Viele Verbraucher denken bei Hacks und Datenpannen zuerst an Onlineanbieter und IT-Firmen. Dabei belegen zahlreiche Beispiele, dass es jedes Unternehmen in jeder Branche treffen kann.
Hacker und Datendiebe haben es nicht immer nur auf Kundendaten abgesehen, sondern oft auch auf Finanzdaten, Strategiepapiere, Konstruktionspläne, aber auch Preismanagement oder Personaldaten. Und manchmal auch einfach nur darauf, möglichst großen Schaden anzurichten.
Bereits während des Studiums war der Kryptografie-Experte Istvan Lam (CEO Tresorit) so unzufrieden mit der Sicherheit zahlreicher Cloud-Speicher-Lösungen, dass er mit der Entwicklung seiner eigenen Verschlüsselungstechnologie begann.
Als Gastblogger bei ADACOR gibt er Tipps, wie typische Datenpannen im Büro vermieden werden können.
Die Folgen von Angriffen auf Unternehmen reichen von kleineren PR-Krisen über Insolvenz bis hin zu lebensgefährlichen Systemstörungen und können dabei nicht nur das Unternehmen selbst, sondern auch Mitarbeiter, Geschäftspartner oder Kunden treffen. Diese Datenschutz-Tipps helfen, das zu vermeiden:
1. Vertrauliche Daten nie als einfachen E-Mail-Anhang senden
Wie häufig gingen Ihre E-Mails schon an den falschen Herrn Schmidt? Wie oft realisieren Sie, dass Sie gerade sensible Firmendokumente im Posteingang Ihres privaten Smartphones empfangen haben, auf dem keine der in Ihrer Firma üblichen Sicherheitsmaßnahmen realisiert sind?
Als vor zwei Jahren der E-Mail-Account eines Aufsichtsratsmitglieds von Rewe gehackt wurde, versuchten Unbekannte das Unternehmen mit vertraulichen Strategiepapieren zu erpressen, die sie dort gefunden hatten. Der Konzern erstattete stattdessen Anzeige und der Schaden hielt sich für das Unternehmen in Grenzen, da die Daten nicht so brisant waren, wie die Erpresser dachten. Aber was, wenn nicht?
Es gibt viele Wege, einen E-Mail-Account zu hacken, die wichtigsten Schutzmaßnahmen sind bekannt – starkes Passwort, Zwei-Stufen-Verifizierung, Vermeidung von Logins auf fremden Geräten. Trotzdem lässt sich mehr tun: Versendet man statt Anhängen nur den Downloadlink zu einem geschützten Cloud-Server, lässt sich sicherstellen, dass Dokumente auch jenseits des Bürorechners nur von denjenigen geöffnet werden können, für die sie bestimmt sind. Wer keinen Zugriff auf den sicheren Server hat, kann dann nichts mit der gehackten oder fehlgeleiteten E-Mail anfangen. Die dazu notwendige IT-Infrastruktur muss jedoch nicht zwingend intern aufgebaut werden, es gibt speziell dafür entwickelte Cloud-Anbieter für passwortgeschützte, verschlüsselte Links.
2. Accounts teilen bedeutet Passwörter teilen
Hängt auch in Ihrem Büro ein Zettel mit den Anmeldedaten zur Webverwaltung oder einer Recherchedatenbank? Teilen sich mehrere Kollegen das Passwort zum Buchungssystem? Selbst wenn Sie Ihren Mitarbeitern vertrauen, das ist eine Sicherheitslücke, für deren Missbrauch es nicht einmal Hackerwissen braucht. Passwörter zu teilen bedeutet, sie müssen aufgeschrieben werden. Geteilte Passwörter sind außerdem einfacher als sie sein sollten. Und wenn ein Praktikant das Unternehmen verlässt, macht sich niemand die Mühe, das Passwort zu ändern.
Sicherheitsforscher des Hasso-Plattner-Instituts haben herausgefunden, dass bei Millionen von gestohlenen Daten das am häufigsten verwendete Passwort „123456“ war. So gelang es Hackern vor einigen Jahren vermutlich, durch Erraten des zu einfachen Passworts den Twitter-Account der CDU zu kapern und falsche Informationen zu twittern.
Noch schlimmer kam es in Frankreich: Nachdem Sendebetrieb und Webseite des französischen Fernsehsenders TV5 Monde angegriffen und lahmgelegt wurden, wiesen Internetnutzer auf mehrere TV-Interviews aus den Büroräumen des Senders hin, bei denen im Hintergrund deutlich Passwortzettel für verschiedenste Accounts zu sehen waren. Übersetzt lauteten einige der versehentlich verbreiteten Passwörter zudem „daspasswortfüryoutube“ oder „qwertz12345“, wie der Spiegel hier dokumentiert.
Erste Schutzmaßnahme und wichtigster Datenschutz-Tipp gegen diese Schwachstelle ist es natürlich, Passwörter nicht an Wände zu hängen und komplexer zu gestalten. Wie das gehen soll, verrät dieser Blogbeitrag mit einer Checkliste sicherer Passwörter.
Beschränken Sie aber zudem den Zugang zu Firmenkonten nur auf diejenigen, die diese wirklich zur täglichen Arbeit benötigen. Außerdem sollten Unternehmer in eine eigene Lizenz für jeden Mitarbeiter investieren. Denn Knausern geht schnell auf Kosten der Sicherheit.
3. Arglose Kollegen sensibilisieren
Vertrauen in die eigenen Mitarbeiter ist gut und wichtig. Und in jeder E-Mail Viren oder Phishing zu vermuten, würde das Tagesgeschäft jedes Unternehmens zum Erliegen bringen. Es kann daher in vielen Fällen helfen, Vertraulichkeitsstufen für verschiedene Dokumente und Informationen einzuführen. Denn wenn alles „streng vertraulich“ ist, nimmt es bald niemand mehr ernst. Wenn jedoch festgelegt ist, dass ab bestimmten größeren Transaktionsvolumen oder für bestimmte Kennzahlen zusätzliche Vorsicht geboten sein muss, bleiben Vorsichtsmaßnahmen praktikabel.
Außerdem ist es notwendig, bei den Mitarbeitern die Sensibilität für bestimmte Sicherheitsrisiken zu schulen. Dies erreichen Sie am besten, indem Sie erklären, was bei bestimmten Verhaltensweisen passieren kann, anstatt diese einfach zu verbieten. So können Sie Ihren Mitarbeitern nicht nur trockene Datenschutz-Tipps geben, sondern praktisch demonstrieren, wie schnell eine E-Mail-Adresse im Namen anderer aufgesetzt werden kann, damit sie nicht arglos wichtige Informationen an vermeintlich private E-Mail-Adressen bekannter Klienten senden oder Dateianhänge aus diesen E-Mails zu öffnen.
Mit einer solchen, kaum verdächtigen E-Mail im Namen eines guten Geschäftskontakts begann es auch für das mittelständische Unternehmen S&P Werbeartikel GmbH, wie die Wirtschaftswoche berichtete. Den Mitarbeiter gab es bei der Partnerfirma, es kam zu Großaufträgen im Wert von 160.000 Euro, zehntausende USB-Sticks wurden produziert. Erst als der Controller der vermeintlichen Auftraggeberfirma sich weigerte, die Rechnung zu zahlen, kam heraus – niemand dort hatte den Auftrag erteilt. Die zur Bestellung verwendete E-Mail-Adresse wich leicht von der echten Firmen-Domain ab, niemandem war es aufgefallen. Die in der E-Mail enthaltene Telefonnummer war für die Folgekommmunikation verwendet worden. Inzwischen kämpft das kleine Unternehmen um seine Existenz, denn weder Versicherung noch Partnerfirma wollen für den Schaden aufkommen.
Aber nicht nur Identitätsdiebstahl, auch handfeste Industriesabotage kann mit einfachen E-Mails beginnen. Im Jahr 2014 kam es zu einer Cyber-Attacke auf ein deutsches Stahlwerk. Hierbei sollen die Angreifer per Spear-Phishing über E-Mails gezielt das Büronetz des Werks infiltriert und sich von da aus zu den Steueranlagen vorgehangelt haben. Die Ausfälle führten dazu, dass ein Hochofen nicht geregelt heruntergefahren werden konnte, es kam zu massiven Beschädigungen der Anlage.
4. Vorbereitet sein, dass Mitarbeiter das Unternehmen verlassen
Wie schon erwähnt, wird der Weggang von Mitarbeitern oft nicht ausreichend als mögliche Sicherheitsschwachstelle bedacht. Dabei müssen Datenschutz-Tipps auch hier ansetzen. Nicht immer trennen sich die Wege von Unternehmen und Mitarbeiter einvernehmlich, was Daten, auf die diese Mitarbeiter Zugriff haben, in Gefahr bringen kann. Geht der Kollege direkt zur Konkurrenz, können sensible Unternehmensinterna wie Produktentwicklungen oder auch Marktstrategie sehr interessant werden. So sollen etwa ehemalige Angestellte von Striko-Westofen Konstruktionszeichnungen eines Gießereiofens entwendet haben, um diese für die Produktion in einer anderen Firma zu verwenden. Auf den sichergestellten Zeichnungen befanden sich teilweise sogar noch das originale Firmenlogo.
Auch in einem solchen Fall kann es helfen, Datenzugriff für Ihre Mitarbeiter auf das jeweils notwendige Maß zu beschränken. Cloud-Lösungen für die Datenverwaltung, die digitale Rechteverwaltung (DRM) ermöglichen, können Sie dabei unterstützen. Digitale Rechteverwaltung bedeutet zum Beispiel, dass das Speichern von Kopien, Screenshots, Drucken oder das Öffnen von bürofremden Geräten blockiert werden kann. Zugangsrechte können dann auch noch nachträglich entzogen werden. Diese Sperrung von sensiblen Dokumenten und Konten sollte fester Teil der Abwicklung eines Arbeitsverhältnisses in Ihrer Personal- und IT-Abteilung sein.
5. Datenschutzstandards auf Dienstleister und Zulieferer ausweiten
Aber auch Dienstleister und deren ehemalige Mitarbeiter können zum Risiko werden. So vermutlich geschehen beim Verkehrsdienstleister Wiener Linien. Ein früherer Mitarbeiter einer Hamburger Partnerfirma hatte Kontaktdaten und Geburtstage von 20.000 Kunden gestohlen und im Netz veröffentlicht. Deshalb sollten Sie auch prüfen, wie Ihre Dienstleister mit Ihren sensiblen Daten umgehen und gegebenenfalls auf die Einführung entsprechender Sicherheitsmaßnahmen pochen. Rechtlich vorgeschrieben sind dabei vertraglich fixierte Auftragsdatenvereinbarungen. Dies gilt übrigens auch bei der Wahl des Cloud-Anbieters. Sichere Dienste verschlüsseln alle Ihre Daten mit End-to-End-Verschlüsselung so, dass selbst ihre eigenen Administratoren keinen Zugriff auf Ihre Dateien haben.
Zum Autor
Istvan Lam ist Gründer von Tresorit. Das Unternehmen gilt dank End-to-End-Verschlüsselung und Schweizer Datenschutz als einer der sichersten Anbieter am Markt, um Dateien online zu speichern und gemeinsam zu bearbeiten. Das Tool ist besonders beliebt unter Juristen, Gesundheitsdienstleistern und Beratungsfirmen, aber auch bei NGOs und Journalisten, die Ihre Dokumente schützen müssen.
Istvan Lam wurde vor kurzem vom Forbes-Magazin als europäisches Technologietalent auf die Liste der „30 under 30“ aufgenommen.