nach oben
Meine Merkliste
Ihre Merklisteneinträge speichern
Wenn Sie weitere Inhalte zu Ihrer Merkliste hinzufügen möchten, melden Sie sich bitte an. Wenn Sie noch kein Benutzerkonto haben, registrieren Sie sich bitte im Hanser Kundencenter.

» Sie haben schon ein Benutzerkonto? Melden Sie sich bitte hier an.
» Noch kein Benutzerkonto? Registrieren Sie sich bitte hier.
Ihre Merklisten
Wenn Sie Ihre Merklisten bei Ihrem nächsten Besuch wieder verwenden möchten, melden Sie sich bitte an oder registrieren Sie sich im Hanser Kundencenter.
» Sie haben schon ein Benutzerkonto? Melden Sie sich bitte hier an.
» Noch kein Benutzerkonto? Registrieren Sie sich bitte hier.

« Zurück

Ihre Vorteile im Überblick

  • Ein Login für alle Hanser Fachportale
  • Individuelle Startseite und damit schneller Zugriff auf bevorzugte Inhalte
  • Exklusiver Zugriff auf ausgewählte Inhalte
  • Persönliche Merklisten über alle Hanser Fachportale
  • Zentrale Verwaltung Ihrer persönlichen Daten und Newsletter-Abonnements

Jetzt registrieren
Merken Gemerkt
22.04.2020

Wenn unklassifizierte Daten den Audit-Erfolg gefährden

Wp steckt denn nun die aktuelle Version des Vertrags?! Damit die Digitalisierung nicht zum Datenchaos führt, müssen nicht nur die Mitarbeiter diszipliniert mit Unterlagen umgehen - der Projektverantwortliche muss die Einhaltung definierter Richtlinien bei der Datenverwaltung stets im Auge behalten, damit keine Verantwortungsdiffusion entsteht. Die IT-Abteilung muss die Zugriffsrechte sorgfältig verwalten und sollte ausreichend besetzt sein. Verlieren die IT-Spezialisten den Überblick, ist ein Datenleck nur eine Frage der Zeit.

Existieren in einem Unternehmen keine gut definierten und gut kommunizierten Richtlinien, wie Daten zu benennen und wo sie abzulegen sind, entstehen daraus zwangsläufig organisatorische Probleme und unklassifizierte Daten. Jeder Mitarbeiter hat einen individuellen Arbeits- und Organisationsstil. Diese Herangehensweise ist in kleinen Teams noch praktikabel, führt bei größeren Projekten jedoch schnell zum Chaos. Ab einer bestimmten Betriebsgröße können sich nicht alle Projektbeteiligten ständig untereinander austauschen.

Deshalb ist es von entscheidender Bedeutung, dass ein Projektverantwortlicher sich um die Etablierung und Einhaltung einer eindeutigen Systematik bei der Datenklassifizierung kümmert. Um die gängigen Anglizismen zu bemühen: Der Project Owner muss sich um die Records Management Policy kümmern. Wichtig dabei ist vor allem die Einheitlichkeit der Klassifizierung und die Konsequenz der Umsetzung zu überwachen.

Konsequenzen unklassifizierter Daten bei Audits

Arbeiten viele Personen an gemeinsam genutzten Dateien, kommt es ohne Records Management Policy schnell vor, dass ein Mitarbeiter eine überarbeitete und somit aktualisierte Version eines Dokuments nicht geordnet ablegt. Der nächste Mitarbeiter weiß nichts davon und arbeitet seinerseits an einer veralteten Version des gleichen Dokuments weiter. Daraus resultiert eine Reihe von Problemen. Die offensichtlichste Folge einer dezentralen Datenorganisation ist, dass viele Arbeitsstunden in veraltete Dateiversionen gesteckt werden; nochmal soviele Stunden gehen bei der Rückverfolgung und Konsolidierung doppelt geleisteter oder redundanter Arbeit verloren.

Noch problematischer ist es, wenn die einzige Version einer Datei lokal auf dem Rechner eines Mitarbeiters gespeichert ist. Im Krankheitsfall oder im Falle eines kurzfristigen Ausscheidens dieses Mitarbeiters haben die zurückbleibenden Kollegen keine Zugriffsmöglichkeit auf eine potenziell systemrelevante Ressource.

Bereits ein solcher Vorfall ist in der Lage, betriebskritische Ausmaße anzunehmen, wenn es sich bei der fehlenden Datei um ein zentrales Projektelement handelt.
Bei internen Audits können solche Vorfälle zu Entlassungen führen. Bei externen Audits – beispielsweise einer Außenprüfung der Finanzbehörde – wird es schnell justiziabel.

Dokumente wie Bücher, Bilanzen und Rechnungen unterliegen einer zehnjährigen Aufbewahrungspflicht. In einer von der Digitalisierung beschleunigten Arbeitswelt kann nicht immer garantiert werden, dass ein- undderselbe Buchhalter die Akten archiviert und neun Jahre später dem Finanzprüfer vorlegt. Um unangekündigte Audits stets mit vollständigen Unterlagen begrüßen zu können, ist ein disziplinierter und langlebiger Prozess notwendig. Dieser muss über viele Jahre seine Robustheit gegen Hardware- sowie Softwareupdates und nicht zuletzt gegen Personalfluktuation unter Beweis stellen.

Potenziell existenzielle Risiken für Unternehmen

Audits sind nicht der einzige Stolperstein, den unklassifizierte Daten mit sich bringen.
Ein unterschriebener Vertrag ist auch dann rechtlich bindend, wenn es sich dabei um eine veraltete Version handelt. Im Falle eines Rechtsstreits hilft kein Argument, dass es sich bei dem umstrittenen Schriftstück nicht um die vereinbarte Vertragsversion handelt – insbesondere wenn der Kläger sich für das Aufsetzen des Vertrages verantwortlich zeichnet.

Durch mangelhaftes Zugriffsmanagement – einer Unterkategorie der Datenverwaltung – entstehen zusätzliche Risiken, wie Datenlecks und das damit verbundene Abfließen von Firmengeheimnissen. Ebenso wie die Versionsprüfung, obliegt dem Project Owner die Verantwortung für die Zugriffsrechte seiner Mitarbeiter. Er muss Veränderungen in der Hierarchie ebenso berücksichtigen wie Neuzugänge und ausscheidende Mitarbeiter. Tut er dies nicht, hängt er seiner Firma dadurch ein Damoklesschwert über.

Scheidet beispielsweise ein Mitarbeiter in Zwietracht aus dem Unternehmen, so kann nicht ausgeschlossen werden, dass dieser im Nachgang unternehmenskritische Informationen mithilfe seines alten Firmenaccounts abschöpft. In einem solchen Fall reicht bereits eine negative Pressemeldung aus, den Ruf des betroffenen Unternehmens nachhaltig zu schädigen. Wer gerne den Teufel an die Wand gemalt bekommt, stelle sich vor, das Geheimrezept des Kernprodukts wird dem schärfsten Konkurrenten zugespielt. Für dieses Szenario ist noch nicht einmal Schadsoftware vonnöten; ein vergessener Zugang und etwas kriminelle Energie beim verbittern Ex-Kollegen reichen bereits aus.

Wenn die Cybergefahr aus dem Unternehmen kommt

Wie auch in vielen Fällen von Cyberkriminalität, lassen sich Vorfälle in der Datenverwaltung meist auf menschliches Fehlverhalten zurückführen. Deshalb ist eine regelmäßige und umfängliche Mitarbeiterschulung zum verantwortungsvollen Umgang mit Daten die Grundvorassetzung für ein zeitgemäßes Risikomanagement.

Die wichtigste Maßnahme gegen Verantwortungsdiffusion ist – flache Hierarchien hin oder her – die eindeutige Benennung eines Project Owners. Er bestimmt die Richtlinien zum einheitlichen Datenmanagement innerhalb des Projektes und vermeidet so Konfusion und Chaos in der digitalen Datenwirtschaft.

Die Schaffung und Pflege einer kompetenten und ausreichend besetzten IT-Abteilung ist in Zeiten der Digitalisierung von existenzieller Bedeutung für jedes Unternehmen mit einer entsprechenden Mitarbeiterzahl. Leider erfährt diese Disziplin von einigen Entscheidungsträgern nach wie vor eine eher stiefmütterliche Behandlung. Besonders an IT-Spezialisten geizt man gerne, da sich die Entscheidungsträger in der Sicherheit wähnen, dass schon nichts passieren wird. Ein digitaler Super-GAU lässt keinen Spielraum fürs Lernen aus Fehlern. Der erste Vorfall kann bereits der letzte für das Unternehmen sein.

Automatisierte Datenverwaltung – Kategorisierung und Zugriffsmanagement in einem

Eine automatisierte Softwarelösung kann helfen, das Datenchaos in den Griff zu bekommen. Eine solche Applikation durchforstet den Altbestand an Daten und ordnet jede einzelne Datei einer trennscharfen Kategorie zu. Ab dem Zeitpunkt der Inbetriebnahme der Lösung werden zudem alle neu erstellten Daten ebenso kategorisiert, so dass sie unabhängig vom Speicherort jederzeit auffindbar vorliegen. Somit erhält jede an einem Projekt beteiligte Fachkraft einen Überblick über alle projektrelevanten Dateien und ihren Versionsverlauf.

Weiterhin können mithilfe von Software Mitarbeiterrollen definiert werden. Diese Rollen entscheiden darüber, wer Zugriff auf bestimmte Dateien haben darf und wer nicht. So darf beispielsweise der Geschäftsführer Einsicht auf alle Dokumente des Unternehmens erhalten. Ein Sachbearbeiter der Finanzabteilung darf den in der Kategorie „Finanz“ befindlichen Abteilungsbericht bearbeiten, erhält aber keine Einsicht in die ebenso „Finanz“-verschlagworteten Quartalszahlen eines aktiennotierten Unternehmens vor deren Veröffentlichung. Er scheitert an der hierarchiebedingten Zugriffssperre.

Zeit sparen und Compliance sichern durch automatisiertes Auditing

Neben der Rollendefinierung und dem damit verbunden Zugriffsrechtemanagement ist eine holistische Datenmanagement Applikation auch in der Lage, alle vollzogenen Zugriffsvorgänge in einem automatisierten Report auszuweisen. So erstellt beispielsweise der Auditor von Netwrix auf Knopfdruck einen Report aller Zugriffe im gewählten Zeitraum und warnt in Echtzeit vor verdächtigen Aktivitäten. So werden nicht nur Zugriffsversuche von unautorisierten Identitäten gemeldet, sondern auch berechtigte Vorgänge von unüblichen Orten. Werden sensible Unternehmensdaten beispielsweise aus Nordkorea angefordert, so erhält man ebenso eine Warnung, wie wenn der Kantinenleiter Einsicht in mit einem NDA versehene Vertragsdokumente nehmen möchte. Diese Warnfunktion stattet die firmeneigenen IT-Spezialisten mit einem effizienten Instrument aus, auch bei geringer Besetzung die Zügel nicht aus der Hand zu verlieren.

Jürgen Venhorst, Country Manager DACH, Netwrix GmbH

Hilfe

Haben Sie Fragen zur Onlinekennung und der freien Verfügbarkeit von Online-Fachbeiträgen, dann wenden Sie sich bitte per E-Mail an:
abo-service@hanser.de