So können kleine Unternehmen die Daten ihrer Kunden schützen
Cybercrime ist mittlerweile zu einer echten Bedrohung geworden, und zwar sowohl für Unternehmen als auch Privatpersonen. Während man aber als Privatperson nur für seine eigenen Daten verantwortlich ist, tragen Unternehmen auch noch Sorge für die persönlichen Informationen ihrer Kunden.
Cyber-Kriminalität wird, laut Experten, auch in den nächsten Jahren noch weiter anwachsen. Eine Statistik der CSO sagt voraus, dass im Jahr 2021 durch Cybercrime ein Schaden von sechs Trillionen Dollar entstehen wird. Das bedeutet, dass auch die Unternehmen immer mehr Geld in Schutzmaßnahmen stecken müssen.
Große Unternehmen werden, im Gegensatz zu den kleinen, meist die finanziellen Mittel aufbringen können, um in teure Sicherheitslösungen zu investieren. Aber wie kann man als Besitzer eines kleinen Unternehmens die Daten seiner Kunden verlässlich schützen?
Verwendung einer E-Mail-Verschlüsselungssoftware
Eine Verschlüsselungssoftware für E-Mails ist deshalb so wichtig, weil damit sichergestellt werden kann, dass die versendeten Nachrichten auch tatsächlich nur von dem gelesen werden kann, der auch als Empfänger vorgesehen ist. Viele Experten sind sich mittlerweile einig, dass es Hackern häufig nicht nur um die Kundendaten geht, sondern auch um Informationen, die wichtig für den Wachstum und den Erfolg eines Unternehmens sind. Deshalb muss auch deren Sicherheit priorisiert werden.
Moderne Programme zur Verschlüsselung von E-Mails funktionieren unkompliziert und können in die meisten gängigen E-Mail-Plattformen integriert werden. Auch Kreditinstitute, Krankenkassen, Krankenhäuser und viele weitere nutzen die E-Mail-Verschlüsselung.
Am besten sollte man sich für einen Dienst entscheiden, der auch verdächtige E-Mails erkennt und abfängt, so dass sie gar nicht erst im Posteingang landen. So sinkt das Risiko, dass Mitarbeiter etwas öffnen, das möglicherweise Schadsoftware enthält.
Auch die Nutzung eines VPN macht Sinn, denn damit lassen sich nicht nur E-Mails, sondern alle Daten verschlüsseln, wobei man als Nutzer auch noch anonym bleibt.
Erstellung von Sicherheitsrichtlinien und Durchführung von Due Diligence Prüfungen
Beim Thema Datenschutz ist es nicht damit getan, einfach nur die verfügbaren Software-Lösungen zu nutzen. Unternehmen müssen lernen, den Wert ihrer Daten besser einzuschätzen und dann ihre Corporate-Governance-Struktur stärken, um sicheren und konsistenten Schutz für ihre Systeme, Mitarbeiter und Partner zu bieten. Kritische Zugriffspunkte können zum Beispiel nur dann gesichert werden, wenn auch der genutzte Cloud-Anbieter regelmäßig Bewertungen durchführt und alle Sicherheitsstandards erfüllt.
Auch wenn in einem Unternehmen nur wenige Mitarbeiter beschäftigt werden, macht es Sinn, eine formelle Sicherheitsrichtlinie zu erstellen, damit alle über den richtigen Umgang mit Unternehmensdaten im Bilde sind.
Mit den Unternehmen, in denen Daten gespeichert werden, sollte außerdem eine „Due Diligence“, also eine Prüfung in Bezug auf die Sorgfalt, durchgeführt werden. Man sollte nicht einfach davon ausgehen, dass zum Beispiel die Cloud-Anbieter schon alles tun werden, um die Daten zu schützen, sondern auch hinterfragen, wie sie das tun.
Erstellung von Back-ups
Falls bisher noch keine Sicherung von gespeicherten Daten in einem Cloud-Speicher erfolgt ist, dann wird es höchste Zeit dies nachzuholen. Man stelle sich nur einmal vor, ein PC oder ein Server wird von Hackern angegriffen, dann ist es sehr wahrscheinlich, dass Daten kompromittiert wurden. Damit das Gerät wieder sicher ist, ist es meist nötig, Neuinstallationen von Systemen vorzunehmen. Wichtige Daten, die also nirgendwo gesichert sind, sind dann oft unwiederbringlich verloren.
Im günstigsten Fall sollten die Daten auch noch auf ein bis zwei physischen Speichermedien gesichert werden. So kann man Ransomware-Erpressern, die mit Lösegeldforderungen kommen, eine klare Absage erteilen. Das Speichermedium sollte aber immer vom PC getrennt werden, nachdem die Daten gespeichert wurden, damit es am Ende nicht selbst von einem Angriff betroffen ist.
Regelmäßige Aktualisierung aller Programme durchführen
Die meisten von uns haben es schon einmal getan: Der PC oder das Smartphone zeigt an, dass ein Update verfügbar ist und wir ignorieren die Meldung, weil wir im Moment einfach keine Lust oder keine Zeit haben, uns damit zu beschäftigen. Dabei sollte man sich eins vor Augen führen: an diesen veralteten Versionen haben Hacker schon gründlich ihre Fähigkeiten getestet und vielleicht schon die ein oder anderen Sicherheitslücke gefunden.
Aktualisierungen von Systemen und Programmen sollten also immer zeitnah durchgeführt werden und auch der Neustart des Systems sollte gleich danach erfolgen.
Aufklärung der Mitarbeiter über mögliche Gefahren
Die besten und ausgefeiltesten Sicherheitslösungen sind nichts wert, wenn die Mitarbeiter eines Teams zu sorglos mit möglichen Bedrohungen umgehen. „Social Engineering“ ist hier das Zauberwort für viele Hacker. Es bedeutet, dass unternehmensrelevante Daten durch die Ausnutzung menschlicher Komponenten in Erfahrung gebracht werden.
Auch wenn also die E-Mail im Postfach haargenau so aussieht, wie die des Kreditinstituts, sollte man dort nicht einfach irgendwelche Links anklicken, Anhänge öffnen oder private Daten eingeben. Phishing-Mails sind oft kaum von ihren Originalen zu unterscheiden, haben aber nur den Zweck Daten auszuspionieren.
Es ist also wichtig, den Sinn solcher E-Mails immer genauestens zu hinterfragen und sich im Zweifelsfall lieber direkt mit dem angeblichen Absender der E-Mail in Verbindung zu setzen.
Tipp: Lesen Sie ergänzend unseren Beiträge Zutrittskontrolle, Cloud-Computing, Schlüsselmanagement
