Der richtige Umgang mit personenbezogenen Daten stellt Unternehmen vor Herausforderungen. Vor allem kleine Betriebe können sich – im Gegensatz zu großen Organisationen – keinen eigenen Datenschutzbeauftragten leisten. Neben den IT-seitigen Lösungen sollten sie jedoch auch die physische Sicherheit beim Schutz ihrer Daten nicht außer Acht lassen. Ansonsten können gesetzliche Vorgaben wie etwa die DSGVO bei Security-Zwischenfällen schnell zu Bußgeldern führen.

Die seit Mai 2018 anzuwendende Datenschutz-Grundverordnung (DSGVO) wird nach wie vor rege diskutiert und macht in vielen Organisationen ein Umdenken erforderlich. Denn die DSGVO vereinheitlicht das europäische Datenschutzrecht und verpflichtet Unternehmen, ihre Datenschutzmaßnahmen und ihre physische IT-Sicherheit zu analysieren, umzustrukturieren und insgesamt zu intensivieren. Die Frage nach dem richtigen Umgang mit personenbezogenen Daten und die konkrete Umsetzung weitergehender Sicherheitsstrategien stellt Unternehmen jetzt vor neue Herausforderungen.

In größeren Betrieben gibt es in der Regel eigene Datenschutzbeauftragte, die sich genau mit dieser Thematik beschäftigen und rechtlich valide Lösungen entwickeln. Hingegen sorgen die gesetzlichen Vorgaben in kleineren Unternehmen wie Handwerks- und Dienstleistungsbetrieben, Restaurants, Kanzleien oder Arztpraxen oft für Unsicherheit.

Heute ist es gang und gäbe, Datenbestände mit Hilfe von Firewalls und Virenscannern gegen Angreifer aus dem Internet zu schützen. Doch auch die beste Sicherheitssoftware kann nichts gegen Eindringlinge ausrichten, die Datenträger oder gar komplette IT-Anlagen entwenden. Ein weiterer Risikofaktor ist der unautorisierte Zugriff auf sensible Daten durch Mitarbeiter oder unbefugte Dritte. Um den Schutz vor unbeabsichtigter oder vorsätzlicher Manipulation effektiv zu gewährleisten, müssen Betriebe entsprechende technische und organisatorische Maßnahmen (TOM) treffen. Sowohl die ISO 27001 als auch der IT-Grundschutzkatalog des BSI (Bundesamt für Sicherheit in der Informationstechnik) können hier als Leitfaden dienen. Zu den TOMs gehören unter anderem Regelungen für IT-Sicherheit, Benutzerberechtigungen, Virenschutz, Datensicherung sowie Archivierung.

Keine Spezifikation für „Stand der Technik“

Durch die Datenschutz-Grundverordnung sind Unternehmen gesetzlich verpflichtet, zusätzlich zu ihren bereits getroffenen Maßnahmen weitere Vorkehrungen für den Datenschutz zu realisieren: Bei Zuwiderhandlung folgt in der Regel zunächst eine Verwarnung, danach drohen sogar empfindliche Strafen. Unternehmer sollen die technischen Maßnahmen für die physische Sicherheit auf den aktuellen Stand der Technik bringen. Problematisch ist allerdings, dass es keine exakte Spezifizierung gibt, was genau „Stand der Technik“ ist. In jedem Fall müssen Firmen sensible Daten ausreichend vor dem Zugriff unbefugter Personen und gegen physische Gefahren schützen.

In Unternehmen sollten beim Thema Sicherheit immer sowohl softwareseitige Security-Lösungen als auch die physische Sicherheit im Fokus stehen. Zwar sind Firewalls und Virenscanner auch bei kleinen Betrieben unabdingbar und nicht wegzudenken, dennoch ist ihr Nutzen gering, wenn sich jeder problemlos am Server-Schrank zu schaffen machen kann. Besonders sicher ist ein hoch resilienter Daten­safe – hier müssen Unternehmen jedoch immense Investitionskosten einkalkulieren, die leicht fünfstellige Beträge erreichen. Eine vielversprechende Alternative stellen individuell konfigurierbare Server-Schränke dar, die sich an einem praxisgerechten Bedarf orientieren.

Doch 19-Zoll-Standardlösungen sind in der Regel auch mit einem Standard-Schließsystem versehen: Dies bedeutet, alle Schränke haben den gleichen Schlüssel, mit dem sich sogar Seiten- oder Rückwände abnehmen lassen. Auch Exemplare, die mit von außen verschraubten Beschlägen versehen sind, lassen sich mit Werkzeug leicht öffnen. Jeder, der Zugang zu Werkzeug oder einem Schlüssel hat, kann somit problemlos den Netzwerkschrank öffnen. Daher empfehlen sich rundherum geschlossene Modelle mit erhöhter Schutzart, die ein Eindringen mit einem Schraubenschlüssel und Ähnlichem verhindern. Gleichzeitig sind sie durch die Schutzklasse weitestgehend vor dem Eindringen von Staub und Wasser geschützt. Darüber hinaus unterbindet der Einsatz geschützter Kabeleinführungen Manipulationsversuche an der im Inneren untergebrachten Hardware. Um den Abtransport des kompletten Schranks wirksam zu vermeiden, ist zudem eine Möglichkeit der Verankerung im Boden vorgesehen.

Zutrittskontrolle ist der richtige Schlüssel

Doch welche kostengünstigen Möglichkeiten gibt es überhaupt, um 19-Zoll-Schränke effektiv vor unbefugtem Zugriff zu schützen und somit eine ausreichende physische Sicherheit zu gewährleisten? Grundsätzlich kann man zwischen herkömmlicher Schließtechnik und elektronischen Schlössern unterscheiden. Zur klassischen Schließtechnik zählt beispielsweise der Doppelbartschlüssel: Dieser bietet ein deutlich höheres Sicherheitsniveau als ein konventioneller Schlüssel mit nur einem Bart und ist daher wesentlich schwerer zu überwinden. Für den rudimentären Schutz weniger kritischer IT-Anlagen reicht oft bereits ein entsprechendes Schloss aus.

Anders verhält es sich dagegen bei Anwaltskanzleien oder Arztpraxen: Die hochsensiblen Daten erfordern gezieltere Sicherheitsmaßnahmen. Eine valide Möglichkeit für die physische Zugangskontrolle kann ein elektronisches Schloss sein, das durch einen PIN-Code gesichert ist. Diese Lösung erweist sich auch bei wechselnden Zuständigkeiten als vorteilhaft. Der PIN-Code lässt sich beliebig oft und mit minimalem Aufwand ändern. Hingegen muss man bei einem Schloss neben dem Schlüssel immer auch den Schließzylinder austauschen.

Elektrische Schlösser mit RFID-Technik

Noch mehr Sicherheit ermöglichen elektronische Schlösser mit RFID-Technologie, die gleichzeitig auch den Einstieg in die elektronische Protokollierung der Zutrittskontrolle markieren. Durch den Sensor kann die Tür kontaktlos mit Hilfe eines RFID-Schlüsselanhängers geöffnet werden. Alle berechtigten Personen erhalten ein eigenes Medium, das über individuelle Berechtigungen verfügt, wer wann und wo Zugriff hat. Eine spezielle Software protokolliert dann detailliert alle Zugriffe sowie die Zutrittsdauer und sorgt damit für mehr Transparenz. Denn insbesondere im Schadensfall ist eine lückenlose Nachvollziehbarkeit der Zugriffe von großer Bedeutung. Die Lösung ist individuell für mehrere Schränke erweiterbar und lässt sich komfortabel per Web-Browser oder App verwalten.

Zusätzlich bietet das System eine Alarmfunktion, die bei unbefugtem Zugriff die Bevollmächtigten per E-Mail informiert oder auch eine Sirene aktiviert. Zur vollständigen Übersicht lässt sich sogar eine Videoüberwachung ergänzen.

Fazit

Datenschutz ist ein heikles Thema und spätestens seit der Ratifizierung der DSGVO sollten auch kleine Unternehmen Vorkehrungen treffen, um ihre Datenbestände effektiv zu schützen. Diverse Anbieter haben 19-Zoll-Schränke im Portfolio, die sich individuell konfigurieren lassen und somit auch den aktuellen Stand der Technik hinsichtlich des Datenschutzes erfüllen können. Bei weniger sensiblen Daten reicht unter Umständen bereits ein robustes Schloss mit Doppelbartschlüssel aus. Für hochsensible Daten, wie sie von Ärzten oder Anwälten vorgehalten werden, empfehlen sich dagegen elektronische RFID-Schlösser, die zusätzlich eine lückenlose Zugriffsprotokollierung ermöglichen. Orientiert sich die Ausstattung eines 19-Zoll-Schrankes am realistischen Bedarf eines Unternehmens, lassen sich die nötigen Investitionen in Grenzen halten. Entsprechende Modelle liegen dann auch durchaus im Budget von kleineren Betrieben.

Marcus Nelles ist Produkt-Manager/Category Management bei EFB-Elektronik, www.efb-elektronik.de.