Datenschutzexperte Andreas Krisch erklärt, worauf KMU beim Thema Datenschutz achten müssen.

Interview
14.04.2014

Woher weiß ich, ob meine Daten im Datenzentrum wirklich sicher sind?
Als Laie kann man das nur sehr schwer einschätzen. Es helfen Zertifizierungen, nach denen man sich richten kann, wie etwa die ISO 27000. Ein zweiter Aspekt sind die Daten in der Cloud: Da sollte man sehr gut aufpassen, wem der Cloud-Betrieb gehört. Wenn die Daten bei einer Firma aus den USA liegen oder auch nur bei einer Tochterfirma eines amerikanischen Unternehmens, hat der amerikanische Staat vollen Zugriff darauf, wenn er möchte.

Was ist die Gefahr bei Cloud-Diensten?
Das Grundkonzept der Cloud ist, dass Daten dorthin geschoben werden, wo es am praktischsten oder am billigsten ist. Wenn die Daten in Europa liegen, gibt es beim Datenschutz kein Problem, denn hier gilt das europäische Datenschutzrecht. Man muss sich aber trotzdem überlegen, ob die Personen, die auf die Daten zugreifen, ihrer Sorgfaltspflicht nachkommen.

Das heißt: Selbst wenn eine Firma alle Vorkehrungen getroffen hat, können Mitarbeiter durch das Benutzen von Cloud-Diensten wieder Sicherheitslücken erzeugen?
Ja. Weil der Zugriff mittels privater Computer Gefahren birgt. Zudem sollte man die Neugier der Mitarbeiter nicht unterschätzen. Eine Untersuchung hat herausgefunden, dass jeder zweite Zugriff der Mitarbeiter auf sensible Daten aus Neugier passiert ist. Da sollten Unternehmen jeden Zugriff mitprotokollieren.

Sie beraten Unternehmen in Bezug auf Datensicherheit. Wie gehen KMU mit dem Thema um?
Ich habe den Eindruck, es herrscht eine fatalistische Sichtweise vor, nach dem Motto: Ich kenne mich nicht aus, es wird schon nichts passieren. Leider ist das Thema noch immer zu kompliziert, aber man muss sich damit beschäftigen.

Für kleinere Unternehmen ist das nicht einfach. Hat es Sinn, das Thema auszulagern?
Man sollte zuerst ein Konzept machen und die für das eigene Unternehmen wichtigen Kernbereiche identifizieren. Erst dann sollte man einen IT-Dienstleister suchen, der einen dabei unterstützt.

Welche Hausaufgaben sollte jedes Unternehmen machen?
Erstens: Backups erstellen. Das klingt selbstverständlich, wird aber selten gemacht. Zweitens: Zugriffs- und Zutrittsberechtigungen festlegen: Wer darf auf welche Informationen zugreifen und aus welchen Gründen? Drittens: Den Computer nicht offen zugänglich lassen, wenn man den Arbeitsplatz verlässt – das passiert häufig und ist besonders in Unternehmen mit Kundenkontakt ein Risiko. Viertens: Elektronische Datenbanken müssen an das Datenverarbeitungsregister gemeldet werden.