Beginn dieses Jahres kam es zu einem immensen Datenleak in Deutschland. Ein 20-Jähriger hackte und veröffentlichte 2,2 Milliarden E-Mail-Adressen und die dazugehörigen Passwörter von privaten Nutzern, Abgeordneten und Prominenten. Dieser jüngste Angriff zeigt, wie leicht sensible Daten gestohlen und manipuliert werden können.
Deutsche Unternehmen sind ein begehrtes Ziel für Cyberangriffe. Insbesondere der Mittelstand wird als leichte Beute betrachtet. Während große Konzerne besser gegen Attacken gerüstet sind und sich schneller von den Schäden erholen können, fehlt es im Mittelstand oft an den notwendigen Ressourcen und Anschläge werden nur schwer verkraftet. Unternehmen mit 100 bis 500 Mitarbeitern werden laut Bitkom am häufigsten angegriffen.
Cyberkriminalität verursacht jedes Jahr einen immensen wirtschaftlichen Schaden. Datendiebstahl, Industriespionage oder Sabotage verursachten bei deutschen Industrieunternehmen laut Bitkom in den vergangenen zwei Jahren einen Schaden von mehr als 43 Milliarden Euro. In der gesamten deutschen Wirtschaft waren es sogar fast 110 Milliarden Euro. Unternehmen laufen Gefahr das Vertrauen ihrer Kunden, vertrauliche Dokumente, Ideen und Patente durch den Datendiebstahl zu verlieren.
Die Rettung?
Im Mai 2018 änderte die Einführung der Datenschutz-Grundverordnung (DSGVO) in Europa die Art und Weise, wie Unternehmen personenbezogenen Daten ihrer Nutzer speichern und verwalten. Die Regelung verschärft Datenschutzbestimmungen und hat zum Ziel, die gefährlichen Angriffe vorzubeugen und Nutzerdaten zu schützen. Durch die DSGVO soll das Vertrauen in die Digitalwirtschaft gestärkt werden.
Capterra führte eine Umfrage mit 250 IT-Service-Mitarbeitern aus Deutschland durch, um einen Überblick über den Stand der IT-Sicherheit in KMU für 2019 zu geben.
Highlights der Studie:
- Ein Fünftel der Unternehmen schätzen ihr Unternehmen als schlecht vorbereitet ein, Datenschutzbestimmungen einzuhalten.
- Lediglich 30 % vertrauen bei der Datenspeicherung auf die Cloud.
- 60 % der KMU speichern ihre Daten auf internen Servern.
- 56 % der deutschen KMU sind nicht gut mit der DSGVO vertraut.
- 30 % der deutschen KMU überprüfen Datenschutzbestimmungen halbjährlich, knapp 40 % jährlich.
- Die Hälfte aller Unternehmen haben nicht genug Zeit bzw. Ressourcen, die zur Einhaltung von Datenschutzbestimmungen benötigt werden.
Deutsche KMU sind nicht genügend vorbereitet
Ein Fünftel der deutschen KMU schätzen ihr Unternehmen als nicht gut vorbereitet ein, Datenschutzbestimmungen einzuhalten.
Die Einhaltung von Datenschutzbestimmungen nimmt seit der Einführung der DSGVO eine wichtigere Rolle ein. Neben der erhöhten Gefahr von Cyberangriffen sind auch die Bußgelder bei Nichteinhaltung um ein Mehrfaches erhöht wurden. Der Bußgeldrahmen kann bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes betragen.
Der erste Schritt um die Bestimmungen ordnungsgemäß umzusetzen ist, sich mit ihnen vertraut zu machen. Das meist genannte Hindernis in Unternehmen beim Implementieren der Datenschutzbestimmungen sind jedoch fehlende Zeit und Ressourcen, gefolgt von mangelndem Wissen zu Datenschutzthemen.
Bei der Überprüfung von Datenschutzbestimmungen sind Unternehmen sehr gewissenhaft. In 30 % der deutschen KMU werden Datenschutzbestimmungen halbjährlich überprüft, in knapp 40 % jährlich. In 81 % der KMU gibt es einen Datenschutzbeauftragten, dieser ist zu 66 % sogar aus dem eigenen Haus. Einen Datenschutzbeauftragten zu bestellen, ist von dem Umgang mit personenbezogenen Daten im Unternehmen abhängig. Meistens wird ein Datenbeauftragter jedoch ab 10 Mitarbeitern zur Pflicht.
Ist billig wichtiger als sicher?
Für knapp 40 % der Unternehmen sind die Funktionen bei der Softwareauswahl am wichtigsten. Ein Viertel der IT-Mitarbeiter nennen den Preis als wichtigstes Entscheidungsmerkmal. Datensicherheit schafft es, vor Integrationen und Nutzerbewertungen, lediglich mit einem Fünftel der Stimmen auf Platz 3 der entscheidenden Faktoren für einen Softwarekauf.
Der Preis spielt bei der Softwareanschaffung eine wichtige Rolle, steht jedoch dem Sicherheitsaspekt häufig entgegen. Die Software-Riesen aus den USA bieten viele top Produkte für wenig Geld an. Werden Daten jedoch in den USA gespeichert, werden diese nach amerikanischem Recht behandelt und sind häufig nicht mit den deutschen Sicherheitsstandards konform.
Deutsche Softwareanbieter sind im Vergleich zu der amerikanischen Konkurrenz häufig teurer. Sie haben in der Regel jedoch Rechenzentren in Deutschland, auf denen die Anwendungen und Services bereitgestellt werden. Ebenfalls sind Tools, bei denen deutschlandspezifische Standards und Normen wie z.B. GoBD (Anforderungen des Finanzamts an die IT-gestützte Buchführung) in der Software benötigt werden, in der Entwicklung aufwändig und häufig für den Preisunterschied verantwortlich.
Amerikanische Softwarehersteller melden sich vermehrt bei dem EU-US Privacy Shield an. Diesem kommt vor allem seit der DSGVO eine hohe Bedeutung zu. Es regelt die DSGVO-konforme Übertragung personenbezogener Daten aus der Europäischen Union in die USA. Das Datenschutzschild unterliegt einer Selbstverpflichtung der Unternehmen und ist daher starker Kritik ausgesetzt.
66 % der deutschen KMU geben in unserer Umfrage an, nicht gut mit dem EU-US Privacy Shield vertraut zu sein. Es ist jedoch entscheidend amerikanische Softwareanwendungen auf das Privacy Shield zu überprüfen.
Wer also auf Nummer sicher gehen will, sollte neben dem Privacy Shield auch auf eine länderspezifische Konformität achten oder über eine (wahrscheinlich etwas teurere) Software-Anwendung aus Deutschland nachdenken.
Cloud-Technologien übernehmen Datensicherheit
Cloud-Technologien sind auf dem Vormarsch. Sie bringen Unternehmen viele Vorteile und neue Trends wie künstliche Intelligenz setzen Cloud-Technologien voraus. Die Vorteile reichen von der Flexibilität, über die Skalierbarkeit, bis hin zur Kostenkontrolle ohne Investitionsaufwand.
Viele Unternehmen stehen Cloud-Software noch skeptisch gegenüber. So speichern 61 % der KMU in Deutschland Kundendaten auf dem eigenen Server. Lediglich 30 % setzen Cloud-Tools zur Datenspeicherung ein.
Seriöse Cloud-Anbieter sichern Daten in Rechenzentren in Deutschland nach deutschen Sicherheitsstandards mit doppelt redundanten Speicherlösungen und Informationssicherheitsmanagement mit ISO-Zertifizierung. Weiterhin stellen die Anbieter IT-Sicherheitsexperten zur Verfügung, die sich ausschließlich mit dem Datenschutz der Anwendung beschäftigen.
Aufgaben, die Kompetenz, Fachpersonal und Zeitaufwand fordern, sowie Installation, Konfiguration und Software-Updates fallen mit Cloud-Nutzung aus dem Aufgabenbereich von Unternehmen. Als weiterer entscheidender Vorteil kann die Auslagerung von Datensicherheitsmaßnahmen an Experten angesehen werden.
Wie können KMU ihre Sicherheitsstrategie verbessern?
1. Richtlinie zur Datenklassifizierung implementieren
Laut dem neusten Datenrisiko-Report von Varonis Systems, Inc. sind durchschnittlich 22 % der Ordner eines Unternehmens für jeden Mitarbeiter zugänglich. In jedem zweiten Unternehmen können alle Mitarbeiter auf mehr als 1000 sensible Dateien zugreifen und bei fast ebenso vielen (51 Prozent) unterliegen mehr als 100.000 Ordner keiner Zugriffsbeschränkung. Um dem entgegenzuwirken, können Unternehmen verschiedenen Klassifizierung aufstellen, unter diese Unternehmensdaten fallen.
Laut Gartner beschreibt eine Datenklassifikationspolitik “die unternehmensweite Verantwortung für die Identifizierung sensibler Daten durch Klassifizierung. Viele Unternehmen integrieren einen grundlegenden Rahmen und definieren Klassifizierungsstufen, die verwendet werden müssen.”
Um Daten effektiv zu klassifizieren, schlägt die CEB vor, die folgenden fünf Faktoren zu berücksichtigen:
- Kritikalität: Wie kritisch sind die Daten für den Betrieb des Unternehmens?
- Sensibilität: Wie würde sich die unbefugte Veröffentlichung dieser Daten auf das Unternehmen auswirken?
- Verfügbarkeit: Wie fristgerecht und zuverlässig ist der Zugang und die Nutzung dieser Daten?
- Integrität: Wurden diese Daten ordnungsgemäß verarbeitet und gespeichert?
- Einbehaltung: Bist du befugt diese Daten zu speichern und für wie lange?
Nachdem sich Unternehmen für eine passende Klassifizierung entschieden haben, können sie im nächsten Schritt entscheiden, wie mit diesen Daten umgegangen werden soll. Dazu gehört auch, wer wann und zu welchem Zweck Zugriff darauf hat.
2. Acceptable Use Policy
Menschen machen Fehler. Nach Angaben der IT Governance kommen 4 von 5 Datenverstößen aufgrund von menschlichem Versagen vor. Nutzungsrichtlinien darüber, wie Mitarbeiter Daten und Geräte eines Unternehmens nutzen können helfen, diese Bedrohung zu verringern.
Die Acceptable Use Policy (AUP) ist ein Leitfaden, der erklärt, welche Praktiken innerhalb des Unternehmens tolerierbar sind. Anstatt eine Liste mit reinen Verboten aufzustellen, werden Mitarbeiter bei ihrer täglichen Arbeit ermutigt, mit gesundem Menschenverstand und Urteilsvermögen mit Hard- und Software umzugehen.
Eine verhaltensbasierte AUP kann beispielsweise lauten: “Vermeiden Sie die übermäßige Nutzung von Streaming-Sites von Drittanbietern” anstelle von “Wir verbieten die Nutzung von YouTube”.
So können sich alle Mitarbeiter des Unternehmens, und nicht nur die Mitarbeiter der IT-Abteilung, verantwortungsbewusst verhalten und die Sicherheit der verwendeten Daten und Geräte gewährleisten.
3. Das perfekte Duo: Cyber Security Software und Cyber-Risk-Versicherungen
Unternehmen, die sich im Internet bewegen sind dem ständigen Risiko von Cyberangriffen ausgesetzt. Es ist daher besonders wichtig in IT-Sicherheitsmaßnahmen zu investieren. Jedes Unternehmen sollte eine Cyber Security Software einsetzen, die den unbefugten Zugriff auf elektronisch gespeicherte Daten zu verhindern versucht. Die Anwendungen können Systemsicherheitsbedrohungen in Form von bösartiger Software wie Viren, Spyware usw. erkennen und eindämpfen und die Systemnutzung durch Dritte verhindern.
Hacker werden cleverer und Angriffe besser, daher kann eine Cyber Security Software zwar das Risiko verringern, jedoch nicht verhindern. Daher ist die Schadensbegrenzung eine wichtige Maßnahme für KMU, die besonders stark unter den wirtschaftlichen Schäden leiden. Der Abschluss einer Versicherung gegen Cyberattacken kann KMU daher empfohlen werden. Wird das Unternehmen angegriffen und erleidet eine Unterbrechung des Geschäftsbetriebs, kommt die Versicherung für den Schaden auf und bietet Notfall-Serviceleistungen an.
Cyber Security Software wehrt die gefährlichen Angriffe ab und Cyber-Risk-Versicherungen helfen gegen die Restrisiken. Die richtige Kombination der beiden Elemente führt zur maximalen Absicherung in Unternehmen.
Deutsche Unternehmen werden Themen wie Datenschutz und Cyberkriminalität gegenüber immer sensibler, jedoch ist mangelnde Zeit und Wissen häufig ein Problem bei der Umsetzung von verstärkten Sicherheitsbestimmungen. Es wird jedoch immer wichtiger sich vor den gefährlichen digitalen Angriffen zu schützen, um starke wirtschaftliche Schäden, Kundenverlust und Vertrauensverluste zu verhindern.
Möchtest du nicht riskieren, dass ein 20-Jähriger Hacker deine Unternehmensdaten klaut und veröffentlicht, dann investiere mehr Zeit und Ressourcen in Datensicherheit, halte Datenschutzgesetze ein, investiere in Cyber Security Software und schließe eine Versicherung ab.
Methodologie der Studie
Um die Daten für diesen Report zu sammeln, haben wir eine Online-Umfrage durchgeführt. Die Antworten stammen aus einer Stichprobe des Zielmarktes Deutschland. Die Ergebnisse sind für diese Umfrage repräsentativ, jedoch nicht unbedingt für die Bevölkerung als Ganzes. Die Umfrage wurde an 2000 Personen verschickt, woraufhin sich durch Screeningfragen 250 Teilnehmer für die Vervollständigung der Umfrage qualifiziert haben. Qualifizierte Teilnehmer sind berufstätig (vollzeitbeschäftigt, teilzeitbeschäftigt oder selbstständig), arbeiten in einem kleinen bis mittleren Unternehmen (1–250 Mitarbeiter) sind in der IT-Abteilung ihres Unternehmens tätig und sind in den Entscheidungsprozess involviert, welche Software und Technologien im Unternehmen verwendet werden.