Wissenslücken und ungenügende Ausbildung sind die größten Risiken für die Informationssicherheit eines Unternehmens. Besonders kleine und mittlere Unternehmen in Deutschland weisen oftmals Wissenslücken auf, wenn es darum geht, welche Anforderungen sie zum Schutz von vertraulichen Informationen erfüllen müssen, welche Folgen ein Datenleck haben kann oder welche Möglichkeiten es gibt, Daten zu schützen.
Die jüngste Shred-it Information-Security-Tracker-Studie, die von ISPOS unter 1.002 Inhabern von Kleinunternehmen mit weniger als 100 Angestellten durchgeführt wurde, zeigt einige Fakten:
- Nur 38 % der Befragten gaben an, über die rechtlichen Rahmenbedingungen für die Aufbewahrung und Zerstörung vertraulicher Informationen sehr gut Bescheid zu wissen.
- 38 % der Befragten gaben an, keinerlei Unterlagen zu besitzen, deren Verlust negative Folgen für ihr Unternehmen haben könnte – obwohl jedes Unternehmen persönliche Daten wie Mitarbeiterakten oder Kundeninformationen speichert.
- 21 % der befragten Unternehmen mussten die Konsequenzen eines Datenlecks bereits selbst erleiden.
- 76 % der Unternehmen beauftragen keinen externen Datenschutzexperten.
Wie kann ein Unternehmen also am besten Schlüsselstrategien implementieren und die große Vielfalt an Informationen verwalten, die es zu schützen gilt?
Nachfolgend einige bewährte Tipps aus der Praxis:
- Mitarbeiter schulen: Verbindliche Policies für Informationssicherheit einführen und die eigenen Mitarbeiter darin schulen, die Inhalte einerseits im Detail zu kennen und sie außerdem strikt zu befolgen. Es genügt nicht, den Mitarbeitern aufzutragen „vertrauliche Daten zu schützen“. Sie müssen darüber im Bild sein, was das genau bedeutet und wie es ihre tägliche Arbeit beeinflusst. Fakt ist jedoch, dass 46 % der Unternehmen ihre Mitarbeiter gar nicht im Bereich der Informationssicherheit schulen.
- Office-Policies einführen: Die Einführung einer Clean-Desk-Policy (nur bei 21 % der befragten Unternehmen offiziell in Anwendung) garantiert, dass Unterlagen entweder sicher versperrt oder am Ende des Arbeitstages vernichtet werden. Eine Shred-it-All-Policy nimmt den Mitarbeitern außerdem die Unsicherheit darüber, was nun vertraulich ist und was nicht. Sie stellt sicher, dass die Mitarbeiter nicht aus Versehen vertrauliche Daten in herkömmliche Abfalleimer entsorgen und beugt Fehlentscheidungen vor, die anderenfalls negative Konsequenzen haben könnten.
- Sichergehen, dass Informationssicherheits-Policies auf dem aktuellen Stand sind und den Anforderungen entsprechen: Die Informationssicherheits-Policy Ihres Unternehmens regelmäßig überarbeiten und um neue Formen elektronischer Medien ergänzen. Moderne Arbeitsplatzmodelle setzen die Arbeitgeber heute zunehmend unter Druck, Arbeitszeiten außerhalb des Firmenbüros zu ermöglichen. Dennoch verfügen 59 % der Befragten über keine besondere Policy für den Umgang mit vertraulichen Daten in Home-Offices und anderen externen Arbeitsumgebungen.
Wenn alle Mitarbeiter einer Organisation die Policies verstehen und wissen, wie man Informationssicherheitsrisiken besser erkennen und mit ihnen umgehen kann, werden Unternehmen ihre Kunden und ihre Mitarbeiter besser schützen und ihren Ruf wahren können. Besonders kleinen und mittleren Unternehmen in Deutschland wird nahegelegt, sich an einen professionellen, externen Serviceanbieter zu wenden und sich von Datenschutzexperten beraten zu lassen, die sie bei der Einführung von Informationssicherheits-Policies entsprechend unterstützen können.
Lesen Sie über weitere Erkenntnisse und holen Sie sich Ratschläge in der jüngsten Ausgabe des Shred-it State of the Industry Report.