Datenschutz-IT-Umgebung.jpg

Datenschutz | Kennen Sie Ihre IT-Umgebung?

07. Januar 2019 / France Santi
Wissen Sie, wo Sie überall Daten gespeichert haben? Sorgen Sie dafür, dass Sie Ihre Daten immer im Überblick haben und keine vergessen. Wie das gelingt? Indem sie Ihre IT-Umgebung visualisieren. Wir zeigen Ihnen, wies geht - und wie Sie die richtigen IT-Partner finden.

Die Datenmengen, mit denen wir es heute zu tun haben, sind riesig.

Zudem sind die Daten an unterschiedlichen Orten gespeichert, z.B. auf dem Unternehmensserver, auf Website-Servern oder in der Cloud. Eine weitere Besonderheit ist, dass Daten heute mit wenigen Klicks geteilt werden. Ihre Institution bildet da sicher keine Ausnahme. Deshalb stellen sich folgende Fragen:

  • Wissen Sie, wo genau Ihre Daten gespeichert sind (interne/externe Server, Cloud)?
  • Haben Sie den Überblick darüber, wie Sie und Ihre Mitarbeitenden diese Daten austauschen (E-Mail, interne/externe Laptops)?

Um die Speicherorte zu bestimmen, sollten Sie einmal Ihre ganze IT-Umgebung skizzieren. Dieser Ansatz hat zwei Vorteile:

  • Es gehen keine Prozesse oder Speicherorte vergessen.
  • Es herrscht mehr Transparenz für eine gezieltere Diskussion mit Ihren IT-Anbietern.

IT-Umgebung in 3 Schritten erfassen

Dazu können wir folgendes Verfahren empfehlen:

1. Bestimmen Sie alle internen und externen IT-Komponenten und listen Sie diese auf: Computer, Laptops, Tablets, aber auch interne Server und Internetserver, E-Mail-Server, Speichersysteme (Backup), Netzwerke etc. Tun Sie dasselbe mit den IT-Anbietern und Cloud-Services, die Sie nutzen.

Fragen Sie sich beispielsweise:

  • Auf welchen Servern sind Ihre Daten gespeichert?
  • Wie tauschen Ihre Mitarbeitenden Daten aus und über welche Computer?
  • Nutzen sie z.B. private Laptops?
  • Haben Sie eine Website? Welche Daten sind dort gespeichert?
  • Nutzen Sie einen Cloud-Dienst zur Datenspeicherung (z.B. Dropbox)?
  • Welche Daten sind dort gespeichert?

2. Visualisieren Sie diese Umgebung gemäss Schema (vgl. Abbildungsschema oben). Das kann Ihr IT-Verantwortlicher erledigen. Wenn Sie intern keinen IT-Verantwortlichen haben, ist es am besten, einen Dienstleister zu finden, der Ihnen bei dieser Aufgabe helfen kann (vgl. weiter unten «So wählen Sie Ihren IT-Anbieter aus»).

3. Analysieren Sie die Sicherheit von jedem Speicherort und von jedem Datenaustausch.

s15-INSOS-magazin-d-3-2018.jpg

So wählen Sie Ihren IT-Anbieter aus

IT-Dienstleister gibt es viele. Wählen Sie Ihren Anbieter deshalb mit Bedacht aus. Der Dienstleister muss:

  • Ihr Unternehmen und Ihre Unternehmenskultur verstehen,
  • über die nötigen technischen und personellen Ressourcen verfügen,
  • Konformitätsnachweise über die Einhaltung der gesetzlichen Anforderungen bereitstellen.

Auditberichte gemäss ISAE 3402 und/ oder ISAE 3000 sowie die Zertifizierung nach ISO 27001 sind wichtige Hinweise darauf, dass der IT-Dienstleister über ein gutes Risiko- und Prozessmanagement sowie ein internes Kontrollsystem (IKS) für seine Kunden verfügt.


Vertragsabschluss

Auf dem Markt gibt es heute nicht nur zahlreiche IT-Dienstleister; jedes dieser Unternehmen ist auch noch auf ein anderes Fachgebiet spezialisiert. Beispiele:

  • Softwareanbieter entwickeln für Sie massgeschneiderte Programme, die perfekt zu Ihren Prozessen
    passen.
  • Hostinganbieter stellen Ihnen ein geeignetes und optimal gesichertes IT-Netzwerk zur Verfügung, in dem Sie Ihre eigene IT-Infrastruktur installieren und nutzen können.
  • Sicherungs- bzw. Backup-Anbieter sorgen dafür, dass alle wichtigen Daten verschlüsselt gespeichert und abgelegt werden.
  • Unternehmen, die Cloud-Computing und Datenaustauschdienste anbieten, stellen Ihnen eine Online-Plattform für Ihre Dokumente zur Verfügung (z.B. eine Art Dropbox oder FTP-Server).

Bei allen Partnern ist es wichtig, die zu erbringenden Dienste vertraglich genau zu vereinbaren. Dies geschieht in
einem sogenannten Service-Level-Agreement (SLA).


Setzen Sie auf neutrale Beratung

Wenn Sie keine interne Fachperson haben, die sich mit diesen Dingen auskennt, sollten Sie unabhängigen Rat einholen. Das heisst, Sie brauchen einen Dienstleister, der sicherstellt, dass die IT-Spezialisten, die Sie beauftragen, ihren Verpflichtungen in Sachen Datenschutz wirklich nachkommen.

Diese Fachleute bieten ihre Dienste als «Service-Provider-Manager» an. Dabei handelt es sich um einen eher neuen Beruf, der aus dem Bedürfnis heraus entstanden ist, die immer komplexer werdenden und anfälligeren IT-Umgebungen von heute zu verwalten.

Eine solche Dienstleistung hat ihren Preis. Deshalb ist es für kleinere Einrichtungen sicher interessant, im ITBereich mit anderen Institutionen zusammenzuarbeiten.

Zudem existiert ein immer breiteres Angebot an Schulungen zum Thema Service-Provider-Management. Dadurch ist es möglich, die IT-Verantwortlichen Ihrer Institution weiterzubilden und deren Wissen auf den neuesten Stand zu bringen.

 

 

Text: mit Unterstützung von Ernst Liniger, Bprex.

Foto: iStock/Vertigo3d

Ihre Meinung zu diesem Beitrag