Die fünf häufigsten Datenrisiken in Unternehmen

Das Weltwirtschaftsforum identifiziert Cyberangriffe, Datenbetrug und Datendiebstahl als Top-Risiken auf globaler Ebene. Das Scheitern des EU-US Privacy-Shields, die zögerliche Einführung des LGPD in Brasilien (vergleichbar mit der Europäischen Datenschutzgrundverordnung) sowie die verstärkte Arbeit im Home Office bieten Anlässe, die Bedeutung des Datenschutzes genauer zu betrachten. Die OTRS AG hat die fünf gefährlichsten Datenrisiken zusammengestellt.

 

  1. Zusammenarbeit mit Graumarktanbietern

Graumarktanbieter bieten Lösungen außerhalb der legalen Vertriebswege an. Trotzdem entscheiden sich einige Unternehmen für diese Lösungen, weil sie in den meisten Fällen besonders günstig sind. Die Problematik mit Graumarktanbietern ist jedoch, dass sie nicht Eigentümer des Quellcodes sind. Damit entstehen zwei Risiken für Unternehmen. Erstens könnte mangelndes Produkt-Know-how des Graumarktanbieters zu Konfigurationen führen, die die Daten ungeschützt lassen. Zweitens wird die Software nicht wie nötig aktualisiert, da das Produkt außerhalb der legalen Vertriebskanäle vertrieben wird.

 

  1. Verwendung von veralteten nicht gepatchten Lösungen

Produkt-Updates und Patches sind erforderlich, um Sicherheitslücken zu schließen. Wenn diese nicht vorgenommen werden, kann ein Backdoor-Zugriff (alternativer Zugang zu Software, der den Zugriffsschutz umgeht) auf Daten möglich sein. Laut einer Tripwire-Studie sind 27 Prozent der Sicherheitsverstöße darauf zurückzuführen, dass Patches nicht rechtzeitig durchgeführt wurden.

 

  1. Zusammenarbeit mit Lieferanten, die den Datenschutz nicht genau nehmen

Unabhängig davon, ob Unternehmen mit externen Beratern oder Dienstleistungsanbietern zusammenarbeiten, sollten sie genau wissen, wie das externe Unternehmen Daten schützt. Vor dem Vertragsabschluss sollten die Auftraggeber gezielte Fragen stellen, um ein gründliches Verständnis der Sicherheitspraktiken zu erhalten und die Vereinbarungen zum Thema Sicherheit direkt in die Verträge aufnehmen.

 

  1. Fehlende Mitarbeiterschulungen

Oftmals ist der Mensch immer noch die größte Schwachstelle: Mitarbeiter erstellen schwache Passwörter und nutzen nicht immer das sicherste Netzwerk. Professionelle Trainings können dabei helfen, ein Bewusstsein für Gefahrenlagen zu schaffen. Hacker-Konzepte wie Social Engineering und Phishing-Angriffe sollten allen bekannt sein. Gerade jetzt, wo ein Großteil der Mitarbeiter aus dem Home Office arbeitet, sollten mobile Mitarbeiter darauf achten, dass ihre persönlichen Netzwerke gesichert sind und wenn möglich ein VPN (Virtual Private Network) verwenden.

 

  1. Keine klar definierten Incident-Response-Prozesse

Was passiert, wenn es doch zu einem Zwischenfall kommt? Je länger ein Vorfall dauert, desto mehr Daten sind gefährdet. In einer globalen Umfrage der OTRS Group unter IT-Managern gaben 40 Prozent an, dass sie vor allem klarer definierte Incident-Management-Prozesse benötigen, um adäquater mit Sicherheitsverstößen umgehen zu können.

»Bei der Verwaltung von Daten gibt es keine hundertprozentige Sicherheit, aber es gibt zahlreiche Schutzmaßnahmen«, sagt Jens Bothe, Director Global Consulting bei der OTRS AG und Sicherheitsexperte. »Durch die verstärkte Arbeit im Home Office sind wir einem höheren Sicherheitsrisiko ausgesetzt, das aber bei Einhaltung dieser fünf Tipps gesenkt werden kann.«

 

Erfahren Sie mehr zum Thema Graumarkt im Whitepaper.

 

Schwachstelle Mensch: Mitarbeiter für den Datenschutz sensibilisieren

 

Viele Unternehmen kennen es: In der Theorie herrscht eine klare Regelung, wie die Vorgaben der DSGVO im eigenen Betrieb umgesetzt werden sollen. Doch in der Praxis sieht es häufig ganz anders aus. Selten gehen Mitarbeiter absichtlich fahrlässig mit sensiblen Daten um. Vielmehr fehlt ihnen vermeintlich die Zeit, sich genügend mit dem Thema auseinanderzusetzen, oder der Blick darauf, dass sie mit ihrem Verhalten gegen die DSGVO verstoßen. Aber genau diese Verstöße können dem Unternehmen im Ernstfall ein hohes Bußgeld einbringen. »Zwischen Theorie und Praxis herrscht häufig eine Diskrepanz – auch in Sachen Datenschutz. Daher müssen Führungskräfte ihre Mitarbeiter kontinuierlich damit konfrontieren und sensibilisieren«, erklärt Haye Hösel, Geschäftsführer und Gründer der HUBIT Datenschutz GmbH & Co. KG.

Vertrauen ist nicht immer gut

Moderne Unternehmenssoftware wird immer intelligenter und ist – vermeintlich – immer besser vor Hacker-Angriffen geschützt. Deswegen setzen Betrüger nun häufiger auf den Menschen als Schwachstelle. Eine Methode stellt das sogenannte Social Engineering dar, bei dem eine zwischenmenschliche Beeinflussung stattfindet, mit dem Ziel, bestimmte Verhaltensweisen bei Personen hervorzurufen und so an vertrauliche Informationen zu gelangen. Social Engineers täuschen dafür Identitäten vor und geben sich etwa als Techniker oder Führungskraft aus, um so geheime Unternehmensinformationen oder persönliche Passwörter abzufragen. »Mitarbeiter sollten daher E-Mails und Anrufen von unbekannten Personen skeptisch gegenüberstehen und vertrauliche Daten nicht einfach weitergeben«, rät Hösel.

Gefährliche E-Mails

Im Gegensatz zum wesentlich individuelleren Social Engineering stellen aber auch Phishing-Mails eine Gefahr dar. Kriminelle bringen dabei E-Mail-Empfänger entweder durch einen Trick dazu, ihre Daten freiwillig weiterzugeben, oder nutzen Spyware, die heimlich im Hintergrund Daten ausspioniert. Das Kunstwort Phishing leitet sich aus den englischen Begriffen »password« und »fishing« ab. Zwar glauben viele Menschen, dafür unempfänglich zu sein, dennoch erfreut sich diese Methode nicht ohne Grund bereits seit Jahren großer Beliebtheit unter Betrügern. Mittlerweile stellt es sich als immer schwieriger heraus, eine falsche E-Mail als solche zu erkennen, da Kriminelle immer bessere Methoden entwickelt haben, um an die Daten von Nutzern zu kommen. Sie verwenden beispielsweise E-Mailadressen, die ähnlich aussehen wie die bekannter Nutzer, sich aber doch marginal unterscheiden. Beim sogenannten Pharming setzen sich Hacker zwischen Anwender und Originalwebsite, sodass dieser selbst mit korrekt eingegebener Internetadresse eine gefälschte Webseite aufruft und dort sensible Daten preisgibt. »In diesem Fall bietet es sich vor allem an, immer spezielle Schutzprogramme auf den Endgeräten zu installieren und diese regelmäßig zu aktualisieren«, meint Hösel. Bei E-Mails, die sie verunsichern oder auch nur einen kleinen Funken des Zweifels hervorrufen, sollten Mitarbeiter zuerst innehalten und reflektieren und sich im Zweifel lieber telefonisch beim betreffenden Kunden oder Dienstleister erkundigen.

Sichere Passwörter

Auch wenn wahrscheinlich jeder davon gehört hat, dass ein sicheres Passwort aus mindestens acht Zeichen, darunter Zahlen, Groß- und Kleinbuchstaben sowie Sonderzeichen, bestehen soll, stellen sie noch immer eine große Sicherheitslücke in Unternehmen dar. Mitarbeiter verwenden oftmals über Jahre hinweg stets dieselben Passwörter, die häufig aus simplen Zahlenfolgen wie 123456 oder den auf der Tastatur nebeneinanderliegenden Buchstaben QWERT bestehen. Auch Textdateien, die alle relevanten Logins des Unternehmens auflisten und auf den Rechnern der Mitarbeiter gespeichert sind oder ausgedruckt auf dem Schreibtisch liegen, stellen ein leichtes Ziel für Betrüger dar. Da sich die meisten Menschen aber die Vielzahl unterschiedlicher und möglichst komplizierter Passwörter nicht merken können, bieten sich sogenannte Passwort-Manager an. Sie erzeugen und speichern sichere Passwörter verschlüsselt und füllen sie automatisch beim Login aus. »Wir bieten einen speziellen Passwort-Generator, der so groß wie eine Scheckkarte ist, und es den Mitarbeitern ermöglicht auf einfache Weise hoch komplexe Passwörter zu generieren, die sie sich dennoch einfach merken können.«, so Hösel

In den Alltag integrieren

Generell gilt für jedes Unternehmen, das mit personenbezogenen oder -beziehbaren Daten umgeht, die technischen und organisatorischen Maßnahmen, die es zum Schutz dieser Daten ergreift, festzulegen und zu dokumentieren. Zu den technischen Maßnahmen zählen viele physische Verfahrensweisen, wie der Schutz des Unternehmensgebäudes, zum Beispiel durch ein Schloss. Eine organisatorische Maßnahme wäre in diesem Falle, die Schlüsselausgabe zu dokumentieren. Doch auch im Alltag sollten Führungskräfte ihre Mitarbeiter an datenschutzkonformes Verhalten erinnern. So sollte es eigentlich als selbstverständlich gelten, dass sensible Daten wie Personalunterlagen nicht offen auf dem Schreibtisch liegen. Hösel rät ebenfalls: »Es empfiehlt sich, laute Telefonate über sensible Firmendaten in der Öffentlichkeit möglichst zu vermeiden und bei der Nutzung von Dienstlaptops unterwegs Blickschutzfilter zu verwenden.« Führungskräften kommt bei der Einhaltung der DSGVO eine besondere Bedeutung zu. Es genügt nicht, Mitarbeitern bloß das Handwerkszeug zur Verfügung zu stellen. Stattdessen gilt es über die Wichtigkeit des Datenschutzes aufzuklären, selbst wenn vieles dabei auf den ersten Blick als selbstverständlich erscheint. Regelmäßige Schulungen schaffen hier ein allgemeines Bewusstsein.

Weitere Informationen unter www.hubit.de

 

2443 Artikel zu „Daten Risiko“

Security-Risiko USB-Massenspeicher: Best Practices zum Schutz vor Datenverlust

USB-Massenspeicher bieten eine schnelle, einfache Möglichkeit, Daten zu transportieren und gemeinsam zu nutzen, wenn eine digitale Übertragung nicht möglich ist. Das hohe Risiko von Diebstahl und Verlust macht USB-Massenspeicher für die Unternehmenssicherheit jedoch zu einem Security-Alptraum. Die aktuell weitverbreitete Remote-Arbeit hat diese Probleme noch verschärft. Das Volumen der von Mitarbeitern auf USB-Massenspeicher heruntergeladenen Daten ist…

Mitarbeiterverhalten als Risiko: Wie sich Daten in Cloudanwendungen sichern lassen

Die Sicherheit von Cloudanwendungen wird maßgeblich definiert durch die Sicherheit der dort befindlichen Daten. Den Anforderungen jenseits des Netzwerkperimeters sind klassische Sicherheitsansätze jedoch nicht mehr gewachsen. Nunmehr ist das Verhalten der Nutzer der Faktor, der in puncto Datensicherheit potenziell den größten Schaden anrichten kann. Um dieses Risiko einzudämmen, benötigen IT-Security-Teams ein Verständnis davon, wie die…

Datenrisiko: In 47 % der Unternehmen hat die Mehrzahl der Mitarbeiter Zugriff auf mehr als 1.000 sensible Dateien

Stale Data und exzessive Zugriffsrechte setzen Unternehmen weiterhin Insiderbedrohungen, Ransomware und anderen Risiken aus. Der neue Datenrisiko-Report von Varonis Systems zeigt ein alarmierendes Ausmaß an Exposition interner und sensibler Dateien innerhalb von Unternehmen: Durchschnittlich sind 20 Prozent der Ordner – und damit oftmals personenbezogene Daten, Kreditkarten- oder auch medizinische Informationen – für alle Mitarbeiter zugänglich…

Höheres Risikobewusstsein – Konsumenten sehen Unternehmen beim Thema Datenmissbrauch in der Pflicht

Nur 30 Prozent der Konsumenten glauben, dass die Unternehmen den Schutz ihrer personenbezogenen Daten sehr ernst nehmen. 58 Prozent der Befragten fürchten, Opfer von Datenmissbrauch im Internet zu werden. 66 Prozent würden wahrscheinlich keine Geschäfte mehr mit Organisationen machen, wenn diese für den Verlust von Finanzinformationen und sensible Daten verantwortlich wären.   Die Ergebnisse der…

Unternehmen behalten »sicherheitshalber« Daten und gehen so das Risiko ein, künftiges Datenschutzrecht zu brechen

In den Vorbereitungen zur Einhaltung der EU-Datenschutz-Grundverordnung gibt es Risiken für mittelständische Unternehmen die keine entsprechenden Aufbewahrungsrichtlinien haben. Die vollständigen Auswirkungen der EU-Datenschutz-Grundverordnung (EU-DSGVO) werden ein Schock für vier von zehn mittelständischen Unternehmen in Europa (250 bis 2.500 Angestellte). Dieser Anteil bewahrt nahezu jede Aufzeichnung ohne Rücksicht auf offizielle Aufbewahrungsvorgaben auf. In einer gemeinsamen Studie…

Technologie-Trends und mangelnde Ressourcen steigern das Risiko von Datenverlust

Gefahr droht vor allem für Daten auf unternehmenseigenen Geräten außerhalb der Kontrolle von IT-Abteilungen. Angesichts der Zunahme von Schatten-IT, mangelhaft implementierten Speicherlösungen und fehlendem Know-how fällt es vielen Unternehmen schwer, ihre Daten effektiv zu verwalten – wodurch Datenverlust droht. Dies geht aus aktuellen Erkenntnissen von Kroll Ontrack hervor. In den letzten Monaten hat Anbieter von…

EU-Datenschutz-Grundverordnung: Unbefugte werden zum teuren Risiko

Geldbuße: Bis zu vier Prozent des Jahresumsatzes. Access Rights Management wesentlicher Bestandteil der DS-GVO. Die digitale Transformation basiert auf Daten – nicht nur über Maschinen, Produkte, Fertigungsprozesse, sondern auch über Personen, Unternehmen und Netzwerke. Die EU-Datenschutz-Grundverordnung DS-GVO ist nun endgültig verabschiedet, das teuerste Problem der Wirtschaft ist der »Unbefugte« geworden. »Ein Mitarbeiter, der in Daten…

Das wirtschaftliche Risiko vertraulicher Daten auf dienstlich genutzten Mobilgeräten

Mobile Bedrohungen können Unternehmen bis zu 23,4 Millionen Euro kosten. Im Report »Das wirtschaftliche Risiko vertraulicher Daten auf Mobilgeräten am Arbeitsplatz« [1] wurde berechnet, dass mobile Bedrohungen Unternehmen bis zu 23,4 Millionen Euro kosten könnten. In diesem Report geht es nicht nur um die Kosten, die den Unternehmen durch mobile Bedrohungen und Datensicherheitsverletzungen entstehen, sondern…

Stress-Level messen: Neue App nutzt Langzeit-EKG-Daten für Risikoanalyse

Eine neuartige App, die bei Verdacht auf Übermüdung, Depression oder Burnout mit Langzeit-EKG-Daten eine individuelle Risikoanalyse erstellen kann, haben fünf Bachelorstudenten des Hasso-Plattner-Instituts (HPI) entwickelt. Über eine Bluetooth-Verbindung übermitteln die EKG-Aufnahmegeräte die Herzschlag-Intervalle, auf deren Basis die App in wenigen Minuten den persönlichen Stresslevel errechnet. Beim HPI-Bachelorpodium demonstrierte das Informatiker-Team seine Lösung vor mehr als…

Informationsmanagement der digitalen Kanäle erhöht das Risiko von Datenpannen und führt zu Reputationsverlusten

Obwohl der Einsatz von digitaler Kommunikation und Groupware in Unternehmen schneller wächst, als im privaten Bereich [1], ist in 28 Prozent der weltweiten Unternehmen niemand für die Verwaltung von Social-Media-Inhalten verantwortlich. Zu diesem Ergebnis kam eine Studie [2] der internationalen Organisation für Informationsmanagement AIIM [3] im Auftrag des Informationsmanagement-Dienstleisters Iron Mountain. Was die Inhalte von…

Banken fehlen Daten und Analysetools für effektives Risikomanagement

Über die Hälfte der Führungskräfte im Privatkunden-, Geschäfts- und Investmentbanking verfügt nach eigener Aussage nicht über ausreichendes Datenmaterial, um ein solides Risikomanagement umzusetzen. Das ist das Ergebnis der Studie »How Big Data Can Help Banks Manage Risk«, die von der Economist Intelligence Unit (EIU) durchgeführt und von der SAP SE gesponsert wurde. Die Studie untersucht,…

Die fünf häufigsten Datenrisiken in Unternehmen

  Das Weltwirtschaftsforum identifiziert Cyberangriffe, Datenbetrug und Datendiebstahl als Top-Risiken auf globaler Ebene. Das Scheitern des EU-US Privacy-Shields, die zögerliche Einführung des LGPD in Brasilien (vergleichbar mit der Europäischen Datenschutzgrundverordnung) sowie die verstärkte Arbeit im Home Office bieten Anlässe, die Bedeutung des Datenschutzes genauer zu betrachten. Die OTRS AG hat die fünf gefährlichsten Datenrisiken zusammengestellt.…

Datenschutz: Google, Facebook, Amazon, Apple und Microsoft sind einfach zu groß geworden

Die Irish Data Protection Commission (IDPC), die Aufsichtsbehörde, die im Wesentlichen für alle amerikanischen Big-Tech-Unternehmen wie Facebook, Microsoft, Google und Apple für Europa zuständig ist, hat kürzlich ein Statement veröffentlicht. Es geht um den von der Behörde vorgeschlagenen Beschluss zum DSGVO/GDPR-Verstoß seitens Twitter. Dieser Beschluss habe ein »Streitbeilegungsverfahren« ausgelöst, da er nach Ansicht der EU-Datenschutzbehörden…

4 Schwerpunkte für datenschutzkonforme KI-Lösungen

Was sind die vier wichtigsten Herausforderungen bei Konzeption und Einsatz von KI-Anwendungen im Unternehmen?   Der Siegeszug künstlicher Intelligenz spielt beim jüngst ausgelösten Digitialisierungsschub eine herausragende Rolle, schließlich erobert KI ständig neue Anwendungsfelder und findet sich so immer häufiger im praktischen Einsatz. Die Security-Verantwortlichen in Unternehmen stellt diese Entwicklung jedoch vor komplexe, neue Herausforderungen, denn…

Spontanverschlüsselung für den geschützten Austausch vertraulicher Daten – Röntgenbilder, Rechnungen & Co. sicher per E-Mail verschicken

Vor Kurzem hat die Datenschutzgrundverordnung (DSGVO) ihr zweijähriges Bestehen gefeiert. Bedenkt man, wie viel Aufwand betrieben wurde, um die Implementierung zu bewerkstelligen, ist der Umsetzungsgrad im Bereich E-Mail-Verschlüsselung noch immer ausbaufähig. Aufgrund des vermeintlichen Aufwands verzichten viele Firmen, Arztpraxen, Organisationen etc. darauf, überhaupt auf elektronischem Wege mit Kunden oder Patienten zu kommunizieren. Dabei existieren bereits Lösungen, die einfach in den Arbeitsalltag zu integrieren sind.

Datengetriebene Logistik: Weichenstellung in Richtung Normalität

  Die Entwicklungen der vergangenen Monate haben die Störanfälligkeit von Lieferketten in den Blickpunkt gerückt. Ein Großteil resultiert aus mangelnder Sichtbarkeit von Beständen, seien sie im Lager vorrätig oder auf dem Transportweg. Weitere wesentliche Einflussfaktoren liegen typischerweise außerhalb der Reichweite der eigenen Lieferkette eines Unternehmens und fernab von dessen Einflussbereich. Vor diesem Hintergrund wird die…

Viele Firmen verschenken das Potenzial von Daten

Unternehmen schöpfen nicht alle Möglichkeiten aus, um mit Hilfe von Daten am Markt erfolgreich zu agieren. Das zeigt die Grafik auf Basis einer Bitkom-Umfrage. Bei den Antworten auf die Frage, für welche Zwecke die Unternehmen Daten sammeln, überwiegen einfache Analysevorgänge wie etwa Personalmanagement und Finanzplanung. Hingegen nutzt nur rund jedes sechste Unternehmen Daten, um sich…

Deutsches Start-up spezialisiert sich mit hochsicherem Messenger auf vertrauliche Daten

800.000 Nutzer – Hidden Champion aus Hannover bietet Slack, Teams & Co. die Stirn. Nicht aus dem Silicon Valley, sondern aus dem beschaulichen Hannover kommt das Start-up, das Slack, Teams und Co. Konkurrenz macht und sich Stück für Stück Marktanteile sichert. Entwickelt vom Start-up stashcat – ein Unternehmen der heinekingmedia GmbH. Aktuell wird der stashcat-Messenger…