Backup und Datensicherheit

Grundlagen

Die meisten KMU ergreifen bereits vielfältige Maßnahmen, um Datenschutz und Datensicherheit zu gewährleisten. Allerdings können unklare Zuständigkeiten und Verantwortlichkeiten dazu führen, dass der Schutz vor Datenverlust und Cyberattacken beeinträchtigt wird. Im Folgenden werden Lösungsansätze aufgezeigt, um diese Herausforderungen zu bewältigen.

Datensicherung – mehr als nur ein Backup

Das regelmäßige Sichern der Geschäftsdaten ist ein wichtiger Schritt. Allerdings ist es entscheidend, sicherzustellen, dass die Daten im Notfall auch wiederhergestellt werden können. Zusätzlich sollten Maßnahmen ergriffen werden, um zu verhindern, dass Cyberkriminelle Zugriff auf die Backups erhalten und diese manipulieren oder unbrauchbar machen. Um dieses Risiko zu minimieren, empfiehlt es sich, die Backup-Strategie zu überdenken und folgende Punkte zu beachten:

  • Die Sicherung sollte nicht permanent von einem einzelnen PC aus zugänglich sein, sondern idealerweise auf verschlüsselten externen Festplatten oder in einem sicheren Netzwerkspeicher erfolgen.
  • Es ist wichtig, die Backup-Daten zu verschlüsseln, um unbefugten Zugriff zu verhindern.
  • Regelmäßige Tests der Wiederherstellungsfunktion sollten durchgeführt werden, um sicherzustellen, dass die Daten tatsächlich wiederhergestellt werden können.

Zugriffsrechte und Kontenverwaltung

Die Verwaltung von Zugriffsrechten und persönlichen Konten ist ein zentraler Aspekt des Datenschutzes. Obwohl es prinzipiell richtig ist, dass die meisten Mitarbeitenden nur Zugriff auf die für ihre Arbeit relevanten Daten haben sollten, ist es in der Praxis oft komplexer. Hier einige Schritte zur Verbesserung der Kontenverwaltung:

  • Überprüfen Sie regelmäßig die Zugriffsrechte und beschränken Sie den Zugriff auf die Dokumentenablage nur auf diejenigen, die ihn tatsächlich benötigen. Die Berechtigungen sollten entsprechend den verschiedenen Abteilungen und Aufgabenbereichen differenziert werden.
  • Beenden Sie die Konten von Mitarbeitenden, sobald sie das Unternehmen verlassen, um unbefugten Zugriff zu verhindern. Eine zeitnahe Deaktivierung der Konten ist wichtig.
  • Nutzen Sie für Cloud-Dienste und das Intranet separate, individuelle Konten für jeden Mitarbeitenden, um die Sicherheit zu erhöhen.

Klare Verantwortlichkeiten für Datenschutz und Datensicherheit

Es ist unerlässlich, dass Geschäftsführer und Inhaberinnen die Verantwortung für Datenschutz und Datensicherheit in ihrem KMU übernehmen. Diese Verantwortung kann nicht vollständig an Mitarbeitende, IT-Dienstleister oder Versicherungen ausgelagert werden. Mit dem neuen Datenschutzgesetz (nDSG), das am 1. September 2023 in Kraft tritt, werden die Anforderungen an die Datensicherheit weiter verschärft. Dies bietet eine gute Gelegenheit, die bisherigen Maßnahmen zu überprüfen und gegebenenfalls zu optimieren.

Indem Sie diese Aspekte berücksichtigen und entsprechende Anpassungen vornehmen, können Sie die Sicherheit Ihrer Daten und die Effektivität Ihrer Datenschutzmaßnahmen erheblich verbessern.

Updates sind Überlebenswichtig

Wir legen großen Wert darauf, regelmäßig Sicherheits-Updates einzuspielen, um die Systeme in unserem KMU auf dem neuesten Stand zu halten. Doch es ist wichtig zu bedenken, dass der Begriff “regelmäßig” verschiedene Interpretationen zulässt. Entscheidend ist hierbei, wie schnell wir Sicherheits-Updates nach deren Veröffentlichung einspielen. Verzögerungen bei der Aktualisierung könnten zu schwerwiegenden Sicherheitslücken führen und Cyberkriminellen ein wertvolles Zeitfenster bieten, um diese Lücken auszunutzen, insbesondere in Windows und Office-Anwendungen wie Microsoft 365.

Um die Sicherheit unserer Systeme zu gewährleisten, empfehlen wir eine kritische Überprüfung der Update-Strategie anhand der folgenden Aspekte:

  • Sofortiges Einspielen von Sicherheits-Updates
    Es ist ratsam, wichtige Sicherheits-Updates sofort nach ihrer Veröffentlichung einzuspielen, um potenzielle Sicherheitslücken schnell zu schließen und Cyberangriffen vorzubeugen.
  • Flexible Zeitintervalle für Updates
    Falls wir Updates nicht sofort einspielen können, sollten wir flexible Zeitintervalle festlegen, in denen die Systeme von uns oder unserem IT-Partner aktualisiert werden. Diese Intervalle sollten so kurz wie möglich sein, um das Risiko von Sicherheitslücken zu minimieren.
  • Überprüfung veralteter Systeme
    Es ist entscheidend, sicherzustellen, dass wir keine Systeme im Betrieb haben, für die es keine Sicherheits-Updates mehr gibt. Solche Systeme könnten ein erhöhtes Risiko darstellen und sollten gegebenenfalls aktualisiert oder ersetzt werden.
  • Kompatibilität von Software und Betriebssystemen
    Es kann vorkommen, dass wir bestimmte Systeme nicht aktualisieren können, weil die darauf laufende Software zu alt für neuere Betriebssysteme ist. In solchen Fällen sollten wir alternative Lösungen in Erwägung ziehen, um die Sicherheit dieser Systeme zu gewährleisten, beispielsweise durch den Einsatz von zusätzlichen Sicherheitsmaßnahmen.

Indem wir diese Aspekte in unsere Update-Strategie integrieren und gegebenenfalls Anpassungen vornehmen, können wir die Sicherheit unserer Systeme signifikant erhöhen und potenzielle Risiken minimieren. Eine zeitnahe Aktualisierung unserer Systeme trägt maßgeblich dazu bei, unsere Daten und unser KMU vor Cyberbedrohungen zu schützen.

Stärkung Ihrer IT-Sicherheit in Zusammenarbeit mit Ihrem IT-Partner

Sicherheitsprobleme entstehen oft unbeabsichtigt und können auf unklare Verantwortlichkeiten, mangelhafte Dokumentation oder Kostendruck bei IT-Dienstleistungen zurückzuführen sein. Ein wichtiger Schritt zur Verbesserung der IT-Sicherheit besteht darin, zeitnahe Updates durchzuführen. Dies erfordert möglicherweise häufigere Einsätze der IT-Fachleute oder Ihres IT-Partners. Updates sind nur ein Beispiel dafür, dass IT-Sicherheit ein kontinuierlicher Prozess ist, der ständig hinterfragt und angepasst werden muss.

Eine genaue Betrachtung der IT-Sicherheit lohnt sich, um Klarheit zu schaffen. Die Transparenz über Aufgaben und Verantwortlichkeiten zeigt Ihnen den aktuellen Stand Ihres KMU. Durch die Implementierung geeigneter Sicherheitsmaßnahmen können Sie das Risiko eines Cyberangriffs sowie mögliche Reputationsschäden und Betriebsausfälle reduzieren. Ein ausgearbeiteter und kommunizierter Notfallplan mindert die Auswirkungen eines potenziellen Angriffs.

Hier finden Sie eine Checkliste mit wichtigen Punkten, die Sie gemeinsam mit Ihrem IT-Partner besprechen können, um die IT-Sicherheit zu professionalisieren:

  • Geschäftskritische Daten und Applikationen:
    Priorisieren Sie die IT-Sicherheitsmaßnahmen anhand Ihrer geschäftskritischen Anforderungen.
  • Leistungsbeschreibungen der Serviceverträge:
    Klären Sie die Aufgaben und Verantwortlichkeiten in den Verträgen, wie z.B. die Verschlüsselung von Backups, Update-Intervalle, Benutzermanagement oder Reaktionszeiten bei Ausfällen.
  • Dokumentation:
    Stellen Sie sicher, dass es eine standardisierte Checkliste für Wartungsarbeiten gibt und die erledigten Aufgaben protokolliert werden. So erhalten Sie Transparenz über den aktuellen Zustand Ihrer IT.
  • Security-Assessment:
    Lassen Sie eine Überprüfung des aktuellen Sicherheitsstandes Ihrer Infrastruktur durchführen, um Optimierungsmaßnahmen auf Faktenbasis zu planen.
  • Zusatzaufwände:
    Klären Sie, wie zusätzliche Leistungen, wie Hardware-Austausch oder Anpassungen von Firewall-Regeln außerhalb der vereinbarten Wartung, geregelt und verrechnet werden.
  • Notfallplan:
    Stellen Sie sicher, dass die Notfallmaßnahmen im Falle eines Datenverlusts oder Cyberangriffs funktionieren, indem präventive Sicherheitsmaßnahmen wie Backups und redundante Netzwerkkomponenten getestet werden.

Die regelmäßige Überprüfung und Anpassung Ihrer IT-Sicherheitsmaßnahmen reduziert das Risiko von Datenverlust und erfolgreichen Cyberangriffen, sowie Betriebsausfällen. Zudem ist eine erhöhte IT-Sicherheit ein zentraler Aspekt des neuen Datenschutzgesetzes, das die Geschäftsleitung in die Verantwortung und Fürsorgepflicht gegenüber ihren Mitarbeitenden nimmt. Auch wenn das nDSG sehr viel fordert und Massnahmen bei Nichtbeachtung vorsieht, sollte das Gesetzt nicht die treibende Kraft für Sie sein, denn indem Sie die IT-Sicherheit verbessern, schützen Sie sich selbst, Ihre Mitarbeitenden und Ihr Unternehmen vor solchen Vorfällen.

MEIT (c) 2023 Meyer Elektronik & IT | CHE-236.185.808 | Rebweg 30 | 8700 Küsnacht | Schweiz