Heute leben wir mehr denn je in einer digitalen Welt, die sich schneller verändert, als wir die von uns gespeicherten Dateien und Daten schützen können. Es gibt keine Patentrezepte oder magische Lösung, um einen Datenschutzverstoß zu verhindern, aber es gibt wichtige Schritte, die Sie zum Schutz Ihrer Daten ergreifen können. Es gibt technisch gesehen einige wenige Arten von Datenlecks, wie interne oder externe Quellen. Obwohl Unternehmen Maßnahmen ergreifen und aktiv handeln, scheint es, dass die Zahl der Datenschutzverletzungen von Jahr zu Jahr zugenommen hat. Es kann sich wie ein unendliches Katz-und-Maus-Spiel anfühlen, weil es tatsächlich so ist. Jedes Mal, wenn Unternehmen einen neuen Weg finden, Daten zu schützen, scheint es, als ob Kriminelle einen besseren Weg finden, auf diese Daten zuzugreifen, und dann gibt es interne Lecks, die durch menschliches Versagen oder Vorsatz verursacht werden.
Daten sind wertvoll und es gibt eine Vielzahl von Dingen, die mit gehackten, durchgesickerten oder gestohlenen Daten durchgeführt werden können. Die häufigste Art von Daten, die von Hackern und Cyberkriminellen verwendet werden, sind Namen, Geburtsdatum, Sozialversicherungsnummern und manchmal Kreditkarten- oder Debitkartennummern. Gesundheitsdaten sind die wertvollsten auf dem Schwarzmarkt und im dunklen Netz. Eine Sozialversicherungsnummer kann für etwa 15 US-Dollar gekauft und die Gesundheitsdaten von jemandem können für bis zu 200 US-Dollar verkauft werden. Es gibt so viele verschiedene Möglichkeiten, wie Datenschutzverletzungen auftreten können, aber es gibt einfache Schritte, die jeder tun kann, um zumindest die Grundlagen der Cybersicherheit abzudecken.
Dies sind die grundlegenden Schritte, die Sie mindestens unternehmen sollten, um Verletzungen der Datensicherheit zu verhindern.
1. Schützen Sie Ihre Daten und alle Informationen, die Sie speichern:
Nicht alle Informationen sind hochsensibel, aber diese Daten können als Puzzleteil verwendet werden, um ein viel größeres Bild zu erhalten. Als Best Practice sollten Sie davon ausgehen, dass alle Informationen geschützt werden müssen, wo immer sie gespeichert (data at rest), gesendet (data in transit) oder verwendet (data in use) werden.
2. Wie Daten intern auf Geräte übertragen werden:
Ihr Unternehmen oder Ihre Organisation sollte es Mitgliedern oder Mitarbeitern nicht gestatten, Daten von einem Gerät auf ein anderes externes Gerät zu übertragen oder zu teilen. Dies ist ein sicherer Weg, um in Schwierigkeiten zu geraten und die Wahrscheinlichkeit eines Datenlecks zu erhöhen, wenn dieses Gerät – Flash-Laufwerk, externe Festplatte – jemals verloren geht oder gestohlen wird. Glauben Sie nicht, dass es Ihnen nicht passieren kann! Hier ist Verschlüsselung ein guter Schritt.
3. Beschränken Sie die Downloads:
Vor Kurzem gab es einen Fall, in dem ein Bundesbeamter ein Netz der US-Regierung mit Malware infizierte, nachdem er mehrere Tausend pornografische Bilder, Videos und Malware heruntergeladen hatte. Und das alles bei der Arbeit und auf seinem Firmencomputer. Alle unnötigen Medien sollten deshalb auf den Download beschränkt sein. Dies wird das Risiko der Installation von Schadsoftware verringern, die Cyberkriminelle ermöglichen, Daten an eine externe Quelle zu übertragen.
4. Sicheres Löschen alter Daten:
Das Unternehmen sollte alle Dateien und Ordner vollständig löschen, bevor es Computer und Massenspeicher entsorgt. Es gibt viele Anwendungen, die Informationen abrufen können, nachdem sie gelöscht wurden. Betrachten Sie Ihre Festplatte als einen physischen Datensatz, bei dem die Daten noch vorhanden sind, bis sie überschrieben werden. Aus diesem Grund ist es wichtig, Software zu verwenden, die mehrfach löscht, schreibt und löscht, bis die Daten nicht wiederhergestellt werden können. Hier hilft die DIN 66398:2016-05 in der aktuellen Ausprägung.
5. Erlauben Sie keine unverschlüsselten Geräte für geschäftliche Zwecke:
Unverschlüsselte Geräte sind ein Garant für Katastrophen. Es ist, als würde man alles in seinem Wohnzimmer verstauen und die Haustür offen lassen. Wenn dann jemand reinkommt und alles nimmt, fragen Sie sich, warum und wie es passiert ist? Laptops und andere tragbare Geräte, die unverschlüsselt sind, sind ein willkommenes Zeichen für jeden, der diese Daten haben möchte, wo sie, wenn sie verschlüsselt wären, für Kriminelle grundsätzlich wertlos wären.
6. Patchen Sie zeitnah:
Aktualisieren Sie Ihre Anwendungen und Betriebssysteme zeitnah. Erstellen sie eine Whitelist für Ihre Anwendungen, die Sie auf Ihrem Basis-Betriebssystem ausführen sollten. Denken Sie an Automatisierungslösungen, die es Ihnen ermöglichen, dies skalierbar zu tun, anstatt einzelne Patches durchzuführen, was Ihrer IT-Abteilung viel Zeit und Kopfschmerzen erspart.
7. Passwörter, Passwörter, Passwörter, Passwörter:
Wir haben es millionenfach gesehen, dass Menschen faul werden und das gleiche Passwort oder eine einfache Wort-Zahlen-Kombination verwenden. Es gibt Datenbanken von Passwörtern, die im dunklen Netz der großen Lecks von LinkedIn, Yahoo und vielen anderen verkauft werden, wo Kriminelle sie kaufen und an eine Software weiterleiten, die automatisch versucht, sich bei Tausenden von Zielen anzumelden. Wenn dieses Passwort jedes Mal durchgesickert ist, erhöht es die Chancen, dass Unbefugte reinkommen. Verwenden Sie sichere Passwörter und ändern Sie diese bei Verdacht eines Missbrauchs. Dies ist das schwächste Glied, also warum nicht den einfachen Schritt tun und es sicher machen?
8. Beauftragen Sie eine dritte Partei, um Bedrohungen zu identifizieren:
Holen Sie unabhängige Auditoren hinzu, um Schwachstellen in Ihrem Netz sowie verdächtige Netzaktivitäten zu identifizieren und sich auf Krisen oder Datenlecks vorzubereiten. Sie können auch feststellen, ob private Daten öffentlich zugänglich sind. Die beauftragten externen Experten können Ihnen auch bei der Planung einer Abwehrreaktion helfen. Eine hochkarätige Datenschutzverletzung könnte nicht nur den Ruf schädigen, sondern auch zu Klagen, Geldbußen und sogar zur Aufgabe von Geschäften führen. Es ist äußerst wichtig, den Reaktionsplan, der eine schnelle Reaktion ermöglicht und hilft, den Schaden zu reduzieren, zu durchbrechen. Wichtige Schritte, Benachrichtigungen und Vorbereitungen könnten den Ausschlag geben, wenn es darum geht, die Folgeschäden einzudämmen.
9. Einschränkung der Berechtigungen
Wenn Sie ein – kleines wie großes – Unternehmen sind, möchten Sie vielleicht nicht, dass der Hausmeister oder der Kundendienst für Neueinstellungen die Gewinn- und Verlustrechnungen oder Steuerdaten einsehen? Beschränken Sie die Berechtigungen auf diejenigen, die an den sensiblen Unternehmensdaten arbeiten und die Anmeldevorgänge verfolgen. Dies könnte nicht nur Probleme in der Zukunft verhindern, sondern auch feststellen, wer wann auf welche Daten zugegriffen hat.
10. Schulung und Ausbildung im Bereich Datensicherheit:
Bei den meisten Unternehmen geht es nur um Umsatz und Gewinn. Sicher, sie schätzen ihre Kunden und Mitarbeiter, aber sie wissen nicht, dass Daten heute sehr wertvoll sind. Daten sind ein Ziel für Hacker und sogar Konkurrenten (staatlich geförderte Wirtschaftsspionage). Es ist wichtig, dass Sie und alle Beteiligten es ernst meinen mit Aufklärung und Sensibilisierung, wenn es um einen Datenverstoß geht. Seien Sie aktiv und nutzen Sie die Denkweise „Nicht wenn es passiert, sondern wann es passiert“.
Pierre Gronau ist seit über 25 Jahren für namhafte Unternehmen als Senior IT-Berater mit umfangreicher Projekterfahrung tätig. Zu seinen Kompetenzfeldern gehören Server-Virtualisierungen, IT-Sicherheit, moderne Cloud- und Automationslösungen sowie Informationsschutz.
