Laut einer Studie des Digitalverbands Bitkom¹ waren bereits im Jahr 2021 knapp 90 % der Unternehmen von Datendiebstahl, Industriespionage oder Sabotage betroffen. Zudem häufen sich Meldungen über Hackerangriffe bei Unternehmen und Behörden. Cybersicherheit ist daher nach wie vor eines der wichtigsten Themen, um sensible Unternehmens- und Kund:innendaten zu schützen. Wir zeigen Ihnen hier, wie Sie Ihr Unternehmen vor digitalen Angriffen schützen.

Was bedeutet Cybersicherheit und welche Bedeutung hat sie für den Datenschutz?

Cybersecurity, auch IT-Sicherheit oder Datensicherheit, ist das elektronische Sicherheitsschloss mit virtuellem Türsteher jedes Unternehmens. Ähnlich wie Ihre Büroräume sollten Sie auch Ihr digitales System vor unerlaubten Zugriffen auf elektronische Daten und Dienste schützen. Es sollte Teil Ihres gesamten unternehmerischen Risikomanagements sein — auf einer Ebene mit der Brandschutz- und Notfallplanung.

Cybersecurity und Datenschutz gehen Hand in Hand

Insbesondere Kund:innendaten sind ein beliebtes Diebesgut, da diese an Mitbewerber:innen verkauft werden können. Die persönlichen Informationen sind beispielsweise in der Marketingbranche gefragt, da sich mit ihnen Werbemaßnahmen effizienter ausspielen lassen. Nicht nur durch die Datenschutz-Grundverordnung (DSGVO) wird dem Schutz von Kund:innendaten ein besonderer Wert beigemessen. Wenn sich Unternehmen nicht an Sicherheitsstandards halten, drohen Regressansprüche, also Forderungen der Geschädigten an das Unternehmen, etwa bei einer Datenpanne. Die daraus resultierenden finanziellen Schäden und Betriebsausfälle sind erheblich.

Cybersecurity und Datenschutz gehen daher Hand in Hand und sind für jedes Unternehmen essenziell. Das Bundesfinanzministerium bestimmte 2019 die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD). Laut Punkt 7 müssen Sie als Steuerpflichtige:r Ihr Datenverarbeitungssystem gegen Verlust (z. B. Unauffindbarkeit, Vernichtung, Untergang und Diebstahl) sichern und gegen unberechtigte Eingaben und Veränderungen (z. B. durch Zugangs- und Zugriffskontrollen) schützen. Andernfalls ist Ihre Buchhaltung formell nicht mehr ordnungsgemäß. Cybersecurity und Datenschutz sind somit auch Pflicht für eine ordnungsgemäße Buchhaltung.

Irrglaube: Datenschutz ist reine Sache der IT

Datenschutz ist jedoch nicht bloße Pflicht, sondern auch eine Kür für innovative Unternehmen. Von der IT-Abteilung über den Kund:innenservice bis zum Marketing – jede dieser Abteilungen hat Schnittstellen zum Thema Datenschutz. Für Ihre Team-Kolleg:innen bedeutet Datenschutz nur stumpfe Dokumentationspflichten? Weit gefehlt! Beim Datenschutz achten Sie Menschenrechte und schaffen Vertrauen, sowohl intern als auch extern. Datenschutz ist das Fundament innovativer Unternehmen.

Empfindliche Daten der Kund:innen zu schützen, schafft zudem wertvolles Vertrauen in das Unternehmen und ermöglicht es diesem, sich spielerisch leicht Wettbewerbsvorteile zu schaffen. Wenn Sie in puncto Datenschutz mit gutem Beispiel vorangehen, machen Sie Eindruck und haben obendrein die besten Karten für erfolgreiche Partnerschaften.

Gerade im Marketing gehört das Jonglieren mit Kund:innendaten zum Tagesgeschäft, um Service oder Produkte sowie die Kommunikation zu optimieren. Früher oder später ergibt sich dabei die Sinnfrage: Warum sollten Kund:innen Ihnen persönliche Daten geben? Professionelle Aufklärung sorgt hier für Klarheit, vergrößert nicht nur das Vertrauen, sondern auch die Bereitschaft der Nutzer:innen, ihre Daten preiszugeben.

Je effizienter Sie Ihre Workflows managen, desto nachhaltiger und sicherer wird Ihr Datenschutz gelingen. Beziehen Sie dabei alle betroffenen Teams im Unternehmen sowie externe Partner:innen konsequent ein. Im Optimalfall machen Sie das mithilfe eines übersichtlichen Datenschutzmanagement-Systems (DSMS). Ein DSMS behandelt das Rahmenwerk für den Umgang mit datenschutzrechtlichen Aspekten im Unternehmen. Mit passenden technischen und organisatorischen Maßnahmen (TOM) gewährleisten Sie den Schutz von personenbezogenen Daten und schützen somit die Interessen aller Beteiligten.

Die wichtigsten Standards und Tools im Bereich Cybersecurity

Doch wie können Sie Ihre Daten mithilfe von Cybersecurity schützen? „Wir installieren eine Firewall und fertig“, klingt eher nach einer Unterhaltung Ihrer Messenger-Familiengruppe. Sie können sich denken, dass es damit noch nicht getan ist. Um sich ausreichend vor Hackern zu schützen, sollten Sie mögliche Risiken aktiv und ganzheitlich managen. Und ja: Dazu müssen IT-Security und Datenschutz eng zusammenarbeiten. Es geht darum, Risiken zu identifizieren und entsprechende Maßnahmen einzuleiten – und zwar langfristig. Cybersecurity und Datenschutz laufen im Optimalfall wie zwei perfekt gekoppelte Zahnräder ineinander. Nur so gewährleisten sie Sicherheit und Stabilität.

Eine diesbezüglich hervorragende Orientierung bietet das Open Web Application Security Project (OWASP). Das Non-Profit-Projekt definiert einmal jährlich die zehn wichtigsten Sicherheitsrisiken für Web Applikationen, die auch für Datenschutzverantwortliche relevant sind. Mit den OWASP Top 10 haben Sie als IT-Verantwortliche:r einen aktuellen Überblick darüber, welche Sicherheitsbedrohungen, Schutzbereiche und Maßnahmen Sie besonders auf dem Schirm haben sollten:

Die OWASP Top 10 für 2021

  1. Broken Access Control (fehlende oder fehlerhafte Zugriffskontrolle)
  2. Cryptographic Failures (veraltete oder fehlende Verschlüsselung, z. B. beim Passworthashing)
  3. Injection (Sicherheitslücken in Datenbanksystemen, z. B. SQL-Injections oder Cross-Site-Scripting)
  4. Insecure Design (Sicherheitsaspekte, die bereits bei der Entwicklung von Applikationen auftreten, z. B. wenn im Design-Prozess auf Analysemethoden wie das Threat Modeling verzichtet wird)
  5. Security Misconfiguration (Sicherheitsrisiken durch fehlerhafte Einstellungen oder überflüssige Features, z. B. aufgrund von in Konfigurationsdateien gespeicherten Passwörtern oder fehlenden Cookie-Flags)
  6. Vulnerable and Outdated Components (Fehler durch den Einsatz von anfälligen oder veralteten Infrastrukturen und Programmversionen)
  7. Identification and Authentication Failures (Sicherheitsrisiken durch Schwachstellen in Identifikations- bzw. Authentifizierungsprozessen, z. B. bei schwachen Passwort-Vergessen-Prozessen oder einer fehlenden Multi-Faktor-Authentifizierung)
  8. Software and Data Integrity Failures (Bedrohungen, die durch Integritätsverletzungen entstehen, z. B. aufgrund von schadhaften Updates oder der versehentlichen Nutzung nicht vertrauenswürdiger Web-Anwendungen, etwa externer Bibliotheken)
  9. Security Logging and Monitoring Failures (Risiken durch eine unzureichende Protokollierung, Erkennung und Überwachung von IT-Aktivitäten, z. B. durch eine ausbleibende, regelmäßige Prüfung von Log-Dateien)
  10. Server-Side Request Forgery (SSRF) (externe provozierte Serveranfragen auf Datenbanken oder andere interne Systeme, z. B. über Schwachstellen bei WebHooks oder XML-Parser)

Beherzigen Sie auf alle Fälle die Tipps und Präventionshinweise auf der OWASP-Website. Außerdem sollten Sie zu ausgewählten Punkten regelmäßig die Mitarbeiter:innen in Ihrem Unternehmen schulen. Dazu gehört die Aufforderung, sichere Passwörter zu nutzen und kritische E-Mails vorzustellen, am besten im Rahmen einer regelmäßigen und aktuellen Sicherheitsschulung. Für das IT-Team gilt, Systeme regelmäßig zu aktualisieren sowie Backups und Sicherheitskopien offline zu speichern.