Bericht

Datenschutz und IT-Sicherheit

„Wenn man dem Klischee von „Daten sind das neue Gold“ folgen mag, dann sollten die Daten auch so behandelt werden. Niemand käme auf die Idee Gold einfach irgendwo offen herumliegen zu lassen. Und genauso sollte ein Zugriff auf Unternehmensdaten für Unberechtigte nicht möglich sein. Was dem Gold der Tresor in der Bank, ist den Daten die Informationssicherheit,“ beginnt Lars Christiansen von der Laiks GmbH den CIIT-Techtalk im September 2023. Wie Informationssicherheit umgesetzt werden kann, wie die Mitarbeitenden in das Thema eingebunden werden und welchen Mehrwert das Thema für Unternehmen mit sich bringt, darüber informierte er die 20 Zuhörer und Zuhörerinnen.

Hier gelangen Sie zur Aufzeichnung der Veranstaltung auf unserem Youtube-Kanal. 

Hier finden Sie die präsentierten Folien von Lars Christiansen.

 

Zur Person

Lars Christiansen berät seit 2008 Unternehmen in den Bereichen Datenschutz und Informationssicherheit. Er war mehrere Jahre als IT-Leiter für ein global agierendes Unternehmen tätig. Er ist zertifizierten Datenschutzbeauftragter, zertifizierter Informationssicherheitsbeauftragter, Lead Auditor für die ISO/IEC 27001, Prüfer für Kritische Infrastrukturen nach § 8a BSI-Gesetz (KRITIS) und Coach nach den Standards der Deutschen Gesellschaft für Coaching (Coach DGfC).

Zudem ist er Geschäftsführer der Laiks GmbH mit Sitz in Lemgo. Die Laiks GmbH berät Unternehmen in Fragen der Informationssicherheit und des Datenschutzes. Angeboten werden außerdem die Übernahme der Funktion als externer Datenschutzbeauftragter oder externer Informationssicherheitsbeauftragter. Bei Fragen zur Digitalisierung werden individuelle Konzepte, speziell auf die Anforderungen und Bedürfnisse der Unternehmen zugeschnitten, entwickelt und in der Umsetzung begleitet. Dabei ist Digitalisierung nie ein Selbstzweck, sie muss den Unternehmenszielen dienen und eine Unterstützung für die Mitarbeitenden sein. Neben diesen technischen Bereichen werden Coaching und Supervision für Führungskräfte und Mitarbeitende in Veränderungsprozessen angeboten.

 

Warum Informationssicherheit?

Kein Unternehmen, egal wie groß, kann es sich heutzutage leisten, die Themen Informationssicherheit und Datenschutz nicht ausreichend zu regeln. Hier gibt Lars Christiansen zunächst einen Überblick über die gesetzlichen Verpflichtungen, z.B. die bekannte EU-Datenschutzgrundverordnung (DSGVO). Neben den gesetzlichen Anforderungen liegt es im ureigensten Interesse jedes Unternehmens, sich mit diesen Themen auseinanderzusetzen. Denn mit der Informationssicherheit schützt man die Unternehmenswerte und verhindert wirtschaftliche Schäden. „Die Insolvenz eines Küchenherstellers durch den Totalausfall der IT-Server macht deutlich, wie wichtig wir das Thema nehmen müssen,“ erläuterte der Experte. „In diesem Beispiel war kein Hacker-Angriff von außen erfolgt, sondern ein Stromausfall und ein Backup, das nicht professionell geführt und daher nicht eingespielt werden konnte.“ Viele Beispiele für eine Verletzung der Vertraulichkeit waren allen bekannt, z.B. pishing-Angriffe oder gestohlene Master-Keys von Microsoft im Juni dieses Jahres. Doch anstatt eine erschreckende Drohkulisse aufzubauen, ging es um Lösungen.

Um einen guten Start in das Thema zu haben, benötigt es zunächst Grundlagen. Dazu erhielten die Teilnehmer und Teilnehmerinnen Begriffsdefinitionen zu Informationssicherheit, Datenschutz, Risikomanagement und Vertraulichkeit sowie den Unterschied zwischen Safety und Security. Anschließend ging es darum, wie Informationssicherheit und Datenschutz zusammenspielen und sich ergänzen. Deutlich wurde, wie ein gut umgesetzter Datenschutz die Informationspflichten steigert und dass Datenschutz nicht nur eine gesetzliche Anforderung ist, die oft als Belastung empfunden wird, sondern einen echten Mehrwert mit sich bringt.

 

Backup immer bereithalten

„Wir erleben in der Praxis immer wieder, dass die Speicherung in einer Cloud als Backup angesehen wird. Das ist falsch! Die Ablage von Daten in einer Cloud ist kein Ersatz für ein Backup. Es braucht ein eigenes Konstrukt, das das Unternehmen regelmäßig testet und mit ausreichend langen Speicherzeiten versieht,“ so Lars Christiansen. Diese Aussage unterstrich er sehr deutlich mit Fakten aus der Praxis und überzeugte damit alle Zuhörer und Zuhörerinnen: „Bis zu 30 % der betroffenen Daten konnten aus der Cloud nicht wiederhergestellt werden.“

Im Mittelpunkt der Kommunikation stehen immer die eigenen Mitarbeitenden. Sie müssen immer wieder über die Notwendigkeit von Datenschutz und Informationssicherheit informiert werden. Noch viel zu häufig melden sich Mitarbeitende auf gefälschten Seiten an und geben so ihre Daten preis. Auch komplexe Kennwörter helfen hier nicht. Besser sind Mehrfaktor-Authentifizierungen, eine wirklich sichere Lösung bieten derzeit allerdings nur Hardware-Token.

Abschließend gab es Tipps für die Umsetzung. Als Minimallösung sollten Mitarbeiterschulungen, eine Firewall, Netztrennung, ein aktuelles Antivirusprogramm und vor allem das Backup umgesetzt werden. Produzierende Unternehmen wies Lars Christiansen darauf hin, bei der Risikobewertung neben der Informationstechnologie (IT) unbedingt die operative Technologie (OT) zu betrachten. Vor der sich anschließenden Diskussion präsentierte der Experte noch den Ausblick in die Zukunft der künstlichen Intelligenz, bzw. des maschinellen Lernens.

 

Im nächsten CIIT-Techtalk am 10. November 2023, 12:30 – 13:30 Uhr, wird Martin Gergeleit zum Projekt CampusOS informieren.

Hier finden Sie alle unsere Berichte