Datenschutz Mit wenigen Schritten zu mehr Cybersicherheit

Ein Gastbeitrag von Michael Hollauf*

Viele Firmen schenken dem Thema Datensicherheit noch nicht genug Aufmerksamkeit. Diese Fahrlässigkeit kostet im Zweifel nicht nur Geld, sondern auch die Reputation. Dabei lassen sich sensible Informationen mit wenigen gezielten Maßnahmen besser schützen.

Anbieter zum Thema

Mit einer erhöhten Cyber-Security-Awareness lassen sich Attacken schon frühzeitig verhindern.
Mit einer erhöhten Cyber-Security-Awareness lassen sich Attacken schon frühzeitig verhindern.
(Bild: gemeinfrei / Pixabay )

Durch die neue hybride Arbeitswelt ergeben sich für Unternehmen, egal welcher Größe, ganz neue Herausforderungen, wie etwa beim Thema Cybersicherheit und Datenschutz. Denn die neue Realität ist digitaler geworden: So arbeiten Teams nicht mehr ausschließlich zusammen im Büro, sondern sind verteilt an vielen verschiedenen Standorten. Mit dem Ergebnis, dass Mitarbeiter über unsichere private Geräte auf Geschäftsanwendungen zugreifen, die oftmals schlechter geschützt sind, als die firmeneigenen. Dadurch ist eine unübersichtliche Schatten-IT entstanden, die Einfallstore für Cyberattacken bietet. Aber auch die zunehmende Nutzung von Cloud-Anwendungen ist ein potenzielles Risiko. Das ist zumindest dann der Fall, wenn keine klaren Sicherheitsrichtlinien und -maßnahmen bestehen.

Risikofaktor Mensch

Doch nicht nur die verwendete IT stellt ein Sicherheitsrisiko daher, sondern auch der Mensch kann eine Schwachstelle beim Schutz sensibler Informationen sein. So werden beim Social Engineering menschliche Eigenschaften wie Hilfsbereitschaft oder Vertrauen von Cyberkriminellen ausgenutzt, um gezielt zu manipulieren. Die jeweilige Zielperson wird dazu verleitet, vertrauliche Informationen wie Passwörter weiterzugeben, Überweisungen zu tätigen oder Schadsoftware auf Firmensoftware zu installieren. Zwar setzten laut dem Digitalverband Bitkom 2021 bereits 60 Prozent der Unternehmen auf eine abhörsichere Sprachkommunikation, ein Plus von vier Prozent gegenüber dem Vorjahr. Immerhin 41 Prozent greifen auf einen verschlüsselten E-Mail-Verkehr zurück, und damit ein Prozent mehr als 2019. Fakt ist jedoch, dass Social Engineering bei Kriminellen sehr beliebt ist. Unternehmen sollten diese Gefahr keineswegs unterschätzen. So gaben 27 Prozent der befragten Unternehmer aus Deutschland an, dass ihre Mitarbeiter im letzten Jahr telefonisch mit Social Engineering beeinflusst worden seien. Bei 24 Prozent geschah dies per E-Mail.

Cyberattacken nehmen zu

Angesichts der Herausforderungen, die die neue Arbeitswelt mit sich bringt, sind Unternehmen gefordert, agil zu reagieren. Die Realität zeichnet jedoch ein anderes Bild: Laut einer aktuellen Accenture-Studie sind 55 Prozent der Unternehmen immer noch unzureichend vor digitalen Angriffen geschützt. So ein fahrlässiges Verhalten begünstigt Cyberattacken, wodurch das Risiko von Datenverlust sowie Betriebsunterbrechungen steigt. Das Bundeskriminalamt konnte in Deutschland für 2020 beispielsweise rund 108.000 Delikte im Bereich von Cyberkriminalität verzeichnen – eine Steigerung von 7,9 Prozent im Vergleich zu den 2019 erfassten Fällen.

Der Datenverlust stellt zudem ein hohes Risiko dar, weil digitale Informationen Einblicke zu Kunden und ihr Nutzungsverhalten geben. Dieses Wissen ermöglicht es, sie noch besser zu verstehen und Produkte oder Dienstleistung entsprechend anzupassen. Andererseits lassen sich durch die Analyse von Daten Geschäftsprozesse optimieren und beispielsweise Ausfallzeiten reduzieren.

Das Thema Vertrauen spielt im Zusammenhang mit Daten eine wichtige Rolle. Der Verlust von sensiblen Informationen, wie etwa in Bezug auf Kunden, kann schnell in zu einem Reputationsschaden führen. Unternehmen sollten den Wert ihrer Daten daher nicht verkennen und in entsprechende Schutzmaßnahmen investieren.

Serverstandort Deutschland und Schutz sensibler Daten

Mit Blick auf Software, die von externen Dienstleistern bezogen wird, sollten Unternehmen darauf achten, dass die jeweiligen Anbieter ein Regelwerk besitzen, das auf die Geschäftstätigkeiten abgestimmt ist. Auch eine aktuelle ISO-27001-Zertifizierung ist ein guter Hinweis, ob der Provider gewissenhaft mit diesen Themen umgeht. ISO-27001 ist ein internationaler Standard für Informationssicherheit. Ein bestandener Test zeigt, dass sich der jeweilige Anbieter umfassend und risikobasiert um den Schutz von Daten kümmert. Das Zertifikat wird regelmäßig von einer unabhängigen Stelle überprüft.

Um in Zeiten von Remote Work eine sichere Zusammenarbeit zu gewährleisten, sollten Unternehmen bei der Auswahl der passenden Softwaretools aber noch einige weitere Kriterien berücksichtigen. Dazu gehört etwa der Serverstandort. Während mit der Datenschutz-Grundverordnung (kurz: DSGVO) in der Europäischen Union ein hohes Datenschutzniveau erreicht wird, ist dies in den USA nicht unbedingt der Fall. So können US-Sicherheitsbehörden ohne richterlichen Beschluss auf Daten von Unternehmen zugreifen, wenn diese Dienste von Cloud-Anbietern in Anspruch nehmen. Die Überwachung nicht ausreichend verschlüsselten Daten kann nicht ausgeschlossen werden. Befindet sich der Serverstandort hingegen in Deutschland, ist dies ein wichtiges Pro-Argument für ein Tool. Dies gilt beispielsweise für das Unternehmen Fischer Akkumulatorentechnik, das sich bereits 2017 aufgrund des Serverstandortes für das Task-Management-Tool Meister Task entschied. Der Grund: Die Daten der Nutzer werden bei Meister DSGVO-konform auf einem Server in Frankfurt gespeichert. Letzte Bedenken konnten durch einen Auftragsverarbeitungsvertrag beseitigt werden. Ein solcher Vertrag nach DSGVO regelt die Rechte und Pflichten von Auftraggeber und -nehmer im Rahmen der Datenverarbeitung innerhalb eines bestimmten IT-Prozesses.

Software sollte flexibel auf individuelle Anforderungen anpassbar sein

Auch was die Funktionalität betrifft, sollten Kollaborationstools den Schutz sensibler Daten priorisieren. Etwa indem bei Projekten die Möglichkeit besteht, verschiedene Zugangslevels und Rollen wie Administrator, Mitglied oder Kommentator zu vergeben. Die jeweiligen Projektmanager können diese Rollen Personen zuteilen, diese bei Bedarf anpassen oder neue Mitglieder hinzuzufügen. Auf diese Weise haben alle Personen Zugang zu den Informationen, die sie benötigen.

Es sind jedoch nicht nur die großen Maßnahmen, die zählen. Datensicherheit beginnt schon im Kleinen: Unternehmen sollten proaktiv handeln und darauf achten, dass ihre Antivirensoftware und andere Sicherheitsanwendungen auf dem neuesten Stand sind. Um die Daten in der Cloud vor Einblicken Dritter und Datendieben zu schützen, empfiehlt es sich, die Zugänge mit starken Authentifizierungsmechanismen wie der Zwei-Faktor-Authentifizierung zu versehen. Sicherheitsstandards für jeden Unternehmensbereich festzulegen ist ebenfalls empfehlenswert.

Das digitale Sicherheitsbewusstsein des Teams ist entscheidend

All diese Maßnahmen verlieren allerdings ihre Wirkung, wenn die Mitarbeiter nicht ausreichend geschult und sensibilisiert für mögliche Angriffe auf Geschäftsanwendungen und ihre Folgen sind. Verhindern lässt sich das mit einer erhöhten Cyber-Security-Awareness. Für einen möglichst effizienten Schutz gegen Angriffe von außen sollten Maßnahmen in Form von Schulungen in jedem Betrieb gefördert werden. Generell sollte beim Thema Datensicherheit nicht nach Überbrückungslösungen oder Quick Wins gesucht werden. Stattdessen gilt es, langfristige digitale Lösungen zu finden.

* Michael Hollauf ist Mitgründer und Managing Director der Meister Labs.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:48126641)