CyberInsights
Der Blog rund um
Ihre Datensicherheit

Datenleck: So schützen Sie sich und Ihr Unternehmen vor Datenklau

DGC Cyberinsights Blog - Datenlecks

Datenlecks, auch bekannt als Datenpannen, stellen ein großes Problem für die IT-Sicherheit von Unternehmen dar. Von sinkenden Umsätzen über Imageverluste bis zu wirtschaftlichen Folgen wie Bußgeldern und Gerichtsverfahren tragen Unternehmen nicht selten gravierende Schäden davon. Fakt ist jedoch: Immer wieder gelangen Nutzerdaten unfreiwillig ins Netz, weil sensible Informationen nicht ausreichend geschützt werden. Erfahren Sie hier, mit welchen Maßnahmen Sie Ihre Daten und Systeme zuverlässig gegen Datenlecks absichern können.

Datenleck– Ein lukratives Geschäft für Hacker

Der Handel mit personenbezogenen Daten ist seit Jahren ein lukratives Geschäft für Cyberkriminelle, das sich im Zuge der Digitalisierung stetig weiterentwickelt. Möglich wird dies durch unbeabsichtigte oder vorsätzlich herbeigeführte Datenlecks, bei denen vertrauliche Informationen offengelegt und somit zugänglich für unbefugte Dritte werden. Als Ursache können Hacker-Angriffe von außen, aber auch interne Softwarefehler in Frage kommen. Meist werden über Datenlecks sensible Kundendaten wie Benutzernamen und Passwörter abgegriffen, oder Kreditkartendaten und Transaktionsvorgänge werden ausspioniert. Insbesondere Unternehmen, die mit großen Datenmengen arbeiten, sind immer wieder von Datenlecks betroffen. Ein Beispiel: Die Tagesschau berichtete im April 2021, dass durch ein Datenleck die Daten von 533 Millionen Facebook-Nutzern ins Netz geraten sind, darunter Nutzernamen, Geburtsdaten, E-Mail-Adressen, Telefonnummern und Angaben über den Beziehungsstatus. Durch den Datenklau könnten Hacker diese Informationen nutzen, um zum Beispiel Identitätsdiebstahl oder anderweitige Vergehen anzustoßen.

Datenlecks kosten Unternehmen viel Zeit und Geld

Für Unternehmen können Datenlecks folgenschwer ausfallen. Nicht nur hohe Kosten und ein hoher Aufwand zur Behebung der Sicherheitslücke sind notwendig, oft kämpfen Unternehmen einhergehend auch mit einem Vertrauensverlust seitens der Kunden und Partner – schließlich wurden ihnen anvertraute Informationen nicht ausreichend geschützt. Um es erst gar nicht so weit kommen zu lassen, sollten sich Unternehmen frühzeitig mit dem Thema Cybersicherheit auseinandersetzen und Vorkehrungen treffen, um die IT-Sicherheit zu optimieren – am besten in Zusammenarbeit mit einem spezialisierten Dienstleister wie der Deutschen Gesellschaft für Cybersicherheit (DGC).

So finden Sie Datenlecks in Ihrem Unternehmen

Datenlecks in der IT-Landschaft von Unternehmen ausfindig zu machen, gestaltet sich oft schwierig. 2020 wurde von der DGC mit dem Tool cyberscan.io® eines der größten Datenlecks Deutschlands aufgedeckt. Das Tool nutzt Schwachstellen-Scans, um Systeme gezielt nach Sicherheitslücken und Datenpannen zu überprüfen, damit diese schnell von den Unternehmen geschlossen werden können. Die Kategorisierung von Schwachstellen unterstützt außerdem dabei, einen Überblick über die Bereiche zu erhalten, in denen es potenziell zu weiteren Datenpannen und Schwachstellen kommen kann. Auf diese Weise lassen sich zeitnah Maßnahmen ableiten, um die Informationssicherheit zu erhöhen und das Risiko für die Entstehung von Datenlecks zu reduzieren.

Die Entstehung von Datenlecks unterscheidet sich zwischen:

  • Menschlichem Fehlverhalten, beispielweise durch den Verlust von Geräten wie dem Arbeitshandy oder dem versehentlichen Versenden von E-Mails an unbefugte Empfänger, sowie
  • Cyberkriminalität, also bewussten strategischen Angriffen durch Hacker, um an sensible Daten von Unternehmen zu gelangen.

Top 5 Maßnahmen, die Sie und Ihr Unternehmen vor Datendiebstahl schützen

Mit diesen Maßnahmen erschweren Sie Kriminellen den Datenklau:

1. Sensibilität für Datensicherheit schaffen

Mitarbeiter sollten durchgehend von der Unternehmensführung vermittelt bekommen, wie der Umgang mit sensiblen Daten zu handhaben ist. So reduziert sich unsicheres Verhalten, das zu Datenlecks führen kann, etwa beim Erhalt einer E-Mail von unbekannten Absendern. Ebenfalls ein wichtiger Punkt ist die Erstellung und der Gebrauch sicherer Passwörter und deren Eingabe in möglichst sicheren Netzwerken. Um das Sicherheitsverständnis zu festigen, bieten sich gezielte Security Awareness Trainings an, mit denen Unternehmen für den Ernstfall vorsorgen können.

2. Datenkategorisierung und Zugriffsrechte

Eine essenzielle Maßnahme im Umgang mit unternehmensinternen Daten ist die Kategorisierung und die einheitliche Verwaltung der Zugriffsrechte. Daten können beispielsweise nach Art der Geschäftsfunktion, dem Grad der Geheimhaltungsstufe, dem jeweiligen übergeordnetem Thema und dem Archivierungstyp kategorisiert werden. Je nach Vertraulichkeitsgrad der Kategorie lassen sich die Zugriffsrechte individuell anpassen. Der Schutz kann zusätzlich ausgeweitet werden, wenn bei der Anmeldung eine Multi-Faktor-Authentifizierung zum Einsatz kommt und die Login-Daten in Übereinstimmung mit der dazugehörigen Person ins System eingegeben werden.

3. Sichere Datenübertragung

Die korrekte Sicherung von Daten ist ein weiterer wichtiger Punkt, wenn es um die Vermeidung von Datenlecks und Datenpannen geht. Es ist ratsam, Daten in kurzen Intervallen auf externen Datenträgern oder in einer Cloud zu speichern. Bei der Übertragung ist eine zuverlässige Verschlüsselungstechnologie unabdingbar, damit auf dem Weg zum vorgesehenen Speicherort keine unerwünschten Zugriffe oder Datenverluste entstehen. Darüber hinaus können Passwort-Abfragen das Sicherheitsniveau unterstützen, ebenso wie die Installation von Virenscannern und die regelmäßige Durchführung von Software- und Systemupdates.

4. Entwicklung eines umfassenden Sicherheitskonzepts

Es gibt keine Standardantwort auf die Frage, wie ein umfassendes IT-Sicherheitskonzept aussieht, da dieses auf die individuellen Rahmenbedingungen und Anforderungen des Unternehmens abgestimmt sein sollte. Dazu zählen etwa die Branche und die Daten, die im Betriebsalltag erhoben und benötigt werden. Um den individuellen Anforderungen nachzukommen und wirklich benötigte Sicherheitsmaßnahmen entlang der gesamten Wertschöpfungskette eines Unternehmens zu etablieren, entwickelt die DGC im Rahmen von Cyber Security Partnerschaften maßgeschneiderte Sicherheitspakete.

5. Aktionsplan im Falle einer Bedrohung bereithalten

Ob durch einen gezielten Hackerangriff, durch Fehlverhalten der Mitarbeiter oder aufgrund unzureichender Sicherheitsvorkehrungen: Für den Ernstfall sollten Unternehmen einen Aktionsplan bereithalten. Über das Cyber Defense Operation Center (CDOC) der DGC erhalten Unternehmen umfassende Unterstützung durch erfahrene Experten. Ein kontinuierliches Monitoring hilft, Schwachstellen und Sicherheitslücken frühzeitig auszumachen und zu beheben, während mit Penetrationstests die Belastbarkeit der Systeme geprüft und angepasst werden kann. Auch bei rechtlichen Fragen leistet die DGC Hilfe: Muss der Vorfall gemeldet werden? Wer ist betroffen? Lässt sich der Schaden eingrenzen oder beheben?

Datenklau im Netz melden: Das müssen Sie wissen

Die in Deutschland geltende Datenschutz-Grundverordnung (DSGVO) verlangt bei Auftreten und Erkennen eines Datenlecks eine Meldung an die zuständige Datenschutzaufsichtsbehörde. Das gilt nicht nur für Hacker-Angriffe, sondern auch für selbstverschuldete Datenpannen. Unternehmen sind verpflichtet, spätestens 72 Stunden nach Bekanntwerden des Fehlers oder Angriffs Meldung zu machen. Bei Nichteinhaltung der Frist ist mit hohen Geldstrafen zu rechnen, die insbesondere bei kleineren Unternehmen zu empfindlichen Auswirkungen führen können. Folgende Informationen müssen an die jeweils zuständige Aufsichtsbehörde übermittelt werden:

  • Art der Verletzung und die ungefähre Anzahl der Betroffenen
  • Name und Kontakt des Datenschutzbeauftragten
  • Beschreibung der wahrscheinlichen und anzunehmenden Folgen
  • Protokoll der ergriffenen Maßnahmen zur Behebung bzw. Einschränkung des Vorfalls

Da die Veröffentlichung und der Missbrauch von personenbezogenen Daten die Freiheiten und Rechte von Betroffenen einschränken kann, ist das Risiko von Datenlecks absolut ernst zu nehmen. Unternehmen sollten Betroffene deshalb umgehend informieren oder eine öffentliche Meldung herausgeben, welche Kunden oder Personen von der Datenpanne betroffen sein könnten. Außerdem ist es für Unternehmen ratsam sich im Vorhinein ausführlich mit den möglichen Maßnahmen zum Schutz vor Datendiebstahl auseinanderzusetzen.

Fazit

Datenlecks und die Offenlegung personenbezogener Daten können das Vertrauen in ein Unternehmen dauerhaft schädigen und in der Folge die Wettbewerbsfähigkeit beeinträchtigen. Auch sorgen gesetzliche Verordnungen wie die DSGVO dafür, dass Unternehmen die Datensicherheit stets im Blick behalten müssen. Daraus resultieren anspruchsvolle Aufgaben für die IT-Sicherheit, die sich in Zusammenarbeit mit erfahrenen Experten zuverlässig bewältigen lassen. 

Erfahren Sie mehr über unsere 360-Grad-Sicherheitskonzepte für Ihre Cybersicherheit und lassen Sie sich von uns beraten.

Folgen Sie uns auf