Datensicherheitsrisiko und Schutzmaßnahmen für kleine Unternehmen

Daten sind das Herzstück jedes Unternehmens und daher ein zentraler Vermögenswert eines Unternehmens und ein Hauptziel für Hacker und Kriminelle. Die Bedeutung von Daten für die Steigerung des Geschäftswerts darf nicht unterschätzt werden. Ebenso sollte ihr Schutz unabhängig von der Unternehmensgröße angemessen priorisiert werden. Allerdings schätzen die meisten kleinen Unternehmen ihre Bedrohungslage im Vergleich zu größeren Organisationen als vergleichsweise gering ein.

Aktuellen Berichten zufolge hält diese Denkrichtung der Realität nicht stand. Aktuelle Zahlen zeigen, dass kleine Unternehmen besonders anfällig für Datenschutzverletzungen sind. Laut Verizons Data Breach Investigations Report (DBIR) 2019¹Etwa 43% der Datenschutzverstöße richten sich gegen kleine und mittlere Unternehmen (KMU); während in einem anderen Bericht festgestellt wurde, dass 60%² der KMU, die Opfer von Datenschutzverstößen wurden, müssen innerhalb der nächsten sechs Monate ihr Geschäft aufgeben und schließen.

Die zunehmende Abhängigkeit von Cloud Computing und die Verbreitung von E-Commerce-Unternehmen ermöglichen KMUs, ähnlich wie großen Organisationen, einen besseren Zugriff auf sensible Kunden- oder persönliche Daten wie Kreditkarten, Sozialversicherungsnummern, E-Mail-Adressen und IP-Adressen.

Zu den Risiken, die aufgrund unzureichender Datensicherheitsmaßnahmen entstehen können, gehören:

1. Reputationsrisiko: Eine unmittelbare Folge eines Datenschutzverstoßes ist schlechte Publizität/Presse, was zu einem Glaubwürdigkeitsverlust bei Kunden, Mandanten und potenziellen Investoren führt. Oft verlieren Kunden das Vertrauen in die Fähigkeit des Unternehmens, ihre sensiblen Daten zu schützen, und suchen nach anderen Unternehmen mit stärkeren Sicherheitsvorkehrungen, um den gleichen oder einen ähnlichen Service anzubieten.
2. Finanzielles Risiko: Mangelnder Datenschutz kann zu finanziellen Verlusten für die Organisation führen. Die hohen Kosten von Datenschutzverletzungen hängen in der Regel mit den Maßnahmen zusammen, die Unternehmen nach einer Datenschutzverletzung ergreifen müssen, wie z. B. Kosten für die Untersuchung, Implementierung von Sicherheitskontrollen, gesetzliche oder behördliche Bußgelder usw.
3. Regulatorisches oder rechtliches Risiko: Bußgelder könnten auch eine Folge eines Verstoßes gegen Datenschutzbestimmungen sein. Kunden können rechtliche Schritte gegen die Organisation einleiten, wenn ihre Daten verletzt werden. Die behördlichen oder rechtlichen Bußgelder könnten höher ausfallen, wenn Unternehmen nicht nachweisen können, dass sie mit der gebotenen Sorgfalt die persönlichen oder sensiblen Daten ihrer Kunden angemessen geschützt haben.
4. Betriebsrisiko: Eine weitere große Auswirkung einer Datenschutzverletzung ist die potenzielle Ausfallzeit, mit der das Unternehmen nach dem Vorfall rechnen muss. Abhängig von der Art des Ereignisses muss das Unternehmen möglicherweise seinen Betrieb, einschließlich der wichtigsten umsatzgenerierenden Systeme oder Websites, schließen, während der Schaden durch den Verstoß oder ungeplante Geschäftsunterbrechungen untersucht und/oder eingedämmt wird. Dies führt weiter zu erhöhter Unzufriedenheit der Kunden und potenziellen Umsatzeinbußen.
5. Kunden- oder Kundenrisiko: Hacker können die verletzten Kundendaten nutzen, um Betrug oder Betrügereien zu begehen, was die Haftung der KMU weiter erhöht.

Für kleine Unternehmen, die oft mit Ressourcenengpässen konfrontiert sind, ist es wichtig, Maßnahmen zu identifizieren und umzusetzen, um Risiken wirksam auf ein akzeptables Maß zu reduzieren. Im Folgenden finden Sie 10 wesentliche Maßnahmen, die KMU zum Schutz vor Datensicherheitsrisiken ergreifen können.

1. Priorisieren Sie die Schulung und Sensibilisierung des Personals

Mitarbeiter sind im Wesentlichen eine menschliche Firewall und die erste Verteidigungslinie des Unternehmens. Unternehmen sollten ihren Mitarbeitern mindestens einmal jährlich eine obligatorische Sicherheitsschulung anbieten, um sie über Sicherheitsrisiken wie Phishing und Ransomware aufzuklären.

2. Führen Sie ein Inventar der Systeme und Daten

Unternehmen sollten eine regelmäßige Bestandsaufnahme ihrer Umgebung durchführen und eine Bestandsaufnahme kritischer Systeme und Daten führen, um zu verstehen, wo sich die sensibelsten Daten befinden und welche Sicherheitsmaßnahmen implementiert werden müssen.

3. Schützen Sie sensible Daten

Das Hauptziel von Cyberkriminellen sind die sensiblen Daten Ihres Unternehmens, darunter personenbezogene Daten (PII), Geschäftsgeheimnisse, Finanzdaten und andere vertrauliche Informationen. Die Implementierung strenger Zugriffskontroll-, Verschlüsselungs- und sicherer Datenentsorgungsverfahren kann zum Schutz Ihrer sensiblen Daten beitragen.

4. Verwenden Sie die Multifaktor-Authentifizierung (MFA)

MFA bietet eine zusätzliche Sicherheitsebene und erfordert neben einem Benutzernamen und einem Passwort ein oder mehrere Mittel zur Überprüfung der Identität einer Person, z. B. einen einmaligen Passcode.

5. Implementieren Sie Firewall- und Antivirenlösungen

Unternehmen sollten ihr Netzwerk durch den Einsatz einer Firewall schützen und auf allen Unternehmensgeräten Antivirensoftware implementieren, um sie vor Malware, Ransomware und ähnlichen Bedrohungen zu schützen.

6. Halten Sie Systempatches auf dem neuesten Stand

Unternehmen sollten sicherstellen, dass sie über die erforderlichen Patches auf dem neuesten Stand sind, um das Risiko zu verringern, dass die Systeme des Unternehmens anfällig für Cyber-Bedrohungen sind.

7. Überprüfen Sie die Sicherheitskontrollen von Drittanbietern

Unternehmen, die sich bei kritischen Aspekten ihres Betriebs auf Drittanbieter verlassen, sollten sicherstellen, dass Verfahren vorhanden sind, um die Angemessenheit der Sicherheitskontrollen der Anbieter regelmäßig zu überprüfen, da eine Sicherheitsverletzung der Systeme des Anbieters kaskadierende Auswirkungen auf Ihr Unternehmen haben kann.

8. Stellen Sie regelmäßige Schwachstellenbewertungen sicher

Führen Sie einen regelmäßigen Scan Ihrer Systeme, Websites usw. durch oder beauftragen Sie einen Verwaltungsdienstleister damit, Schwachstellen rechtzeitig zu identifizieren und zu beheben, die von Hackern ausgenutzt werden könnten, um sich unbefugten Zugriff auf Ihre Systeme zu verschaffen.

9. Verfügen Sie über einen Plan zur Reaktion auf Vorfälle

Ein dokumentierter und getesteter Vorfallreaktionsplan beschreibt die notwendigen Schritte, die im Falle eines Sicherheitsvorfalls wie einer Datenschutzverletzung ausgeführt werden müssen.

10. Führen Sie regelmäßige Backups und eine Notfallwiederherstellungsplanung durch

Eine regelmäßige Sicherung kritischer Systeme und Daten kann eine längere Betriebsunterbrechung im Falle eines Datenverlusts aufgrund einer Sicherheitsverletzung, versehentlichen Löschung oder einer Naturkatastrophe verhindern. Ein Notfallwiederherstellungsplan würde dem Unternehmen dabei helfen, seine Systeme nach einer größeren Geschäftsunterbrechung mithilfe verfügbarer Backups und anderer Systemkomponenten wieder online zu bringen.

Obwohl es sich bei den oben aufgeführten Schutzmaßnahmen nicht um eine erschöpfende Liste handelt, stellen sie doch eine Grundlage für die Datensicherheitsmaßnahmen dar. Es ist außerdem wichtig zu beachten, dass Sie sich über alle geltenden Anforderungen im Klaren sein und diese umsetzen müssen, wenn es in Ihrer Branche oder Gerichtsbarkeit bestimmte Gesetze oder Vorschriften zur Datensicherheit gibt.

Verweise:

¹ https://www.verizon.com/business/resources/articles/small-business-cyber-security-and-data-breaches/ 

² 4 Hauptgründe, warum KMU und KMU nach einem großen Cyberangriff scheitern | CSO Online

Über Tosin Ojo, CISSP, CRISC, CISA, CISM, CIA, CFE, MSc. – Gründer und Hauptberater bei CITSAP Consulting