Unsere Daten sind überall. Gesammelt und archiviert auf Papier oder in einem digitalen Format und gespeichert in externen Umgebungen.
Was geschieht mit unseren Daten? Wissen wir, wie unsere Daten auf Papier oder in digitaler Form gesichert sind? Und warum ist es für diejenigen, die unsere Daten bei sich behalten und verarbeiten, wichtig?
Um gemeinsame Grundlagen für die weitere Analyse zu schaffen, klären wir zunächst einige Definitionen.
Datenschutz beschreibt den Schutz vor missbräuchlicher Verarbeitung von personenbezogenen Daten und den Schutz des Rechts auf informationelle Selbstbestimmung.
Datensicherheit befasst sich mit dem Schutz von Daten, unabhängig davon, ob sie personenbezogen sind oder nicht. Sie bezieht sich auf alle technischen und organisatorischen Maßnahmen zum Schutz von Informationen und Systemen aller Art gegen Manipulation, Verlust und oder unberechtigter Kenntnisnahme. Die Datensicherheit wird daher durch eine Vielzahl von Maßnahmen auf verschiedenen Ebenen gewährleistet, wie z.B. Verfahrensanweisungen für kritische Prozesse, Firewalls, Backups und Penetrationstests.
Die Datensicherheit wird als Teil der Informationssicherheit betrachtet. Informationssicherheit schützt nicht nur Informationen in der Technologie, sondern Informationen in jeder Form. Sie umfasst Technik, Organisation und Prozesse. Sie basiert auf drei Schutzzielen: Vertraulichkeit, Verfügbarkeit und Unversehrtheit.
Das bedeutet, dass sensible Daten vor dem unbefugten Zugriff Dritter geschützt werden, aber für autorisierte Benutzer immer vollständig und korrekt zugänglich sind.
Ein weiterer Teilbereich der Informationssicherheit ist die IT-Security. Diese bezieht sich auf elektronisch gespeicherte Informationen und IT-Systeme. Informationen, die heutzutage zunehmend digital gespeichert und übertragen werden, sind vielen möglichen Bedrohungen ausgesetzt: vom unbefugten Zugriff auf Daten durch Dritte über Spionage und Sabotage bis hin zu Hackerangriffen.
Oftmals hört man das Argument: "Warum sollte jemand daran interessiert sein, mich zu hacken. Ich habe doch nichts Wertvolles in meinen Systemen."
Nun, jede Organisation ist im Besitz von wertvollen Vermögenswerten - den Daten. Daten sind die neue Währung. Die Unternehmen sammeln sensible persönliche Daten von Mitarbeitern, Kunden, Dienstleistern und im Gesundheitswesen von den Patienten. Im Zusammenhang mit der Datensicherheit geht es bei den wertvollen Daten auch um Geschäftsstrategien, Kundendaten, Innovationsdaten, Finanzdaten, betriebliche Daten und so weiter.
Um zu verstehen, warum sich Unternehmen um ihre Informationssicherheit, einschließlich der Daten- und IT-Sicherheit, kümmern sollten, schauen wir uns einmal an, was Hacker mit den gestohlenen Daten machen und welche Folgen das für ein Unternehmen hat.
Angreifer können die gestohlenen persönlichen Daten nutzen, um Identitäten zu stehlen. Dies kann dazu führen, dass sie im Namen des Opfers betrügerische Aktivitäten durchführen, Kredite aufnehmen oder andere illegale Aktivitäten durchführen. Gestohlene Finanzinformationen, wie Kreditkarten- oder Bankdaten, können für Finanzbetrug verwendet werden. Dies reicht von Online-Käufen bis hin zu größeren Transaktionen, die sich direkt an die Opfer richten. Die Angreifer könnten gestohlene Daten auf dem Schwarzmarkt verkaufen. Dazu gehören Informationen wie Kreditkartennummern, Online-Kontodaten, Sozialversicherungsnummern und andere persönliche Daten. Angreifer könnten versuchen, Unternehmen oder Einzelpersonen zu erpressen, indem sie sensible Informationen nutzen, um den Ruf zu schädigen oder finanzielle Forderungen zu stellen. Staatlich geförderte oder kriminelle Gruppen könnten gestohlene Informationen zur Industriespionage nutzen. Dies könnte den Diebstahl von Geschäftsgeheimnissen, Forschungsdaten oder anderen sensiblen Informationen beinhalten.
Mit den gestohlenen Daten können die Angreifer dann weitere Angriffe starten:
Auch wenn jeder weiß, dass es keine 100-prozentige Sicherheit gibt und dass jeder ein Opfer eines Cyberangriffs werden kann, wird dies nicht immer verstanden, wenn man als Geschäftspartner betroffen ist.
Kunden und Partner vertrauen darauf, dass ihre Daten sicher aufbewahrt werden. Ein Cyberangriff, der zu Datenlecks oder anderen Sicherheitsproblemen führt, kann das Vertrauen in die Integrität des Unternehmens schwer beschädigen. Dadurch besteht die Gefahr, Kunden und Geschäftspartner zu verlieren.
Ein Cyberangriff kann dazu führen, dass sensible Unternehmensdaten verloren gehen oder beschädigt werden. Dies kann nicht nur finanzielle Auswirkungen haben, sondern auch - wieder einmal - das Vertrauen von Kunden und Partnern gefährden.
Viele Unternehmen sind in hohem Maße von ihren IT-Systemen abhängig. Ein erfolgreicher Cyberangriff kann zu erheblichen Geschäftsunterbrechungen führen, während das Unternehmen versucht, die Sicherheitsprobleme zu beheben und die Systeme wiederherzustellen. Dies kann wiederum zu Umsatzeinbußen und einem beschädigten Ruf führen.
Die finanziellen Auswirkungen eines Cyberangriffs können vielfältig sein. Neben den direkten Kosten für die Wiederherstellung der Systeme können auch indirekte Kosten durch betriebliche Ausfallzeiten, Reputationsverluste und rechtliche Konsequenzen entstehen. Laut einer Studie des IBM (2023), belaufen sich die weltweiten die Kosten einer Datensicherheitsverletzung im Durchschnitt auf 4,35 Millionen US-Dollar. Die höchsten Kosten fallen im Gesundheitssektor an (10,10 Mio. USD), gefolgt vom Finanzsektor (5,97 Mio. USD).
In einigen Fällen könnten die Angreifer versuchen, das Unternehmen zu erpressen, indem sie z. B. ein Lösegeld für die Freigabe gesperrter Daten fordern (Ransomware-Angriffe).
Die Auswirkungen eines Cyberangriffs können langfristig sein, selbst wenn die unmittelbaren Probleme behoben sind. Das öffentliche Vertrauen und die Wettbewerbsfähigkeit des Unternehmens können dauerhaft beeinträchtigt werden.
Je nach Art des Cyberangriffs und der Art der gestohlenen oder kompromittierten Daten können auch rechtliche Konsequenzen drohen. Datenschutzgesetze verpflichten Organisationen häufig dazu, geeignete Maßnahmen zum Schutz personenbezogener Daten zu ergreifen.
Die DSGVO verpflichtet sowohl den Verantwortlichen als auch den Auftragsverarbeiter zur Herstellung der Datensicherheit. Das Instrument zur Erfüllung dieser Anforderung sind die technischen und organisatorischen Maßnahmen.
Unter technischen Maßnahmen oder technischem Datenschutz versteht man jeden Schutz der Sicherheit der Datenverarbeitung, der durch physische Maßnahmen, wie z.B. die IT-Systeme, umgesetzt werden kann. Aber auch die Sicherung von Datenverarbeitungsumgebungen, wie die Gebäudesicherheit. Organisatorische Maßnahmen zielen regelmäßig auf die betrieblichen Abläufe und Sicherheitsstrukturen innerhalb einer Organisation ab.
Wie wir analysiert haben, handelt es sich dabei nicht um eine lästige Forderung des Gesetzgebers. Vielmehr ist sie absolut sinnvoll, da der Schaden durch Datendiebstahl sehr hoch ist.
Der beste Weg, sich zu schützen, besteht darin, Maßnahmen zur Informationssicherheit zu ergreifen. Diese umfassen unter anderem Datensicherheit und IT-Sicherheit. Und man soll auf Cybervorfälle vorbereitet sein. Am wichtigsten ist, dass Unternehmen ein umfassendes Schulungsprogramm für alle Mitarbeiter und Auftragnehmer im Bereich der Cybersicherheit einführen.
SEC Consult hat verschiedene Dienstleistungen und Programme entwickelt, um Ihre Organisation mit Expertenwissen in all diesen Bereichen zu unterstützen.
![[Translate to German:] Anna-Maria Praks](/fileadmin/_processed_/f/8/csm_sec-consult-a-APR_bf2985769a.jpg)