Informationssicherheit und Datenschutz für den Mittelstand

Informationssicherheit und Datenschutz für den Mittelstand

Interview mit Hermann Banse, Geschäftsführer der Genesis-Software GmbH

Genesis-Software mit Sitz in Bochum berät mittelständische Unternehmen bei der Errichtung eines Informations-Sicherheitsmanagement-Systems und ist darüber hinaus auch Anbieter einer seit vielen Jahren am Markt bekannten Software für Versicherungsmakler. Hermann Banse selbst unterstützt als zertifizierter Berater Unternehmen bei der Etablierung eines umfassenden Informations-Sicherheitsmanagement-Systems. Im Interview sprechen wir über Risiken für mittelständische Unternehmen, gesetzliche Vorgaben sowie den Selbstschutz und vielleicht sich daraus ergebende Wettbewerbsvorteile. Zudem wurde Herr Hermann Banse ausgewählt um auf dem Digital FUTUREcongress als Experte und Themenpate die Moderation der Bühne Cybersecurity und Datensicherheit zu moderieren. Grund genug für ein ausführliches Interview.

Entscheider kompakt: Herr Banse, seit der Einführung der Datenschutz Grundverordnung am 25.05.2018 ist viel passiert. Dennoch ist die große Welle der Abmahnungen und befürchteten Katastrophen für den Mittelstand ausgeblieben. Was hat die neue Datenschutz Grundverordnung dem deutschen Mittelstand außer viel Arbeit gebracht?

Hermann Banse:
Die DSGVO hat im letzten Jahr für große Unruhe gesorgt durch die Bezifferung der möglichen Strafgelder im Millionenbereich in Artikel 83 und die Tatsache, dass niemand so richtig wusste, was nun eigentlich zu tun sei. Die befürchtete Abmahnwelle ist im Keim erstickt worden und zum Glück ausgeblieben. Zudem haben Sie Recht: Katastrophen im Sinne exorbitanter Bußgelder sind bisher in Deutschland im Gegensatz zu unseren Nachbarstaaten weitgehend ausgeblieben.
Die viele Arbeit war / ist im Wesentlichen das ‚Verzeichnis der Verarbeitungstätigkeiten‘, die ‚Vereinbarungen zur Auftragsverarbeitung‘ und last but not least die Dokumentation der ‚technischen und organisatorischen Maßnahmen‘ (TOM), die meinen Umgang mit Personendaten und die getroffenen Schutzmaßnahmen dokumentieren. Dies sind unumgehbare Pflichten, die mir die DSGVO auferlegt. Wie wäre es, wenn ich dies als Gelegenheit nähme, meine Sicherheitsvorkehrungen insgesamt auf den Prüfstand zu stellen, Schwachstellen zu entdecken und zu beseitigen?

Entscheider kompakt: Welche Risiken sehen Sie ganz konkret im Moment für mittelständische Unternehmen?

Hermann Banse:
Es gibt hier zwei Blickwinkel nämlich erstens: Die DSGVO gibt jeder Person, von der ich Daten in meinem Unternehmen verarbeite, das Recht mich nach diesen Daten und meinem Umgang damit zu befragen oder mir die Einwilligung zur Verarbeitung zu entziehen.
Wenn ich dem nicht Folge leiste, hat jede Person das Beschwerderecht bei der zuständigen Landesbehörde. Ich als Unternehmer bin in der Rechenschaftspflicht und muss belegen, dass mein Umgang mit diesen Personendaten rechtens ist und einwandfrei erfolgt.
Also: besser ist es, vorbereitet zu sein. Die Bußgelder steigen aktuell an, einige besonders harte schaffen es in die Presse, wie zum Beispiel kürzlich die knapp 195.000 € eines Webportal-Betreibers in Berlin. Die Zahl der Beschwerden nimmt in jüngster Zeit stark zu! Und zweitens: verlassen wir einmal die DSGVO und sehen uns die Sicherheit des gesamten Unternehmens an. Wir speichern Korrespondenz mit Kunden und Lieferanten, Fertigungsaufträge, womöglich sogar schützenswerte Fertigungsprozesse oder gar Patente usw. Alles Informationen, die von Interesse sind. Wer hat Zugang zu diesen Informationen? Das betrifft nicht nur den Zugang am Arbeitsplatzrechner, sondern auch den Zutritt zum Gebäude, den Büros, die Absicherung des Serverraums etc. Dazu gehört auch maßgeblich die Stärkung meiner Mitarbeiter; einerseits in der Sensibilisierung für sicherheitsrelevante Themen, andererseits mit klaren Richtlinien für das alltägliche Verhalten und auch für den schlimmsten Fall. Die verführerische Email mit Anhang, der geschenkte oder gefundene USB-Stick, der mitgebrachte eigene Laptop im Firmennetz. Dies und viele weitere Aspekte gilt es zu beachten.

Entscheider kompakt: Viele mittelständische Unternehmen agieren auch heute noch nach dem Prinzip: “Uns wird schon nichts passieren”. Welche konkreten gesetzlichen Vorgaben müssen Geschäftsführer heute unbedingt beachten, um hier nicht Gefahr zu laufen große Geldstrafen zu zahlen oder sogar verklagt zu werden?

Hermann Banse:
Leider richtig: „Wir sind kein Großunternehmen. Wer sollte sich für uns interessieren“. „Wir haben eine Firewall und ein Antivirenprogramm. Uns wird schon nichts passieren“ höre ich sehr oft. Leider auch alles falsch: Die potentiellen Angreifer wissen das alles. Und auch, dass ein kleines, wenig geschütztes Unternehmen ein lohnendes Ziel ist. Die Vielzahl der Angriffsvektoren bieten genügend Möglichkeiten, ein Unternehmen auszuspähen oder stillzulegen. Zu den gesetzlichen Anforderungen: Die konkrete gesetzliche Vorgabe für alle Unternehmen jeder Größenordnung ist die DSGVO. Eine weitere gesetzliche Vorgabe ist das IT-Sicherheitsgesetz, welches die Betreiber ‚kritischer Infrastrukturen‘, KRITIS genannt, betrifft. Damit sind für das Gemeinwesen relevante Einrichtungen gemeint, also Energie- und Wasserversorger, Kliniken, Telekommunikation, Rechenzentren,Lebensmittelversorgung und andere. Die Vorsorge für das eigene mittelständische Unternehmen durch die Einführung eines Informationssicherheitsmanagementsystems (ISMS) ist eine freiwillige Aufgabe für einen Unternehmer im ureigenen Interesse. Die im Jahr 2018 durch Cyberkriminalität entstandene Schadensumme wird mit 43 Mrd. Euro beziffert!
Im Geschäftsverkehr zwischen Unternehmen wird heute vermehrt nach zertifizierten Schutzmaßnahmen gefragt oder diese auch zur Bedingung für einen Liefervertrag gemacht.
Meine Kunden überlassen mir für einen Auftrag zum Beispiel Produktspezifikationen oder Konstruktionszeichnungen. Hier könnten bei unzureichendem Schutz Haftungsfragen oder Schadenersatzforderungen eine entscheidende Rolle spielen.

Entscheider kompakt: Was können die Unternehmen selbst tun, ohne direkt einen Datenschutzbeauftragten zu bestellen? Stichwort Selbstschutz.

Hermann Banse:
Die Pflicht zur Bestellung eines internen oder externen Datenschutzbeauftragten auf der Grundlage der mit der Verarbeitung von Personendaten befassten Mitarbeiter im Unternehmen ist kürzlich gelockert worden von mehr als 10 auf mehr als 20 Personen.
Dies befreit aber kein Unternehmen von den bereits genannten Dokumentationspflichten!
Auch gilt diese Grenze nicht, wenn Sie im Unternehmen besonders schützenswerte Daten verarbeiten. Beispielsweise Gesundheitsdaten oder Kredit- und Bonitätsdaten.
Unabhängig von einem Datenschutzbeauftragen bedeutet Selbstschutz seine gesamte Informationsverarbeitung einmal auf den Prüfstand zu stellen. Für die strukturierte Durchführung eines solchen Projekts gibt es versierte fachliche Unterstützung und geeignete Werkzeuge, die diesen Prozess begleiten.

Entscheider kompakt: Sehen Sie in der Datenschutz Grundverordnung und in einer ausgiebigen Informationssicherheit auch Vorteile für mittelständische Unternehmen?

Hermann Banse:
Über die unumgänglichen Pflichten im Rahmen der DSGVO haben wir eben ausführlich gesprochen. Was spricht also dagegen, sich darüber hinaus mit einer ausgiebigen Informationssicherheit zu befassen. Sprich also der Einführung eines ISMS. Hier werden alle informationsrelevanten Prozesse beschrieben. Das IT-Servicemanagement wird beschrieben von der Änderung bis hin zum Notfallplan. Das Firmennetzwerk und seine Hard- und Softwarebestandteile werden dokumentiert. Die Risiken eines Ausfalls und damit die Schutzbedürftigkeit der Informationsverarbeitungen werden bewertet.

1. Es entsteht ein Betriebshandbuch mit klaren Richtlinien für die Abteilungen und deren Mitarbeiter. Das Onboarding und die Eingliederung neuer Mitarbeiter geht schneller und mit Sicherheit geordneter vonstatten als durch ‚stille Post‘ oder ‚Learning by Doing‘. Wir senken Kosten.
2. Aus der Beschreibung der einzelnen Arbeitsprozesse lassen sich oftmals Verbesserungs- und Verschlankungsmöglichkeiten ableiten, die zu einer Kostenersparnis führen.
3. Aus der Bewertung des Schutzbedarfs der einzelnen Verarbeitungen werden Schwachstellen aufgedeckt und ein Maßnahmenkatalog entwickelt, mit dem konkret der Schutz des Unternehmens und seiner Werte verbessert wird.
4. Der Notfallplan sorgt dafür, dass jeder Mitarbeiter weiß, was im Krisenfall zu tun ist. Ausfallzeiten werden so minimiert, Kosten werden gesenkt.
5. Der Nachweis eines zertifizierten Informationssicherheitsmanagementsystems tut der Reputation des Unternehmens gut. Ein Schadenfall oder der Ausfall der IT-Struktur tut das sicher nicht.
6. Das Vertrauen der Kunden und Lieferanten in unser Unternehmen wird massiv gestärkt. Ich sehe hier durchaus Wettbewerbsvorteile.
Die Liste lässt sich fortsetzen…

Entscheider kompakt: Auf dem Digital FUTUREcongress am 05.11.2019 sind Sie als Themenpate und Experte auf der Bühne 4 mit dabei. Welchen besonderen Schwerpunkt wollen Sie im Rahmen Ihrer Teilnahme setzen?

Hermann Banse:
Ich blicke mit Vorfreude auf die Moderation der Ereignisse als Themenpate auf Bühne 4.
Fachleute aus dem Bereich Cyber Security und Informationssicherheit werden den Themenkomplex aus verschiedenen Blickwinkeln und mit unterschiedlichen Ansätzen betrachten. Einige der Sprecher sind mir bekannt, bei den anderen freue ich mich darauf sie kennenzulernen.
Mein persönlicher Schwerpunkt ist die Informationssicherheit für die mittelständigen Unternehmen. In vielen Einzelgesprächen in jüngerer Zeit habe ich die Unsicherheiten wahrgenommen: Habe ich wirklich genug getan? Bin ich tatsächlich im Rahmen des Möglichen sicher aufgestellt? In meinem eigenen Vortrag am Nachmittag werde ich all das eben angedeutete aufgreifen und eine Richtung zum Gewinn von mehr Sicherheit aufzeigen.

Entscheider kompakt: herzlichen Dank für dieses Gespräch…

 

 

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.