Ein Viertel der kleinen und mittleren Unternehmen in Deutschland sichert ihre Daten (dazu gehören sowohl die unternehmenseigenen Daten als auch Kundendaten) nicht oder nur sehr unregelmäßig. Das ergab eine Auswertung des Netzwerks Elektronischer Geschäftsverkehr. Doch ein Datenverlust passiert oft schneller als gedacht – nicht nur durch Viren, Würmer und Trojanische Pferde (auch: „Trojaner“), sondern auch durch Hard- und Softwarefehler oder ein einfaches Versehen des Verwenders. Wenn wichtige Daten verloren gehen, kann dies für das betroffene Unternehmen verheerende Auswirkungen mit sich bringen und im schlimmsten Fall sogar zur Marktverdrängung führen.

Die Daten des Unternehmens sollten deshalb mit besonders hoher Sorgfalt behandelt werden. Datensicherheit, also der Schutz vor Manipulation, Verlust oder unberechtigtem Zugriff durch Dritte, kann dabei durch geeignete organisatorische und technische Mittel erreicht werden.

Handelt es sich bei den Daten um personenbezogene Daten (z.B. private Telefonnummern oder Privatanschriften), müssen außerdem die Regeln des Datenschutzes nach dem Bundesdatenschutzgesetz (BDSG) und der Datenschutz-Grundverordnung (DSGVO), z. B. in Bezug auf die Erhebung, Aufbewahrung und Löschung, berücksichtigt werden.

Das Bundesministerium für Wirtschaft und Energie (BMWi) will mit der Initiative "IT-Sicherheit in der Wirtschaft" vor allem kleinen und mittelständischen Unternehmen dabei helfen, diese Herausforderungen des digitalen Zeitalters zu meistern.

Backups

Dem Verlust von Daten kann durch ein sog. Backup vorgebeugt werden, das in regelmäßigen Abständen durchzuführen ist. Empfohlen wird, den aktuellen Datenbestand mindestens einmal täglich zu sichern und ein wöchentliches Gesamtbackup durchzuführen. Eine Sicherungskopie ist wenig wert, wenn sie nicht dem aktuellen Stand eines Dokuments entspricht.

Am besten richten Unternehmen eine automatische Softwarelösung ein, damit die Sicherungen nicht vergessen werden. Hierfür gibt es professionelle "Backup-Software". Die Resultate der automatischen Speicherung sollten zudem regelmäßig überprüft werden.

Wichtig ist in jedem Fall, dass die Datenträger, auf denen die Sicherungen erfolgen, von der üblicherweise genutzten Infrastruktur abgekoppelt sind. Sicherungsdaten sollten daher auf einem zusätzlichen, bestenfalls externen Datenträger oder (zusätzlich) in einer sicheren Cloud gespeichert werden.

Bei physischen Datenträgern darf natürlich nicht außer Acht gelassen werden, dass diese bereits nach einigen Jahren defekt sein können. Diese Speichermedien müssen daher regelmäßig ausgetauscht werden. Auch die richtige Lagerung ist wichtig: vor allem trocken, dunkel und ohne große Temperaturschwankungen.

Datenträger, auf denen vertrauliche oder andere wichtige Daten gespeichert sind, sollten darüber hinaus in einem verschließbaren Schrank oder Safe aufbewahrt werden.

Löschen ist nicht gleich löschen

Werden Daten nicht mehr gebraucht, reicht es in der Regel nicht, diese über die systemeigene Löschfunktion zu entfernen. Damit werden lediglich Informationen über den Speicherort, aber nicht die Inhalte gelöscht. Die vermeintlich gelöschten Daten befinden sich in den meisten Fällen noch auf dem Datenträger und können grundsätzlich relativ einfach rekonstruiert werden. Dasselbe gilt auch beim Formatieren der Festplatte. Zur sicheren Löschung vertraulicher Daten sollten daher spezielle Programme eingesetzt werden. Diese überschreiben den nicht mehr benötigten Speicherplatz, so dass die Daten unwiderruflich vom Speichermedium entfernt werden. Eine vollständige Überschreibung der Festplatte wird vor allem bei einer Weitergabe an Dritte empfohlen.

Bei personenbezogenen Daten ist weiterhin darauf zu achten, dass diese nicht länger gespeichert werden dürfen, als es für ihren Zweck unbedingt notwendig ist. Das bedeutet beispielsweise, dass die Bewerbungsunterlagen einer abgelehnten Bewerberin oder eines abgelehnten Bewerbers grundsätzlich gelöscht bzw. vernichtet werden müssen, sobald sie nicht mehr relevant sind (d.h., sobald sie oder er aus dem Bewerbungsprozess ausgeschieden ist und nicht mehr mit der Geltendmachung von Ansprüchen, bspw. nach dem Allgemeinen Gleichbehandlungsgesetz zu rechnen ist). Gleichzeitig ist zu beachten, dass es bei anderen personenbezogenen Daten (z. B. in Rechnungen oder Lohnabrechnung der Angestellten) gesetzliche Aufbewahrungsfristen gibt, die nicht unterschritten werden dürfen.

Insgesamt bietet sich an, eine Mitarbeiterin oder ein Mitarbeiter zu benennen, der die Verantwortung für die Datensicherung im Unternehmen übernimmt. Für den Datenschutz ist dies ohnehin gesetzlich vorgeschreiben, wenn im Unternehmen mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Darüber hinaus sollte der Datensicherungsprozess in einem Sicherungskonzept schriftlich festgehalten werden, in dem definiert wird, welche Daten wie oft und wo gesichert bzw. gelöscht werden.

Datenleck – was tun?

Trotz aller Vorsichtsmaßnahmen kann es dazu kommen, dass unberechtigte Dritte z.B. durch den Einsatz von Trojanern Zugriff auf vertrauliche Daten erlangen oder dass Daten verloren gehen.

Für diesen Fall sollten Unternehmen einen Notfallplan erstellen, der sicherstellt, dass eventuelle Dokumentations- und Meldepflichten eingehalten werden. Soweit personenbezogene Daten betroffen sind, muss z. B. in vielen Fällen die zuständige Datenschutzaufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls informiert werden. Unter Umständen kann es sogar notwendig sein, auch die Personen, deren Daten betroffen sind, zu informieren oder eine entsprechende öffentliche Bekanntmachung vorzunehmen.