Digitale Sicherheit und DSGVO

Inzwischen sollte jedem klar sein, mit einem bisschen Verschlüsselungsprogramm hier und ein wenig Anti-Virus da ist es nicht mehr getan. Phishing Mails und Social Engineering werden zu einer wachsenden Bedrohung. Digitale Attacken entwickeln sich ständig weiter und sich darauf vorzubereiten kann eine komplexe Aufgabe sein. Wir geben dir hier Hinweise, wie du dich und dein Unternehmen gegen digitale Bedrohungen wappnen kannst.

Bedrohungen erkennen

Ransomware ist zur Zeit in aller Munde, weil Angriffe damit exponentiell ansteigen. Das liegt vor allem daran, dass Kriminelle die Software für kleines Geld online erwerben kann, das Risiko erwischt zu werden sehr gering ist und die Opfer häufig zahlen, anstatt die vom Angreifer verschlüsselten Daten aufwendig zu rekonstruieren.

Social Engineering macht sich menschliche Schwächen zu nutze. Ziel ist es einen Mitarbeiter so zu manipulieren, dass er beispielsweise der Aufforderung nachkommt eine hohe Geldsumme auf ein Konto zu überweisen oder eine Kontonummer in der Buchhaltung zu ändern. Im ersten Fall gibt sich der Sender als Chef aus, im zweiten als ein Lieferant der die Bank gewechselt hat.

Phishing Mails waren vor ein paar Jahren noch leicht zu erkennen, weil sie Rechtschreibfehler enthielten, oder seltsame Ausdrucksweisen verwendet wurden. Das kommt heutzutage nur noch selten vor, weil die E-Mails zum Abgreifen von Passwörtern nahezu perfekt sind.

IoT-Angriffe sind im Moment noch eine marginale, aber rapide anwachsende Bedrohung über das sogenannte Internet der Dinge, weil sie viele Einfallstore bietet. Nachdem sich 5G nun immer schneller ausbreiten wird und immer mehr Geräte ans Netz gehen, die diese Technologie nutzen, werden sich diese Bedrohungen weiter entwickeln.

Sicherheit der IT-Umgebung systematisch verbessern

Es ist unmöglich eine angemessene Verteidigung zu entwickeln, wenn du nicht weißt, wie stark oder schwach deine Abwehr gerade ist. Darum ist es wichtig deine Sicherheit regelmäßig zu bewerten. Die Ergebnisse zeigen dir, wo du etwas verbessern musst, um deine IT-Umgebung zu schützen. Mit diesem Wissen fällt es leichter, die für Sicherheit verfügbaren Ressourcen sinnvoll einzusetzen.

Die nächsthöhere Stufe erreichst du mittels Risikomanagement. Dabei werden die Risiken planmäßig überwacht, gesteuert und kontrolliert. Anschließend kannst du immer wieder neue Prioritäten setzen und dein Sicherheitsniveau Punkt für Punkt verbessern.

Die DSGVO – Ein risikobasierter Ansatz für mehr digitale Sicherheit

Mit der im Mai 2018 eingeführten DSGVO soll ein besserer Schutz des Einzelnen und eine größere Sicherheit für Unternehmen bei der Navigation durch den Datenschutz in den EU-Mitgliedstaaten gewährleistet werden. Viele Unternehmer betrachteten die Verordnung als eine teure, zeitaufwändige Einschränkung des freien Unternehmertums und hatten dabei auch die in Aussicht stehenden drakonischen Strafen für Datenschutzverletzungen im Auge. Allein Artikel 5, der fordert, dass personenbezogene Daten in einer Weise verarbeitet werden, die die angemessene Sicherheit dieser Daten gewährleistet, einschließlich des Schutzes vor dem Risiko der Zerstörung, des Verlusts, der Veränderung und der unbefugten Offenlegung oder des Zugriffs, zeigt wie ernst es die EU mit der Datenhoheit ihrer Bürger meint.

Gleichzeitig zeigt der Artikel auch, vor welchen Herausforderungen die Unternehmen stehen. Ihnen wird gesagt, was sie zu tun haben, aber nicht, wie diese Aufgabe umgesetzt werden kann. Sie verlangt von den Unternehmen lediglich Kontrollen zu implementieren, die angemessen sind. So gelangen die Unternehmen fast folgerichtig zu einem risikobasierten Sicherheitsansatz. Das heißt, Unternehmen bewerten die individuellen Risiken, denen sie ausgesetzt sind, indem sie zwei Faktoren berücksichtigen: die Wahrscheinlichkeit, dass ein bestimmtes Ereignis eintritt, kombiniert mit allen Auswirkungen, die das Ereignis verursachen kann. Das Ergebnis bestimmt die Bedeutung, die jedem Risiko beigemessen wird.

Nachdem Risiken identifiziert und klassifiziert wurden, können Unternehmen die schwerwiegendsten Datensicherheitsrisiken mindern, indem sie eine Sicherheitsstrategie umsetzen, die Daten mit geeigneten technologischen Abschreckungsmitteln, Richtlinien und Schulungen schützt. Für Selbstständige und freie Berufe bedeutet das eben auch, nicht das leichteste Einfallstor in der Kommunikations- und Sicherheitskette zu sein.