Die Sicherheit von sensiblen Daten – ein ebenso komplexes wie komplziertes Thema. Ich habe letztens mal wieder in der KPMG-Studie „Wirtschaftskriminalität in Deutschland 2023: Gegen jede Regel“ geblättert: 1.001 repräsentativ ausgewählte Unternehmen verschiedenster Branchen und Größe waren befragt worden: Jedes dritte Unternehmen – exakt 34 Prozent – hatte angegeben, Opfer krimineller Delikte wie Betrug, Korruption oder Cyber-Attacken geworden zu sein.
Besonders bemerkenswert sind für mich zwei Fakten aus der Studie:
Die größte Angst der befragten Unternehmen ist, dass sie Opfer von Datendiebstahl und -missbrauch werden können. Neun von zehn Unternehmen halten das Risiko für hoch bis sehr hoch.
Gleichzeitig stufen „nur“ 34 Prozent der befragten Unternehmen das Risiko, selbst Opfer von Wirtschaftskriminalität zu werden, als hoch oder sehr hoch ein. Stattdessen sehen sie eher andere Unternehmen als gefährdet an (81 Prozent).
Das ist natürlich eine krasse Fehleinschätzung, die sich schnell als äußerst kostspielig erweisen kann. Bei fast einem Drittel der befragten Unternehmen, die Opfer von Wirtschaftskriminalität wurden, entstand ein Schaden zwischen 100.000 und einer Million Euro. In fünf Prozent der Fälle lag der Schaden sogar über einer Million Euro, wie die Studie zeigt.
Was sagt uns das?
Unternehmen müssen heute proaktiv tätig werden und Maßnahmen zum Schutz ihrer Daten vornehmen. Ich nenne hier sechs Maßnahmen, die jedes Unternehmen – ob klein oder groß – unbedimngt beachten sollte:
1. Es müssen klare Sicherheitsrichtlinien und -verfahren festgelegt werden, die den Umgang mit sensiblen Daten regeln. Dazu gehören u.a. Zugriffsbeschränkungen, Passwortrichtlinien, Datensicherung und -wiederherstellung sowie Richtlinien zur sicheren Datenübertragung.
2. Mitarbeiter sind oft die größte Schwachstelle – und gleichzeitig die erste Verteidigungslinie gegen Datendiebstahl. Sie müssen regelmäßig(!) über die Risiken von Cyberbedrohungen informiert und in sicherem Verhalten im Umgang mit Daten geschult werden.
3. Firmen-Netzwerke müssen geschützt werden – mit Firewalls, Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS). Nur so kann der unerlaubte Zugriff auf Firmen-Systeme zuverlässig verhindert werden.
4. Updates und Patches für Betriebssysteme, Anwendungen und Sicherheitssoftware sind entscheidend, um bekannte Schwachstellen zu beheben und das Risiko von Angriffen zu minimieren. Auch hier gilt: Regelmäßige Aktualisierung ist notwendig!
5. Sensible Daten müssen verschlüsselt werden (während der Übertragung wie auch bei der Speicherung). Sichergestellt werden muss, dass ausschließlich autorisierte Benutzer Zugriff auf diese Daten haben. Wichtig: Zugriffe protokollieren und überwachen.
6. Und nicht zuletzt sollte jedes Unternehmen einen Incident Response Plan entwickeln: Darin wird genau festgelegt, wie bei einem Sicherheitsvorfall reagiert wird (einschließlich der Meldung von Vorfällen an Behörden und Betroffene).
Das alles gilt übrigens nicht nur für Großunternehmen, sondern auch für mittelständische Firmen und auch für Kanzleien, Praxen…
Denn eins ist klar: Cyberschäden können nicht nur unmittelbare und direkte Kosten verursachen. Viel größer ist oftmals der Schaden, der durch den Vertrauensverlust bei Kunden und Geschäftspartnern entsteht.