Sorglose Unternehmen

Das verkannte IT-Risiko

02.03.2010
Von 
Hans Königes war bis Dezember 2023 Ressortleiter Jobs & Karriere und damit zuständig für alle Themen rund um Arbeitsmarkt, Jobs, Berufe, Gehälter, Personalmanagement, Recruiting sowie Social Media im Berufsleben.

Verschärfung des Datenschutzgesetzes

Martin Mahler, DIS: 'Unternehmen, die ihre Mitarbeiterdaten nicht ausreichend schützen, können schnell mit dem Gesetz in Konflikt geraten.'
Martin Mahler, DIS: 'Unternehmen, die ihre Mitarbeiterdaten nicht ausreichend schützen, können schnell mit dem Gesetz in Konflikt geraten.'

Allen Studien und Warnhinweisen der zuständigen Behörden zum Trotz ist es um die Datensicherheit in vielen Unternehmen noch immer schlecht bestellt. "Viele Unternehmen verkennen das Risiko, selbst Opfer von Hackern oder Spionage zu werden", weiß auch Martin Mahler nur zu gut. Mahler ist Leiter des Geschäftsbereichs Information Technology bei der DIS AG. Jüngst hat der Personaldienstleister den Fachbereich IT-Sicherheit ins Leben gerufen. "Wir reagieren damit auch auf die Bedürfnisse unserer Kunden. Es gibt viele Unternehmen, denen schlicht die Mittel fehlen, um IT-Fachkräfte einzustellen, die sich dann dauerhaft um die Sicherheit der IT-Systeme und somit der Daten kümmern." Der Fachbereich bietet Unternehmen je nach Bedarf Unterstützung bei der Entwicklung, Implementierung und Überwachung von IT-Sicherheitsprogrammen. "Unternehmen, die ihre Daten, insbesondere ihre Mitarbeiterdaten, nicht ausreichend schützen, können schnell in Konflikt mit dem Gesetz kommen", betont Mahler.

Seit dem 1. September 2009 drohen sogar noch härtere Konsequenzen als zuvor. Denn die Bundesregierung hat auf die zunehmende Internetkriminalität reagiert und mit der zweiten Novellierung des Bundesdatenschutzgesetztes die Datenschutzbestimmungen verschärft - und gleichzeitig auch die Konsequenzen. Wurde ein Datenmissbrauch durch unzureichende Sicherheitsmaßnahmen möglich oder erleichtert, kann in gewissen Fällen der Geschäftsführer persönlich für den durch Datenverlust und -missbrauch entstandenen Schaden haftbar gemacht werden.

Mehr Sicherheit mit ISO 27001

Um die IT-Sicherheit dauerhaft zu gewährleisten entwickeln viele Unternehmen aber auch Behörden und Regierungsstellen sogenannte Information Security Management Systems (ISMS) auf Basis des Standards ISO 27001. Zunächst wird eine Security-Policy für das Unternehmen oder die Behörde festgelegt. Die IT-Experten können dann anhand dieser definierten Sicherheitsgrundsätze Maßnahmen entwickeln, die die Einhaltung dieser Grundsätze gewährleisten. Sie analysieren zudem kontinuierlich, wie wirksam die Maßnahmen tatsächlich sind und passen sie bei Bedarf den aktuellen Gegebenheiten an. Sämtliche Maßnahmen werden sorgfältig dokumentiert und deren Wirkung in einem regelmäßigen Compliance-Report festgehalten.

"Der Vorteil einer Sicherung der IT-Systeme nach ISO 27001 ist, dass die Schutzmaßnahmen schnell an sich verändernde Herausforderungen aber auch Gesetzgebungen angepasst werden können", erklärt Martin Mahler. "Die Dokumentation der Maßnahmen und deren Wirkung ist vor allem dann von Bedeutung, sollte es, etwa durch Hackerangriffe, doch einmal zu einem Datenverlust kommen. In diesem Fall kann das Unternehmen lückenlos nachweisen, dass es den Schaden nicht durch Fahrlässigkeit erleichtert oder sogar provoziert hat." Unternehmen haben zudem die Möglichkeit, sich durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) nach ISO 27001 zertifizieren und somit einen IT-Sicherheitsstandard bescheinigen zu lassen. Das Zertifikat dient aber nicht nur der eigenen Bestätigung: Es ist auch ein Qualitätsmerkmal gegenüber Kunden und Geschäftspartnern und kann damit Vorteile im Wettbewerb bedeuten.