Technologie

Datensicherheit in Unternehmen – Was sind die größten Risiken?

img
Datensicherheit sollte für Unternehmen höchste Priorität haben. Bild: Pixabay, Pixaline

Der Schutz unternehmenseigener Daten muss oberste Priorität haben. Dennoch wird die Cybersicherheit noch zu häufig stiefmütterlich behandelt, was es Cyberkriminellen sehr leicht macht, Systeme zu kompromittieren, Daten zu stehlen und Erpressungsversuche zu starten. Roman Leuprecht, technischer Leiter des Start-ups UNIKI erläutert, wie sich Unternehmen effizient schützen können.

Jüngst gab es viele Meldungen zu Sicherheitslücken bei Collaborations-Software. Seit der Pandemie sind Programme für Office- und Telekommunikationsanwendungen in der Cloud nicht wegzudenken. Manche Unternehmen haben sich bei der Wahl nur oberflächlich mit der Sicherheit der Programme auseinandergesetzt. Was bedeuten die Nachrichten über Sicherheitslücken für Unternehmen?

Es ist wichtig, zu differenzieren zwischen Sicherheitslücken und Datenschutz-Risiken. Gefährliche Sicherheitslücken betreffen meistens klassische Server- und NAS-Lösungen. Wer hingegen Cloud-Dienste nutzt, setzt sich vor allem möglichen Datenschutz-Risiken aus. Denn in den letzten Monaten haben mehrere Gerichte bestätigt, dass es keine einwandfreie Rechtsgrundlage gibt, um personenbezogene Daten in die USA zu übermitteln – aufgrund des US-Cloud-Act auch selbst dann nicht, wenn der US-Anbieter deutsche Rechenzentren besitzt.

Abhilfe schaffen hier „Private Cloud“ bzw. „Hybrid Cloud“ Lösungen, die durch zentrale Wartung ähnlich sicher und vor allem komfortabel wie Cloud-Dienste sind, und zugleich durch eine Datenspeicherung am Firmenstandort oder in deutschen Rechenzentren das Datenschutz-Risiko minimieren.

Zu guter Letzt spielt beim Thema Sicherheit auch immer der Anwender eine zentrale Rolle. Viel zu wenige Unternehmen nutzen beispielsweise Passwort-Manager. Diese ermöglichen es, für alle Dienste unterschiedliche und sehr starke Passwörter zu nutzen und die Passwörter so zu verwalten, dass sie nicht durch einfache Hacks abhandenkommen können und vor allem immer nur den Mitarbeitern zur Verfügung stehen, die auch Zugriff auf den jeweiligen Dienst haben sollen.

Angenommen die Unternehmen bleiben ihrem Anbieter treu. Worauf müssen diese Unternehmen achten? Was sollte man vermeiden?

Ein sehr wichtiger Aspekt ist die oben schon angesprochene Zugriffskontrolle. In vielen Unternehmen gibt es zum Beispiel Cloud-Dienste oder Netzlaufwerke, auf die die gesamte Belegschaft einfach zugreifen kann. Aber welche Mitarbeiter außerhalb der Entwicklungs-Abteilung müssen wirklich Zugang zu Entwicklungs-Dokumenten haben? Je weniger Personen im Unternehmen Zugang zu einer Ressource haben, desto kleiner ist die Angriffsfläche.

Konten sollten auch niemals geteilt werden, sondern jeder Mitarbeiter sollte einen eigenen Zugang haben, der wenn nötig auch entzogen werden kann. Das setzt voraus, dass der vorhandene Anbieter eine solche Zugangskontrolle ermöglicht. Und der schon angesprochene Passwort-Manager sollte auf keinen Fall fehlen, ebenso wie die Zwei-Faktor-Authentifizierung.

Unternehmen sollten außerdem in der Cloud niemals auf nur einen Anbieter setzen. Auch in der Cloud kann Hardware beschädigt werden und Daten verloren gehen. Backups sind in der Cloud mindestens genauso wichtig, wie vor Ort.

Gratis-Angebote sollten grundsätzlich vermieden werden, wenn es um wichtige Unternehmensdaten geht. Denn Gratis-Accounts können jederzeit gesperrt werden (z.B., weil sie vom Anbieter auf Copyright-Verstöße gescannt werden und ein Fehlalarm ausgelöst wird) und das Unternehmen würde dann alle Daten verlieren.

Wer seinem vorhandenen Anbieter treu bleiben will, sollte unbedingt einen Datenschutz-Audit durchführen. Mit welchen Maßnahmen schützt der Anbieter die Unternehmensdaten und ist der Anbieter DSGVO-konform? Falls der Anbieter dem US-Cloud-Act unterliegt: Wurde eine rechtssichere Risikobewertung durchgeführt, wie es die DSGVO verlangt? Wenn nicht, ist ein Wechsel ratsam.

Gehen wir mal vom Ernstfall aus. Wie müssen sich Unternehmen verhalten, wenn sie zum Opfer einer Cyberattacke werden?

Die häufigsten Angriffe sind Ransomware – sogenannte Erpressungs-Trojaner. Sie verschlüsseln Unternehmens-Daten und verlangen Lösegeld für die Wiederherstellung. Unternehmen sollten auf diese Erpressung nicht eingehen, denn selbst bei Bezahlung werden nur in 30% der Fälle die Daten wiederhergestellt und die Bezahlung ermuntert die Kriminellen zu weiteren Angriffen.

Stattdessen sollte das Unternehmen die betroffenen Systeme vom Internet trennen, säubern oder zurücksetzen, die Einfallslücke finden und schließen und Backups wiederherstellen.

Wenn der Verdacht besteht, dass Angreifer an personenbezogene Daten gelangt sind (z.B. Kunden- oder Mitarbeiterdaten), dann sollte das Unternehmen den Vorfall umgehend den zuständigen Datenschutzbehörden melden. Denn erst nach der Meldung ist das Unternehmen „fein raus“ und vermeidet DSGVO-Bußgelder, solange keine große Fahrlässigkeit vorliegt.

Können Unternehmen sich auch durch Hardwareanschaffungen absichern?

Natürlich! Die erste, offensichtlich sinnvolle Anschaffung ist ein gutes Backup-System. Man sollte nicht nur darauf achten, dass regelmäßig Backups angelegt und getrennt von den zu sichernden Systemen aufbewahrt werden, sondern vor allem: Wie lange dauert es im Schadensfall, die Backups wiederherzustellen und wieder arbeitsfähig zu sein? Man sollte also nicht nur klassische Backups haben, sondern auch unbedingt Systeme, die eine „Versionierung“ unterstützen. Bei diesen lässt sich der Schaden, der durch Cyberangriffe entsteht, innerhalb von Minuten rückgängig machen – im Gegensatz zu klassischen Backups, bei denen die Wiederherstellung Tage oder Wochen beanspruchen kann. Das bringt mich zur zweiten, sinnvollen Anschaffung: Ein „Private Cloud“ oder „Hybrid Cloud“ System, das – wie viele Public Cloud-Dienste – eine solche Versionierung unterstützt, im Gegensatz zu klassischen Server- oder NAS-Systemen. Zusätzlich sollte das Private Cloud System eine Failover-Funktion mitbringen: Das ist ein zweiter Server an einem anderen Standort, der im Schadensfall sofort übernehmen kann. Und eine dritte, sinnvolle Anschaffung ist natürlich eine gute Firewall. Der sinnvolle Funktionsumfang hängt von der Unternehmensgröße ab und reicht von einfacher Blockierung unerwünschter Verbindungen bis zu KI-gestützter Bedrohungs-Analyse.

Der Gebrauch vieler Softwarelösungen wird häufig zur Gewohnheit. So fällt es Unternehmen schwer, die Anbieter zu wechseln. Wie können Entscheider eine Migration anstoßen?

Erstens sollten Entscheider auch immer die Kosten im Blick haben, die durch „Nicht-Wechseln“ entstehen: Wie viel Produktivität geht durch veraltete IT verloren? Wenn das Unternehmen von einem Ransomware-Angriff getroffen wird: Sind die Unternehmensdaten geschützt und unterstützen die IT-System eine Versionierung, oder würde der Betrieb nach einem Vorfall wochenlang stillstehen? Wie hoch ist das Risiko durch die Abhängigkeit von einem Anbieter, insbesondere bei Cloud-Diensten? Und zweitens können Entscheider eine Migration unterstützen, indem sie auf Systeme wechseln, die keine Umgewöhnung in den Arbeitsabläufen erfordern und über Standard-Schnittstellen verfügen, die den Umzug der Daten vereinfachen. Das ist zum Beispiel bei den angesprochenen „Hybrid Cloud“ Lösungen der Fall: Diese ermöglichen einen wartungsfreien Betrieb, hohe Sicherheit und Zusammenarbeit von überall wie Cloud-Dienste, behalten aber zugleich die klassischen Schnittstellen z.B. für Netzlaufwerke oder Outlook-Anbindung, sodass bestehende Arbeitsabläufe beibehalten werden. Das reduziert in der Belegschaft die Angst vor einer Umgewöhnung.



Roman Leuprecht

Roman Leuprecht ist technischer Leiter des Start-ups UNIKI. Im Informatik-Studium spezialisierte er sich auf IT-Security und Netzwerktechnik. Anschließend entwickelte er Netzwerkanalyse-Software für deutsche Mittelstands-Unternehmen und Konzerne. Als Mitgründer von UNIKI lässt er sein Know-How in der IT-Security und Netzwerktechnik in die Entwicklung des ELLY-Servers einfließen.

STARTSEITE