Datensicherheit: Viele Unternehmen sind mehrfach überfordert

Datensicherheit ist in Unternehmen seit dem Siegeszug des Internets zu einem ausgesprochen sensiblen Thema geworden. Dies beginnt mit Mitarbeitern, die unvorsichtig von sensiblen Arbeitsplätzen aus im Internet surfen und setzt sich über die gedankenlose Nutzung von Cloud-Diensten fort. Viele Unternehmen wissen, dass sie eigentlich handeln müssten, sind mit dieser Aufgabe aber gleich mehrfach überfordert. Zu groß wirken die Bedrohungen und zu gering ist das eigene Wissen.

BSI-Umfrage: 91 Prozent der Verantwortlichen wissen um die Gefahren

Die Zeiten, in denen Unternehmen Datensicherheit als ein kostenintensives Thema ohne echten Ertrag abtaten, sind vorbei. Eine Umfrage des Bundesamtes für Sicherheit und Informationstechnik (BSI) aus dem Jahr 2017 ergab, dass 91 Prozent der deutschen Unternehmen über die Gefahren mangelnder Sicherheitsmaßnahmen wissen. Nur ein Bruchteil der Befragten konnte jedoch benennen, welche konkreten Schritte sie unternehmen sollten.

Dies deckt sich mit einem generellen Befund von IT-Sicherheitsexperten. Viele Unternehmen sind inzwischen bereit, in Datensicherheit zu investieren. Sie wissen allerdings nicht, was eigentlich geschützt werden soll. Sie haben keine Vorstellung davon, wo die konkreten Risiken bestehen. Sie wissen oft nicht einmal, welche Daten eigentlich besonders gefährdet sind.

Typische Gefahren für die Datensicherheit in Unternehmen

Typischerweise ist die Datensicherheit in Unternehmen an zwei Stellen bedroht: 

1. Durch Angriffe von außen
2. Durch Ausfälle im internen Netzwerk
   
   
   
    

Angriffe von außen: Attacken von Hackern

Hacker sind längst keine IT-Zerstörer aus Leidenschaft mehr. Es handelt sich um Kriminelle, die Malware wie Viren, Trojaner und Würmer einsetzen, um empfindliche Daten zu stehlen. In Unternehmen ist deshalb eine funktionierende Firewall Pflicht, die unbefugte Zugriffe von außen blockiert. Vor der Einrichtung der Firewall muss definiert werden, welche Dateien besonders sensibel sind, um diese besonders zu schützen. Sie sollten beispielsweise zusätzlich verschlüsselt werden. Außerdem sollte es ein IDS-System geben, das bei Hacker-Angriffen anschlägt.

Dies ist nur die die technische Seite der Datensicherheit und berührt lediglich die Basics. In Unternehmen mangelt es häufig an der organisatorischen Seite: Es ist nicht klar definiert, wer wem berichten muss. Es mangelt an klaren Verantwortungsbereichen. Eigentlich sollte es in jeder Firma einen Chief Security Officer geben, der für Umsetzung sowie die laufende Fortentwicklung der Sicherheitsmaßnahmen verantwortlich zeichnet. Dies beginnt häufig schon im ganz Kleinen. Er spielt sofort die neuesten Updates von Antiviren-Software ein. Gerade in kleinen und mittleren Unternehmen mangelt es daran häufig bereits.

Idealerweise entwickelt der Verantwortliche zusätzlich eine ganzheitliche IT-Sicherheitsstrategie. Damit sind all die geplanten organisatorischen und technischen Schritte gemeint, welche die Datensicherheit zu vergrößern vermögen. Beispielsweise umfasst dies auch die Schulung der Mitarbeiter, um diese dafür zu sensibilisieren, dass im Netz viele Daten getrackt werden. Der richtige Umgang mit Windows 10 als Betriebssystem sollte aufgrund der mangelnden Datensicherheit des OS ebenfalls gelehrt werden.

Ausfälle im internen Netzwerk

Nicht immer sind es Kriminelle, die eine Gefahr für die Datensicherheit in Unternehmen bedeuten. Häufig sind Firmennetzwerke unzureichend gegen Hard- sowie Software-Verluste geschützt. Dadurch kann es zu schwerwiegenden Datenverlusten kommen. Der erste Schritt ist deshalb die ständige Überwachung der Performance des Netzwerks durch eine passende Software. Idealerweise hilft ein solcher Network Performance Monitor auch direkt bei der Fehlerbehebung.

Der zweite Schritt umfasst eine automatische Backup-Strategie. Sensible Daten sollten beispielsweise in externen Rechenzentren gesichert werden. Dies ist vor allem eine Maßnahme für den Fall einer Katastrophe wie eines Erdbebens, einer Überflutung oder der gezielten Sabotage. Auf diese Weise wird ein Schutz vor Nichtverfügbarkeit erreicht.

Auch hier zeigt sich, wie wichtig klare Verantwortlichkeiten sind. Es sollte eine handelnde Person in Gestalt des Chief Security Officer geben, die Ausfälle im internen Netzwerk in ihren ganzheitlichen Ansatz zur IT-Sicherheit einbezieht.