FAQ veröffentlicht am  09.01.2018

Tipps zum sicheren Umgang mit Daten

Mehr Digitalisierung bedeutet mehr Daten. Wie Unternehmen und Beschäftigte verantwortungsvoll mit ihnen umgehen, lesen Sie in unserem Ratgeber.

Arbeitgeber verarbeiten personenbezogene Daten ihrer Mitarbeiter in der Regel für Zwecke des Beschäftigungsverhältnisses. Dabei handelt es sich um Daten wie Name, Anschrift, Sozialversicherungsnummer oder Bewerbungsunterlagen – allesamt Daten, die für die Entscheidung über die Begründung, Durchführung oder Beendigung eines Beschäftigtenverhältnisses erforderlich sind. Die gesetzliche Grundlage dafür ist das Bundesdatenschutzgesetz (BDSG).

Darüber hinaus können Unternehmen personenbezogene Daten von Mitarbeitern auch auf der Grundlage von Betriebsvereinbarungen erheben. Beispiel: elektronische Zeiterfassung. In diesem Fall einigen sich das Unternehmen und der Betriebsrat über die Rahmenbedingungen dieser Datenerhebung.

Eine weitere wichtige Rechtsgrundlage stellt die Einwilligung im Arbeitsverhältnis dar. Diese erfordert eine umfassende Information des Mitarbeiters über den Umfang und die Art und Weise der Datenverarbeitung. Ein typischer Fall ist die Einwilligung in die Veröffentlichung eines Mitarbeiterfotos.

Bei der Einführung neuer Technologien im Unternehmen, die geeignet sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, steht dem Betriebsrat ein Mitbestimmungsrecht zu.

Der Schutz von Daten und Informationen verpflichtet nicht allein den Arbeitgeber. Auch die Beschäftigten haben dafür Sorge zu tragen, dass sie den Datenschutz einhalten. Dies gilt insbesondere beim Umgang mit Daten durch den Arbeitnehmer. Losgelöst von den datenschutzrechtlichen Fragestellungen, dürfen Betriebsinterna nicht nach außen getragen werden. Dies steht im Arbeitsvertrag und folgt auch aus dem Bürgerlichen Gesetzbuch und dem Gesetz gegen den unlauteren Wettbewerb. Also auch ohne explizite Vereinbarung im Arbeitsvertrag haben Beschäftigte immer eine Verschwiegenheitspflicht: Geschäfts- oder Betriebsgeheimnisse, die im Rahmen des Dienstverhältnisses anvertraut oder zugänglich gemacht wurden, dürfen nicht an Dritte weitergegeben werden. Als Betriebs- oder Geschäftsgeheimnis gilt dabei jede Tatsache, die sich auf das Geschäft oder den Betrieb bezieht, die nur einem begrenzten Personenkreis bekannt ist und die die Geschäftsleitung erkennbar geheim halten will.

Die Digitalisierung und die dynamischen Entwicklungen rund um die „Industrie 4.0“ verändern zahlreiche Wirtschaftszweige nachhaltig. Neben den Potenzialen gibt es auch zahlreiche Risiken, die nicht außer Acht gelassen werden dürfen. Zu ihnen zählt insbesondere die Cyberkriminalität.

Cyberrisiken sind komplexe Risiken: Im Visier haben Cyberkriminelle vor allem die Systemverfügbarkeit sowie Mitarbeiter- und Systemzugangsdaten. Sie erbeuten Produkt- oder Entwicklungsinformationen oder die Daten Dritter (ggfs. auch der Mitarbeiter). Der Schaden ist mitunter enorm.

Im Falle einer Cyberattacke stehen oftmals mehr als nur verlorene Daten auf dem Spiel. In einem sich schnell verändernden Umfeld kann ein Cyberangriff zu Sachschäden, längerer Betriebsunterbrechung oder Schäden für die Kunden und Mitarbeiter führen.

Systemausfälle verursachen zudem erhebliche Folgekosten, zumal die Systemabhängigkeit der Unternehmen im Zuge der Digitalisierung steigt. Gerade in der Chemie: In einem Chemiepark sind mehrere Unternehmen über gemeinsame Wertschöpfungsketten vernetzt; sie teilen sich die standortbezogene Infrastruktur und Dienstleistungen. Der einzelne Betrieb ist dadurch von fremden Systemen abhängig und so von mehreren Seiten angreifbar.

Wer seine Daten sichern will, sollte sie sowohl vor illegalem Zugriff, Änderung, Löschung, Kopie als auch vor physischem Verlust schützen. Der Schutz der Daten ist dabei eine gemeinsame Aufgabe von Unternehmen und Beschäftigten. Hilfestellung bietet hier insbesondere das Bundesamt für Sicherheit in der Informationstechnik (BSI), das auf seiner Homepage zahlreiche Empfehlungen aufführt.

Hier fünf Tipps, wie Unternehmen und Beschäftigte gemeinsam ihre Daten schützen können:

1. Anwender schulen
„Wissen ist Macht“: Nie war dies wichtiger als in Bezug auf Datensicherheit. Nur wer weiß, welche Bedrohungen existieren und wie man sich dagegen verteidigt, kann seine Daten effektiv schützen. Vom Systemadministrator bis zum Auszubildenden sollte jeder (im Rahmen seiner Tätigkeit) über Bedrohungen und Schutzmechanismen Bescheid wissen. Sensibilisierte Anwender helfen, unbefugten Zugriff auf Unternehmenssysteme zu verhindern und die Gefährdung des gesamten Netzwerks durch Malware (Schadsoftware) und Ransomware (Software, die den Computer sperrt und nur gegen „Lösegeld“ freigibt) zu verringern.

Denn häufig sind es die Mitarbeiter, die Cyberkriminelle im Blick haben, um Zugang zu Unternehmensnetzwerken zu erhalten. Dies liegt oftmals daran, dass es an klar formulierten Sicherheitsrichtlinien mangelt. Verbreitet ist auch Unkenntnis darüber, wie sich einzelne Tätigkeiten auf das gesamte Netzwerk auswirken können.

Beschäftigte sollten lernen, Vorfälle zu erkennen und zu melden. Hierbei helfen Verhaltensrichtlinien, die festlegen, wer welche Daten besitzen, einsehen, ändern oder löschen darf; wie und von wo auf Daten zugegriffen werden darf; welche Standards für Datenvernichtung, Datenweitergabe und Datenspeicherung gelten sollen.

2. Backups erstellen
Tritt der Ernstfall ein, sind zuverlässige Daten- und Systemsicherungen entscheidend, um nach einem Angriff eine Wiederherstellung anstoßen zu können. Netzwerkserver und Workstations sollten dafür so oft wie möglich gesichert werden, je nach den Bedürfnissen des jeweiligen Unternehmens. Zielsetzung und Maßnahmen im Detail sollten auf einer umfassenden Backup-Strategie fußen.

3. Authentifizierung sicher gestalten
Nutzer-Accounts sollten besonders geschützt sein. Ein Passwort sollte 8-12 Zeichen lang sein und aus Buchstaben in Groß- und Kleinschreibung, Ziffern sowie Sonderzeichen bestehen und regelmäßig geändert werden.

Will man sein System schützen, reichen gute Passwörter allein aber nicht aus. Zu empfehlen ist ergänzend mindestens eine Zwei-Faktor-Authentifizierung. Das bedeutet, dass man mehr als einen Schlüssel benötigt, um sich in ein System einloggen zu können. Dies kann zum Beispiel die Nutzung eines Passworts und eines sogenannten Tokens sein. Das Token sollte mit Hilfe eines Token-Generators erstellt werden. Wichtig hierbei ist, dass bei jedem Login-Vorgang ein neues Token erstellt wird. Das Token entspricht also in etwa einer TAN, die man aus dem Onlinebanking kennt.

4. Updates
Halten Sie alle Ihre Systeme immer aktuell. Spielen Sie Updates für sämtliche in Ihrem Unternehmen genutzte Software ein. Prüfen Sie regelmäßig, ob neue Updates für Ihr System und die genutzte Software vorliegen.

5. Verschlüsselung
Verschlüsseln Sie Ihre Daten, egal auf welchem Medium (Server, PC, Laptop, USB-Sticks etc.) sie gespeichert sind. So machen Sie es Unbefugten schwerer, auf Ihre Daten zuzugreifen.