365 Tage im Jahr: Solutions, Knowledge und Networking.
Finden und bieten Sie innovative IT-Security-Lösungen, nehmen Sie an unserem vielfältigen Action-Programm teil und knüpfen & pflegen Sie Kontakte.
Werden Sie Teil der it-sa 365 Community!
Damit Sie einen Termin vereinbaren können, wird der Kalender auf dem persönlichen Profil Ihres Ansprechpartners in einem neuen Tab geöffnet.
Damit Sie einen Vor-Ort-Termin vereinbaren können, wird die Terminanfrage in einem neuen Tab geöffnet.
Daten gehören zu den wichtigsten Ressourcen, die ein Unternehmen, eine Organisation, eine öffentliche Einrichtung oder eine Privatperson besitzt. Diese wichtigen Informationen dürfen nicht in die Hände unbefugter Dritter geraten. In der heutigen Zeit lassen sich nicht nur Computer, sondern auch viele andere Geräte und sogar ganze Industrien mit dem Internet verbinden. Die Notwendigkeit einer adäquaten Datensicherheit im Unternehmen wird deswegen immer dringlicher.
1. Datensicherheit: Definition
2. Datenschutz und Datensicherheit – Das sind zwei Paar Schuhe!
3. Verletzung der Datensicherheit: Wo lauert die Gefahr?
4. So realisieren Sie Datensicherheit im Unternehmen
5. Industry 4.0: welche Rolle spielt Datensicherheit in der vernetzten Produktion?
6. Datensicherheit: Maßnahmen im Homeoffice
7. Was tun, wenn das Datensicherheitskonzept gescheitert ist
Hacker bzw. Cyberkriminelle richten mit gestohlenen Daten auf vielerlei Arten Schäden an:
Die Konsequenzen für die Opfer sind oft verheerend. Sie sind gezwungen, kompromittierte Daten und Konten zu identifizieren und neu abzusichern. Unautorisierte Käufe müssen rückgängig und Kreditkarten ausgetauscht werden.
Für Unternehmen können zudem Kosten für Anwälte, Bußgelder, Rückzahlungsforderungen von Kunden entstehen. Wie hoch diese Kosten sein können, zeigt die Studie „Cost of a Data Breach“ der IMB Deutschland GmbH. Die Image-Schäden ziehen langfristige Folgen nach sich: Je nachdem, wie öffentlich und umfangreich der Datenverlust ausfällt, überlegen künftige potenzielle Kunden gründlich, ob sie sensible Informationen an die jeweilige Firma weitergeben. Jobverluste von verantwortlichen Mitarbeitern und aufwendige personelle Neustrukturierungen sind weitere mögliche Szenarien.
Strategien, Technologien und Maßnahmen zur Datensicherheit im Unternehmen, sollten deswegen ein wesentlicher Bestandteil einer jeden Geschäftsstrategie sein. Das gilt für bereits etablierte Unternehmen genauso wie für kleine Startups oder mittelständische Firmen. Denn insbesondere kleinere Unternehmen können sich Verluste dieser Art in vielen Fällen nicht leisten und müssen Datensicherheit daher priorisieren.
Datenverluste und Datendiebstahl ziehen also weitreichende Konsequenzen nach sich.
Deswegen ist selbst bei den kleinsten Details größte Vorsicht gefragt. Im Grunde gibt es zwei Hauptschwachpunkte, die zu Datenlecks führen:
Insbesondere neue Technologien weisen immer mehr Verbindungspunkte zum Internet auf. Das bedeutet, dass sich für Kriminelle mehr Angriffsmöglichkeiten bieten, an denen sie ansetzen können. Damit sind nicht nur Computer, Smartphones oder Tablets gemeint. Vor allem moderne, oftmals mangelhaft abgesicherte IoT-Geräte stellen ein leichtes Ziel für Cyberkriminelle dar. Smarte Hacker verschaffen sich hierüber relativ einfach einen Zugang zum gesamten Netzwerk.
Selbst wenn alle Systeme auf der technischen Ebene ausreichend oder sogar gut abgesichert sind, bleibt der Mensch als Unsicherheitsfaktor bestehen. Datenlecks entstehen durch Unachtsamkeit oder weil Nutzer eines Computersystems oder Netzwerks keine ausreichende Sicherheitsstrategieanwenden.
Es geschieht gelegentlich, dass ein Arbeitskollege oder ein Besucher einen unautorisierten Blick auf einen Monitor oder Zugang zu wichtigen Bereichen erhält. Üblicherweise werden in einem solchen Fall keine Daten an Dritte weitergeben. Die Datensicherung wird im strengen Sinne durch solche Geschehnisse dennoch verletzt.
Aber auch Mitarbeiter, ehemalige Angestellte, Geschäftspartner oder andere Insider mit einem Zugang zum System, können diese Einblicke für böswillige Zwecke nutzen.
Gestohlene oder verlorene, nicht ausreichend verschlüsselte Endgeräte stellen ebenfalls eine Gefahrenquelle dar.
Lesen Sie außerdem im Whitepaper: Vermeidung der 5 häufigsten Probleme in puncto Datensicherheit.
Cyberkriminelle setzen unterschiedliche Angriffsstrategien ein, um an persönliche und nicht-persönliche Daten zu gelangen:
Vage Sicherheitsmaßnahmen helfen auf Dauer nicht effektiv gegen Datendiebstahl oder -verlust. Datensicherheit im Unternehmen muss klar und deutlich definierte Sicherheitsstrategien beinhalten. Diese sollten möglichst detailliert und umfangreich sein, damit jeder Mitarbeiter und jede Führungskraft weiß, was zu tun ist. Strategien zur Schadensbegrenzung sind essenziell, wenn es trotz aller Sicherheitsvorkehrungen zu einem Datenleck kommt. Zudem müssen Firmen ihre Praktiken stets aktualisieren. Nur so sind sie in der Lage, neue Bedrohungen abzuwehren.
Eine adäquate Absicherung gegen Malware stellt einen der Grundpfeiler einer jeden Datensicherungsstrategie dar. Hierzu gehören hochwertige Malware-Scanner, welche die Computer eines Unternehmensnetzwerkes regelmäßig überprüfen. Sie spüren verdächtige Programme auf und löschen sie, falls es notwendig ist. Darüber hinaus blockieren sie andere Schadsoftware, damit sie gar nicht erst in ein System eindringt. Eine Firewall überwacht zusätzlich den Datenaustausch eines Computers oder eines Netzwerks.
Generell sollten Mitarbeiter aber immer aufpassen, verdächtige Webseiten meiden und keine Links in E-Mails anklicken, deren Quelle sie nicht kennen. Außerdem dürfen sie keine Software von dubiosen Herstellern auf den Computer herunterladen.
Das firmeninterne WLAN-Netzwerk sollte stets gut verschlüsselt sein. Das heißt, die vorgegebenen Passwörter vom Provider müssen gegen ein nicht einfach zu erratendes Kennwort ausgetauscht werden.
Und selbst ein komplexes WLAN-Passwort benötigt ein effektives Verschlüsselungsverfahren. Unternehmen sollten sich für das ausreichend sichere WPA2-Verfahren entscheiden (gelegentlich unter WPA2-Personal oder WPA2-PSK zu finden). Bei einigen Anbietern ist sogar die noch sicherere WPA3-Verschlüsselung zu finden.
Regelmäßige Aktualisierungen der Firmware sorgen zudem dafür, dass Sicherheitslücken geschlossen werden. Kommt es tatsächlich zu ungewöhnlichen Aktivitäten innerhalb eines Netzwerks, lässt sich das Router-Protokoll kontrollieren. Es zeichnet alle Netzwerkaktivitäten auf. Zudem lohnt es sich, die Firewall eines Routers zu aktivieren. Moderne Geräte sind inzwischen standardmäßig damit ausgestattet.
Computernutzer sind bei der Passworterstellung häufig zu nachlässig. Bei der Menge an Tools, Konten, Netzwerken und Endgeräten, die einer starken Verschlüsselung bedürfen, ist das jedoch kein Wunder.
Trotzdem sind komplexe Passwörter wichtig vor dem Schutz vor Datendiebstahl. Sie sollten mindestens 8 Zeichen beinhalten, die aus Buchstaben, Sonderzeichen und Zahlen bestehen. Von Geburtsdaten (auch der Kombination mehrerer Geburtsdaten), Namen der Haustiere oder Ähnlichem ist dringend abzuraten.
Passwortmanager sind hilfreich, um willkürliche Zeichenkombinationen zu generieren und diese zu speichern. User müssen sie dann nicht jedes Mal erneut eingeben. Es gibt zahlreiche entsprechende seriöse Anbieter, denen Unternehmen vertrauen können, falls auf Firmencomputern kein eigenes entsprechendes Tool zur Verfügung steht.
Innerhalb eines Unternehmens sollte es für persönliche Endgeräte und Datenträger wie Laptops, Tablets oder Smartphones ebenfalls strenge Sicherheitsbestimmungen geben. Diese Richtlinien umfassen klare Vorgaben zu Themen wie Datenlöschungen, Standortverfolgung oder Internetüberwachung.
Schwachstellen bei Betriebssystemen, Software oder Apps lassen sich grundsätzlich nicht vermeiden. Tech-Unternehmen reagieren aber meistens schnell auf Sicherheitslücken und bieten Updates mit entsprechenden Patches an, damit Hacker diese nicht ausnutzen.
End-User müssen diese Updates allerdings sofort installieren. Das sollte automatisch und im Hintergrund geschehen, damit die Aktualisierung den normalen Arbeitsablauf nicht stört.
Mitarbeiter oder ehemalige Mitarbeiter können eine Bedrohung für die Datensicherheit im Unternehmen darstellen. Industriespionage geschieht überall und Angestellte oder vermeintliche Geschäftspartner haben gelegentlich bösartige Absichten. Unternehmen müssen deswegen die Hintergründe ihrer Bewerber gründlich überprüfen. Verdächtiges Verhalten bei der bereits bestehenden Belegschaft sollten Vorgesetzte genau beobachten.
Alte oder kaputte Geräte werden oftmals entsorgt, ohne dass sich die ehemaligen Nutzer viele Gedanken um die darin enthaltenen Daten machen. Selbst bei einer Neuinstallation eines Betriebssystems oder bei formatierten Festplatten sind Informationen nicht für immer verschwunden.
Cyberkriminelle können mit leicht zugänglichen Tools sensible Daten wiederherstellen.
Unternehmer müssen selbst Werkzeuge verwenden oder IT-Dienstleister beauftragen, welche die entsprechenden Dateien mehrmals überschreiben, damit sie sich nicht mehr rekonstruieren lassen.
Bei Cloud-Dienstleistern lassen sich auch Unternehmensdaten sichern. Diese Anbieter müssen für ein effektives Sicherheitskonzept sorgen, schon allein um konkurrenz- und geschäftsfähig zu bleiben. Sie können die Zeit und Arbeitskraft für die Datensicherheit aufbringen, die einem kleinen und mittelständischen Unternehmen oftmals nicht zur Verfügung steht.
Aber Achtung: Das Unternehmen, das den Cloud-Service beauftragt, ist weiterhin für Kundendaten und Ähnliches verantwortlich. Es trägt zumindest Mitschuld, wenn es beim Cloud-Anbieter zu einem Datenleck kommt und Kundendaten gestohlen werden.
Übrigens: Das gute, alte Tape erlebt als Massenspeicher seit 2016 eine unerwartete Wiederbelebung. Aber lässt sich Air Gap im Backup wirklich nur mit Tapes erreichen? Hier geht’s zum Faktencheck!
Hilfreich sind regelmäßige Schulungen zum Thema Datensicherheit. Maßnahmen müssen von der Führungs- bis zu untersten Mitarbeiterebene in Fleisch und Blut eines Unternehmens übergehen. Nur auf diese Weise wirken sie effektiv.
Die Belegschaft muss diese Strategien einerseits auf einer intellektuellen Ebene verstehen und die Fähigkeiten besitzen, sie umzusetzen. Um zu messen, inwieweit Mitarbeiter die Tragweite ihrer eigenen Sicherheitsverantwortlichkeit kennen und entsprechend handeln, hat die IT-Seal GmbH den Employee Security Index entwickelt. Andererseits sollte ein Bewusstsein bzw. eine Unternehmenskultur entstehen, welche die Wichtigkeit eines Datensicherheitskonzepts betont: Es geht um das Wohl der Kunden, des Unternehmens und schließlich jedes einzelnen Mitarbeiters.
Die Zwei- oder Multi-Faktor-Authentifizierung sollte sich als Standard in jedem Unternehmen etablieren. Hierbei erfolgt die Anmeldung, zum Beispiel bei einem Netzwerk, nicht nur über den Benutzernamen und das Passwort. Mehrere zusätzliche Authentifizierungsmerkmale kommen hinzu.
Hierbei kann es sich beispielsweise um eine Bankomatkarte oder einen Code handeln, den der User über eine Smartphone-App oder via SMS empfängt. Biometrische Merkmale in der Form eines Scans der Iris, des Gesichts oder eine Stimmerkennung zur Authentifizierung lassen sich ebenfalls einrichten. Worauf es bei der Auswahl des zweiten Faktors ankommt und wie das Zusammenspiel mit dem Customer Identity & Access Management funktioniert, erfahren Sie in diesem Whitepaper.
Eine Studie von LastPass/IDG zeigt außerdem interessante Erkenntnisse über Identity- und Access-Strategien von IT-Entscheidern im "Neuen Normal" der Remote-Arbeit.
Um gestohlene, verlorene, zerstörte oder durch Ransomware in Geiselhaft genommene Daten schneller wiederherzustellen, sind regelmäßige Backups hilfreich. Unternehmer sollten aber beachten, dass Datendiebe Informationen trotzdem weitergeben oder veröffentlichen können.
Auch innerhalb einer Firma herrscht bestenfalls eine strenge Datensicherheit. Das bedeutet, dass nicht jede Einzelperson Zugang zu sensiblen Daten haben darf. Unternehmen können festlegen, dass beispielsweise zwei Personen zwei unterschiedliche Passwörter benötigen, um auf einen bestimmten Datensatz zuzugreifen. Das verhindert, das ein einzelner Mitarbeiter wichtige Daten missbraucht.
Jeder Nutzer eines Unternehmensnetzwerks sollte nur die Berechtigungen für die Datenressourcen erhalten, die für die jeweilige Arbeit gebraucht wird. Mit einer zeitlich begrenzten Berechtigung kann niemand nach der gemeinsamen Arbeit ohne Autorisierung auf ein System zugreifen.
Geschäfte bzw. Unternehmen empfangen außerdem oft Besuch, arbeiten mit externen Mitarbeitern und Freelancern zusammen oder gehen Geschäftspartnerschaften ein.
Für alle diese Fälle sollte es Sicherheitsvorkehrungen geben, damit vorübergehende Beschäftigungsverhältnisse oder Besuche zu keinem Sicherheitsrisiko werden.
Wer den Datenverkehr eines Netzwerkes beobachtet, protokolliert und regelmäßig auswertet, kann schneller verdächtige Aktivitäten entdecken.
Sicherheitstechnologien und Maßnahmen zur Datensicherheit sollten regelmäßig überprüft werden. So finden sich auf dem Markt zahlreiche Lösungen, die sich zu vergleichen lohnen – darunter beispielsweise Software von Safetica Technologies, Thales oder Matrix42.Mit einer auf die Bedürfnisse der Firma angepassten Lösung lassen sich Lücken identifizieren und schließen, bevor Cyberkriminelle sie ausnutzen. Die besten Praktiken, wie Unternehmen bei der Implementierung von Data Loss Prevention (DLP)-Tools, können Sie diesem Whitepaper entnehmen.
Die Implementierung von Firewalls, Anti-Malware-Software und Überwachungssystemen reicht an dieser Stelle fast nicht mehr aus. Die diversen Herausforderungen, die mit diesen technologischen Fortschritten in der Industrie einhergehen, sind groß:
In der wettbewerbsintensiven Industrielandschaft ist der Anreiz zur Industriespionage unter Konkurrenten besonders hoch. Und auch neu entstehende Gruppen von organisierten Cyberkriminellen sehen einen immer größeren Anreiz darin, diese Art von Systemen anzugreifen.
Die Grenzen zwischen digitaler und physischer Welt verwischen insbesondere innerhalb der Industry 4.0. Hier kann es nicht nur zu Daten-, sondern auch zu Maschinen und Personenschäden kommen. Deswegen ist gerade in diesem Wirtschaftszweig ein vorrausschauender und nicht nur reaktiver Umgang mit Datensicherheit gefragt. Wie bei anderen Unternehmen rufen Malware- und insbesondere Ransomware unterschiedlichste und vor allem sehr weitreichende Probleme hervor.
Um dies und noch mehr katastrophale Szenarien zu verhindern, müssen Unternehmen im Rahmen ihrer Cybersecurity-Strategie ein kompetentes Cyber- und Datensicherheitspersonal engagieren. Die bereits genannten Maßnahmen stellen effektive Ansatzpunkte dar, um das Schlimmste zu verhindern. Neben Software, die entsprechende Cyberangriffe und Datenlecks abwendet, benötigt die Industry 4.0 auch physische Systeme, um Menschen und Maschinen vor Schäden zu bewahren. Lesen Sie hier, wie der cognitix Threat Defender mit seinen AI- und Data Analytics-Funktionen zunehmend verknüpfte IT- und OT-Netze der Industrie 4.0 vor Cyber-Angriffen schützt.
Die bereits genannten Maßnahmen zur Datensicherheit sind ein guter Anfang, um Gefahren abzuwehren und einzudämmen. Allerdings benötigt insbesondere dieser Bereich noch mehr Forschung, um weitere präventive Strategien zu entwickeln und mit den technologischen Fortschritten mitzuhalten.
Neben den Homeoffice-spezifischen Maßnahmen gilt es, die bereits besprochenen Datensicherheitsstrategien eines Unternehmens auf das Heimbüro zu erweitern. Nur so lassen sich flächendeckend Daten sichern und digitale Einbrüche mit Datendiebstahl verhindern.
Fällt ein Datenleck bzw. -diebstahl auf, müssen Betroffene schnell reagieren. Die verantwortlichen Schwachstellen sollten sie sofort beheben, um weitere Datenverletzungen zu verhindern. Je nach Schwere des Datenverlusts sollten Experten und eventuell sogar Strafverfolgungsbehörden beratend zur Seite stehen, um das weitere Vorgehen zu besprechen. Unabhängige Ermittler können zum Beispiel die Quelle und Ursache des Lecks feststellen und die betroffenen Systeme identifizieren.
Befallene Geräte sollten am besten so schnell wie möglich vom Netz genommen werden. Dies sollte aber erst nach der Expertenuntersuchung geschehen, damit nicht unversehens Beweise vernichtet werden.
Falls es nicht schon vorher geschehen ist, sollte der Datentransfer in alle Richtungen überwacht werden, um weitere eventuelle Daten-Schlupflöcher zu entdecken. Die Aktualisierung aller Passwörter und Anmeldedaten gehört ebenfalls weit oben auf die Prioritätenliste. Zugriffe für nicht erforderliches Personal müssen eventuell weiter eingeschränkt werden.
Außerdem sollten alle Aktivitäten von Konten, Kreditkartenabrechnungen und Bezahl-Services im Blick behalten werden. Kommt es zu unerlaubten Abbuchungen, lassen sich diese zurückbuchen. Das Einfrieren von Konten oder die Erstellung von neuen Konten sind eine Überlegung wert.
Ein Kommunikationsplan, mit dem sich alle betroffenen Parteien erreichen lassen, ist an dieser Stelle hilfreich. Dieser sollte Mitarbeiter, Kunden, Investoren, Geschäftspartner etc. umfassen. Das Unternehmen muss alle Betroffenen ehrlich über den Vorfall informieren.
Das Zurückhalten wichtiger Informationen führt lediglich zu weiteren Imageschäden für das Unternehmen. Eine umfassende und aufrichtige Kommunikationsarbeit beruhigt und mindert dagegen die Frustrationen aller Betroffenen.
Dazu gehört das Antizipieren von Fragen und Kritik. Wichtig ist, Kunden, Mitarbeiter und Geschäftspartner eine Anleitung für ein weiteres Vorgehen an die Hand zu geben, falls sie von einem Datenleck betroffen waren.
Ein Rechtsbeistand für Datenschutz und Datensicherung kann über Bundes- und Landesgrenzen hinaus beraten. Somit kann sich das Unternehmen auch auf mögliche juristische Folgen angemessen vorbereiten.
