Datenschutz ist ein hohes Gut, doch diesen zu gewährleisten, fällt uns immer schwerer. Das liegt vor allem daran, dass die Digitalisierung von Arbeitswelt und Privatleben kaum Grenzen kennt, die Absicherung unserer wertvollsten Assets jedoch schon. Tatsache ist, dass viele unserer digitalen Daten heutzutage verkauft oder gestohlen werden.
In der Geschäftswelt liegt ein Hauptproblem dabei auch in der falschen Priorisierung der Unternehmenssicherheit. Viel zu selten wird Datensicherheit in dessen Zentrum gestellt. Zwar wurden die Stellschrauben mit Datenschutzgesetzen wie der EU-DSGVO schon deutlich enger gezogen, doch viele Unternehmen haben es vorgezogen, nur das Nötigste zu tun.
Ihnen ist es nach wie vor nicht gelungen, eine konsequente, auf dem Zero-Trust-Modell basierende Cybersicherheit umzusetzen und die sensiblen Daten von Kunden, Partnern oder auch geistiges Eigentum angemessen abzusichern.
Eine große Bedrohung für den Datenschutz liegt dabei immer noch beim Faktor Mensch. Tatsächlich trägt jeder einzelne Mitarbeiter, Berater und Partner Verantwortung für die Datenintegrität. So sind vor allem das Hereinfallen auf Phishing und eine schlechte Passworthygiene ein beliebter Startpunkt für Cyberattacken mit Ransomware oder Datenexfiltrationen. Doch auch folgende fünf Verhaltensweisen bedeuten große Risiken und bedrohen die Integrität sensibler Daten:
Risiko 1. Das Umgehen von Sicherheitsmaßnahmen
Security-Tools sind nicht selten ein zweischneidiges Schwert: So sind sie einerseits essentiell für die Absicherung von Unternehmen vor Cybervorfällen, können andererseits aber auch ein Zeitfresser und Produktivitätshindernis sein. Einer Studie von Cisco zufolge, umgeht jeder zweite Mitarbeitende in Deutschland mindestens einmal pro Woche Sicherheitslösungen des eigenen Unternehmens, weil diese zu komplex und zeitraubend sind.
Doch werden Sicherheitsprodukte deaktiviert oder anderweitig umgangen, bedeutet dies für die Unternehmen nicht nur verschwendete Investitionen, sondern eine unkontrollierte Vergrößerung der Angriffsfläche.
Tipp: Setzen Sie verstärkt auf Aufklärung und machen Sie die Bedeutung von einzelnen Security-Tools für die Unternehmenssicherheit gegenüber der Belegschaft deutlich. Darüber hinaus empfiehlt es sich, routinemäßige Audits durchzuführen, um sicherzustellen, dass kritische Sicherheitstools auch tatsächlich angenommen werden. Zudem sollte schon bei der Auswahl der Produkte die Benutzerfreundlichkeit ein (mit-) entscheidender Faktor sein.
Risiko 2. Das Herunterladen schädlicher Anwendungen
Die Zahl der in Unternehmen genutzten Applikationen ist in den letzten Jahren stark gestiegen. Dahinter steckt meist die Absicht, manuelle Arbeitsabläufe zu reduzieren und die Produktivität zu steigern. Nicht selten werden Anwendungen und Services jedoch ohne die entsprechende Genehmigung heruntergeladen, was eine Reihe von Risiken birgt.
So könnten Mitarbeitende beispielsweise Apps downloaden, die Ransomware enthalten, oder sensible Daten auf Diensten von Drittanbietern speichern, was Datenschutzverletzungen nach sich ziehen könnte.
Tipp: Definieren Sie Richtlinien zur Anwendungskontrolle mit entsprechenden Allow- und Deny-Listen, damit Mitarbeitende genehmigte Dienste und Apps kontrolliert anfordern und herunterladen können. Dies sorgt für mehr Transparenz und trägt nachhaltig dazu bei, die Schatten-IT zu reduzieren.
Zudem empfiehlt es sich, mit Hilfe einer PAM-Lösung rollenbasierte Zugriffskontrollen (RBAC) durchzusetzen, die steuern, was ein Benutzer innerhalb einer Webanwendung anklicken, lesen oder abändern kann. So kann einem Nutzer beispielsweise Zugriff auf Salesforce gewährt, der Export von Dateien in der App aber gesperrt werden.
Risiko 3. Der Zugriff auf Systeme nach Verlassen des Unternehmens
Verlässt ein Mitarbeitender das Unternehmen oder wird die Zusammenarbeit mit einem Partner beendet, erfordert dies einen sorgfältigen Offboarding-Prozess. Sämtliche Konten und Accounts der Person müssen unmittelbar gelöscht oder deaktiviert werden.
Passiert dies nicht, werden die Accounts zu riskanten Geisterkonten, die Cyberkriminellen und Insider-Angreifern die Möglichkeit geben, sich in aller Ruhe und ohne Lärm zu erzeugen in einem Unternehmen umzuschauen und Daten unauffällig zu exfiltrieren.
Und diese Gefahren sind real, denn wie der SaaS-Datenrisiko-Report von Varonis zeigt, verfügen Unternehmen durchschnittlich über 1.197 inaktive Konten und von 1.322 Gast-Zugängen sind auch nach 90 Tagen Inaktivität noch 56 Prozent nutzbar.
Tipp: Setzen Sie eine Least-Privilege-Strategie durch, die sicherstellt, dass privilegierte Zugriffe und Cloud-Access grundsätzlich nur nach Bedarf und zeitlich beschränkt gewährt werden. Nutzen Sie zudem eine PAM-Lösung, die privilegierte Konten automatisiert identifiziert und Account-Wildwuchs so eindämmt. Führen Sie vor allem effektive Offboarding-Prozesse ein, die dafür sorgen, dass sensible Berechtigungen zeitnah entzogen werden, wenn Mitarbeitende oder Auftragnehmer das Unternehmen verlassen.
Risiko 4. Die Nutzung von Firmengeräten durch Dritte
Für viele Mitarbeitende mag es keine große Sache sein, wenn sie Familienmitgliedern oder Freunden Zugriff auf ihre geschäftlichen Telefone oder Laptops gewähren, etwa um kurz im Internet zu surfen oder ein Spiel herunterzuladen.
Für die Unternehmenssicherheit kann dies aber fatale Folgen haben. Schnell ist es passiert, dass unbedarfte Personen und insbesondere Kinder auf Links klicken oder Inhalte herunterladen, die Malware oder Ransomware enthalten, oder unbeabsichtigt sensible Informationen preisgeben.
Tipp: Ziehen Sie eine scharfe Grenze zwischen Arbeits- und Familienleben und machen sie der Belegschaft klar, dass eine Null-Toleranz-Richtlinie für die fremde Nutzung unternehmenseigener Hardware gilt.
Risiko 5. Versäumte Software-Aktualisierungen
Software-Updates stehen auf unserer Prioritäten-Liste in der Regel nicht sehr weit oben, denn sie kosten Zeit und Nerven und ihr Einspielen wird oft im falschen Moment verlangt. Oft gehen Mitarbeitende auch davon aus, dass Software automatisch aktualisiert wird oder dass die IT-Abteilung diesen Prozess überwacht.
Hin und wieder müssen Programme jedoch manuell aktualisiert werden, was von den Mitarbeitern dann gerne übersehen oder auch ignoriert wird. Dies ist umso gefährlicher, als laut dem Verizon Data Breach Investigations Report 2022 vernachlässigte Software-Updates einer der wichtigsten Angriffsvektoren für Cyberkriminelle sind, um sich Zugang zu Computern oder Netzwerken zu verschaffen.
Tipp: Machen Sie Software-Aktualisierungen obligatorisch und legen Sie die Verantwortung für Softwareaktualisierungen in die Hände der Administratoren. Diese müssen sicherstellen, dass die gesamte Belegschaft stets die neuesten und sichersten Versionen verwenden, und wochen- oder sogar monatelange Verzögerungen nicht mehr an der Tagesordnung sind.
Eine effektive Unternehmenssicherheit und damit ein gelungener Datenschutz liegt im Einklang von Cybersicherheit und Produktivität. Die Kunst, die CISOs und IT-Teams heute vollbringen müssen, besteht also darin, Bedrohungen von außen und gängiges Fehlverhalten im Innern zu minimieren und gleichzeitig den Mitarbeitenden nahtlos Zugang zu den Systemen und Tools zu ermöglichen, die sie benötigen, wenn sie sie benötigen.
Dazu sind moderne Sicherheitslösungen vonnöten, die Security soweit es geht automatisieren und vor allem unsichtbar, d.h. hinter den Kulissen, umsetzen.