Cyberrisiken richtig erkennen

Die Abwehr verstärken

In der von Digitalisierung geprägten heutigen Welt sind auch kleinere Unternehmen ohne den Einsatz von IT und Internet kaum mehr denkbar. Gerade auf Ebene der kleinen und mittelständischen Betriebe fehlt jedoch oftmals das Bewusstsein, dass dies auch erhebliche Risiken mit sich bringt. Einige Risiken, wie der Diebstahl physischer Objekte oder die Zerstörung von Assets durch Naturkatastrophen lassen sich durch verantwortungsbewusstes Verhalten und sinnvolle Vorsichtsmaßnahmen wirksam eindämmen.

Die Abwehr verstärken

Der IT-Security-Anbieter Eset hat nun einen „Erste-Hilfe-Plan" vorgestellt, mit dem sich Unternehmen besser vor Cyberattacken schützen können.

Wesentlich komplizierter ist der Umgang mit Risiken, die durch sogenannte Cyberkriminalität entstehen, also beispielsweise dem gezielten Diebstahl von Informationen oder Daten und deren Verkauf auf dem Schwarzmarkt. Mehr als 70 Prozent aller Datenschutzvorfälle geschehen in kleinen und mittelständischen Unternehmen.

Dennoch glauben auch weiterhin viele Verantwortliche, dass ihre Firma aufgrund der geringen Größe und vermeintlich wenig wertvollen Daten für Angreifer nicht interessant wäre. Ein Trugschluss mit teils dramatischen Folgen. Das IT-Sicherheitsunternehmen Eset veröffentlichte nun einen „Survival Guide“ der helfen soll, Unternehmen gegen die Folgen von Cyberkriminalität zu schützen.

Persönliche Daten, also solche, die beispielsweise für Identitätsdiebstahl verwendet werden können, sind ein besonders beliebtes Ziel von Kriminellen. Solche Daten werden selbst von kleinsten Unternehmen verarbeitet, z. B. in Kunden- oder Lieferantendatenbanken. Weiterhin interessant sind Zahlungsinformationen, z. B. Kreditkartendaten, Kontodaten, Passwörter für Onlinebanking und E-Mail-Accounts sowie Zugangsdaten zu Online-Diensten wie Paypal. Diese Daten lassen sich lukrativ auf dem Schwarzmarkt an andere Kriminelle verkaufen, welche diese wiederum für unterschiedlichste illegale Aktivitäten einsetzen.

Folgen von Datenlecks

Auch wenn es häufig nicht im Fokus der Aufmerksamkeit steht: Unternehmen jeder Größe, die persönliche und finanzielle Daten von Nutzern verarbeiten, können im Fall des Diebstahls oder Verlusts dieser Daten für negative Folgen verantwortlich gemacht werden – beispielsweise, wenn Nutzerdaten entwendet und für betrügerische Aktivitäten genutzt werden. Datenschutzregelungen wie die EU-DSGVO fordern zudem, dass Unternehmen Datenschutzvorfälle umgehend melden – dazu gehören auch der gestohlene Dienstlaptop oder der verloren gegangene USB-Stick mit sensiblen Informationen. Auf die Praxis bezogen ergibt sich selbst für kleinste Unternehmen die Verpflichtung, im Unternehmen verarbeitete Daten Dritter systematisch zu schützen. Jegliche Vorsichtsmaßnahmen sollten dabei detailliert dokumentiert werden – unter anderem, um Mitarbeiter über ihre Pflichten in Sachen Datenschutz aufzuklären.

Zwei-Faktor-Authentifizierung

Vor allem für kleinere Unternehmen ist die so-genannte Zwei-Faktor-Authentifizierung (2FA) eine komfortable Lösung zur Absicherung sensibler Daten. Es hat sich gezeigt, dass viele Datenlecks in der Vergangenheit hätten verhindert werden können, wenn Daten nicht allein durch Passwörter geschützt worden wären. 2FA sorgt dafür, dass Mitarbeiter zusätzlich zu ihren normalen Login-Daten zum Beispiel ein automatisch generiertes, zufälliges Einmal-Passwort eingeben müssen, das auch nur kurze Zeit bzw. für diese Session gültig ist. Daten sind so besser vor Missbrauch geschützt, da Angreifer Passwörter nicht einfach erraten können. Mit einer zusätzlich abgesicherten Authentifizierung schützt man Daten und Geräte vor Missbrauch durch Dritte und sorgt zugleich dafür, dass man gesetzliche Anforderungen zum Datenschutz erfüllt. Doch auch große Unternehmen fordern von ihren kleineren Zulieferern mittlerweile nicht selten Nachweise darüber, dass ihre Mitarbeiter eingehend über den Schutz von Daten und seine Umsetzung geschult wurden und dass angemessene Sicherheitsvorkehrungen zur Absicherung sensibler Daten getroffen wurden. Sollte ein Unternehmen von einem Datenleck betroffen sein, kann es mithilfe entsprechender Dokumentation nachweisen, dass alles unternommen wurde, um einen solchen Vorfall zu verhindern und die negativen Folgen so gering wie möglich zu halten.

Die folgenden Schritte empfiehlt der Sicherheitsanbieter, um einen verbesserten Schutz vor Angriffen zu erzielen:

Assess – Dokumentieren Sie Ihre Assets, Risiken und Ressourcen

Build – Stellen Sie Sicherheitsrichtlinien auf

Choose – Wählen Sie passende   Kontrollmechanismen

Deploy – Implementieren Sie die  Kontrollmechanismen

Educate – Schulen Sie Mitarbeiter, Führungskräfte und Zulieferer

Further – Weiterführende Dokumentation, Prüfung, Tests

Es ist unwahrscheinlich, dass Cyberkriminalität in den nächsten Jahren abnehmen wird. Unternehmen sind entsprechend in der Pflicht, Daten und IT-Infrastrukturen abzusichern, um den reibungslosen Geschäftsbetrieb zu gewährleisten und die Sicherheit der verarbeiteten sensiblen Daten zu wahren.

Bild: gettyimages/iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok