Ratgeber

Cybersecurity und Datenschutz: Wie schützen Unternehmen sich und ihre Kunden?

Das FBI konnte eine Bitcoin-Wallet knacken. (Foto: Shutterstock / GlebStock)
Lesezeit: 6 Min.
Artikel merken

Die Digitalisierung der Wirtschaft hat der Wirtschaftskriminalität neue Einfallstore geöffnet. Um sich davor zu schützen, müssen auch Unternehmen aufrüsten. Deshalb ist Cybersecurity wichtiger denn je. Was aber müssen Unternehmen dabei beachten?


Der wirtschaftliche Schaden, den Unternehmen durch digitale Angriffe erleiden, wird auf mehrere Billionen US-Dollar geschätzt. Dabei stehen nicht nur große Konzerne im Fokus der Angreifer: Laut einer aktuellen Studie zählen 43 Prozent aller Opfer zu den kleinen und mittelständischen Unternehmen. Hinter diesen Angriffen steht ein ausgereiftes, dunkles Ökosystem – eine kriminelle Schattenökonomie –, in dem Angreifer Methoden entwickeln, verfeinern, bündeln und anbieten; und das alles zu einem dieser dunklen Marktwirtschaft angemessenen Preis.

Si vis pacem para bellum – Wenn du Frieden willst, bereite den Krieg vor

So kaufen und verkaufen Cyberkriminelle zum Beispiel potenzielle Sicherheitslücken und bündeln sie, um automatisierte und orchestrierte Angriffe zu unternehmen. Es werden sogar ganze „Dienstleistungspakete“ verkauft – wie Ransomware mit kompletter Abwicklung von erpressten Zahlungen auf ein Konto im sicheren Finanzhafen eines Drittlandes. Ein beliebtes Ziel solcher Angriffe ist das Stehlen von Daten. Ein Angreifer kann zum Beispiel detaillierte Kundendaten aus einem Unternehmen abgreifen und an einen Mitbewerber verkaufen. Datenschutz ist daher ein wichtiger Aspekt der Cybersecurity.

Warum ist Cybersecurity aber überall wichtig, wenn doch Investitionen in verstärkte Computersicherheit traditionell eher in stark regulierten Sektoren wie zum Beispiel der Finanzindustrie anzutreffen waren? So, wie die Digitalisierung der Unternehmen voranschreitet und dabei immer mehr Branchen als auch Unternehmensbereiche erfasst, so entwickelt sich auch die Cyberkriminalität weiter. Cybersecurity ist deshalb mittlerweile ein Thema für alle Ebenen eines Unternehmens. Unter anderem auch deshalb, weil die Nichteinhaltung von Sicherheitsstandards zu erheblichen Regressansprüchen und damit zu großen finanziellen Schäden und Betriebsausfällen führen kann.

Unternehmen sind also gut damit beraten, diese Gefahr nicht auf die leichte Schulter zu nehmen. Getreu der alten römischen Devise: Si vis pacem para bellum – Wenn du Frieden willst, bereite den Krieg vor. Cybersecurity heißt dabei, dass ein System sicher ist vor unerlaubtem Zugriff auf elektronische Daten und Dienste. Die Maßnahmen, die diese Sicherheit gewährleisten, werden dabei in diese Definition mit eingeschlossen. Da die Bedrohungen und die dahinterliegenden Akteure oft nicht sehr deutlich wahrzunehmen sind, ist Cybersecurity aber auch eine sehr komplexe Angelegenheit.

Deshalb ist es auch wichtig, das Problem und die Lösungen nicht als rein binär anzusehen. Ein IT-System oder ein Zusammenschluss solcher Systeme sind nicht per se und für immer sicher oder unsicher. Vielmehr lohnt es sich, Cybersecurity als das aktive Managen von Risiken aufzufassen und gegebenenfalls mit dem Managen anderer Risiken holistisch zu betrachten. In diesem Sinne ist ein System einfach nie ganz sicher.

Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Infrastruktur sauber aufstellen

Gute Infrastruktur ist mehr als Daseinsvorsorge. Sie ist Dableibevorsorge.“ Was Frank-Walter Steinmeier eigentlich über Staaten gesagt hat, gilt auch für Unternehmen. Wer zukunftsorientiert sein will, muss seine Infrastruktur vernünftig aufstellen und kontinuierlich pflegen – gerade mit Blick auf Cyberkriminalität und Cybersecurity. Der Teufel steckt dabei im Detail, weshalb man sich von Beginn an keine Nachlässigkeiten erlauben darf. Leider herrscht in vielen – jungen wie alten – Unternehmen aber immer noch die Denkweise, dass für Datenschutz und Cybersecurity aktuell keine Zeit oder kein Budget vorhanden sei. Das kann sich bitter rächen.

Wenn beispielsweise die Belegschaft ins Homeoffice muss, zuvor aber lediglich Stand-PCs im Büro üblich waren, sollte man nicht am falschen Ende sparen. Einfach Laptops kaufen und an Wohnadressen schicken, ist relativ simpel. Aber sicherzustellen, dass die Maschinen zu Hause sicher im Betriebsnetz registriert werden, ist wesentlich komplizierter.

Um die Angriffsflächen von Cyberattacken zu minimieren, sollten natürlich auch alle Geräte standardmäßig mit ausreichender Virensoftware ausgestattet sein. Zusätzlich ist es sinnvoll, eine Zwei-Faktor-Authentifizierung für E-Mail-Dienste und ähnliches einzuführen. Als Verantwortlicher für Cybersecurity im Unternehmen muss man darüber hinaus auch stets auf dem neusten Stand bleiben und nach Alternativen Ausschau halten. Je mehr Tools die Mitarbeitenden nutzen, desto größer natürlich auch die Zahl der potenziellen Einfallstore – und nicht immer sind die populärsten Tools dabei auch die sichersten. Die Videosoftware Zoom zeigt dies aktuell sehr deutlich.

Außerdem müssen Unternehmen ihre Mitarbeitenden auch darauf hinweisen, die neuesten Updates ihrer Systeme und Tools zu installieren – selbst wenn das nervig und zeitaufwendig sein kann. Denn Cyberkriminelle beobachten die neusten Updates sehr genau. So überprüfen Hacker zum Beispiel am Microsoft Patch Day (dem zweiten Dienstag im Monat), welche Sicherheitslücken Microsoft schließt und welche nicht.

Errare humanum est – Irren ist menschlich

Das führt uns auch schon zum nächsten wichtigen Punkt, der nicht unterschätzt werden darf: der Faktor Mensch. Was die alten Römer bereits vor 2.000 Jahren prägten, bewahrheitet sich auch heutzutage noch: Irren ist menschlich. Und so spielen menschliche Faktoren auch bei vielen Cybersecurity-Bedrohungen eine entscheidende Rolle. Die zwei klassischen Beispiele sind unsichere Passwörter der Mitarbeitenden und Phishing-Mails. Letztere haben gerade in der Corona-Ausnahmesituation aktuell Hochkonjunktur, weshalb auch das Bundesamt für Sicherheit in der Informationstechnik mit neuem Nachdruck davor warnt. Ist ein Mitarbeiter unter Stress oder müde und bekommt gerade eine dringende E-Mail von der IT-Abteilung, prüft er eventuell nicht so eingehend wie angebracht, ob es wirklich eine interne Nachricht ist und ob er auf den Link klicken sollte.

Künstliche Intelligenz kann dabei helfen, Phishing-Mails im Postfach der Mitarbeitenden zu vermeiden – zum Beispiel indem Nachrichten mit einem gewissen Grad der Abnormalität klassifiziert und aussortiert werden. Unternehmen kommen aber nicht darum herum, ihre Mitarbeitenden zu schulen und zu sensibilisieren. Eine gute Methode ist zum Beispiel ein unangekündigter „Phishing-Testlauf“ im eigenen Unternehmen. Sie können so sehen, wie viele Personen angemessen reagieren, und können daraus den Schulungsbedarf für ihre eigenen Mitarbeitenden besser abschätzen.

Künstliche Intelligenz zur Bekämpfung von Cyberangriffen

Künstliche Intelligenz ist generell einer der großen Trends im Bereich der Cybersecurity und wird mittlerweile auf beiden Seiten genutzt – sowohl bei Cyberangriffen als auch bei ihrer Vorbeugung und Bekämpfung. So gibt es zum Beispiel Projekte, in denen das Leseverhalten eines Sicherheitsprozesses in einem Betriebssystem durch KI überwacht wird. Gesucht wird dabei nach verdächtigen Lesemustern, die Hinweise für Cyberangriffe sein könnten. Solche KI-Projekte können dabei helfen, die Sicherheit eines größeren Netzwerks zu verbessern. Gleichzeitig entwickeln natürlich auch Angreifer KI, die versuchen, Leseprozesse so minimal abzuändern, dass sich nicht mehr als potenziell bösartig erkannt werden – ein veritables Katz-und-Maus-Spiel.

„Lieber Geld verlieren als Vertrauen“ – Investitionen in Cybersecurity zahlen sich aus

Wie so oft geht es bei der Cybersecurity auch stets darum, zu verstehen, was die wesentlichen Bedrohungen und Herausforderungen sind – und wer im Unternehmen dafür verantwortlich ist. Cybersecurity und Datenschutz sind für Unternehmen kein „nice-to-have“, sondern essenziell. Besonders der Schutz von Kundendaten ist zentral; unabhängig davon, ob es sich um die Daten von Unternehmens- oder Endkunden handelt. Oder um es im Business-Sprech auszudrücken: Cybersecurity und Datenschutz müssen zur Chefsache werden – und gleichzeitig auch von den Mitarbeitern mitgetragen werden. Denn die beste Software nützt nichts, wenn sie von den Mitarbeitenden nicht angemessen verwendet wird.

Auch wenn die Fallstricke vielfältig, wechselhaft und zum Teil unbekannt sind: Cybersecurity muss den Verantwortlichen nicht den Schlaf rauben. Wer sich und sein Unternehmen gut vorbereitet, kann Unternehmens- und Kundendaten gut schützen. Sieht man Cybersecurity als Teil des gesamten unternehmerischen Risikomanagements, ist es bereits ein entscheidender Schritt zur Lösung des Problems. Denn so wird Cybersecurity abteilungsübergreifend sowohl bei der Belegschaft als auch bei Entscheidungsträgern zu einem Bestandteil der Unternehmenskultur. Digitaler Schutz muss deshalb den gleichen Stellenwert erhalten wie andere Sicherheitsstandards und -maßnahmen, wie zum Beispiel der Schutz von Geschäftsgeheimnissen oder die Brand- und Notfallplanung.

Schlussendlich geht es bei Cybersecurity auch stets um die eigene Glaubwürdigkeit. Denn egal, ob im B2B- oder im B2C-Umfeld, Geschäftsbeziehungen sind stets auch Vertrauensbeziehungen. Datenpannen, Sicherheitslücken und Cyberangriffe bedeuten für Unternehmen auch immer einen Vertrauensverlust. Wer Kundendaten nicht ausreichend schützen kann, verliert so schnell nicht nur die Daten, sondern auch seinen Ruf und seine Kunden. Oder um es mit den Worten von Robert Bosch zu sagen: „Lieber Geld verlieren als Vertrauen.“

Das könnte dich auch interessieren

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Digitales High Five
Holger Schellkopf (Chefredakteur t3n)

Anleitung zur Deaktivierung

Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder