Datensicherheit: Wie KMUs Unternehmensdaten schützen

Kürzlich hat die Studie Global Data Risk Report 2018 von Varonis gezeigt: Unternehmen zahlen heute im Durchschnitt etwa 2,4 Millionen Dollar, um den Schaden zu beheben, wenn sie Opfer einer Attacke mit Schadsoftware geworden sind. Schlauer ist es, rechtzeitig jedes Risiko zu vermeiden und in Datensicherheitsmaßnahmen zu investieren. Viele Unternehmen tun das. Die Gesamtausgaben von Unternehmen für Daten- und Informationssicherheit sind in den letzten zwei Jahren von 102 Billionen Dollar auf 124 Billionen Dollar gestiegen.
 

Warum KMUs auf Nummer sicher gehen sollten

„Es ist längst nicht mehr die Frage, ob ein Unternehmen angegriffen wird, sondern eher wann. Und das unabhängig von der Unternehmensgröße“, weiß Florian Goldenstein, Head of IT-Security bei der bei Konica Minolta Business Solutions Deutschland GmbH. „Großunternehmen sind heute immer besser auf Cyberangriffe eingestellt. Deshalb rücken zunehmend kleine und mittelständige Betriebe, kurz KMUs, in den Fokus der Cyberkriminellen“, so der Sicherheitsexperte.

Unternehmen sind bei genauer Betrachtung eine leichte Beute. So gaben in der oben genannten Studie etwa drei Viertel aller Unternehmen an, dass sie mehr als 1.000 veraltete sensible Dateien verwalten, was ein hohes Sicherheitsrisiko bedeutet. 41 Prozent aller Unternehmen berichteten sogar, dass sie über sensible Datensätze, wie zum Beispiel Kreditkartennummern oder Gesundheitsakten, verfügen, die komplett ungeschützt sind.
 

Das Datenwachstum bis zum Jahr 2025 ist gigantisch

Wer sich Prognosen der Statista GmbH zu den jährlich generierten digitalen Datenmengen weltweit anschaut, versteht sofort, wie wichtig das Thema Sicherheit jetzt bereits ist und in Zukunft sein wird. Von momentan etwa 33 Zettabyte in 2018 soll die Datenmenge bis zum Jahr 2025 auf 175 Zettabyte anwachsen. Zur Erklärung: Ein Zettabyte Speicherplatz (Speicherkapazität) entspricht 1.000 Exabytes. In Zahlen ist das eine Eins mit 21 Nullen.

Auch die Studie Data Age 2025 von IDC und Seagate geht von einem gigantischen Datenwachstum bis 2025 aus. Während bis dato Endverbraucher den Großteil der weltweit generierten Daten liefern, erwartet die Studie in Zukunft eine Verlagerung hin zu den Unternehmen. Im Jahr 2025 werden Unternehmen etwa 60 Prozent der globalen Datenmenge erzeugen, erwarten die Experten. Allein durch das Internet der Dinge (IoT), so die Studie, werden Endverbraucher 2025 durchschnittlich 4.800 Mal pro Tag mit vernetzten Geräten interagieren. Und all diese Daten gilt es zu schützen.
 

Datenwachstum braucht Datenschutz und Datensicherheit

Damit das Datenwachstum und die daraus resultierenden Datenmengen sicher verwaltet werden können, müssen zwei wichtige Konzepte ineinandergreifen: Datenschutz und Datensicherheit. Häufig werden beide Begriffe synonym verwendet, aber sie bedeuten etwas Unterschiedliches. Hier sind die zwei Definitionen:

• Die Definition für Datenschutz

Datenschutz garantiert jeder Bürgerin und jedem Bürger das Recht auf informationelle Selbstbestimmung und schützt vor missbräuchlicher Verwendung der persönlichen und personenbezogenen Daten. Auch die Frage, ob und welche Daten erhoben und verarbeitet werden dürfen, ist Sache des Datenschutzes.

• Die Definition für Datensicherheit

Datensicherheit bezieht sich auf technische Lösungen und organisatorische Datensicherheitsmaßnahmen zum Schutz von Verwaltungs- und Unternehmensdaten. Sie definiert und legt fest, welche Maßnahmen zum Schutz der Daten ergriffen werden. Der Begriff der Informationssicherheit schließt alle Arten von gespeicherten Informationen ein.
 

Datensicherheit definiert umfassende Ziele

Ob personenbezogene Daten, Entwicklungs-, Produktions- oder Kundendaten: Damit kostbare Unternehmensdaten nicht zur attraktiven Zielscheibe von Hackern oder Cyberattacken werden, muss Datensicherheit verschiedene Aspekte berücksichtigen. Im Hinblick darauf werden dann umfassende Ziele definiert, um allen Aspekten Rechnung zu tragen.

Die wichtigsten Ziele von Datensicherheit sind:

• Die Verhinderung von Datenmissbrauch, etwa durch Beschädigung von Daten, die Löschung von Daten oder durch Datendiebstahl.
• Der optimale Schutz vor Angriffen von außen wie Cyberattacken.
• Der achtsame Schutz nach innen, indem Zugriff und Rechte von Mitarbeiterinnen und Mitarbeitern geregelt werden. Ein wichtiges Prinzip ist Vertraulichkeit.
• Trotz sicherer Verwahrung müssen alle Unternehmensdaten jederzeit erreichbar und verfügbar sein.
• Selbstverständlich muss auch die Echtheit der Daten gewährleistet sein (Authentizität).
• Schließlich gewährleistet Datensicherheit, dass alle Daten unbeschädigt sind und bleiben (Integrität).

Professionelle Konzepte und Maßnahmen zur Datensicherheit sind fundamental wichtig

Strategisch geplante Konzepte und Maßnahmen zur Datensicherheit berücksichtigen all diese verschiedenen Ziele und umfassen ein ganzheitliches Sicherheitskonzept. Das ist fundamental wichtig, denn IT-Expertinnen und IT-Experten wissen aus Erfahrung: „The more you can do with it, the more they can do to you.“ Mit anderen Worten: Je mehr Sie mit Ihren Daten anfangen können, desto mehr können auch andere damit anfangen und anstellen.

Technische IT-Landschaften und IT-Strukturen sind heute komplex. Viele Geschäftsabläufe werden über Grenzen hinweg organisiert, Daten international bereitgestellt und genutzt.

Kleine wie große Unternehmen stellen sich zunehmend auf die neue Situation ein, wachsen und arbeiten immer effizienter. Sie werden durch die neuen Arbeits- und Produktionsweisen aber auch angreifbarer.

Datensicherheitsmaßnahmen: Kennen Sie diese fünf Maßnahmen?

Effiziente Maßnahmen im Rahmen eines ganzheitlichen Konzeptes umfassen folgende fünf Themen, die in puncto Sicherheit unbedingt berücksichtigt werden sollten:

1. Network oder Perimeter Security

Dazu gehören beispielsweise Maßnahmen zur Sicherheit wie eine Firewall. Damit sind Sicherungssysteme gemeint, die einzelne Computer oder ganze Rechnernetze wie eine Brandschutzmauer vor unerwünschten Netzwerkzugriffen schützen. Auch Verschlüsselungstechniken zählen zu dieser Ebene.

1. Endpoint Security

Zu diesem Thema gehören unternehmensinterne Passwort-, Viren- oder Spamschutzmaßnahmen.

1. Authentifizierungstechnologie

Wichtig ist auch, dass alle Unternehmensdaten durch eine sichere Zugriffs- und Zugangskontrolle geschützt sind.

1. Schutz vor Datenverlust

Cyberattacke, Stromausfall, Kurzschluss oder Feuer: Für einen überraschenden Datenverlust kann es viele Gründe geben. Protokolle und Logdateien können mithilfe verschiedener Backup-Tools die Gründe für den Verlust nachfassen, Backup-Software sorgt dafür, dass es Sicherheitskopien aller Daten gibt.

1. Sicherheit und Datenaustausch

Für die interne wie auch externe Kommunikation und Zusammenarbeit ist ein sicherer Datenaustausch unverzichtbar.

Gute Sicherheitskonzepte berücksichtigen auch den Faktor Mensch

Sicherheitsbedrohungen gehen nicht nur von Schadsoftware oder Hackern aus. Zu einem umfassenden und professionellen Sicherheitskonzept gehört deshalb auch die Schulung aller Mitarbeiterinnen und Mitarbeiter.

---------------------------------------------------------------------------------------------------------

Eine große Schwachstelle ist auch der Faktor Mensch: Durch fehlendes Sicherheitsbewusstsein werden unter anderem mit Schadsoftware verseuchte Anhänge geöffnet oder gefährliche Links geklickt.

Florian Goldenstein, Head of IT-Security Konica Minolta

---------------------------------------------------------------------------------------------------------

Ob Einkauf, Vertrieb, Kundenbetreuung oder Entwicklung: Jede Mitarbeiterin und jeder Mitarbeiter in einem Unternehmen sollte verstehen, dass Datensicherheit gerade in Zeiten des rasant steigenden unternehmerischen Datenwachstums ein zentraler Erfolgsfaktor ist. Wichtig ist, dass alle die Datensicherheitsstandards im Unternehmen kennen und wissen, was zu tun ist, falls sich doch einmal ein sicherheitskritischer Vorfall ereignen sollte.

Fundamental wichtig: eine transparente IT-Infrastruktur

Die notwendige Grundvoraussetzung für perfekt funktionierende Datensicherheitsmaßnahmen ist eine klare und transparente Infrastruktur.

Folgende Bereiche sind zentral für eine umsichtig geplante IT-Infrastruktur:

• eigene Server / geschützte Rechenzentren
• Cloud-Lösungen
• Sicherheit / Ausfallschutz / Systemausfall
• Risikoanalyse / Schutzbedarfsanalyse, Berechtigungsmanagement, Endgeräte-Sicherheitslösungen, Mobile Device Control
• Netzwerk / Netzwerksicherheit

Zu den Datensicherheitsmaßnahmen gehört auch eine gute Feuerwehr: mit Incident Response die Zukunft absichern

Gut aufgestellt sind KMUs dann, wenn sie auch auf den Notfall optimal vorbereitet sind, um bei einer Cyberattacke möglichst schnell handeln zu können. Zu diesem Zweck ist es hilfreich, strategisch geplante so genannte Incident-Response-Prozesse zu etablieren und zu stärken. Im Fall eines Angriffs kann dann schneller entdeckt und der entstandene Schaden eingedämmt werden.

Nach einer Attacke, der Eindämmung und ggf. auch der Behebung braucht es kompetente IT-Sicherheitsexpertinnen und -experten für die Phase „Lessons learned“. Extra für solche Fälle geschulte Spezialistinnen und Spezialisten suchen mit forensischen Methoden und Mitteln die Schwachstellen, die das Unternehmen in die missliche Lage gebracht haben. Zusätzlich analysieren sie die befallenen Systeme, um den Weg des Angriffs nachzuvollziehen. Auf der Basis dieser Analyse wird dann eine Strategie entwickelt, um die Daten zukünftig vor ähnlichen Angriffen besser zu schützen.

Auf Nummer sicher gehen KMUs, die alle Datensicherheitsmaßnahmen und Systeme in regelmäßigen Abständen stichprobenartig untersuchen. So werden wertvolle Daten nachhaltig besser geschützt und die aktuelle Sicherheitslage im Unternehmen kann jederzeit gut eingeschätzt werden.