Seit 2007 haben sich die Straftaten, die über das Internet begangen wurden und bekannt geworden sind, verdoppelt, so eine Studie. Trotz aller Sicherheitsvorkehrungen schaffen es Angreifer immer wieder, auf Unternehmensdaten zuzugreifen. Wie ist das möglich?
Die Zahlen und Warnungen des Bundeskriminalamtes sind ernst zu nehmen. Einer Schätzung des US-amerikanischen Software-Hauses Symantec zufolge, das das Antivirusprogramm Norton vertreibt, entstand 2013 allein in Deutschland ein Gesamtschaden von über drei Milliarden Euro durch Cyber-Kriminalität. Das ist eine enorme Summe.Die Erfahrungen in der Datenschutzberatung zeigen allerdings, dass Unternehmen und Mitarbeiter häufig Internetangriffe durch fehlende Regelungen oder Fehlverhalten begünstigen. Vor allem die Leichtgläubigkeit und Unwissenheit der Mitarbeiter, aber auch falscher Ehrgeiz, ermöglichen Angreifern den Zugang zu wichtigen Informationen über IT-Systeme und damit zu den Unternehmensdaten.
Wie ist das zu verstehen?
Unternehmen und Mitarbeiter begünstigen Angriffe aus dem Netz durch mangelnde Regelungen und Fehlverhalten.
Immer wieder erhalten Mitarbeiter E-Mails mit folgendem oder ähnlichem Wortlaut: „Sie haben Ihre Rechnung nicht bezahlt (s. Anlage)“. Anstatt den Absender und den Inhalt genauer unter die Lupe zu nehmen, wird die Anlage geöffnet und der Trojaner installiert.
Auch der Einsatz mobiler Geräte stellt in Verbindung mit unzureichenden Regelungen ein zunehmendes Risiko dar. Alle Arten von Daten werden auf USB-Datenträgern, Smartphones und Notebooks übertragen oder per E-Mail in die ganze Welt versandt. Hier stellen vor allem die besonders eifrigen und gut meinenden Mitarbeiter ein hohes Sicherheitsrisiko dar, weil der Datenschutz oft hinter den Kundenwünschen rangiert. So wird aus Zeitgründen der Virenscanner abgebrochen, auf eine Verschlüsselung der Daten und Geräte verzichtet oder das mobile Gerät unbeobachtet und ungeschützt liegen gelassen.
Passwörter als Zugriffsschutz
Für kleine und mittelständische Unternehmen ist die Sicherstellung eines ausreichenden Zugriffsschutzes noch nicht selbstverständlich. Gerade der Umgang mit Passwörtern, dem meist einzigen System- und Datenschutz, ist häufig ungeeignet, die gewünschte Datensicherheit zu gewährleisten. Leider ist es immer noch üblich, Passwörter einfach zu gestalten, an Kollegen weiterzugeben oder in unsicheren Umgebungen zu nutzen. Hier müssen klare Regelungen festgelegt und überwacht, aber auch die Mitarbeiter regelmäßig sensibilisiert werden.
Eine weitere Gefahrenquelle sind die sozialen Netzwerke. Hier erhalten Angreifer häufig interne Informationen über Unternehmen und nutzen das Medium als Angriffsweg. Regelungen zum Umgang mit diesen Plattformen bestehen für viele Mitarbeiter nicht.
Mitarbeiterbindung zählt auch hier
Der tatsächliche Umfang des Datenschutzes im Unternehmen hängt sehr stark vom Engagement des Einzelnen ab. Erschreckend lesen sich in diesem Zusammenhang Studien, die davon ausgehen, dass im Durchschnitt 85 Prozent der Mitarbeiter bereits innerlich gekündigt haben, sprich, denen die Datensicherheit ihres Arbeitgebers schlicht gleichgültig ist. Neben einer schwindenden Produktivität führt die Unzufriedenheit der Mitarbeiter auch zu einem nachlässigen Datenschutz oder zu einer bewussten Umgehung, wenn es ihm beispielsweise darum geht, zu belegen, was alles schiefläuft im Unternehmen.
Auch wenn die Medienberichte über die NSA-Vorfälle vielen Unternehmern kleiner und mittelständischer Betriebe häufig Hilflosigkeit und Ohnmacht signalisieren, lohnt es, Maßnahmen zum Schutz der Daten zu treffen, um die Unternehmenswerte zu schützen. Damit Mitarbeiter diesen Anforderungen gerecht werden können, sind verbindliche Regelungen zum Umgang mit Daten zu treffen, die von allen verstanden und umgesetzt werden können. Dazu gehören Leitlinien und Verfahrensanweisungen, beispielsweise zum Umgang mit Smartphones, E-Mails und Social Media. Darüber hinaus sollten Sicherheits- und Notfallmanagementsysteme eingeführt werden. Mitarbeiter sollten regelmäßig geschult und sensibilisiert werden, auch für den Fall, dass es doch einmal zu einer Datenpanne oder einem IT-Notfall kommt.
Mehr DAZU
E-Mail-Sicherheit im Mittelstand
Deutschland sicher im Netz e. V. (DsiN) veröffentlichte jüngst den Leitfaden „Verschlüsselung von E-Mails“. Er richtet sich an kleine und mittelständische Unternehmen (KMU) und gibt einen Überblick über die wichtigsten Aspekte zur E-Mail-Sicherheit. Damit reagieren die Herausgeber auf den großen Nachholbedarf der KMU. Weniger als die Hälfte sichert derzeit ihre E-Mail-Kommunikation. Diese Lücke bestätigte die DsiN-Studie „IT-Sicherheitslage im Mittelstand 2013“.
Der Leitfaden wurde im Rahmen des Projektes „Freie Berufe als Brückenbauer für IT-Sicherheit“ erstellt, das von der Task Force „IT-Sicherheit in der Wirtschaft“ des Bundesministeriums für Wirtschaft und Technologie unterstützt wird. Den neuen Leitfaden finden Sie unter www.datev.de/sicherheitsleitfaden
Unter www.dsin-blog.de finden Sie weitere Themen.
Seminare
Besuchen Sie ab Mitte März die Seminarreihe Cybersecurity
(Art.-Nr. 73189) mit Referenten der KPMG. Weitere Infos unter
www.datev.de/chef-seminare | Officemanagement und IT
Kontakt
Tel. +49 911 319-7051
www.datev.de/consulting | Datenschutz-Beratung