Kontakt

    Datensicherheit

    Wie Unternehmen ihr wichtigstes Gut schützen können 

    Die zunehmende Digitalisierung bringt es mit sich, dass in praktisch allen Bereichen eines Unternehmens große Mengen an Daten anfallen – von der Produktion über Vertrieb und Logistik bis hin zu Marketing und Kundenkommunikation. Bis 2025 soll die Menge erzeugter Daten auf mehr als 180 Zettabyte ansteigen – das entspricht 180 Milliarden Terabyte. 

    Diese Datenflut bietet Unternehmen enorme Vorteile für die Planung und Entwicklung von Workflows, Prozessen und Geschäftsmodellen, stellt sie jedoch auch vor große Herausforderungen, wenn es um die Speicherung, Konsolidierung und Analyse der Datenberge geht. Nicht zuletzt bedeuten große, geschäftskritische Datenmengen auch eine Herausforderung für Datenschutz und Datensicherheit im Unternehmen. 

    datensicherheit

    Was versteht man unter Datensicherheit? 

    Datensicherheit bezeichnet alle technischen und organisatorischen Maßnahmen, die ein Unternehmen ergreift, um seine Daten zu schützen. Dabei geht es im Wesentlichen um folgende drei Aspekte: 

    Vertraulichkeit: IT-Datensicherheit muss dafür sorgen, dass nur berechtigte Personen Zugriff auf die Unternehmensinformationen erhalten. Der dafür notwendige Aufwand ist sehr stark von der Art der Daten abhängig. Geschäftsgeheimnisse müssen beispielsweise deutlich besser geschützt werden als der wöchentliche Speiseplan in der Kantine. 

    Integrität: Data Scientists, Analysten und Geschäftsverantwortliche müssen sich darauf verlassen können, dass die zur Verfügung gestellten Daten richtig und vollständig sind. Datensicherheit muss deshalb wichtige Informationen vor Manipulation, aber auch vor technischen Defekten schützen. 

    Verfügbarkeit: Der größte Datenschatz nützt nichts, wenn nicht darauf zugegriffen werden kann. Datensicherheit umfasst deshalb auch Aufgaben der Bereitstellung, Speicherung und Archivierung. 

    Was ist der Unterschied zwischen Datenschutz und Datensicherheit? 

    Datensicherheit bezieht sich auf alle Daten im Unternehmen. Beim Datenschutz geht es dagegen um eine ganz bestimme Kategorie von Daten, nämlich personenbezogene Informationen. Datensicherheit ist daher eine Grundvoraussetzung für einen rechtskonformen Datenschutz, dieser greift aber wesentlich weiter. So gehören zum Beispiel auch Fragen der Erhebung, Verarbeitung, Weitergabe und Löschung personenbezogener Daten zum Datenschutz. Die einzuhaltenden Regeln sind in der Europäischen Datenschutzgrundverordnung (DSGVO) sowie im darauf basierenden Bundesdatenschutzgesetz (BDSG) geregelt. 

    Ein weiterer wesentlicher Unterschied zwischen Datensicherheit und Datenschutz liegt in den rechtlichen Auswirkungen eines Sicherheitsvorfalls. Der Verlust von Daten stellt an sich bereits ein hohes wirtschaftliches Risiko dar. Betrifft der Vorfall jedoch personenbezogene Informationen, können hohe Bußgelder hinzu kommen. Die DSGVO sieht bei Verstößen Strafen bis bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr vor. 

    Welche Gefahren bringt mangelnde Datensicherheit mit sich?

    Mangelnde Datensicherheit wirkt sich auf alle drei oben erwähnten Aspekte aus. Erhalten Dritte Zugriff auf geschäftskritische oder anderweitig sensible Daten, kann sich das negativ auf die Wettbewerbssituation auswirken. Manipulieren Angreifer Informationen oder werden diese durch technische Defekte unbemerkt korrumpiert, basieren wichtige Geschäftsentscheidungen womöglich auf einer falschen Basis. 

    Besonders gravierend sind die Auswirkungen, wenn durch mangelnde Datensicherheit Informationen temporär oder für immer verloren gehen. Dem aktuellen Cost of Data Breach-Report zufolge liegen die Kosten eines Datenverlusts im Durchschnitt bei über vier Millionen Euro. Angriffe mit Verschlüsselungs-Software, auch Erpressungstrojaner oder Ransomware genannt, sind neben technischen Ausfällen die häufigste Ursache für solche Beeinträchtigungen. Laut dem Digitalverband Bitkom haben sich die durch Ransomware verursachten Schäden bei deutschen Unternehmen zwischen 2018/2019 und 2020/2021 mehr als vervierfacht! 

    Cyberkriminelle schleusen dabei Malware ein, die gezielt Daten verschlüsselt und damit unbrauchbar macht. Die Angreifer verlangen dann vom Opfer Lösegeld (englisch Ransom). Bezahlt das betroffenen Unternehmen, erhält es im besten Fall den Schlüssel für die Decodierung. Eine Garantie dafür gibt es allerdings nicht. Dem State of Ransomware-Report von Sophos zufolge konnten nur 61 Prozent der Betroffenen, die Lösegeld zahlten, ihre Daten wieder entschlüsseln. 

    Welche Maßnahmen zur Verbesserung der Datensicherheit gibt es? 

    Um die Datensicherheit im Unternehmen zu verbessern, sind folgende Maßnahmen zu ergreifen: 

    Identity & Access Management: Zugangsdaten sind für Cyberkriminelle ein wertvolles und viel gehandeltes Gut. Vor allem bei sogenannten Privileged Accounts, also Nutzerkonten mit erweiterten Zugangs- und Admin-Rechten, kann ein Verlust oder Diebstahl gravierende Folgen haben. Angreifer erhalten damit nicht nur Zugriff zu den IT-Systemen eines Unternehmens, sondern können diese auch umkonfigurieren und so zu weiteren Attacken nutzen. 

    Verantwortliche für die IT-Sicherheit sollten deshalb besonders auf einen robusten Zugangsschutz durch ein professionelles Identity & Access-Management achten, mit dem alle Zugangsdaten und Berechtigungen verwaltet werden. So lässt sich beispielsweise verhindern, das Mitarbeitende schwache Passwörter verwenden, Beschäftige nach dem Ausscheiden aus dem Betrieb weiter Zugang zu internen Ressourcen haben oder Accounts von Auszubildenden auf dem Weg durch die verschiedenen Abteilungen eine Vielzahl von Rechten anhäufen. 

    Endpoint Security: Der Schutz von Endgeräten ist ein wesentlicher Bestandteil eines IT-Sicherheitskonzepts für die Datensicherheit im Unternehmen. Neben User Accounts sind nämlich Endpunkte das Hauptangriffsziel für Cyberkriminelle. Sie nutzen dabei nicht-behobene Schwachstellen in Betriebssystemen und Anwendungen oder missbrauchen Fernwartungs-Tools wie das Remote Desktop Protocol (RDP). 

    Den aktuell besten Schutz bieten sogenannte EDR-Lösungen (Endpoint Detection and Response). Sie überwachen das Verhalten von Endpunkten und isolieren diese automatisch, sobald sie darauf verdächtige Aktivitäten feststellen. So lassen sich auch Angriffe abwehren, bei denen keine bislang bekannte Malware zum Einsatz kommt. 

    Network Security: Informationssicherheit muss auch den Schutz des Firmennetzes umfassen. So kann verhindert werden, dass Angreifer Schwachstellen in der Netzwerk-Hardware und -Software ausnutzen, um Daten zu stehlen, oder – einmal eingedrungen – sich ungehindert in der internen Infrastruktur ausbreiten können. 

    Besonders effektiv gegen Datendiebstahl wirkt eine Segmentierung des Netzwerks in einzelne funktionale, gegeneinander abgeschottete Bereiche. Dies ist am einfachsten und effizientesten in einem Software-Defined Network (SDN) umsetzbar. In ihm werden Routing und Switching nicht mehr direkt auf den Netzwerkknoten ausgeführt, sondern virtualisiert in einer Software-basierten Kontrollebene. Das erleichtert die Definition von Netzwerksegmenten und deren Umsetzung erheblich. 

    Backup and Recovery: Trotz aller Vorsichtsmaßnahmen kann es zu Datenverlusten kommen, etwa wenn Beschäftige Dateien aus Versehen löschen oder defekte Speichersysteme keinen Zugriff mehr ermöglichen. Zur Datensicherheit gehört deshalb auch ein Backup and Recovery-Konzept, das am besten der 3-2-1-Regel folgt: Drei Kopien werden auf zwei verschiedenen Speichermedien abgelegt, wovon eine an einem Ort außerhalb des Unternehmens aufbewahrt werden sollte. 

    Da Ransomware mittlerweile gezielt nach Backups sucht, um diese unbrauchbar zu machen, ist es für die Datensicherheit außerdem wichtig, mindestens eine Kopie komplett getrennt vom Firmennetz aufzubewahren. Diese kann durch eine physikalische Trennung („Air Gap), aber auch durch besonders robuste Schreibschutzmechanismen erfolgen, wie sie von manchen Backup-Spezialisten angeboten werden. 

    Tipps für Unternehmen: So schützen Sie Unternehmensdaten 

    Ein umfassendes IT-Sicherheitsmanagement ist nicht nur für die Cyber Security, sondern auch für die Datensicherheit essenziell. Dabei sollten Unternehmen einen Zero-Trust-Ansatz verfolgen, bei dem jeder Zugriff zunächst als verdächtig eingestuft wird, egal ob er von außerhalb oder von innerhalb des Firmennetzes kommt. 

    In Kombination mit Identity & Access-Management und einer Netzwerksegmentierung bietet Zero Trust einen starken Schutz gegen Cyberkriminelle. Anwendende, Endgeräte und Applikationen müssen sich dabei je nach Kontext mit unterschiedlich starken Authentifizierungsverfahren ausweisen. Während beispielsweise im Firmennetz die Kombination aus Nutzername und Passwort reicht, wird beim Zugriff aus dem Homeoffice zusätzlich ein zweiter Faktor wie ein Einmalpasswort (One-Time Password, OTP) oder eine biometrische Authentifizierung verlangt.  

    In jedem Fall erhalten Accounts und Applikationen nur so viele Rechte, wie für die Ausführung der jeweiligen Aufgabe notwendig sind. So kann verhindert werden, dass sich Angreifer ungehindert im Netz ausbreiten können, selbst wenn es ihnen gelingt, einen Account zu kapern oder ein Endgerät zu kompromittieren. 

    Moderne IT-Security ist allerdings komplex und die Angriffsvektoren ändern sich ständig. Unternehmen sollten daher bei der Datensicherheit auf starke Partner setzen. Managed Security Service Provider (MSSP) können mit Managed Security Services wie Managed Firewall und Managed Antivirus den Schutzgrad eines Unternehmens um ein Vielfaches erhöhen.

    Sprechen Sie jetzt mit unseren Security-Experten

    Als erfahrener Partner bieten wir Unternehmen ganzheitliche Sicherheitslösungen, die Ihre gesamte IT-Landschaft absichern.
    Gerne unterstützen wir Sie bei der Planung und Umsetzung Ihrer Projekte und sind dabei persönlich und regional für Sie da!

    Jetzt beraten lassen