Acht elementare Schritte zur Datensicherheit im ­Unternehmen

Unternehmen müssen ihre individuelle Digitalisierungsstrategie heute in einer Wirtschaftswelt verankern, die sich schneller verändert, als sie ihre Dateien und Daten schützen kann. Weder existieren Patentrezepte noch eine magische Lösung, um Datenverstöße zu verhindern. Obwohl IT-Sicher­heitsverantwortliche bereits Maßnahmen ergreifen und pro­aktiv handeln, nimmt die Zahl an Datenschutzverletzungen von Jahr zu Jahr zu – ein unendliches Katz-und-Maus-Spiel. Jedes Mal, wenn Verantwortliche neue Methoden zum Schutz einführen, sind ihnen Kriminelle dicht auf den Fersen und finden Wege, diese Schutzmaßnahmen zu umgehen. Neben diesen externen Bedrohungen verursachen auch Mitarbeiter von innen Lecks, sei es unbeabsichtigt oder vorsätzlich.

Kanäle, über die Hacker wertvolle Informationen erhalten, gibt es mehr als genug. Die häufigsten Daten, die Cyberkriminelle entwenden, sind Namen, Geburtsdaten, Sozialversicherungsnummern und Kreditkartennummern. Gesundheitsinformationen gelten als die wertvollsten Daten auf dem Schwarzmarkt und im dunklen Netz. Eine Sozialversicherungsnummer kostet etwa 15 US-Dollar und die Gesundheitsdaten von Einzelpersonen verkaufen sich für bis zu 200 Dollar.

Um Datenschutzverletzungen zu verhindern, müssen IT-Verantwortliche effektive Methoden entwickeln, die die Grundlagen der Cybersecurity abdecken. Die folgende Aufzählung beschreibt elementare Maßnahmen, die Unternehmer mindestens vornehmen sollten, um Verletzungen der Datensicherheit vorzubeugen.

1. Informationen schützen:

Nicht alle Daten sind hochsensibel, dienen aber Dieben als ­Puzzleteil, um ein größeres Bild zu erhalten. Als Best Practice empfiehlt sich, Daten dort zu schützen, wo Mitarbeiter sie speichern (data at rest), senden (data in transit) oder verwenden (data in use).

2. Datenlecks durch externe Geräte:

Sicherheitsbewusste Unternehmen gestatten es Mitarbeitern nicht, Daten von einem Gerät auf ein externes Gerät zu übertragen oder zu teilen. Sobald ein externes Speichermedium abhandenkommt, steht einem Informationsdiebstahl nichts mehr im Weg. Müssen Daten unbedingt von einem Device auf ein anderes wechseln, schützt nur Verschlüsselung.

3. Berechtigungen beschränken:

Medien berichteten kürzlich von einem Fall, in dem ein Bundesbeamter ein US-Regierungsnetz mit Malware infizierte, nachdem er mehrere Tausend pornografische Bilder, Videos und dabei auch Malware heruntergeladen hatte. Wohlbemerkt bei der Arbeit und auf seinen Firmencomputer. An vielen Stellen ergeben Einschränkungen von Berechtigungen Sinn, denn neben gefährlichen Downloads möchten Firmenchefs nicht, dass beispielsweise der Hausmeister die Gewinn- und Verlustrechnungen einsieht. Solche Berechtigungen gehören in die Hände von Verantwortlichen, die mit sensiblen Firmendaten arbeiten und Anmeldevorgänge verfolgen. Dies durchzusetzen, verhindert nicht nur Probleme in der Zukunft, sondern hält auch transparent, wer wann auf welche Daten zugegriffen hat.

4. Sicheres Löschen alter Daten:

Verantwortliche handeln richtig, wenn sie alle Dateien und ­Ordner vollständig löschen, bevor sie Computer und Massenspeicher entsorgen. Viele Anwendungen, die Informationen abrufen können, existieren nach dem Löschvorgang weiter. Festplatten ­bestehen nämlich aus einem physischen Datensatz, bei dem die Daten bis zum Überschreiben vorhanden sind. Aus diesem Grund bietet sich an, Software zu verwenden, die mehrfach löscht, schreibt und löscht, bis niemand mehr die Daten wiederherstellen kann. Hier hilft die DIN 66398:2016 - 05 in der aktuellen Ausprägung.

5. Verschlüsselung ist fundamental:

Unverschlüsselte Geräte verursachen häufig Katastrophen. Genauso gut können Privatpersonen ihren gesamten Besitz im Wohnzimmer verstauen und die Haustür offen lassen. Stellt sich in diesem Beispiel wirklich die Frage, warum und wie der Diebstahl gelingen konnte? Nicht verschlüsselte Laptops und andere tragbare Geräte heißen jeden aufmunternd willkommen, der diese Daten haben möchte. Bei Verschlüsselung verlieren sie für Kriminelle an Wert.

6. Passwörter, Passwörter, Passwörter:

Menschen sind per se bequem und verwenden mehrfach das gleiche Passwort oder eine einfache Wort-Zahlen-Kombination. Das nutzen Kriminelle aus und verkaufen Passwort-Datenbanken im dunklen Netz der großen Lecks von LinkedIn, Yahoo und vielen anderen. Käufer einer solchen Datenbank leiten sie an eine Software weiter, die automatisch versucht, sich bei Tausenden von Zielen anzumelden. Wenn dieses Passwort jedes Mal durchsickert, stehen die Chancen für Unbefugte gut, einzudringen. Die Benutzung sicherer Passwörter und deren Abänderung beim Verdacht auf Missbrauch sind elementar und einfach umzusetzen.

7. Beauftragen einer dritten Instanz, um Bedrohungen zu identifizieren:

Unabhängige Auditoren identifizieren Schwachstellen im Netz sowie verdächtige Netzaktivitäten. Sie helfen Unternehmen dabei, sich auf Krisen oder Datenlecks vorzubereiten beziehungswiese festzustellen, ob private Daten öffentlich zugänglich sind. Externe Experten unterstützen ebenfalls bei der Planung einer Abwehrreaktion. Schließlich schädigt eine hochkarätige Datenschutzverletzung nicht nur, sondern führt auch zu Klagen, Geldeinbußen ([3]) und sogar zur Geschäftsaufgabe. Daher ist es äußerst wichtig, einen Plan aufzustellen, der blitzschnelle Reaktion ermöglicht und den Schaden reduziert. Ein durchdachtes System aus Vorbereitungen, Benachrichtigungskonzepten und Maßnahmen kann den Ausschlag geben, wenn es darum geht, Folgeschäden einzudämmen.

8. Schulung und Ausbildung im Bereich Datensicherheit:

Unternehmen stehen in der Pflicht, Sensibilisierung in puncto Datenverstoß ernst zu nehmen und ihre Mitarbeiter aufzuklären. Laut Robert Mueller, FBI-Direktor, gibt es bald nämlich nur noch zwei Arten von Unternehmen: „Solche, die schon gehackt wurden, und solche, die es noch werden.“