Datensicherheit: Oft unterschätzt, wichtiger denn je
Datensicherheit ist in der heutigen internetgestützten Geschäftswelt unerlässlich. Denn: Betriebliche Informationsflüsse erfolgen zunehmend digital – und die Menge der verarbeiteten Daten steigt dabei täglich an. Für Unternehmen wächst damit auch die Gefahr, ins Visier von Cyberkriminellen zu geraten.
Für Unternehmen ist es eine ständige Herausforderung, sichere Netzwerke zu schaffen, Maßnahmen für die Sicherheit kritischer Anlagen und Datenbanken zu treffen und den Schutz der persönlichen Daten der Kunden zu gewährleisten. Schnell wird das Thema aufgrund seiner Komplexität zur Seite gestellt, nach dem Motto: „Das machen wir später.“
Doch Vorsicht: Jährlich entsteht allein deutschen Unternehmen laut Digitalverband Bitkom ein Schaden von mehr als 220 Milliarden Euro durch Cyberangriffe. Meist ist mangelnde Datensicherheit die Ursache – die Folge ist in jedem Fall ein finanzielles Fiasko. Nicht nur drohen den betroffenen Unternehmen wirtschaftliche Schäden, auch das Firmenimage leidet nachhaltig. Wie das Bundeskriminalamt im Bundeslagebild Cybercrime verlauten ließ, hat die Zahl erfasster Cyberstraftaten mit 146.363 Delikten im Jahr 2021 eine Rekordmarke erreicht – verglichen mit dem Vorjahr entspricht dies einem Zuwachs von mehr als zwölf Prozent. Insbesondere das dezentrale Arbeiten birgt dabei ein hohes Risikopotenzial für die Unternehmenssicherheit. Einer Studie zufolge haben Cyberangriffe bei 90 Prozent der befragten deutschen Unternehmen seit Beginn der COVID-19-Pandemie zugenommen.
In diesem Blogbeitrag klären wir die wichtigsten Fragen rund um das Thema Datensicherheit:
- Was ist Datensicherheit und welche gesetzlichen Grundlagen gibt es dazu?
- Welche Maßnahmen zur Datensicherheit gibt es?
- Welche Ziele verfolgt Datensicherheit?
- Was ist der Unterschied zwischen Datenschutz und Datensicherheit?
- Warum ist Datensicherheit wichtig?
- Welche Risiken/Gefahren entstehen aus mangelnder Datensicherheit?
Außerdem erfahren Sie, mit welchen Maßnahmen Sie die Datensicherheit in Ihrem Unternehmen signifikant verbessern können.
Was ist Datensicherheit?
Im Sprachgebrauch werden die Begriffe „Datensicherheit“ und „Datenschutz“ gern synonym verwendet. Doch auch wenn beide Konzepte das gleiche übergeordnete Ziel – nämlich den Schutz von Daten – verfolgen und eng miteinander verzahnt sind, gibt es Unterschiede.
Datenschutz
Der Datenschutz befasst sich ausschließlich mit personenbezogenen Daten und den rechtlichen Voraussetzungen dafür, diese erheben, verarbeiten und speichern zu dürfen. Das Hauptaugenmerk liegt hier also nicht auf dem Inhalt der Daten, sondern vielmehr auf dem Schutz der Privatsphäre und der informationellen Selbstbestimmung. Als „personenbezogen“ gelten Daten, aus denen sich ein direkter Bezug zu einer bestimmten Person herstellen lässt. Hierzu gehören außer dem Namen auch die Mobilfunknummer, die Anschrift, E-Mail-Adresse, die Personalnummer oder sogar GPS-basierte Standort-Daten.
Datensicherheit
Unter „Datensicherheit“ hingegen versteht man die ausreichende Absicherung von Daten jeglicher Art gegen Verlust, Diebstahl, Manipulation (Verfälschung), unautorisierten Zugriff, Löschung und ähnliche Bedrohungen. Dabei ist es unerheblich, ob die Informationen in digitaler Form oder analog vorliegen. Anders als beim Datenschutz geht es bei der Datensicherheit allerdings auch um solche ohne Personenbezug – wie Konstruktionspläne, Dokumente zur Unternehmensstrategie und andere firmenrelevante Interna. Die Datensicherheit befasst sich also nicht mit rechtlichen Bedingungen der Erhebung und Verarbeitung, sondern um Maßnahmen, die es zu ergreifen gilt, um die Daten ausreichend zu schützen. Somit ist Datensicherheit der Zustand, der mithilfe sinnvoller Initiativen erreicht werden soll.
Für wen ist Datensicherheit wichtig und warum?
Die kurze Antwort: Datensicherheit betrifft alle! Die lange Version: Sie ist ein Muss für jedes Unternehmen, ob groß oder klein. Der Datensicherheit und dem Datenschutz liegen eine ganze Reihe gesetzlicher Regelungen zugrunde, deren Nichteinhaltung bisweilen Millionen von Euro an Geldstrafen und Kosten für Gerichtsverfahren verursachen können. Die schlechte Publicity und ein nachhaltig geschädigtes Firmenimage gibt es kostenlos dazu.
Hier ein kurzer Überblick über die verschiedenen Gesetze:
Aber von den hohen Bußgeldern einmal ganz abgesehen: Bereits die pure Störung des Geschäftsbetrieb ist mit hohen Kosten für die betroffenen Unternehmen verbunden, egal, ob sie etwa durch menschliches Versagen oder einen simplen technischen Defekt verursacht wurde. Es sollte daher im Interesse jedes Einzelnen sein, Datensicherheit zu gewährleisten.
Weitere potenzielle Schäden, die aufgrund von Mängeln in der Informationssicherheit entstehen können, sind:
- Verlust der Verfügbarkeit: Sind unternehmensrelevante Daten nicht mehr zugänglich, ist dies meist damit verbunden, dass gewisse Aufgaben nicht mehr ausgeführt werden können. Beim Ausfall bestimmter IT-Systeme etwa sind Produkt- oder Kundendaten nicht mehr verfügbar. Mögliche Folge: Geldtransaktionen sind nicht möglich, Online-Bestellungen lassen sich nicht tätigen, die Produktion kommt zum Stillstand.
- Verlust der Vertraulichkeit von Informationen: Nicht nur der Kunde möchte, dass seine personenbezogenen Daten vertraulich behandelt werden, auch sollte dem Unternehmen selbst daran gelegen sein, Interna nicht offenzulegen. Denn vertrauliche Daten in Bezug auf Umsatz, Forschung und Entwicklung dürften insbesondere den Wettbewerb interessieren. Sind es besonders schützenswerte Informationen, die offengelegt werden, sind die Konsequenzen umso schmerzhafter – und bisweilen geschäftsschädigend.
- Verlust der Integrität (Korrektheit) von Daten: Durch ge- oder verfälschte Daten kommt es unter Umständen zu Fehlbuchungen, falschen Lieferungen oder dazu, dass die Informationen nicht der korrekten Person zugeordnet werden. So kann es passieren, dass Zahlungsanweisungen oder Bestellungen zulasten des „falschen“ Adressaten gehen. Ebenso ist eine Fälschung der digitalen Identität möglich – etwa dadurch, dass ungesicherte digitale Willenserklärungen nicht mit den richtigen Personen verknüpft werden.
Sie sehen selbst: Unabhängig davon, wie groß oder klein ihr Unternehmen ist –für größtmögliche Datensicherheit zu sorgen, ist unerlässlich. Welche Maßnahmen Ihnen dafür zur Verfügung stehen, zeigen wir im Folgenden.
Übrigens: Weitere Informationen zum Thema „Datensicherheit“ finden Sie in unserem kostenlosen Whitepaper „Datensicherheit: So schützen Unternehmen ihre sensiblen und geschäftskritischen Daten“.
In diesem Whitepaper erfahren Sie:
- was Datensicherheit ist und welche gesetzlichen Grundlagen es dazu gibt,
- welche Risiken sich aus mangelnder Datensicherheit ergeben und
- welche Maßnahmen Unternehmen treffen können, um sich und ihre sensiblen Daten wirksam zu schützen.
Darüber hinaus finden Sie hier nützliche Checklisten und hilfreiche Tipps rund um das Thema “Datensicherheit”.
Welche Risiken bestehen bei unzureichender Datensicherheit?
Sicherheitsverletzungen ziehen Konsequenzen nach sich, und es ist nur eine Frage der Zeit, bis diese Folgen die Kosten für das Implementieren von Datensicherheits-Maßnahmen überwiegen. Zu den größten Risiken zählen Wirtschaftsspionage, Sabotage und Datendiebstahl. Der Kreativität von Cyberkriminellen sind dabei kaum Grenzen gesetzt. Auch die Art der Einfallstore ist vielfältig: So sind unverschlüsselte oder mit Malware infizierte USB-Sticks ebenso ein Sicherheitsrisiko für Firmen wie lückenhafte Firewalls und – allen voran – professionelle Phishing-E-Mails.
Welche Maßnahmen gibt es, um Datensicherheit zu gewährleisten?
Eines ist klar: 100-prozentige Sicherheit vor Cyberangriffen gibt es nicht. Schon allein aufgrund der sich in rasendem Tempo ändernden Betrugsmaschen bleibt immer eine gewisse Gefahr, dazu kommen täglich mehrere hunderttausend neue Malware-Typen. Und auch gegen menschliches Fehlverhalten und technische Defekte ist kein Unternehmen gefeit. Dennoch lässt sich das Risiko zumindest gering halten, indem bestimmte Vorkehrungen getroffen werden. Insbesondere die folgenden technischen und organisatorischen Maßnahmen sind daher für die Datensicherheit ein- und umzusetzen.
Technische Maßnahmen
Grundsätzlich gilt es, Unbefugten den Zugriff auf rein für den internen Gebrauch ausgelegte Daten so gut wie möglich zu erschweren und gewisse „Standardmaßnahmen“ zu ergreifen.
- Technische Maßnahme Nummer eins: Verschlüsselung der Daten bei der Übermittlung.
- Auch sollte jeder Rechner, ebenso wie die internen Systeme eines Unternehmens, passwortgeschützt sein.
- Vornehmlich dann, wenn die Daten nur in digitaler Form existieren, sind regelmäßige Sicherungskopien und Datensicherungen unabdingbar.
- Das Unternehmensnetzwerk ist mit einer Firewall zu versehen, damit Hackern keine Angriffsfläche geboten wird und Unbefugte keinen Zugriff haben.
- Besonders sensible Informationen wie Kunden-, Patienten- oder Mandantenakten sind unter Verschluss zu halten.
- Ratsam ist, den Datenverarbeitungsprozess genauestens zu dokumentieren. Hierzu gehört etwa der Vermerk mit einem eventuellen Bearbeitungsdatum und dem Namen der Person, die die Änderungen vorgenommen hat, sodass es jederzeit möglich ist, eventuelle Modifikationen nachzuvollziehen.
- Firewalls und Antivirenprogramme sollten stets aktuell gehalten werden, um einen möglichst umfassenden Schutz gewährleisten zu können.
Organisatorische Maßnahmen
Datensicherheit hängt allerdings nicht nur von technischen Gegebenheiten ab. Infrastrukturelle wie organisatorische und personelle Rahmenbedingungen sind ebenfalls entscheidende zu beachtende Faktoren. Immerhin ist einer der größten Risikofaktoren für Unternehmen in Bezug auf den Schutz sensibler Daten nach wie vor die Belegschaft. Vielen Mitarbeitern ist schlichtweg nicht klar, welche klaffenden Sicherheitslücken durch nicht ausreichend gesicherte mobile Endgeräte oder die Nutzung unsicherer Cloud-Lösungen entstehen. Unabdingbar also, das Personal mit ins Boot zu holen und sie im richtigen Umgang mit den zu schützenden Informationen zu schulen.
Maßnahmen zur Mitarbeitersensibilisierung für Datensicherheit
Schulungen schärfen das Bewusstsein der Belegschaft für mögliche Risiken und die richtige Handhabung von Daten. Dabei ist es aber nicht mit einem einmaligen Training getan. Vielmehr lautet die Devise „steter Tropfen höhlt den Stein“ – regelmäßige Auffrischungskurse sind hier also ratsam.
Verhaltensrichtlinien und Verantwortlichkeiten festlegen
Richtlinien, wer welche Daten wie nutzen darf und soll, schaffen Klarheit. Unternehmen sollten daher Verantwortlichkeiten ebenso definieren wie Benutzerrollen und die damit verbundenen Aufgaben. Das wiederum dient sodann als Grundlage für die Erteilung von Berechtigungen.
Datenklassifizierung
Ebenfalls sinnvoll ist eine Klassifizierung der Daten. Hierunter versteht man die Sortierung von Daten in bestimmte Kategorien. So etwa bieten sich folgende Standardkategorien für die Einteilung der Informationen:
- Öffentliche Daten: Daten, die in diese Kategorie fallen, sind häufig für die Öffentlichkeit frei zugänglich und müssen daher nicht speziell geschützt werden. Hierzu gehören etwa Kontaktdaten zur Serviceabteilung, Referenzen, Preislisten und Ähnliches.
- Vertrauliche Daten: Solche Informationen sind nicht für die Öffentlichkeit bestimmt und unterliegen daher gewissen Sicherheitsanforderungen. Hierzu zählen etwa Organigramme, Marketing-Kampagnen und Ähnliches.
- Geheime Daten: In diese Gruppe fallen hochsensible Daten. Eine Offenlegung dieser Informationen würde ein finanzielles oder rechtliches Risiko für das Unternehmen darstellen, weshalb ein besonders hoher Schutz dieser Daten zu gewährleisten ist. Beispiele hierfür wären personenbezogene Daten, Zugangs-, Patienten- und Gesundheitsdaten oder Geschäftsgeheimnisse.
Selbstverständlich ist auch eine solche Kategorisierung kein Allheilmittel für den Datenschutz. Sie allein schützt weder vor Angriffen noch garantiert sie Rechtssicherheit. Dennoch bietet eine gut durchdachte Klassifizierung der im Unternehmen verarbeiteten Daten diverse Vorteile: Zum einen vereinfacht sie das Auffinden der Daten. Zum anderen gestattet sie eine leichtere Risikobewertung und somit eine Priorisierung der für die Sicherheit der Daten zu ergreifenden Maßnahmen. Eine fehlerhafte Kategorisierung etwa kann dazu führen, dass unternehmenskritische Informationen versehentlich nicht genug gesichert werden – und somit in die falschen Hände geraten. Somit hilft eine Datenklassifizierung Unternehmen dabei, die Sicherheit erfolgskritischer Daten zu verbessern. Zudem unterstützt sie auch bei der Einhaltung gesetzlicher und/oder branchenspezifischer Vorgaben.
Nutzung virtueller Datenräume
In Zeiten von Homeoffice und internationaler Zusammenarbeit sind für viele Unternehmen Technologien unverzichtbar, die Sicherheit beim Austausch von Daten und Informationen gewährleisten. Gilt es, unbefugten Zugriff auf und Kompromittierung oder Verlust von sensiblen Daten zu verhindern, sind technische Lösungen gefragt, die weit über die Sicherheitsanforderungen herkömmlicher File-Sharing-Dienste und Public-Cloud-Lösungen hinausgehen. Genau hier greifen virtuelle Datenräume: Sie stellen nicht nur die nötige Infrastruktur bereit, sondern auch technische Schutzmaßnahmen für die Datensicherheit, die sich auch mit hohem Aufwand nicht austricksen lassen.
Unter einem virtuellen Datenraum versteht man einen Cloud-Dienst, der exakt wie ein physischer Datenraum den kontrollierten Zugang zu vertraulichen Inhalten gestattet. Dadurch eignet sich eine solche Plattform für den sicheren Austausch von Daten, Informationen und Dokumenten zwischen verschiedenen Parteien (etwa Kollegen, Kunden und Partnern). Zum Einsatz kommen virtuelle Datenräume beispielsweise bei der Umsetzung von Gemeinschaftsprojekten, Due-Diligence-Prüfungen, der Verfahrensdokumentation in der Gremien– und Vorstandskommunikation oder bei Berufsgeheimnisträgern.
Fazit: Datensicherheit – lieber früh als spät!
Die Datensicherheit ist ein zentraler Aspekt der heutigen technologischen Landschaft. Nicht zuletzt angesichts der umfassenden Gesetzeslage dürfen Unternehmen die IT- und Datensicherheit sowie den Datenschutz nicht auf die leichte Schulter nehmen. Doch fällt es bei der Anzahl an Gesetzen und Regelungen schwer, den Überblick zu bewahren. Viele Unternehmen fragen sich daher, wie sie die Anforderungen der Gesetze am besten erfüllen sollen und welche Vorkehrungen sie treffen sollten. Eines ist klar: So komplex der Schutz von Daten auch sein mag – in der heutigen Arbeitswelt ist er unabdingbar. Denn die Risiken mangelnder Datensicherheit sind nicht zu unterschätzen.
Ein guter Schritt in Richtung Datensicherheit sind virtuelle Datenräume. Die Cloud-Lösung gewährleistet eine sichere, unternehmensübergreifende Arbeit an Projekten und einfachen den Zugriff aus dem Homeoffice. Doch auch hier gilt es, bei der Wahl auf diverse Kriterien zu achten und entsprechende Maßnahmen zu ergreifen, damit sensible Daten gesetzeskonform und sicher übertragen, bearbeitet und gespeichert werden. Sprich: Die infrage kommenden Datenraumanbieter müssen auf Herz und Nieren überprüft werden. Sicher ist eben sicher!