Die Datensicherheit im Unternehmen zu gewährleisten, wird immer anspruchsvoller. Das elektronische Geschäft weitet sich aus, Mobile Working ist zum Normalfall geworden und zunehmend werden Daten per Cloud Computing über das Internet bearbeitet und gespeichert. Hinzu kommen neue gesetzliche Auflagen wie zum Beispiel der Nachweis eines internen Kontrollsystems (SAS70 Type II) und regulatorische Vorschriften (FINMA-Rundschreiben).
All diese Herausforderung zu meistern, erfordert umfassende Spezialkenntnisse und zieht sich wiederholende, massive Kosten und Investitionen nach sich – in einem Randbereich, der für die meisten Firmen nicht zum eigentlichen Kerngeschäft gehört.
Ein sicheres ICT-Netzwerk und eine sichere ICT-Infrastruktur sind jedoch, und das dürfte jedem bekannt sein, die Basis des verantwortungsvollen geschäftlichen Handelns – denn darauf beruhen alle internen und externen Geschäftsprozesse und letztlich der Erfolg des Unternehmens. Dementsprechend sollten folgende altbewährten Schwerpunkte gesetzt werden:
? Sicherheit muss sein
Das kommerzielle Interesse, das eigene Geschäft – insbesondere Kundendaten, Handelsgeheimnisse, Forschungsresultate, Preisstrategien etc. – vor unbefugtem Zugriff zu schützen, ist für ein Unternehmen überlebenswichtig. ICT-Security muss deshalb höchste Management-Priorität haben.
? Risiken sicher identifizieren
Damit kritische Risiken proaktiv identifiziert werden können, ist die Unternehmensleitung gemäss revidiertem Aktienrecht verpflichtet, entsprechende Risikoanalysen durchzuführen und geeignete Schutzmassnahmen einzuleiten. Der Verwaltungsrat haftet dafür persönlich. Wichtig ist hier die Gesamtbetrachtung: Werden oder wurden sensitive Daten klassifiziert? Wie werden sie wirkungsvoll in der Ablage, bei der Bearbeitung und auf dem Transport geschützt? Sind die Prozesse entsprechend gestaltet und wird danach gearbeitet?
? Schlüssel zur Zusammenarbeit
Unternehmen arbeiten immer enger zusammen und tauschen sensitive Informationen aus. Das bedeutet, dass das Vertrauen in die sichere Verarbeitung und Speicherung der Informationen zwischen den Partnern sehr gross sein muss. Eine ungenügende ICT-Security beeinträchtigt die vertrauensvolle Zusammenarbeit. Im schlimmsten Fall verhindert sie sie sogar und kann zum Killerargument für eine strategische Zusammenarbeit werden. Das würde automatisch zu Wettbewerbsnachteilen führen. Die Kommunikationsverbindungen müssen also Vertraulichkeit und Integrität garantieren. Nur so können sensitive Daten bedenkenlos ausgetauscht, die Vorteile der elektronischen Datenverarbeitung genutzt und schliesslich medienbruchfreie Prozesse praktiziert werden.
? Internem Datendiebstahl vorbeugen
Datendiebstahl durch die eigenen Mitarbeiter kann ein Unternehmen substantiell schädigen – die aktuellsten Fälle bei diversen Finanz-unternehmen sind nur ein Beispiel dafür. Um Datendiebstahl vorzubeugen, empfiehlt sich der Einsatz von Sicherheitssoftware, die das unkontrollierte Kopieren von grossen Datenmengen verhindert. Diese sogenannten «Data-Loss-Prevention-Systeme» (DLP) sind heute bereits bei vielen Unternehmen erfolgreichim Einsatz. Was der Markt im Bereich DLP heute zu bieten hat, können Sie übrigens in der letzten Ausgabe Nr. 7/8 des Swiss IT Magazine in einer grossen Marktübersicht nachlesen.