Datenschutz braucht eine Sicherheitsstrategie

Philippe Vuilleumier 23.11.2017

Die Daten von Unternehmen sind ständigen Bedrohungen ausgesetzt. Hacker-Angriffe, Umweltereignisse oder Unachtsamkeit können rasch zu erheblichen Schäden und Ausfällen im Betrieb führen. Umso wichtiger ist es, entsprechende Sicherheitsvorkehrungen zu treffen.

PDF Kaufen

Aktuell ist es vor allem die sogenannte Ransomware («Lösegeld-Software»), die Unternehmern und den IT-Abteilungen Sorgen macht: Mit einem Trick schleusen Hacker Trojaner auf PCs im Unternehmen ein, mit denen sie die gespeicherten Daten verschlüsseln und somit unbrauchbar machen – es sei denn, die Unternehmen zahlen ein Lösegeld, um ihre Daten freizukaufen. Für die Opfer lohnt sich ein solches Vorgehen jedoch nicht: Denn wo Geld zu holen ist, wird immer noch mehr verlangt. Jüngere Ransomware-Trojaner sind etwa «Wanna Cry» und «Not Petya».

Unternehmensdaten sind auch anderen Bedrohungen wie Datendiebstahl (Data Breach), DDoS-Attacken (gezielte Überlastung von Webservern) oder jeglichen Formen von Malware ausgesetzt. Insbesondere durch Phishing gelangen Hacker an Informationen und Passwörter, mit denen sie Zugang zu sensiblen Unternehmens- und Kundendaten erlangen können.

Die Motivation der Hacker ist unterschiedlich. Nicht immer geht es darum, an Geld zu gelangen. Manchmal steckt auch die Konkurrenz hinter einer DDoS-Attacke; oder es handelt sich um «digitale Vandalen», oftmals junge Einzeltäter (sogenannte «Script Kiddies»), die als Herausforderung ein System lahmlegen. Vernetzt und gut organisiert sind wiederum die «Hacktivists» und organisierte Hacker-Banden, die beispielsweise in der Lage sind, grosse DDOS-Attacken durchzuführen, Malware zu generieren oder Geld zu erpressen.

Alle Unternehmen betroffen

Hacker und Naturgewalten machen keine Ausnahmen. Praktisch alle Unternehmen sind von Datenverlust bedroht. Tatsache ist, dass insbesondere Hacker-Angriffe täglich tausendfach stattfinden – manchmal ganz gezielt auf ein Unternehmen, oft aber auch völlig ziellos gegen alle unzureichend geschützten Systeme. Deshalb sollte sich jedes KMU eine Sicherheitsstrategie zulegen und sich überlegen, wie sicher die eigenen Daten geschützt sind. Umso erstaunlicher ist es, dass gemäss der aktuellen Studie Swiss VR-Monitor 34 Prozent der KMU keine Strategie bezüglich ihrer Cybersicherheit haben. Bei der Umfrage, die zusammen mit dem Beratungsunternehmen Deloitte und der Hochschule Luzern durchgeführt wurde, gaben jedoch 78 Prozent Schweizer Verwaltungsratsmitglieder an, dass Cybersicherheits-Themen in jüngster Zeit im Unternehmen an Bedeutung gewonnen haben.

Prävention und Notfallplan

Die Unternehmen beschäftigen sich also vermehrt mit ihrer IT-Security. Um zu wissen, wie sich ein Unternehmen schützen soll, bedarf es einer Risikoanalyse, mit der festgestellt wird, welche Daten und Systeme es besonders zu schützen gilt und welche Geschäftsprozesse gefährdet sein könnten. Die individuelle Risikoanalyse bildet das Fundament für Sicherheitsvorkehrungen. So wird ein Labor vor allem medizinische Daten schützen müssen, ein Lebensmittelhersteller hingegen geheime Rezepte und Verfahren. Neben den Gefahren, die von Cyberkriminellen ausgehen, sollen bei der Analyse immer auch die Umwelteinflüsse wie Feuer, Hochwasser oder auch physischer Diebstahl von PCs und Servern in Betracht gezogen werden.

Um einen umfassenden Schutz von Daten und IT-Infrastruktur zu erlangen, genügt es auch im Kleinbetrieb nicht, eine Sicherheitssoftware auf den PCs zu installieren und ab und zu ein Back-up zu erstellen. Um die Angriffsfläche möglichst klein zu halten, müssen Systeme und Software stets aktualisiert werden, Zugriffsberechtigungen sollten nur für die tatsächlich erforderlichen Personen und Abteilungen vergeben sowie Passwörter möglichst im ganzen Betrieb verstärkt werden.

Weil der Mensch als das schwächste Glied in der Sicherheitskette gilt, ist die Sensibilisierung der Mitarbeitenden im Betrieb besonders wichtig. Gerade bei Phishing-Attacken liegt der beste Schutz nicht (nur) in der Sicherheitssoftware, sondern vor allem im vorsichtigen Umgang mit E-Mail und Internet. Sämtliche Mitarbeitende müssen wissen, dass sie verdächtige Mail-Anhänge, insbesondere bei Mails mit unbekanntem Absender, nicht öffnen sollten. Denn ganz normal aussehende PDF-, Word- oder Excel-Anhänge können Schadsoftware beinhalten, die sich unbemerkt auf dem PC installiert.

Trotz aller Schutzvorkehrungen kann es vorkommen, dass ein System gehackt wird. Bemerkt man einen Angriff, zählt jede Sekunde. Deshalb ist es wichtig, dass ein Notfallplan besteht – insbesondere dann, wenn im Unternehmen wichtige Daten und Anwendungen bedroht sind. Im (Incident) wird festgehalten, wer informiert werden muss, welche Server und Systeme vom Netz genommen werden müssen und wie der Betrieb aufrechtgehalten werden kann. Im Falle eines Datenverlusts müssen sämtliche Daten in Back-ups verfügbar sein. Nicht nur, wenn besonders sensible Daten im Spiel sind, sondern auch für alle übrigen Geschäftsdaten sind moderne Vernetzungs- und Speicherlösungen heute unumgänglich.

Sicher in der Cloud

Regelmässig erstellte sowie automatisierte Back-ups und auch alle anderen gespeicherten Daten sind in der Cloud gut aufgehoben. Denn fast nirgendwo sind die Unternehmensdaten so sicher wie in den Rechenzentren der Spezialisten – insbesondere dann, wenn wie zum Beispiel Swisscom, der Cloud-Anbieter seine Ser-ver in der Schweiz betreibt. Dann sind die Daten dem hiesigen Datenschutzgesetz unterstellt. Darüber hinaus gelten im Rechenzentrum des Anbieters – auch was den physikalischen Schutz betrifft – sehr hohe Sicherheitsanforderungen. Wo ein Serverraum oder Datenarchiv im Keller einem Feuer ungeschützt ausgeliefert ist, sind die Daten in einem professionellen Rechenzentrum speziell vor Umweltereignissen wie Erdbeben, Hochwasser oder Blitzeinschlag gut geschützt. Auch Versorgungsunterbrüche, etwa Stromausfälle, können überbrückt werden. Entsprechend müssen KMU-Inhaber auch keine eigenen Server mehr anschaffen oder betreiben.

Nicht nur beim Speichern, sondern auch beim Zugriff auf Daten gibt es gewisse Sicherheitsvorkehrungen, die zu berücksichtigen sind. Das beginnt zum Beispiel mit einem sicheren Passwort auf allen Geräten, mit denen Mitarbeitende auf Unternehmensdaten zugreifen, sowie mit einer professionellen Firewall. Sobald das Unternehmen mehrere Standorte hat oder wenn Mitarbeitende im Aussendienst und von zu Hause aus arbeiten, ist eine sichere Vernetzung aller Zugriffsorte unabdingbar. In diesem Fall bietet eine Vernetzung per VPN einen optimalen Schutz. Mit einer VPN-Verbindung werden sämtliche Daten innerhalb des Firmennetzwerks verschlüsselt übertragen. Mitarbeitende, die sich ausserhalb des Firmennetzwerks befinden, erhalten dann per Remote Access Service (RAS) Zugriff. Im Idealfall handelt es sich dabei um eine Zwei-Faktor-Authentifizierung (Passwort und Mobile ID). Jedes Unternehmen – unabhängig von seiner Grösse und der Art der Dienstleistung – kann Opfer eines Angriffs aus dem Netz oder unvorhersehbarer Umweltereignisse werden. Daher sollten Unternehmer einen Plan haben, wie sie sich gegen diese Gefahren schützen und passend zur Unternehmensgrösse, Art der Tätigkeit und Branche präventive Schutzmassnahmen ergreifen.

Porträt

Philippe Vuilleumier

Head of Group Security

Philippe Vuilleumier ist als Head of Group Security bei Swisscom für die Sicherheit der Mitarbeitenden, Infrastrukturen und Daten von Swisscom verantwortlich.

Kontakt

philippe.vuilleumier(at)swisscom.ch www.swisscom.ch

Wissen

kurz & bündig

Jedes Unternehmen kann Opfer eines Angriffs aus dem Netz oder von Umweltereignissen werden.
Die individuelle Risikoanalyse bildet das Fundament für die passenden Sicherheitsvorkehrungen.
Aber trotz aller Schutzvorkehrungen kann es vorkommen, dass ein System gehackt wird. Wird ein derartiger Angriff bemerkt, zählt jede Sekunde. Es ist wichtig, dass dafür ein Notfallplan besteht – insbesondere dann, wenn im Unternehmen wichtige Daten und Anwendungen bedroht sind.