So vermeidest du teure Datenlecks: Datensicherheit für KMU

• Barmer Krankenkasse
• Deutsche Bank
• ING
• ComDirect
• Motel One
• Urban Sports

Allein 2023 wurden in Deutschland rund 2 Millionen Nutzerkonten gehackt. Diese Datenlecks können durch eine Vielzahl von Fehlern entstehen, wie eine unverschlüsselte Datenbank im Internet, der Klick auf eine Phishing-Mail oder ein zu leicht zu erratendes Login-Passwort für den Zugang zu sensiblen Daten. Beispiele dafür sind: 

• Ein Mitarbeiter öffnet eine Phishing-Mail, was zur Kompromittierung sensibler Patientendaten führt
• Eine unverschlüsselte Datenbank wird versehentlich ins Internet gestellt, wodurch Kundendaten öffentlich zugänglich werden
• Ein zu einfaches Passwort ermöglicht Hackern den Zugang zu sensiblen Daten; ein Dienstleister erhält sensible Daten ohne ausreichende Sicherheitsvorkehrungen und wird zum Ziel eines Cyberangriffs
• Ein Hackerangriff durch eine Sicherheitslücke in einer alten Softwareversion führt zu einem umfangreichen Datendiebstahl
• Kundeninformationen werden durch einen schlecht gesicherten Cloud-Speicher kompromittiert. 

Klar ist also, in puncto Datensicherheit muss sich in deutschen Organisationen einiges ändern. 

Was sich früher in der Cybersecurity bewährt hat, ist heute kein Garant mehr für bestmöglichen Schutz vor Angreifern. Viele Geschäftsführer:innen unterschätzen deshalb das Sicherheitsniveau in ihrer Organisation. Welche Nachlässigkeiten begünstigen Datenpannen und worauf ist für eine optimale Absicherung zu achten? 

1. Veraltete Software und Betriebssysteme-Technologien 

Stell dir vor, du würdest versuchen, ein modernes Auto mit einem Schlüssel von vor 20 Jahren zu starten. Das wird nicht funktionieren. Genauso verhält es sich mit veralteten Schutzsystemen wie beispielsweise Virenscanner und Firewalls. Kleine und mittlere Unternehmen neigen dazu, ihre Cybersecurity und Datenschutz-Software nicht ohne Not zu tauschen oder zu aktualisieren. Eure Updates laufen automatisiert? Tatsächlich ist damit trotzdem nicht die beste Absicherung gewährleistet. 

Angesichts der hohen Komplexität und Dynamik von IT-Infrastrukturen braucht es neueste Technologien, um Kriminellen einen Schritt voraus zu sein. Unternehmen sollten darauf achten, dass ihre Cybersecurity KI-gestützt und vorausschauend arbeitet, um Sicherheitsrisiken früh erkennen und teils automatisch schließen zu können. 

Verwandtes Thema: Die wachsende Bedeutung von Datenschutz im KI-Zeitalter

2. Unzureichende Backup-Strategien 

Ein digitaler Dokumententresor mit Kopien wichtiger Daten ist ein guter Anfang, aber stell dir vor, du lagerst alle deine Wertsachen in einer einzigen Schublade. Wenn ein Einbrecher kommt und diese findet, ist alles weg. Genauso unsicher ist es, wenn Backups nur an einem Ort gespeichert sind.Fehlen Backup-Systeme, die nicht auf dem Unternehmensgelände gelagert werden, und kommen keine automatisierten Backup-Pläne zum Einsatz, sind das weitere Schwachstellen in der Absicherung, die im Fall eines Datenlecks weitreichende Folgen nach sich ziehen.  

Moderne Backupstrategien kombinieren Datensicherungen auf physischen Speichermedien und in Cloud-Systemen, bestehen aus seltenen, weil aufwändigen Vollsicherungen von Systemen und aus häufigen Sicherungen von kürzlich erfolgten Änderungen. Mit spezialisierter Software lässt sich dieser Prozess relativ leicht orchestrieren und optimieren.

3. Lückenhafte Verschlüsselungen 

Eine Grundregel, die viel zu oft missachtet wird: Wichtige Daten müssen sowohl verschlüsselt übertragen als auch gespeichert werden. Stell dir vor, du verschickst eine geheime Nachricht in einer durchsichtigen Flasche. Jeder, der sie unterwegs findet, kann sie lesen. So verhält es sich mit unverschlüsselten Daten. Eine solche End-to-End-Verschlüsselung ist im Unternehmensalltag gar nicht so einfach zu realisieren.  Vor allem nicht in gewachsenen Unternehmen, in denen viele Jahre alte Softwarelösungen und neue Plattformen, lokal installierte Programme und Cloud-Anwendungen zusammenarbeiten.

Wer Hacker:innen nicht einladen möchte, muss diese Komplexität aber bewältigen: Am einfachsten ist es für Unternehmen, ihre Verschlüsselungspraktiken und ihre allgemeine IT-Sicherheit von spezialisierten Anbieter:innen prüfen und optimieren zu lassen. Diese Sicherheitsaudits nutzen in der Regel Penetrationstests, um Angriffe von Hacker:innen zu simulieren. Bei der Einführung neuer Anwendungen gehört eine Datenschutz-Folgenabschätzung zum Standardprozess.

4. Keine Berechtigungskonzepte 

Der Mensch ist oft das größte Risiko für Datensicherheit: Stell dir vor, jeder Mitarbeiter in deinem Unternehmen hätte einen Generalschlüssel zu jedem Raum und jeder Akte. Das Risiko, dass sensible Daten in die falschen Hände geraten, wäre enorm. Genauso verhält es sich, wenn es keine klaren Berechtigungskonzepte gibt. 

Die Beauftragung eines externen Datenschutzbeauftragten (DSB) kann hier unterstützen. Diese Expert:innen prüfen bestehende Strukturen und Praktiken der Datenverarbeitung. Anschließend implementieren sie ein Konzept, das die Zugriffskontrollen mithilfe von Tools zum Berechtigungsmanagement überwacht und verbessert. Um das Risiko externer Partnerschaften einzuschätzen, bieten sich auch Tools zum Vendor Risk Management an. 

Verwandtes Thema: 6 Gründe für einen externen Datenschutzbeauftragten

5. Mangelndes Sicherheitsbewusstsein 

Ihr habt bereits ein umfassendes Sicherheitskonzept? Häufig liegt das Dokument als PDF-Papiertiger unbeachtet in digitalen Ordnern. Wo kein technischer Zwang besteht, werden viele Vorgaben schlichtweg nicht umgesetzt. 

Damit Mitarbeiter:innen verstehen, warum es so wichtig ist, bestimmte Bearbeitungsschritte einzuhalten und ihren Umgang mit Daten zu verändern, braucht es Compliance-Schulungen. Stell dir vor, du hast die besten Schlösser und Alarmsysteme, aber niemand schließt die Türen richtig ab. Genau so verhält es sich mit mangelndem Sicherheitsbewusstsein. Sie sind essenziell, damit technische Sicherheitsmaßnahmen nicht durch unachtsames Verhalten ausgehebelt werden. 

Verwandtes Thema:  Was sind aktuelle Best Practices für Datenschutzschulungen 

6. Fehlende Handlungsleitlinien für den Schadensfall 

Jede Organisation benötigt eine Sicherheitsrichtlinie, die unter anderem ein Verzeichnis von Verarbeitungstätigkeiten (VTT) für personenbezogene Daten und technische und organisatorische Maßnahmen (TOM) zum Schutz vor Datenlecks einhält. 

Mitarbeiter:innen benötigen eine Single Source of Truth, eine einzige zentrale Datei, in der sie alle Fragen rund um den richtigen Datenumgang und das Verhalten im Schadensfall nachlesen können. Was ist die richtige Reaktion bei einer Datenpanne? Durch Unklarheiten und Unwissenheit verlieren Unternehmen im Ernstfall wertvolle Zeit, die den wirtschaftlichen Schaden unnötig vergrößert. 

7. Unzureichendes Monitoring 

Neue Apps, neue Schnittstellen – die digitale Infrastruktur in Unternehmen entwickelt sich dynamisch. Stell dir vor, du hast eine Alarmanlage, die nur einmal am Tag überprüft, ob alles in Ordnung ist. Einbrecher hätten leichtes Spiel, den richtigen Zeitpunkt abzupassen. Daher sind vorbeugende und kontrollierende Sicherheitsprüfungen essenziell. Sie entdecken nicht nur potenzielle Sicherheitslücken, sondern identifizieren auch bereits stattgefundene und bis dato unbemerkte Angriffe.

Punktuelle Prüfungen reichen angesichts der Bedrohungslage nicht mehr aus. Stattdessen braucht es ein Echtzeit-Monitoring. Mit Intrusion Detection Systemen (IDS) lässt sich eine dauerhafte und kosteneffiziente Überwachung realisieren. 

Datenlecks sind keine abstrakte Bedrohung. 95 % der Unternehmen erleben laut IBM mehr als einen Datenvorfall im Jahr. Vor allem der Mittelstand muss seine Sicherheitsstrategien überdenken. Neue Technologien, neue rechtliche Anforderungen, wachsende IT-Infrastrukturen machen Sicherheit zu einem hochkomplexen Themenfeld, das nicht nebenbei mitbearbeitet werden kann. 

Wenn internes Know-how oder Ressourcen fehlen, sollten sich Unternehmen von externen Experten unterstützen lassen. Bisher sparen viele Geschäftsführungen an Investitionen in Datenschutz und Datensicherheit. Doch diese sind kein Luxus, sondern pure Notwendigkeit. Wer überlegt, ob er sich eine Modernisierung des Sicherheitskonzepts leisten kann, sollte sich bewusst machen: Ein erfolgreicher Angriff kann genügen, um die Zukunft des gesamten Unternehmens ernsthaft zu gefährden. 

Wie steht es um den Datenschutz in deinem Unternehmen?

Informiere dich jetzt über unsere Datenschutzberatung. Unsere spezialisierten Anwälte führen ein umfassendes Datenschutz-Audit durch, zeigen Handlungsbedarf auf und bringen dein Team mit Datenschutz-Schulungen auf den neuesten Stand.  

Alle Infos zur Datenschutzberatung