So realisieren Sie Datensicherheit im Unternehmen
Datensicherheit sollte eine der höchsten Prioritäten in allen Unternehmen sein. Sie erfordert Zeit, Arbeit und oftmals finanzielle Investitionen. Der Aufwand ist aber wesentlich günstiger und weniger arbeitsintensiv als die Schadensbegrenzungen, die Unternehmer nach einem Datenleck zu leisten haben. Folgende Vorgehensweisen auf der technischen, menschlichen und organisatorischen Ebene schützen Daten vor Angriffen von außen wie innen.
Strategie entwickeln
Vage Sicherheitsmaßnahmen helfen auf Dauer nicht effektiv gegen Datendiebstahl oder -verlust. Datensicherheit im Unternehmen muss klar und deutlich definierte Sicherheitsstrategien beinhalten. Diese sollten möglichst detailliert und umfangreich sein, damit jeder Mitarbeiter und jede Führungskraft weiß, was zu tun ist. Strategien zur Schadensbegrenzung sind essenziell, wenn es trotz aller Sicherheitsvorkehrungen zu einem Datenleck kommt. Zudem müssen Firmen ihre Praktiken stets aktualisieren. Nur so sind sie in der Lage, neue Bedrohungen abzuwehren.
Absicherung gegen Malware
Eine adäquate Absicherung gegen Malware stellt einen der Grundpfeiler einer jeden Datensicherungsstrategie dar. Hierzu gehören hochwertige Malware-Scanner, welche die Computer eines Unternehmensnetzwerkes regelmäßig überprüfen. Sie spüren verdächtige Programme auf und löschen sie, falls es notwendig ist. Darüber hinaus blockieren sie andere Schadsoftware, damit sie gar nicht erst in ein System eindringt. Eine Firewall überwacht zusätzlich den Datenaustausch eines Computers oder eines Netzwerks.
Generell sollten Mitarbeiter aber immer aufpassen, verdächtige Webseiten meiden und keine Links in E-Mails anklicken, deren Quelle sie nicht kennen. Außerdem dürfen sie keine Software von dubiosen Herstellern auf den Computer herunterladen.
WLAN-Netzwerk absichern
Das firmeninterne WLAN-Netzwerk sollte stets gut verschlüsselt sein. Das heißt, die vorgegebenen Passwörter vom Provider müssen gegen ein nicht einfach zu erratendes Kennwort ausgetauscht werden.
Und selbst ein komplexes WLAN-Passwort benötigt ein effektives Verschlüsselungsverfahren. Unternehmen sollten sich für das ausreichend sichere WPA2-Verfahren entscheiden (gelegentlich unter WPA2-Personal oder WPA2-PSK zu finden). Bei einigen Anbietern ist sogar die noch sicherere WPA3-Verschlüsselung zu finden.
Regelmäßige Aktualisierungen der Firmware sorgen zudem dafür, dass Sicherheitslücken geschlossen werden. Kommt es tatsächlich zu ungewöhnlichen Aktivitäten innerhalb eines Netzwerks, lässt sich das Router-Protokoll kontrollieren. Es zeichnet alle Netzwerkaktivitäten auf. Zudem lohnt es sich, die Firewall eines Routers zu aktivieren. Moderne Geräte sind inzwischen standardmäßig damit ausgestattet.
Passwörter optimieren
Computernutzer sind bei der Passworterstellung häufig zu nachlässig. Bei der Menge an Tools, Konten, Netzwerken und Endgeräten, die einer starken Verschlüsselung bedürfen, ist das jedoch kein Wunder.
Trotzdem sind komplexe Passwörter wichtig vor dem Schutz vor Datendiebstahl. Sie sollten mindestens 8 Zeichen beinhalten, die aus Buchstaben, Sonderzeichen und Zahlen bestehen. Von Geburtsdaten (auch der Kombination mehrerer Geburtsdaten), Namen der Haustiere oder Ähnlichem ist dringend abzuraten.
Passwortmanager sind hilfreich, um willkürliche Zeichenkombinationen zu generieren und diese zu speichern. User müssen sie dann nicht jedes Mal erneut eingeben. Es gibt zahlreiche entsprechende seriöse Anbieter, denen Unternehmen vertrauen können, falls auf Firmencomputern kein eigenes entsprechendes Tool zur Verfügung steht.
Persönliche Endgeräte
Innerhalb eines Unternehmens sollte es für persönliche Endgeräte und Datenträger wie Laptops, Tablets oder Smartphones ebenfalls strenge Sicherheitsbestimmungen geben. Diese Richtlinien umfassen klare Vorgaben zu Themen wie Datenlöschungen, Standortverfolgung oder Internetüberwachung.
Automatische Software-Updates
Schwachstellen bei Betriebssystemen, Software oder Apps lassen sich grundsätzlich nicht vermeiden. Tech-Unternehmen reagieren aber meistens schnell auf Sicherheitslücken und bieten Updates mit entsprechenden Patches an, damit Hacker diese nicht ausnutzen.
End-User müssen diese Updates allerdings sofort installieren. Das sollte automatisch und im Hintergrund geschehen, damit die Aktualisierung den normalen Arbeitsablauf nicht stört.
Sicherheits-Checks der Mitarbeiter durchführen
Mitarbeiter oder ehemalige Mitarbeiter können eine Bedrohung für die Datensicherheit im Unternehmen darstellen. Industriespionage geschieht überall und Angestellte oder vermeintliche Geschäftspartner haben gelegentlich bösartige Absichten. Unternehmen müssen deswegen die Hintergründe ihrer Bewerber gründlich überprüfen. Verdächtiges Verhalten bei der bereits bestehenden Belegschaft sollten Vorgesetzte genau beobachten.
Daten gründlich löschen
Alte oder kaputte Geräte werden oftmals entsorgt, ohne dass sich die ehemaligen Nutzer viele Gedanken um die darin enthaltenen Daten machen. Selbst bei einer Neuinstallation eines Betriebssystems oder bei formatierten Festplatten sind Informationen nicht für immer verschwunden.
Cyberkriminelle können mit leicht zugänglichen Tools sensible Daten wiederherstellen.
Unternehmer müssen selbst Werkzeuge verwenden oder IT-Dienstleister beauftragen, welche die entsprechenden Dateien mehrmals überschreiben, damit sie sich nicht mehr rekonstruieren lassen.
Cloud-Dienstleister nutzen
Bei Cloud-Dienstleistern lassen sich auch Unternehmensdaten sichern. Diese Anbieter müssen für ein effektives Sicherheitskonzept sorgen, schon allein um konkurrenz- und geschäftsfähig zu bleiben. Sie können die Zeit und Arbeitskraft für die Datensicherheit aufbringen, die einem kleinen und mittelständischen Unternehmen oftmals nicht zur Verfügung steht.
Aber Achtung: Das Unternehmen, das den Cloud-Service beauftragt, ist weiterhin für Kundendaten und Ähnliches verantwortlich. Es trägt zumindest Mitschuld, wenn es beim Cloud-Anbieter zu einem Datenleck kommt und Kundendaten gestohlen werden.
Übrigens: Das gute, alte Tape erlebt als Massenspeicher seit 2016 eine unerwartete Wiederbelebung. Aber lässt sich Air Gap im Backup wirklich nur mit Tapes erreichen? Hier geht’s zum Faktencheck!
Mitarbeiter schulen
Hilfreich sind regelmäßige Schulungen zum Thema Datensicherheit. Maßnahmen müssen von der Führungs- bis zu untersten Mitarbeiterebene in Fleisch und Blut eines Unternehmens übergehen. Nur auf diese Weise wirken sie effektiv.
Die Belegschaft muss diese Strategien einerseits auf einer intellektuellen Ebene verstehen und die Fähigkeiten besitzen, sie umzusetzen. Um zu messen, inwieweit Mitarbeiter die Tragweite ihrer eigenen Sicherheitsverantwortlichkeit kennen und entsprechend handeln, hat die IT-Seal GmbH den Employee Security Index entwickelt. Andererseits sollte ein Bewusstsein bzw. eine Unternehmenskultur entstehen, welche die Wichtigkeit eines Datensicherheitskonzepts betont: Es geht um das Wohl der Kunden, des Unternehmens und schließlich jedes einzelnen Mitarbeiters.
Sichere Authentifizierungsverfahren
Die Zwei- oder Multi-Faktor-Authentifizierung sollte sich als Standard in jedem Unternehmen etablieren. Hierbei erfolgt die Anmeldung, zum Beispiel bei einem Netzwerk, nicht nur über den Benutzernamen und das Passwort. Mehrere zusätzliche Authentifizierungsmerkmale kommen hinzu.
Hierbei kann es sich beispielsweise um eine Bankomatkarte oder einen Code handeln, den der User über eine Smartphone-App oder via SMS empfängt. Biometrische Merkmale in der Form eines Scans der Iris, des Gesichts oder eine Stimmerkennung zur Authentifizierung lassen sich ebenfalls einrichten. Worauf es bei der Auswahl des zweiten Faktors ankommt und wie das Zusammenspiel mit dem Customer Identity & Access Management funktioniert, erfahren Sie in diesem Whitepaper.
Eine Studie von LastPass/IDG zeigt außerdem interessante Erkenntnisse über Identity- und Access-Strategien von IT-Entscheidern im "Neuen Normal" der Remote-Arbeit.
Sicherheitskopien
Um gestohlene, verlorene, zerstörte oder durch Ransomware in Geiselhaft genommene Daten schneller wiederherzustellen, sind regelmäßige Backups hilfreich. Unternehmer sollten aber beachten, dass Datendiebe Informationen trotzdem weitergeben oder veröffentlichen können.
Einführung eines Vier- oder Mehr-Augenprinzips
Auch innerhalb einer Firma herrscht bestenfalls eine strenge Datensicherheit. Das bedeutet, dass nicht jede Einzelperson Zugang zu sensiblen Daten haben darf. Unternehmen können festlegen, dass beispielsweise zwei Personen zwei unterschiedliche Passwörter benötigen, um auf einen bestimmten Datensatz zuzugreifen. Das verhindert, das ein einzelner Mitarbeiter wichtige Daten missbraucht.
Zugangsberechtigungen regulieren
Jeder Nutzer eines Unternehmensnetzwerks sollte nur die Berechtigungen für die Datenressourcen erhalten, die für die jeweilige Arbeit gebraucht wird. Mit einer zeitlich begrenzten Berechtigung kann niemand nach der gemeinsamen Arbeit ohne Autorisierung auf ein System zugreifen.
Geschäfte bzw. Unternehmen empfangen außerdem oft Besuch, arbeiten mit externen Mitarbeitern und Freelancern zusammen oder gehen Geschäftspartnerschaften ein.
Für alle diese Fälle sollte es Sicherheitsvorkehrungen geben, damit vorübergehende Beschäftigungsverhältnisse oder Besuche zu keinem Sicherheitsrisiko werden.
Beobachtung und Protokollierung des Datenverkehrs
Wer den Datenverkehr eines Netzwerkes beobachtet, protokolliert und regelmäßig auswertet, kann schneller verdächtige Aktivitäten entdecken.
Regelmäßige Audits
Sicherheitstechnologien und Maßnahmen zur Datensicherheit sollten regelmäßig überprüft werden. So finden sich auf dem Markt zahlreiche Lösungen, die sich zu vergleichen lohnen – darunter beispielsweise Software von Safetica Technologies, Thales oder Matrix42.Mit einer auf die Bedürfnisse der Firma angepassten Lösung lassen sich Lücken identifizieren und schließen, bevor Cyberkriminelle sie ausnutzen. Die besten Praktiken, wie Unternehmen bei der Implementierung von Data Loss Prevention (DLP)-Tools, können Sie diesem Whitepaper entnehmen.