Die beiden Abkürzungen DSGVO und GoBD haben Sie sicherlich schon öfter gehört.
Aber was bedeuten sie und was verbirgt sich überhaupt dahinter?
DSGVO steht für Datenschutzgrundverordnung. Die Verordnung ist seit dem 25. Mai 2018 aktiv und gibt rechtlich vor, was bei der Aufnahme, Verarbeitung und Lagerung von personenbezogenen Daten alles beachtet werden muss.
Zudem wird vorgeschrieben, welchen Pflichten die Unternehmen, die personenbezogene Daten aufnehmen, pflegen, bearbeiten und lagern, nachkommen müssen.
Im Folgenden werden wir Ihnen erläutern, welche Maßnahmen warum benötigt werden.
Zugriffsverwaltung
Es muss sichergestellt werden, dass das Firmennetzwerk so aufgestellt ist (mit den technisch möglichen Mitteln), dass nicht autorisierte Zugriffe – sowohl aus dem Internet als auch lokal – verhindert werden. Damit dies gewährleistet ist, wird eine Komponente namens Firewall benötigt. Aber nicht jede Firewall ist gleich eine vollwertige Firewall. Oft hören wir die Aussage, dass der genutzte Router auch eine Firewall hat oder die genutzte Internet-Security-Software eine Firewall integriert hat. Ja, haben sie. Aber einen ausreichenden Schutz bieten diese nicht. Warum? Ganz einfach:
Wenn Sie jemanden Fremdes aus Ihrem Netzwerk fernhalten möchten, lassen Sie diesen gar nicht erst in Ihr Netzwerk hinein. Eigentlich logisch. Wie sollen also diese Komponenten, welche bereits im Netzwerk sind, den Schutz, welche eine Firewall verspricht, bieten? Können sie nicht.
Um den richtigen Schutz bieten zu können, muss die Firewall zwischen dem Modem/Router und dem Firmennetzwerk angebunden werden, um kontrollieren und verwalten zu können, wer oder was aus oder in das Netzwerk zugreifen möchte.
Bei einer Router-Firewall oder einer Software-Firewall sind die Möglichkeiten zudem stark begrenzt. Die Kontrolle darüber, wer was machen darf ist nicht gegeben. Es können lediglich Ports geöffnet oder geschlossen werden. Mit einer dedizierten Firewall sind weitaus mehr Möglichkeiten vorhanden – so kann kontrolliert und überwacht werden, welche IP-Adressen und Geräte worauf zugreifen und diese ggf. beschränken oder gar nicht zulassen. Somit wird eine um vielfach höhere Sicherheit gewährleistet.
Daher empfehlen wir allen Unternehmen, sich Gedanken über die Nutzung einer Hardware-Firewall zu machen.
Sicherheitslücken und Updates
Die genutzten Systeme (Server, PCs, Notebooks) müssen immer auf dem aktuellen Stand sein, um die täglich wachsende Anzahl an Sicherheitslücken zu schließen. Warum? Weil die Sicherheitslücken das Eindringen von Viren/Malware erst ermöglichen – Wie eine brüchige Tür zu einem verschlossenen Zimmer. In der DSGVO wird…
„ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.“ (DSGVO Artikel 32 Absatz 1 d) verlangt.
Es muss daher sichergestellt werden, dass die Betriebssysteme sowie die genutzten Softwareprodukte immer mit den vom Hersteller zur Verfügung gestellten Sicherheitsupdates (Patches) gepflegt werden.
Softwareprodukte, die vom Hersteller nicht mehr unterstützt werden und noch eine Verbindung zum Internet haben, stellen dementsprechend eine sehr große Gefahrenquelle dar.
Stellen Sie sicher, dass die Sicherheitsupdates für die verwendeten Softwareprodukte immer auf dem aktuellen Stand sind. Wir haben ein Konzept, welches diese Prozesse ohne ein Zutun Ihrerseits automatisiert durchführt; das Patchmanagement.
Dabei werden alle Sicherheitsupdates vorerst auf bekannte Fehler überprüft und erst dann automatisiert auf Ihre Systeme aufgespielt. Alle Systeme werden somit auf die aktuelle Version angehoben und die Sicherheitslücken werden sofort geschlossen. Damit wird sehr viel Zeit gespart und kein Sicherheitsupdate geht unter.
Das Patchmanagement ist eine der Bausteine unserer Server- und Clientwartungspakete.
Datensicherung
Die genutzten und gelagerten personenbezogenen Daten müssen per Datensicherung gesichert werden (Backup), um die Datensicherheit zu gewährleisten. In der DSGVO wird folgendes verlangt:
„die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen.“ (DSGVO Artikel 32 Absatz 1 b)
„die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.“ (DSGVO Artikel 32 Absatz 1 c)
Wenn die Daten durch ein Unglück (Wasserschaden, Feuerschaden, Erdbeben, etc.) oder Einbruch abhanden kommen und/oder die Systeme komplett zerstört sind, muss eine Datensicherung bereitstehen, um im besten Falle alle Daten (Kundendaten, Auftragsdaten, Rechnungsdaten, etc.) wiederherzustellen.
Bei so einem Notstand kann aber auch die lokale Datensicherung verschwinden oder unbrauchbar werden. Um dies zu vermeiden, ist eine externe Datensicherung unabdingbar, da die Daten an einem anderen Standort liegen. Im Idealfall verwenden Sie eine externe Datensicherung in der Cloud. Die Sicherung liegt in einem deutschen Rechenzentrum mit besonders hohen Schutzanforderungen und ist jederzeit erreichbar. Die Übertragung erfolgt verschlüsselt und durch die Automatisierung fallen menschliche Fehler komplett weg. Allen Unternehmen, welche noch keine Cloud-Datensicherung haben, können wir dies nur dringendst empfehlen – wenn die Daten sonst weg sind, sind sie weg.
Cloud-Lösungen außerhalb der EU
Die Standorte der Rechenzentren für die genutzten Cloud-Lösungen müssen sich innerhalb der EU befinden. Hierzu zählen Lösungen wie File-Cloud (z.B. OneDrive, DropBox, iCloud, etc.), Cloud-Backup, Cloud-Telefonie oder gar die komplette Infrastruktur in der Cloud (IaaS). Warum das so ist?
Die DSGVO schreibt vor, dass die personenbezogenen Daten die EU-Grenzen nicht verlassen dürfen, um einen bestimmten Standard an Datenschutz zu gewährleisten. Laut DSGVO erfüllen die Länder außerhalb der EU die nötigen Datenschutz-Standards nicht. Dementsprechend sind Cloud-Lösungen, dessen Rechenzentren sich in den USA, China, etc. befinden, für eine Auslagerung von personenbezogenen Daten nicht zulässig und verstoßen gegen die Datenschutzgrundverordnung.
Daher achten Sie immer darauf, dass Ihre Cloud-Dienste sich in den EU-Ländern befinden (idealerweise in Deutschland).
Potenter Virenschutz
Laut heise.de tauchen täglich über 390.000 (!) neue Viren im Internet auf und werden bekanntgegeben. Ist ein Virus erst einmal auf einem System (PC, Server, etc.) im Firmennetzwerk, kann es großen Schaden verursachen und das Unternehmen sehr schnell lahmlegen. Das kann durch Systembeeinflussung, Datenverschlüsselung (Erpressung) und Datenverlust verursacht werden. Damit die Systeme dagegen gewappnet sind, ist eine potente Antivirensoftware ein muss. Ist die Antivirenlösung nicht auf dem aktuellen Stand, kann es dazu kommen, dass ein Virus, obwohl eine adäquate Antivirenlösung auf den Systemen läuft, ein System infizieren kann. Warum? Weil die Antivirenlösung das Virus nicht kennt und dementsprechend nicht als Bedrohung wahrnimmt.
Die Antivirenlösung muss also stets auf dem aktuellen stand sein, damit die Systeme stets auf alle neuen Viren und Malware eingestellt sind und diese schnellst möglichst erkennen können, bevor die Systeme infiziert sind.
Eine zentral verwaltete Antiviruslösung ist hierbei eine ideale Lösung. Alle Updates werden automatisiert aufgespielt und die Antivirenlösung ist immer auf die neuesten Viren eingestellt. Zudem wird ein Fund sofort analysiert und behandelt – damit ist sichergestellt, dass keine Auffälligkeiten und Meldungen untergehen.
Eine zentral verwaltete Antivirenlösung ist ein Baustein von unseren Server- und Clientwartungspaketen.
Nun zu GoBD
GoBD steht für Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff.
Es ist dabei gesetzlich geregelt, wie lange und in welchem Umfang Dokumente und Belege im Unternehmen aufbewahrt werden müssen. Die Regelungen betreffen alle Unternehmensformen.
Alle geschäftsrelevanten Dokumente und Belege müssen ab Erhalt über den vorgeschriebenen Aufbewahrungszeitraum archiviert werden. Revisionssicher.
Revisionssicher bedeutet, dass das Original aufbewahrt werden muss und nicht verändert werden darf. Bei physikalischen Dokumenten ist das nichts neues. Wie sieht es denn mit E-Mails aus? Da gilt das Gleiche. Hat man eine geschäftsrelevante E-Mail erhalten, muss die E-Mail revisionssicher archiviert werden, da sie das Original darstellt.
Jeder Unternehmer muss also alle geschäftsrelevante E-Mails und daran angehängte Dateien(Rechnungen, ggf. Angebote, etc.) revisionssicher archivieren.
Ein Ausdrucken und Archivieren der E-Mail sowie der Anlagen wird von den zuständigen Behörden nicht akzeptiert. Was muss also geschehen, damit die E-Mails revisionssicher (somit rechtssicher) archiviert werden können?
Die ein- und ausgehenden E-Mails müssen, bevor sie dem Empfänger zugestellt werden, in einem Archivpostfach archiviert und dann erst dem Empfänger zugestellt werden. Damit wird sichergestellt, dass die E-Mails vor dem Erhalt und Zugriff des Nutzers archiviert sind und keine Manipulation möglich ist. Erst dann haben Sie eine revisionssichere E-Mail-Archivierung und sind rechtlich gut gewappnet.
Sollten Sie als Unternehmen noch keine revisionssichere E-Mail-Archivierung haben, holen Sie dies rechtszeitig nach – hierbei geht es nicht um könnte, sondern ein muss.
Sollten Sie Fragen haben oder wir Ihnen helfen können, die einzelnen Punkte anzugehen, steht das CSB-Team Ihnen mit Rat und Tat zur Seite.