Wie man vertrauliche elektronische Daten schützt

Cyberattacken stellen nicht nur für große Unternehmen eine Bedrohung dar. Kleine Betriebe, Vereine und wohltätige Organisationen sind ein leichtes Opfer, wenn ihre IT-Systeme nicht ausreichend geschützt sind. Die folgenden Vorkehrungen helfen dabei, vertrauliche Daten unter Verschluss zu halten und potenzielle Angriffe abzuwehren.

Back-ups

Kundendaten und Dokumente liegen heute hauptsächlich in digitaler Form vor. Neben Sicherheitsvorfällen können Systemfehler, Hardwaredefekte und Benutzerfehler zum Verlust der Daten eines Betriebes führen oder den Zugriff darauf verhindern. Verschlüsselte Back-ups für Dateien und Software sind deshalb ein Muss für Unternehmen jeder Größenordnung.

Um auf jeden Fall vorbereitet zu sein, sollten mehrere unabhängige Sicherheitskopien parallel aufrecht erhalten werden. Beispielsweise auf einem externen Speichermedium, das unter Verschluss steht und online in der Cloud. Die Sicherung sollte automatisch erfolgen, sodass keine signifikanten Verluste zu erwarten sind, falls es zu einem Ausfall kommt. Auf diese Weise sind die Daten eines Kleinunternehmens selbst dann geschützt, wenn die Hardware einem Brand, Wasserschaden oder Einbruch zum Opfer fällt.

Damit man sich durch Back-ups nicht zusätzlich angreifbar macht, ist es wesentlich, dass alle Dateien eines Betriebes verschlüsselt abgelegt werden.

Verschlüsselung

Datenverschlüsselung macht es Hackern nicht unmöglich, Dateien zu kompromittieren, es wird dadurch jedoch schwieriger. Besonders, wenn diese mehrfach verschlüsselt sind.

Microsoft und Mac Betriebssysteme verfügen über interne Geräte- und Datenverschlüsselungssoftware, die alle Mitarbeiter in einem Unternehmen aktivieren und nutzen sollten. Darüber hinaus können die Verschlüsselungsfunktionen von vertrauenswürdiger Software wie Adobe Acrobat DC genutzt werden, um zusätzlich den Zugang zu Dokumenten und die Bearbeitungsrechte zu verwalten. Indem man JPGs in PDF umwandelt, kann man von diesen Schutzmechanismen für Bildmedien wie Fotos und Scans Gebrauch machen.

Verschlüsselungsprogramme von Drittanbietern können wesentlich dazu beitragen, die Sicherheit zu erhöhen. Allerdings trifft dies nur zu, wenn es sich dabei um hochwertige Software handelt. Wenn die entsprechenden IT-Kenntnisse im Unternehmen fehlen, sollte man sich von einem IT-Service beraten lassen.

Netzwerk schützen

Der Schutz des betrieblichen Netzwerkes sollte nicht beim – regelmäßig aktualisierten – Wi-Fi Passwort enden.

Wer welche Teile eines IT-Systems nutzt, sollte gewissenhaft verwaltet werden, um Risiken und Fehlerquellen einzugrenzen. Dazu gehört es, die Berechtigungen von Mitarbeitern, die die Firma verlassen, unverzüglich zu entfernen. Falls die Besucher, Kunden oder Partner eines Unternehmens dessen Intranet nutzen, sollten die Zugangsrechte limitiert und gegebenenfalls separate Netzwerke erstellt werden.

Passwörter

Damit Passwörter effektiv sind, müssen Sie gewissen Anforderungen erfüllen und regelmäßig erneuert werden.

Die Kriterien für ein wirksames Kennwort – Art und Mindestanzahl der Zeichen – sind oft bereits vorgegeben. Doch im Betriebsalltag kann es schnell passieren, dass man die Aktualisierung vor sich herschiebt oder darüber vergisst. Eine einfache Möglichkeit, um dies zu vermeiden, stellt eine automatische Kalender-Erinnerung dar, die alle 90 Tage Alarm schlägt. Mit den entsprechenden IT-Kenntnissen kann das Passwort-Update darüber hinaus “zwingend” gemacht werden. D. h. der Zugang zum System wird limitiert, bis ein Benutzer ein neues Kennwort festgelegt hat.

Multi-Faktor-Authentifizierung

Zwei- oder Multi-Faktor-Authentifizierung ist inzwischen Industriestandard. Benutzer erhalten dabei einen zusätzlichen Code per E-Mail oder Textnachricht, der nur ein einziges Mal eingesetzt werden kann. Gerade wenn man mehrere Mitarbeiter hat, ist es wichtig, diese zusätzliche Sicherheitsvorkehrung zu implementieren. Denn ein einziges kompromittiertes Zugangskonto reicht aus, um ein Unternehmen angreifbar zu machen.

Antivirus und Anti-Malware

Man kann nicht über IT-Sicherheit sprechen, ohne Antivirussoftware zu erwähnen.

Egal, ob die Mitarbeiter mit Firmencomputern arbeiten oder eigenes Equipment verwenden, es liegt in der Verantwortung des Unternehmens, dafür zu sorgen, dass Kunden-, Personal- und Betriebsdaten Cyberangriffen nicht ungeschützt ausgesetzt sind.

Der Kauf und die Installation verlässlicher Programme ist dabei nur der erste Schritt. Antivirus- und Malware-Softwareentwickler reagieren auf aktuelle Bedrohungen, indem sie sogenannte Patches coden. Dieser werden dann oft gemeinsam mit anderen Updates bereitgestellt, damit die Software auf dem Computer einen potenziellen Angriff erkennen und abwenden kann.

Ein zentralisiertes Update-Management-System hilft Firmen dafür zu sorgen, dass Patches auf allen Geräten zeitnah angewendet werden. Unternehmen, die kein internes IT-Team haben, können einen externen IT-Serviceanbieter damit beauftragen, ein solches System aufzusetzen und zu betreuen.

Mitarbeiter-Training

Die IT-Sicherheit eines Betriebes hängt unter anderem vom Verhalten der Mitarbeiter ab. Ein Klick auf den falschen Link oder den Anhang einer Phishing-E-Mail kann ein System infizieren und Unternehmensdaten kompromittieren.

Um Best Practices zu kultivieren, sollten regelmäßig obligatorische Cyber-Sicherheitstraining durchgeführt werden. Zu den Themen, die IT-Spezialisten in so einem Kurs behandeln, gehören:

  • Elemente der allgemeinen Datenschutz-Verordnung (GDPR)
  • Sichere Benutzung von mobilen Geräten an öffentlichen Orten
  • Passwörter
  • Erkennen verschiedener Arten von Phishing-Angriffen

Sicherheitsbescheinigungen

Um sich als Unternehmen zu versichern, dass man im Rahmen der IT-Sicherheit alle Standards erfüllt, kann man auf einen Online-Test des BMI zurückgreifen. Sollte die Evaluierung aufzeigen, dass Sicherheitslücken existieren oder der empfohlene Standard nicht erreicht wird, können diese Probleme in der Folge gezielt adressiert werden.

Speziell wenn der Großteil des Geschäftes über eine Webseite läuft, zum Beispiel bei einem Onlineshop, kann ein Sicherheitszertifikat dabei helfen, das Vertrauen neuer Kunden zu gewinnen. Der TÜV bietet einen sogenannten Penetrationstest an, bei dem Angriffe auf das System vorgetäuscht werden, um die Reaktion zu testen. Neben einem detaillierten Prüfbericht erhält man eine Bescheinigung, die man online veröffentlichen kann.

Entsorgung von Daten

IT-Geräte und Hardware mit Speicher müssen gewissenhaft und sachgerecht entsorgt werden. Die Daten einfach nur zu löschen und den Papierkorb zu leeren, ist hier nicht ausreichend. Festplatten müssen vollständig bereinigt werden, entweder durch einen IT-Spezialisten oder spezielle Software, die von Profis empfohlen wird.

Die allgemeine Datenschutzverordnung gibt an, wie lange welche Kundendaten von Unternehmen maximal gespeichert werden dürfen. Diese Regelungen müssen verpflichtend eingehalten werden und Betriebe müssen die entsprechenden Vorkehrungen treffen. Ungeachtet dessen ist es sowieso ratsam, ein Standardverfahren einzusetzen, um das System regelmäßig von Datenmüll zu befreien.

Vorfallsreaktionsplan und Notfallwiederherstellungsplan

Cyber-Attacken sind heute leider keine Seltenheit mehr. Ein Vorfallsreaktionsplan (Incident Response Plan, IRP) hilft Unternehmen dabei, in einer solchen Situation schnell zu reagieren. Die Dauer und der Effekt von Systemausfällen kann dadurch minimiert werden und die interne Verbreitung von Viren und Ransomware unterbunden.

Der Notfallwiederherstellungsplan (Disaster Recovery Plan, DRP) ist Teil des IRP und sollte alle Situationen abdecken, in denen es zum Verlust von Daten kommen kann. Zum Beispiel einen Virus durch Ransomware oder einen Wasserschaden im Büro. Für den Fall, dass Daten möglicherweise gestohlen wurden und missbraucht werden könnten, sollte dem IRP auch zu entnehmen sein, welche Institutionen zu informieren sind und wie die Öffentlichkeitsarbeit zu handhaben ist.

Mithilfe der richtigen Sicherheitsvorkehrungen kann das Risiko eines erfolgreichen Angriffs verringert werden. Sollte dennoch etwas schiefgehen, sind Unternehmen, die mit einem IRP vorbereitet sind, besser in der Lage, sich zu erholen.

Veröffentlicht am 5. Juli 2022, 12:26
Kurz-URL: https://www.wiwa-lokal.de/?p=301375 

Kommentare sind geschlossen

Anzeigen / Werbung

Archiv

Anzeigen

Fotogalerie

Anmelden | Entworfen von Gabfire themes

Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Informationen...

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn Sie diese Website ohne Änderung der Cookie-Einstellungen verwenden oder auf "Akzeptieren" klicken, erklären Sie sich damit einverstanden.

Schließen