In den vorangegangenen Kapiteln wurde beschrieben, dass Datensicherheit in Unternehmen eine systematische und ganzheitliche Betrachtung erfordert. Durch allein technisch gelagerte Maßnahmen ein ausreichendes Sicherheitsniveau herstellen zu wollen, würde zu kurz greifen. Daher werden in diesem Kapitel technische, organisatorische und personelle Maßnahmen beschrieben. Damit soll die Sicherheit im Umgang mit sämtlichen Daten verbessert werden, die im Betrieb generiert und verarbeitet werden.
Maßnahmen der Datensicherheit zu den 4.0-Technologien sind nicht notwendigerweise mit hohen Investitionen in Sicherheitstechnik und der Beschäftigung von hoch qualifiziertem Personal verknüpft. Auch kleine und mittlere Unternehmen können mit leicht umsetzbaren Maßnahmen eine für sie adäquate Datensicherheit realisieren.
Die im Folgenden genannten Maßnahmen können hier Anregungen liefern. Sie müssen nicht notwendigerweise mit allen Gegebenheiten in einem konkreten Betrieb übereinstimmen, sondern sollen als anschauliche Beispiele dienen, welche Schritte und Anpassungen sich vornehmen lassen. Damit können Sifas Hinweise und Ideen bekommen, Unternehmen bedarfsgerecht zu unterstützen.
4.1 Technische Maßnahmen
- Der Geltungsbereich für Schutzmaßnahmen sollte definiert werden, indem festgelegt wird, welche smarten Geräte hinsichtlich des Umgangs mit Daten überprüft werden müssen. Damit verbunden ist auch zu definieren, welche spezifischen Sicherheitsanforderungen die Geräte, z. B. auch eine Cloud und die über die Cloud geregelten Prozesse, erfüllen müssen. Die Sifa kann den Unternehmer hierzu beraten und Vorschläge liefern.
- Vielfach genutzte Sicherheitslösungen, wie Firewalls, Anti-Virus-Programme oder Intrusion-Prevention-Systeme, mögen den neuen Anforderungen nicht mehr genügen. Es sollten daher genutzte Technologien und Prozesse auf den eigenen (veränderten) Sicherheitsbedarf hin geprüft werden. Als Beispiele hierfür können sämtliche folgenden Punkte dienen.
- Gerade bei der Vernetzung von Geräten und Anlagen mit dem Internet der Dinge gestaltet sich die Datensicherheit oftmals als schwierig. Unabdingbar sind hierbei geschützte Schnittstellen und Übertragungswege. Hier gibt es Schadsoftware-sichere Hardware. Dies ist auf Dauer ein preisgünstiger Weg, zugleich die Möglichkeiten der Vernetzung zu nutzen, ohne Angriffsfläche durch eine Schnittstelle nach außen zu bieten. Dies ist z. B. durch eine unidirektionale Datendiode realisiert: Eine Hardwarelösung, die den Datenfluss nur in einer Richtung zulässt. So fließen beispielsweise bei der Wartung von Geräten oder Anlagen (z. B. Aufzüge) Daten zur ausführenden Firma oder zum Hersteller und die Prozesse können aus der Ferne überwacht und gesteuert werden, aber nicht vom Werk zur Anlage. Wenn Datenfluss nur in diese (eine) Richtung läuft, ist man sozusagen unauffindbar für Angreifer. Somit sind Datendioden eine Ergänzungsmöglichkeit von Firewalls.
- Beim Umgang mit Daten sollten passende Kontrollmechanismen ausgewählt werden, wie Zutritts- oder Zugangskontrollen, oder Datenverschlüsselungen, sodass der Datenzugriff nur von berechtigten Personen erfolgt. Um festzustellen, welche Daten welchem Personenkreis zugänglich sein sollen, ist die Datenkategorisierung ein essenzielles Werkzeug. Dazu muss man wissen, welche Daten durch smarte Arbeitsmittel oder in der Cloud verarbeitet werden sollen. Für sensible Auftrags- oder Personendaten können so strengere Zugriffsregelungen gelten. Anhand einer durchgängigen Kategorisierung kann somit entschieden werden, ob und wie diese geschützt werden müssen.
- Der personenbezogene Datenschutz spielt auch bei der Datensicherheit eine wichtige Rolle, hier wird die transparente und abgestimmte Nutzung der Daten geregelt. Dabei sollen Arbeitnehmervertreter beteiligt und Daten nur mit festgelegten Regelungen erfasst und ausgewertet werden.
- Bei der Nutzung von mobilen Endgeräten sollte verhindert werden, dass der Nutzer unbewusst oder bewusst ungeprüfte Software installieren kann. Hierzu können nach einer Installation Sicherheitskopien der installierten Software angefertigt werden. Vor einer Installation einer neuen Software sollte darüber hinaus geprüft werden, dass es sich um Originalsoftware handelt (möglichst von Originaldatenträgern bzw. aus vertrauenswürdigen Quellen). Vor der Inbetriebnahme sollte bei den Einstellungen der App/Software geprüft werden, welcher Zugriff auf Daten vorgenommen wird (Adressbuch, Standortdaten etc.). Hier sei als Beispiel auf die Brightest-Flashlight-Free-App aus Abschn. 1 hingewiesen.
- Es sollte immer auf die Aktualität der Virenschutzprogramme geachtet werden und die von Herstellern bereitgestellten Sicherheitsupdates (genannt "Patches") stets zeitnah eingespielt werden. Dies betrifft auch alle Beschäftigten, die mit smarten Arbeitsmitteln bzw. autarken IT-Systemen arbeiten. Das bedarf konkreter Unterweisung bzw. Anweisung. Die Geräte müssen durch regelmäßige und automatisierbare Updates versorgt werden können. Aktuelle Betriebssysteme und Sicherheitsupdates könne...