Das Power-Team gegen Hacker und Co: Cybersecurity und Datenschutz im Unternehmen

von Dennis Kurpierz, Co-Founder & COO
29. April 2022
8 Minuten
Laut einer Studie des Digitalverbands Bitkom¹ waren bereits im Jahr 2021 knapp 90 % der Unternehmen von Datendiebstahl, Industriespionage oder Sabotage betroffen. Zudem häufen sich Meldungen über Hackerangriffe bei Unternehmen und Behörden. Cybersicherheit ist daher nach wie vor eines der wichtigsten Themen, um sensible Daten zu schützen. Wir zeigen Ihnen hier, wie Sie Ihr Unternehmen vor digitalen Angriffen schützen.

Was bedeutet Cybersicherheit und welche Bedeutung hat sie für den Datenschutz?

Cybersecurity, auch IT-Sicherheit oder Datensicherheit, ist das elektronische Sicherheitsschloss mit virtuellem Türsteher jedes Unternehmens.

Ähnlich wie Ihre Büroräume sollten Sie auch Ihr digitales System vor unerlaubten Zugriffen auf elektronische Daten und Dienste schützen. Es sollte Teil Ihres gesamten unternehmerischen Risikomanagements sein — auf einer Ebene mit der Brandschutz- und Notfallplanung.

Insbesondere Kund:innendaten sind ein beliebtes Diebesgut, da diese an Mitbewerber:innen verkauft werden können. Die persönlichen Informationen sind beispielsweise in der Marketingbranche gefragt, da sich mit ihnen Werbemaßnahmen effizienter ausspielen lassen.

Nicht nur durch die Datenschutz-Grundverordnung (DSGVO) wird dem Schutz von Kund:innendaten ein besonderer Wert beigemessen. Wenn sich Unternehmen nicht an Sicherheitsstandards halten, drohen Regressansprüche, also Forderungen der Geschädigten an das Unternehmen, etwa bei einer Datenpanne. Die daraus resultierenden finanziellen Schäden und Betriebsausfälle sind erheblich.

Cybersecurity und Datenschutz gehen daher Hand in Hand und sind für jedes Unternehmen essenziell. Das Bundesfinanzministerium bestimmte 2019 die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD).

Laut Punkt 7 müssen Sie als Steuerpflichtige:r Ihr Datenverarbeitungssystem gegen Verlust (z. B. Unauffindbarkeit, Vernichtung, Untergang und Diebstahl) sichern und gegen unberechtigte Eingaben und Veränderungen (z. B. durch Zugangs- und Zugriffskontrollen) schützen. Andernfalls ist Ihre Buchhaltung formell nicht mehr ordnungsgemäß. Cybersecurity und Datenschutz sind somit auch Pflicht für eine ordnungsgemäße Buchhaltung.

Irrglaube: Datenschutz ist reine Sache der IT

Datenschutz ist jedoch nicht bloße Pflicht, sondern auch eine Kür für innovative Unternehmen. Von der IT-Abteilung über den Kund:innenservice bis zum Marketing – jede dieser Abteilungen hat Schnittstellen zum Thema Datenschutz. Für Ihre Team-Kolleg:innen bedeutet Datenschutz nur stumpfe Dokumentationspflichten? Weit gefehlt! Beim Datenschutz achten Sie Menschenrechte und schaffen Vertrauen, sowohl intern als auch extern. Datenschutz ist das Fundament innovativer Unternehmen.

Empfindliche Daten der Kund:innen zu schützen, schafft zudem wertvolles Vertrauen in das Unternehmen und ermöglicht es diesem, sich spielerisch leicht Wettbewerbsvorteile zu schaffen. Wenn Sie in puncto Datenschutz mit gutem Beispiel vorangehen, machen Sie Eindruck und haben obendrein die besten Karten für erfolgreiche Partnerschaften.

Gerade im Marketing gehört das Jonglieren mit Kund:innendaten zum Tagesgeschäft, um Service oder Produkte sowie die Kommunikation zu optimieren. Früher oder später ergibt sich dabei die Sinnfrage: Warum sollten Kund:innen Ihnen persönliche Daten geben? Professionelle Aufklärung sorgt hier für Klarheit, vergrößert nicht nur das Vertrauen, sondern auch die Bereitschaft der Nutzer:innen, ihre Daten preiszugeben.

Je effizienter Sie Ihre Workflows managen, desto nachhaltiger und sicherer wird Ihr Datenschutz gelingen. Beziehen Sie dabei alle betroffenen Teams im Unternehmen sowie externe Partner:innen konsequent ein.

Im Optimalfall machen Sie das mithilfe eines übersichtlichen Datenschutzmanagement-Systems (DSMS). Ein DSMS behandelt das Rahmenwerk für den Umgang mit datenschutzrechtlichen Aspekten im Unternehmen. Mit passenden technischen und organisatorischen Maßnahmen (TOM) gewährleisten Sie den Schutz von personenbezogenen Daten und schützen somit die Interessen aller Beteiligten.

Die wichtigsten Standards und Tools im Bereich Cybersecurity

Doch wie können Sie Ihre Daten mithilfe von Cybersecurity schützen? „Wir installieren eine Firewall und fertig“, klingt eher nach einer Unterhaltung Ihrer Messenger-Familiengruppe. Sie können sich denken, dass es damit noch nicht getan ist.

Um sich ausreichend vor Hackern zu schützen, sollten Sie mögliche Risiken aktiv und ganzheitlich managen. Und ja: Dazu müssen IT-Security und Datenschutz eng zusammenarbeiten.

Es geht darum, Risiken zu identifizieren und entsprechende Maßnahmen einzuleiten – und zwar langfristig. Cybersecurity und Datenschutz laufen im Optimalfall wie zwei perfekt gekoppelte Zahnräder ineinander. Nur so gewährleisten sie Sicherheit und Stabilität.

Eine diesbezüglich hervorragende Orientierung bietet das Open Web Application Security Project (OWASP). Das Non-Profit-Projekt definiert einmal jährlich die zehn wichtigsten Sicherheitsrisiken für Web Applikationen, die auch für Datenschutzverantwortliche relevant sind.

Mit den OWASP Top 10 haben Sie als IT-Verantwortliche:r einen aktuellen Überblick darüber, welche Sicherheitsbedrohungen, Schutzbereiche und Maßnahmen Sie besonders auf dem Schirm haben sollten:

Die OWASP Top 10 für 2021

1.

Broken Access Control (fehlende oder fehlerhafte Zugriffskontrolle)

2.

Cryptographic Failures (veraltete oder fehlende Verschlüsselung, z. B. beim Passworthashing)

3.

Injection (Sicherheitslücken in Datenbanksystemen, z. B. SQL-Injections oder Cross-Site-Scripting)

4.

Insecure Design (Sicherheitsaspekte, die bereits bei der Entwicklung von Applikationen auftreten, z. B. wenn im Design-Prozess auf Analysemethoden wie das Threat Modeling verzichtet wird)

5.

Security Misconfiguration (Sicherheitsrisiken durch fehlerhafte Einstellungen oder überflüssige Features, z. B. aufgrund von in Konfigurationsdateien gespeicherten Passwörtern oder fehlenden Cookie-Flags)

6.

Vulnerable and Outdated Components (Fehler durch den Einsatz von anfälligen oder veralteten Infrastrukturen und Programmversionen)

7.

Identification and Authentication Failures (Sicherheitsrisiken durch Schwachstellen in Identifikations- bzw. Authentifizierungsprozessen, z. B. bei schwachen Passwort-Vergessen-Prozessen oder einer fehlenden Multi-Faktor-Authentifizierung)

8.

Software and Data Integrity Failures (Bedrohungen, die durch Integritätsverletzungen entstehen, z. B. aufgrund von schadhaften Updates oder der versehentlichen Nutzung nicht vertrauenswürdiger Web-Anwendungen, etwa externer Bibliotheken)

9.

Security Logaging and Monitoring Failures (Risiken durch eine unzureichende Protokollierung, Erkennung und Überwachung von IT-Aktivitäten, z. B. durch eine ausbleibende, regelmäßige Prüfung von Log-Dateien)

10.

Server-Side Request Forgery (SSRF) (externe provozierte Serveranfragen auf Datenbanken oder andere interne Systeme, z. B. über Schwachstellen bei WebHooks oder XML-Parser)

Beherzigen Sie auf alle Fälle die Tipps und Präventionshinweise auf der OWASP-Website. Außerdem sollten Sie zu ausgewählten Punkten regelmäßig die Mitarbeiter:innen in Ihrem Unternehmen schulen.

Dazu gehört die Aufforderung, sichere Passwörter zu nutzen und kritische E-Mails vorzustellen, am besten im Rahmen einer regelmäßigen und aktuellen Sicherheitsschulung. Für das IT-Team gilt, Systeme regelmäßig zu aktualisieren sowie Backups und Sicherheitskopien offline zu speichern.

Quellen und weiterführende Links:
1) Bitkom Studie 2021: https://www.bitkom.org/sites/default/files/2021-08/bitkom-slides-wirtschaftsschutz-cybercrime-05-08-2021.pdf
Auf dieser Seite
Primary Item (H2)

Über den Autor

Dennis Kurpierz
Co-Founder & COO von caralegal
Dennis Kurpierz ist Mitgründer und Chief Operating Officer von caralegal und kennt durch seine langjährige Erfahrung als Senior Consultant und Lead Project Manager bei der ISiCO Datenschutz GmbH die Kundenbedürfnisse sowie Pain Points und Herausforderungen im Datenschutzmanagement. Als Product Owner setzt er dieses Fachwissen in der Produktentwicklung von caralegal um.
Ihre Anmeldung konnte nicht gespeichert werden. Bitte versuchen Sie es erneut.
Ihre Anmeldung war erfolgreich.
Zum Newsletter
anmelden

Diesen Beitrag teilen

Teilen Sie die interessantesten Neuigkeiten aus der Welt 
des Datenrechts mit FreundInnen und KollegInnen.
linked-in-logo

Ähnliche Beiträge

Entdecke weitere Beiträge zu diesem Thema:
Betroffenenanfragen – der Erfolgsguide
Mehr erfahren
7 SDM-Gewährleistungsziele
Mehr erfahren
Auf einen Blick: Schwellwertanalyse
Mehr erfahren

Dafür fehlt mir
die Zeit caralegal

caralegal live testen
In 2 Tagen startklar
64% Zeitersparnis
20 Jahre Datenschutzerfahrung
We make the legal way the lighter way
Wir glauben, dass Verordnungen dazu da sind, die Welt zu lenken. Nicht sie auszubremsen. Deshalb verändern wir, wie Unternehmen datenrechtliche Anforderungen erfüllen: intuitiv, dank intelligenter Technologie.
Wissen sichern - keine News mehr verpassen
Jetzt Newsletter abonnieren
Zum Newsletter anmelden
Unsere Partner
© 2024 caralegal GmbH
DatenschutzerklärungImpressum