Datenschutz in Unternehmen

Angriffe auf die IT-Sicherheit wirken sich höchst unterschiedlich aus: Bei einem US-Fernsehsender wurden kürzlich unveröffentlichte Folgen einer weltweit erfolgreichen TV-Serie gestohlen und illegal zum kostenfreien Download ins Netz gestellt. Bei einem Krankenhaus im Rheinland mussten Operationen verschoben werden, weil die Krankenhaus-IT weitgehend lahmgelegt war. Zehntausende Kunden eines großen, deutschen Telefonnetzbetreibers kamen tagelang weder ins Internet, noch konnten sie telefonieren. 

Deutlich wird alleine an diesen Beispielen: Cyberattacken sind längst keine Bagatelldelikte mehr. Immer häufiger geht es darum, Unternehmen schmerzhafte Schäden zuzufügen, hohe Geldsummen zu erpressen oder sogar Menschenleben zu riskieren. Doch selbst wenn die Schäden durch Computerkriminalität überschaubar bleiben: Fast immer haben geschäftliche Anwender mit einem Imageschaden zu kämpfen. Bei Konsumenten und Geschäftspartnern nährt jeder bekannt gewordene Angriff auf die IT-Security den Verdacht, dass es sich hier um ein schlecht geführtes Unternehmen handelt. 

Die Vertuschung von teilweise höchst bedrohlichen Vorfällen ist hier deshalb an der Tagesordnung. Es ist aber nicht damit getan, Angriffe und damit verbundene Schäden unter den Teppich zu kehren. Nicht nur in der IT-Abteilung, sondern auch in der Geschäftsführung muss sich endlich die Erkenntnis durchsetzen, dass Maßnahmen zum Datenschutz und zur IT-Sicherheit ebenso selbstverständlich sind, wie den angestellten Mitarbeitern monatlich ihr Gehalt zu überweisen.

Kein Betrieb, der auch nur über einen einzigen Internetanschluss verfügt, ist heute mehr vor Attacken aus dem Netz gefeit: So betreibt zum Beispiel ein Security-Spezialist weltweit 37 sogenannte Honeypots. Das sind Lockvogel-Server, die automatisierte Angriffe bewusst anziehen sollen. Ziel ist es, Bedrohungslagen besser einzuschätzen und Sicherheitslösungen passend weiterzuentwickeln. Frappierend: Die 37 Lockvogel-Server verzeichnen pro Jahr bis zu 330 Millionen Cyberangriffe.

Ein Blick auf Deutschland zeigt: Insgesamt nahm die Zahl der mit Hilfe des Internets verübten Straftaten im vergangenen Jahr deutlich zu. Die Polizei registrierte im Jahr 2016 rund 82.700 Fälle (2015: 45.800 Fälle) von Cyberkriminalität im engeren Sinne. Hinzu kommen rund 4.500 Fälle von Computersabotage, ein Zuwachs von 25 Prozent im Vergleich zum Vorjahr. Einziger Hoffnungsschimmer: Die Aufklärungsquote wuchs um 5,9 Prozent auf 38,7 Prozent.

Risiko Ransomware

Keinesfalls als eine vorübergehende „Modeerscheinung“ sollten Angriffe durch Erpressungssoftware – im Fachjargon Ransomware genannt – angesehen werden. Im Frühjahr 2017 infizierte der Trojaner WannaCry mehrere hunderttausend Computer und legte die Geräte durch eine Datenverschlüsselung lahm. Zum Teil gingen wichtige Unternehmensdaten, aber auch persönliche Erinnerungen wie Fotografien unwiederbringlich verloren. Der Angriff hatte es in sich: Plötzlich wurde über IT-Sicherheit nicht nur in Fachmedien, sondern in allen Nachrichtensendungen berichtet. 

Von der Ransomware betroffen waren vor allem alte Windows-Rechner, für die es teils seit Jahren keine Updates mehr gibt. Diese Geräte sind zum Teil rund ein Jahrzehnt alt, werden aber immer noch eingesetzt – nicht nur im heimischen Wohnzimmer, sondern auch in Büros, Werkstätten, Kliniken. Schlimmer noch: Selbst dann, wenn Sicherheitsupdates zur Verfügung gestellt werden, ignorieren viele Anwender diese zumeist kostenfreie Möglichkeit, ihre betagten Geräte besser abzusichern.

Kriminelles Geschäftsmodell

Während die Erpressung durch Ransomware  sich als kriminelles „Geschäftsmodell“ fest etabliert, müssen sich die IT-Abteilungen in vielen Unternehmen auch noch mit „Klassikern“ beschäftigen: E-Mails bleiben als Angriffsvektor in Kombination mit skriptbasierter Malware ein wichtiges Mittel zum Zweck. Angriffe auf cloudbasierte Dienste, das Internet der Dinge und sehr fokussiert auf die Finanzabteilungen von Unternehmen werden von IT-Sicherheitsexperten als bevorzugte Ziele der Cyberkriminellen genannt. Unternehmen bekommen es darüber hinaus vermehrt mit dem Problem Datendiebstahl zu tun.

Wer als Unternehmer die Gefahren aus dem Internet ignoriert und elementare Investitionen in die IT-Sicherheit zu umgehen versucht, muss spätestens ab Frühjahr 2018 mit hohen Strafen rechnen: Aufgrund der EU-Datenschutz-Grundverordnung (DSGVO) müssen zahlreiche Unternehmen verstärkt in IT-Sicherheitsmaßnahmen investieren. Ab dem 25. Mai 2018 wird die Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr unmittelbar geltendes Recht in allen Mitgliedstaaten der Europäischen Union sein. 

Die EU-Datenschutz-Grundverordnung nimmt Unternehmen wesentlich stärker in die Pflicht als bisher. Die DSGVO stärkt die Persönlichkeitsrechte des Einzelnen sowie das Recht auf seine Daten deutlich. So haben Personen künftig ein Recht darauf, die Löschung ihrer Daten zu verlangen. Unternehmen müssen eine solche Löschung durchführen und gegebenenfalls auch Dritte über die Löschung informieren. Nicht zuletzt: Nach dem Inkrafttreten gibt es in vielen Fällen eine europaweite Pflicht für Unternehmen zur Bestellung eines Datenschutzbeauftragten.

Datenschutz in Unternehmen: Gefahren ernst nehmen

Immerhin ist in vielen Unternehmen im Zuge von Cloud-Projekten die Einsicht gewachsen, dass beim Einsatz von Cloud-Services das IT-Netzwerk noch besser abgesichert werden muss. Sicherheitslösungen, die den Netzwerkverkehr zwischen dem Cloud-nutzenden Unternehmen und dem Cloud-Serviceprovider überwachen, werden immer häufiger nachgefragt. 

Durch immer mehr und immer weitreichendere Attacken wächst die Einsicht, dass der Bereich Security nicht mehr allein durch die Nutzung eines möglichst effektiven Virenschutzes abgedeckt ist. Das Thema ist insgesamt wesentlich komplexer geworden. Spezifische Aspekte des Datenschutzes müssen im Blick behalten, gesetzliche Bestimmungen der Bevorratung von Daten berücksichtigt werden. So werden die meisten Unternehmen nicht umhin kommen, sich zeitnah mit der Einführung eines digitalen Dokumentenmanagementsystems auseinanderzusetzen. 

Eine solche Lösung verbessert nicht nur fast immer den alltäglichen Arbeitsfluss, sondern hilft Unternehmen auch bei der gesetzlich geregelten Archivierung aller wichtigen Geschäftsdaten. Nach geltendem Recht dürfen steuerrechtlich relevante Daten nämlich nicht nachträglich veränderbar sein, sprich: Sie müssen revisionssicher sein.

IT-Sicherheit auslagern

Je nach Unternehmensgröße und Branche gilt es im Hinblick auf effiziente, wirkungsvolle IT-Sicherheitsmaßnahmen auch zusätzliche Faktoren wie firmeninterne Compliance, Unternehmensprozesse und nicht zuletzt erforderliche Sicherheitslevel für besonders geschäftskritische Daten im Blick zu halten. Wer sich angesichts der vielfältigen Herausforderungen darin überfordert sieht, durch interne Kräfte alle Aspekte zu berücksichtigen, kann seine IT-Sicherheitsprozesse auch auslagern und durch IT-Systemhäuser rechtskonform absichern lassen.