Gefahren aus dem Netz
© Oleksii - stock.adobe.com

Was tun bei Gefahr aus dem Netz?

Ein Unternehmen zu führen, ohne elektronisch Daten zu verarbeiten, ist nicht mehr denkbar. Doch die Cyberkriminalität steigt laufend und IT-Sicherheit wird immer wichtiger.

Lesedauer: 3 Minuten

Aktualisiert am 07.11.2023

Die Internetkriminalität ist seit Jahren stark im Wachsen. In erschreckend steigender Frequenz werden Vorfälle publik, bei denen Unternehmen, Institutionen aber auch Privatpersonen Opfer von Hackerangriffen, Ransomware-Attacken, Erpressung und Betrug werden.

Maßnahmen zum Schutz der Daten

Wie gegen herkömmliche Einbrecher gilt es daher Maßnahmen zu ergreifen, die Ihren Datenschatz vor dem Zugriff der Internetpiraten bestmöglich schützen. Die Datenschutzgrundverordnung verpflichtet Sie als Unternehmer, u.a. Datensicherheitsmaßnahmen zu ergreifen. Diese sind einerseits technischer, andererseits organisatorischer Natur.

Auch die besten technischen Sicherheitsvorkehrungen stoßen an ihre Grenzen, wenn der Faktor Mensch zuschlägt. Um die IT-Sicherheit zu verbessern, sollten daher alle Mitarbeiterinnen und Mitarbeiter über angemessene Kenntnisse im Umgang mit IT-Systemen und den Gefahren und Gegenmaßnahmen in ihrem eigenen Arbeitsgebiet verfügen. Es liegt in der Verantwortung der Geschäftsführung, durch geeignete Schulungsmaßnahmen die nötigen Voraussetzungen zu schaffen. Darüber hinaus sollten alle Benutzerinnen und Benutzer dazu motiviert werden, sich auch in Eigeninitiative Kenntnisse anzueignen.

Schulungen für IT-Sicherheit

Die überwiegende Zahl von Schäden im IT-Bereich entsteht durch Nachlässigkeit oder Bequemlichkeit. Das Aufzeigen der Abhängigkeit des Unternehmens von Informationen und vom reibungslosen Funktionieren der IT-Systeme ist ein geeigneter Einstieg in die Sensibilisierung der Mitarbeiterinnen und Mitarbeiter für Sicherheitsanliegen. Weitere mögliche Inhalte einer Benutzerschulung sind:

  • Der richtige Umgang mit Passwörtern
  • Richtiges Verhalten beim Auftreten von Sicherheitsproblemen
  • Der Umgang mit personenbezogenen Daten
  • Wirkungsweise und Arten von Schadprogrammen
  • Erkennen eines Befalls mit Schadprogrammen
  • Sofortmaßnahmen im Verdachtsfall und Maßnahmen zur Entfernung von Schadprogrammen
  • Das richtige Verhalten im Internet
  • Das richtige Verhalten bei unzulässigen Anfragen
  • Risiken bei der Verwendung mobiler IT-Geräte und Datenträger
  • Die Bedeutung der Datensicherung und ihrer Durchführung

Als Unterstützung für Schulungen und zum Selbststudium empfehlen wir das „IT-Sicherheitshandbuch für Mitarbeiterinnen und Mitarbeiter“ aus der it-safe-Reihe der Sparte Information und Consulting. Das IT-Sicherheitshandbuch ist kostenlos erhältlich und steht unter diesem Link zum Download bereit: https://www.wko.at/site/it-safe/mitarbeiter-handbuch.html

Rückfragen:
Tiroler Wirtschaftskammer
Arbeits- und Sozialrecht
Mag. Florian Brutter
Datenschutzbeauftragter
T 0590905-1111
E rechtsservice@wktirol.at
W WKO.at/tirol/arbeitsrecht
W www.it-safe.at

Wie schütze ich meine Daten richtig?

Ein für jeden anwendbares „Kochrezept“ zur Implementierung der geeigneten technischen und organisatorischen Maßnahmen in seinem Betrieb gibt es nicht! Vielmehr verlangt die Datenschutzgrundverordnung (DSGVO) von jedem Einzelnen ein gewisses Maß an Eigenverantwortung, um selbstständig festzulegen, welche Maßnahmen konkret getroffen werden müssen, um für die verarbeiteten Daten das bestmögliche Schutzniveau zu gewährleisten.

Einzelne Maßnahmen, wie beispielsweise die Pseudonymisierung und Verschlüsselung oder rasche Wiederherstellungsfähigkeit der Daten bei einem Zwischenfall, werden zwar von der DSGVO explizit vorgeschrieben – grundsätzlich gilt es allerdings, sich an folgende Formulierung zu halten: „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“

Beurteilung des Schutzniveaus

  • In einem ersten Schritt ist eine Beurteilung des angemessenen Schutzniveaus vorzunehmen!
  • Welche Daten werden verarbeitet (z. B. besondere Kategorien personenbezogener Daten)?
  • Welches Risiko entsteht für die betroffenen Personen bei unrechtmäßigem oder unbeabsichtigtem Verlust bzw. bei Offenlegung?
  • In welchen Systemen werden die personenbezogenen Daten verarbeitet und wie sind diese Systeme geschützt?
  • Etc.

In einem zweiten Schritt können sodann unter Zuhilfenahme der Grundsätze „Datenschutz durch Technik und privacy by default (datenschutzfreundliche Voreinstellungen) die geeigneten internen Strategien und Maßnahmen festgelegt werden, um das größtmögliche Schutzniveau für die verarbeiteten Daten zu gewährleisten.

Weiterführende Informationen:

Es gibt keinen einheitlichen Lösungsansatz, da jedes Unternehmen für sich unterschiedliche und komplexe Verarbeitungsvorgänge aufweist. Die Wirtschaftskammer stellt Ihnen allerdings auf der Website www.it-safe.at eine Hilfestellung zur Verfügung, welche nicht nur bei der Beurteilung des angemessenen Schutzniveaus, sondern auch bei der Implementierung einzelner Maßnahmen unterstützt.

Nehmen Sie sich ausreichend Zeit, um geeignete Datensicherheitsmaßnahmen in Ihrem Betrieb umzusetzen und ein adäquates Schutzniveau zu gewährleisten. Sollte es zu einem unrechtmäßigen oder unbeabsichtigten Verlust oder zur Offenlegung von personenbezogenen Daten kommen, stehen Strafzahlungen im Raum, welche nicht sein müssen!

Rückfragen:
Tiroler Wirtschaftskammer
Christoph Hofmann
Stellvertretender Datenschutzbeauftragter
T 0590905-1523
E christoph.hofmann@wktirol.at
W www.it-safe.at