· Fachbeitrag · Datenschutzkonzept
Sensible Daten in Gefahr: Die Bedeutung eines umfassenden Datenschutzkonzepts
von Thomas Kress, Haibach
| Die Gefahren für sensible Unternehmensdaten sind so groß wie nie zuvor. Gute Datenschutzkonzepte und professionelle IT-Sicherheits-Lösungen sind unverzichtbar. Der aktuelle Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur IT-Sicherheit in Deutschland für 2023 vom 2.11.23 bestätigt dies und gibt hier keinen Anlass zur Entwarnung. Dies betrifft nicht nur kommunale und staatliche Einrichtungen oder Großunternehmen. Angriffe und Angreifer konzentrieren sich zunehmend auch auf kleinere und mittlere Unternehmen (KMU). |
1. Die unterschätzte Herausforderung: Datenschutz in KMU ‒ Warum ein umfassendes Konzept entscheidend für die IT-Sicherheit ist
Gerade bei KMU wird die Bedeutung eines umfassenden Datenschutzkonzepts als notwendiger Bestandteil der IT-Security jedoch häufig unterschätzt. Dabei wird übersehen, dass ein solides Datenschutzkonzept ein notwendiger Bestandteil einer guten IT-Sicherheits-Infrastruktur ist.
Dies liegt nicht zuletzt daran, dass Datenschutz in Deutschland oft als unnötig kompliziert und als zu streng angesehen wird. Personenbezogene Daten wurden in Deutschland durch das Bundesdatenschutzgesetz (BDSG) schon seit längerem gesetzlich geschützt. Mit der seit 25.5.18 anzuwendende EU-Datenschutzgrundverordnung (EU-DSGVO) erfolgte eine europäische Harmonisierung und Vereinheitlichung wichtiger Datenschutzstandards. Hinzu kam die Implementierung als notwendig angesehener Regelungen zum Schutz personenbezogener Daten, unter anderem Informationspflichten, Sanktionsvorschriften und Regelungen zum Schadenersatz.
MERKE | Gerade bei kleineren und mittleren Unternehmen fehlt es jedoch oft nicht nur an Problembewusstsein, sondern auch an dem erforderlichen Know How von Entscheidern und Mitarbeitern. Nicht jeder kann sich eine eigene IT-Abteilung und Datenschutzexperten im Unternehmen leisten oder hält diese für erforderlich. Dies kann zu teuren und sogar existenzvernichtenden Fehlern führen. Hier besteht nach wie vor ein erheblicher Beratungsbedarf sowohl auf juristischer als auch auf technischer Seite. |
2. Die Industrialisierung der Cyberkriminalität
Cybercrime hat sich zu einer regelrechten Industrie entwickelt. Ähnlich wie Unternehmen in der Realwirtschaft gibt es arbeitsteilige Strukturen von Produzenten, Lieferanten, Zwischen- und Endabnehmern. Cybercrime as a Service (CaaS) lautet hier das Schlagwort.
3. Ransomware: Die unterschätzte Gefahr für Unternehmen ‒ Methoden, Folgen und Schutzmaßnahmen
Eine der größten Gefahren für die IT-Sicherheit und den Datenschutz ist dabei die Bedrohung durch sog. Ransomware.
Ransomware bezeichnet eine Gruppe von Schadprogrammen, deren Zweck es ist, sich durch ein mehrstufiges Vorgehen Zugang zu schlechten oder nicht ausreichend geschützten IT-Systemen zu verschaffen. Haben die Angreifer, vom Unternehmen meist unbemerkt, volle Zugriffsrechte auf die unternehmenseigenen Daten, wie Kundenkartei, Geschäftsgeheimnisse oder Finanzdaten erlangt (z. B. auf Active-Directory-Ebene), gibt es mehrere denkbare, oft parallel angewandte Vorgehensweisen der Cyberkriminellen.
Die Angreifer verschlüsseln die Daten dergestalt, dass das Unternehmen nicht mehr auf sie zugreifen kann. Dies geht mit einer Lösegeldforderung einher, verbunden mit der (unsicheren) Zusage, die Daten wieder freizugeben, wenn das so erpresste Unternehmen gezahlt hat.
Mittlerweile verzichten Angreifer oft auch auf die Verschlüsselung und erpressen das Unternehmen direkt mit der Veröffentlichung sensibler personenbezogener Daten von Kunden und Geschäftspartnern, um an ein Lösegeld zu gelangen. Im ungünstigsten Fall kombinieren die Angreifer beide Methoden und erpressen das Unternehmen doppelt.
Zuletzt kommt es auch vor, dass sensible Daten durch Ransomware einfach irreversibel beschädigt werden oder mit deren Zerstörung gedroht wird, sei es aus Gründen der Sabotage oder ebenfalls zum Zweck der Erpressung.
4. DDoS-Angriffe und staatliche Einflüsse: Die anhaltende Bedrohung für die IT-Sicherheit von Internetunternehmen
Neben Ransomware spielen nach wie vor eine Rolle Angriffe durch DDos-Attacken (Distributes Denial of Service) auf Websites von Internet Unternehmen aller Branchen. Dabei bricht eine Website durch eine Vielzahl gleichzeitiger Anfragen der Cyberkriminellen oft über sog. Botnetze (gekaperte und zusammengeschaltete Rechner) zusammen und steht längere Zeit nicht mehr zur Verfügung. Solche Angriffe kommen auch vonseiten staatlicher Stellen Dritter im Zuge des Ukraine-Krieges und des Nahost-Konfliktes mit dem Ziel gesellschaftlicher Verunsicherung durch Verlust des Vertrauens in die eigene IT-Sicherheit vor
5. Phishing as a Service und CEO-Fraud: Wie Unternehmen sich vor professionellen E-Mail-Betrügereien schützen können
Ein Thema ist weiterhin auch das sog. Phishing as a Service, oft kombiniert mit dem sog. CEO-Fraud. Durch professionell gefälschte E-Mails werden Unternehmensmitarbeiter dazu gebracht, sensible Daten preiszugeben, in der irrigen Annahme, es handele sich um eine vertrauenswürdige E-Mail Dritter oder sogar eines Vorgesetzten (CEO) aus dem Unternehmen.
MERKE | Hier helfen ein gesundes Misstrauen, etwaige Nachfragen und klar strukturierte Verantwortlichkeiten sowie angepasste Zugangsrechte. |
6. Der menschliche Faktor im KI-Zeitalter: Datenschutz und Risiken beim Einsatz von Sprachmodellen wie ChatGPT
Der Faktor Mensch als Riskofaktor spielt auch beim Einsatz von Sprachmodellen der KI wie z. B. ChatGPT eine nicht unerhebliche Rolle.
MERKE | Für ein solides Datenschutzkonzept ist es unumgänglich, zu klären, welche Informationen aus dem Unternehmen beim Einsatz der KI verwendet werden und an diese weitergeben werden dürfen. |
7. IT-Sicherheit im Fokus: Maßnahmen für einen effektiven Schutz vor Cybercrime in Unternehmen
Der zunehmenden Professionalisierung auf der Seite der Angreifer muss eine entsprechende Professionalität auf der Abwehrseite gegenüberstehen. Hierfür ist der Einsatz interner oder externer Experten und Fachleute für Unternehmen aller Größen und Branchen unumgänglich geworden.
Jedes Unternehmen kann und muss durch entsprechende Maßnahmen zu einer größeren IT-Sicherheit und zu einem besseren Datenschutz beitragen. Datensicherheit trägt gleichzeitig zum Datenschutz bei. Neben aktueller, durch Firewalls gut abgesicherter Hardware, aktuellen Betriebssystemen mit allen notwendigen Updates und aktueller Software aus vertrauenswürdigen Quellen mit den erforderlichen Patches, ist die Beschränkung der Zugangsrechte für jeden Mitarbeiter auf die tatsächlich benötigten Dateien und Informationen erforderlich.
MERKE | Nur die wenigsten Mitarbeiter benötigen volle Admin-Rechte. Das Gegenteil ist leider viel zu häufig der Fall und öffnet so unnötig Einfallstore für Cybercrime-Attacken. Der Zero-Trust-Ansatz und der Check der Active-Directories sind für hierfür hilfreiche Gegenmaßnahmen. |
8. Fazit
Datenschutz und Datensicherheit sind in einer zunehmend digitalisierten Welt unverzichtbarer Bestandteil erfolgreichen unternehmerischen Handelns. Unternehmer sollten daher ein gutes Datenschutzkonzept und IT-Sicherheit daher nicht als notwendiges Übel, sondern als Baustein ihres Erfolges ansehen und entsprechend handeln.
Zum Autor
- Thomas Kress ist IT-Sicherheitsexperte und Inhaber der TKUC Group mit den Marken TKUC und TheUnified. Mit mehr als 25 Jahren Erfahrung in seiner Tätigkeit als IT-Consultant und Projektmanager für namhafte Unternehmen, betreut er als erfahrener IT-Security-Experte nun mit seinen eigenen Firmen namhafte Kunden. Webseite: www.theunified.de
