Schutz kritischer Unternehmensdaten

Die 5 größten Datenverlustrisiken

12.12.2020
Von 


Michael Kretschmer ist VP EMEA von Clearswift RUAG Cyber Security.
Erfahren Sie, welchen Risiken sensible Unternehmensdaten ausgesetzt sind und welche Schutzmaßnahmen Sie ergreifen sollten.

Die kritischen Informationen eines Betriebes gehören mittlerweile zu den wertvollsten Unternehmenswerten. Darüber hinaus ist mit dem Inkrafttreten der DSGVO die Einhaltung von Datenschutzvorschriften zu einem entscheidenden Faktor geworden, der in die betriebsinterne Informationssicherheitsstrategie integriert werden sollte.

E-Mail- und Web-basierte Angriffe sind die häufigsten Angriffsvektoren. Zum Schutz gilt es, sowohl technische Lösungen einzusetzen als auch Mitarbeiter aufzuklären und zu schulen.
E-Mail- und Web-basierte Angriffe sind die häufigsten Angriffsvektoren. Zum Schutz gilt es, sowohl technische Lösungen einzusetzen als auch Mitarbeiter aufzuklären und zu schulen.
Foto: SkillUp - shutterstock.com

Aus diesem Grund ist es wichtig, dass Firmen ein klares Verständnis über die verschiedenen Bedrohungen für die Sicherheit ihrer Daten gewinnen. Erst dann können sie die richtigen Tools, Technologien und Prozesse einsetzen, um Datenschutzverletzungen zu verhindern.

Die bedeutendsten Bedrohungsherde

E-Mail und Web (einschließlich Cloud-Anwendungen) sind die beiden häufigsten Kanäle für die geschäftliche Zusammenarbeit auf der ganzen Welt. Diese Kommunikationskanäle haben es Unternehmen in den letzten beiden Jahrzehnten ermöglicht, die globale Reichweite zu erweitern, die betriebliche Effizienz zu steigern und das Geschäftswachstum voranzutreiben. Angesichts der deutlich zunehmenden Anzahl von Sicherheitsverletzungen innerhalb der letzten Jahre stellen sie jedoch auch ein erhöhtes Risiko für Cyberangriffe und Datenlecks dar.

Lesetipp: Cyberangriffe managen - Sind Sie bereit, gehackt zu werden?

Wissen über schützenswerte Informationen als Basis

Die zunehmenden IT-Sicherheitsverletzungen variieren zwar in ihrer Natur, aber das Ergebnis ist meist dasselbe: Reputationsschäden und finanzielle Verluste. Die Frage, die sich Betriebe also stellen sollten, lautet: "Was genau wird als 'kritische Information' betrachtet?"

Unabhängig davon, in welcher Branche ein Unternehmen tätig ist, verfügen alle Firmen über sensible oder vertrauliche Daten. Dazu zählen personenbezogene Daten wie etwa Mitarbeiterdatensätze, Kundendaten und -dateien sowie Finanzdaten und -berichte, Projektdaten, medizinische Aufzeichnungen, geistiges Eigentum und IT-Daten (Systeme, Software, Drucker, Netzlaufwerke etc.).

Diese Liste lässt sich um weitere, branchenspezifische Daten erweitern. Im Wesentlichen sind besonders schützenswerte Informationen solche, die

  • Schäden anrichten können, sollten sie in die Hände von Wettbewerbern fallen;

  • sich auf Kunden auswirken können, wenn sie gestohlen werden oder verloren gehen;

  • regulatorische Probleme verursachen könnten.

Ein gutes Verständnis der wichtigsten Sicherheitsbedrohungen für kritische Informationen sorgt dafür, dass Unternehmen einen kosteneffizienten Schutz einführen können. Im Grunde gibt es zwei Bedrohungskategorien für die Informationssicherheit: Interne und externe Bedrohungen.

Gefahren von innen

Im Folgenden geht es zunächst um die wichtigsten Gefahrenquellen, die sich im Unternehmen selbst befinden.

1. Unwissenheit oder Mangel an Verständnis

Die größte Gefahr für die IT-Sicherheit innerhalb eines Betriebs ist mangelndes Verständnis von Risiken und ihren Konsequenzen. Alle Mitarbeiter aufzuklären und für Bedrohungen zu sensibilisieren ist ein kostengünstiger Weg, um das Gefährdungspotenzial zu reduzieren und eine Kultur des Sicherheitsbewusstseins zu schaffen. Dabei ist es wichtig, alle Hierarchieebenen abzudecken, von der Führungsebene bis zu den Auszubildenden.

Lesetipp: Security Awareness - Social-Engineering-Angriffe erkennen und verhindern

Neben der Aufklärung gilt es, Richtlinien und festgelegte Verfahren einzuführen. Diese sollten beispielsweise klare Antworten auf Fragen geben wie: "Was kann ein Mitarbeiter tun, wenn er denkt, dass sich auf seinem Gerät ein Virus oder eine Ransomware-Infektion befindet?" oder "Was ist zu tun, wenn Informationen an eine unbefugte Person gesendet wurden - eine Tatsache, die zu einer möglichen Datenschutzverletzung führen kann?"

Datensicherheit und Datenschutz sollten dabei nicht in der Verantwortung eines kleinen Teams oder einer einzelnen Person liegen. Vielmehr sind sie ein Teil der Verantwortung aller Mitarbeiter. Die Sicherheitslage eines Unternehmens muss von oben nach unten gesteuert werden. Idealerweise sollte ein abteilungsübergreifendes Team eingerichtet werden, um die (IT-)Sicherheit effektiv zu erhöhen. Der Vorstand übernimmt dafür die Verantwortung und ermöglicht angemessene Investitionen in die erforderlichen Bereiche.

2. Versehentliche Datenlecks

Senden Mitarbeiter unabsichtlich die falschen Informationen an die falsche Person wird dies als "versehentliches" Datenleck bezeichnet. Je nachdem, welche Art von Daten durchsickern, kann das Ergebnis verheerend sein. So könnten beispielsweise im Rahmen der DSGVO hohe Bußgelder verhängt werden, wenn die kompromittierten Daten EU-Bürger betreffen.

Viele Unternehmen sind sich dieser Tatsache nicht bewusst, aber tatsächlich werden tagtäglich vertrauliche Daten ohne Absicht aus dem Unternehmen herausgeleitet. Sensible Metadaten (Autorennamen, Track-Änderungen, Drucker- und IT-Systemdaten) werden in Dokumente und Dateien eingebettet oder angehängt, an denen das jeweilige Team arbeitet. Sie können sowohl sensible Informationen enthalten, als auch für Phishing-Attacken und andere externe Angriffe missbraucht werden. Diese Daten gilt es zu sichern und davor zu schützen, das Unternehmen zu verlassen.

Oftmals ist es auch die von außen frei zugängliche Website des Unternehmens, die eine reiche Quelle für Phishing-Material darstellt, das von Cyber-Kriminellen gesichtet und im Dark Web verkauft werden kann. Beispielsweise hat die australische Bundespolizei versehentlich Unterlagen mit personenbezogenen Daten aus einem Strafverfahren auf eine Website hochgeladen. Die sensiblen Informationen konnten von jedermann frei heruntergeladen werden. Ein weiteres Beispiel ist die australische/neuseeländische ANZ Bank, die unbeabsichtigt ihre Daten zum Ende des Geschäftsjahres zur falschen Zeit auf eine Website gestellt hatte. Das führte dazu, dass der Handel für vier Tage unterbrochen werden musste.

Die Quintessenz solcher Fälle ist, dass Missgeschicke passieren. Allerdings es gibt Tools, die das Team und das jeweilige Unternehmen vor dieser Art von Datenverlust schützen. Die Metadaten lassen sich beispielsweise mittels Dokumentenbereinigung (Sanitization) entfernen. Dies kann manuell gemacht werden, allerdings können dabei menschliche Fehler passieren, so dass auch automatisierte Lösungen in Betracht gezogen werden sollten.