Dass Datenklau und Hacking-Angriffe realistische Szenarien sind, ist den meisten von uns bewusst. Dennoch achten viele Unternehmen im Arbeitsalltag nicht ausreichend auf die IT- Sicherheit. Was vor Jahren schon eine Baustelle war, wird nun zunehmend zur ernstzunehmenden Schwachstelle für Unternehmen: Dadurch, dass pandemiebedingt immer mehr Mitarbeiter im Homeoffice arbeiten, bietet sich noch mehr Angriffsfläche für externe Zugriffe auf die IT. Unternehmen müssen damit beginnen, die IT-Sicherheit als Priorität zu sehen und hinreichende Maßnahmen zu ergreifen, um Server sowie Daten vor Zugriffen und Datenklau zu schützen.
Was heißt IT-Sicherheit im Unternehmen?
IT-Sicherheit klingt kompliziert, beschreibt aber eigentlich einen einfachen Vorgang: Es gilt, Daten, interne Unternehmensinformationen und technische Systeme zu schützen. Im Prinzip geht es also um den Schutz von Endgeräten wie PCs, Laptops, Smartphones oder Tablets und um die darauf installierten Betriebssysteme. Besonderes Augenmerk sollten Unternehmen darauf legen, wenn einzelne Geräte auch außerhalb der Firma und vor allem im privaten Bereich genutzt werden. Firmen Handys und Laptops stellen deshalb eine der größten Schwachstellen dar.
Diese Risiken gibt es
Unternehmen sollten zusammen mit einem Profi wie https://www.bee-it.de/ abwägen, wie sensibel die gespeicherten Daten sind und inwieweit Mitarbeitern der dezentrale Zugriff auf diese Daten ermöglicht wird. Potenzielle Risiken, die durch unzureichende IT-Sicherheit auftreten können, sind vor allem die interne sowie die externe Spionage, aber auch Verstöße gegen das Datenschutzgesetz.
Datenschutz-Grundverordnung (DSGVO) beachten
Datenschutz wird immer wichtiger in einer Zeit, in der vieles gespeichert wird und auch dezentral aufrufbar ist. Unternehmen sind am Zug, Daten ihrer Mitarbeiter, Lieferanten und Kunden sowie sensible Unternehmensinformationen so zu schützen, dass Spionage und Datenklau nicht möglich sind.
Im Rahmen der DSGVO verpflichten Unternehmen sich zwar nicht zur Cyber Security, müssen jedoch schriftlich ein „Verzeichnis aller Verarbeitungstätigkeiten“ personenbezogener Daten und eine „allgemeine Beschreibung der technischen und organisatorischen Maßnahmen“ zum Schutz der Daten fixieren. Daraus ergibt sich ein „dem Risiko angemessenes Schutzniveau“, welches Unternehmen gewährleisten müssen. IT-Sicherheit ist die wichtigste Voraussetzung dafür.
Risikoanalyse als Voraussetzung für mehr IT-Sicherheit
Um ein Schutzniveau zu erreichen, dass dem Risiko angemessen ist, wie es die DSGVO vorsieht, empfiehlt es sich zusammen mit Experten eine Risikoanalyse durchzuführen. Dabei gilt es diese Dinge abzufragen:
- Speichert das Unternehmen sensible Daten, und wenn ja: in welcher Menge?
- Kann das Personal dezentral auf diese Daten oder auf das allgemeine System zugreifen?
- Ist der dezentrale Zugriff auf Daten und Systeme erforderlich, und wenn ja: für wie viele Mitarbeiter:innen?
- Gibt es Schwachstellen in Hinblick auf interne oder externe Spionage?
- Welche Datenschutzgesetze spielen im Unternehmen eine Rolle?
Anhand der Risikoanalyse kann man dann ein Konzept entwickeln, das konkrete Maßnahmen für eine höhere IT-Sicherheit beinhaltet.
Konkrete Maßnahmen zur IT-Sicherheit
Begleitend zur Risikoanalyse sollte es der erste Schritt sein, einen IT-Sicherheitsbeauftragten zu installieren. Dadurch ist eine Person für das Thema zuständig, die wiederum Aufgaben an Abteilungsleiter oder Zweigstellen delegieren kann. Damit das Sicherheitskonzept möglichst effektiv ist, sollte es diese Maßnahmen beinhalten:
- Das Unternehmen installiert sichere Software
- In Absprache mit der Unternehmensführung und Abteilungsleistern werden Zugriffsbeschränkungen implementiert, welche auch kontrolliert werden
- Daten werden konsequent verschlüsselt
- Daten werden außerdem regelmäßig gesichert, um einen Datenverlust zu vermeiden.
- Das Personal wird für das Thema IT-Sicherheit sensibilisiert und geschult
Viele Unternehmen zweifeln die Notwendigkeit von Personalschulungen zum Thema Cyber Security an und sehen ihr Soll erfüllt, wenn sie einen Rahmen aus Maßnahmen für die IT-Sicherheit entwickeln. Dabei wird jedoch gerne der menschliche Faktor übersehen: Phishing-Angriffe, die vom Personal nicht als solche erkannt werden, stellen meist eine große Sicherheitslücke dar:
Phishing-Angriffe auf das Unternehmen
Cyber-Kriminelle nutzen diesen Faktor aus, indem sie beispielsweise Mails mit Malware (Schadsoftware) versenden. Werden solche Mails – beziehungsweise deren Anhänge – geöffnet, kann das enormen Schaden anrichten. In vielen Fällen installiert sich dann nämlich Malware, die Daten abgreifen und nach außen leiten kann.
Im Tagesgeschäft öffnen Mitarbeiterinnen und Mitarbeiter unzählige Mails. Wird das Endgerät auch für private Kommunikation genutzt, erhöht sich das Risiko. Cyber-Kriminelle wissen, welche Art von Mails mit hoher Wahrscheinlichkeit geöffnet werden und generieren diese entsprechend. Um das Risiko für Cyberangriffe zu verringern, sollte Unternehmen also unbedingt in IT-Sicherheitsschulungen für ihren Mitarbeiterstamm investieren.