Ohne Daten läuft in einem KMU nichts. Bestellungen, Lieferungen, E-Mails, Rechnungen und dergleichen sind die Basis des Geschäftsalltags. Entsprechend wichtig sind Datenschutz und Datensicherheit. Doch was ist der Unterschied zwischen diesen Begriffen, und welche Massnahmen sind für die Einhaltung erforderlich?
Dienstagabend. Frau Müller hat soeben beim Fachhändler ihres Vertrauens einen neuen Rasenmäher bestellt. Der alte war mit dem rasanten Wachstum im Garten in diesem feuchten Frühling komplett überfordert. Zu Hause angekommen, findet sie im Posteingang bereits die Bestellbestätigung. Die Bestellung selbst samt Frau Müllers Adresse wird derweil im ERP-System des Fachhändlers abgelegt. Gleich morgen früh wird sich ein Sachbearbeiter darum kümmern – dem Fachhändler ist eine aufmerksame Kundenbetreuung wichtig.
Besondere Aufmerksamkeit verdienen auch geschäftliche Daten. Denn sie sind die Basis der Geschäftstätigkeit. Ohne Termine, E-Mails, Kundeninformationen, Bestellungen, Rechnungen und dergleichen kommt kein KMU über die Runden. Entsprechend wichtig sollte ein sorgsamer Umgang mit solchen Informationen sein. Und mit dem kommenden neuen Datenschutzgesetz (DSG) erhalten Daten und vor allem deren Schutz nochmals zusätzliche Aufmerksamkeit. DSG, Datenschutz, Datensicherheit: Wie hängt das alles zusammen?
Was ist Datenschutz?
Beim Datenschutz handelt es sich um Vorgaben für den Umgang mit Personendaten. Diese Vorgaben definieren, wie KMU solche Daten verarbeiten und speichern dürfen. Ziel der Regelungen im neuen DSG ist der Schutz persönlicher Informationen – es geht hier nur um diese. Der Umgang mit Firmendaten unterliegt also nicht dem Datenschutz. Im einleitenden Beispiel würden also die Post- und die Mailadresse von Frau Müller als Personendaten gelten. Aber auch die Personaldossiers der Mitarbeitenden fallen darunter oder Personendaten von Lieferanten.
Die wichtigste Grundlage für den Datenschutz ist das DSG. Unternehmen können aber zusätzliche eigene Regeln für den Umgang mit Daten aufstellen, beispielsweise, dass Kundendaten nicht per USB-Stick transferiert werden dürfen. Solche firmeneigenen Richtlinien bilden zusammen mit den rechtlichen Vorgaben die Compliance eines Unternehmens. Sie legen also das Verhalten gemäss geltender Regeln fest.
Verantwortlich für die Einhaltung des Datenschutzes und ist in jedem Fall die Geschäftsleitung eines KMU. Diese Verantwortung lässt sich auch nicht an einen IT-Dienstleister delegieren.
Was ist Datensicherheit?
Die Datensicherheit fasst die Massnahmen zusammen für die sichere Verarbeitung und Speicherung von Daten. Es handelt sich hier um technische und organisatorische Vorkehrungen für alle Daten eines Unternehmens, nicht nur für die persönlichen. Das heisst, die Datensicherheit kümmert sich auch um Daten wie Bestellungen, Rechnungen, Sitzungsprotokolle, Buchhaltung, Termine, Korrespondenz usw. Zu den technischen Massnahmen wie Backups, Schutz vor Viren und Datenverlust und passwortgeschütztem Zugriff kommen organisatorische Massnahmen wie die Schulung der Mitarbeitenden oder geregelte Zugriffsrechte auf Firmeninformationen.
Der Fachhändler aus obigem Beispiel hat verschiedene Massnahmen zur Datensicherheit ergriffen. Er sichert Adresse und Bestellungen von Frau Müller und auch von allen anderen Kunden regelmässig in einem Backup. Das ERP läuft in der Cloud und ist dadurch besser vor Ausfällen geschützt, als es das KMU mit einer eigenen, lokalen Infrastruktur könnte. Antiviren-Software und Firewalls bieten einen gewissen Schutz vor Malware. Und damit die Mitarbeitenden nicht so leicht auf Phishing-Mails hereinfallen, führt der Inhaber zusammen mit seinem IT-Dienstleister regelmässig Schulungen im Umgang mit Phishing-Mails und geschäftlichen Daten im Allgemeinen durch.
Mit diesen technischen und organisatorischen Massnahmen sorgt das KMU für die nötige Datensicherheit. Diese bildet die Grundlage für den Datenschutz, indem sie beispielsweise die Risiken eines Datenverlustes oder unbefugten Zugriffs minimiert.
Mittlerweile ist der bestellte Rasenmäher bei Frau Müller eingetroffen. Den nächsten freien – und trockenen – Tag wird sie dazu nutzen, das Gras zu schneiden und den Garten für die Grillparty vorzubereiten. Der einmal mehr prompte Service ihres Fachhändlers bekräftigt sie darin, auch weiterhin dort zu bestellen. Die Sicherheitsmassnahmen, die das KMU ergriffen hat und regelmässig überprüft, sorgen im Hintergrund dafür, dass dieses Vertrauen auch erhalten bleibt.
Datenschutz und Datensicherheit: Handlungsfelder für KMU
Diese weiterführenden Artikel beschäftigen sich mit grundlegenden Massnahmen für KMU, um die Datensicherheit zu gewährleisten. Je nach eigenen Ressourcen und Fachwissen lassen sich diese Massnahmen auch mit dem IT-Partner zusammen planen, umsetzen und überprüfen.
Die drei Grundpfeiler der Datensicherheit
Schematisch dargestellt, baut Datensicherheit auf drei Grundpfeilern auf. Diese helfen, neue Sicherheitsmassnahmen zu planen und Lücken in der derzeitigen IT-Sicherheit festzustellen:
- Vertraulichkeit: Massnahmen, die sicherstellen, dass Daten nicht in falsche Hände geraten. Hierzu gehören etwa Zugriffsrechte und Passwortschutz, aber auch der Schutz vor Cyberangriffen wie etwa Ransomware und die Schulung der Mitarbeitenden. Ein Awareness-Training für die Mitarbeitenden kann ebenfalls dazu beitragen, die Vertraulichkeit zu schützen.
- Integrität: Schutzmechanismen, die verhindern, dass Informationen manipuliert werden. Darunter fallen beispielsweise die digitale Signatur von Dokumenten oder Massnahmen, die den Webauftritt vor inhaltlichen Manipulationen durch Angreifer schützen.
- Verfügbarkeit: Massnahmen, die Ausfälle reduzieren. Dazu gehören beispielsweise Cloud-Umgebungen mit entsprechender Verfügbarkeit, redundante Netzteile in lokalen Systemen oder die Spiegelung von Daten auf einem NAS, aber auch der Schutz vor DDoS-Attacken (hierbei wird beispielsweise der Webshop durch eine hohe Zahl an Zugriffen überlastet, wodurch er nicht mehr verfügbar ist).
Testen Sie Ihre IT-Sicherheit
Über 30 Prozent aller Schweizer KMU wurden bereits Opfer eines Cyberangriffs. Wie gut sind Sie geschützt? Mit unserem IT-Security-Check prüfen Sie das Sicherheitsniveau Ihres Unternehmens und erfahren, welche Massnahmen Sie ergreifen könnten.
