Foto: piqsels.com
Von Philipp Rosenauer, PwC Schweiz
Die Datensicherheit wird immer wichtiger. Unternehmen, die sich heute mit der Digitalisierung zurückhalten, werden es in den kommenden Jahren immer schwerer haben. Es ist wichtig, dass Unternehmen ihre Datenströme kennen und schützen können. Die Datenverwaltung sollte kontinuierlich analysiert und die Prozesse entsprechend angepasst werden. Auch die Datensicherheitsrisiken müssen dokumentiert und gemanagt werden. Das allein reicht jedoch nicht aus: Das Unternehmen ist nicht nur dafür verantwortlich, die notwendigen Datensicherheitsvorkehrungen zu treffen, sondern auch dafür, die Mitarbeitenden in diesem Bereich zu schulen und zu informieren.
Was erfordert ein funktionierender Datensicherheitsprozess?
Um die Datensicherheit zu gewährleisten, muss sichergestellt werden, dass Kontrollmechanismen in den Geschäftsprozessen korrekt umgesetzt werden. Es lohnt sich, in eine angemessene Datensicherheit zu investieren, auch wenn die Vorteile nicht sofort ersichtlich sind. Wir bei PwC hören oft, dass sich nicht die Frage stellt, ob ein Angriff stattfinden wird, sondern wann. Aus diesem Grund müssen verschiedene Bereiche einbezogen werden – das heisst, nicht nur rein technische Gefahren müssen bewältigt werden. Physische Massnahmen, wie etwa Zugangskontrollen in Gebäuden, spielen ebenfalls eine wichtige Rolle für die Datensicherheit.
Im Allgemeinen hängen die relevanten Kontrollen vom Unternehmen und seinen Prozessen ab. Typische Kontrollen sind Zugangskontrollen, Datenträgerkontrollen und Speicherkontrollen. Darüber hinaus sollten Rahmenwerke und Standards, wie die des National Institute of Standards and Technology (NIST) und der International Organization for Standardization (ISO), bei der Durchsetzung der Datensicherheit in Ihrem Unternehmen berücksichtigt werden.
Was ist der Unterschied zwischen Datenschutz und Datensicherheit?
Die Datenschutz-Grundverordnung (DSGVO) und das revidierte Datenschutzgesetz (revDSG) verlangen, dass Datensicherheit gewährleistet ist. Es ist wichtig zu erwähnen, dass Datenschutz und Datensicherheit keine Synonyme sind. Die Datensicherheit schützt Daten, indem sie Vertraulichkeit, Integrität und Verfügbarkeit gewährleistet. Der Datenschutz hingegen schützt die Person, deren Daten verarbeitet werden, indem er die Bedingungen für die Verarbeitung festlegt und bestimmt, wer auf die Daten zugreifen kann. Folglich ist die Datensicherheit von wesentlicher Bedeutung, um den Datenschutz zu gewährleisten. Anders ausgedrückt: Es nützt wenig, Daten gemäss den Gesetzen und Vorschriften zu verarbeiten, wenn sie an einem unsicheren Ort aufbewahrt werden, wo jeder leicht auf sie zugreifen kann.
Welche Massnahmen sollte Ihr Unternehmen ergreifen, um die Risiken zu mindern?
- Die Datensicherheit muss ständig angepasst werden, um Cyberkriminalität zu verhindern. Die Taktiken der Cyberkriminellen entwickeln sich rasch weiter. Neben technischen Kontrollen wie Penetrationstests sollten auch technische Lösungen wie Threat Intelligence Software eingesetzt werden.
- Stellen Sie sicher, dass Ihre Mitarbeitenden nur nach dem Need-to-know-Prinzip auf Informationen zugreifen, das heisst nur auf die Informationen, die sie für ihre Arbeit benötigen. Denken Sie daran, dass Bedrohungen nicht nur von aussen, sondern auch aus dem Inneren Ihrer Organisation kommen.
- Bei Firmengeräten ist es wichtig, dass die Daten mit einem starken Passwort gesichert werden. Idealerweise sollte die Fernlöschung im Falle eines Diebstahls durch eine Sicherheitsapp implementiert werden.
- Führen Sie eine «Clean Desk Policy» ein. Wenn Mitarbeitende ihren Arbeitsplatz verlassen, müssen sie sicherstellen, dass keine persönlichen oder geschäftlichen Daten von Unbefugten eingesehen werden können, indem sie Computer und Dokumente sicher aufbewahren.
- Sie sollten regelmässig interne Phishing-Kampagnen durchführen und die Statistiken auswerten. Wie viele Mitarbeitende klicken auf die bösartige E-Mail? Bieten Sie ihnen, falls erforderlich, eine Schulung an.
- Regelmässige Krisensimulationen helfen, die Mitarbeitenden für Notfallszenarien zu schulen. Daher ist es unerlässlich, über zuverlässige Pläne für das Management der Geschäftskontinuität und der Wiederherstellung im Notfall zu verfügen.
- Am wichtigsten ist, dass die Mitarbeitenden regelmässig geschult werden müssen, da der Mensch der anfälligste Teil der Kette ist. Die beste Architektur und die besten Massnahmen sind wertlos, wenn Ihre Mitarbeitenden nicht nach den internen Richtlinien handeln.
Weitere Recherchen, Updates und Ansichten zu aktuellen Themen auf www.pwc.ch/de/insights.html
Was sind Personendaten?
Personendaten sind sämtliche Informationen die sich auf eine bestimmte oder mittels der Informationen bestimmbare Person beziehen (vgl. §3 Abs. 3 IDG-BS).
Darunter fallen z.B. Name, Geburtsdatum, Mail-Adresse, Telefon- und Mobilnummer, AHV-Nr., Matrikelnummer, Bankdaten, IP-Adresse (mit Ausnahmen), Geschlecht, Fotografie oder auch besonders charakterisierende Merkmale (z.B. einzige Frau im Team XY).
Von den «gewöhnlichen» Personendaten sind die «besonderen» Personendaten zu unterscheiden (vgl. §3 Abs. 4 IDG-BS). Diese weisen aufgrund ihrer Aussagekraft, der Art ihrer Bearbeitung und/oder weil mit ihnen ein Profil der betroffenen Person erstellt werden kann, ein erhöhtes Risiko für eine Verletzung der Grundrechte der betroffenen Personen auf. Darunter fallen z.B. Daten von Kindern und anderen vulnerablen Personen (z.B. ethnische Minderheiten) oder auch Angaben über die Gesundheit einer Person.
Was sind Sachdaten?
Sachdaten sind sämtliche Informationen, die keinen Personenbezug aufweisen (z.B. Geldbeträge, Temperaturen). Aufgrund dieser Tatsache unterliegen sie nicht den datenschutzrechtlichen Bestimmungen.
Es gilt jedoch zu beachten, dass die Abgrenzung zwischen Personen- und Sachdaten fliessend ist: Durch zusätzliche Informationen oder technische Bearbeitung können Sachdaten (und auch anonymisierte Daten) wieder zu Personendaten werden – womit die datenschutzrechtlichen Bestimmungen wieder Anwendung finden würden.
Was ist der Unterschied zwischen «anonym erhobenen», «anonymisierten» und «pseudonymisierten» Daten?
Von «anonym erhobenen» Daten spricht man, wenn Daten so erhoben werden, dass zu keinem Zeitpunkt ein Bezug zwischen dem Datensubjekt, also der Person über die irgendwelche Informationen erhoben werden, und den Daten bestehen. Von einer vollkommen anonymen Datenerhebung kann allerdings nur mit Vorsicht ausgegangen werden, da gerade bei digitalen Umfragen in der Regel dennoch die Kontaktdaten oder mindestens die IP-Nummer angegeben wird. Anonyme Daten sind reine Sachdaten und unterstehen nicht dem Datenschutzgesetz. Unter dem Begriff der Anonymisierung wird dagegen der Vorgang der irreversiblen Entfernung des Personenbezugs von Personendaten verstanden.
«Anonymisierte» Daten unterliegen ab dem Zeitpunkt des irreversiblen Entfernens des Personenbezugs nicht mehr den datenschutzrechtlichen Bestimmungen.
Im Unterschied zur Anonymisierung, findet bei der Pseudonymisierung keine irreversible Entfernung statt, sondern lediglich ein Ersetzen des Personenbezugs durch einen bestimmten Schlüssel bzw. Code. Eine Re-Personifizierung der Informationen bleibt durch den Schlüssel bzw. Code möglich. Aufgrund dieser Tatsache, gelten die datenschutzrechtlichen Bestimmungen unverändert. Des Weiteren gilt es auch die Bedingungen zu regeln, unter denen eine Person wieder identifiziert werden darf und wie der Schlüssel bzw. Code aufbewahrt wird (Schlüsselmanagement).
Die Abgrenzung zwischen den Begriffspaaren Personendaten und Sachdaten sowie anonymisierten und pseudonymisierten Daten ist fliessend: Durch zusätzliche Informationen oder technische Bearbeitung können Sachdaten bzw. anonymisierte Daten (wieder) zu Personendaten werden.
Quelle und weitere Informationen: Digitales Wörterbuch und FAQ zum Thema Datenschutz, Universität Basel
|