Datensicherheit 4.0: Was Fachkräfte für Arbeitssicherhei ... / Zusammenfassung

Ein wesentlicher Grund dafür, dass neue digitale Technologien in Unternehmen nur zögerlich oder gar nicht umgesetzt werden, sind für viele Betriebe die Risiken der Datensicherheit. Tatsächlich bringt die Nutzung digitaler Technologien für Unternehmen Gefahrenpotenzial mit sich – doch noch mehr Vorteile. Diese Vorteile zu nutzen und dabei die Risiken im Griff zu behalten, folgt in Zeiten der digitalen Transformation und den 4.0-Technologien eigenen Regeln: Mit zunehmender Datenvernetzung smarter Geräte wächst auch die Angriffsfläche von Betrieben und den dort tätigen Menschen. Darüber hinaus können sich Fehlfunktionen schneller auf das Gesamtsystem der Arbeit auswirken als bei Technologien, die nicht miteinander vernetzt sind. Daher kommen Betriebe, die digitale Technologien erfolgreich nutzen wollen, nicht umhin, eine an ihre Anforderungen angepasste systematisch umgesetzte Datensicherheit zu gewährleisten. Hierbei werden an die Fachkraft für Arbeitssicherheit (Sifa) neue Anforderungen gestellt, denn Sicherheit im Betrieb geht nicht ohne Datensicherheit. Im folgenden Beitrag werden die neuen Herausforderungen für Betriebe sowie praktische Maßnahmen der Datensicherheit beschrieben, die auf technischer, organisatorischer und personeller Ebene umgesetzt werden können.

Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) verpflichtet Unternehmen, organisatorische und technische Vorkehrungen zur Vermeidung von Störungen ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen. Ausgenommen sind lediglich Kleinstunternehmen, d. h. Firmen mit weniger als 10 Beschäftigen und weniger als 2 Mio. EUR Jahresumsatz.^[1]

In der DIN-Norm ISO 27001 werden Anforderungen an den Aufbau und Umsetzung eines Informationssicherheit-Management-Systems definiert. Zentral sind dabei eine regelmäßige Analyse der Ist-Situation und bei Bedarf die Umsetzung von Anpassungen und Verbesserungen. So wird möglichst früh erkannt, wo das Unternehmen Maßnahmen ergreifen sollte, um mögliche Gefahren abzuwehren. Der Betrieb sorgt so für kontinuierliche Selbstkontrolle und Optimierung.

Zusätzlich sei auf die IT-Grundschutz-Kataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI) verwiesen.^[2] Der IT-Grundschutz des BSI ist eine bewährte Methodik, die Datensicherheit in Betrieben jeder Größenordnung zu erhöhen. Die Grundschutz-Kataloge dienen als Leitfaden bei der Erkennung und Bekämpfung sicherheitsrelevanter Schwachstellen in IT-Umgebungen. Hier werden grundlegende Aspekte aufgeführt, die Betriebe im Rahmen eines individuellen Sicherheitskonzeptes beschreiben müssen. Dazu gehört z. B., dass ein Unternehmen

• Sicherheitsziele und eine Sicherheitsstrategie festlegt,
• eine verantwortliche Führungskraft benennt, die den Prozess steuert,
• Sicherheitsmaßnahmen durchführt – zur Pflege und zum Verbesserungsprozess,
• die Grundwerte der Informationssicherheit einhält (vgl. Tab. 1).^[3]