Vorgaben durch die DS-GVO
Wie wichtig IT-Sicherheit ist, fällt oft erst auf, wenn es an ihr fehlt und dadurch ein Schaden entsteht.
Kritische Sicherheitsvorfälle sind mittlerweile fast täglich den Nachrichten zu entnehmen.
Sie zeigen: Cyberangriffe können jeden treffen. Früher nahm man meist an, dass sich Hacking-Attacken eher auf Großunternehmen konzentrieren. Heute muss man feststellen, dass tatsächlich jeder betroffen sein kann - vom Hausarzt, dem kleinen Handwerksbetrieb, dem örtlichen Sportverein bis hin zum Online-Shop des Bäckers von neben an.
Die Daten, die bei Attacken abgegriffen werden können, sind oft sensibler als man denkt: Kreditkartendaten, E-Mail Adressen samt Passwörter oder gar Gesundheitsdaten (z.B. eine Angabe der Unverträglichkeit bestimmter Lebensmittel bei Bestellung im "Online-Bäckerladen").
Die DS-GVO legt deshalb ein besonderes Augenmerk auf die Sicherheit der Verarbeitung von personenbezogenen Daten. Das beginnt mit Schutzmaßnahmen gegen unbefugte Zugriffe, etwa bei Hacking-Angriffen. Zu berücksichtigen sind aber auch Risiken, die gerade auch bei der legitimen Verarbeitung von Daten bestehen. Denn nicht immer geht es um böswillige Cyber-Kiminelle, die die Absicht haben, Daten abzuziehen. Die Versendung von Unterlagen an einen falschen Adressanten kann auch dann unangenehme Konsequenzen mit sich bringen, wenn sie durch einen eigenen Mitarbeiter erfolgt ist.
Schnell drohen finanzelle Schäden, Schädigungen des Rufs oder die Offenbarung von Geschäftsgeheimnissen an Unbefugte.
Damit es nicht so weit kommt, müssen Verantwortliche vorbeugende Maßnahmen treffen.
Diese Maßnahmen müssen geeignet sein, ein angemessenes Schutzniveau zu gewährleisten.
Um überhaupt für eine sichere Verarbeitung personenbezogener Daten sorgen zu können, ist Grundvoraussetztung, dass es seitens des Geschäftsführers eine konsequente Unterstützung für das Thema gibt.
Selbst bei kleinen Unternehmen macht es dabei oft Sinn IT-Sicherheitsrichlinien zu erstellen, die die wesentlichen Aspekte für den eigenen sicheren Betrieb umschreiben und vom Geschäftsführer oder Vorstand mitgetragen werden.
Viele Betriebe lernen dadurch die eigenen Sicherheitsbedürfnisse erst richtig und können so auch ihre Mitarbeiter sensibilisieren.
IT-Sicherheit ohne Unterstützung des Chefs hat keine Chance auf Verwirklichung.
Betriebe mit einer größeren Anzahl an Mitarbeiter sollten einen IT-Sicherheitsbeauftragten bestimmen, der mit den erfoderlichen Ressourcen ausgestattet ist und die Umsetzung der Sicherheitsmaßnahmen überwacht
Dieser steht auch im engeren Dialog mit dem Geschäftsführer und dem Datenschutzbeauftragten.
