In immer mehr Branchen wirkt sich die Digitalisierung aus. Viele Prozesse müssen nicht mehr auf Papier ausgeführt werden, sondern lassen sich digital abwickeln. Das ist in sehr vielen Bereichen eine enorme Erleichterung der Arbeitsabläufe und führt zu geringeren Kosten und einer schnelleren Bearbeitung von Aufträgen. Doch die Digitalisierung hat auch Schattenseiten. Ein großes Problem ist die Tatsache, dass die Unternehmen dadurch für Hacker immer angreifbarer werden.
Autor: Thomas W. Frick, 22.08.2019, Thema: Mitarbeiter als wesentlicher Sicherheitsfaktor
So schützen Unternehmen ihre Daten im Zuge der fortschreitenden Digitalisierung
Selbst große Unternehmen wie Sony sind vor Hackern nicht sicher. Das zeigt der Angriff aus dem Jahr 2011, bei dem die Daten von zahlreichen Nutzern geleakt wurden und das Playstation-Network für fast einen Monat nicht erreichbar war. Ein etwas älteres aber gutes Beispiel, dass der Stellenwert von IT-Sicherheit selbst in großen Unternehmen lange Zeit zu gering war. In kleinen Unternehmen ist es meist noch schlimmer, denn dort gibt es oft keine Experten für den Schutz der Systeme und der Daten. Im Greenbone-Blog sind wir auf eine interessante Übersicht hinsichtlich Cyber Resilience und wichtiger Fragen zur IT-Sicherheit gestoßen, beispielsweise zur Fragestellung: Welche Angriffsmethoden und Mittel gefährden die IT-Sicherheit?
Die Mitarbeiter sind das größte Sicherheitsrisiko
Es gibt sehr viele potentielle Angriffsvektoren, die für Unternehmen eine echte Gefahr darstellen können. Doch die größte Gefahr sind immer noch die eigenen Mitarbeiter. Denn es ist fast gleichgültig, wie gut die Sicherheitsmaßnahmen sind. Wenn ein Mitarbeiter auf einen Link in einer Phishing-Mail klickt oder anderweitig leichtfertig mit vertraulichen Informationen umgeht, dann können auch sehr gute Sicherheitsmaßnahmen wenig ausrichten.
Aus diesem Grund ist es wichtig, die Mitarbeiter für den verantwortungsbewussten Umgang mit personenbezogenen Daten und Passwörtern zu sensibilisieren. So lassen sich bereits viele Angriffe abwehren. Oft handelt es sich gar nicht um Attacken, die gegen ein spezifisches Unternehmen gerichtet sind. Die Angreifer versuchen es einfach bei vielen Adressaten, damit zumindest einige Empfänger auf die Phishing-Mail reinfallen.
Gerade in Unternehmen, bei denen die Mehrheit der Angestellten nur wenig Kenntnisse im Bereich IT hat und parallel immer mehr Arbeitsabläufe digitalisiert werden, sind entsprechende Fortbildungen nahezu unabdingbar. Laut einem Artikel der FAZ, befinden sich vor allem mittelständische Unternehmen im Visier der Hacker. Sie müssen sich also besonders gut schützen, um in Zukunft nicht das Opfer eines Hackerangriffs zu werden. Rund jedes zweite mittelständische Unternehmen ist schon Ziel einer erfolgreichen Attacke geworden. Die endlosen Versuche werden dabei nicht einmal mitgezählt. Die IT-Sicherheit ist also ein immer wichtiger werdendes Thema, welches in vielen Unternehmen einen viel zu kleinen Stellenwert einnimmt.
Der Schutz von personenbezogenen Daten
Spätestens mit der DSGVO wurde das Thema Datenschutz wieder in das Bewusstsein der Unternehmen gerückt. Denn wenn Verstöße begangen werden, dann drohen nun empfindliche Strafen. Unternehmen sind gerade aus diesem Grund sehr darauf aus, keine Verstöße im Bereich Datenschutz zu begehen. Dabei muss es nicht einmal ein Hackerangriff sein, bei dem persönliche Daten an die Öffentlichkeit gelangen. Schon eine Unachtsamkeit in einem Gespräch kann ausreichen, damit ein Verstoß gegen die DSGVO vorliegt.
Oft entscheiden sich Unternehmen deshalb für den Einsatz eines externen Datenschutzbeauftragten. Dieser kann die unterschiedlichen Prozesse objektiv überprüfen und dafür sorgen, dass Verstöße gegen die DSGVO vermieden werden. Es gibt zwar einige Szenarien, in denen ein Datenschutzbeauftragter nicht verpflichtend vorgeschrieben wird. Doch diese Fälle sind so selten, dass sie vernachlässigt werden können. Selbst ein kleiner Lieferdienst ist in vielen Fällen dazu verpflichtet, weil die Mitarbeiter regelmäßig mit Adressdaten und Zahlungsmitteln von Kunden zu tun haben.
Man merkt also sehr schnell, dass der Datenschutz in Unternehmen spätestens seit der DSGVO zu einem ernsten Thema geworden ist. Gerade bei der Kommunikation per Mail oder über ein Ticketsystem ist es sehr wichtig, dass die entsprechenden Mitarbeiter sehr gut geschult sind. Denn hier sollte es unbedingt vermieden werden, dass persönliche Daten ohne eine vorherige Legitimierung des Gesprächspartners mitgeteilt werden. Auch bei Telefongesprächen sollte beispielsweise die Frage nach dem Geburtsdatum ein fester Bestandteil sein, bevor man über sensible Daten spricht.
Die ersten Schritte zu mehr Datenschutz
In vielen Unternehmen ist bekannt, dass mehr für den Datenschutz getan werden muss. Doch gerade in kleinen Unternehmen wird dieses Thema oft so lange herausgezögert, bis es zu spät ist. Unternehmer sollten rechtzeitig anfangen, sich mit dem Datenschutz zu beschäftigen und entsprechende Verfahren etablieren, damit das Unternehmen im Ernstfall den Schaden minimieren kann. Unternehmen sollten aber auch nicht aufhören ihren Datenschutz stets weiter zu optimieren, denn es ist zu beobachten, dass sich viele Unternehmen seit der Rechtsgültigkeit mit den bis dahin abgeschlossenen Maßnahmen, nicht weiter beschäftigt haben.
Als erster Schritt kann es sinnvoll sein, wenn tatsächlich ein Datenschutzbeauftragter bestellt wird. Im Anschluss daran gilt es die Mitarbeiter entsprechend zu schulen.
Sehr oft kommt es vor, dass alte Datenbestände nur noch schlecht geschützt sind. Diese werden nicht mehr aktiv genutzt und geraten deshalb leicht in Vergessenheit. Unternehmen sollten prüfen, an welchen Stellen sie sensible Daten wie lagern. Denn nur so kann der Datenschutz in Zukunft gewährleistet werden. Falls es keinen internen Datenschutzbeauftragten mit dem entsprechenden Knowhow gibt, sollte ein erfahrener Mitarbeiter mit dem externen Datenschutzbeauftragten zusammenarbeiten. So kann dieser die Struktur des Unternehmens sehr schnell kennen lernen und Maßnahmen empfehlen, mit denen der DSGVO und den anderen Richtlinien Rechnung getragen wird.