Sie sind hier: Home » Markt » Hintergrund

Wie Unternehmen ihre Daten wirksam schützen können


Zehn Grundregeln gegen Wirtschaftsspionage: So schützen Sie Ihre Daten vor Missbrauch
Aber auch ohne bewussten Missbrauch drohen Gefahren, etwa dann, wenn vertrauliche Daten im Klartext das Unternehmen verlassen


(13.03.0) - Viele Unternehmen verkennen die Gefahren, die ihnen durch Wirtschaftsspionage von außen und innen drohen. Neben dem vorsätzlichen Betrug gibt es darüber hinaus Fälle, in denen Mitarbeiter aus Fahrlässigkeit vertrauliche Informationen an Dritte weiterleiten. Utimaco hat die wichtigsten vorbeugenden Maßnahmen in zehn Tipps zusammengefasst.

In Zeiten der Wirtschaftskrise haben Datenklau und Wirtschaftsspionage Hochkonjunktur, speziell dann, wenn Unternehmen Mitarbeiter entlassen. Ob aus Sorge um die finanzielle Zukunft oder auch aus Rache - gekündigte Angestellte werden dann empfänglich für Wirtschaftsspionage. Experten schätzen, dass über die Hälfte von ihnen vertrauliche Daten ihres Arbeitgebers mitgehen lassen. Hinzu kommt, dass ein Großteil auch nach Verlassen des Unternehmens immer noch Zugang zu internen Daten hat - damit ist dem Missbrauch Tür und Tor geöffnet.

Aber auch ohne bewussten Missbrauch drohen Gefahren, etwa dann, wenn vertrauliche Daten im Klartext das Unternehmen verlassen, Mitarbeiter unabsichtlich sensible Informationen auf ihre Laptops kopieren oder unverschlüsselte mobile Endgeräte wie Notebooks und Festplatten verloren gehen.

Datensicherheitsexperte Utimaco hat zehn Grundregeln zusammengestellt, wie Unternehmen ihre Daten wirksam schützen können.

1. Unternehmensweite Sicherheitsrichtlinien. Das A und O einer erfolgreichen Abwehr gegen Datenmissbrauch von innen und außen sind unternehmensweite Sicherheitsrichtlinien. Die Einhaltung der Vorgaben muss durch effektive Maßnahmen zur Umsetzung und Kontrolle sichergestellt werden. Wichtig hierbei ist ein zentrales Sicherheitsmanagement. Dazu gehört beispielsweise, dass gekündigten Mitarbeitern die Zugriffsrechte für vertrauliche Daten entzogen werden. Damit wird auch späteren illegalen Downloads von außen ein Riegel vorgeschoben.

2. Klassifikation von Unternehmensdaten. Wichtig ist, dass Unternehmen feststellen, über welche Arten von Daten und Informationen sie verfügen: nicht alle sind gleichermaßen wichtig. Daher empfiehlt es sich, die vorhandenen Daten in Sicherheitsklassen einzuteilen. Bereits eine einfache Kategorisierung in öffentlich, intern und vertraulich nützt sehr viel. An dieser Kategorisierung hat sich die Sicherheitsstrategie organisatorisch und technisch zu orientieren.

3. Schutz vor Viren und Trojanern. Ein wesentlicher Bestandteil der unternehmensweiten IT-Security sind technische Vorkehrungen zur Abwehr von Trojanern, Spyware und anderem schädlichen Programmcode. Damit wird verhindert, dass Cyberkriminelle die Server eines Unternehmens infizieren und vertrauliche Daten entwenden. Es dürfen keine privaten Memory-Sticks oder externe Festplatten verwendet werden. Somit sinkt auch das Risiko, über diese Medien Trojaner, Viren und anderen Schadcode in die Unternehmensumgebung einzuschleusen.

4. Absicherung der Zugänge ins Unternehmensnetzwerk. Eine sichere VPN-Leitung ist der einzig zulässige Weg, über den Mitarbeiter sich von unterwegs in das Firmen-LAN einwählen können. Dazu wird in der Unternehmenszentrale ein VPN-Gateway eingerichtet, das die Benutzerberechtigungen der einzelnen Außendienstmitarbeiter überprüfen kann.

5. Schulung von Mitarbeitern. Ein wichtiger Schritt zur Abwehr möglicher Spionageangriffe sollte immer sein, alle Mitarbeiter über Gefahren zu informieren und ihr Sicherheitsbewusstsein und -verhalten zu stärken. Nur wer über Risiken und Einfallstore für Wirtschaftsspione von außen und innen informiert ist, kann wirkungsvolle Gegenmaßnahmen in Angriff nehmen. Ein wichtiger Grundsatz: Es dürfen keine sensiblen Daten im Klartext das Unternehmen verlassen, sei es per E-Mail oder einem mobilen Endgerät. Ein kostenloser Online-Test des Innenministeriums Nordrhein-Westfalen zeigt Firmen, ob sie sich vor Wirtschaftsspionage in Acht nehmen müssen: http://www.im.nrw.de/wirtschaftsspionage .

6. Gewaltenteilung für ein Extra an Sicherheit. Durch die Trennung der Verantwortlichkeiten für IT-Administration und IT-Sicherheit wird ein Plus an Sicherheit erzielt. Denn der Systemadministrator kann zwar wie gewohnt sein System verwalten, hat aber keine Möglichkeit, Dateien zu entschlüsseln. Die Schlüssel verwaltet der Sicherheitsadministrator, der jedoch keinen Zugriff auf die verschlüsselt abgespeicherten Daten hat.

7. Zugriffsrechte für bestimmte Benutzergruppen. Persönliche Informationen, vertrauliche Daten, Finanzunterlagen oder Konstruktionszeichnungen - entscheidend ist, dass nur autorisierte Benutzergruppen Zugriff auf sensible Informationen haben. Individuelle Zugriffsrechte für Arbeitsgruppen oder einzelne Nutzer legen entsprechend der Sicherheitsrichtlinien fest, wer die vertraulichen Daten im Klartext lesen darf oder wer nur einen chiffrierten Zeichensatz auf dem Monitor sieht. Sensible Daten dürfen nur an einen klar definierten Kreis von Adressaten verschickt werden. Dies verhindert, dass vertrauliche Informationen ungehindert aus dem Unternehmen "abwandern".

8. Mehrfach authentisiert schützt besser. Die Einrichtung schwer zu knackender Passwörter bildet einen ersten Schutzwall. Wenn es auf zusätzliche Sicherheit ankommt, helfen Smart Cards oder Tokens als zweiter Schutzwall weiter. Sie enthalten Informationen, die erst in Verbindung mit dem Passwort des Benutzers ein Endgerät freischalten. Eine weitere Option ist der Einsatz von Fingerprint-Readern. Beim Booten oder Login müssen Benutzer sich dann per Fingerabdruck authentifizieren.

9. Verschlüsselung von E-Mails. Obwohl die Verschlüsselung und Signatur vertraulicher Mails über E-Mail-Clients möglich wäre, wird dies meist unterlassen. Professionelle Lösungen integrieren die kryptografischen Prozesse der Ver- und Entschlüsselung sowie der elektronischen Signatur und Authentisierung an zentraler Stelle. Eine versehentlich an den falschen Adressaten verschickte E-Mail bleibt verschlüsselt. Damit lassen sich automatisch unternehmensweite, zentrale Sicherheitsrichtlinien für die E-Mail-Kommunikation umsetzen.

10. Mobile Endgeräte und Speichermedien nicht vergessen. Ob Notebooks, USB-Sticks, Speicherkarten, externe Festplatten oder DVDs: Mit einer zentral eingerichteten und administrierten Sicherheitslösung für die automatische Verschlüsselung sind Unternehmensdaten zu jedem Zeitpunkt vor unautorisiertem Zugriff sicher - selbst wenn das Endgerät oder das Speichermedium verloren geht. Unternehmen sind damit in der Lage, einfach und effektiv gesetzliche Anforderungen sowie interne Sicherheitsrichtlinien plattformübergreifend umzusetzen.

"Unternehmen müssen in Anbetracht der ständig steigenden Gefahren das Thema Datenverlust und -missbrauch von innen und außen Ernst nehmen", erklärt Markus Bernhammer, Executive Vice President Central and Eastern Europe der Utimaco Safeware AG in Oberursel. "Unabdingbar sind unternehmensweite Sicherheitsrichtlinien, die dem Aspekt innere Sicherheit eine besondere Beachtung schenken. Dazu gehören klare Regeln, die festlegen, wie und über welche Kommunikationskanäle Daten das Unternehmen verlassen dürfen." (Utimaco: ra)


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hintergrund

  • USA: Förderung sauberer Energien

    Im August 2022 unterzeichnete Präsident Biden den Inflation Reduction Act, das größte Paket zur Förderung sauberer Energien in der Geschichte der USA. Es deckt viele Faktoren der sauberen und der erneuerbaren Energien ab, darunter auch Elektrofahrzeuge. Wird dieses Gesetz den Anbietern von Elektrofahrzeugen in den USA eine Blütezeit bescheren?

  • Compliance-Auflagen im KRITIS-Bereich

    Deutsche Unternehmen stehen massiv unter Druck: Der Gesetzgeber verschärft Stück für Stück die Sicherheits- und Compliance-Auflagen, etwa im KRITIS-Bereich mit § 8a Absatz 1a BSIG. Dieser verpflichtet die betroffenen Organisationen, adäquate Systeme zur Angriffserkennung bis spätestens Mai 2023 umzusetzen. Und ein Ende ist nicht in Sicht - denn mit NIS-2 steht eine Richtlinie vor der Tür, die für etliche Unternehmen Konsequenzen haben wird, derer sie sich vermutlich nicht einmal annähernd bewusst sind.

  • KI: Die Zukunft im Rückspiegel

    Dr. Scott Zoldi, Chief Analytics Officer bei Fico, wagt jedes Jahr einen Ausblick auf die kommenden Trends im Bereich Künstlicher Intelligenz (KI). In seinen für 2022 getroffenen Vorhersagen standen für ihn ganz klar die Themen "Nachvollziehbare KI" (Auditable AI) und "Bescheidene KI" (Humble AI) auf der Agenda der Data Scientists.

  • Codes des E-Rezept-Verfahrens sind zu schützen

    Am 22. August 2022 wurde anlässlich einer Pressemitteilung der Kassenärztlichen Vereinigung Schleswig-Holstein (KVSH) berichtet, das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) habe das "E-Rezept" in Schleswig-Holstein untersagt. Stimmt das? Verhindert der Datenschutz sogar gute Lösungen im Medizinbereich? Nein.

  • Deutsche Kreditwirtschaft startklar

    Kundinnen und Kunden werden im Rahmen ihrer Anlageberatung ab dem 2. August 2022 auch danach befragt, ob sie auf Nachhaltigkeitsaspekte bei Geldanlageprodukten Wert legen. Das gibt eine europäische Verordnung zur Finanzmarktrichtlinie MiFID II vor.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen