Wie Sie Ihre Daten besser schützen und weshalb es unentbehrlich ist

Unternehmen sind, was die Sicherheit Ihrer Daten anbelangt, den vielfältigsten Risiken ausgesetzt. Sei es durch Angriffe aus dem Internet, etwas in Form von eingeschleuster Schadsoftware wie Trojaner und Viren oder gezielten Angriffen durch Hacker zum Zwecke der Industriespionage oder um schlichtweg einen möglichst großen Schaden anzurichten. Auch der Geheimnisabfluss durch Mitarbeiter oder ihre Befugnisse überschreitende staatliche Behörden stellt ein nicht zu unterschätzendes Risiko da.

Pflichten durch die EU-DSGVO

Einfach „den Stecker zu ziehen“ und das Unternehmen vom Netz zu nehmen ist in einer digitalisierten Welt keine Option mehr. Daher sind Unternehmen bei der Umsetzung eines Datenschutzmanagements mehr und mehr auf die Unterstützung professioneller Software- und Hardwarelösungen angewiesen. Insbesondere durch die am 25.Mai 2018 in Kraft getretene neue Europäische Datenschutz-Grundverordnung (EU-DSGVO) besteht für Unternehmen und Behörden eine umfassende Pflicht, personenbezogene Daten zu schützen. Für den, der es nicht tut, kann es teuer werden.

Eines muss beim Thema Datenschutz jedoch klar sein: Datenschutz dient nicht nur dem Schutz personenbezogener Daten von Kunden, Mitarbeitern und Partnern. Auf den Kern reduziert ist Datenschutz vielmehr eine unabdingbare Maßnahme, den Diebstahl von Unternehmensdaten generell zu erschweren und im Idealfall auch effektiv zu verhindern. Mit der richtigen Soft- und Hardware und speziellen Schulungen, um die eigenen Mitarbeiter für ein sicherheitsbewusstes Verhalten zu sensibilisieren, lässt sich die eigene Infrastruktur sicherer machen und das Risiko eines Datendiebstahls deutlich senken.

Hardware als Risiko

Auch wenn viele bei Angriffen auf sensible Firmendaten an den klassischen Hackenangriff denken dürften, wird wohl den wenigsten klar sein, dass schon die Auswahl der eigenen Hardware ein Risiko darstellt. So hat man sich im schlimmsten Fall den Spion gleich selbst eingebaut. So deckte NSA-Whistleblower Edward Snowden beispielsweise auf, dass die National Security Agency (NSA) Cisco-Netzwerk-Hardware, die für den Verkauf nach China bestimmt war, im Vorhinein hatte manipulieren lassen. Auf der anderen Seite warnten Vertreter der US-Strafverfolgungsbehörde FBI und der Geheimdienste CIA und NSA vor Smartphones der chinesischen Hersteller Huawei und ZTE. Diese Geräte könnten dazu genutzt werden, Informationen zu modifizieren oder zu stehlen. Die Tücke bei manipulierter Hardware liegt darin, dass Veränderungen auf Hardwarebasis nur schwer zu erkennen und auszuschließen sind. Zwar besteht die Möglichkeit, die eigene Hardware durch spezielle Chips namhafter Hersteller zu ergänzen. Um wirklich sicherzugehen, bleibt jedoch letztlich nur die Möglichkeit, die Nachrichten aufmerksam zu verfolgen und auf vertrauenswürdige Hersteller zu setzen.

VPN für unterwegs und zu Hause

Gerade wenn die eigenen Mitarbeiter viel unterwegs sind oder zu Hause arbeiten, können sie meist nicht auf den Zugriff auf Firmendaten verzichten. Um die Kommunikation mit Mitarbeitern und Vorgesetzten zu schützen, empfiehlt sich hier die Einrichtung eines sogenannten VPN (Virtual Private Network). So kann beispielsweise der private Computer eines Mitarbeiters von zu Hause aus verschlüsselten Zugriff auf das Firmennetz erlangen, gerade so, als säße er mittendrin. Vergleichbar ist diese Art der Verschlüsselung mit dem Umstecken des Computer-Netzwerkkabels an das per VPN zugeordnete Netzwerk. Das Unternehmen benötigt hierfür lediglich eine spezielle Server-Software, der Mitarbeiter eine entsprechende Client-Software, um sich mit dem VPN zu verbinden.

Die Verschlüsselung der Kommunikation über das Internet ist jedoch nur eine Seite der Medaille. Ein weiters wichtiges Thema beim Datenschutz ist die Verschlüsselung sensibler Daten. Geht ein Firmenlaptop beispielsweise verloren, kann der Finder ohne hochspezialisierte Entschlüsselungssoftware mit den auf der Festplatte gespeicherten Daten nichts anfangen. Die kürzlich veröffentliche Studie von Forrester Consulting zeigt, dass 1 von 3 Vorsitzenden im letzten Jahr ein Laptop, Tablet oder Handy verloren hat. Verloren gegangene und verlegte Sitzungsunterlagen zählen somit zu den häufigsten Sicherheitsverstößen bei Mitgliedern von Führungsgremien.

Eine Echtzeit-Verschlüsselung war vor wenigen Jahren noch unattraktiv, da die Hardware mit dem Verschlüsselungsprozess meist spürbar ausgelastet war. Jedoch spielt dieser Leistungsverlust bei heutiger Hardware kaum noch eine Rolle. Bei der Wahl der Verschlüsselungslösung sollte man jedoch darauf achten, möglichst quelloffene Software zu verwenden. Quelloffen bedeutet, dass jeder Einsicht in den Programmcode hat und dieser somit auch von allen überprüft werden kann. Hintertüren für neugierige Geheimdienste oder Verschlüsselungsanbieter haben so kaum eine Chance. Sollten die Firmendaten auf einem firmeneigenen Server liegen, sollte nicht vergessen werden, auch diese ausreichend zu verschlüsseln.

Sicheres Passwort wählen

Es mag trivial klingen, aber die beste Verschlüsselung versagt, wenn das Zugangspasswort „12345“ lautet. Daher ist es unabdingbar, die Mitarbeiter im Vergeben sicherer Passwörter zu schulen. Vermieden werden sollten Passwörter mit persönlichem Bezug sowie einfach zu erratende Eingabemuster auf der Tastatur. Aus Grundregel gilt hier: Findet man ein Passwort in einem handelsüblichen Wörterbuch, ist es kein gutes Passwort. Ein gutes Passwort hat mindestens 10 Zeichen und beinhaltet zusätzlich Sonderzeichen sowie Groß- und Kleinbuchstaben. Das Passwort sollte zudem in regelmäßigen Abständen ausgetauscht werden und möglichst nur für eine Anwendung gültig sein.

Abschließend lässt sich sagen, dass mit der zunehmenden Digitalisierung auch die Anforderungen an den Schutz sensibler Daten steigen. Allerdings hat sich auch das Angebot und die Zugänglichkeit moderner Sicherheits-Anwendungen in den letzten Jahren stark verbessert. Kombiniert man verschiedene Datenschutzlösungen sinnvoll miteinander, ist es heutzutage sehr wohl möglich, sensible Daten effektiv gegen unbefugte Zugriffe zu schützen und gleichzeitig die Vorteile einer digitalisierten Arbeitsweise zu genießen.