Acht elementare Schritte zur Datensicherheit im ­Unternehmen

Pierre Gronau

Gorodenkoff/Getty Images

Unternehmen müssen ihre individuelle Digitalisierungsstrategie heute in einer Wirtschaftswelt verankern, die sich schneller verändert, als sie ihre Dateien und Daten schützen kann. Weder existieren Patentrezepte noch eine magische Lösung, um Datenverstöße zu verhindern. Obwohl IT-Sicher­heitsverantwortliche bereits Maßnahmen ergreifen und pro­aktiv handeln, nimmt die Zahl an Datenschutzverletzungen von Jahr zu Jahr zu – ein unendliches Katz-und-Maus-Spiel. Jedes Mal, wenn Verantwortliche neue Methoden zum Schutz einführen, sind ihnen Kriminelle dicht auf den Fersen und finden Wege, diese Schutzmaßnahmen zu umgehen. Neben diesen externen Bedrohungen verursachen auch Mitarbeiter von innen Lecks, sei es unbeabsichtigt oder vorsätzlich.

Illustration Lukas Liebhold
Illustration Lukas Liebhold
Quelle: Gronau IT Cloud Computing

Kanäle, über die Hacker wertvolle Informationen erhalten, gibt es mehr als genug. Die häufigsten Daten, die Cyberkriminelle entwenden, sind Namen, Geburtsdaten, Sozialversicherungsnummern und Kreditkartennummern. Gesundheitsinformationen gelten als die wertvollsten Daten auf dem Schwarzmarkt und im dunklen Netz. Eine Sozialversicherungsnummer kostet etwa 15 US-Dollar und die Gesundheitsdaten von Einzelpersonen verkaufen sich für bis zu 200 Dollar.

Um Datenschutzverletzungen zu verhindern, müssen IT-Verantwortliche effektive Methoden entwickeln, die die Grundlagen der Cybersecurity abdecken. Die folgende Aufzählung beschreibt elementare Maßnahmen, die Unternehmer mindestens vornehmen sollten, um Verletzungen der Datensicherheit vorzubeugen.

1. Informationen schützen:

Nicht alle Daten sind hochsensibel, dienen aber Dieben als ­Puzzleteil, um ein größeres Bild zu erhalten. Als Best Practice empfiehlt sich, Daten dort zu schützen, wo Mitarbeiter sie speichern (data at rest), senden (data in transit) oder verwenden (data in use).

2. Datenlecks durch externe Geräte:

Sicherheitsbewusste Unternehmen gestatten es Mitarbeitern nicht, Daten von einem Gerät auf ein externes Gerät zu übertragen oder zu teilen. Sobald ein externes Speichermedium abhandenkommt, steht einem Informationsdiebstahl nichts mehr im Weg. Müssen Daten unbedingt von einem Device auf ein anderes wechseln, schützt nur Verschlüsselung.

Illustration Lukas Liebhold
Illustration Lukas Liebhold
Quelle: Gronau IT Cloud Computing

3. Berechtigungen beschränken:

Medien berichteten kürzlich von einem Fall, in dem ein Bundesbeamter ein US-Regierungsnetz mit Malware infizierte, nachdem er mehrere Tausend pornografische Bilder, Videos und dabei auch Malware heruntergeladen hatte. Wohlbemerkt bei der Arbeit und auf seinen Firmencomputer. An vielen Stellen ergeben Einschränkungen von Berechtigungen Sinn, denn neben gefährlichen Downloads möchten Firmenchefs nicht, dass beispielsweise der Hausmeister die Gewinn- und Verlustrechnungen einsieht. Solche Berechtigungen gehören in die Hände von Verantwortlichen, die mit sensiblen Firmendaten arbeiten und Anmeldevorgänge verfolgen. Dies durchzusetzen, verhindert nicht nur Probleme in der Zukunft, sondern hält auch transparent, wer wann auf welche Daten zugegriffen hat.

4. Sicheres Löschen alter Daten:

Verantwortliche handeln richtig, wenn sie alle Dateien und ­Ordner vollständig löschen, bevor sie Computer und Massenspeicher entsorgen. Viele Anwendungen, die Informationen abrufen können, existieren nach dem Löschvorgang weiter. Festplatten ­bestehen nämlich aus einem physischen Datensatz, bei dem die Daten bis zum Überschreiben vorhanden sind. Aus diesem Grund bietet sich an, Software zu verwenden, die mehrfach löscht, schreibt und löscht, bis niemand mehr die Daten wiederherstellen kann. Hier hilft die DIN 66398:2016 - 05 in der aktuellen Ausprägung.

5. Verschlüsselung ist fundamental:

Unverschlüsselte Geräte verursachen häufig Katastrophen. Genauso gut können Privatpersonen ihren gesamten Besitz im Wohnzimmer verstauen und die Haustür offen lassen. Stellt sich in diesem Beispiel wirklich die Frage, warum und wie der Diebstahl gelingen konnte? Nicht verschlüsselte Laptops und andere tragbare Geräte heißen jeden aufmunternd willkommen, der diese Daten haben möchte. Bei Verschlüsselung verlieren sie für Kriminelle an Wert.

6. Passwörter, Passwörter, Passwörter:

Menschen sind per se bequem und verwenden mehrfach das gleiche Passwort oder eine einfache Wort-Zahlen-Kombination. Das nutzen Kriminelle aus und verkaufen Passwort-Datenbanken im dunklen Netz der großen Lecks von LinkedIn, Yahoo und vielen anderen. Käufer einer solchen Datenbank leiten sie an eine Software weiter, die automatisch versucht, sich bei Tausenden von Zielen anzumelden. Wenn dieses Passwort jedes Mal durchsickert, stehen die Chancen für Unbefugte gut, einzudringen. Die Benutzung sicherer Passwörter und deren Abänderung beim Verdacht auf Missbrauch sind elementar und einfach umzusetzen.

7. Beauftragen einer dritten Instanz, um Bedrohungen zu identifizieren:

Unabhängige Auditoren identifizieren Schwachstellen im Netz sowie verdächtige Netzaktivitäten. Sie helfen Unternehmen dabei, sich auf Krisen oder Datenlecks vorzubereiten beziehungswiese festzustellen, ob private Daten öffentlich zugänglich sind. Externe Experten unterstützen ebenfalls bei der Planung einer Abwehrreaktion. Schließlich schädigt eine hochkarätige Datenschutzverletzung nicht nur, sondern führt auch zu Klagen, Geldeinbußen ([3]) und sogar zur Geschäftsaufgabe. Daher ist es äußerst wichtig, einen Plan aufzustellen, der blitzschnelle Reaktion ermöglicht und den Schaden reduziert. Ein durchdachtes System aus Vorbereitungen, Benachrichtigungskonzepten und Maßnahmen kann den Ausschlag geben, wenn es darum geht, Folgeschäden einzudämmen.

8. Schulung und Ausbildung im Bereich Datensicherheit:

Unternehmen stehen in der Pflicht, Sensibilisierung in puncto Datenverstoß ernst zu nehmen und ihre Mitarbeiter aufzuklären. Laut Robert Mueller, FBI-Direktor, gibt es bald nämlich nur noch zwei Arten von Unternehmen: „Solche, die schon gehackt wurden, und solche, die es noch werden.“


Verwandte Artikel

Cyber Resilience Act verabschiedet

Cyber Resilience Act verabschiedet

Der nun verabschiedete Cyber Resilience Act (CRA) ist aus Sicht des Bundesamts für Sicherheit in der Informationstechnik (BSI) ein wichtiger Schritt, um die Cybersicherheit dieser Produkte und Anwendungen signifikant zu erhöhen.

Cybersicherheit industrieller Anlagen: Australische Partnerbehörde veröffentlicht Grundsatzpapier zur OT-Cybersicherheit

Cybersicherheit industrieller Anlagen: Australische Partnerbehörde veröffentlicht Grundsatzpapier zur OT-Cybersicherheit

Der sichere Betrieb von Prozessleit- und Automatisierungstechnik (Operational Technology, OT) stellt Organisationen vor große Herausforderungen hinsichtlich der Cybersicherheit.

Wirtschaft und Verwaltung vor Cyberattacken schützen: Gesetzentwurf zur Umsetzung der EU-Richtlinie zur Netzwerk- und Informationssicherheit

Wirtschaft und Verwaltung vor Cyberattacken schützen: Gesetzentwurf zur Umsetzung der EU-Richtlinie zur Netzwerk- und Informationssicherheit

Bundesinnenministerin Nancy Faeser hat einen Gesetzentwurf vorgelegt, mit dem das deutsche IT-Sicherheitsrecht umfassend modernisiert und neu strukturiert wird.

:

Photo

Entwickung Cybercrime 2023/2024

Die Bedrohung im Cyberraum ist so hoch wie noch nie. Aber es gibt auch wirksame Präventionsmöglichkeiten und hervorragende Bekämpfungserfolge. All das lässt sich an der aktuellen Entwicklung in…