Unternehmen und IT-Sicherheit – ein Dauerbrenner.

Unternehmen und IT-Sicherheit – ein Dauerbrenner.
Alexander Schmid, lic. iur., Rechtsanwalt

«IT-Sicherheit ist Chefsache.» Das sagt Rechtsanwalt Alexander Schmid. Und er muss es wissen, betreut er doch Unternehmen aus der IT-Branche sowie der Maschinen- und Elektroindustrie. Aber was genau ist IT-Sicherheit? Wo fängt man an? Und wo hört man auf? Im Notch Interview zeigt Alexander Schmid die Knackpunkte aus Unternehmenssicht auf.

 

1. Sicherheitskultur.

Hackerangriffe, Phishing-Attacken, WannaCry, Petya – in letzter Zeit häufen sich Nachrichten, die generelle Fragen zur IT-Sicherheit aufwerfen – auch in Unternehmen. Ist man dagegen machtlos? Oder fehlt uns generell so etwas wie eine Sicherheitskultur? Haben wir uns etwa zu sehr das «St. Florians Prinzip » zu eigen gemacht?

Bezogen auf Unternehmen macht es mir diesen Anschein, insbesondere dort, wo versucht wird, das Sicherheitsproblem einzig mittels technischer Mittel anzupacken. Zu denken ist etwa an Unternehmen, welche den Einsatz von USB-Sticks unterbinden oder den E-Mail-Server so konfigurieren, dass eingehende E-Mails mit Microsoft Office-Anhängen abgewiesen werden. Dies schafft zwar in einem ersten Schritt eine Erhöhung der Sicherheit; frustrierte Mitarbeiter werden sich jedoch Wege suchen, die Einschränkungen, welche ihnen das Leben schwer machen, zu umgehen. Dann werden Files mittels Dropbox ausgetauscht – was die Sachlage sicher nicht verbessert. Gleichzeitig besteht die Gefahr, dass sich die Mitarbeiter in falscher Sicherheit wiegen. Um auf das Beispiel der abgewiesenen Office-Files zurückzukommen: In diesem Fall schicken externe ihre Office-Files in einem ZIP-Archiv. Das führt dazu, dass ZIP-Archive als «sicher» wahrgenommen werden, was wiederum der Sicherheit abträglich ist. Aus meiner Sicht ist es notwendig, bei allen Mitarbeitern eine Sicherheitskultur zu etablieren, statt diese wie Kinder zu behandeln.

 

2. Chefsache.

Sie sagen ja «IT-Sicherheit ist Chefsache.» Was meinen Sie damit und was heisst das dann für Unternehmen genau? 

IT-Sicherheit ist ein Thema, dessen sich der Verwaltungsrat einer AG anzunehmen hat. Es ist an ihm, die Ziele und Mittel der IT-Sicherheit für das Unternehmen zu definieren und die Umsetzung dieser Ziele zu kontrollieren. Tut er dies nicht, kann er für den daraus entstehenden Schaden persönlich haftbar gemacht werden. Daraus folgt, dass sich Verwaltungsräte entweder entsprechendes Know-how in die eigenen Reihen holen, oder dieses aber von externen Dritten beschaffen müssen. Er muss jedoch nicht alles selbst tun. Selbstverständlich kann der Verwaltungsrat die Ausarbeitung detaillierter Anweisungen und die Ausführung derselben an die Geschäftsleitung delegieren, wobei diese Delegation gewissen formellen Anforderungen genügen muss – Stichwort «statutarische Ermächtigung», Stichwort «Organisationsreglement».

 

3. Datenschutzregeln.

Bei IT-Sicherheit geht es aber nicht nur um die eigenen Unternehmensdaten, die vor fremden, unerlaubten Zugriff geschützt werden sollen. Was gibt es beim Thema Datenschutz von Kundendaten sonst noch zu beachten?

Beim Datenschutz geht es um Personendaten, also Daten, welche bestimmten Personen zugeordnet werden können. Diese Personendaten sind gesetzlich geschützt. Unter anderem verpflichten die gesetzlichen Regeln das Unternehmen, welches Personendaten bearbeitet, für deren Sicherheit zu sorgen. Wobei Sicherheit in diesem Zusammenhang einerseits die Sicherheit vor Preisgabe gegenüber unberechtigten Dritten, aber auch die Sicherung der Verfügbarkeit dieser Daten, der Verfälschungssicherheit und die Nachvollziehbarkeit der Datenbearbeitung umfasst. Zudem bestehen im Hinblick auf die grenzüberschreitende Bekanntgabe von Personendaten gewisse Anforderungen, welche es einzuhalten gilt. Deren Einhaltung ist etwa bei der Verwendung von im Ausland gehosteten Cloud-Diensten zu prüfen.

 

4. Clouds. 

In unserer modernen, sehr flexiblen Arbeitswelt sind wir in der Lage, überall zu arbeiten –Laptops, Tablets, Mobiltelefone und den dazugehörigen Clouds sei Dank. Mit welchen Risiken sind Unternehmen dabei konfrontiert? Was sollten sie hierbei beachten?

Im Hinblick auf die Nutzung von Cloud-Diensten ist einerseits daran zu denken, dass damit ein unternehmensfremder Dritter Zugriff zu Unternehmensdaten erhält. Entsprechend muss vertraglich vereinbart werden, was dieser Dritte mit den bei ihm gespeicherten Daten tun darf. Und wie das Unternehmen im Fall der Beendigung der Zusammenarbeit wieder zu den Daten kommt und diese zu einem neuen Provider mitnehmen kann. Umfassen die gespeicherten Daten auch Personendaten, so gilt es weiter dafür zu sorgen, dass die für die datenschutzkonforme Nutzung notwendigen (vertraglichen) Voraussetzungen geschaffen werden. Dies gilt insbesondere dann, wenn der Betreiber der Cloud-Lösung nicht in der Schweiz bzw. in der EU domiziliert ist. 

Im Hinblick auf die Nutzung von (eigenen) mobilen Endgeräten ist es aus Sicht des Unternehmens sinnvoll, den Arbeitnehmern klare Vorschriften zu machen, was die Nutzung solcher Geräte für geschäftliche Tätigkeiten angeht. Insbesondere die Verwendung starker Passwörter bzw. PIN-Codes scheint mir unumgänglich.

 

5. Internet of Things.

Unsere Arbeitswelt ist aber nicht nur modern und sehr flexibel. Sie wird auch immer digitaler, unsere Computer, Maschinen und Autos werden immer intelligenter und unser gesamtes Leben wird immer vernetzter. Stichwort: «Internet of Things». Welche Herausforderungen sehen sich Unternehmen dabei gegenüber? Und wie können sie diesen begegnen?

Wir begegnen diesen Fragen insbesondere bei der Digitalisierung in der Maschinenindustrie. Hier stellt sich die Frage nach der Herrschaft über die von den vernetzen Maschinen produzierten Daten – diese können für Hersteller und Dritte (z.B. Marktforscher) wahre Schatzkisten darstellen. Dabei gilt es, genau hinzuschauen, welche Geräte und Maschinen welche Daten «produzieren» und was mit diesen geschieht, d.h. wer welchen Zugriff dazu hat und wer was mit diesen Daten tun darf.

 

6. Regelmässiger Sicherheitscheck.

Wir haben jetzt sehr viel über Risiken, Lösungen und Verantwortungsbereiche bei der IT-Sicherheit gehört. Vor dem Hintergrund der ständigen Bedrohung von aussen, die sich ja auch immer wieder ändert, was empfehlen Sie Unternehmen in Bezug auf diese Situation? Was können sie dagegen unternehmen?

IT-Sicherheit ist ein zyklischer Prozess. Wer meint, einmal eine IT-Sicherheits-Policy aufstellen zu können, welche dann für Jahrzehnte Bestand hat, täuscht sich. Vielmehr muss die IT-Sicherheit sowohl auf strategischer wie auch auf operativer Ebene regelmässigen Überprüfungen unterzogen und an neue Entwicklungen, Herausforderungen und Gefahren angepasst werden. 

 

Kontaktinformationen:
epartners Rechtsanwälte AG
Alexander Schmid
lic. iur., Rechtsanwalt
Webseite www.epartners.ch/alexander.schmid
Mail alexander.schmid@epartners.ch
Telefon +41 43 268 8777
Linkedin alexanderschmid1
Xing Alexander_Schmid11

 

8. August 2017

 – 0 Kommentare

Artikel teilen:


Kommentare

Keine Kommentare vorhanden.

Kommentieren

Pflichtfelder*