Technisch organisatorische Maßnahmen (TOM) - Schutz für Ihre IT-Infrastruktur

Technisch organisatorische Maßnahmen (TOM) sind ein wichtiger Bestandteil des Datenschutzmanagements in Unternehmen. Sie dienen dazu, die IT-Infrastruktur zu schützen und die Sicherheit von Daten zu gewährleisten.

Damit stellen diese Maßnahmen das digitale Äquivalent zu den üblichen Sicherheits- und Arbeitsschutzmaßnahmen in einem Produktionsunternehmen dar. In diesem Artikel erfahren Sie, wie Sie technisch organisatorische Maßnahmen in Ihrem Unternehmen umsetzen und welche Vorteile sie bieten.

Welchen Nutzen haben Unternehmen von der Umsetzung von TOM?

Mit technisch-organisatorischen Maßnahmen möchten Unternehmen Risiken in der Verarbeitung personenbezogener Daten minimieren. Das Risiko wird dabei in der Regel durch eine Kombination von Eintrittswahrscheinlichkeit und Schadensausmaß definiert. Eine Maßnahme kann dabei das Schadensausmaß reduzieren oder die Eintrittswahrscheinlichkeit verringern. Entsprechend wird auch der Nutzen von TOM definiert. Die eingesetzten Mittel sollten in einem guten Verhältnis zum reduzierten Risiko stehen.

Was sind technisch organisatorische Maßnahmen?

Technisch organisatorische Maßnahmen (TOM) sind Maßnahmen, die dazu dienen, die Sicherheit von Daten und IT-Systemen zu gewährleisten. Sie umfassen sowohl technische als auch organisatorische Maßnahmen und dienen dazu, die Vertraulichkeit, Integrität und Verfügbarkeit von Daten zu gewährleisten. Zu den technischen Maßnahmen gehören z.B. die Verschlüsselung von Daten, die Implementierung von Firewalls und Virenschutzprogrammen sowie die regelmäßige Aktualisierung von Software. Organisatorische Maßnahmen umfassen z.B. die Schulung von Mitarbeitern im Umgang mit sensiblen Daten, die Erstellung von Sicherheitsrichtlinien und die Durchführung von regelmäßigen Sicherheitsaudits.

Wichtig ist dabei, dass Maßnahmen immer im Verbund betrachtet werden müssen. Einzelne Maßnahmen können zwar die Sicherheit erhöhen, eine technische Maßnahme sollte jedoch immer durch eine organisatorische Maßnahme ergänzt werden. Meist sind diese organisatorischen Maßnahmen auch die kostengünstigeren und effektiveren Maßnahmen. Der Kauf einer Firewall ist zwar schnell getätigt, die Konfiguration und regelmäßige Überprüfung der Firewall sollten dann aber nicht vernachlässigt werden. Hier kann ggf. bei der Hardware eingespart werden, um die Konfiguration und Überprüfung zu finanzieren.

Bei der Auswahl und Umsetzung von Maßnahmen sollte man immer Maßnahmen bevorzugen, die einen breiten Schutz bieten. Bevor man die Passwortqualität in einzelnen Systemen mit komplexen Regeln erhöht, sollte man einen Passwortmanager einführen, der die Passwörter zentral verwaltet und die Passwortqualität überwacht. Daneben sollten die Nutzer in der Nutzung des Passwortmanagers geschult werden. Erst danach sollte man die Qualität der Passwörter in den einzelnen Systemen überprüfen und ggf. anpassen. Fordern Sie als Kunde immer eine Einschätzung der Breitenwirkung vor der Entscheidung für eine Maßnahme ein. Der Dienstleister sollte in der Lage sein, die Breitenwirkung der Maßnahme zu erläutern und ggf. Alternativen aufzuzeigen.

Präventive, erkennende und reaktive Maßnahmen

Neben der Unterscheidung in technische und organisatorische Maßnahmen können TOM auch in präventive, erkennende und reaktive Maßnahmen unterteilt werden. Präventive Maßnahmen dienen dazu, Sicherheitsvorfälle zu verhindern, Detektive Maßnahmen dienen dazu, Sicherheitsvorfälle zu erkennen und reaktive Maßnahmen dienen dazu, auf Sicherheitsvorfälle zu reagieren.

Präventiven Maßnahmen sollte hierbei immer Priorität eingeräumt werden, da sie dazu dienen, Sicherheitsvorfälle zu verhindern, bevor sie eintreten. Entsprechend entstehen dann auch keine Schäden oder Betriebsunterbrechungen, die durch erkennende oder reaktive Maßnahmen behoben werden müssen. Auch die Kosten für präventive Maßnahmen sind in der Regel geringer als die Kosten für erkennende oder reaktive Maßnahmen. Als präventive Maßnahmen können z.B. die Implementierung von Backups und Virenschutzprogrammen, die Schulung von Mitarbeitern im Umgang mit sensiblen Daten oder die regelmäßige Aktualisierung von Software genannt werden. Auch regelmäßige Notfall- und Sicherheitsübungen können dazu beitragen, Sicherheitsvorfälle zu verhindern.

Erkennende Maßnahmen dienen dazu, Sicherheitsvorfälle möglichst frühzeitig zu erkennen und damit den Schaden zu reduzieren. Damit wird beispielsweise die Ausbreitung einer Schadsoftware im Netz frühzeitig unterbunden oder die Zugangsdaten eines Mitarbeiters frühzeitig gesperrt. Erkennende Maßnahmen können z.B. die Implementierung von Intrusion Detection Systemen (IDS) oder Security Information and Event Management (SIEM) Systemen sein. Auch ein umfassendes Monitoring der Infrastruktur kann zu einer frühzeitigen Erkennung von Sicherheitsvorfällen beitragen, da so ungewöhnliches Verhalten von Systemen oder Nutzern frühzeitig erkannt werden kann. Gerade die Überwachung von Nutzeraktivitäten muss umfassend mit einem eventuell vorhandenen Datenschutzbeauftragten abgestimmt werden, da hier schnell in die Persönlichkeitsrechte der Mitarbeiter eingegriffen werden kann.

Reaktive Maßnahmen dienen dazu, auf Sicherheitsvorfälle zu reagieren und den Schaden zu begrenzen. Dazu gehören z.B. die Sperrung von Zugangsdaten, die Wiederherstellung von Daten aus Backups oder die Kommunikation mit den Betroffenen. Reaktive Maßnahmen sind immer das letzte Mittel. Sie verursachen in der Regel hohe Kosten und auch die Reputation des Unternehmens kann durch reaktive Maßnahmen Schaden nehmen. Für die Absicherung dieser Schäden sollten Unternehmen den Abschluss einer Cyberversicherung in Betracht ziehen. Diese kann die Kosten für die Wiederherstellung von Daten, die Kommunikation mit den Betroffenen und die Wiederherstellung der Reputation des Unternehmens übernehmen. Gerade für die Kommunikation mit den Betroffenen sollten frühzeitig entsprechend spezialisierte Dienstleister mit einbezogen werden, da hier schnell Fehler gemacht werden können, die den Schaden noch vergrößern.

Fazit

Technisch organisatorische Maßnahmen (TOM) sind ein wichtiger Bestandteil des Datenschutzmanagements in Unternehmen. Sie dienen dazu, die IT-Infrastruktur zu schützen und die Sicherheit von Daten zu gewährleisten. Durch die Umsetzung von TOM können Unternehmen Risiken minimieren und die Vertraulichkeit, Integrität und Verfügbarkeit von Daten sicherstellen. Präventive Maßnahmen sollten dabei immer Priorität eingeräumt werden, da sie dazu dienen, Sicherheitsvorfälle zu verhindern, bevor sie eintreten. Erkennende und reaktive Maßnahmen dienen dazu, Sicherheitsvorfälle frühzeitig zu erkennen und darauf zu reagieren. Unternehmen sollten die Umsetzung von TOM als Investition in die Sicherheit und den Schutz ihrer Daten betrachten und regelmäßig überprüfen, ob die Maßnahmen noch aktuell und wirksam sind.

Organisatorische Maßnahmen sind dabei oft kostengünstiger und effektiver als technische Maßnahmen. Sie sollten daher immer bevorzugt werden. Bei der Auswahl und Umsetzung von Maßnahmen sollten Unternehmen darauf achten, dass die Maßnahmen einen breiten Schutz bieten und im Verbund betrachtet werden. Die Breitenwirkung einer Maßnahme sollte immer vor der Entscheidung für eine Maßnahme eingeschätzt werden. Schlussendlich sollten präventive Maßnahmen immer mit hoher Priorität umgesetzt werden.

Wenn Sie Fragen zur Gestaltung oder Auswahl von technisch organisatorischen Maßnahmen haben, sprechen Sie uns gerne an. Wir beraten Sie gerne und unterstützen Sie bei der Umsetzung von TOM in Ihrem Unternehmen.