Der stiefmütterliche Umgang mit Unternehmensdaten kostet Firmen jährlich Unsummen an Geldern. Data Security darf daher nicht auf die leichte Schulter genommen werden. Darauf sollten Sie achten.
Laut einer
IBM-Studie aus dem Jahr 2017 belaufen sich die Kosten für Datenpannen auf durchschnittlich 3,62 Millionen Dollar. Entsprechend wichtig ist sowohl für große wie auch kleine Unternehmen eine verlässliche Strategie für Data Security. Auf welche Punkte dabei besonders zu achten ist, haben die Verschlüsselungsexperten von
SpiderOak in einem Blogpost zusammengefasst.
Klare Richtlinien für Datennutzung festlegen
In den meisten Fällen ereignen sich Datenpannen nicht wie man meinen mag aufgrund gezielter Hacker-Angriffe oder Malware-Infektionen. Oft sind lediglich Unachtsamkeit und menschliches Versagen für ein Datenfiasko verantwortlich. Beispielweise wenn USB-Sticks mit ungesicherten Datensätzen verloren gehen oder Mitarbeiter auf eine ausgeklügelte Phishing-Mail hereinfallen.
Daher sollten Unternehmen klare Richtlinien für die Datennutzung festlegen und ihre Mitarbeiter hierauf sensibilisieren. In Schulungen können Firmen ihre Angestellten etwa über die potenziellen Gefahren von öffentlichen WLAN-Netzen oder Phishing-Mails aufklären, um die Sicherheit der Unternehmensdaten zu erhöhen.
Überprüfung von Dienstanbietern
Auch wenn im eigenen Firmennetz sämtliche Sicherheitsvorkehrungen getroffen wurden, besteht doch immer die Gefahr, dass Angreifer einen Weg über Anbieter von Netzwerk-, Cloud- oder Service-Dienste zu sensiblen Daten finden. Deshalb muss neben dem eigentlichen Leistungsangebot auch stets die Sicherheit des Anbieters betrachtet werden. Zu den Fragen, die es dabei zu klären gilt, zählen: Werden übertragene Daten sicher verschlüsselt? Sind Sicherheitsfunktionen wie eine 2-Faktor-Authentifizierung für die Anmeldung verfügbar? Fertigt der Anbieter Notfall-Backups an?
Neben Service- und Dienstanbietern stellen auch sämtliche Unternehmen ein potenzielles Sicherheitsrisiko dar, die physischen Zugang zum Firmengebäude haben.
Gebäudeabsicherung
Wie bereits beschrieben stellt der physische Zugang zu Ihrem Gebäude eine Sicherheitsbedrohung dar. Das bedeutet aber nicht, dass das gesamte Gebäude ständig abgeriegelt sein muss. Es reicht vollkommen aus, Sicherheitsverfahren zu implementieren, um unbefugtes Personal aus Bereichen mit sensiblen Informationen fernzuhalten.
Selbst in kleinen Unternehmen kann hier durch einfache Mittel viel an der Sicherheit verbessert werden. So kann man etwa mit den MItarbeitern vereinbaren, dass diese ihre Büroräume beim Verlassen abschließen. So ist ein direkter Zugang zu den Rechnern der Angestellten bereits erschwert. Je nach Lage und Unternehmensgröße bieten sich auch Security-Systeme und Überwachungskameras zur Absicherung an.
PCs und Mobilgeräte absichern
Data Security umfasst natürlich auch die Pflege und Absicherung von allen im Unternehmen betriebenen Endpunkten. Entsprechend rät SpiderOak dazu, dass auf allen PCs und Mobilgeräten zumindest eine korrekt konfigurierte Firewall samt Antivirensoftware installiert ist. Auch OS-Updates gilt es stets möglichst zeitnah aufzuspielen. Daneben bieten sich weitere Sicherheitsmaßnahmen wie Kennwortrichtlinien sowie konkrete Vorgaben für BYOD.
Kritische Datensätze per Verschlüsselung schützen
Über Verschlüsselung lässt sich die Übertragung von sensiblen Daten schützen. Geschieht dies über das Internet, genüge es laut den Experten bereits, auf die strikte Nutzung von Online-Diensten über HTTPS zu achten. Auch alle im Unternehmen genutzten Collaboration- oder File-Sharing-Anwendungen sollten das verschlüsselte Protokoll unterstützen. Speziell beim mobilen Arbeiten sei zudem darauf zu achten, öffentliche WLAN-Netzwerke nur über VPN-Dienste zu nutzen. Ansonsten läuft man Gefahr, dass Cyberkriminelle Unternehmensdaten und Kennwörter im Drahtlosnetzwerk abgreifen.
Von Passwortmanagern bis zu Notfallplänen
Passwort-Manager wie KeePass erleichtern die Verwaltung von Konten.
Quelle: (Quelle: Dominik Reichl)
Wer auf sichere Passwörter für sämtliche Firmenkonten und Online-Dienste setzt, kommt um die Nutzung eines Passwortmanagers kaum herum. Die Anwendungen sichern alle hinterlegten Zugangsdaten verschlüsselt ab und schützen diese über ein Master-Passwort.
Ein sicheres Tool sollte den No-Knowledge-Bestimmungen entsprechen. Das heißt, die Informationen sind nur für den Benutzer zugänglich, da alle Daten lokal verschlüsselt und entschlüsselt werden. Nicht einmal die Entwickler der Tools oder Cloud-Provider für die Synchronisation sind dazu fähig, die Daten einzusehen.
Eine Auswahl empfehlenswerter Passwort-Manager finden Sie in unserem Praxis-Beitrag "
Die besten Passwort-Manager im Vergleich".
Nicht mehr genutzte Mitarbeiter-Konten deaktivieren
Verlässt ein Mitarbeiter das Unternehmen, sollten auch alle Zugänge und Online-Konten möglichst zeitnah deaktiviert werden. Entsprechend gilt es sicherzustellen, dass ehemalige Mitarbeiter keinen Zugriff mehr auf freigegebene Dokumente, Firmen-E-Mail-Konten oder andere Anwendungen haben, die möglicherweise vertrauliche Informationen enthalten. Nur so lässt sich die Gefahr eines Datenabflusses eindämmen.
Geräte und Daten sicher löschen
Hat ein PC oder ein Smartphone im Unternehmen ausgedient, müssen die darauf befindlichen Daten unwiederbringlich gelöscht werden. Nur so lässt sich ausschließen, dass kritische Daten wiederhergestellt werden können. Zum sicheren Löschen stehen Administratoren bei älteren Systemen verschiedene File-Shredder zur Verfügung, die Festplatten mehrfach überschreiben und damit ein Wiederherstellen technisch verhindern.
Bei Mobilgeräten gilt es zudem darauf zu achten, diese von sämtlichen Online-Konten abzumelden und abschließend auf die Werkseinstellungen zurückzusetzen.
Sicherheit der Unternehmens-IT prüfen
Laut den Kryptoexperten sei es außerdem stets eine gute Idee, die Datensicherheit im Unternehmen auf den Prüfstand zu stellen. Nur so lässt sich herausfinden, wo potenzielle Schwachstellen liegen. Hierzu können Unternehmen entweder interne Sicherheitstest durchführen oder diese von externen Agenturen durchführen lassen. Bei Letzteren handelt es sich zumeist um Sicherheitstestfirmen, die das Verhalten von Hackern imitieren.
In der Praxis prüfen die Tester dann je nach Bedarf, ob sie online oder auch physisch unbemerkt auf die Systeme im Unternehmen zugreifen und Daten abgreifen können. Dabei kommen sowohl komplexe Penetrationstest (Pen-Tests) sowie simple Phishing-Taktiken zum Einsatz.
Im Anschluss an die Tests analysiert das Sicherheitsteam die Schwachstellen im Unternehmen und zeigt Wege auf, wie sich diese beheben lassen.
Für den Ernstfall rüsten: Data Breach Plan
Angesichts der steigt zunehmenden Bedrohungslage wird früher oder später jede noch so gute Unternehmens-IT mit einem erfolgreichen Angriff konfrontiert. Daher sollten Firmen ihre Mitarbeiter für den Ernstfall schulen und konkrete Pläne für das Vorgehen bei einem Hacker-Angriff definieren.
Dabei empfiehlt sich etwa, eine genaue Protokollierung und Validierung des Angriffs, damit im Anschluss die Schwachstelle genau definiert werden kann. Diese gilt es nun zu beheben, um weitere Angriffe zu vereiteln. Abschließend müssen noch sämtliche Eigentümer der Daten über den Vorfall informiert werden.