12 Maßnahmen für die Datensicherheit

Informationsrisiko-Index sieht deutsche Unternehmen am stärksten gefährdet. Cyber-Kriminalität hat in den letzten Jahren enorm zugenommen. Rund zwei Drittel aller deutschen Unternehmen sind bereits Opfer von Cyberattacken geworden.

Laut Angaben des BKA wurde bereits zwischen 2008 bis 2012 eine Zunahme von 68,8 Prozent im Gebiet der Cyber-Kriminalität verzeichnet. Schon 2009 verdiente die organisierte Kriminalität in diesem Bereich mehr Geld als mit Drogenhandel, betonte Arne Schönbohm, Präsident des Cyber-Sicherheitsrats Deutschland in Mediengesprächen – also über 300 Milliarden Dollar jährlich.

Anzeige

Umso beunruhigender ist es, dass deutsche Unternehmen laut des aktuellen Informationsrisiko-Index die am schlechtesten gesicherten in ganz Europa sind. Der sogenannte Reifeindex wurde zum dritten Mal von der Wirtschaftsprüfungsgesellschaft PwC und dem Informationsmanagement-Dienstleister Iron Mountain erstellt und hat ermittelt, inwiefern Unternehmen ein geeignetes Schutzniveau zur Verringerung von Informationsrisiken, wie Datenverluste, Cyber-Angriffe oder Industriespionage, aufweisen. Befragt wurden in Europa und Nordamerika je 600 mittelständische und 600 Großunternehmen auf beiden Kontinenten. Während Deutschland im Jahr 2013 noch Rang drei im europäischen Vergleich belegte, liegt es in der aktuellen Untersuchung sowohl hinter Frankreich, Ungarn, Spanien, den Niederlanden und dem Vereinigten Königreich als auch hinter den Vereinigten Staaten und Kanada.

Aber wie kann man solche Übergriffe verhindern?

„Eine hundertprozentige Datensicherheit gibt es nicht“, so Dr. Dieter Steiner, IT-Security-Experte und CEO der SSP Europe. „Besonders bei Großunternehmen agieren Datenspione extrem filigran und zielgerichtet, allerdings sind solche Angriffe sehr aufwändig. Zero-Day Exploit-Attacken beispielsweise, die unbekannte Sicherheitslücken in Softwareprogrammen nutzen, erfordern eine hohe Investition, denn die Informationen über solche Sicherheitslücken erzielen auf dem Schwarzmarkt vier bis sechsstellige Beträge. Viel häufiger sind daher Angriffe über Sicherheitslecks, die durch eine Informationsstrategie und konsequent durchgeführte Sicherheitsmaßnahmen verhindert werden könnten.“

Anzeige

Ähnlich wie beim Fußball ergeben sich auch in der Cyberkriminalität die meisten Angriffsoptionen durch Standardsituationen. SSP Europe, Spezialist für hochsichere Datenaustauschlösungen, hat daher eine Checkliste von Punkten zusammengestellt, die Unternehmen bei der Revision ihrer Datensicherheit überprüfen sollten.

12 Maßnahmen für einen wirksamen Datenschutz gegen Wirtschaftsspionage

1. Identifizierung der „schützenswerten Informationen“
Der Informationsrisiko-Index bestätigt, dass nicht einmal die Hälfte der befragten Unternehmen eine individuell ausgearbeitete Informationsstrategie besitzt. Dies wäre jedoch eine Voraussetzung, um relevante Daten zu schützen und Missbrauch zu verhindern.

2. Erstellen von Benutzerrollenkonzepten
Wenn nicht festgelegt ist, welche Nutzer welche Art von Daten verarbeiten dürfen, kommt es häufig zu Sicherheitslücken durch unsachgemäße Handhabung beim Informationszugriff, der Weitergabe oder Speicherung.

3. Regelmäßiges Einspielen von Patches, um Sicherheitslücken zu schließen
Es klingt trivial, ist aber noch immer eine der häufigsten Schwachstellen in Unternehmen, denn wenn das Patch-Update nur auf einem einzigen Gerät übersehen wird, einsteht eine Sicherheitslücke; das gilt auch für mobile Endgeräte.

4. Aktuellster Viren- und Firewallschutz
Besonders in mittelständischen Unternehmen gehören Angriffe durch Viren, Würmer, Trojaner und Web-Apps zu den häufigsten Ursachen für Datenverluste. Daher sind konsequent durchgeführte Updates auf allen Geräten, auch den mobilen Endgeräten, Basis jeder Sicherheitsstrategie.

5. Regelmäßige Auswertung sämtlicher Logfiles auf Angriffe
Viele Unternehmen merken gar nicht, dass sie zum Opfer von Wirtschaftsspionage geworden sind – höchstens, wenn es bereits zu spät ist und eine Neuentwicklung, in die viel investiert wurde, plötzlich an anderer Stelle angeboten wird. Daher sollten Logfiles regelmäßig ausgewertet werden, um auffällige Aktivitäten feststellen zu können.

6. Monitoring der Server in Echtzeit
Der zeitnahe Eingriff zur Verhinderung eines Übergriffs kann allerdings in den meisten Fällen nur durch ein Server-Monitoring in Echtzeit umgesetzt werden.

7. Einsatz von Enterprise-Mobility-Management-Lösungen
Mobile Endgeräte bilden heute eine der größten Schwachstellen für viele Unternehmen. Nicht nur in Punkto Sicherheitsupdates, sondern auch bei der Datenübertragung und deren Speicherung, z.B. durch automatische Datensynchronisation in vorinstallierten Cloudlösungen, ergeben sich Sicherheitsrisiken.

8. Bewertung der IT von Geschäftspartnern
Wenn bei der Zusammenarbeit mit Partnern gemeinsame Infrastrukturen oder Lösungen genutzt werden, entstehen durch die Vernetzung Risiken, die in der Informationsstrategie berücksichtigt werden sollten. Insbesondere Spionageangriffe erfolgen häufig über die schwächere Infrastruktur von Geschäftspartnern.

9. Verschlüsselung von Daten, client- und serverseitig sowie bei der Übermittlung
Beim Datenaustausch zwischen Niederlassungen, mit mobilen Endgeräten sowie mit Partnern empfiehlt sich eine durchgängige Datenverschlüsselung: bei der Übertragung (Channel Encryption), auf dem Server, was auch für die Cloud-Speicherung gilt (Server-Side Encryption) sowie auf den Endgeräten der Anwender (Local Encryption).

10. Alternativen zum (meist) unsicheren Datenaustausch per Email oder FTP
Grundsätzlich ist es sinnvoll, sich einer sicheren Collaboration-Plattform für den Datenaustausch zu bedienen bzw. diese den Mitarbeitern zur Verfügung zu stellen. Das kann heute auch eine Business Cloud-Lösung sein. Denn wenn sie die oben genannten Kriterien zur Datenverschlüsselung erfüllt, ist sie wesentlich sicherer als viele Wege, auf denen Unternehmen alternativ Daten austauschen und ablegen – wie E-Mail-Anlagen, File-Server oder die häufig von Mitarbeitern genutzten, kostenfreien Cloudlösungen.

11. Datenspeicherung in zertifizierten Rechenzentren
Neben der Datenverschlüsselung ist auch der Ort, an dem die Daten vorgehalten werden, ein Sicherheitskriterium. Im Gegensatz zu Rechenzentren in den USA oder anderen Ländern müssen Datenzentren in Deutschland nach der ISO/IEC-Norm 27001 zertifiziert sein, die ein umfassendes Informationssicherheits-Managementsystem gewährleistet.

12. Sensibilisierung der Mitarbeiter für das Thema Datenschutz
Eine der größten und in vielen Unternehmen stark unterschätzten Bedrohungen für sensible Daten geht von den eigenen Mitarbeitern aus. Viele Anwender sind sich nicht bewusst, welche Sicherheitslücken sie beispielsweise durch unzureichend gesicherte mobile Endgeräte oder durch das Nutzen unsicherer Cloud-Lösungen schaffen. Schulungen und eine regelmäßige Auffrischung der Sicherheitsinformationen für Mitarbeiter sind daher unerlässlich. Auch die Aufmerksamkeit des Managements für das Thema Sicherheit muss wachsen: 47 Prozent der für den Informationsrisiko-Index befragten Firmen gaben an, dass das Thema Datensicherheit bei ihnen auf der Chefetage nur geringe Priorität besitzt.

„Wirtschaftsspionage findet immer stärker digital statt. Unternehmen müssen aufrüsten oder ihre Infrastruktur an professionelle Betreiber auslagern. Die Themen ‘Verschlüsselung und Wahl des Speicherortes‘ werden zunehmend in den Fokus rücken“, so Dr. Steiner von SSP Europe. „Außerdem sollte das Thema Datensicherheit unbedingt als Chefsache eingestuft werden, denn auch der wirtschaftliche Nutzen von Datensicherheit wird heute noch häufig unterschätzt.“ 

www.ssp-europe.eu

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.