• Branchennews
  • Management, Awareness und Compliance

Digitales Gut – alles rund um Datensicherheit

In einer Welt, in der Informationstechnologie einen immer größeren Stellenwert einnimmt, sind Daten ein wertvolles Gut. Datensicherheit zum Schutz gegen Cyberkriminalität wird damit umso relevanter.

Thomas Philipp Haas
Thomas Philipp Haas
Director Marketing & Manager Public Relations NürnbergMesse GmbH
close

Diese Inhalte stehen der it-sa 365 Community zur Verfügung. Bitte registrieren Sie sich oder melden Sie sich mit Ihren Login-Daten an.

Fingerabdruck auf blauem Hintergrund

Daten gehören zu den wichtigsten Ressourcen, die ein Unternehmen, eine Organisation, eine öffentliche Einrichtung oder eine Privatperson besitzt. Diese wichtigen Informationen dürfen nicht in die Hände unbefugter Dritter geraten. In der heutigen Zeit lassen sich nicht nur Computer, sondern auch viele andere Geräte und sogar ganze Industrien mit dem Internet verbinden. Die Notwendigkeit einer adäquaten Datensicherheit im Unternehmen wird deswegen immer dringlicher.

 

1. Datensicherheit: Definition
2. Datenschutz und Datensicherheit – Das sind zwei Paar Schuhe!
3. Verletzung der Datensicherheit: Wo lauert die Gefahr?
4. So realisieren Sie Datensicherheit im Unternehmen
5. Industry 4.0: welche Rolle spielt Datensicherheit in der vernetzten Produktion?
6. Datensicherheit: Maßnahmen im Homeoffice
7. Was tun, wenn das Datensicherheitskonzept gescheitert ist

Datensicherheit: Definition

Was ist Datensicherheit? Eine Frage, mit der sich aktuell viele Branchen, Regierungen und Privatpersonen beschäftigen. Datensicherheit ist ein Bestandteil der Informationssicherheit. Letztere beschreibt Maßnahmen, die alle Formen von Daten und Informationen schützen sollen: digitale wie analoge.  
Bei der Datensicherheit geht es um Maßnahmen bzw. Strategien oder Software, die speziell dem Schutz von digital abgelegten Daten dienen. Hierbei kann es sich um persönliche Informationen oder sensible Unternehmensdaten wie geistiges Eigentum, Firmeninfrastrukturen, Finanz- und Zahlungsdaten handeln. Für Cyberkriminelle stellen diese Ressourcen ein wertvolles Gut dar. Damit lautet eine der höchsten Prioritäten Datensicherheit. Ziele sind: Regierungen, Unternehmer und Privatpersonen sowohl vor wirtschaftlichen Schäden als auch vor Image- und Vertrauensverlust bewahren.  

 

 

Was tun Cyberkriminelle mit gestohlenen Daten?

Hacker bzw. Cyberkriminelle richten mit gestohlenen Daten auf vielerlei Arten Schäden an:

  • Sie nutzen Finanzdaten, zum Beispiel Kreditkarteninformationen, um Einkäufe durchzuführen.
  • Sie verkaufen Login-Informationen, Bankdaten, Ausweisnummern, medizinische Daten, Name, Sozialversicherungsnummer, Geburtsdatum, Adressen, Telefonnummern, Mobilfunkdaten und E-Mail-Adressen über das Darknet.
  • Cyberkriminelle verschlüsseln Daten und sperren legitime User aus. Anschließend verlangen sie ein Lösegeld.
  • Sie greifen Unternehmen oder sogar Großkonzerne an, um geistiges Eigentum, zum Beispiel in Form von Innovationen, zu stehlen. Diese Daten lassen sich an Unternehmen und Regierungen anderer Länder verkaufen.

Welche Folgen der Datenverlust für Betroffene haben kann

Die Konsequenzen für die Opfer sind oft verheerend. Sie sind gezwungen, kompromittierte Daten und Konten zu identifizieren und neu abzusichern. Unautorisierte Käufe müssen rückgängig und Kreditkarten ausgetauscht werden.

Für Unternehmen können zudem Kosten für Anwälte, Bußgelder, Rückzahlungsforderungen von Kunden entstehen. Wie hoch diese Kosten sein können, zeigt die Studie „Cost of a Data Breach“ der IMB Deutschland GmbH. Die Image-Schäden ziehen langfristige Folgen nach sich: Je nachdem, wie öffentlich und umfangreich der Datenverlust ausfällt, überlegen künftige potenzielle Kunden gründlich, ob sie sensible Informationen an die jeweilige Firma weitergeben. Jobverluste von verantwortlichen Mitarbeitern und aufwendige personelle Neustrukturierungen sind weitere mögliche Szenarien.

Strategien, Technologien und Maßnahmen zur Datensicherheit im Unternehmen, sollten deswegen ein wesentlicher Bestandteil einer jeden Geschäftsstrategie sein. Das gilt für bereits etablierte Unternehmen genauso wie für kleine Startups oder mittelständische Firmen. Denn insbesondere kleinere Unternehmen können sich Verluste dieser Art in vielen Fällen nicht leisten und müssen Datensicherheit daher priorisieren.   

 

Datenschutz und Datensicherheit – Das sind zwei Paar Schuhe!

Der Unterschied zwischen Datenschutz und Datensicherheit ist vielen Menschen nicht geläufig. Es gibt zwar inhaltliche Überschneidungen, dennoch sollten beide Begriffe voneinander differenziert werden. Datenschutz und Datensicherheit sind beides Aspekte der Informationssicherheit, deren Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit umfassen. Datenschutz konzentriert sich lediglich auf Schutzmaßnahmen für personenbezogene Daten. Darunter fallen gemäß Art. 4 DSGVO „…alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.“ Datensicherheit schließt dagegen über personenbezogene Daten hinaus alle Arten von Daten mit ein. Datenschutz ist folglich ein Teil der Datensicherheit. 

 

Verletzung der Datensicherheit: Wo lauert die Gefahr?

Datenverluste und Datendiebstahl ziehen also weitreichende Konsequenzen nach sich. 
Deswegen ist selbst bei den kleinsten Details größte Vorsicht gefragt. Im Grunde gibt es zwei Hauptschwachpunkte, die zu Datenlecks führen:

  • Technologisches Versagen
  • Menschliches Versagen

Insbesondere neue Technologien weisen immer mehr Verbindungspunkte zum Internet auf. Das bedeutet, dass sich für Kriminelle mehr Angriffsmöglichkeiten bieten, an denen sie ansetzen können. Damit sind nicht nur Computer, Smartphones oder Tablets gemeint. Vor allem moderne, oftmals mangelhaft abgesicherte IoT-Geräte stellen ein leichtes Ziel für Cyberkriminelle dar. Smarte Hacker verschaffen sich hierüber relativ einfach einen Zugang zum gesamten Netzwerk. Selbst wenn alle Systeme auf der technischen Ebene ausreichend oder sogar gut abgesichert sind, bleibt der Mensch als Unsicherheitsfaktor bestehen. Datenlecks entstehen durch Unachtsamkeit oder weil Nutzer eines Computersystems oder Netzwerks keine ausreichende Sicherheitsstrategieanwenden. Es geschieht gelegentlich, dass ein Arbeitskollege oder ein Besucher einen unautorisierten Blick auf einen Monitor oder Zugang zu wichtigen Bereichen erhält. Üblicherweise werden in einem solchen Fall keine Daten an Dritte weitergeben. Die Datensicherung wird im strengen Sinne durch solche Geschehnisse dennoch verletzt. Aber auch Mitarbeiter, ehemalige Angestellte, Geschäftspartner oder andere Insider mit einem Zugang zum System, können diese Einblicke für böswillige Zwecke nutzen.  
Gestohlene oder verlorene, nicht ausreichend verschlüsselte Endgeräte stellen ebenfalls eine Gefahrenquelle dar.

Lesen Sie außerdem im Whitepaper: Vermeidung der 5 häufigsten Probleme in puncto Datensicherheit.

 

Angriffsstrategien von Cyberkriminellen

Cyberkriminelle setzen unterschiedliche Angriffsstrategien ein, um an persönliche und nicht-persönliche Daten zu gelangen:

  • Vielfältige Malware-Arten schleichen sich in ein Betriebssystem, Software, Hardware, Netzwerke oder Server. Ist kein ausreichender Schutz vorhanden, können sie oftmals sogar unentdeckt Systeme kompromittieren und ausspionieren. 
  • Bei einer etwas brachialeren Taktik versuchen Hacker, das Passwort eines Users durch das Probieren verschiedener Optionen zu knacken. Malware kann dabei ebenfalls unterstützend wirken. Vor allem schwache Passwörter, die oft aus Bequemlichkeit verwendet werden, lassen sich leicht umgehen.
  • Phishing ist eine beliebte Methode unter Cyberkriminellen, um an wichtige Daten heranzukommen. Hierbei geben sich die Kriminellen als seriöse Unternehmen (zum Beispiel als Bank oder Onlineshop) aus, um angeblich zu Sicherheitszwecken wichtige Daten anzufordern. Das Opfer wird dazu verleitet, beispielsweise Login-Informationen auf einer gefälschten Website in dafür vorgegebene Bereiche einzugeben.

 

So realisieren Sie Datensicherheit im Unternehmen

Datensicherheit sollte eine der höchsten Prioritäten in allen Unternehmen sein. Sie erfordert Zeit, Arbeit und oftmals finanzielle Investitionen. Der Aufwand ist aber wesentlich günstiger und weniger arbeitsintensiv als die Schadensbegrenzungen, die Unternehmer nach einem Datenleck zu leisten haben. Folgende Vorgehensweisen auf der technischen, menschlichen und organisatorischen Ebene schützen Daten vor Angriffen von außen wie innen.

 

 

Strategie entwickeln

Vage Sicherheitsmaßnahmen helfen auf Dauer nicht effektiv gegen Datendiebstahl oder -verlust. Datensicherheit im Unternehmen muss klar und deutlich definierte Sicherheitsstrategien beinhalten. Diese sollten möglichst detailliert und umfangreich sein, damit jeder Mitarbeiter und jede Führungskraft weiß, was zu tun ist. Strategien zur Schadensbegrenzung sind essenziell, wenn es trotz aller Sicherheitsvorkehrungen zu einem Datenleck kommt. Zudem müssen Firmen ihre Praktiken stets aktualisieren. Nur so sind sie in der Lage, neue Bedrohungen abzuwehren.

 

Absicherung gegen Malware

Eine adäquate Absicherung gegen Malware stellt einen der Grundpfeiler einer jeden Datensicherungsstrategie dar. Hierzu gehören hochwertige Malware-Scanner, welche die Computer eines Unternehmensnetzwerkes regelmäßig überprüfen. Sie spüren verdächtige Programme auf und löschen sie, falls es notwendig ist. Darüber hinaus blockieren sie andere Schadsoftware, damit sie gar nicht erst in ein System eindringt. Eine Firewall überwacht zusätzlich den Datenaustausch eines Computers oder eines Netzwerks.

Generell sollten Mitarbeiter aber immer aufpassen, verdächtige Webseiten meiden und keine Links in E-Mails anklicken, deren Quelle sie nicht kennen. Außerdem dürfen sie keine Software von dubiosen Herstellern auf den Computer herunterladen.

 

WLAN-Netzwerk absichern

Das firmeninterne WLAN-Netzwerk sollte stets gut verschlüsselt sein. Das heißt, die vorgegebenen Passwörter vom Provider müssen gegen ein nicht einfach zu erratendes Kennwort ausgetauscht werden. 

Und selbst ein komplexes WLAN-Passwort benötigt ein effektives Verschlüsselungsverfahren. Unternehmen sollten sich für das ausreichend sichere WPA2-Verfahren entscheiden (gelegentlich unter WPA2-Personal oder WPA2-PSK zu finden). Bei einigen Anbietern ist sogar die noch sicherere WPA3-Verschlüsselung zu finden.  

Regelmäßige Aktualisierungen der Firmware sorgen zudem dafür, dass Sicherheitslücken geschlossen werden. Kommt es tatsächlich zu ungewöhnlichen Aktivitäten innerhalb eines Netzwerks, lässt sich das Router-Protokoll kontrollieren. Es zeichnet alle Netzwerkaktivitäten auf. Zudem lohnt es sich, die Firewall eines Routers zu aktivieren. Moderne Geräte sind inzwischen standardmäßig damit ausgestattet.

 

Passwörter optimieren

Computernutzer sind bei der Passworterstellung häufig zu nachlässig. Bei der Menge an Tools, Konten, Netzwerken und Endgeräten, die einer starken Verschlüsselung bedürfen, ist das jedoch kein Wunder.

Trotzdem sind komplexe Passwörter wichtig vor dem Schutz vor Datendiebstahl. Sie sollten mindestens 8 Zeichen beinhalten, die aus Buchstaben, Sonderzeichen und Zahlen bestehen. Von Geburtsdaten (auch der Kombination mehrerer Geburtsdaten), Namen der Haustiere oder Ähnlichem ist dringend abzuraten. 

Passwortmanager sind hilfreich, um willkürliche Zeichenkombinationen zu generieren und diese zu speichern. User müssen sie dann nicht jedes Mal erneut eingeben. Es gibt zahlreiche entsprechende seriöse Anbieter, denen Unternehmen vertrauen können, falls auf Firmencomputern kein eigenes entsprechendes Tool zur Verfügung steht.

 

Persönliche Endgeräte

Innerhalb eines Unternehmens sollte es für persönliche Endgeräte und Datenträger wie Laptops, Tablets oder Smartphones ebenfalls strenge Sicherheitsbestimmungen geben. Diese Richtlinien umfassen klare Vorgaben zu Themen wie Datenlöschungen, Standortverfolgung oder Internetüberwachung.

 

Automatische Software-Updates

Schwachstellen bei Betriebssystemen, Software oder Apps lassen sich grundsätzlich nicht vermeiden. Tech-Unternehmen reagieren aber meistens schnell auf Sicherheitslücken und bieten Updates mit entsprechenden Patches an, damit Hacker diese nicht ausnutzen. 

End-User müssen diese Updates allerdings sofort installieren. Das sollte automatisch und im Hintergrund geschehen, damit die Aktualisierung den normalen Arbeitsablauf nicht stört.

 

Sicherheits-Checks der Mitarbeiter durchführen

Mitarbeiter oder ehemalige Mitarbeiter können eine Bedrohung für die Datensicherheit im Unternehmen darstellen. Industriespionage geschieht überall und Angestellte oder vermeintliche Geschäftspartner haben gelegentlich bösartige Absichten. Unternehmen müssen deswegen die Hintergründe ihrer Bewerber gründlich überprüfen. Verdächtiges Verhalten bei der bereits bestehenden Belegschaft sollten Vorgesetzte genau beobachten.

 

Daten gründlich löschen

Alte oder kaputte Geräte werden oftmals entsorgt, ohne dass sich die ehemaligen Nutzer viele Gedanken um die darin enthaltenen Daten machen. Selbst bei einer Neuinstallation eines Betriebssystems oder bei formatierten Festplatten sind Informationen nicht für immer verschwunden. 

Cyberkriminelle können mit leicht zugänglichen Tools sensible Daten wiederherstellen. 
Unternehmer müssen selbst Werkzeuge verwenden oder IT-Dienstleister beauftragen, welche die entsprechenden Dateien mehrmals überschreiben, damit sie sich nicht mehr rekonstruieren lassen.

 

Cloud-Dienstleister nutzen

Bei Cloud-Dienstleistern lassen sich auch Unternehmensdaten sichern. Diese Anbieter müssen für ein effektives Sicherheitskonzept sorgen, schon allein um konkurrenz- und geschäftsfähig zu bleiben. Sie können die Zeit und Arbeitskraft für die Datensicherheit aufbringen, die einem kleinen und mittelständischen Unternehmen oftmals nicht zur Verfügung steht. 

Aber Achtung: Das Unternehmen, das den Cloud-Service beauftragt, ist weiterhin für Kundendaten und Ähnliches verantwortlich. Es trägt zumindest Mitschuld, wenn es beim Cloud-Anbieter zu einem Datenleck kommt und Kundendaten gestohlen werden.

Übrigens: Das gute, alte Tape erlebt als Massenspeicher seit 2016 eine unerwartete Wiederbelebung. Aber lässt sich Air Gap im Backup wirklich nur mit Tapes erreichen? Hier geht’s zum Faktencheck!

 

Mitarbeiter schulen

Hilfreich sind regelmäßige Schulungen zum Thema Datensicherheit. Maßnahmen müssen von der Führungs- bis zu untersten Mitarbeiterebene in Fleisch und Blut eines Unternehmens übergehen. Nur auf diese Weise wirken sie effektiv. 

Die Belegschaft muss diese Strategien einerseits auf einer intellektuellen Ebene verstehen und die Fähigkeiten besitzen, sie umzusetzen. Um zu messen, inwieweit Mitarbeiter die Tragweite ihrer eigenen Sicherheitsverantwortlichkeit kennen und entsprechend handeln, hat die IT-Seal GmbH den Employee Security Index entwickelt. Andererseits sollte ein Bewusstsein bzw. eine Unternehmenskultur entstehen, welche die Wichtigkeit eines Datensicherheitskonzepts betont: Es geht um das Wohl der Kunden, des Unternehmens und schließlich jedes einzelnen Mitarbeiters.

 

Sichere Authentifizierungsverfahren

Die Zwei- oder Multi-Faktor-Authentifizierung sollte sich als Standard in jedem Unternehmen etablieren. Hierbei erfolgt die Anmeldung, zum Beispiel bei einem Netzwerk, nicht nur über den Benutzernamen und das Passwort. Mehrere zusätzliche Authentifizierungsmerkmale kommen hinzu.

Hierbei kann es sich beispielsweise um eine Bankomatkarte oder einen Code handeln, den der User über eine Smartphone-App oder via SMS empfängt. Biometrische Merkmale in der Form eines Scans der Iris, des Gesichts oder eine Stimmerkennung zur Authentifizierung lassen sich ebenfalls einrichten. Worauf es bei der Auswahl des zweiten Faktors ankommt und wie das Zusammenspiel mit dem Customer Identity & Access Management funktioniert, erfahren Sie in diesem Whitepaper

Eine Studie von LastPass/IDG zeigt außerdem interessante Erkenntnisse über Identity- und Access-Strategien von IT-Entscheidern im "Neuen Normal" der Remote-Arbeit.

 

Sicherheitskopien

Um gestohlene, verlorene, zerstörte oder durch Ransomware in Geiselhaft genommene Daten schneller wiederherzustellen, sind regelmäßige Backups hilfreich. Unternehmer sollten aber beachten, dass Datendiebe Informationen trotzdem weitergeben oder veröffentlichen können.

 

Einführung eines Vier- oder Mehr-Augenprinzips

Auch innerhalb einer Firma herrscht bestenfalls eine strenge Datensicherheit. Das bedeutet, dass nicht jede Einzelperson Zugang zu sensiblen Daten haben darf. Unternehmen können festlegen, dass beispielsweise zwei Personen zwei unterschiedliche Passwörter benötigen, um auf einen bestimmten Datensatz zuzugreifen. Das verhindert, das ein einzelner Mitarbeiter wichtige Daten missbraucht.

 

Zugangsberechtigungen regulieren

Jeder Nutzer eines Unternehmensnetzwerks sollte nur die Berechtigungen für die Datenressourcen erhalten, die für die jeweilige Arbeit gebraucht wird. Mit einer zeitlich begrenzten Berechtigung kann niemand nach der gemeinsamen Arbeit ohne Autorisierung auf ein System zugreifen. 

Geschäfte bzw. Unternehmen empfangen außerdem oft Besuch, arbeiten mit externen Mitarbeitern und Freelancern zusammen oder gehen Geschäftspartnerschaften ein. 

Für alle diese Fälle sollte es Sicherheitsvorkehrungen geben, damit vorübergehende Beschäftigungsverhältnisse oder Besuche zu keinem Sicherheitsrisiko werden.

 

Beobachtung und Protokollierung des Datenverkehrs

Wer den Datenverkehr eines Netzwerkes beobachtet, protokolliert und regelmäßig auswertet, kann schneller verdächtige Aktivitäten entdecken.

 

Regelmäßige Audits

Sicherheitstechnologien und Maßnahmen zur Datensicherheit sollten regelmäßig überprüft werden. So finden sich auf dem Markt zahlreiche Lösungen, die sich zu vergleichen lohnen – darunter beispielsweise Software von Safetica Technologies, Thales oder Matrix42.Mit einer auf die Bedürfnisse der Firma angepassten Lösung lassen sich Lücken identifizieren und schließen, bevor Cyberkriminelle sie ausnutzen. Die besten Praktiken, wie Unternehmen bei der Implementierung von Data Loss Prevention (DLP)-Tools, können Sie diesem Whitepaper entnehmen.

Industry 4.0: welche Rolle spielt Datensicherheit in der vernetzten Produktion?

Die Industry 4.0 stellt ohne Frage den nächsten Evolutionsschritt in der Produktion dar. Sie trägt entscheidend zu einer erhöhten Flexibilität bei der Logistik und Effizienz der Produktion bei.  Mit einer fortschreitenden Vernetzung von Maschinen, Diensten und Systemen sowie der kompletten Digitalisierung der Wertschöpfungskette entstehen jedoch neue Schlupflöcher – Lücken, durch die Hacker an wertvolle Daten kommen oder diese manipulieren. Zumal die entsprechenden Systeme riesige Datenmengen von Fabriken, Lieferanten, Produktiondesignern, Auftraggebern und Kunden produzieren. 

 

Die Implementierung von Firewalls, Anti-Malware-Software und Überwachungssystemen reicht an dieser Stelle fast nicht mehr aus. Die diversen Herausforderungen, die mit diesen technologischen Fortschritten in der Industrie einhergehen, sind groß:

  • Gemeinsame Nutzung von Daten und geistigem Eigentum über Lieferketten und mehrere Interessengruppen hinweg
  • Mehrere Beteiligte der Wertschöpfungskette sowie Verbraucher haben Zugriffsmöglichkeiten, wodurch noch mehr Angriffspunkten entstehen
  • Systeme der Industrie 4.0 sind branchenübergreifend und unzählige Endgeräte innerhalb unterschiedlicher Netzwerke interagieren miteinander, was die Anzahl der Bedrohungen exponentiell ansteigen lässt

In der wettbewerbsintensiven Industrielandschaft ist der Anreiz zur Industriespionage unter Konkurrenten besonders hoch. Und auch neu entstehende Gruppen von organisierten Cyberkriminellen sehen einen immer größeren Anreiz darin, diese Art von Systemen anzugreifen.

Die Grenzen zwischen digitaler und physischer Welt verwischen insbesondere innerhalb der Industry 4.0. Hier kann es nicht nur zu Daten-, sondern auch zu Maschinen und Personenschäden kommen. Deswegen ist gerade in diesem Wirtschaftszweig ein vorrausschauender und nicht nur reaktiver Umgang mit Datensicherheit gefragt. Wie bei anderen Unternehmen rufen Malware- und insbesondere Ransomware unterschiedlichste und vor allem sehr weitreichende Probleme hervor.

Um dies und noch mehr katastrophale Szenarien zu verhindern, müssen Unternehmen im Rahmen ihrer Cybersecurity-Strategie ein kompetentes Cyber- und Datensicherheitspersonal engagieren. Die bereits genannten Maßnahmen stellen effektive Ansatzpunkte dar, um das Schlimmste zu verhindern. Neben Software, die entsprechende Cyberangriffe und Datenlecks abwendet, benötigt die Industry 4.0 auch physische Systeme, um Menschen und Maschinen vor Schäden zu bewahren. Lesen Sie hier, wie der cognitix Threat Defender mit seinen AI- und Data Analytics-Funktionen zunehmend verknüpfte IT- und OT-Netze der Industrie 4.0 vor Cyber-Angriffen schützt.

Die bereits genannten Maßnahmen zur Datensicherheit sind ein guter Anfang, um Gefahren abzuwehren und einzudämmen. Allerdings benötigt insbesondere dieser Bereich noch mehr Forschung, um weitere präventive Strategien zu entwickeln und mit den technologischen Fortschritten mitzuhalten.

 
 
 

Datensicherheit: Maßnahmen im Homeoffice

Der Trend zum Homeoffice führt unter anderem zu mehr Flexibilität, wenn es um Arbeitszeiten geht. Zudem lässt sich Arbeit leichter mit dem Familienleben verbinden. Aus der Perspektive der Datensicherheit bringt dieser Wandel allerdings neue Herausforderungen mit sich. Es gibt beispielsweise Anbieter von Online-Meetings, die es mit dem Datenschutz nicht so genau nehmen, und IoT-Geräte wie Sprachassistenten sind oft nicht ausreichend geschützt. Für Probleme wie diese gibt es jedoch Lösungen, die Mitarbeiter umsetzen können:

 

  • Zuhause nur die Datenressourcen in Anspruch nehmen, die für die aktuelle Arbeit notwendig sind
  • Betriebssysteme, Software und insbesondere Anti-Malware-Scanner stets aktualisieren
  • Firewall für den Computer und für das WLAN-Netzwerk Zuhause einrichten, bestmögliche Verschlüsselung und starkes Passwort verwenden
  • Virtual Private Network (VPN) nutzen, um zusätzliche Datentransfers zu verschlüsseln, wenn Mitarbeiter das Internet oder Intranet von Zuhause aus nutzen
  • Sprachassistenten und andere sprachgesteuerte Geräte abschalten oder in einen anderen Raum stellen, damit diese Geräte nicht mithören und wichtige Daten an Unbefugte geraten können
  • Bestenfalls für die Arbeit und für private Zwecke verschiedene Geräte nutzen, um Datenlecks, die durch den Datentransfer über potenziell unsichere private Computer entstehen können, zu vermeiden
  • Dienstliche Geräte ausreichend gegen Diebstahl unterwegs und Zuhause absichern, das heißt, sie verschlüsseln, sobald die Arbeit daran abgeschlossen ist, und Bildschirme sperren, wenn Mitarbeiter den Raum verlassen bzw. nicht mehr daran arbeiten/eine Arbeitspause einlegen
  • Auch Zuhause darauf achten, dass nur sie den Computer nutzen, und weiterhin E-Mails mit verdächtigen Linkes oder Programme von dubiosen Webseiten vermeiden (Achtung: Die Grenze zwischen Arbeit und Privatleben verschwimmt im Homeoffice oftmals unmerklich.)
  • Bei der Wahl des Videocall-Anbieters Vorsicht walten lassen, denn Online-Meetings sind anfällig für Hacker, die sich via Einladungslinks unbemerkt einschleichen 

Neben den Homeoffice-spezifischen Maßnahmen gilt es, die bereits besprochenen Datensicherheitsstrategien eines Unternehmens auf das Heimbüro zu erweitern. Nur so lassen sich flächendeckend Daten sichern und digitale Einbrüche mit Datendiebstahl verhindern.

 
 

Was tun, wenn das Datensicherheitskonzept gescheitert ist

Sicherheitsstrategien zum Schutz von Daten können auch scheitern. In diesem Fall ist ein vorhandenes Konzept zur Schadensbegrenzung essenziell. Folgende Vorgehensweisen helfen dabei.

 

 

Schnelle Reaktion

Fällt ein Datenleck bzw. -diebstahl auf, müssen Betroffene schnell reagieren. Die verantwortlichen Schwachstellen sollten sie sofort beheben, um weitere Datenverletzungen zu verhindern. Je nach Schwere des Datenverlusts sollten Experten und eventuell sogar Strafverfolgungsbehörden beratend zur Seite stehen, um das weitere Vorgehen zu besprechen. Unabhängige Ermittler können zum Beispiel die Quelle und Ursache des Lecks feststellen und die betroffenen Systeme identifizieren.

 

Schadensbegrenzungen & Ermittlungen

Befallene Geräte sollten am besten so schnell wie möglich vom Netz genommen werden. Dies sollte aber erst nach der Expertenuntersuchung geschehen, damit nicht unversehens Beweise vernichtet werden. 

Falls es nicht schon vorher geschehen ist, sollte der Datentransfer in alle Richtungen überwacht werden, um weitere eventuelle Daten-Schlupflöcher zu entdecken. Die Aktualisierung aller Passwörter und Anmeldedaten gehört ebenfalls weit oben auf die Prioritätenliste. Zugriffe für nicht erforderliches Personal müssen eventuell weiter eingeschränkt werden.

Außerdem sollten alle Aktivitäten von Konten, Kreditkartenabrechnungen und Bezahl-Services im Blick behalten werden. Kommt es zu unerlaubten Abbuchungen, lassen sich diese zurückbuchen. Das Einfrieren von Konten oder die Erstellung von neuen Konten sind eine Überlegung wert.

 

Ehrliche Kommunikation & Hinzuziehen eines Rechtsbeistands

Ein Kommunikationsplan, mit dem sich alle betroffenen Parteien erreichen lassen, ist an dieser Stelle hilfreich. Dieser sollte Mitarbeiter, Kunden, Investoren, Geschäftspartner etc. umfassen. Das Unternehmen muss alle Betroffenen ehrlich über den Vorfall informieren.

Das Zurückhalten wichtiger Informationen führt lediglich zu weiteren Imageschäden für das Unternehmen. Eine umfassende und aufrichtige Kommunikationsarbeit beruhigt und mindert dagegen die Frustrationen aller Betroffenen. 

Dazu gehört das Antizipieren von Fragen und Kritik. Wichtig ist, Kunden, Mitarbeiter und Geschäftspartner eine Anleitung für ein weiteres Vorgehen an die Hand zu geben, falls sie von einem Datenleck betroffen waren. 

Ein Rechtsbeistand für Datenschutz und Datensicherung kann über Bundes- und Landesgrenzen hinaus beraten. Somit kann sich das Unternehmen auch auf mögliche juristische Folgen angemessen vorbereiten. 

 
 


Die it-sa 365 steht Ihnen als digitales HOME OF IT SECURITY das ganze Jahr über zur Verfügung.


Als registrierter Teilnehmer nutzen Sie die Plattform kostenlos und haben die Möglichkeit, sich 365 Tage im Jahr mit Experten zu vernetzen, untereinander Termine zu vereinbaren und im Chat oder per Videocall-Funktion in den direkten Dialog zu treten. Zudem halten wir Sie zu Neuigkeiten rund um unser digitales Programm auf dem Laufenden.