Gefahren und Risiken

Zu oft vertrauen Unternehmen in zu hohem Maße der vorhandenen Technik, ohne genau zu wissen, welche Daten in welchen Abläufen in der Firma kursieren und wo sie enden. Zu den sensiblen Daten eines Unternehmens gehören personenbezogene Daten, medizinische Informationen oder solche, die in Verbindung mit Kreditkarten stehen. Potenzielle Angreifer und Diebe können sowohl von innen als auch von außen kommen, was eine Verteidigung umso schwieriger macht. Ein entscheidender Faktor ist also zu erkennen, wer welchen Zugang zu welchen Daten haben darf, für wie lange und welche Personen dies gegebenenfalls in welcher Frequenz überprüfen. Ein Faktor, der diese ohnehin schwierige Einschätzung weiter erschwert, ist eine Verbreitung von Informationen und Daten mittels weltweiter Kommunikation und in vielerlei Fällen Kooperation. Dokumente können (und sollen) heute gleichzeitig auf den Bahamas, in Kyoto und Paderborn bearbeitet werden, in Büros, in Hotels, auf Bahnhöfen oder Zuhause. Diese schnelle, oft sehr effektive und damit ökonomisch sinnvolle Verbreitung von Daten gleichzeitig einzudämmen und kontrollieren zu wollen, ist der Knackpunkt.

Altbekannte Schwachstellen

Die Schwachstellen jedes Systems sind allgemein bekannt und bleiben dennoch gleich. Nicht klein zu kriegen ist die beispielsweise die Neugier, wenn es sich um Phishing-E-Mails handelt. Auch sind schwache Passwörter selbst im Jahr 2019 noch eine Gefahr. Und auch nach großangelegten Attacken wie der 2017 unter dem Namen WannaCry bekannt gewordenen, sorgen viele Unternehmen noch zu zögerlich an den entscheidenden Sollbruchstellen vor. Hinzu kommen immer neue sogenannte Exploits, also systematische Verfahren, welche die Schwachstellen einer Software ausnutzen, die Hackern Zugriff auf ungeschützte Daten ermöglichen.

USB-Sticks sind zwar ungemein praktisch, werden aber auch gerne verloren oder entwendet

Potenzielle Gefahrenherde

Folgende physische und virtuelle Quellen bergen Gefahren für die Datensicherheit:

• Daten auf USB-Sticks zu speichern ist zwar ungemein praktisch, die kleinen Geräte werden aber auch gerne verloren oder entwendet. Die dort gespeicherten Daten sind meistens nicht verschlüsselt.
• Laptops ohne ausreichende Verschlüsselung oder mangelhaft gesicherte VPN-Zugänge sind ein Einfallstor in das firmeneigene Netzwerk.
• Zum Werkzeugkasten jedes Unternehmens sollte in Bezug auf die Datensicherheit eine Firewall gehören, stets aktualisierte Virenscanner sowie Spamfilter. Fehlen diese, steigt die Gefahr für die Datensicherheit exponentiell.
• Jede Cloud benötigt Schutzmechanismen, die vom Anbieter verlangt werden müssen.
• Nicht zu vergessen sind traditionelle Katastrophen wie Beschädigung, Wasserschäden, Brände oder herkömmlicher Diebstahl. Kopien sind also sinnvoll, diese sollten allerdings ebenso gut geschützt aufbewahrt werden wie das Original.

Betrifft: Geschäftsleitung

Die Geschäftsführer von Unternehmen sollten sich bewusst sein, dass sie in persönlicher Haftung stehen, wenn sie...

• die Nutzung nicht lizenzierter Software durch Mitarbeiter nicht unterbinden.
• keine IT-Haftpflichtversicherung in ausreichender Deckungshöhe abgeschlossen haben.
• keine Systeme zur Erkennung bedrohlicher Entwicklungen installiert haben.
• die Geschäftsdaten nicht täglich sichern.
• die personenbezogenen Daten des Unternehmens nicht gemäß der Datenschutz-Grundverordnung verarbeitet haben.