KOSTENLOS STARTEN
dracoon-login-w
Menu
Kostenlos testen
LOGIN
DRACOON-Cloud-Services-und-Cloud-Computing

Ein IT-Sicherheits­konzept ist gelebter Datenschutz

Jedes Unternehmen, das Wert auf eine moderne IT-Infrastruktur legt, benötigt ein IT-Sicherheitskonzept. Und dies nicht erst seit der bereits seit 2016 in Kraft getretenen EU-Datenschutzgrundverordnung. Schon im ureigensten Unternehmensinteresse sind durchdachte Konzepte zur IT-Sicherheit und zum Datenschutz ein absolutes Muss.

 

Darum spielt die IT-Sicherheit eine so große Rolle

Bei der IT-Sicherheit handelt es sich um Techniken, die sogenannten informationsverarbeitende System dabei unterstützen, damit deren Vertraulichkeit, Verfügbarkeit (Schutz vor Systemausfällen) und Integrität gewahrt werden können. In erster Linie geht es darum, dass betriebswirtschaftliche Schäden und Angriffsszenarien vermieden und jegliche Risiken minimiert werden. Dabei unterstützen Firewalls, Verschlüsselungsverfahren von Datenspeichern und Übertragungswegen, aber auch Schutzmaßnahmen, die zur Bekämpfung von Trojanern und Viren ergriffen werden.

Hackerangriffe sind für IT-Systeme nicht nur extern, sondern auch intern hochgefährlich. Schlussendlich geht es immer darum, dass dabei auf Daten zugegriffen wird, die besonders geschützt werden müssen, weil durch diesen Zugang auch wirtschaftliche Vorteile entstehen. Während es früher nur darum ging, dass bei Angriffen Viren die Inhalte von Festplatten zerstörten, steht heute der Diebstahl von Identitäten bei Cyberkriminellen hoch im Kurs. Besonders im Fokus befinden sich hier vor allem Privatpersonen, deren Accounts von Online-Shops oder E-Mail-Konten angegriffen und übernommen werden. Aber auch die Industriespionage ist immer weiter auf dem Vormarsch. Um zu verhindern, dass fremde Personen in Firmennetze eindringen, sind moderne Firewall-Technologien unumgänglich.

Eine große Angriffsfläche liefern jedoch auch systembedingte Schwachstellen. Denn Hacker nutzen vor allem Fehler in der eingesetzten Software und gelangen so zu einem unrechtmäßigen Zugang ins IT-System. Zwar bemühen sich die Hersteller der Betriebssysteme und Anwenderprogramme regelmäßig um Updates, damit diese Sicherheitslücken geschlossen werden können, aber auch die eigenen Mitarbeiter können zu einer großen Gefahr für die Informationssicherheit werden. Nicht selten kommt es vor, dass ausgeschiedene Mitarbeiter nicht vollständig aus dem IT-System entfernt werden. Wenn diese dann immer noch unternehmenskritische Daten einsehen oder nutzen können, ist es auch hier nicht ausgeschlossen, dass sie einen großen Schaden anrichten. Gleiches gilt jedoch auch, wenn der Internetzugang des Unternehmens dazu genutzt wird um Material, das eigentlich urheberrechtlich geschützt ist, mittels Filesharing verbreitet wird. Hier drohen auch durch die sogenannte Störerhaftung entsprechende Abmahnungen.

>>> Um Angriffe dieser Art zu vermeiden, ist es wichtig, die eigenen Mitarbeiter entsprechend zu sensibilisieren. Vor allem aber muss die eingesetzte Software-Lösung so konzipiert sein, dass sie ein maximal mögliches Maß an IT-Sicherheit gewährleistet.

Gefahren drohen nicht nur von außen durch Naturkatastrophen oder auch Hackerangriffe und Datendiebstahl, sondern ebenso von innen. Jeder einzelne Mitarbeiter im Unternehmen – sei es durch ungewollte Fehlbedienung oder durch bewusste Manipulation – sowie jede Hardware-Komponente stellt eine potenzielle Gefahrenquelle dar. Dazu zählen auch Naturkatastrophen oder technisches Versagen. Spätestens wenn ein Kunde oder Vertragspartner nach einem dokumentierten IT-Sicherheitskonzept fragt, wird es Zeit, über ein solches nachzudenken. Häufig sind in Verträgen entsprechende Vertragsklauseln zu finden, in der ein Auftraggeber verpflichtet wird, ein IT-Sicherheitskonzept vorzulegen. Schließlich möchte der Kunde seine Daten in vertrauenswürdigen Händen wissen.

IT-Sicherheitskonzepte umfassen festgelegte Sicherheitsziele, durch die es möglich ist, Risiken zu erkennen und zu bewerten. Sie sind ein wichtiger und zentraler Teil des Information Security Management Systems (ISMS) bzw. des IT-Sicherheitsmanagements. Auf dieser Grundlage können im IT-Sicherheitskonzept Gegen­maßnahmen zum Schutz Ihrer Unternehmens- und Kundendaten definiert werden. Ein IT-Sicherheitskonzept wird von der Unternehmensführung oder einem Datenschutzbeauftragten des Unternehmens initiiert. Für die Umsetzung des Konzeptes ist der Datenschutzbeauftragte verantwortlich. Durch die Maßnahmen eines konsequent angewandten Sicherheitskonzeptes werden interne Schwachstellen minimiert sowie Bedrohungen der IT-Infrastruktur und deren Schnittstellen entgegengewirkt.

 

Maßnahmen und Ziele im Rahmen des IT-Sicherheitskonzepts

Um möglichen Datenpannen, Systemausfällen, Hackerangriffen und Virenbefall vorzubeugen, müssen kontinuierliche Maßnahmen zur Optimierung der IT-Sicherheit ergriffen werden. IT-Security definiert sich durch Eskalationsvorschriften, einem Notfall-Management, organisatorische und technische Maßnahmen. Zu letzteren zählen Zugriffskontrollmechanismen, Verschlüsselungstechnologien, Firewall-Systeme und nicht zuletzt die Sensibilisierung der Mitarbeiter durch regelmäßige Schulungen.

Ziel des IT-Sicherheitskonzeptes ist es, ein bestimmtes Niveau an Sicherheit zu erreichen. Die genannten Aspekte sollten in einem unternehmensweit gültigem IT-Sicherheitshandbuch oder in Form einer IT Security Policy zusammengefasst werden.

 

Wie entsteht ein IT-Sicherheitskonzept?

Für Information Security Management Systeme (ISMSe) und auch für IT-Sicherheitskonzepte gibt es die internationale Norm ISO/IEC 27001. Dieser Standard bietet eine gute Grundlage zum Erstellen eigener Konzepte und dient Prüfern als Grundlage zur Bewertung. Unternehmen, die wie DRACOON ISO27001-zertifiziert sind, können die Erfüllung dieser Norm nachweisen und somit auch rechtliche und regulatorische Vorgaben erfüllen.

Im Wesentlichen ist ein IT-Sicherheitskonzept in vier Abschnitte unterteilt:

  • Bestandsanalyse
    Notieren Sie, was in Ihrem Unternehmen schützenswert ist.
  • Strukturanalyse
    Erfassen Sie strukturiert alle Bestandteile eines Informationsverarbeitungsprozeses.
  • Schutzbedarfsfeststellung
    Ermitteln Sie den Schutzbedarf der einzelnen Objekte.
  • Modellierung
    Veranschaulichen Sie die vorherigen Schritte visuell.

Versuchen Sie ebenso, folgende Fragen gewissenhaft zu beantworten:

  • Genügt unser IT-Sicherheitskonzept wirklich den Anforderungen?
  • Sind unsere IT-Sicherheitsstandards tatsächlich „State of the Art“ und entsprechen diese den aktuellen Anforderungen?
  • Wird die IT-Sicherheitspolitik von den Mitarbeitern akzeptiert und gelebt?
  • Können Außenstehende an sensible Unternehmensdaten herankommen?
  • Können diese möglicherweise manipuliert oder gar gestohlen werden?

Diese Fragen sollten Sie sich immer wieder stellen, da sich Angriffs­szenarien und Bedrohungs­bilder jederzeit ändern können. Eine Bestandsaufnahme aller Sicherheitsmaßnahmen kann lediglich eine Momentaufnahme darstellen: Wurde erst kürzlich das Gesamtsystem durch Beheben von Schwachstellen und Sicherheitslücken auf einen sicheren Stand gebracht, so kann es ständig durch neue Sicherheitslücken wieder verwundbar werden.

 

Notfallkonzept: Maßnahmen, die nach einem Sicherheitsvorfall in Kraft treten

Zusätzlich zum IT-Sicherheitskonzept ist auch ein Notfallkonzept notwendig. Dieses setzt immer dann an, sobald durch Sicherheitsgefährdungen Geschäftsprozesse unterbrochen werden, die die Unternehmensziele oder gar den Fortbestand des Unternehmens gefährden können. Ein Notfallkonzept enthält Pläne und Maßnahmen, die einen schnellstmöglichen Wiederanlauf sowie die Wiederaufnahme von kritischen Geschäftsprozessen ermöglichen, nachdem der Sicherheitsvorfall eingetreten ist.

 

Rechtliche Aspekte des IT-Sicherheitskonzepts

Bei Ihren Kunden und Lieferanten schaffen Sie mit einem IT-Sicherheitskonzept zusätzliches Vertrauen, da Sie die dadurch die Sicherheit Ihrer Daten dokumentieren können. Gemäß § 109 des Telekommunikationsgesetzes sind Sie als Unternehmer sogar dazu verpflichtet, Vorkehrungen und Maßnahmen zu treffen, die gegen die Verletzung des Schutzes personenbezogener Daten zu ergreifen sind.

Telekom
KfW
Ebner
thyssenkrupp
AOK
Bayerischer_Landtag_Logo

DRACOON ist gelebte IT-Sicherheit für Ihre Daten

DRACOON hat für sich als Unternehmen ein IT-Sicherheitskonzept definiert und wurde darüber hinaus ISO 27001-zertifiziert. Ebenso wurden bei der Entwicklung des Produktes verschiedene Sicherheitsaspekte berücksichtigt. Damit unterstützt DRACOON Unternehmen hinsichtlich des Umgangs mit Daten, ihr IT-Sicherheitskonzept umzusetzen.
Über die Software können Sie all Ihre Unternehmensdaten sicher speichern, verwalten und versenden. DRACOON bieten Ihnen zahlreiche Vorteile, um eine sichere und EU-DSGVO-konforme Datenspeicherung zu gewährleisten. Durch die clientseitige Verschlüsselung ist ein Abfließen von Daten ausgeschlossen.

  • Made & Hosted in Germany: DRACOON wird in Deutschland entwickelt und in ISO27001-zertifizierten Rechenzentren betrieben.
  • Mehrfach ausgezeichnet und zertifiziert: Verschiedene Siegel wie ISO27001, EuroPriSe und BSI C5 bescheinigen DRACOON höchste Sicherheitsstandards. 
  • DSGVO-konform dank Privacy by Default und Privacy by Design: Als deutscher Anbieter unterliegt DRACOON den strengen deutschen Sicherheitsgesetzen und unterstützt Sie bei der Umsetzung und Einhaltung der EU-DSGVO dank datenschutzfreundlicher Technikgestaltung (Privacy by Design) sowie Voreinstellung (Privacy by Default). So arbeiten Sie als Benutzer automatisch datenschutzkonform.
  • Höchste Sicherheit durch clientseitige Verschlüsselung: Alle Daten werden bereits sicher am Endgerät verschlüsselt. Auf dem Server selbst besteht keine Möglichkeit, die Daten zu entschlüsseln, da sich das Schlüsselmaterial auf dem Client befindet. So stellen wir sicher, dass weder wir als Cloud-Anbieter noch Dritte in der Lage sind, auf Ihre gespeicherten Daten zuzugreifen.
  • Modernes Berechtigungskonzept: Mit DRACOON können Sie Zugriffsrechte einfach und individuell an interne Mitarbeiter, aber auch externe Beteiligte vergeben. So stellen Sie sicher, dass bestimmte Personen z. B. nur Leserechte erhalten, andere wiederum auch Daten bearbeiten und löschen können. Somit behält zum Beispiel die IT-Abteilung zwar die organisatorische Hoheit, hat aber keine Lese- und Schreibrechte auf Finanz- oder Personaldaten. Demzufolge können IT-Administratoren auch von gewissen Daten (wie z.B. Gehältern, Bilanzen, usw.) komplett für den Zugriff ausgesperrt werden. DRACOON gibt Ihnen außerdem die Möglichkeit, Daten in ihrer Verfügbarkeit zeitlich zu befristen.
  • Klassifizierungen: Klassifizierungen verschaffen einen schnellen Überblick über die Sicherheitsstufe einer Datei.
  • Schutz vor Ransomware-Angriffen: Im Falle eines Hackerangriffs lassen sich betroffene Daten jederzeit über den DRACOON-Papierkorb wiederherstellen.
  • Integriertes Reporting Tool / Audit-Log: Das DRACOON Reporting Tool mit Audit-Log gibt Auskunft über sämtliche Dateizugriffe. Berechtigte Personen können so nachvollziehen, von wem und zu welchem Zeitpunkt Daten geteilt, bearbeitet oder gelöscht wurden.
  • Bedarfsgerechte Abrechnung: Die Abrechnung der benötigten Lizenzen von DRACOON erfolgt auf Benutzerbasis. Damit können Sie DRACOON jederzeit an Ihre Bedürfnisse anpassen.

IT-Sicherheit mit DRACOON

Speichern, teilen und verwalten Sie Ihre Daten einfach, schnell und DSGVO-konform 14 Tage kostenlos!

Kostenlos testen