Wettbewerbsvorteile in Gefahr: NIFIS warnt vor Ignoranz der Unternehmen in Datensicherheitsfragen

An erster Stelle des 10-Punkte-Leifadens für mehr betriebliche Datensicherheit steht die Risikoanalyse

[datensicherheit.de, 07.04.2011] Die Vernachlässigung der Datensicherheit in Unternehmen führt die Nationale Initiative für Informations- und Internet-Sicherheit e.V. (NIFIS) vor allem auf das Desinteresse gegenüber dem Thema zurück. Dies sei erstaunlich, biete Datensicherheit den Unternehmen doch in erster Linie Wettbewerbsvorteile, klagt Mathias Gärtner, stellv. NIFIS-Vorsitzender. Leider aber nähmen Unternehmen dieses Thema häufig nur als zusätzlichen Kostenfaktor wahr. Ernstgenommen werde Datensicherheit oft erst nach einem Schadenseintritt. Viele Unternehmen seien sich der Gefahren aus dem Internet nicht bewusst und riskierten mit unerkannten Sicherheitslücken den Unternehmenserfolg, so Gärtner. Deshalb hat die NIFIS auch die Risikoanalyse an die erste Stelle ihres neuen Leitfadens gesetzt:

1. Durchführung einer Risikoanalyse
2. Unternehmensführung als Vorbild und Vorreiter in Datensicherheits-Fragen
3. Zugriffsschutz für jeden Rechnerzugang durch Abfrage von Benutzernamen und Passwort
4. Virenscanner auf jedem Rechner und mindestens eine Firewall zwischen Internet und Intranet
5. Datensicherheit als Basis der Betriebsfähigkeit des Unternehmens
6. Erstellung eines Notfallplans
7. Regelung der privaten Nutzung der betrieblichen Infrastruktur
8. Mobile Datenträger als notwendige Arbeitswerkzeuge
9. Sicherung der physikalischen Infrastruktur der Wichtigkeit entsprechend
10. Erstellung von Zugriffsregeln für Daten auf den Servern

Laut Gärtner scheitere eine angemessene Datensicherheit oft am Schulterzucken der Verantwortlichen; die Chefetage verfüge meist über nur wenig Wissen und Erfahrung auf diesem Gebiet. Somit könnten sie auch ihren Mitarbeitern nicht als Vorbild dienen – das könne zu unternehmensinternem Fehlverhalten führen. Nicht nur menschliches, sondern auch technisches Versagen müsse indes einkalkuliert werden. Generell sei es ratsam, allgemeine unternehmensinterne Leitlinien zu formulieren, die den möglicherweise eintretenden Notfall behandeln; geregelt werden sollten darin die Maßnahmen über Aktionen im eventuellen Schadensfall. Dies könne Missbrauch ausschließen und potenzielle Schäden minimieren, da die notwendigen Maßnahmen schneller getroffen werden könnten und die Verantwortlichkeiten bereits geregelt seien.

Weitere Informationen zum Thema:

NIFIS
Nationale Initiative für Informations- und Internet-Sicherheit