Cybersicherheit & Datenschutz gehen Hand in Hand

Cybersicherheit und Datenschutz sind eng miteinander verwoben, und jedes Unternehmen, das in einer digitalen Umgebung tätig ist, muss sich beider Aspekte bewusst sein, wenn es das Risiko einer Datenschutzverletzung verringern will und Cyberangriffe erfolgreich abgewehrt werden sollen. Fast alle Unternehmen sind zwischenzeitlich davon betroffen, da sich kaum ein Unternehmen diesen Trends entziehen kann.

Hier erfahren Sie, warum Cybersicherheit und Datenschutz Hand in Hand gehen müssen, um Ihr Unternehmen vor den Folgen einer Datenschutzverletzung zu schützen:

Warum Cybersicherheit und Datenschutz eng miteinander verknüpft sind

Der Datenschutz stützt sich in hohem Maße auf gute Cybersicherheitspraktiken, um sicherzustellen, dass personenbezogene Daten vor böswilligen Akteuren geschützt sind. Um Ihre Daten richtig zu schützen, benötigen Sie sichere Systeme, die Angriffsversuche vereiteln und unbefugten Zugriff verhindern können. An dieser Stelle kommt die Cybersicherheit ins Spiel – ein wirksames Cybersicherheitssystem erleichtert durch technische und organisatorische Maßnahmen die Abwehr von Cyberangriffen und den Schutz von sensiblen Informationen des Unternehmens. Um dieses Ziel zu erreichen, werden Techniken wie Firewalls, Antivirensoftware, Multifaktorauthentifizierung, Awareness-Schulungen u.v.m. eingesetzt.

Die Bedeutung einer guten Cyber-Hygiene

Zu einer guten Cyber-Hygiene gehört die Umsetzung von Maßnahmen wie die regelmäßige Änderung von Passwörtern, die Sicherstellung, dass alle Computer und Systeme mit den neuesten Sicherheitsupdates gepatcht sind, die Verwendung der Multi-Faktor-Authentifizierung (MFA), die Aktualisierung des Virenschutzes und noch vieles mehr. Eine gute Cyber-Hygiene hilft Unternehmen, ihre Anfälligkeit gegenüber böswilligen Akteuren zu verringern, die ausgeklügelte Tools verwenden, um in Netzwerke einzudringen und wertvolle Daten aus ihnen zu extrahieren.

Insbesondere die Abwehr von Ransomware-Angriffen, über die tagtäglich in den Medien berichtet wird, spielt hier eine große Rolle. Durch diese Angriffe werden die Daten auf den eigenen Systemen verschlüsselt und sind somit für die Nutzer nicht mehr zugänglich. Allein diese mangelnde Verfügbarkeit der Daten stellt schon eine Datenschutzverletzung gem. der DSGVO dar, da diese auf Dauer sicherzustellen ist. Falls durch den Ransomware-Angriff Daten ausgespäht oder entwendet werden, ist nicht nur die Verfügbarkeit der Unternehmensdaten in Gefahr, sondern auch deren Vertraulichkeit.

Um all diese Maßnahmen in den Unternehmen umsetzen zu können, ist spezialisiertes Personal unabdingbar oder man bedient sich für diese Aufgabe eines externen Dienstleisters, dem man vertraut und der die entsprechenden Voraussetzungen mitbringt. Beim Outsourcing der Umsetzung dieser Maßnahmen darf allerdings nicht übersehen werden, dass externe Dienstleister sich zwar sehr gut um die technische Seite kümmern können, organisatorische Maßnahmen jedoch im eigenen Unternehmen hier weitgehend unberücksichtigt bleiben.

Maßnahmen zur Verbesserung der Informationssicherheit

Unternehmen haben eine große Anzahl an Themen im Zusammenhang mit Informationssicherheit zu bewältigen, welche sich grob in technische und organisatorische Maßnahmen unterteilen lassen. Die konkrete Umsetzung von Maßnahmen erfordert jedoch in den meisten Fällen eine Anpassung von technischen Parametern und auch eine Verhaltensänderung der Personen innerhalb des Unternehmens.  Das macht die Umsetzung oft mühsam und langwierig – nur die wenigsten Maßnahmen lassen sich automatisiert per Mausklick umsetzen.

In der Folge nennen wir einige Maßnahmen, welche zu den Basisaufgaben jedes Unternehmens gehören sollten und jedenfalls umzusetzen sind:

Verschlüsselung von Daten

Die Datenverschlüsselung ist eine der wichtigsten Sicherheitstechniken, wenn es um den Schutz vertraulicher Informationen geht. Mit ihr kann sichergestellt werden, dass Dokumente nicht leicht zugänglich sind, wenn sie auf Festplatten gespeichert oder per E-Mail oder über das Netzwerk verschickt werden. Bei der Verschlüsselung wird lesbarer Text in einen unlesbaren Code umgewandelt, der nur mit einem dem Absender und dem Empfänger bekannten Schlüssel entschlüsselt werden kann. Dies klingt  zuerst kaum handhabbar, ist aber in den meisten Fällen innerhalb des Unternehmens durch Automatisierung gut in den Arbeitsalltag zu integrieren.

Anti-Viren-Schutz

Es gibt eine Vielzahl an Möglichkeiten, wie eine Schadsoftware auf Systeme gelangen kann: Der Besuch einer präparierten Website, der Download einer infizierten Datei, das Anstecken eines unbekannten USB-Sticks oder auch per EMail sind nur ein paar der Methoden, wie sog. Malware verbreitet werden kann.  Daher ist ein entsprechender Schutz vor solcher Software unumgänglich. Glücklicherweise bringen die großen Hersteller von Betriebssystemen bereits durchwegs brauchbare Lösungen und Werkzeuge mit, damit man die Systeme absichern kann. Natürlich gibt es auch deutlich fortschrittlichere (und kostenintensivere) Lösungen, um die Gefahren durch Schadsoftware noch effektiver eindämmen. Doch auch diese Systeme sind nicht unfehlbar, daher ist in diesem Zusammenhang immer auch die Awareness der Anwender zu schärfen, damit der aktive Schutz durch die Anti-Viren-Software erst gar nicht eingreifen muss.

Firewalls einrichten

Firewalls fungieren als Barriere zwischen Netzwerken und bieten zusätzlichen Schutz vor bösartigen Aktivitäten wie Viren, Trojanern und Hackern, die versuchen, sich aus der Ferne Zugang zu verschaffen. Firewalls blockieren ein- und ausgehende Datenpakete, wenn sie verdächtige Inhalte enthalten. So wird verhindert, dass ein bösartiger Angriff schädlichen Code in das System einschleust und Dateien beschädigt. Auch von diesen Systemen bekommen die Nutzer meist wenig mit, da Firewalls ihre Aufgabe still und heimlich im Hintergrund verrichten und nur bei Verdachtsfällen sichtbar „einschreiten“.

Beschränkung des Zugangs zu sensiblen Daten

Unternehmen sollten den Zugang zu sensiblen Dateien nur auf diejenigen beschränken, die ihn für ihre Aufgaben benötigen – so lassen sich potenzielle Risiken minimieren, die damit verbunden sind, dass Personen zu viel Kontrolle über wichtige Unternehmensdaten haben. Die Einrichtung verschiedener Berechtigungsstufen ermöglicht es den Benutzern, auf die erforderlichen Informationen zuzugreifen, schränkt aber gleichzeitig die Möglichkeit ein, diese ohne Genehmigung zu ändern oder zu löschen. Das senkt einerseits die Risiken einer Fehlbedienung der Computersysteme, aber schützt auch vor Datenmissbrauch durch eigene MitarbeiterInnen. Auch im Falle einer Infektion eines einzelnen Systems mit Schadsoftware besteht hier die Möglichkeit, dass dies nur eingeschränkte Auswirkungen hat, wenn es dem Angreifer nicht gelingt, die fehlenden Berechtigungen anderweitig zu umgehen.

Durchsetzung von Sicherheitsrichtlinien und -verfahren

Unternehmen sollten Richtlinien und Verfahren einführen, damit die MitarbeiterInnen wissen, was von ihnen erwartet wird, wenn sie mit sensiblen Informationen wie Passwörtern und persönlichen Daten von Kunden umgehen. Mit einer klaren Führung durch die Geschäftsleitung ist es wahrscheinlicher, dass sich jeder im Unternehmen seiner Verantwortung für die Cybersicherheitsmaßnahmen bewusst ist und potenzielle Bedrohungen erkennt, die sich gegen sein System richten könnten. Die Einführung entsprechender Richtlinien erfordert Disziplin auf allen Ebenen, da Veränderungen im Umgang mit den IT-Systemen meist schlecht angenommen werden, insbesondere wenn zuvor nicht das Bewusstsein der MitarbeiterInnen gefördert wurde. Auch die IT-Abteilungen sind hier oftmals sehr zögerlich, da die  Umsetzung entsprechender Maßnahmen einen erheblichen Mehraufwand (Planung, Umsetzung, Dokumentation, Support) bei der ohnehin knapp bemessenen Arbeitszeit bedeuten. Daher ist es dringend notwendig, dass dieses Thema im Management der Unternehmen Platz findet und von dort gesteuert wird.

Fazit

Zusammenfassend lässt sich sagen, dass gute Cybersicherheits- und Datenschutzpraktiken für jedes Unternehmen, das online tätig ist, immer Hand in Hand gehen sollten – es ergibt keinen Sinn, die privaten Informationen von Kunden zu schützen, wenn über ein unsicheres System oder eine unsichere Anwendung darauf zugegriffen wird. Die Entwicklung eines Ansatzes, der beide Strategien umfasst, trägt nicht nur zum Schutz der Privatsphäre der Kunden bei, sondern gibt auch die Gewissheit, dass persönlichen Daten mit Sensibilität und Sorgfalt behandelt werden.

Darüber hinaus schützt die entsprechende Sorgfalt auch vor Ansprüchen Dritter, vor Strafen durch Verwaltungsbehörden und nicht zuletzt vor massiven Betriebsbeeinträchtigungen.

Sollte es trotz aller Sorgfalt zum Datenleck kommen und der Datenschutz verletzt worden sein, kann eine Cyberversicherung Schutz vor den finanziellen Folgen einer Datenschutzverletzung bieten.