Sicherheit im Unternehmen

DSGVO: Kein notwendiges Übel

Für Stefan Wehrhahn, Country Manager DACH bei Bullguard, ist die DSGVO kein notwendiges Übel. Seiner Meinung nach hilft sie Unternehmen dabei, für Transparenz und einen verantwortungsvollen Umgang mit Daten zu sorgen.

Stefan Wehrhahn, Country Manager DACH bei Bullguard

„Datenspionage und Datensammlung sind immer noch auf der Tagesordnung im Internet“, so Stefan Wehrhahn, Country Manager DACH bei Bullguard.

Herr Wehrhahn, „Ich habe nichts zu verbergen“ hört man oftmals seitens der Unternehmen – welchen Stellenwert schreiben sie demnach anno 2019 dem Thema „Datenschutz“ zu?
Stefan Wehrhahn:
Unternehmen sollten den Datenschutz sehr ernst nehmen. Die Einstellung „man habe nichts zu verbergen“ ist nicht erst seit Inkrafttreten der DSGVO grob fahrlässig. Unternehmen sind verpflichtet, Daten ihrer Kunden, Dienstleister und Mitarbeiter zu schützen. Die Bedeutung von Datenschutz nimmt sogar zu: Es werden immer mehr Daten gesammelt, von immer mehr Beteiligten. Hier helfen Transparenz und entsprechende Prozesse, die nicht nur für mehr Datenschutz sorgen können. Sie helfen oft auch dabei, vorhandene Daten besser zu nutzen und damit effizienter und kundenorientierter zu werden.

An welchen Stellen zeigt sich konkret die Sorglosigkeit der Unternehmen hinsichtlich des Themas „Datenschutz“?
Wehrhahn:
Die DSGVO gibt klare Regeln vor, wie personenbezogene Daten von Kunden, Dienstleistern und Mitarbeitern geschützt werden müssen. Schon bei vermeintlichen Kleinigkeiten wird aber gegen den Datenschutz verstoßen: In E-Mails, die an mehrere Personen verschickt werden, sind alle Empfänger in CC statt BCC gesetzt, und somit für alle sichtbar. So geschehen in den Niederlanden, und zwar ausgerechnet bei der Behörde für Datensicherheit.

Unternehmen speichern Kunden- und Mitarbeiterdaten unverschlüsselt oder in offen zugänglichen Cloud-Diensten. In einem aktuellen Beispiel speicherte ein Internetanbieter Klartextpasswörter seiner Mitarbeiter für mehrere Monate öffentlich zugänglich in einem sogenannten „Cloud Storage Bucket“. Unternehmen wie Verizon oder Time Warner Cable speicherten Benutzerdaten unverschlüsselt oder ohne angemessenen Passwortschutz auf öffentlich zugänglichen Servern oder Cloud-Diensten.

Woran hapert es beispielsweise bislang bei der Absicherung mobiler Endgeräte im Unternehmenseinsatz?
Wehrhahn:
Die Absicherung mobiler Endgeräte hapert oft an mangelndem Wissen oder fehlendem Bewusstsein in Bezug auf Datenschutz und Datensicherheit. In manchen, gerade kleineren Unternehmen gibt es keinen eigenen IT-Experten, der über das nötige Fachwissen und auch die Zeit verfügt, Datenschutz im Unternehmen umzusetzen.

In manchen Firmen ist es z.B. üblich, dass Mitarbeiter eigene Endgeräte für die Arbeit nutzen. BYOD heißt aber nicht Bring your own Security – diese Geräte müssen vom Unternehmen mit entsprechender Sicherheitssoftware ausgestattet werden, um den Schutz unternehmensinterner Informationen oder Kundendaten gewährleisten zu können. In anderen Fällen dürfen Mitarbeiter Firmengeräte auch privat nutzen. Dann sollten die persönlichen Daten des Mitarbeiters geschützt bleiben. Sowohl für private als auch unternehmenseigene mobile Geräte hilft ein VPN, um auch von unterwegs sicher auf Unternehmensdaten zugreifen zu können.

Was sind hier jedoch die großen Gefahren, wenn sich Unternehmensdaten auch auf mobilen Endgeräten wiederfinden?
Wehrhahn:
Mobile Endgeräte können zunächst einmal verloren gehen oder gestohlen werden. Auf diese Weise haben Dritte physischen Zugang auf die Geräte und, falls entsprechender Schutz fehlt, auch auf sensible Daten wie Passwörter, Kundeninformationen, Finanzkennzahlen.

Aber auch ohne physischen Zugang können sich Cyberkriminelle über Malware Zugriff auf relevante Daten verschaffen. Die Einfallstore stehen ihnen bei schwachen Passwörtern, bei der Nutzung von unsicheren (oder sogar gefälschten) Wlan-Spots sowie aufgrund von ungeschulten Mitarbeitern weit offen. Bei einem Ransomware-Angriff besteht nicht nur die Gefahr des Datenklaus, sondern auch das Risiko, Daten zu verlieren. Große (finanzielle) Schäden für Unternehmen sind die Folge, abhängig davon, um welche Art von Daten es sich handelt, die auf dem Gerät verfügbar sind.

Sind personenbezogene Daten betroffen, muss ein Datenleck an die Aufsichtsbehörde gemeldet werden. Erfährt die Öffentlichkeit vom Datenverlust, kann das auch zu einem nicht unerheblichen Imageschaden führen. Gleichzeitig drohen auch finanzielle Einbußen, wenn ein Verstoß gegen die DSGVO vorliegt und Strafzahlungen geleistet werden müssen.

Welche Gefahr stellt anno 2019 das Thema „Datenspionage“ bzw. „Datensammlung“ in Deutschland dar?
Wehrhahn:
Datenspionage und Datensammlung sind immer noch auf der Tagesordnung im Internet. Ob (semi-) legale oder illegale Datenakquise: Die Gefahr ist größer als früher. Durch das Sammeln verschiedener Daten über Cookies, die IP-Adresse, Tracking-Systeme, Apps, Account-Profile oder über Preisausschreiben, Umfragen, Spiele oder Persönlichkeitstests, können Unternehmen, aber auch Cyberkriminelle, ein beängstigend genaues Profil erstellen. Unternehmen können so gezielte Werbung für potentielle Kunden ausspielen. Für Kriminelle eröffnet das unvorstellbare Möglichkeiten: Verkauf der Daten auf dem Schwarzmarkt, Bank- und Kreditkartenbetrug, bis hin zum kompletten Identitätsklau. Die heutige Cyberbedrohungslandschaft verlangt nach Sicherheit gepaart mit Privatsphäre, um einen angemessenen Schutz zu bieten.

Wer hat denn grundsätzlich Interesse daran, Daten zu sammeln? Und an welchen Stellen im Netz werden Daten konkret abgegriffen?
Wehrhahn:
Fast immer besteht beim Datensammeln ein finanzielles Interesse: Unternehmen wollen das Verhalten der Kunden besser verstehen, um letztendlich den Profit zu steigern. Datensätze werden aber auch verkauft: Zu den bekannten Datensammlern gehören Google, Facebook und weitere Social-Media-Kanäle oder Messenger-Dienste. Internetprovider, Online-Händler und sämtliche Anbieter von Produkten oder Dienstleistungen, Versicherungen und Banken – alle sind an Daten interessiert. Denn aus diesen lassen sich Rückschlüsse ziehen, Statistiken erstellen, Risikoeinschätzungen berechnen, u.v.m. Auch Regierungen sammeln bestimmte persönlichen Informationen, dürfen sie aber zumindest nicht weitergeben.

Daten werden an den unterschiedlichsten Stellen im Alltag abgegriffen: Nutzt man Fitness-Tracker, Online-Navigationssysteme, Suchmaschinen, Social Media, Online-Shopping oder Online-Spiele, werden die Daten mit Cookies, anhand der IP-Adresse oder über Apps und Tracker abgegriffen. Aber auch ausgefüllte Social-Media-Profile, die Teilnahme an Gewinnspielen, Umfragen oder Persönlichkeitstests liefern nützliche Daten.

Welche Daten sind hierbei von besonderem Interesse und warum?
Wehrhahn:
Sogenannte Datenbroker sammeln, kaufen und verkaufen sehr detaillierte Datensätze. Daten wie Alter, Geschlecht, Adresse, Familienstand, aber auch Herkunft, Hautfarbe, Bildungsniveau, politische Gesinnung, Vorlieben, Einkaufsgewohnheiten, Urlaubspläne und Krankheiten sind von höchstem Interesse. Genauso auch Beruf, Karriere und Finanzen. Es ist sogar möglich, Beziehungen zu anderen Nutzern nachzuvollziehen, so dass auch Informationen über Freunde und Verwandte bei den Datenbrokern zu finden sind.

Diese Daten bieten viele Nutzungsmöglichkeiten: Ob es dabei um gezielt ausgespielte Werbung geht oder darum, eine politische Kampagne zu beeinflussen – die Möglichkeiten sind nahezu grenzenlos.

Welche Auswirkungen hat dieses „Datenausspionieren“ letztlich auch auf die Unternehmen?
Wehrhahn:
Nahezu alle Unternehmen sammeln heute Daten. Sie haben daraus ein Geschäftsmodell entwickelt und/oder profitieren vom Wissen über ihre Kunden, Partner, Mitarbeiter oder Investoren. Gleichzeitig sind sie aber auch – gemäß der DSGVO – verantwortlich für die personenbezogenen Daten, die sie speichern.

Das kann dazu führen, dass ein Unternehmen selbst Opfer von Datenklau oder -spionage wird. Dann wird geprüft, ob ein Verstoß gegen die DSGVO vorliegt. Ist dies der Fall, kann es zu sehr hohen Geldstrafen kommen. Vor allem aber ist es ein Vertrauensbruch gegenüber Kunden und Mitarbeitern. Im Extremfall erleidet das Unternehmen einen schweren oder gar irreparablen Image-Schaden. Für kleinere Unternehmen sind diese Rückschläge schwer oder kaum verkraftbar.

Wie können sich die Unternehmen jetzt und in Zukunft schützen?
Wehrhahn:
Um sich in Sachen Datenschutz zukunftssicher aufzustellen, sollten Unternehmen an drei Stellen ansetzen: Erstens gilt es, die Anforderungen der DSGVO zu kennen, zu verstehen und anzuwenden. Sie ist kein notwendiges Übel, sondern hilft Unternehmen dabei, für Transparenz und einen verantwortungsvollen Umgang mit Daten zu sorgen.

Zweitens ist der Schutz von Daten und Geräten selbst eine wichtige Stellschraube in Sachen Datensicherheit. Hierzu zählen starke Passwörter, sichere Unternehmensnetze, Sicherheitssoftware, regelmäßige Sicherheits-Updates oder auch VPN-Zugänge für den Zugriff von unterwegs. Unternehmen, die nicht über eine Inhouse-IT-Abteilung verfügen, sollten außerdem externe Experten zu Rate ziehen.

Nicht vergessen werden sollte die Schulung und Sensibilisierung der Mitarbeiter in Sachen DSGVO, Gefahren bei der Nutzung von mobilen Geräten, Phishing-Mails oder unsicheren Websites.

Bildquelle: Bullguard

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok