Cybersecurity ist ein Thema, das heutzutage sowohl Unternehmen wie auch Privatpersonen betrifft. Erpressungsfälle, Datenklau, kleinere und größere Sicherheitslücken – der digitale Angriff auf sensible Daten hat sich in den vergangenen Jahren immens ausgeweitet und stellt nicht nur IT- sondern auch Kommunikationsverantwortliche vor ganz neue Herausforderungen. In dieser Blogserie beschäftigen wir uns intensiv mit dem Thema Cybersecurity. Neben einem ersten Einstieg zu dem Thema von Bärbel Hestert-Vecoli freuen wir uns über einen Beitrag zum Thema Informationssicherheit von Hannan Farooq, National Account Manager für Deutschland und Österreich bei Shred-it.
Hannan Farooq
National Account Manager Deutschland & Österreich
Shred-it
Das Dilemma mit der Informationssicherheit
Zusätzliche Risiken durch Technologiefortschritte
Jede Technologie hat ihre Schwachstellen – und diese werden kreativ ausgenutzt. Jüngst erst wurden Angriffe mit sogenannter Erpressungssoftware auf deutsche Krankenhäuser bekannt, betroffen waren vor allem vertrauliche Patientendaten. Diese Fälle schärfen zugleich das Bewusstsein für Cyberrisiken beim Umgang mit vertraulichen Informationen. Klar ist: Dank neuer Technologien und flexibler Arbeitsmodelle können vertrauliche Informationen zunehmend leichter eine geschützte Büroumgebung verlassen. Dies gilt sowohl für Daten in klassischer Papierform als auch auf elektronischen Trägermedien. Entsprechend steigt das Risiko eines Datenverlustes, nur die Folgen bleiben gleich fatal: Reputation und Geschäft eines Unternehmens leiden, ganz gleich, ob der Datenverlust auf „neuem“, digitalen Weg erfolgt – oder klassisch in Form eines physischen Datenverlustes.
Die Lücke schließen: Nachholbedarf in vielen deutschen Unternehmen
Das beste Mittel gegen diese Gefahren sind nicht allein technische Sicherheitsvorkehrungen, sondern Wissen und Bewusstsein dafür schaffen, welche Informationen eigentlich schützenswert sind. Trotzdem hören wir oftmals: „Wir haben keine schützenswerte Daten!“ Auch die jüngsten Umfrageergebnisse der Shred-it Security Tracker Studie bestätigen, dass sich Unternehmen nicht ihrer Verantwortung gegenüber Kunden- und Unternehmensdaten bewusst sind, geschweige denn wissen, welche erheblichen geschäftsschädigenden Auswirkungen damit verbunden sind. Unter den kleinen und mittleren Unternehmen behaupten 38 Prozent, nicht im Besitz von Dokumenten zu sein, deren Verlust sich geschäftsschädigend auswirken könnte – ein fataler Trugschluss. Ebenso alarmierend ist das mangelnde Wissen über rechtliche Rahmenbedingungen für die Aufbewahrung und Vernichtung vertraulicher Informationen in vielen deutschen Unternehmen: Lediglich 64 Prozent der großen Unternehmen mit mehr als 250 Mitarbeitern gaben an diese zu kennen, während sich 38 Prozent der Befragten kleiner Unternehmen und elf Prozent der großen nicht mit den relevanten Artikeln des Bundesdatenschutzgesetzes (BDSG) vertraut sind. Ganze 75 Prozent der Befragten in kleinen Unternehmen und 43 Prozent in großen kennen die zutreffende DIN-Norm nicht.
Drei Best-Practice-Tipps von Shred-it
Unternehmen sollten ihre Protokolle und Maßnahmen zur Informationssicherheit regelmäßig überprüfen. Nur so kann sichergestellt werden, dass sie sowohl physische als auch Cybersicherheits-Aspekte abdecken. Einige Hilfestellungen bieten dabei eine nachhaltige Verbesserung der Informationssicherheit:
1. Konkrete Datenschutzrichtlinien einführen
Obwohl es ganz selbstverständlich erscheint, haben nur etwa die Hälfte der befragten Unternehmen konkrete Richtlinien für die Aufbewahrung und Vernichtung vertraulicher Daten. Daneben lassen sich viele Maßnahmen leicht umsetzen, etwa durch die Einführung einer Clean-Desk-Policy oder durch eine Shred-it All Richtlinie, durch die alle Dokumente geschreddert werden müssen. Hierdurch müssen Mitarbeiter nicht mehr entscheiden, wann und ob ein Dokument schützenswert ist oder nicht. Dabei darf auch die IT nicht außer Acht gelassen werden und sollte fest in den Datenschutzrichtlinien verankert sein. Durch regelmäßige Aktualisierung und Einbindung von IT-Fachleuten und Datenschutzbeauftragten können Unternehmen darüber hinaus sicherstellen, dass ihre Datenschutzrichtlinien auf dem neuesten Stand sind. Auf diese Weise lässt sich das Risiko eines Datenverlustes verringern.
2. Mitarbeiter schulen
40 Prozent der großen und 52 Prozent der kleineren Unternehmen sehen Mitarbeiter-Fehlverhalten als die derzeitig größte Gefahrenquelle für einen Datenverlust an. Für die Zukunft sind sich Unternehmen allerdings einig, dass Datenverlust im Zusammenhang mit Cybersicherheit das bestimmende Thema sein wird. Trotzdem geben lediglich rund ein Viertel der Unternehmen an, ihre Mitarbeiter mindestens einmal pro Jahr zu schulen. Das Risiko eines Datenverlustes kann aber durch die Einführung einer regelmäßigen Mitarbeiterschulung über die jeweiligen Unternehmensrichtlinien leicht minimiert werden. So lässt sich Mitarbeitern effektiv zeigen, wie sie tagtäglich zu mehr Informationssicherheit beitragen können. Dabei ist es Verantwortung der Unternehmensführung, dass Mitarbeiter im Umgang mit vertraulichen Informationen und den erheblichen Konsequenzen eines Datenverlustes geschult werden.
3. Externe Expertenhilfe
Informationssicherheit ist ein äußerst komplexes Thema, das alle Abteilungen und Bereiche eines Unternehmens beschäftigt. Einhergehend ist es oftmals schwer nachvollziehbar und noch herausfordernder in der korrekten Umsetzung. Wissenslücken können allerdings erhebliche negative Konsequenzen für Unternehmen aller Größe bedeuten. Daher sollten deutsche Unternehmen auf externen Expertenrat, wie etwa durch einen Datenschutzbeauftragen für die korrekte Umsetzung von Datenschutzrichtlinien vertrauen. Rechtsexperten können zudem dabei helfen zu überprüfen, ob existierende Richtlinien im Einklang mit dem bestehenden Datenschutzrecht sind. Durch die Expertise eines externen Dienstleisters für Informationssicherheit können zudem Unternehmen sicherstellen, dass schützenswerte Informationen sicher gehandhabt werden. Gleichzeitig lassen sich so wertvolle interne Ressourcen anderweitig nutzen.