Weshalb IT-Sicherheit auch den CEO betrifft

Dieser Aspekt der menschlichen Sicherheit lässt sich mit der Abkürzung AAA beschreiben – Authentifizierung, Autorisierung und Auditing. Zum einen wird mittels Identifizierungsmassnahmen wie Passwörtern oder biometrischen Daten festgestellt, dass ein Anwender wirklich der ist, der er behauptet zu sein (Authentifizierung). Zweitens wird die Autorisierung anhand vorab festgelegter Richtlinien festgestellt: Welche Befugnisse hat dieser Mitarbeiter? Auf welche Daten und Informationen darf er zugreifen? Welche Informationen sind für ihn schreibgeschützt, welche komplett gesperrt? Der letzte Bestandteil, Auditing, ist eine Art Protokollierung der Netzwerkaktivitäten des Mitarbeiters. Welche Daten hat er in letzter Zeit angeschaut, welche bearbeitet? Dieser Prozess ermöglicht es einem Unternehmen, sensible Daten gegen firmen-interne Bedrohungen zu schützen.

Um die Integrität der Daten zu gewährleisten, sind zudem Verschlüsselungstechnologien ein Muss. Sind die im Unternehmen gespeicherten Offline-Daten verschlüsselt und zudem durch Zugriffsautorisierung geschützt, kann die Sicherheitslatte noch eine Stufe höher gelegt werden.

Die steigende Anzahl von Richtlinien und gesetzlichen Bestimmungen rund um die Aufbewahrung und das Wiederfinden von Informationen, wie sie im Obligationenrecht Artikel 957 ff, in der Geschäftsbücherverordnung GeBüV und im Sarbanes-Oxley-Act festgeschrieben oder auch nur angedeutet sind, machen ein zuverlässiges System zur Sicherung und Archivierung von Daten sowie das Einbeziehen von Storage- und Datenmanagement-Techniken in die Sicherheitsstrategie unentbehrlich. Schweizer Firmen müssen vertrauliche Daten in der Regel bis zu 10 Jahre so aufbewahren, dass diese im Rechtsfall oder auf Anforderung der Behörden schnell aufzufinden und nachweisbar sind. Sonst drohen Geldbussen.

Der Chef ist rechtlich verantwortlich

Wie aber kann der Chef sicherstellen, dass alle relevanten Geschäftsdaten zuverlässig gespeichert und wiederauffindbar sind, wenn er nicht eingehend mit der IT-Organisation vertraut ist? Selbstverständlich gehört ein gewisses Mass an Vertrauen in die IT-Verantwortlichen dazu. Aber bestimmte Fragen kann und muss die Unternehmensleitung selbst stellen. Der erste und wichtigste Schritt ist der Einsatz eines zuverlässigen Backups, um Daten und Applikationen regelmässig zu sichern. Hand in Hand mit der Datensicherung geht immer die Rücksicherung und Wiederherstellung, die dafür sorgt, dass im Fall eines Systemausfalls das Geschäft schnell und ohne Verlust wichtiger Informationen wieder aufgenommen werden kann.

Mit ins Sicherheitskonzept einbezogen werden muss auch eine Datenarchivierungsstrategie, welche die vorschriftskonforme Aufbewahrung, die Regelung der Zugriffserlaubnis bis hin zur schnellen Datenbereitstellung auf Wunsch von Behörden oder internen Abteilungen umfasst. Archivierung ist keine reine IT-Frage mehr, sie involviert das ganze Unternehmen. Compliance ist eine ständige Aufgabe, die immer wieder Anpassungen an geänderte Systeme und Prozesse erfordert. Dabei geht es nicht nur um neue Gesetze und Regulierungen, sondern auch um interne Vorgaben. Je mehr Geschäftsprozesse digital abgebildet und gespeichert werden, desto mehr Vorschriften zur digitalen Datenhaltung greifen. Desto höher ist aber auch das Risiko der Nichterfüllung bis hin zur Konsequenz von Strafen.