Für die Ausgabe 12/2016 des IHK-Wirtschaftsspiegels beteiligten wir uns mit einem Gastbeitrag für das Sonderthema „Sicherheit im Unternehmen“:

Für Unternehmen ist es immens wichtig zu wissen, was sensible Daten sind und wo diese liegen.

In der letzten Zeit werden die Hacker-Angriffe auf Unternehmen immer gezielter. Auch im Mittelstand häufen sich die Vorfälle. Die Politik schafft hier die ersten Vorgaben, um die Informationssicherheit zu erhöhen. Doch worauf haben es die Täter abgesehen, was müssen die Unternehmen schützen?

Sensible Daten – das ist der Begriff, der immer wieder verwendet wird. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Begriff der „Kronjuwelen“ als Synonym für diese Art von Daten geprägt. Für Unternehmen ist es immens wichtig zu wissen, was die sensiblen Daten sind und wo diese liegen. Diese können zum einen aus den rechtlich als sensibel definierten Daten (soziale Daten, personenbezogene Daten), zum anderen die für eine Erreichung der Geschäftsziele wichtigen Informationen (Rezepte, Pläne, Ideen, Kontakte, etc.) bestehen. Doch wie findet man heraus welche Informationen sensibel sind?

Als erstes sind die gesetzlichen Rahmenbedingungen zu berücksichtigen. Die Definition für sensible Daten ist laut Bundesdatenschutzgesetz:

Die Definition für sensible Daten ist laut Bundesdatenschutzgesetz:

Als sensible Daten werden die besonderen Arten personenbezogener Daten im Sinne des § 3 Absatz 9 des Bundesdatenschutzgesetzes (BDSG) bezeichnet. Im Sinne der Norm sind dies solche Angaben über die rassische und ethnische Herkunft, politische Meinung, religiöse oder philosophische Überzeugung, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.

Sensible Daten im Sinne einer gesetzlichen Forderung sind also durchaus einfach zu identifizieren. Schwieriger wird es, die eigenen Informationen in den Unternehmen als sensibel zu identifizieren. Hierbei können Vorgehensweisen aus Informationssicherheitsstandards genommen werden. Als Beispiel kann hier der derzeit noch gültige BSI Standard 100-2 (www.bsi.bund.de) genommen werden. In der Vorgehensweise wird die Frage gestellt: Welcher Schaden ist zu erwarten wenn Daten/Informationen verfälscht, unbekannten Dritten bekannt oder nicht mehr zeitgerecht zur Verfügung stehen? Sollte die Antwort: „Der Schaden ist nicht mehr akzeptabel“ oder „Unsere Geschäftsprozesse sind erheblich beeinträchtigt“ sein, wissen Unternehmen, was ihre sensiblen Daten sind. Dieser Prozess ist hier nur als Denkanstoß zu sehen. Eine genaue Analyse der Geschäftsprozesse und deren Daten ist von immenser Wichtigkeit.

0 Kommentare

Ihr Kommentar

Möchten Sie an der Diskussion teilnehmen?
Tragen Sie gern dazu bei!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.