiner Daten entspricht nicht den gesetzlichen Anforderungen. Folge: die Erhebung, Verarbeitung der persönlichen Daten ist unrechtmäßig und es entstehen Ansprüche auf Schadensersatz. Weiter verpflichtet ein Unternehmen, die ihren Mitarbeitern die private Internetnutzung am Arbeitsplatz gestatten, geeignete technische und organisatorische Maßnahmen zu treffen, um das Fernmeldegeheimnis zu wahren. Sonst droht neben einem Bußgeld aus dem TKG auch die Strafbarkeit nach § 206 Strafgesetzbuch.

Risikofrüherkennung: Nach dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) ist der Vorstand einer Aktiengesellschaften sowie der Geschäftsführung einer GmbH verpflichtet, ein Risiko-Früherkennungssystem einzuführen, damit Entwicklungen, die den Fortbestand des Unternehmens gefährden, früh erkannt werden können (§ 91 Abs. 2 AktG). Versagt das Risiko-Erkennungssystem für das IT-System des Unternehmens, haftet die Unternehmensleitung für den daraus entstehenden Schaden unter Umständen mit dem Privatvermögen.

Fazit: Ein effektives IT-Sicherheitskonzept bietet also einen doppelten Wettbewerbsvorteil: geringe Wahrscheinlichkeit von Umsatzverlusten wegen eines IT-bedingten Betriebsausfalles und bessere Kreditkonditionen. Mit entsprechenden Schulungen & Fortbildungen sind Mitarbeiter und Unternehmensleitung fit zu machen und ein IT-Sicherheitsmanagement zu implementieren. Anderenfalls gerät das eigene Unternehmen im Wettbewerb leicht ins Hintertreffen.

Wenn kein eigener IT-Fachmann greifbar ist

Nicht jede Firma verfügt über einen eigenen EDV-Administrator, ein Fachmann ist in diesem Fall jedoch zwingend erforderlich. Dieser schlägt ein geeignetes Sicherungskonzept vor und kümmert sich um die vorschriftsmäßige Umsetzung. Er unterbreitet dann auch weitere Vorschläge denn nur Datensicherung reicht leider nicht. Es müssen Maßnahmen ergriffen werden um das EDV-System vor äußeren Angriffen zu schützen und anderes mehr.

Hilfe bietet hier Kasel iT und das bundesweit operierende IT-Service-Net mit über fünfzig, strategisch verteilten, Stützpunkten. Diese sind leicht, unter Eingabe der eigenen PLZ , zu finden: www.it-service-net.de

Sprechen Sie uns unverbindlich an.

Der Fachmann vom Kasel iT berät seine Kunden hinsichtlich dieser Problematik und natürlich anderer Fallstricke die der Umgang mit der eigenen EDV so bereithält. Es wird gemeinsam mit dem Kunden ein Wartungsintervall bestimmt in dem dann die vereinbarten Servicearbeiten durchgeführt werden. Als ausgebildeter Servicetechniker übernimmt er natürlich auch alle anfallenden Aufgaben von der Reparatur bis zur Schulung der Anwender.

Relevante Links:

www.sewecom.de/akutell

Hintergrund: Administratorenrechte: c't-Infos zu Windows

http://www.microsoft.com/germany/sicherheit/default.mspx

Wichtige Sicherheitsupdates für Office-Anwendungen

Testergebnisse der TU-Berlin zu Antiviren-Softare
c't Anti-Virus-Infos

www.bsi-fuer-buerger.de/toolbox/

www.free-av.de

Weitere Infos unter "Trojaner-Info"

www.lavasoft.de 

Details zur Browser-Einstellung bei c`t

www.uni-muenster.de/WWW/Sicherheit.html

Safer Surfen!

www.sewecom.de/sewecom-standard

Entfernung der Verknüpfung für Visual Basic Script-Dateien

SSL-Check der Stiftung Warentest

Anleitungen zu PGP und GnuPP

Informationen zur Digitalen Signatur

Selbstdatenschutz: Hintergrundinformationen des Unabhängigen Landeszentrum für Datenschutz (ULD) Schleswig-Holstein

Grundschutzhandbuch des BSI: Sicheres Löschen

Datenschutzzentrum, Kiel

Microsoft-Handreichung

Weiterführende Hinweise und Tipps zum Umgang mit Passwörtern:
Datenschutzbeauftragter des Kantons Zürich
Rechenzentrum der Universität Bayreuth
Mittelstand im Internet

www.datenschutzzentrum.de/systemdatenschutz

Das Virtuelle Datenschutzbüro - Internationales Portal: www.datenschutz.de
Datenschutz in der Europäischen Union: http://europa.eu.int/comm/internal_market/privacy/index_de.htm
Bundesamt für Sicherheit in der Informationstechnik: www.bsi.bund.de und www.bsi-fuer-buerger.de
Datenschutzzentrum ULD:
www.datenschutzzentrum.de und www.uld-i.de

Österreichische Datenschutzkommission:
www.dsk.gv.at
Rechtsinformationssystems (RIS) der Republik Österreich: www.ris.bka.gv.at
Der Eidgenössische Datenschutzbeauftragte (EDSB): www.edsb.ch/d/gesetz/schweiz
Der Datenschutzbeauftragte des Kantons Zürich:
www.datenschutz.ch