Die Informationen eines Unternehmens gehören zu den wertvollsten Unternehmenswerten. Ob es nun Kundendaten, Bestelldaten, Produktdaten oder Krankenakten, Steuerakten und Mandantenakten sind, in allen Branchen bilden diese Daten das Rückgrat für die Unternehmensprozesse und -entscheidungen und somit für den Erfolg eines jeden Unternehmens.
Das hat sich grundsätzlich durch die Digitalisierung nicht geändert. Geändert haben sich aber die Risiken eines Datenverlustes durch die Informationstechnologie.
Massenhafte Verfügbarkeit der Daten. Digitale Daten sind nicht nur ein immaterielles Gut, sie sind einfach zu speichern, leicht zu vervielfältigen und benötigen wenig Raum zur Lagerung. Entsprechend selten besteht der Bedarf Archive aufzuräumen und Daten zu vernichten.
Einfache Zugriffe auf die Daten. Digitale Daten sind an keine Lokation gebunden – sie sind von jedem Punkt der Erde erreichbar. Sie können jederzeit gelesen, verändert und verteilt werden.
Automatisierte Prozesse und Entscheidungen (auf Basis der verfügbaren Daten). Abläufe in Unternehmen und damit einhergehende Entscheidungen sind datengetrieben und automatisierbar. Während in der analogen Welt Mitarbeiter bei Unwägbarkeiten in den Prozess eingreifen können, ist die Kontroll- und Einflussmöglichkeit bei automatisierten Systemen gewöhnlich begrenzt.
Durch die Veränderung der Daten und den neuen Möglichkeiten der Digitalisierung ergeben sich Szenarien für einen möglichen Datenverlust, der bisher gar nicht oder nur eingeschränkt betrachtet werden musste:
Der Angreifer von außen
Das meistverfolgte Szenario für Datenverlust ist der Angriff von außen. Dabei geht es um die Beschaffung von Daten zum Schaden des Betroffenen (Erpressung, Spionage, Veröffentlichung, Verunglimpfung, Identitätsdiebstahl, etc.).
Angriff auf die IT-Infrastruktur. Infrastrukturen werden häufig angegriffen über unsichere Schnittstellen oder Protokolle von IT-Systemen. Unbekannte Schnittstellen oder Backdoors erlauben den Zugriff auf vermeintlich geschützte Bereiche eines Systems. Solches vom Entwickler bewusst oder unbewusst ermöglichtes Eindringen in IT-Systeme ist allerdings selten der Grund, dass Hacker oder Cracker Daten kopieren oder manipulieren können. In den meisten Fällen ist es die interne IT-Administration, die mit unsicheren, nicht aktualisierten oder fehlerhaft konfigurierten Systemen ein Eindringen ermöglicht
Angriff durch Social Engineering. Beim Social Engineering oder Social Hacking nutzen Angreifer im Grunde positive menschliche Eigenschaften aus, etwa in Notsituationen unbürokratisch zu helfen oder auf Hilfe mit Gegenhilfe zu reagieren. Dennoch ist das Ziel einzig und allein Zugriff auf IT-Systeme zu bekommen, um Schaden durch Zerstörung oder Verschlüsselung (Malware / Ransomware) zu erwirken oder um Daten zu kopieren oder zu verändern.
Der eigene Mitarbeiter
Angriffe von außen – möglichst inklusive millionenfachem Diebstahl von Kreditkartendaten – ist sicherlich schlagzeilenträchtig. Der eigene Mitarbeiter ist aber immer noch die häufigste Ursache für den Verlust von unternehmenskritischen Daten ohne dass dieses medial aufbereitet wird:
Löschen oder Verändern von Daten. Unbeabsichtigtes Löschen oder Verändern von Daten gehört zu den häufigsten Vorfällen, bei denen Unternehmensdaten verloren gehen. Insofern der Verlust rechtzeitig bemerkt wird und das Datensicherungskonzept funktioniert, kann der Vorgang zumeist schnell rückgängig gemacht werden.
Schwerwiegender ist das absichtliche Löschen oder Verändern von Daten durch erboste Mitarbeiter. Verschiedene Studien schätzen, dass rund zweidrittel aller Vorfälle von enttäuschten IT-Administratoren verursacht werden. Das ist besonders gravierend für viele KMUs, deren IT-Administratoren häufig weitreichende Zugriffsmöglichkeiten haben.
Weitergabe von unternehmenskritischen Daten. Vielen Unternehmen ist nicht bewusst, dass tagtäglich sensible Daten das Unternehmen verlassen. Neben den versteckten Metadaten in Dokumenten, sind es immer wieder unternehmenskritische Daten, die die Unternehmensgrenzen wissentlich oder unwissentlich passieren. In nicht wenigen Fällen haben Unternehmen keine einheitliche und publizierte Klassifizierung der Daten durchgeführt. So ist den Mitarbeitern nicht bekannt, welche Daten sensibel und kritisch für ein Unternehmen sind und wie sie zu handhaben sind.
Vermeintlicher Zugriffsschutz. Jedes Jahr erscheint eine Hitliste der beliebtesten Passwörter (weiterhin angeführt von „123456“). Jedes noch so gute Passwort oder ein anderer Zugriffsschutz verhindern den Datenabfluss, wenn die Rechner oder Smartphones beim Verlassen nicht gesperrt werden. Sehr beliebt in diesem Zusammenhang ist auch das Teilen von Unternehmensdaten mit dem Sitznachbarn im Flugzeug oder im Zug.
Diebstahl von Unternehmensdaten. In den vergangenen Jahren sind einige zum Teil spektakuläre Fälle des Datendiebstahls durch Mitarbeiter bekannt geworden. Dabei handelte es sich um Mitarbeiter, die die Daten zu ihrem neuen Arbeitgeber mitnahmen oder die Daten zum Schaden ihrer früheren Arbeitgeber veröffentlichten. Es muss jedoch nicht immer der große Diebstahl sein. Oft sind es „nur“ die vergessenen Daten auf dem USB-Stick oder dem Smartphone des ehemaligen Mitarbeiters.
IT-System Operating
Defekte und Konfigurationsfehler. Das eigene IT-System darf in der Aufstellung der größten Risiken des Datenverlustes nicht unerwähnt bleiben. Hardware-Defekte (z.B. Controller, Netzteile, Festplatten) und Software-Fehler (insbesondere Betriebssysteme) können ebenso Datenverluste erzeugen wie Konfigurationsfehler an Hard- und Software.
Lebensdauer von Datenträgern. Nicht zuletzt bei der Archivierung von Daten ist zu beachten, dass alle Datenträger ein Verfallsdatum haben. Das reicht je nach Medium von 2 bis 30 Jahren und muss in den Überlegungen zur Vermeidung von Datenverlusten berücksichtigt werden.
Zusammenfassung
Der Verlust oder die Weitergabe von Daten kann verheerende Auswirkungen auf das betroffene Unternehmen haben. Das betrifft nicht nur die entsprechend der DSGVO besonders geschützten Daten, sondern alle unternehmenskritischen Daten. Deshalb ist es für jedes Unternehmen elementar zu verstehen, welche Daten unternehmenskritisch sind, um sich auf die für das Unternehmen wesentlichen Daten konzentrieren zu können und um die zur Risikominimierung notwendigen Ressourcen bereitstellen zu können.
Wie bei jeder Risikobewertung ist es zwingend notwendig eine klare Vorstellung von den Szenarien, die zu einem Datenverlust führen können, zu entwickeln. Dabei spielen neben den externen Angreifern, insbesondere die internen Mitarbeiter wie die IT-Systeme eine gewichtige Rolle.
Weiterführende Informationen
- BSI Lagebericht 2019 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2019.pdf
- DSGVO https://www.bmjv.de/DE/Themen/FokusThemen/DSGVO/_documents/Amtsblatt_EU_DSGVO.pdf
