
Datenverlust im Unternehmen – Ursachen und Lösungen
Fast 95 Prozent der deutschen Unternehmen wurden 2021 Opfer von Ransomware- oder Malware-Attacken – und mehr als 80 Prozent der befragten Firmen erlitten dabei einen Verlust von Daten, die in fast der Hälfte der Fälle nicht wiederhergestellt werden konnten. Diese Zahlen zeigen, dass Unternehmen das Thema Datenverlust nicht auf die leichte Schulter nehmen sollten.
In diesem Artikel beantworten wir die folgenden Fragen:
- Welche Folgen hat der Verlust von Daten für die betroffenen Unternehmen?
- Welche Ursachen gibt es für Datenverlust im Unternehmen?
- Wie können sich Unternehmen vor Datenverlusten schützen?
Außerdem haben wir einige hilfreiche Links und Downloads für Sie zusammengestellt.
1. Mögliche Folgen des Datenverlusts
Ein Datenverlust kann unterschiedliche Konsequenzen für das betroffene Unternehmen haben. Dabei spielen mehrere Faktoren eine Rolle, etwa die Art der verlorenen Informationen (z. B. personenbezogenen Daten), die Ursachen für den Verlust (z. B. mangelhafte Sicherheitsvorkehrungen) und wie das Unternehmen damit umgeht. Genauso relevant ist die Frage nach der Wiederherstellbarkeit der Daten. Mögliche Folgen eines Datenverlusts sind:
Bußgelder
Handelt es sich bei den verlorenen Informationen um besonders schutzbedürftige – etwa personenbezogene – Daten, ist es möglich, dass Bußgelder fällig werden, etwa wegen eines Verstoßes gegen die Pflichten bei der Verarbeitung von Daten (vgl. Art. 9 bzw. Art, 11 DSGVO) oder wegen unzureichender Technikgestaltung zum Datenschutz (vgl. Art 25). Auch im Nachgang können noch Geldstrafen drohen, etwa wenn Verletzungen des Schutzes personenbezogener Daten nicht, zu spät oder in unzureichender Weise an die zuständige Aufsichtsbehörde gemeldet wurden (vgl. Art. 33 DSGVO). Verstöße gegen die Auflagen der DSGVO können Unternehmen teuer zu stehen kommen; in besonders harten Fällen drohen Strafen von bis zu bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes.
Umsatzausfall
Es kommt durchaus vor, dass ein Unternehmen durch einen Datenverlust vollständig lahmgelegt wird – etwa, wenn die abhandengekommenen Informationen für das Kerngeschäft notwendig sind. Je nachdem, wie lange der Geschäftsbetrieb zum Erliegen kommt, kann dieser Umsatzausfall schnell kostspielig werden.
Kosten für Schadensanalyse und Datenwiederherstellung
Um verlorengegangene Daten zu retten, können Unternehmen die Hilfe von professionellen Datenrettern in Anspruch nehmen – doch das wird nicht billig! Hinzu kommen Kosten für die Schadensanalyse sowie für eventuell notwendige technische oder organisatorische Maßnahmen, mit denen sich weitere Datenverluste verhindern lassen.
Vertragsstrafen
Wie bereits erwähnt, kann ein Datenverlust im Unternehmen schnell die komplette Produktion bzw. Servicetätigkeit zum Stillstand bringen. Hat das betroffene Unternehmen Verträge zu erfüllen, erreicht dieser Ausfall schnell ganz neue Dimensionen. Denn dann drohen womöglich auch noch empfindliche Vertragsstrafen.
Imageschaden
Der Imageschaden, der mit einem Datenschutzverstoß einhergeht, kann enorme wirtschaftliche Auswirkungen haben und sollte daher nicht unterschätzt werden. Wird eine Datenpanne der Öffentlichkeit bekannt, so drohen:
- Die Abwanderung von Kunden
Verbraucher sind heutzutage stärker für das Thema Datenschutz sensibilisiert als je zuvor und möchten ihre persönlichen Daten in sicheren Händen wissen. Im Falle eines Datenverlusts besteht die Gefahr, dass die Kunden den Anbieter wechseln. Im B2C-Umfeld ist das Risiko eines Imageverlusts besonders groß, aber auch B2B-Unternehmen können hiervon betroffen sein. - Der Verlust von Partnern
Ist der Ruf erst ruiniert, wenden sich unter Umständen nicht nur Kunden ab. Auch Partner wie beispielsweise Zulieferer können sich vom Unternehmen distanzieren. Sollten dadurch in der Folge Lieferketten beeinträchtigt werden, drohen weitere Umsatzverluste. - Negative Auswirkungen auf das Recruiting
Der Fachkräftemangel ist in nahezu allen Branchen ein großes Thema. Ein angekratztes Firmenimage kann da schnell zum Problem werden. Den negative Publicity bekommt in der Regel nicht nur der Vertrieb zu spüren, sondern auch die Personalabteilung.
Die direkte Haftung des Geschäftsführers
In den allermeisten Fällen haftet bei datenschutzrechtlichen Verstößen – zu denen auch ein Datenverlust gehört – das betroffene Unternehmen als „Verantwortlicher“ bzw. „datenverantwortliche Stelle“ (vgl. DSGVO Art. 82). Die persönliche Haftung des Geschäftsführers oder Vorstands ist üblicherweise ausgeschlossen. Anders sieht es jedoch bei Einzelunternehmen aus: Hier kann der Inhaber durchaus persönlich haften, da das Unternehmen mit dem Inhaber zusammenfällt. Ähnlich verhält es sich mit den Gesellschaftern einer Personengesellschaft.
2. Die 13 häufigsten Ursachen für Datenverlust
Die Ursachen für Datenverlust sind vielfältig und reichen von technischen Defekten oder unzureichenden Schutzmaßnahmen über menschliche Fehler bis hin zu kriminellen Angriffen von außen. Im Folgenden geben wir einen kurzen Überblick über die häufigsten Ursachen für den Verlust von Daten im Unternehmen.
- Cyberangriffe
Mit Abstand die häufigste Ursache für Datenverlust im Unternehmen sind Angriffe durch Hacker bzw. Cyberkriminelle. Im Jahr 2021 wurden beinahe 95 Prozent der deutschen Unternehmen Opfer von Cyberattacken – und mehr als 80 Prozent der befragten Firmen hatten dabei einen Datenverlust zu beklagen. Insgesamt entstand der deutschen Wirtschaft durch Cyberkriminalität ein Gesamtschaden von 223 Milliarden Euro.
Besonders verbreitet sind Angriffe mit Ransomware, bei denen die IT-Systeme des betroffenen Unternehmens blockiert und erst nach Zahlung eines Lösegelds wieder freigeschaltet werden.
- Malware
Nicht immer müssen Hacker dahinterstecken: Es kann schnell vorkommen, dass Mitarbeiter versehentlich Schadprogramme einschleppen, etwa durch die Nutzung privater Datenträger oder suspekter Webseiten. Die Malware kann nicht nur den Verlust wichtiger Daten bewirken, sondern im schlimmsten Fall die gesamten IT-Systeme eines Unternehmens stilllegen.
- Fehlerhafte Hardware
Ein weiterer häufiger Grund für den Verlust von Unternehmensdaten ist fehlerhafte Hardware wie beispielsweise defekte Festplatten. Oft zeigen sich diese Fehler erst, wenn die betroffenen Geräte bereits in Betrieb sind.
- Fehlerhafte Software
Auch Software-Lösungen können fehlerhaft sein und zu Datenverlusten führen, zum Beispiel indem Daten nicht korrekt gespeichert werden. Stellen die Entwickler solche Fehler fest, beheben sie diese in der Regel zeitnah mit einem Patch. Unternehmen sollten also stets darauf achten, ihre Software aktuell zu halten. Das gilt ganz besonders für Antiviren-Programme.
- Unsachgemäße Behandlung/Bedienfehler
Auch Bedienfehler können einen Datenverlust im Unternehmen zur Folge haben – etwa, wenn Mitarbeiter Dateien oder Ordner versehentlich löschen oder überschreiben. Genauso kann die unsachgemäße Behandlung von Datenträgern dazu führen, dass die darauf gespeicherten Daten verlorengehen. Während sich versehentlich gelöschte Daten oft mit überschaubarem Aufwand wiederherstellen lassen, gestaltet sich die Datenrettung bei beschädigten Datenträgern meist komplizierter und kostenintensiver.
- Mobile Geräte
Bei mobilen Geräten wie Smartphones, Laptops oder Tablets kann es sehr viel leichter passieren, dass Daten verlorengehen, als beispielsweise bei stationären Servern – einfach deswegen, weil diese Geräte häufig versehentlich beschädigt werden, etwa durch Fallenlassen, verschüttete Getränke oder extreme Temperaturen.
- Höhere Gewalt/Stromausfall
Es ist zwar selten, aber auch Naturkatastrophen und andere schwer vorhersehbare Ereignisse können zu einem Verlust von Daten führen. Dazu zählen Überschwemmungen, Brände oder Erdbeben – aber auch plötzliche Stromausfälle, beispielsweise durch Netzüberlastung oder beschädigte Leitungen.
- Abnutzungserscheinungen
Auch fehlerfreie und sachgemäß behandelte Hardware nutzt sich mit der Zeit ab. Speichermedien wie Festplatten oder Flash-Speicher unterstützen nur eine begrenzte Anzahl an Schreibprozessen – danach kann es zu Fehlern, Beschädigungen und eben Datenverlusten kommen.
- Diebstahl oder Verlust
Kompakte Speichermedien wie SD-Karten oder USB-Sticks können – genau wie mobile Geräte – schnell verlorengehen. Außerdem geraten sie leicht ins Visier von Langfingern. Das birgt die zusätzliche Gefahr, dass die Daten auch noch in die falschen Hände gelangen.
- Einbruch oder Infiltration
Stationäre Server lassen sich zwar nicht so leicht entwenden wie mobile Geräte und Datenträger, aber auch hier können sich kriminelle Subjekte unerlaubten Zugang verschaffen und Daten entwenden, beschädigen oder manipulieren. Um solchen Vorfällen vorzubeugen, sollten Unternehmen ihre Betriebs- und Serverräume physisch absichern.
- Zugänge & Passwörter
Schlecht geschützte Zugänge sind ein weiterer häufiger Grund für Datenverluste in Unternehmen: Passwörter, die aus kurzen oder leicht zu erratenden Wörtern oder Phrasen wie Namen, Geburtstagen etc. bestehen, stellen für findige Hacker kein ernstzunehmendes Hindernis dar.
Umgekehrt kann es vorkommen, dass das Unternehmen das Passwort und damit den Zugang zu einer wichtigen Datenbank verliert. Experten empfehlen daher die Nutzung eines Passwortmanagers. Außerdem sollten wichtige Zugänge stets mit einem zweiten Faktor abgesichert werden.
- Schatten-IT
Auch Schatten-IT kann zu Datenverlusten führen. Als „Schatten-IT“ bezeichnet man Systeme oder Prozesse, die sich in Unternehmen parallel zur offiziellen IT-Infrastruktur entwickeln – beispielsweise, indem bestimmte Abteilungen ohne Absprache neue Software oder Geräte einführen. Diese stellen zusätzliche Einfallstore für Cyberkriminelle dar, die das Unternehmen nicht überwachen kann.
Dadurch, dass unterschiedliche Systeme zum Einsatz kommen, kann es außerdem erforderlich sein, die Daten vor der Nutzung erst umzuwandeln. Dabei kann es auch zum Verlust von Unternehmensdaten kommen.
- Ehemalige Mitarbeiter
Wenn Kollegen das Unternehmen verlassen, kommt es nicht selten vor, dass sie auch weiterhin Zugriff auf die IT-Systeme haben. Das kann Unternehmen leicht zum Verhängnis werden. So kann es beispielsweise passieren, dass Dritte auch Jahre später noch Login-Daten für Unternehmens-IT auf schlecht gesicherten privaten Systemen finden und sich so Zugang zu Systemen und Daten verschaffen können.
3. Neun Tipps: So schützen Sie Ihr Unternehmen vor Datenverlust
Im Folgenden zeigen wir Ihnen, mit welchen Maßnahmen Unternehmen sich und ihre Mitarbeiter schützen können.
Tipp 1: Speichermedien regelmäßig austauschen
Wie bereits erwähnt, haben Speichermedien nur eine begrenzte Lebensdauer. Festplatten, Flash-Speicher und optische Medien nutzen sich mit der Zeit ab, was am Ende des Lebenszyklus zu Zugriffsproblemen und im schlimmsten Fall zum Verlust von Daten führen kann. Diese Hardware gilt es also, regelmäßig und rechtzeitig auszutauschen.
Tipp 2: Identitäts- und Zugriffsmanagement betreiben
Die Systeme eines Unternehmens sollten nur von dazu berechtigten Personen genutzt werden – doch das zu gewährleisten, ist in Zeiten von Internet und Remote Work gar nicht mehr so einfach. Zugänge einfach mit Passwörtern abzusichern, reicht nicht aus.
Unternehmen, die sicherstellen wollen, dass Zugriffsdaten nicht gefälscht oder abgefangen werden, brauchen daher Lösungen, die ihnen beim Verwalten und Überwachen der (Nutzer-)Identitäten und ihrer Berechtigungen helfen. Die Rede ist von Identitäts- und Zugriffsmanagement (Identity and Access Management, kurz IAM).
IAM besteht aus den Systemen und Prozessen, die es IT-Administratoren ermöglichen,
- jeder Entität eine einzige digitale Identität zuzuweisen
- diese Identität bei der Anmeldung zu authentifizieren
- ihr Zugriff auf bestimmte Ressourcen zu gewähren und
- diese Identität während ihres gesamten Lebenszyklus zu überwachen und zu verwalten.
Übrigens: Nicht nur Personen, sondern auch (IoT)-Geräten und APIs können eigene Identitäten mit entsprechenden Zugriffsrechten zugewiesen werden.
Tipp 3: Eine Backup-Strategie entwickeln (und umsetzen!)
Um sich effektiv gegen Datenverlust zu schützen, empfiehlt es sich, eine gut durchdachte Backup- und Recovery-Strategie parat zu haben.
Eine solche Strategie reduziert – richtig umgesetzt – das Risiko eines kritischen Datenverlusts auf ein Minimum. Die Datensicherung sollte dabei entweder regelmäßig oder abhängig vom Umfang der erzeugten Daten erfolgen; Unternehmen sollten also einen strategisch sinnvollen Zeitpunkt für das Backup wählen.
Tipp 4: Externe Angriffe abwehren (Security-Mix)
Um sich vor Datenverlusten durch Cyberkriminelle zu schützen, müssen Unternehmen in der Lage sein, sich gegen externe Angriffe zu wappnen. Dabei hilft der richtige Security-Mix, der sich unter anderem nach Art und Größe des Unternehmens richtet.
Er umfasst typischerweise Maßnahmen wie:
- Einrichtung und Verwaltung von Firewalls und Anti-Viren-Software
- Absicherung des E-Mail-Verkehrs (z. B. durch Verschlüsselung oder Third-Party-Tools)
- Einrichtung von VPN-Lösungen (z. B. für Mitarbeiter im Homeoffice)
- Nutzung hochsicherer Cloud-Collaboration-Lösungen
- Absicherung von Zugängen (z. B. durch einen zweiten Faktor)
- Monitoring der Systeme und des Netzwerkverkehrs
Tipp 5: Patch-Management betreiben
Veraltete Software kann zu Datenverlusten führen. Durch Patches lassen sich Fehler und Sicherheitslücken beheben – manchmal treten dadurch aber auch neue Probleme auf. Daher ist es wichtig, proaktives Patch-Management zu betreiben. Dazu gehört beispielsweise, Informationen zu Patches einzuholen oder sie in einer Testumgebung laufen zu lassen, bevor sie unternehmensweit aufgespielt werden. Auf keinen Fall sollten ungeschulte Mitarbeiter auf eigene Faust Patches installieren.
Tipp 6: Schutz gegen Überspannung & Stromausfälle
Zudem sollten Unternehmen ihre IT-Systeme gegen Überspannung und Stromausfälle absichern. Dabei helfen technische Maßnahmen wie Spannungsfilter und eine unterbrechungsfreie Stromversorgung. Auf keinen Fall sollten Unternehmen hier am falschen Ende sparen und auf billige Komponenten setzen – diese stellen eher ein zusätzliches Risiko dar. Wichtig: Die Installation unbedingt von Fachpersonal durchführen lassen, um Fehlerquellen zu vermeiden!
Tipp 7: Schulungen der Mitarbeiter durchführen
Menschliches Versagen ist immer noch einer der größten Risikofaktoren, wenn es um die Sicherheit von Daten im Unternehmen geht. Für Unternehmen gilt es daher, ihre Mitarbeiter entsprechend zu schulen. Das verringert die Wahrscheinlichkeit, dass Kollegen versehentlich Daten löschen oder auf Phishing-Mails hereinfallen.
Tipp 8: Schatten-IT vorbeugen
Schatten-IT ist ein Risikofaktor, dem sich durch Aufklärung und entsprechende Richtlinien vorbeugen lässt: Es gilt, klare Regeln aufzustellen und zu kommunizieren, wer unter welchen Voraussetzungen Änderungen an den bestehenden IT-Systemen vornehmen darf. Dazu gehört auch die Einführung neuer Hard- und Software oder Dienste.
Tipp 9: Einen Notfallplan entwickeln
Egal, wie gut sich ein Unternehmen gegen Datenverlust schützt: Es kann immer etwas schiefgehen. Für diesen Fall empfiehlt es sich, einen Notfallplan parat zu haben. Hier wird festgehalten, wie sich das Unternehmen im Ernstfall verhält: Welche Schritte in welcher Reihenfolge sind erforderlich und wer ist verantwortlich für die Durchführung? Dazu gehören nicht nur Initiativen zur Schadensbegrenzung und Wiederherstellung der verlorenen Daten, sondern auch zur Kommunikation mit Kunden, Partnern und den zuständigen Behörden.
4. Verlagerung der Daten in die Cloud
„Die Cloud klaut“? Schon lange nicht mehr! Im Gegenteil, die Cloud ist heutzutage sicherer denn je – und meistens sogar sicherer als On-Premise-Systeme, also IT-Systeme in den eigenen vier Wänden. Es ist also eine gute Strategie, Daten (zusätzlich) in die Cloud zu verlagern, um sich gegen Datenverlust im Unternehmen zu schützen.
Die Verlagerung von Unternehmensdaten in die Cloud bietet mehrere konkrete Vorteile:
- Hohe physikalische Sicherheit
Rechenzentren verfügen nicht nur über professionelle Hardware, sondern in der Regel auch über redundante Systeme bzw. Backup-Server, Maßnahmen gegen Eindringlinge sowie Schutz gegen Überspannung, Stromausfälle, Brände und Wasserschäden.
- Hohes technisches Know-how
Was den Schutz und die Bereitstellung von Daten angeht, verfügen Cloud-Anbieter in der Regel über exzellentes Know-how – schließlich handelt es sich dabei um ihr Kerngeschäft. Selbst den IT-Abteilungen großer Unternehmen fällt es schwer, da mitzuhalten.
- Georedundanz
Die meisten Cloud-Provider praktizieren Georedundanz. Das heißt, Daten werden nicht nur an einem Ort gespeichert, sondern es existieren Kopien in mehreren, geographisch getrennten Rechenzentren. Das hilft, Datenverlusten (etwa durch Schäden in einem Rechenzentrum) vorzubeugen.
- Geringere Wahrscheinlichkeit für menschliches Versagen
Menschliche Fehler wie beispielsweise die versehentliche Löschung von Daten lassen sich in der Cloud leichter vermeiden – beispielsweise, indem Nutzern die entsprechenden Berechtigungen entzogen werden. Hinzu kommt, dass sich versehentlich gelöschte Daten bei vielen Cloud-Angeboten wiederherstellen lassen – dafür sorgen beispielsweise Backup-Funktionen.
- Sehr gute Kontrolle und Überblick über die Nutzeraktivitäten
Die meisten Cloud-Angebote bieten durch ihre Nutzerverwaltung sehr gute Möglichkeiten, den Zugang zu bestimmten Daten und die Berechtigungen einzelner Nutzer zu kontrollieren. Außerdem lassen sich die Aktivitäten der Nutzer – beispielsweise in einem virtuellen Datenraum – lückenlos aufzeichnen.
Natürlich gilt es bei der Migration in die Cloud einiges zu beachten. Beispielsweise ist vorab zu klären, welche Daten in die Cloud übertragen werden sollen. Hierbei hilft eine Klassifizierung bzw. Kategorisierung der Unternehmensdaten.
Anschließend ist zu bewerten, welchen Schutzbedarf die Daten haben. Denn für bestimmte Informationen wie beispielsweise personenbezogene Daten, Finanz- und Gesundheitsdaten oder Berufsgeheimnisse nach § 203 StGB gelten besondere Auflagen, denen nicht nur die Unternehmen, sondern auch die von ihnen genutzten Cloud-Provider entsprechen müssen. Für die Ermittlung der erforderlichen Sicherheit eignet sich beispielsweise dieser Schutzbedarfsrechner.
Darüber hinaus sollten Unternehmen prüfen, ob sie neben den gesetzlichen Auflagen noch eigene Anforderungen haben, etwa was Benutzerverwaltung, Protokollierung oder bestimmte Tools zur digitalen Zusammenarbeit betrifft. Sollen zum Beispiel Daten nicht einfach abgelegt, sondern mit Kunden, Partnern und Kollegen geteilt und bearbeitet werden, empfiehlt sich die Nutzung eines virtuellen Datenraums. Dabei handelt es sich um eine cloudbasierte Umgebung mit einem besonders hohen Sicherheitsniveau. Ein virtueller Datenraum ermöglicht den geschützten Austausch digitaler Dokumente sowie deren sichere und gemeinsame Bearbeitung. Alle Aktionen werden revisionssicher protokolliert, Zugriffs-, Lese- und Schreibrechte sind individuell anpassbar.
Worauf Unternehmen bei der Wahl eines geeigneten Cloud-Angebots sonst noch achten sollten, erfahren Sie in unserer kostenlosen Checkliste „Auswahl eines Cloud-Dienstes“.
Fazit
Bei all den potenziellen Ursachen wird schnell klar: Ein Datenverlust lässt sich nie zu 100 Prozent ausschließen. Ein gewisses Restrisiko gibt es immer. Doch die Wahrscheinlichkeit, Daten dauerhaft zu verlieren, lässt sich mit entsprechenden Maßnahmen und Vorkehrungen signifikant reduzieren. Einer der sichersten Wege, einem Datenverlust vorzubeugen, ist die Migration sensibler Daten in die Cloud – natürlich unter Beachtung der entsprechenden rechtlichen Auflagen.
Angesichts der Anforderungen, die Remote Work und die fortschreitende Digitalisierung mit sich bringen, ist es für Unternehmen ratsam, sich nach Lösungen umzusehen, die nicht nur eine sichere Speicherung, sondern auch den rechtskonformen Austausch und die geschützte digitale Zusammenarbeit an sensiblen Daten ermöglichen. Hochsichere virtuelle Datenräume sind dafür besonders geeignet.
Übrigens: Weitere Informationen zum Thema „Datensicherheit“ finden Sie in unserem kostenlosen Whitepaper „Datensicherheit: So schützen Unternehmen ihre sensiblen und geschäftskritischen Daten“.
In diesem Whitepaper erfahren Sie:
- was Datensicherheit ist und welche gesetzlichen Grundlagen es dazu gibt,
- welche Risiken sich aus mangelnder Datensicherheit ergeben und
- welche Maßnahmen Unternehmen treffen können, um sich und ihre sensiblen Daten wirksam zu schützen.
Darüber hinaus finden Sie hier nützliche Checklisten und hilfreiche Tipps rund um das Thema “Datensicherheit”.