Die im Mai 2018 in Kraft getretenen, verschärften Datenschutzbestimmungen stellen deutlich höhere Anforderungen an Unternehmen, wenn es um die Erfassung und Nutzung von Userdaten geht. Zum betrieblichen Datenschutz gehört auch die professionelle Speicherung. Dabei muss sichergestellt werden, dass keine Unbefugten an die Daten gelangen – weder intern noch extern, weder bewusst noch versehentlich. Der dauerhafte, umfassende Schutz der Userdaten und der gesamten IT-Infrastruktur (und damit der Funktionsfähigkeit des Betriebes!) kann nur durch eine professionelle Hard- und Software-Struktur sowie stets aktuell gehaltene Virenschutzprogramme und Firewalls erreicht werden. Dabei müssen alle Geräte, auch die in „verstreuten“ Filialen, mobile Endgeräte oder digital vernetzte Produktionsanlagen mit einbezogen werden.

Cyber-Sicherheit umfasst mehr als die geeignete Hard- und Software

Neben den IT-bezogenen „Must Haves“ sind aber auch organisatorische Maßnahmen notwendig, damit das Unternehmen gegen Cyber-Angriffe aus dem World Wide Web geschützt. Auch gegen interne Sabotageakte oder Schäden, die durch Versehen oder Fehlbedienung entstehen, sind aufbau- und ablauforganisatorische Maßnahmen zu ergreifen: Hierzu gehören klare Verantwortlichkeiten in der IT-Organisation, virtuell oder physisch organisierte Vier- bis Sechs-Augen-Prinzipien bei IT-Änderungen sowie beim Zugang zu systemrelevanten Komponenten wie Servern und Netzwerk. Auch nachvollziehbare und mehrstufig geprüfte Log-In-Vergaben, User- und Software-Verwaltung zählen dazu – selbstverständlich mit lückenlosen Dokumentationen und Bearbeitungs- und Zugriffs-Hierarchien. Moderne Unternehmen tun gut daran, die EDV-Abteilung direkt unter der Geschäftsleitung anzusiedeln – und sie mit Budgets auszustatten, die einen effizienten und sicheren Aufbau und Betrieb ermöglichen. Denn die IT ist eine Schlüsselfunktion für die Arbeitsfähigkeit aller betrieblichen Bereiche.

Die Qualifikation der IT-Mitarbeiter und Manager spielt dabei eine herausragende Rolle

Sie müssen nicht nur auf die vielseitigen Leistungsanforderungen der anderen betrieblichen Bereiche, der Kunden oder anderer wichtiger Geschäftspartner eingehen – sondern bei allen alltäglichen IT-Fragen auch einen Rundumblick für Sicherheitsaspekte behalten. Denn Hacker, Datendiebe und andere Böswillige lassen sich immer wieder etwas Neues einfallen, um Softwarelücken, virtuelle oder physische Schwachstellen oder Daten-Leaks zu finden. Das kann ein neu programmierter „Wurm“ sein, der über das versehentliche Öffnen eines Dokumentenanhangs oder den Besuch einer vermeintlich harmlosen Webseite ins System gelangt. Ebenso kann auch ein „geknackter“ Zugang zu einer cloudbasierten Software-Anwendung die Ursache sein – oder der klassische USB-Stick, auf den ein illoyaler Mitarbeiter heimlich Daten kopiert, weil es versäumt wurde, die Zugänge an einem einzelnen PC dafür zu sperren. Neben den eigentlichen Computer- und Web-Experten sollten auch Führungskräfte und Mitarbeiter aus anderen Abteilungen für die IT- und Daten-Sicherheit sensibilisiert werden. Das Cyber Security 360 Grad-Spektrum der Aufgaben reicht vom richtigen Umgang mit Kundendaten und Passwörtern, zum Beispiel im Vertrieb, über die unternehmenssensiblen Daten- und Workflows in Produktion, Controlling und Buchhaltung bis zu strategischen Fragen: Wird beispielsweise ein neues Warenwirtschafts- oder CRM-System eingeführt, sollten alle Beteiligten in der Auswahl-, Briefing- und Testphase auch IT-Sicherheitsfragen einschätzen können. Last but not least sollte nahezu jeder im Unternehmen richtig reagieren können, wenn ein Cyber-Angriff erfolgreich war: Das reicht vom Erkennen bis zu den richtigen Meldewegen bis zum Bekämpfen und dem Vermeiden, dass sich der Schaden ausbreitet, den Betrieb buchstäblich „lahmlegt“ oder zu Imageschäden, Wettbewerbsvorteilen der Konkurrenz oder Schadensersatzforderungen seitens der geschädigten Kunden oder anderen führt.

Bildquelle: © Anton Balazh – Fotolia.com