Bloß nichts übersehen

Die Zahlen und Warnungen des Bundeskriminalamtes sind ernst zu nehmen. Einer Schätzung des US-amerikanischen Software-Hauses Symantec zufolge, das das Antivirusprogramm Norton vertreibt, entstand 2013 allein in Deutschland ein Gesamtschaden von über drei Milliarden Euro durch Cyber-Kriminalität. Das ist eine enorme Summe.Die Erfahrungen in der Daten­schutz­beratung zeigen allerdings, dass Unternehmen und Mitarbeiter häufig Internet­angriffe durch fehlende Regelungen oder Fehlverhalten begünstigen. Vor allem die Leichtgläubigkeit und Unwissenheit der Mitarbeiter, aber auch falscher Ehrgeiz, ermöglichen Angreifern den Zugang zu wichtigen Informationen über IT-Systeme und damit zu den Unternehmensdaten.

Wie ist das zu verstehen?

Immer wieder erhalten Mit­arbeiter E-Mails mit folgendem oder ähn­lichem Wortlaut: „Sie haben Ihre Rechnung nicht bezahlt (s. Anlage)“. Anstatt den Absender und den Inhalt genauer unter die Lupe zu nehmen, wird die Anlage geöffnet und der Trojaner installiert.
Auch der Einsatz mobiler Geräte stellt in Verbindung mit unzu­reichenden Regelungen ein zunehmendes Risiko dar. Alle Arten von Daten werden auf USB-Daten­trägern, Smart­phones und Notebooks über­tragen oder per E-Mail in die ganze Welt versandt. Hier stellen vor allem die besonders eifrigen und gut meinenden Mit­ar­beiter ein hohes Sicherheits­risiko dar, weil der Datenschutz oft hinter den Kunden­wünschen rangiert. So wird aus Zeitgründen der Viren­scanner abgebrochen, auf eine Ver­schlüs­selung der Daten und Geräte verzichtet oder das mobile Gerät unbeo­bachtet und ungeschützt liegen gelassen.

Passwörter als Zugriffsschutz

Für kleine und mittelständische Unternehmen ist die Sicherstellung eines ausreichenden Zugriffsschutzes noch nicht selbstverständlich. Gerade der Umgang mit Passwörtern, dem meist einzigen System- und Datenschutz, ist häufig ungeeignet, die gewünschte Datensicherheit zu gewährleisten. Leider ist es immer noch üblich, Passwörter einfach zu gestalten, an Kollegen weiterzugeben oder in unsicheren Umgebungen zu nutzen. Hier müssen klare Regelungen festgelegt und überwacht, aber auch die Mitarbeiter regelmäßig sensibilisiert werden.
Eine weitere Gefahrenquelle sind die sozialen Netzwerke. Hier erhalten Angreifer häufig interne Informationen über Unternehmen und nutzen das Medium als Angriffsweg. Regelungen zum Umgang mit diesen Plattformen bestehen für viele Mitarbeiter nicht.

Mitarbeiterbindung zählt auch hier

Der tatsächliche Umfang des Datenschutzes im Unternehmen hängt sehr stark vom Engagement des Einzelnen ab. Erschreckend lesen sich in diesem Zusammenhang Studien, die davon ausgehen, dass im Durchschnitt 85 Prozent der Mitarbeiter bereits innerlich gekündigt haben, sprich, denen die Datensicherheit ihres Arbeitgebers schlicht gleichgültig ist. Neben einer schwindenden Produktivität führt die Unzufriedenheit der Mitarbeiter auch zu einem nach­lässigen Daten­schutz oder zu einer be­wussten Um­gehung, wenn es ihm bei­spiels­weise darum geht, zu belegen, was alles schief­läuft im Unternehmen.
Auch wenn die Medienberichte über die NSA-Vorfälle vielen Unternehmern kleiner und mittelständischer Betriebe häufig Hilflosigkeit und Ohnmacht signalisieren, lohnt es, Maßnahmen zum Schutz der Daten zu treffen, um die Unternehmenswerte zu schützen. Damit Mitarbeiter diesen Anforderungen gerecht werden können, sind verbindliche Regelungen zum Umgang mit Daten zu treffen, die von allen verstanden und umgesetzt werden können. Dazu gehören Leitlinien und Verfahrensanweisungen, beispielsweise zum Umgang mit Smartphones, E-Mails und Social Media. Darüber hinaus sollten Sicherheits- und Notfallmanagementsysteme eingeführt werden. Mitarbeiter sollten regelmäßig geschult und sensibilisiert werden, auch für den Fall, dass es doch einmal zu einer Datenpanne oder einem IT-Notfall kommt.