Daten sind das Gold, IT-Netzwerke die Straßen des 21. Jahrhunderts: Beides gilt es zu schützen – nicht nur aus Eigeninteresse von Unternehmen, sondern auch aufgrund von gesetzlichen Vorschriften. Die daraus resultierende Notwendigkeit der „Selbstverteidigung“ basiert auf mehreren Säulen und gehört technisch ebenso wie organisatorisch etabliert.
IT-Systeme und Netzwerke sind konsequent Gefahren ausgesetzt – gegen die muss und kann man sich schützen
Die Pflicht zum Selbstschutz lässt sich in Zahlen fassen: Laut dem deutschen BKA steigt die Zahl der Cyberattacken und Phishing-Attacken fortlaufend an – um rund 15 % pro Jahr. Bei einer weiteren Umfrage zeigt sich, dass es kleine und mittelständische Unternehmen ebenso wie (Groß-)Konzerne treffen kann: Unter 5.000 Verantwortlichen für IT-Sicherheit gaben in Deutschland 58 % an, dass ihr eigenes Unternehmen im Jahr 2023 mindestens einem Angriff ausgesetzt war – und das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) beziffert die erlittenen Schäden durch IT-Angriffe jährlich global in Milliardenhöhe.
Unternehmen sind in der Folge auf ausgeklügelte, moderne und ständig auf den Prüfstand gestellte Konzepte zur IT-Sicherheit, Datensicherheit und zum Datenschutz angewiesen. Alle drei Begriffe werden oftmals synonym genutzt, es gilt aber Unterscheidungen vorzunehmen: Mit dem Teilbereich Datenschutz sind Präventionsmaßnahmen gegenüber Datendiebstählen gemeint, auch das DSGVO ist hierbei zu berücksichtigen. Datensicherheitsmaßnahmen stellen indes sicher, dass Daten jederzeit authentisch, integer und verfügbar sind, zugleich aber auch strengsten Maßnahmen zur Vertraulichkeit unterliegen.
Währenddessen agiert IT-Sicherheit als symbolisches Dach: Da laufen alle technischen und organisatorischen Maßnahmen zusammen. Das Bundesdatenschutzgesetz verpflichtet Unternehmen in § 9 zu verschiedenen solcher Maßnahmen: Organisations-, Zutritts-, Zugangs-, Weitergabe-, Eingabe- und Trennungskontrollen sind nur einige davon. Auf der technischen Seite halten Firewalls und Anti-Viren-Programme Unternehmen den Rücken frei – von einzelnen Rechnern bis hin zu lokalen Servern.
Die Notwendigkeit von IT- und Datensicherheit am Beispiel illustriert
Angriffsvektoren gibt es in digitalen Sphären reichlich: Öffnet ein Mitarbeiter, aufgrund mangelnden Wissens und fehlender Aufklärung, einen virenverseuchten Mail-Anhang, sind die Folgen weitreichend. Der Virus könnte IT-Systeme und damit interne Unternehmensprozesse komplett zum Erliegen bringen, selbiges gilt beispielsweise bei Ransomware. Denkbar wäre auch ein Phishing-Angriff: Cyberkriminelle versuchen über Schadsoftware Interna des Unternehmens zu stehlen – beispielsweise Kundendaten oder Geschäftsgeheimnisse. Damit drohen Wettbewerbsverluste ebenso wie potenzielle Schadensersatzansprüche seitens der Kunden – noch dazu ist die Authentizität der Daten dann nicht mehr gegeben und Unternehmen verlieren wichtige Erkenntnisse über ihre Kunden und Geschäftspartner.
Derartige Datensätze und IT-Systeme wieder aufzubauen, kostet viel Zeit, Geld und Expertise – auch die Folgeschäden sind also weitreichend und reichen von Rufschädigungen bis hin zu eigentlich vermeidbaren Kosten. Idealerweise kommt es nie überhaupt soweit: Anti-Viren-Programme können bei einer drohenden Gefahr direkt Nutzer und Systemadministratoren alarmieren, die potenziell „verseuchten“ Dateien vom restlichen System isolieren, bevor Viren, Trojaner, Malware und Co. übergreifen. Häufig bringen solche Anti-Viren-Programme zudem eine Browserintegration mit, um potenziell schädliche Webseiten sofort auszusperren, oder sie unterstützen Unternehmen und deren Mitarbeiter in der sicheren Passwortverwaltung. Ebenso können unbedingt notwendige Firewalls wahlweise separat oder ebenfalls über leistungsstarke Anti-Viren-Suites bezogen werden.
Des Weiteren gilt es bei Mitarbeitern Bewusstsein und Sensibilität für das Thema zu schaffen: Denn die meisten Cyberangriffe sind nicht unbedingt ausgeklügelt und setzen auf menschliche Fehler – wie im Beispiel des Mail-Anhangs oder beim Aufrufen von unseriösen Webseiten.
Datenschutz und IT-Sicherheit ist nicht aufschiebbar
Jede Minute, die sich Unternehmen nicht selbst schützen, kann in potenziell erfolgreichen Cyberangriffen resultieren – diese werden stattfinden, es ist nur eine Frage der Zeit. Deshalb müssen Unternehmen technisch und organisatorisch konsequent einzuhaltende Konzepte und Maßnahmen umsetzen – und diese auch fortlaufend prüfen und gegebenenfalls erweitern beziehungsweise anpassen.
Bildquellen
- dan-nelson-ah-HeguOe9k-unsplash: Foto von Dan Nelson auf Unsplash
