Als Geschäftsführer müssen viele wichtige Entscheidungen getroffen und aktuelle Entwicklungen im Blick behalten werden. Der Aspekt der Datensicherung rückt da oftmals in den Hintergrund. Oder er wird als nicht wichtig genug eingestuft, um bei den obersten Prioritäten mitzuspielen. Warum dies ein grober Fehler ist, der schwerwiegende Folgen nach sich ziehen kann, erfahren Sie nachfolgend in unserem kleinen Guide für Datensicherung, Haftungsrisiken und Backup für Geschäftsführer.

Herausforderungen der Datensicherheit

Jeden Tag ereilen uns neue Nachrichten zu Ransomware-Angriffen. Konnte man sich früher als Unternehmen noch weitestgehend in Sicherheit wägen, so treffen diese Cyberattacken inzwischen alle Sektoren und Geschäftsbereiche. Datenangriffe werden immer intelligenter und können ohne eine geeignete Backup-Strategie große Schäden anrichten. Auch die Entwicklung zur Digitalisierung und Automatisierung der Betriebe stellt viele Unternehmen vor große Herausforderungen, ebenso wie das rasante Datenwachstum und die generell hohe Abhängigkeit von Daten in Unternehmen, sowie der enorme Schaden, den der Verlust dieser nach sich ziehen kann.

Digitalisierung, Datensicherheit und Datensicherung

Unternehmensdaten sind heute fast der wichtigste Vermögenswert und für den Fortbestand von Unternehmen unabdingbar. So verwundert es nicht, dass Datensicherungsmaßnahmen stark zunehmen - jedoch mit immer gleicher Systematik, welche langfristig und mit steigender Datenmenge nicht ausreichend ist.

Neun von zehn Unternehmen (88%) wurden 2020/2021 Opfer von Datenangriffen. Der deutschen Wirtschaft entstand damit ein Gesamtschaden von 223 Milliarden Euro. Aus dem Data Protection Report 2021 von Veeam geht außerdem hervor, dass 54% der geplanten Datenwiederherstellungen nicht erfolgreich sind.

Bildschirmfoto 2022-02-01 um 20.02.54.png

(Bild: Veeam)

Die Komplexität der Datensicherung, die Bedrohungslage und die wirtschaftlichen Schäden steigen stetig. Auch der Ausbruch der Coronapandemie verstärkte diese Entwicklung enorm. Auch hier macht Digitalisierung den Unterschied: 70% der Unternehmen, deren Geschäftsmodelle, und 65% der Unternehmen, deren Geschäftsprozesse bereits digitalisiert waren, gehen oft sogar gestärkt aus der Krise.

Haftungsrisiken und Verantwortung für Unternehmer und Geschäftsführer

Die gesetzlichen Rahmenbedingungen in der rechtlichen Sicherheit umfassen die Sorgfaltspflichten des ordentlichen Kaufmanns, die Einhaltung der DSGVO und die Haftungsrisikenbei Datenverlust. Geschäftsführer verwalten den Datenschutz im Unternehmen. Eine persönliche Haftung ist deshalb durchaus möglich.

Geschäftsführer sollten deshalb diese Haftung der IT-Sicherheit mittels einer formellen Beauftragung an Spezialisten (z.B. IT-Leitung/Administration oder externe Dienstleister) übertragen. Die operative Beauftragung kann umfassen:

  • Entwicklung/Dokumentation von Datensicherungskonzepten
  • Ergreifung von Maßnahmen zur Abwehr von Cyber-Attacken
  • Entwicklung von Notfallplänen sowie Testung der Umsetzbarkeit

Auch nach erfolgreichem Outsourcing der IT-Kompetenzen sollte diese so wichtige Abteilung nicht stiefmütterlich behandelt werden. Der Informationsfluss muss weiterhin aufrecht erhalten, Budgets zur Verfügung gestellt und Rechtsbeistand angeboten werden.

Datensicherung als Teil des IT-Risikomanagements

Das Hauptziel der Datensicherung ist es sicher kritische Geschäftsdaten vor Verlust, Manipulation und Kenntnisnahme Dritter zu schützen. Das Sichern und Wiederherstellen der Daten ist ein zentraler Baustein der Unternehmens-IT. Grundlage dafür ist ein verbindliches IT-Risikomanagement, bestehend aus der wirtschaftlichen, der organisatorischen, der rechtlichen und der technischen Sicherheit.

  1. Betrachtet man zum Beispiel das Thema wirtschaftliche Aspekte der Sicherheit, so ist es wichtig, mögliche Schäden abzuschätzen, die Wertschöpfungskette zu prüfen, Daten zu priorisieren und Versicherungen zu überprüfen und gegebenenfalls neu abzuschließen.
  2. Bei den organisatorischen Aspekten der Sicherheit steht an erster Stelle eine klare Regelungen der Verantwortlichkeiten. Datenschutzverantwortliche sollten hierbei dringend eingebunden werden. Neben Backup-Konzepten und IT-Notfallplänen sowie einer Schwachstellenanalyse sollten auch wirtschaftliche Folgeabschätzungen mit der Organisation in Einklang gebracht werden.
  1. Die rechtlichen Aspekte umfassen die Einhaltung der DSGVO und der Compliance Anforderungen, die Definition von SLA (intern/extern), den Status der Versicherungen (zum Beispiel D&O- oder Cyber-Versicherungen) und die Verpflichtung von Mitarbeiterin sowie Dienstleistern, ebenso entsprechende Versicherungen abzuschließen.
  1. Technische Aspekte der Sicherheit können gut delegiert werden. Ein definiertes Monitoring und Reporting sollte sichergestellt und Zugriff auf externe Experten, für beispielsweise Beratung und Support, gewährleistet werden. Zudem sollten die 3-2-1 Backup-Regel verfolgt, die Datenlagerung und der Datenzugriff überprüft und regelmäßige Restore-Tests bzw. Health-Checks durchgeführt werden.

Indikatoren eines seriösen Technologie-Anbieters

Mit der Wahl des richtigen Technologie-Anbieters stehen und fallen viele Säulen der IT-Sicherheit im Unternehmen. Unter anderem diese Merkmale identifizieren seriöse Anbieter:

  • Eintragung im Handelsregister
  • Hersteller bietet eine Komplettlösung an
  • Transparente und faire Preismodelle
  • Deutscher Support direkt vom Hersteller
  • Deutsche AGB/AULA sowie Einhaltung der DSGVO
  • Unterstützende Systemhäuser/Dienstleister

Zusammenfassung

Die Einhaltung der nachfolgend zusammengefassten Maßnahmen helfen Geschäftsführern maßgeblich Ihre Unternehmen auf einen aktuellen, sicheren Stand in Sachen Datensicherung zu bringen.

Schriftliche Festlegung im Backup-Konzept:
Alle geschäftskritischen Daten, Systeme, Verfügbarkeiten und Maßnahmen werden identifiziert. Compliance und gesetzliche Anforderungen werden definiert und daraus Sicherheitsmaßnahmen, Backup-Strategien und Verantwortlichkeiten abgeleitet.

Regelmäßige Prüfung der Backup-Umgebung:
Regelmäßige, tägliche Prüfung der Reports, Health-Checks und Restore-Tests helfen bei der Überprüfung der Prozesse.

Räumlich getrennte Verwahrung der Kopien:
Unter Beachtung der 3-2-1 Backup Regel müssen Daten an unterschiedlichen Orten gelagert werden, so dass Systeme auch nach schwerwiegenden Einschnitten (z.B. Flut/Brand) wiederhergestellt werden können. Redundanzen erhöhen grundsätzlich die Verfügbarkeit sowie die Datensicherheit.

IT-Notfall Handbuch:
Als schneller und geregelter Restore im Notfall eignet sich ein Handbuch mit eigenen Abläufen sowie getätigten Tests. Dieses sollte auch eine Kontaktliste und Handlungsanweisungen zu Sofortmaßnahmen, sowie Wiederanlaufpläne mit Checklisten enthalten.

Quellen:
https://www.bitkom.org/Presse/Presseinformation/Angriffsziel-deutsche-Wirtschaft-mehr-als-220-Milliarden-Euro-Schaden-pro-Jahr
https://www.storage-insider.de/nur-knapp-jeder-zweite-backup-und-restore-vorgang-funktioniert-komplett-a-1008106/