Datenschutz 3 | Analysieren Sie Ihre IT-Risiken!

Was bedeutet Risikomanagement? Und welche Rolle spielt das IT-Risikomanagement?

Unter Risikomanagement versteht man «alle zur Bewältigung der Risiken nötigen Aufgaben und Massnahmen». Das IT-Risikomanagement spielt eine besonders wichtige Rolle. Es gilt, sich vor Cyber-Risiken zu schützen sowie Cyber-Angriffe und Cyber-Kriminalität so gut wie möglich zu verhindern. Heute werden vertrauliche Daten nicht mehr nur auf Papier im Safe aufbewahrt, sondern vermehrt auch online auf Servern, in der Cloud etc. gehalten. Daten, die mithilfe von Informationstechnologien gespeichert und verarbeitet werden, sind somit den IT-Risiken ausgesetzt.

Das IT-Risikomanagement betrifft sämtliche Risiken im Zusammenhang mit der Informationssicherheit. Und Informationssicherheit wiederum umfasst alle technischen und organisatorischen Massnahmen, um die Vertraulichkeit, Verfügbarkeit und Unversehrtheit einer IT-Umgebung und der Daten zu gewährleisten.

Aber was heisst IT-Risikomanagement für die Institutionen konkret?

Zunächst sollten die Institutionen ein Inventar aller vertraulichen Daten erstellen, die sich in ihrem Besitz befinden. Das haben wir bereits im Artikel «Bringen Sie Ordnung in Ihre Daten!» erläutert. Dann sollten sich die Institutionen einen Gesamtüberblick über ihre IT-Umgebung verschaffen. Darum ging es im Beitrag «Kennen Sie Ihre IT-Umgebung?». Wenn diese beiden Aufgaben erledigt sind, können sich die Institutionen der dritten Etappe widmen: der Analyse und Beurteilung ihrer IT-Sicherheitsmassnahmen.Dazu müssen die neuralgischen Punkte der IT-Umgebung bestimmt werden. Und es muss analysiert werden, ob diese Punkte ausreichend geschützt sind oder nicht.

Wie können die Institutionen eine solche Analyse vornehmen?

Wir raten dazu, mithilfe einer IT-Fachperson eine Selbstbeurteilung vorzunehmen und dabei einem klaren Vorgehen zu folgen. Dafür gibt es verschiedene Handlungsmodelle. Beispielsweise jenes, das der Fachverband EXPERTsuisse empfiehlt.

Dieses Handlungsmodell ermöglicht:

• Die Beurteilung von 20 IT-Bereichen mithilfe von ca. 90 Fragen.
• Auf der Grundlage der Ergebnisse lassen sich dann die einzelnen Risiken bestimmen und entsprechende technische oder organisatorische Massnahmen zur Bewältigung und möglicherweise auch zur Absicherung dieser Risiken (bspw. mit einer Cyberrisiko-Versicherung) ergreifen.

Wo liegen die häufigsten Schwachstellen in den IT-Systemen der Institutionen?

Unsere Erfahrung zeigt, dass vier Punkte besonders problematisch sind:

1. Fahrlässigkeit im Umgang mit Daten
2. Fehlende Datenverschlüsselung
3. Ungenügender Virenschutz
4. Unzureichende Datensicherung

Betrachten wir nun jeden einzelnen dieser Punkte etwas genauer.

Umgang mit Daten. Ein fahrlässiger Umgang mit Daten liegt beispielsweise vor, wenn für die Arbeit von zu Hause aus vertrauliche Daten auf einem USB-Stick vom Büro nach Hause transportiert werden. Um einen solchen Hin- und Hertransport zu vermeiden, bietet sich eine Lösung für den sicheren Fernzugriff über bspw. ein virtuelles privates Netzwerk (VPN) an.Auch die Nutzung ungesicherter privater Laptops oder Mobile Phones stellt ein Problem dar. Der unerlaubte Zugriff auf solche Geräte muss unbedingt verhindert werden (z. B. mithilfe eines Passworts oder durch die Nutzung einer Gesichtserkennung). Wir empfehlen den Institutionen, ihren Mitarbeitenden ordnungsgemäss gesicherte IT-Mittel zur Verfügung zu stellen, anstatt die Nutzung privater Geräte zu erlauben.

Datenverschlüsselung. Daten werden zudem häufig verschickt, insbesondere per E-Mail. Hier stellen wir fest, dass oft die technischen Voraussetzungen für eine wirksame Verschlüsselung fehlen. Wir empfehlen, alle sensitiven E-Mails sowie sämtliche vertraulichen Daten, die verschickt werden, zu verschlüsseln.

Virenschutz. Allzu oft ist der Virenschutz nicht ausreichend. Wir empfehlen, Firewalls und Spam-Filter regelmässig zu aktualisieren. Ein guter Spam-Filter identifiziert und blockiert Phishing-Mails sowie automatisch von sogenannten Botnets oder von bösartigen Websites verschickte E-Mails.

Datensicherung. Wir stellen ausserdem fest, dass viele Unternehmen über keine oder nur über ungenügende Datensicherungssysteme verfügen. Hier empfehlen wir die Installation eines Datensicherungssystems, das die Wiederherstellung von Daten jederzeit ermöglicht. Dies hilft nicht nur bei Verlust von Daten, sondern auch im Fall, dass Geräte infolge von Schadsoftware-Befall zurückgesetzt werden müssen.