Die Digitalisierung schreitet unaufhörlich voran und stellt Unternehmen ebenso wie Privatleute trotz schier unbegrenzter Möglichkeiten vor neue Herausforderungen. Insbesondere die Bereiche Datenschutz und Datensicherheit werden von Unternehmen häufig nicht ausreichend beachtet.
Digitalisierung nach Corona noch schneller auf dem Vormarsch
Corona, der damit verbundene Lockdown und die damit entstehende Notwendigkeit für verteiltes Arbeiten – und Lernen – hat die Digitalisierung noch einmal rasant beschleunigt. Unternehmen wagen endlich die Umstellung auf moderne VoiP-Telefonielösungen aus der Cloud, verlagern Arbeit ins Home-Office und ihr Marketing noch stärker auf digitale Kanäle, um die in diesen Zeiten notwendige Reichweite zu generieren.
Fakt ist: Die Digitalisierung macht Unternehmen effizienter, spart in vielen Fällen Kosten, macht das Arbeiten schlicht und ergreifend einfacher und moderne Formen der Kommunikationen überhaupt erst möglich. Aber wie sieht es mit der Sicherheit der Daten aus?
Neue Technik birgt neue Risiken, denen man sich bewusst sein muss. Durch die Vernetzung von allem und jedem entstehen immer wieder Lücken, die sich Cyberkriminelle – nicht selten zwecks Spionage, beauftragt von der Konkurrenz – zunutze machen.
70 % der deutschen Unternehmen von Cyberangriffen betroffen
Laut Branchenverband Bitkom waren im Jahr 2018 in etwa 70 Prozent aller deutschen Unternehmen von Cyberangriffe betroffen – nachweislich. Die Dunkelziffer ist den Experten zufolge deutlich höher.
Dass Lecks in der IT-Sicherheit für interne, rein den Betrieb betreffende Informationen gefährlich sind, ist klar und am Ende des Tages Sache des Unternehmens. Geht es jedoch um personenbezogene Daten, zum Beispiel Kundendaten, müssen gesetzliche Anforderungen erfüllt werden.
Konkret wird der Gesetzgeber mit den technischen und organisatorischen Maßnahmen gemäß Art. 32 Datenschutz-Grundverordnung (DSGVO). Dazu zählt beispielsweise das Trennungsgebot, welches besagt, dass zu unterschiedlichen Zwecken erhobene Daten getrennt zu verarbeiten sind.
Zutritts- und Zugangskontrolle regeln den Zutritt zu den Datenverarbeitungsanlagen und verhindern, dass Unbefugte diese Datenverarbeitungsanlagen nutzen können. Denn es ist ein Trugschluss zu glauben, dass interne Kommunikationsnetzwerke sicher seien, nur weil sie scheinbar vom Internet und damit von der Außenwelt abgeschnitten sind.
Weitere Maßnahmen sind die Weitergabe-, Eingabe-, Auftrags- und Verfügbarkeitskontrolle. Letztere soll gewährleisten, dass Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Häufig reicht hier eine gute Backup-Strategie. Die oft aufwendige, professionelle Datenrettung durch einen Spezialisten kann man sich damit sparen, ist im absoluten Notfall aber Gold wert.
IT-Sicherheit in Unternehmen auf dem Prüfstand
Um den Status Quo in puncto Datensicherheit, Informationssicherheit und Datenschutz in Unternehmen zu testen, empfehlen IT-Security-Experten einen sog. Penetrationstest. Dabei hacken die Profis Unternehmen in deren Auftrag – ganz legal, aber mit den gleichen Methoden, die auch Kriminelle zur Penetration unternehmenseigener Netzwerke und Systeme nutzen würden.
Ziel des Sicherheitsaudits ist es, konkrete Schwachstellen aufzudecken, um diese später zu schließen zu können. Häufige Sicherheitslücken finden sich jedoch nicht nur auf der technischen Seite, zum Beispiel bei einer unzureichenden Passwort-Sicherheit im Unternehmen. Auch der Mensch selbst steht häufig mitten im Fadenkreuz der Angreifer. Unter dem Begriff Social-Engineering versteht man die persönliche Beeinflussung von Personen mit dem Ziel, an konkrete Informationen zu gelangen.
Diese Informationen müssen nicht immer das Endziel darstellen, sondern dienen häufig der Vorbereitung und Durchführung weiterer und dann möglicherweise rein technischer Hackerattacken. Gute Pentester decken deshalb auch diesen Bereich ab und empfehlen Schulungen, um Mitarbeiter/innen und Führungskräfte für die Thematik zu sensibilisieren.