Was bedeutet eigentlich Datensicherheit?

Und was ist der Unterschied zu Datenschutz?

Matthias Bollwein

55 Milliarden Euro - das ist die unglaubliche Summe, die deutsche Unternehmen jährlich durch Wirtschaftsspionage, Sabotage und Datendiebstahl verlieren. Jedes zweite Unternehmen war in den letzten beiden Jahren betroffen - ganz besonders auch kleine Firmen.
Laut einer Studie der Wirtschaftsprüfungs-Gesellschaft PwC aus dem Jahr 2016 kostet ein einziger Hackerangriff ein deutsches Unternehmen durchschnittlich 80.000 Euro, in einigen Fällen mehr als 500.000 Euro - Tendenz stark steigend.
Gleichzeitig wickeln wir immer mehr Geschäfte digital ab, legen unser Know-How digital ab und sammeln und speichern Daten von Kunden, Lieferanten und Mitarbeitern. Tagtäglich geben wir persönliche Daten über uns an andere Unternehmen weiter und vertrauen darauf, dass diese dort sicher sind. Aber wann sind Daten eigentlich sicher? Und wovor müssen wir sie schützen?

Tatsächlich umfasst der Begriff "Datensicherheit" verschiedene Aspekte mit zum Teil ganz unterschiedlichen Gefahren-Szenarien. Nicht immer sind es Hacker, die unsere Daten bedrohen, sondern oft auch wir selbst oder einfache Technik-Fehler. Außerdem ist Datensicherheit zu unterscheiden von Datenschutz. Bei letzterem geht es nicht um den Schutz von allgemeinen Daten vor Schäden, sondern um den Schutz personenbezogener Daten vor Missbrauch. Mehr dazu später. Die Datensicherheit lässt sich in fünf Bereiche einteilen:

  1. Sicherheit vor versehentlichem Löschen durch den Benutzer

  2. Sicherheit vor Hardware-Ausfall und Systemfehlern

  3. Sicherheit vor Katastrophen

  4. Sicherheit vor unerlaubtem Zugriff (Online- und Offline)

  5. Sicherheit vor Sabotage (Online- und Offline)

Sehen wir uns an, welche technischen Maßnahmen wir gegen diese Gefahren ergreifen können.

1. Sicherheit vor versehentlichem Löschen durch den Benutzer

Womöglich eine der größten Gefahren für die Unternehmensdaten sind die Benutzer, also die Mitarbeiter selbst. Wie schnell hat man versehentlich ein Dokument überschrieben, eine falsche Taste gedrückt oder eine Anwendung falsch konfiguriert. Gegen diese Szenarien helfen zwei technische Methoden:
* Die Versionierung von Dokumenten, mit der versehentlich gelöschte oder überschriebene frühere Versionen wiederhergestellt werden können (die damit einhergehende Nachverfolgbarkeit ist übrigens auch ein wichtiger Aspekt für Buchhaltung und Compliance).
* Ein leicht zu pflegendes, ordentliches Rechtemanagement, durch das Mitarbeiter jeweils nur Dokumente ändern können, die für ihre täglichen Aufgaben relevant sind, aber nicht durch einen Fehler mit fatalen Folgen die Daten anderer Bereiche zerstören können.

2. Sicherheit vor Hardware-Ausfall und Systemfehlern

Sie sind ärgerlich, jeder kennt sie und sie gehören zur Technik leider dazu: Hardware-Ausfälle. Mal brennt ein Netzteil durch, mal fällt eine Festplatte aus oder es lässt sich ein USB-Stick plötzlich nicht mehr lesen. Hoffentlich waren darauf keine kritischen Dokumente oder Schlüssel gespeichert. Und wenn doch, dann gibt es hoffentlich ein Backup! Regelmäßige, vollständige Backups sind das A und O der Datensicherheit. Die besten Backup-Programme laufen selbstständig und zuverlässig im Hintergrund, ohne dass der Benutzer vergessen kann, sie zu starten. 

Mindestens genauso ärgerlich: Programmabstürze, bei denen stundenlange Arbeit verloren geht. Gute Programme speichern den Fortschritt selbstständig und regelmäßig im Hintergrund. Kombiniert mit der Versionierung des Datenspeichers (siehe oben) kann der Mitarbeiter mit einem guten Gefühl ans Werk gehen. Auch die Mäuse und Tastaturen werden's Ihnen danken, wenn sie nicht beim nächsten Frust-Anfall gegen die Wand fliegen.

3. Sicherheit vor Katastrophen

Odoo CMS- Sample image floating

Wasserschaden, Unwetter oder Feuer - schlimm genug! Wenigstens die Datensicherheit sollte dann keine Sorge darstellen. Gebäude und Einrichtung lassen sich reparieren, Hardware lässt sich ersetzen. Aber verlorene Daten können für ein Unternehmen den Todesstoß bedeuten. Auch hier helfen regelmäßige Backups - natürlich an einem entfernten Ort gespeichert. Gepaart mit einem System, das sich schnell von einem Backup aus wieder starten lässt, wird der Arbeitsausfall auf ein Minimum reduziert.

4. Sicherheit vor unerlaubtem Online- und Offline-Zugriff

Manchmal kommt der Hacker auch durch die Eingangstür. "Social Engineering" nennt sich die Methode, bei der man das Vertrauen eines oder mehrerer Mitarbeiter gewinnt, um dann deren Zugriffsmöglichkeiten auszunutzen. Zum Beispiel, um sich Zutritt zum Büro zu verschaffen und Datenträger mitzunehmen. Oder auch, um Spionage-Software einzuschleusen. Die richtige Schulung der Mitarbeiter ist deshalb unerlässlich - dieses Thema wird jedoch einen anderen Artikel füllen. Auch technisch gibt es eine ganze Reihe von Maßnahmen - aber nur wenn alle davon zusammen angewendet werden, sind sie wirksam:

Rechtemanagement

Richtiges Rechtemanagement erfordert zunächst Systeme, die eine übersichtliche und detaillierte Einstellung von Benutzerrechten erlauben, sowohl was den Zugriff auf Unternehmensdaten, als auch auf Systeme betrifft. Das heißt zum Beispiel: Unternehmensdaten auf USB- oder Netzwerkfestplatten, die jeder Mitarbeiter einsehen und ändern kann, sind tabu. Stattdessen sollte ein File-Server zum Einsatz kommen, mit dem Zugriffsrechte nach Bereichen (z.B. Buchhaltung, Marketing, Vertrieb, Entwicklung) erteilt werden können. Auch immer wieder gesehen: Alle Mitarbeiter vom Azubi bis zum Geschäftsführer nutzen auf allen PCs oder Online-Diensten einen einzigen Account, der Zugriff auf alles hat. Eine Rechte-Trennung ist nicht möglich. Wenn auch nur ein Mitarbeiter die Login-Daten versehentlich preisgibt, sind alle Daten und Systeme der Firma kompromittiert. So geht's besser: Unternehmen sollten möglichst Systeme nutzen, die eine einfache und zentrale Verwaltung von Benutzern erlauben. Wenn ein Mitarbeiter ins Unternehmen eintritt, muss man so nur einmal einen Account anlegen, mit dem er sich an allen Systemen, die für ihn freigegeben sind, anmeldet. So trennt man die Berechtigungen und behält trotzdem die Übersicht. Verlässt ein Mitarbeiter das Unternehmen, legt man den Account still. Eine zentrale Account-Verwaltung ist zugleich Sicherheitsgewinn und Zeitersparnis.

Odoo CMS- Sample image floating

Verschlüsselte Datenspeicherung

Damit Daten auch dann geschützt sind, wenn ein Gerät gestohlen oder verloren sind, sollten sie verschlüsselt abgelegt werden. Das gilt für alle im Unternehmen eingesetzten Systeme, auf denen Daten gespeichert werden, also Laptops und Smartphones, die man mit auf Reisen nimmt genauso wie Server, die im Unternehmen oder außerhalb stehen. Praktisch alle Smartphones unterstützen heutzutage Verschlüsselung und haben dazu eine leicht zu findende Einstellung. Auch Laptops und PCs lassen sich verschlüsseln. Cloud-Anbieter bieten häufig die Verschlüsselung an - da die Schlüssel in der Regel aber beim Anbieter liegen, ist diese praktisch wertlos. Die private Cloud auf Servern im Unternehmen bietet hingegen maximale Sicherheit, wenn sie verschlüsselt wird und ist der zu präferierende Ablageort für alle Unternehmensdaten, die in irgendeiner Weise wichtig bzw. sensibel sind.

Verschlüsselte Datenübertragung

Was nützt das beste Passwort, wenn es unverschlüsselt und für jeden abhörbar über's Internet gesendet wird? Und auch das beste Rechtemanagement nützt nichts, wenn sensible Dokumente im Klartext durchs Netz wandern. Verbindungen müssen daher konsequent verschlüsselt werden. Leider ist es für einen Benutzer oft nicht leicht oder gar unmöglich, zu erkennen, ob seine Daten von Anwendungen und Webseiten sicher übertragen werden. Es ist daher die Aufgabe des Managements, sicherzustellen, dass von den Mitarbeitern nur Anwendungen und Systeme genutzt werden, die moderne Sicherheits-Anforderungen erfüllen und Datenübertragungen richtig verschlüsseln.

Kennwortrichtlinien und Zwei-Faktor-Authentifizierung

Kennwörter sind lästig, aber notwendig. Manchmal etwas zu lästig sind Kennwortrichtlinien. Denn zu strenge Regeln können das Gegenteil von dem bewirken, wozu sie da sind. Wenn sich Mitarbeiter nämlich Kennwörter nicht mehr merken können, kommen sie schon mal auf die Idee, sie auf einen Zettel zu schreiben und an den Monitor zu kleben. Was ein gutes Kennwort ausmacht, darum ranken sich viele Mythen. Auf jeden Fall gilt: Möglichst lang, auf keinen Fall im Wörterbuch zu finden, aber gut zu merken. Während man als Privatnutzer im Internet möglichst überall andere Kennwörter verwendet, ist es im Unternehmen sinnvoll und üblich, für alle Firmen-Anwendungen das gleiche Passwort zu haben. Alle kritischen Systeme und solche, die zum Einfallstor oder Datenleck werden könnten, sollten darüber hinaus Zwei-Faktor-Authentifizierung verwenden. Das ist ein Verfahren, bei dem nach der Passworteingabe ein weiterer, Zeitlich beschränkt gültiger Code abgefragt wird, der zum Beispiel von einer App auf dem Smartphone angezeigt wird.

Regelmäßige Updates

Zwei Fakten der IT-Sicherheit: 1. Kein System ist 100% sicher. 2. Jede bekannt gewordene Sicherheitslücke wird innerhalb kürzester Zeit auch ausgenutzt. Sie wird aber meist auch schnell repariert. Daher ist es essentiell, alle IT-Systeme mit regelmäßigen Updates auf dem neuesten Stand zu halten.


Für mehr aktuelle News & Inhalte zum Thema Datenschutz und Datensicherheit melden Sie sich jetzt zu unserem Newsletter an:


5. Sicherheit vor Online- und Offline-Sabotage

Manchmal sind es nicht die Daten oder eine Übernahme der Systeme, auf die es ein Hacker abgesehen hat, sondern ganz einfach Zerstörung. Meistens mit dem Ziel, einem Konkurrenten zu schaden. Zum Beispiel, indem man dessen Online-Shop vom Netz nimmt oder seine Web-Seite manipuliert, um einen Image-Schaden anzurichten. Diese Angriffe richten einen erheblichen Teil des Schadens an, der kleinen und großen Unternehmen Jahr für Jahr durch mangelnde Sicherheitsvorkehrungen entsteht. Sich gegen sie zu schützen ist auch nicht einfach. Dazu gehört natürlich, alle zuvor beschriebenen Maßnahmen umzusetzen! Denn jeder Schutz gegen versehentliches Löschen, Hardware-Ausfälle, Katastrophen und unerlaubtem Zugriff auf Systeme und Daten ist gleichzeitig auch ein Schutz gegen Sabotage-Versuche. Das heißt: Die Mitarbeiter für IT-Sicherheit sensibilisieren und Verhaltensregeln verankern, regelmäßige Backups, redundante, versionierte und verschlüsselte Datenspeicherung, restriktives Rechtemanagement, Updates und Einsatz sicherer Systeme sind Pflicht. Um sich wirksam gegen Sabotage zu schützen, kommen aber noch ein paar Maßnahmen hinzu:

DDOS-Schutz

Ein DDOS-Angriff ist die pure Überlastung eines Servers oder einer Netzwerkschnittstelle durch viele Anfragen. Hierbei werden viele infizierte Computer genutzt, gleichzeitig Anfragen an ein Ziel zu stellen. Die infizierten merken dies oft nicht, denn für sie ist der Aufwand nur gering. Bei mehreren Tausend infizierten Rechnern können  aber schnell Millionen von Anfragen beim Zielsystem ankommen. Dieses wird überlastet und nimmt keine neuen Anfragen mehr an. Das Ziel eines DDOS-Angriffs ist es also, einen Service so zu überlasten, dass dieser nicht mehr funktioniert.

Doch einen DDOS-Angriff zu erkennen und zu unterbinden ist oft nicht ganz einfach. Vor allem, da legitime Anfragen nicht abgewehrt werden sollen. Auf niedriger Ebene können diese Angriffe durch den Einsatz von TCP Proxies oder Load-Balancern abgefangen werden. Das funktioniert jedoch nur gegen ungezielte Angriffe. Wenn gezielte Angriffe stattfinden sind gezielte Appliances und Netzwerkgeräte erforderlich, welche den Angriff erkennen und umleiten oder abprallen lassen.

Was tun, wenn einen so ein Angriff trifft? Oft sogar noch mit einer Erpressungsdrohung? Ersteinmal ruhig bleiben und auf keinen Fall bezahlen! Hier ist eine gute Kommunikation wichtig. Setzen Sie Ihre Kunden ins Bild und leiten Sie erste Gegenmaßnahmen wie eine Kapazitätserhöhung oder zusätzlichen Schutz ein. Letztendlich sollten Sie sofort die passenden Behörden verständigen, die Polizei hat hierfür eine Zentrale Ansprechstelle für Cybercrime eingerichtet.

Redundante System-Auslegung

Nichts ist perfekt, auch teure Serverkomponenten fallen aus. Dies trifft im besten Fall eine Festplatte, auch einen Arbeitsspeicherausfall können moderne Server ohne Probleme überbrücken. Wenn jedoch an zentralen Komponenten wie Netzwerkknoten oder der Stromversorgung ein Ausfall droht, so kann es trotz 99,999% SLA und redundanter Stromversorgung zu einem Ausfall kommen.

Redundante System-Auslegung sollte daher alle Ebenen treffen. Für Mission-Critical Systeme sollten sogar gleiche Aufbauten in zwei Rechenzentren vorhanden sein, um im Notfall immer ein funktionierendes System zu besitzen. D.h. vom RAID über Memory Mirroring und redundanter Stromversorgung bis hin zu Backup-Servern sollte die gesamte Kette nie durch den Ausfall nur eines Glieds zum Stillstand gebracht werden können.


Kommentar hinterlassen

You must be logged in to post a comment.