• Der Geltungsbereich für Schutzmaßnahmen sollte definiert werden, indem festgelegt wird, welche smarten Geräte hinsichtlich des Umgangs mit Daten überprüft werden müssen. Damit verbunden ist auch zu definieren, welche spezifischen Sicherheitsanforderungen die Geräte, z. B. auch eine Cloud und die über die Cloud geregelten Prozesse, erfüllen müssen. Die Sifa kann den Unternehmer hierzu beraten und Vorschläge liefern.
  • Vielfach genutzte Sicherheitslösungen, wie Firewalls, Anti-Virus-Programme oder Intrusion-Prevention-Systeme, mögen den neuen Anforderungen nicht mehr genügen. Es sollten daher genutzte Technologien und Prozesse auf den eigenen (veränderten) Sicherheitsbedarf hin geprüft werden. Als Beispiele hierfür können sämtliche folgenden Punkte dienen.
  • Gerade bei der Vernetzung von Geräten und Anlagen mit dem Internet der Dinge gestaltet sich die Datensicherheit oftmals als schwierig. Unabdingbar sind hierbei geschützte Schnittstellen und Übertragungswege. Hier gibt es Schadsoftware-sichere Hardware. Dies ist auf Dauer ein preisgünstiger Weg, zugleich die Möglichkeiten der Vernetzung zu nutzen, ohne Angriffsfläche durch eine Schnittstelle nach außen zu bieten. Dies ist z. B. durch eine unidirektionale Datendiode realisiert: Eine Hardwarelösung, die den Datenfluss nur in einer Richtung zulässt. So fließen beispielsweise bei der Wartung von Geräten oder Anlagen (z. B. Aufzüge) Daten zur ausführenden Firma oder zum Hersteller und die Prozesse können aus der Ferne überwacht und gesteuert werden, aber nicht vom Werk zur Anlage. Wenn Datenfluss nur in diese (eine) Richtung läuft, ist man sozusagen unauffindbar für Angreifer. Somit sind Datendioden eine Ergänzungsmöglichkeit von Firewalls.
  • Beim Umgang mit Daten sollten passende Kontrollmechanismen ausgewählt werden, wie Zutritts- oder Zugangskontrollen, oder Datenverschlüsselungen, sodass der Datenzugriff nur von berechtigten Personen erfolgt. Um festzustellen, welche Daten welchem Personenkreis zugänglich sein sollen, ist die Datenkategorisierung ein essenzielles Werkzeug. Dazu muss man wissen, welche Daten durch smarte Arbeitsmittel oder in der Cloud verarbeitet werden sollen. Für sensible Auftrags- oder Personendaten können so strengere Zugriffsregelungen gelten. Anhand einer durchgängigen Kategorisierung kann somit entschieden werden, ob und wie diese geschützt werden müssen.
  • Der personenbezogene Datenschutz spielt auch bei der Datensicherheit eine wichtige Rolle, hier wird die transparente und abgestimmte Nutzung der Daten geregelt. Dabei sollen Arbeitnehmervertreter beteiligt und Daten nur mit festgelegten Regelungen erfasst und ausgewertet werden.
  • Bei der Nutzung von mobilen Endgeräten sollte verhindert werden, dass der Nutzer unbewusst oder bewusst ungeprüfte Software installieren kann. Hierzu können nach einer Installation Sicherheitskopien der installierten Software angefertigt werden. Vor einer Installation einer neuen Software sollte darüber hinaus geprüft werden, dass es sich um Originalsoftware handelt (möglichst von Originaldatenträgern bzw. aus vertrauenswürdigen Quellen). Vor der Inbetriebnahme sollte bei den Einstellungen der App/Software geprüft werden, welcher Zugriff auf Daten vorgenommen wird (Adressbuch, Standortdaten etc.). Hier sei als Beispiel auf die Brightest-Flashlight-Free-App aus Abschn. 1 hingewiesen.
  • Es sollte immer auf die Aktualität der Virenschutzprogramme geachtet werden und die von Herstellern bereitgestellten Sicherheitsupdates (genannt "Patches") stets zeitnah eingespielt werden. Dies betrifft auch alle Beschäftigten, die mit smarten Arbeitsmitteln bzw. autarken IT-Systemen arbeiten. Das bedarf konkreter Unterweisung bzw. Anweisung. Die Geräte müssen durch regelmäßige und automatisierbare Updates versorgt werden können. Aktuelle Betriebssysteme und Sicherheitsupdates können beim Hersteller eingefordert werden.
  • Bevor eine neue Software installiert wird, sollten Datensicherungen bzw. Back-ups des Systems durchgeführt werden, damit der ursprüngliche Zustand wiederhergestellt werden kann, sollte es Pannen mit der Installation geben.
  • Bei individuell konzipierter Software sollte die Datensicherheit von Beginn an mitberücksichtigt werden. Dafür sollten im Lastenheft, das an den Auftraggeber geht, die Anforderungen definiert werden.
  • Wenn die Software betriebliche Prozesse ganz oder teilweise steuert, sollte immer die Handlungsträgerschaft festgelegt und mit allen beteiligten Nutzern vereinbart, kommuniziert und dokumentiert sein. Hierzu ist zu klären, ob bzw. in welchen Situationen der Beschäftigte über die Arbeitsmittel und Prozesse entscheiden kann (z. B. Not-Aus, das der Mensch betätigt und damit auch "Entscheidungen" der Software "übergehen" kann).
  • Bei der Auswahl eines Cloud-Anbieters müssen neben funktionalen Anforderungen (wie Datenverfügbarkeit, Speicherplatz, Anbindung und Netzstärke) auch die Anforderungen an die Sicherheit der darin befindlichen Daten berücksichtigt werden (Wo liegen diese? Welche Gesetzgebung gilt? Support, U...

Das ist nur ein Ausschnitt aus dem Produkt Arbeitsschutz Office Professional. Sie wollen mehr?


Meistgelesene beiträge