• Vertraulichkeit: die Daten sind vor unberechtigten Zugriffen geschützt
• Integrität: die Daten sind gegen Zerstörung und Verlust abgesichert
• Verfügbarkeit: die Daten sind für Berechtigte jederzeit abrufbar

100%ige Sicherheit gibt es nie, aber es gibt jede Menge Möglichkeiten, die Datensicherheit zu erhöhen. Die Erhöhung der Datensicherheit umfasst viele Elemente, u.a. Verschlüsselung, starke Passwörter, Cyber-Sicherheit, Backups und vieles mehr.

Ein Guter IT-Grundschutz erhöht die Datensicherheit!

Wo begegnet mir das Thema Datensicherheit im Arbeitsalltag?

Im Arbeitsalltag haben wir ständig mit der Datensicherheit zu tun. So dient zum Beispiel jede Passworteingabe, jedes korrekte Ablegen einer Datei oder eines Schriftstückes der Datensicherheit. Zum Teil überschneidet Datensicherheit sich mit den ebenfalls sehr wichtigen Themen Datenschutz und Cybersicherheit.

Was kann ich tun, um meine Datensicherheit zu verbessern?

Ein paar Beispiele:

Vertraulichkeit:

• Verschlüsselungen nutzen
• In Netzwerken gestaffelte Zugriffsrechte vergeben
• Starke Passworte nutzen
• Log-ins, Zugänge und Konten ehemaliger Mitarbeiter sofort nach ihrem Ausscheiden löschen
• Arbeitsplätze auch bei kurzem verlassen sichern

Integrität:

• Cyberrisiken vermindern, u.a. durch Mitarbeitersensibilisierungen, Virenscanner, Firewalls, Benutzerkonten ohne Administrator-Rechte u.v.a.m.
• Regelmäßige Backups, von denen mindestens eine Kopie offline und an einem anderen Ort aufbewahrt wird

Verfügbarkeit:

• Auch hier, regelmäßige Backups die sicher gelagert werden
• Durchdachte Zugriffsrechte

Die Europäische Datenschutzgrundverordnung findet seit dem 28. Mai 2018 in Deutschland Anwendung. Damit verbunden sind strengere Vorgaben zum Datenschutz in Unternehmen und deutlich erhöhte Bußgelder (bis zu 20 Millionen Euro oder bis zu 4% des Jahresumsatzes) für den Fall, das die Regeln nicht eingehalten werden.
Auch stellt die DSGVO Cybersicherheit in den Fokus. In Artikel 32 fordert die DSGVO das Unternehmen ihre personenbezogenen Daten nach dem „Stand der Technik“ schützen müssen.

Was ist die DSGVO im Detail?

Cybersicherheit steht auch bei der DSGVO im Fokus. In Artikel 32 fordert die DSGVO, dass Unternehmen ihre personenbezogenen Daten nach dem “Stand der Technik” schützen müssen. Und Sie fordert geeignete technische und organisatorische Maßnahmen (kurz TOM) zum Schutz der personenbezogenen Daten zu treffen, um ein angemessenes Sicherheitsniveau zu gewährleisten. Einige Grundprinzipien und Beispiele für den Schutz personenbezogener Daten werden auch schon benannt wie z. B. Pseudonymisierung, Verschlüsselung und Datenwiederherstellung.

Wo begegnet mir die DSGVO im Arbeitsalltag?

Die Regelungen der DSGVO betreffen jedes Unternehmen, das personenbezogene Daten verarbeitet. Sicherlich hat es an ihrem Unternehmen bereits Umstellungen gegeben, um der seit Mai 2018 auch in Deutschland verbindlich geltenden DSGVO zu entsprechen. In einigen Fällen sind dies Änderungen, die Abläufe Ihrer täglichen Arbeit betreffen können, vielleicht anonymisieren Sie nun z.B. Kundendaten.

Was kann ich tun, um meine Sicherheit zu verbessern?

Inzwischen gilt die DSGVO bereits einige Zeit. Wahrscheinlich entspricht ihr Unternehmen bereits allen oder vielen ihrer Regelungen. Um sicher zu gehen können Sie, oder ihr Datenschutzbeauftragter eine der vielen angebotenen Checklisten durchgehen. Unter anderem hier zu finden: https://lfd.niedersachsen.de/startseite/infothek/checklisten/checklisten-190892.html
Falls Sie Handlungsbedarf erkennen, setzen Sie dort an. Und falls Sie keinen Handlungsbedarf erkennen, können Sie stolz auf sich und Ihren Datenschutzbeauftragten sein. Für die Umsetzung der Verordnung, und darauf, dass Sie damit bereits einen wichtigen Schritt zur Erhöhung der Cybersicherheit Ihres Unternehmens getan haben!

Der einzelne Mitarbeiter ist die letzte Verteidigungslinie in der IT-Sicherheit von Unternehmen. Ergänzend zur technischen Vorsorge stellt die Weiterbildung und dauerhafte Sensibilisierung Ihrer Mitarbeiter einen wichtigen Schutzfaktor gegen Cyberrisiken dar. Im Rahmen einer Mitarbeiter-Sensibilisierung werden alle Mitarbeiter Ihres Unternehmens – vom CEO bis zum Praktikanten – für Cyberrisiken und den richtigen Umgang mit Verdachtsmomenten sensibilisiert.

Was bedeutet das im Detail?

Ihre Mitarbeiter können die Cybersicherheit Ihres Unternehmens an mehreren Angriffspunkten deutlich verbessern.
Sehr viele Cyberangriffe auf das Unternehmen erfolgen per E-Mail. Ergänzend zu den technischen Maßnahmen, stellen sensibilisierte Mitarbeiter einen wichtigen Schutz gegen solche Angriffe dar.
Sensibilisierte Mitarbeiter können die Sicherheit Ihres Unternehmens auch in harmlos erscheinenden Situationen schützen: z.B. durch einen gewissenhaften Umgang mit USB-Sticks, durch kluges Passwortmanagement und durch Umsicht bei der privaten Social-Media-Nutzung.

Wo begegnet mir das Thema im Arbeitsalltag?

Im Arbeitsalltag passiert es schnell: ein E-Mail-Anhang wird geöffnet, weil er die Rechnung eines Dienstleisters zu enthalten scheint. Doch es handelt sich um Schadsoftware, welche das gesamte Netzwerk verschlüsseln und unbenutzbar machen kann (Ransomware). Sind Ihre Mitarbeiter für diese Methode der Cyberkriminellen sensibilisiert, werden sie solche E-Mails kritischer prüfen und so Cybervorfälle verhindern.
Auch der USB-Stick eines Kunden ist schnell am Arbeitsrechner angeschlossen, um ein Dokument zu übertragen. Doch auf dem USB-Stick befindet sich ohne Wissen des Kunden ein Schadprogramm mit welchem Cyberkriminelle den Datenverkehr ausspionieren könnten. Sind Ihre Mitarbeiter sensibilisiert überprüfen Sie fremde USB-Sticks zuerst mit einem Virenprogramm, welches das Schadprogramm in den meisten Fällen findet und unschädlich macht.

Was kann ich tun, um meine Sicherheit zu verbessern?

Im Idealfall nehmen Sie regelmäßige Schulungen zur Mitarbeiter-Sensibilisierung vor. Spezialisierte Dienstleister sind hierbei eine gute Anlaufstelle, um möglichst viele Aspekte der IT-Sicherheit abzudecken. Auch digitale Lernsysteme haben sich bewährt. Diese können von Ihren Mitarbeitern flexibler genutzt werden als ein fester Schulungstermin. Aber jede Maßnahme verbessert Ihre Cybersicherheit im Vergleich zum aktuellen Status. In der Zeit bis zur professionellen Mitarbeiter-Sensibilisierung können Sie bereits für Ihr Unternehmen wichtige Ansatzpunkte identifizieren und einfach umsetzbare Maßnahmen ergreifen.

Zum Beispiel:

• Sensibilisierung für den richtigen Umgang mit E-Mails inkl. Phishing-Test
• Sensibilisierung für den vorsichtigen Umgang mit USB-Sticks
• Sensibilisierung für den Umgang mit IT-Geräten, die privat und beruflich genutzt werden wie z.B. Smartphones
• Sensibilisierung für Benutzersperren des Arbeitsrechners bei Abwesenheit

Bei einem Phishing-Test erhalten die Empfänger fingierte Betrugs-E-Mails oder Anrufe, um zu überprüfen, ob sie auf Tricks von kriminellen hereinfallen. Auf diesem Weg sollen Sicherheitsvorfälle vermieden werden.

Beispiel eines Tests:

• In einer simulierten Betrugs-E-Mail geben sie vor, eine bekannte Person oder ein Dienstleister des Empfängers zu sein.
• Öffnet der Mitarbeiter den enthaltenen Link / Anhang oder gibt vertrauliche Daten preis, dann wurde der Test nicht bestanden. – Jetzt wird nachgeschult!
• Interagiert der Mitarbeiter nicht mit der Betrugs-E-Mail und leitet sie bestenfalls an den Sicherheitsverantwortlichen weiter, dann hat er den Test erfolgreich absolviert.
• Kurze Zeit später wird die Person mit einer anderen Betrugsmasche erneut getestet – natürlich wie immer, ganz ohne Risiko!

Was bringt ein Phishing-Test?

So lassen sich Sicherheitsvorfälle vermeiden durch:

• Sensibilisierung für unterschiedliche Formen und Strategien von Phishing
• Einüben von Sicherheitsroutinen
• Eigenständiges erkennen von verdächtigen E-Mails
• Umsetzen von Handlungsempfehlungen für den Umgang mit verdächtigen E-Mails

Der Begriff setzt sich zusammen aus „mal“ für „böse, schlecht“ und dem Wortteil „-ware“ von Software. Er bezeichnet also schädliche Software; synonym werden auch Begriffe wie Schadsoftware und Schadprogramme verwendet. Malware ist der Oberbegriff für u.a. Computerviren, Trojaner, Ransomware, Würmer und Spyware.

Wie funktioniert Malware im Detail?

Malware-Angriffe machen mit 53% die Mehrheit der Cybervorfälle bei Unternehmen aus, ergab eine Umfrage des Bundesamtes für Sicherheit der Informationstechnik (BSI)

Interessanterweise wird die überwiegende Mehrheit dieser Malware – 90% – als Link oder Anhang per E-Mail verbreitet.

Aktuell werden immer mehr gezielte Malware-Angriffe auf Unternehmen beobachtet, häufig mit erpresserischen Absichten.

Wo begegnet mir das Thema „Malware“ im Arbeitsalltag?

Eines von vielen möglichen Beispielen: das unbedachte Öffnen einer vermeintlichen Rechnung in einem E-Mail-Anhang kann dafür sorgen, dass sämtliche mit dem Unternehmensnetzwerk verbundenen Computer, Server oder sogar Back-ups verschlüsselt werden und nicht mehr nutzbar sind. Bei einem Cybervorfall kann Malware sich je nach Typus anders auf Ihren Arbeitsalltag auswirken. Es können Dokumente verschwinden, Systeme beschädigt werden oder nahezu unmerklich sensible Daten übertragen werden. Das Ziel des Angriffs kann u.a. sein, Ihr Unternehmen auszuspionieren, arbeitsunfähig zu machen oder zu erpressen.

Was kann ich tun, um meine Sicherheit zu verbessern?

• Nahezu alle Maßnahmen, welche Ihr Cyberrisiko verringern, vergrößern Ihren Schutz vor Malware-Angriffen.
• Diese Maßnahmen sind umfangreich und sollten individuell nach Einschätzung des Cyberrisikos Ihres Unternehmens festgelegt werden
• Aber: nahezu jede Maßnahme ist besser als keine: So ist z.B. die Sensibilisierung Ihrer Mitarbeiter unverzichtbar, ganz besonders angesichts des hohen von per E-Mail verbreiteter Malware
• Für den Fall von Erpressungen und Datenverlusten sollten Sie regelmäßige Backups vornehmen. Diese (oder Kopien) sollten offline gelagert werden oder in separaten Netzwerken gespeichert werden, damit sie auch bei großangelegten, gezielten Angriffen nutzbar bleiben.

Schutz informationstechnischer Geräte (z.B. Computer oder Smartphones) und Systeme vor den Gefahren der Stilllegung, der Manipulation oder dem Abfluss von Daten durch den Cyberraum.

Wo begegnet mir das Thema Cybersicherheit im Arbeitsalltag?

Im modernen, vernetzen Arbeitstag begegnet Ihnen das Thema Cybersicherheit häufig. Überall, wo digitale Informationen erstellt, gesammelt, verwaltet und genutzt werden ist Cybersicherheit ein hochrelevantes Thema. Zum Beispiel:

• Am Arbeitsrechner
• In der voll- oder teilautomatisierten Montagehalle
• In Ihren digitalen Kundendateien
• In Ihrer digitalen Auftragsverwaltung

Jede Passworteingabe, jede Authentifizierung, jedes Update beeinflusst Cybersicherheit Ihres Unternehmens. Dies eröffnet Ihnen und Ihren Mitarbeitern im Arbeitsalltag viel Potential, Ihre Cybersicherheit zu erhöhen.

Was kann ich tun, um meine Sicherheit zu verbessern?

Erhöhen Sie Ihre Cybersicherheit, indem Sie Ihre Cyberrisiken verringern. Anhand von Leitfäden können Sie diverse Maßnahmen selbst durchführen. Alternativ stehen Ihnen auch Dienstleister zur Verfügung. Hier haben Sie die Sicherheit, das sowohl für alle grundlegenden als auch technisch anspruchsvollen Maßnahmen gesorgt wird.