Hackerangriffe und Datenpannen treffen nicht nur Großkonzerne. Auch kleine und mittelständische Unternehmen werden regelmäßig Opfer von Cyberkriminalität und Datenschutzverletzungen. Zwei Sicherheitsstrategien sollten beachtet werden.
Gastbeitrag von André Müller, Nord/LB in Bremen.
Der Erpressungs-Trojaner „WannaCry“ legte in diesem Jahr reihenweise Anzeigetafeln der Deutschen Bahn lahm, Hacker erbeuteten von der Kreditrating-Agentur Equifax sensible Daten von mehr als 145 Millionen US-Verbrauchern.
Cyberkriminalität und Datenlecks finden vor allem dann große Aufmerksamkeit, wenn bekannte Unternehmen betroffen sind oder der Schaden astronomisch hoch ist. So kann der Eindruck entstehen, Datensicherheit sei ausschließlich das Problem einiger weniger Großkonzerne.
Doch diese Wahrnehmung trügt: Laut dem „Cyber Readiness Report 2017“ verzeichneten 54 Prozent der deutschen Unternehmen mit weniger als 250 Mitarbeitern innerhalb eines Jahres einen oder mehrere solcher „Datensicherheitsvorfälle“. Der geschätzte Schaden lag im Durchschnitt zwischen rund 22.000 und 28.000 Euro.
Unternehmen jeder Größe betroffen
Es braucht keine geheimnisvolle feindliche Organisation, die gezielt eine bestimmte Firma ins Visier nimmt, um einen Cyberschaden zu erleiden.
Es reicht schon, dass ein Mitarbeiter versehentlich auf einen infizierten E-Mail-Anhang klickt oder Datenträger mit vertraulichen Kundendaten verliert. Dies können nicht nur Festplatten oder USB-Sticks sein, sondern auch beruflich genutzte Handys und Tablets.
Mit anderen Worten: Datensicherheit ist ein enorm wichtiges Thema für Unternehmen jeder Größe und betrifft multinationale Konzerne genauso wie freiberufliche Einzelkämpfer.
Datenschutz durch zwei Strategien
Im Detail hängen die zu treffenden Maßnahmen davon ab, in welcher Form und zu welchem Zweck ein Betrieb IT nutzt und welche Daten gespeichert werden und kompromittiert werden könnten.
Dies sieht bei einem Webshop mit Zahlungsabwicklung über das Internet natürlich anders aus als bei einem Restaurant, das ein digitales Bestell- und Abrechnungssystem verwendet.
Unabhängig davon gilt aber für alle Unternehmen: Der Datenschutz sollte zwei Sicherheitsstrategien umfassen. Notwendig sind zum einen Maßnahmen zur Prävention, die die Wahrscheinlichkeit eines Cybervorfalls soweit wie möglich reduzieren.
Zum anderen brauchen Unternehmen eine individuell angepasste Cyberversicherung, die greift, wenn die erste Sicherheitsstrategie versagt.
Seite zwei: Ursachen oft im Unternehmen selbst