Hände, die ein Smartphone halten, über der Tastatur eines Notebooks, davor stilisierte Symbole für Textdateien und ein virtuelles Vorhängeschloss
Security

Datensicherheit: So schützen Sie digitale Informationen richtig

Cloud-Services, die Erfassung von Nutzungsdaten oder Bestellungen aus dem Online-Shop: Unternehmen arbeiten in ihren täglichen Geschäftsprozessen mit immer mehr Daten. Doch wegen der Gefahr von Cyberangriffen, Naturkatastrophen und Anwendungsfehlern ist die Datensicherheit mitunter schwierig zu gewährleisten. Dazu kommen die gesetzlichen Bestimmungen zum Datenschutz. So manche Unternehmen beschäftigen sich jedoch erst dann intensiv mit Datensicherheit, wenn es zu spät ist: bei fahrlässigem Datenverlust oder als Opfer von Datendiebstahl. Dieser Leichtsinn kann sich rächen: Schon die erste große Datenpanne kann für ein Unternehmen existenzgefährdend sein.

Wenn Daten in falsche Hände gelangt sind, ist es schwierig, den Schaden wiedergutzumachen: Neben dem Ausfall von Geschäfts- und Produktionsprozessen drohen Klagen auf Schadensersatz von Geschädigten, deren Daten kompromittiert wurden. Daneben kommen auf Sie als Verursacher einer Datenpanne rechtliche Konsequenzen durch den Gesetzgeber zu.

Der beste Schutz gegen den Verlust und Diebstahl Ihrer Unternehmensdaten ist ein lückenloses Datensicherheitskonzept. Doch was bedeutet Datensicherheit konkret? Worauf sollten Sie achten und wie sollte ein solches Konzept aussehen, damit es auch in der Praxis funktioniert und künftigen Schaden von Ihrem Unternehmen abwendet?

Inhaltsverzeichnis

Warum ist Datensicherheit wichtig?

Rund neun von zehn Unternehmen sind nach einer Untersuchung des Branchenverbands Bitkom in den Jahren 2022 und 2023 Opfer von Cyberkriminalität geworden – viele davon hatten unter erpresserischem Datendiebstahl zu leiden. Dies betraf unter anderem global agierende Technikhersteller wie Canon und Garmin, aber auch immer mehr kleinere Firmen. Selbst Freelancer:innen können Opfer von sogenannter Ransomware werden.
Dabei verschlüsseln Kriminelle die Computer und andere IT-Systeme von Unternehmen und geben diese erst nach der Zahlung eines Lösegelds wieder frei. Bereits diese Zahlungen können Firmen oder Einzelunternehmer:innen vor große Probleme stellen, da der Geschäftsbetrieb durch die Sperrung der Daten eingeschränkt bis nicht mehr möglich ist. Hinzu kommen jedoch oft noch weit höhere Kosten, zum Beispiel wenn Daten kompromittiert wurden, etwa weil personenbezogene Daten oder Betriebsgeheimnisse in Umlauf geraten.
Allein die Gerichtskosten und Bußgelder durch entsprechende Klagen wegen Verstößen gegen den Datenschutz können in die Millionen gehen. Dazu kommen Imageschäden, der Verlust von Bestandsaufträgen und -kund:innen sowie weitere Nachteile am Markt. Viele Unternehmen, die von einer derartigen schweren Cyberattacke betroffen sind, müssen in der Folge ihren Betrieb einstellen.
Junger Mann studiert das Vodafone Cyber Security Whitepaper am Laptop

Whitepaper: Cyber Security

Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:

  • Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
  • Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
  • Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen

Was ist Datensicherheit?

Der Begriff Datensicherheit beschreibt ein Teilziel guter Unternehmensführung, nämlich den Schutz und Erhalt aller im Unternehmen erzeugten und verwahrten Daten. Dabei ist unter Schutz die Absicherung gegen Datendiebstahl und Verlust sowie gegen die Manipulation vorhandener Daten zu verstehen. Außerdem meint Datensicherheit alle organisatorischen und technischen Maßnahmen, die der Datensicherheit dienen.
Einen hundertprozentigen Datenschutz kann es hierbei naturgemäß nicht geben. Cyberattacken können auch bei hohen Sicherheitsmaßnahmen wie etwa modernen Verschlüsselungsverfahren erfolgreich sein. Auch haben Betriebssysteme, Anwendungen und Netze aufgrund ihrer Komplexität immer Schwächen und Lücken. Früher oder später nutzen Kriminelle diese Schwachstellen aus. Datensicherheit ist also ein fortlaufender Prozess, der bestmögliche Sicherheit anstrebt und sich hierbei in Abhängigkeit von aktuellen Entwicklungen und Erkenntnissen stetig weiterentwickelt.
Im Informationszeitalter hat Datenschutz für nahezu alle Unternehmen große Bedeutung, da immer mehr Geschäftsprozesse auf der Arbeit mit Daten basieren. Indem Unternehmen die Daten richtig einordnen und weiterverarbeiten, gewinnen diese Informationen enorm an Wert. Viele Geschäftsmodelle basieren sogar gänzlich auf Datenverarbeitung: Beispiele dafür sind etwa die Unternehmens- und Prozessberatung bis hin zu Big Data Analytics mittels künstlicher Intelligenz.

Sicherheit von Daten als zentrale Managementaufgabe

Datensicherheit ist aufgrund ihrer erheblichen Relevanz eine zentrale Managementaufgabe. Jedes gute geführte Unternehmen sollte sie auf derselben Ebene ansiedeln wie den allgemeinen Schutz und Erhalt des Firmenvermögens. Dazu zählen neben den rein materiellen Gütern etwa die Zufriedenheit, Arbeitskraft und Qualifikation der Mitarbeiter:innen sowie der allgemeine Zugang zu Energie, Rohstoffen und Absatzmärkten.
Unternehmen generieren heutzutage Daten und Informationen auf allen Ebenen. Aus diesem Grund ist Datensicherheit eine Querschnittsaufgabe, die in allen Unternehmensbereichen und auf allen Ebenen Priorität genießen sollte. Dazu zählt nicht nur, aber in besonderem Maße der Entstehungsort von Daten, wie beispielsweise in Shopsystemen, innerhalb des Produktionsablaufs und in der Buchhaltung. Dort besteht eine große Gefahr für Datenverlust und -diebstahl. Das gilt gerade für Unternehmen, die viele Geräte des Internet of Things in ihre Geschäftsprozesse integrieren, da dort sehr viele Daten erfasst und verarbeitet werden.

Cloud Disaster Recovery als Teil des Datensicherheitskonzepts

Viele Unternehmen lagern ihre IT-Funktionen im Rahmen von Cloud-Lösungen an externe Dienstleister aus. Je nach gewählten Servicemodell stellen die Cloud-Anbieter Rechenleistung, Ressourcen und Speicherplatz zur Verfügung, aber auch Softwarelösungen für die komplette Firma – wie etwa Microsoft 365 Business.
Ebenfalls im Portfolio findet sich hierbei die Cloud Disaster Recovery: Mit diesem Cloud-Service können sich Unternehmen gegen Datenverlust und andere Risiken absichern. Zu einem nachhaltigen Datensicherheitskonzept gehört in diesem Zusammenhang, über die geeignete Back-up-Strategie zu entscheiden und diese Aufgabe entsprechend intern oder extern zu vergeben.
Infografik zu den verschiedenen Replikationsgraden bei DR-Systemen (DRaaS)
Die Unterscheidung zwischen kaltem, warmem und heißem DR ist entscheidend bei der Wahl des Back-up-Systems.

Arten von Datensicherheit

Es gibt unterschiedliche Methoden, um Datensicherheit zu gewährleisten. Zu den wichtigsten zählen:
  • Datenverschlüsselung: Nur entsprechend autorisierte Benutzer:innen sind in der Lage, verschlüsselte Daten im Klartext zu lesen. Greifen Dritte auf verschlüsselte Daten zu, sind sie ohne einen passenden Schlüssel nicht dazu in der Lage, die Daten lesbar zu machen. Dementsprechend zählt zur Datenverschlüsselung auch, Sicherheitsschlüssel und Token zu verwalten.
  • Datenlöschung: Zur Datensicherheit gehört auch, nicht mehr benötigte Daten effektiv zu löschen. Dies gewährleisten professionelle Programme, deren Funktionen über das herkömmliche Löschen hinausgehen, etwa mittels des Betriebssystems. Erst dies gewährleistet, dass Kriminelle gelöschte Daten nicht wiederherstellen können, beispielsweise von entsorgten Festplatten oder USB-Sticks.
  • Datenmaskierung: Bei der Datenmaskierung werden sensible Daten durch nichtsensible oder verfremdete Daten ersetzt. Diese dient vor allem dem Schutz von Daten während der konkreten Arbeit damit, wie zum Beispiel bei der Entwicklung, der Analytik, der Zusammenarbeit mit externen Partnern und der Schulung von Mitarbeiter:innen. Dabei können unterschiedliche Methoden zum Einsatz kommen: die statische Datenmaskierung, die dynamische Datenmaskierung oder die deterministische Datenmaskierung, also die Maskierung eines bestimmten Eingangswerts mit stets demselben Ausgangwert.
  • Datenresilienz: Datenresilienz bezeichnet die Möglichkeit, Daten trotz technischer Ausfälle, Cyberangriffe oder anderer Ereignisse zu erhalten. Darunter fällt vor allem die schnelle Wiederherstellung von Daten, um die Datenverfügbarkeit möglichst lückenlos zu gewährleisten. Dies spielt zum Beispiel bei Cloud-Services eine wichtige Rolle.
Ein junger Mann telefoniert und lächelt

Mobile VPN für sichere Kommunikation mit verschlüsselten Daten

Mit CorporateDataAccess 5.0 vernetzen und schützen Sie mobile Geräte wie Smartphone, Laptop oder Tablet. So stellen Sie auf geschützte Art Daten auf den Servern Ihres Unternehmens bereit.

  • Sicherer Übergang vom Vodafone-Netz in Ihr Firmennetz
  • Mobiles VPN mit allen Mobilgeräten über 2G, 3G, 4G oder 5G
  • Auch im Ausland nutzbar

Risiken bei zu geringer Datensicherheit

Mangelnde Datensicherheit ist eines der größten Geschäftsrisiken für Unternehmen. Die möglichen Folgen von Datenverlust, Datendiebstahl oder Manipulation von Geschäftsdaten sind vielfältig. Einige Risiken sind:
  • Hacker:innen verschlüsseln Unternehmensdaten per Ransomware und fordern Lösegeld für die Freigabe der Daten.
  • Cyberkriminelle nutzen gestohlene Unternehmensdaten, um auf Firmenkonten oder andere Unternehmenswerte Zugriff zu erhalten.
  • Daten aus Entwicklung und Produktion werden gestohlen und an Wettbewerber verkauft.
  • Gestohlene Kunden- und Bankdaten werden im Darknet zum Kauf angeboten.
  • Nach der Sabotage digitaler Zugangssysteme brechen Kriminelle auf dem Betriebsgelände ein.
  • Es gibt Betriebsausfälle durch einen Malware-Befall in zentralen Systemen.
  • Die Produktion steht durch unbemerkte Datenmanipulation still.
  • Mit gestohlenen Daten können Kriminelle Scheingeschäfte abwickeln, beispielsweise über Warenkreditbetrug.
  • Eingeschleuste Spionagesoftware kann mobile Endgeräte des Unternehmens auslesen oder abhören und auf diese Weise wichtige Informationen abfischen.
Hacker:innen kennen viele unterschiedliche Wege, um Unternehmen zu schädigen und Unternehmenswerte zu stehlen. In der Vergangenheit zielten sie vor allem auf große Unternehmen und Institutionen ab. Doch aufgrund höherer Erfolgsaussichten geraten auch zunehmend kleine und mittelständische Firmen in den Fokus von Cyberangriffen. Unternehmen jedweder Größe benötigen daher heute eine Strategie, um Cyberangriffe abzuwehren.
Unkenntlicher Computerhacker tippt auf einem Smartphone

Lookout: Die Sicherheitslösung für mobile Endgeräte

Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.

Installieren Sie einfach die Lookout-App auf allen mobilen Geräten Ihres Unternehmens. Oder integrierten Sie Lookout Advanced in Ihre bestehenden Unified Endpoint Management-Lösungen (UEM) und steuern somit den einfachen Roll-Out in Ihrer mobilen Flotte.

So funktioniert Datensicherheit in Unternehmen

Datensicherheit ist bereits für Einzelnutzer:innen eine anspruchsvolle Herausforderung. Für kleine und mittelständische Unternehmen stellt sie noch einmal eine deutlich komplexere Aufgabe dar. Denn in Unternehmen arbeiten viele Personen und Arbeitsgruppen mit unterschiedlichem Wissen über Datensicherheit, unterschiedlichen Endgeräten und unterschiedlichen Arbeitsinhalten zusammen.
Firmen sind also besonders angreifbar. Sie tauschen in der Regel große Datenmengen mit Kund:innen, Geschäftspartnern und Lieferanten aus und sind auch aus diesem Grund ein interessantes Ziel für Cyberkriminelle. Ein weiterer Grund ist, dass Kriminelle in Unternehmen höhere Kapitalreserven vermuten als bei Privatpersonen.
Das gilt jedoch keineswegs nur für Großunternehmen: Gerade in kleineren Unternehmen finden Kriminelle regelmäßig große Lücken in den Sicherheitsnetzen. Dort fehlt beispielsweise die nötige Kompetenz zum Aufbau von Firewalls; und sogenannte Pentests zum Testen der IT-Sicherheitsarchitektur finden nicht statt. Kurz gesagt: Viele kleine Unternehmen befassen sich zu wenig mit Cyber-Security.
Dabei haben Unternehmen wie bereits ausgeführt eine besondere Fürsorgepflicht gegenüber ihren Kund:innen und Mitarbeiter:innen beziehungsweise deren Daten. Auch der Gesetzgeber macht deshalb für Unternehmen besondere Auflagen zum Datenschutz, die weit über die Vorgaben für Privatanwender:innen hinausgehen – mehr dazu im folgenden Abschnitt.
Aus diesen Gründen ist gewerbliche Datensicherheit eine anspruchsvolle Aufgabe. Sie sollte auf einem professionellen Datenschutzkonzept basieren, das alle Besonderheiten des jeweiligen Unternehmens berücksichtigt. Daher gibt es entsprechende Dienstleister, die Sie dabei unterstützen können, ein solches Konzepts in Ihrer Firma zu erstellen.

Gesetzeslage und rechtliche Pflichten

Datensicherheit dient nicht einfach dem Schutz von Firmendaten, um finanziellem Schaden durch Datenverlust oder -diebstahl abzuwenden. Stattdessen gibt es für Unternehmen klar geregelte gesetzliche Pflichten zum Umgang mit Daten. Diese prägen spätestens seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 das betriebliche Daten- und IT-Management. Die wichtigsten gesetzlichen Regelungen bezüglich der Datensicherheit sind demzufolge:
  • Die europäische Datenschutz-Grundverordnung: Die DSGVO gilt unmittelbar in allen Staaten der EU sowie in den weiteren Staaten des europäischen Wirtschaftsraums (EWR). Sie regelt die Verarbeitung personenbezogener Daten. Weiteres zu den Bestimmungen der DSGVO erfahren Sie bei uns an anderer Stelle im V-Hub.
  • Das deutsche Bundesdatenschutzgesetz: Dieses BDSG abgekürzte Gesetz erweitert die DSGVO im Rahmen einer nationalen Regelung. Es regelt vor allem die Verarbeitung von Beschäftigungsdaten, die Videoüberwachung sowie die Stellung von Datenschutzbeauftragten und weiteren Aufsichtsbehörden.
Aus den Bestimmungen von DSGVO Und BDSG ergeben sich für Unternehmen viele Pflichten, wie sie mit personenbezogenen Daten von natürlichen Personen umzugehen haben. Dies betrifft vor allem die Daten von Mitarbeiter:innen und Kund:innen. Darunter fallen Name, Geburtsdatum, Anschrift, Kontaktdaten, biometrische Daten, Sozialversicherungsnummer und die Bankverbindung, aber auch digitale erhobene Daten wie die Einkaufshistorie in einem Online-Shop und Cookie-Daten.
Dieser vergleichsweise hohe Datenschutzstandard in der EU erfordert neben den Regelungen zur beschränkten Speicherung und Weitergabe auch eine entsprechende Datensicherheit. Ergreifen Unternehmen keine geeigneten technischen und organisatorischen Maßnahmen zum Schutz erhobener Personendaten, drohen ihnen hohe Bußgelder: bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.
Arbeiter mit Helm schaut auf sein Smartphone

Mobiler Virenschutz für Mitarbeiter:innen

Ihre Mitarbeiter:innen nutzen die Firmen-Handys auch privat? Mit unserer netzbasierten Virenschutz-Lösung Secure Net surfen sie sicher im Vodafone-Netz.

  • Ohne Installation, direkt im Netz
  • Schützt von Viren und Pishing
  • Automatisch auf dem neusten Stand

Datenschutz und Datensicherheit: Unterschiede und Zusammenspiel

Die Begriffe Datenschutz und Datensicherheit werden oft gleichgesetzt. Allerdings legen beide Begriffe eine unterschiedliche Definition von Daten zugrunde. Beide stehen zudem für unterschiedliche Ziele im Umgang mit Daten. Das ist auch rechtlich von großer Bedeutung:
Der Datenschutz dient dem Schutz der Bürger:innen und ihrer Daten gegenüber Dritten. Entsprechend umfasst der Datenschutz alle Maßnahmen, die den sicheren und gesetzeskonformen Umgang mit solchen persönlichen Daten im Interesse ihrer Rechteinhaber:innen sicherstellen sollen. Hierzu haben die nationalen und supranationalen Gesetz- und Verordnungsgeber in den vergangenen Jahrzehnten zahlreiche Regelungen erlassen, darunter die DSGVO und das BDSG.
Als Unternehmer:in müssen Sie im Rahmen des Datenschutzes einmal erhobene persönliche Daten nicht nur sorgsam schützen. Sie sind darüber hinaus auch verpflichtet, diese Daten bei einem berechtigten Interesse der Rechteinhaber:innen wieder zu löschen („Recht auf Vergessen“). Dies gilt selbst dann, wenn Ihnen aus der Vergangenheit eine unterschriebene Einwilligungserklärung zur dauerhaften Speicherung vorliegt.
Denn auch eine solche Erklärung können die Rechteinhaber:innen inzwischen nach aktuellem EU-Recht nachträglich widerrufen und die Datenlöschung einfordern. Auf der anderen Seite gibt es im Steuer- und Strafrecht aber auch Vorgaben, wann Sie als Unternehmer:in personenbezogene Daten explizit nicht löschen dürfen. Damit ergeben sich für einzelne Daten in der Praxis sehr unterschiedliche Verwahr- oder Löschfristen, die oft nur in manuellen Prozessen umzusetzen sind.
Nicht alle Ziele der Datensicherheit sind auch Ziele des Datenschutzes. So ist es beispielsweise ein erheblicher Verstoß gegen die Prinzipien der Datensicherheit, regelmäßige Daten-Back-ups zu unterlassen und alle Daten von Mitarbeiter:innen- und Kund:innen zu löschen: Hier gilt die Regel, dass immer mindestens zwei aktuelle Back-ups vorhanden sein müssen. Es wäre allerdings kein Verstoß gegen den Datenschutz.
  • Schutz persönlicher Daten: Persönliche Daten genießen einen besonders Schutz. Es gelten spezielle Regeln, wann und wo Unternehmen sie erheben, weiterverarbeiten oder weitergeben dürfen.
  • Nur notwendige Daten erheben: Für persönliche Daten gilt das Prinzip der Datensparsamkeit. Wer persönliche Daten nicht benötigt, sollte sie auch nicht erheben.
  • Ort und Art der Datenspeicherung: Beim Speichern von persönlichen Daten sind weitere Standards einzuhalten. Die DSGVO schreibt vor, wie Sie persönliche Daten verschlüsseln und in welchen Rechtsräumen Sie diese verwahren dürfen. Außerhalb der EU dürfen Sie persönliche Daten nur speichern, wenn für das entsprechende Land ein Angemessenheitsbeschluss der EU vorliegt. Dieser bestätigt im Einzelfall, dass die Datenschutzstandards dieses Landes mit denen der EU gleichwertig sind. Ein Datensicherheitskonzept muss daher auch Standorte etwa für die Daten der Firmen-Cloud prüfen.
  • Automatisches Löschen aufgrund von Kriterien: Das automatisierte Löschen von Daten muss in die Geschäftsprozesse integriert sein. Nach dem Ende einer Geschäftsbeziehung sind Kundendaten zu löschen, sofern dem keine anderen gesetzlichen Regelungen entgegenstehen (beispielsweise die Pflicht zur Aufbewahrung von kaufmännischen Unterlagen über zehn Jahre gemäß Abgabenordnung und §238 und §257 HGB).
Nur ein Datensicherheitskonzept bringt Datensicherheit und Datenschutz tatsächlich miteinander in Einklang, das auch die oben genannten Inhalte behandelt und die beschriebenen Anforderungen technisch umsetzt.
Microsoft Defender für Unternehmen

Microsoft Defender für Unternehmen

Mittelständische Unternehmen sind anfällig für Cyber-Bedrohungen. Sie haben weniger Ressourcen und meist wenige IT-Fachkräfte. Hybrides Arbeiten vergrößert diese Angriffsfläche. Wir helfen Ihnen – mit dem Microsoft Defender für Unternehmen.

  • Schutz vor Ransomware, Phishing und anderen Bedrohungen
  • Optimal für IT-Admins in kleinen und mittleren Unternehmen
  • In Microsoft 365 Business Premium als zusätzlicher Schutz für Office-Anwendungen bereits enthalten

Ziele der Datensicherheit in Unternehmen

Datensicherheit im Unternehmen bedeutet, dass innerhalb der Organisation allen Zugangsberechtigten sämtliche benötigte Daten und IT-Ressourcen an jedem Ort in der von ihnen gewünschten Form zur Verfügung stehen. Um dieses Ziel erreichen zu können, sind folgende Teilziele sinnvoll:
  • Alle Daten werden ab der Entstehung an ihrer Datenquelle sicher innerhalb des Unternehmensnetzes transportiert und abgelegt.
  • Redundanz gewährleistet den Bestand der Daten.
  • Alle Daten sind gegen Manipulation und Diebstahl geschützt.
  • Das Firmennetz mit all seinen Geräten und Maschinen ist technisch gegen Hacking und Malware geschützt.
  • Entsprechende Maßnahmen minimieren die möglichen Folgen von Hacking-Attacken.
  • Daten verschiedener Schutzkategorien stehen entsprechend ihrem Freigabestatus unterschiedlichen Gruppen zur Verfügung.
  • Persönliche Daten im Sinne der DSGVO sind besonders gekennzeichnet und abgelegt. Erfolgt das Speichern unter Berücksichtigung der Cloud-Security auf Cloud-Servern, so wird die Gesetzeskonformität des Datenstandortes berücksichtigt.
  • Technische Maßnahmen gewährleisten das finale Löschen persönlicher Daten (also auch von Back-up-Systemen).

Diese Maßnahmen führen zu mehr Datensicherheit

Im Folgenden finden Sie die einzelnen Maßnahmen, mit denen Sie in Ihrem Unternehmen Datensicherheit herstellen können. Sie gliedern sich in technische und organisatorische Maßnahmen.

Technische Maßnahmen zur Datensicherheit im Unternehmen

Back-up: Datensicherung stellen Sie durch Redundanz her. Für kleine und mittelständische Unternehmen gilt die sogenannte „3-2-1-Regel“: Alle Ihre Daten sollten außer auf ihrem Produktionssystem auf mindestens zwei weiteren Datenträgern gespeichert sein (dreifaches Vorhandensein). Die Back-ups sollten auf zwei unterschiedlichen Medien gesichert werden (zweifache Mediensicherheit) und ein Back-up sollte räumlich an einem anderen Ort abgelegt sein – zum Beispiel in einem Tresor außerhalb des Unternehmensgeländes.
Schutz vor Malware: Durch das automatisierte Verteilen und Aufspielen von Updates und Patches halten Sie Ihre Geräte im Firmennetz aktuell. Nutzen Sie aktuelle Antivirenprogramme, um Malware abzuwehren.
Zugriffsberechtigungen/Zugriffsrechte: Das Zuweisen von Zugriffsrechten für Benutzer:innen sind ein elementarer Bestandteil der geschäftlichen Datensicherheit. Sorgen Sie dafür, dass klar definiert ist, ob und in welcher Form Personen in Ihrem Unternehmen auf Anwendungen und Objekte wie zum Beispiel Dateisysteme und Peripheriegeräte zugreifen dürfen. Auch die Zugriffsrechte bei einer erteilten Berechtigung sollten Sie stets im Blick behalten: Wer darf bestimmte Daten lediglich lesen? Wer darf sie auch verändern? Welche Personen dürfen welche Programme ausführen? Sie können die Zugriffsrechte in verbreiteten Cloud-Anwendungen wie beispielsweise Microsoft 365 Business und Google Drive leicht anpassen und damit für eine höhere Datensicherheit sorgen, auch wenn externe Personenunberechtigt zugreifen.
Rechtemanagement: Sie legen über das Rechtemanagement anknüpfend daran fest, welche Nutzergruppen auf welche Daten zugreifen dürfen. Zusätzlich sollten Sie alle Accounts in regelmäßigen Abständen überprüfen: Benötigen Sie diese überhaupt noch? Sind die jeweiligen Rechtefreigaben noch aktuell?
Identifizierung: Das Rechtemanagement kann nur funktionieren, wenn sich sämtliche Anwender:innen bei jedem Einwählen authentifizieren. In der Praxis kommen hierbei meist verschiedene Zugangssysteme zum Einsatz, beispielsweise Passwortschutz oder biometrischer Schutz wie ein Fingerabdruckscan. Auch Kombinationen sind möglich.
Netzwerksicherheit: Wenn Ihre Mitarbeiter:innen auch im Homeoffice auf Ihr Firmennetzwerk zugreifen, sollte dies grundsätzlich via Virtual Private Network (VPN) erfolgen. Netzwerksicherheit bedeutet außerdem, nicht benötigte Dienste und Systeme zu deaktivieren. Wenn auf einzelne Systemspeicher beispielsweise nicht von außen zugegriffen wird, sollten diese nicht durch Ihre Firewall hindurch sichtbar und erreichbar sein.
Firewall: Sichern Sie alle Ihre Systeme nach außen über Firewalls. Beachten Sie, dass IoT-Geräte, deren offene Programmierschnittstellen per Near Field Communication (NFC) oder Mobilfunk erreichbar sind, nicht durch Ihre Firewall geschützt sind. Deaktivieren Sie diese Zugänge oder sichern Sie sie technisch ab.
Technische Absicherung Ihrer Stromversorgung: Durch Netzersatzanlagen (NEA) für größere Verbraucher und Systeme sowie unabhängige Stromversorgungen (USV) für Einzelarbeitsplätze sichern Sie Ihre IT gegen Stromausfälle. Haben Sie Ihre IT in die Cloud ausgelagert, müssen Sie nur Ihre lokalen Endgeräte und Ihren Internetzugang absichern.
Verschlüsselung: Verschlüsseln Sie grundsätzlich alle Daten auf Ihren Unternehmensservern. Aktivieren Sie die Verschlüsselungsfunktion auch auf allen Firmen-Notebooks und -Handys sowie bei Speichersticks und anderen mobilen Datenträgern. Kombinieren Sie diese immer mit einem Passwort oder biometrischem Schutz.
Protokollierung: Die Vergabe von Nutzungsrechten, Zugriffe auf Ihre Systeme, das Erstellen von Back-ups sowie sämtliche weiteren wichtigen Ereignisse sollten Sie protokollieren und diese Protokolle ebenfalls per Back-up sichern.
Cloud-Sicherheit: Wenn Sie Cloud-Services nutzen, können Sie viele dieser Aufgaben an Ihren Cloud-Anbieter delegieren. Darunter fallen beispielsweise der Virenschutz, regelmäßige Updates und das Back-up. Zusätzlich können Sie Ihre Cloud-Daten sicher speichern, indem Sie Ihr Back-up dezentral an mehreren Cloud-Standorten sichern und als sogenanntes „Hot Back-up“ anlegen, das nach einem Stromausfall sofort wieder in Sekundenbruchteilen hochfährt.

Organisatorische Maßnahmen zur Datensicherheit im Betrieb

Zu den organisatorischen Maßnahmen, die Datensicherheit im Unternehmen herstellen, gehören:
  • Zuständigkeiten: Legen Sie genau fest, wer innerhalb Ihrer Abteilungen und im Gesamtunternehmen für Datensicherheit zuständig ist.
  • Schulungen: Schulen Sie Ihre Belegschaft regelmäßig zu Sicherheitsthemen und den neuesten Tricks von Cyberkriminellen. Viele Schäden entstehen, da Mitarbeiter:innen Hacking-Attacken nicht rechtzeitig erkennen oder Schadprogramme aus dem Internet leichtfertig öffnen und installieren.
  • Zugangsregelungen: Sichern Sie alle Unternehmensbereiche, an denen kritische Daten verwahrt werden. Serverräume oder Räume mit Entwicklungssystemen sollten grundsätzlich abgeschlossen beziehungsweise per Zugangssystem gesichert sein. Ausgewählte Mitarbeiter:innen sollten für diese Räume verantwortlich sein.
  • Pentests: Lassen Sie Ihr Unternehmen regelmäßig auf Schwachstellen testen. Hierbei prüfen Expert:innen sowohl die technischen Systeme als auch die Anfälligkeit Ihres Unternehmens gegen Attacken wie Social Engineering.
Auch hier gilt: Beim Cloud-Computing können Sie einige dieser Aufgaben an Ihren Cloud-Dienstleister delegieren. Wenn Sie eine externe Cloud verwenden, müssen Sie unter anderem keine Serverräume auf dem Firmengelände sichern.
Offenes Vorhängeschloss vor Zahlenmuster

Vodafone Cyber-Security-Services

Immer mehr DDoS-Attacken, professionelle Hacker-Angriffe, hohe Compliance-Anforderungen: Nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen. Dank der Vodafone Cyber-Security-Services können Sie Ihre IT-Infrastruktur umfassend absichern: von DDoS-Mitigation über Managed Firewall bis zum Schutz der physikalischen Komponenten.

Mehr Sicherheit für Ihr Unternehmen: Wir beraten Sie gern zu den passenden Cyber-Security-Lösungen.

So entwickeln Sie ein Datensicherheitskonzept

In jeder Firma gelten spezifische Anforderungen, was auf welche Weise zu schützen ist. Daher sollten Sie zuerst ein individuelles Datensicherheitskonzept entwickeln. Die einzelnen Schritte hierfür lauten:
Zielerhebung: Welche Ziele soll das Datensicherheitskonzept erreichen?
Bestandsaufnahme: Wie ist Ihr Unternehmen aktuell strukturiert? Welche Arbeitsprozesse kommen zum Einsatz? Wie sollte Ihr Unternehmen in naher und mittlerer Zukunft aufgestellt und strukturiert sein? Welchen Bedarf an IT und Sicherheit gibt es dann voraussichtlich?
Mögliche Aufgabenverteilung: Welche der Maßnahmen können Sie intern umsetzen? Für welche Maßnahmen benötigen Sie externes Wissen, wie zum Beispiel die Auswahl einer Cloud oder regelmäßige PentestHolen Sie entsprechende Angebote ein und vergleichen Sie die Kosten und den Leistungsumfang. Gerade mit einem klein- und mittelständischen Unternehmen können Sie hier auch Förderprogramme zur Umsetzung Ihres Digitalisierungsprojekts nutzen, die Ihnen ebenfalls Unterstützung bei der Datensicherheit bieten.
Entscheidung und Umsetzung: Am Ende steht die Entscheidung über Ihr Datensicherheitskonzept und dessen Umsetzung. Da Datensicherheit eine dauerhafte Aufgabe ist, gibt es hierbei keinen Projektabschluss, sondern einen regelmäßigen Soll-Ist-Vergleich. Wenn sich Ihr Unternehmen strukturell verändert, müssen Sie auch Ihr Datensicherheitskonzept überprüfen und entsprechend anpassen.

Schnellübersicht für die ersten Schritte im Unternehmen

Mit diesen Top 5 der Sicherheitsmaßnahmen sorgen Sie für mehr Sicherheit in Ihrem Unternehmen:
  • Schaffen Sie eine Atmosphäre im Unternehmen, in der Ihre Mitarbeiter:innen offen über Fehler und Datenpannen sprechen können. Nur so wird Ihr Unternehmen zum „lernenden“ Unternehmen und Sie können die angesprochenen Dinge verbessern.
  • Vereinfachen Sie Ihre IT: Lagern Sie Dienste in die Cloud aus, wenn dies möglich und sinnvoll ist; und deaktivieren Sie alte, nicht mehr benötigte Hardware, die Einfallstore für Schadprogramme bietet.
  • Erstellen Sie einen Notfallplan: Was machen Sie bei einem Komplettausfall Ihres Netzwerkes durch Virenbefall? Wer kann Ihnen bei solchen Fällen sofort mit Spezialwissen helfen?
  • Suchen Sie regelmäßig nach Sicherheitslücken und beheben Sie diese unverzüglich: Beseitigen Sie Einfallstore für Schadprogramme auf Ihrer Webseite oder an anderen Schnittstellen zur Außenwelt.
  • Testen Sie regelmäßig Ihre Back-up-Systeme und auch Ihre technischen Absicherungen für Stromausfälle. Funktionieren Ihre USV noch? Sind die Daten auf den Back-up-Datenträgern wirklich auch nach längerer Zeit noch lesbar? Ist ihr Verwahrort optimal gewählt?
Sie sind unsicher, wie Sie in punkto Datenschutz am besten vorgehen und welche IT-Security-Lösungen die richtigen für Ihr Unternehmen sind? Die Expert:innen von Vodafone beraten Sie gerne zu IT-Sicherheitslösungen und entwickeln ein passgenau auf Ihr Unternehmen zugeschnittenes Modell.
Stadtansicht mit Symbolen für Verkehrsmittel

Mobile Cyber Security für Ihr Business

Mit unseren Ready Business-Sicherheitslösungen schützen Sie Ihr Unternehmen vor Viren, Industrie-Spionage, Cyber-Angriffen und unautorisiertem Zugriff auf Ihre Netze.

  • Sichere Kommunikation
  • Für Homeoffice und Büro
  • Globales, sicheres Log-in-Verfahren

Das Wichtigste zu Datensicherheit in Kürze

  • Datensicherheitspannen gehören zu den unterschätzten Geschäftsrisiken für Unternehmen.
  • Rund 60 Prozent aller betroffenen Unternehmen verschwinden nach einer Datenpanne oder einer Cyberattacke vom Markt.
  • Auch kleine und mittelständische Unternehmen sind gefährdet und sollten ein wirksames Datensicherheitskonzept entwickeln.
  • Datensicherheit und Datenschutz haben verschiedene Ziele. Sie können und sollten jedoch beide über ein gemeinsames Konzept verbinden.
  • Auf Basis der Datenschutz-Grundverordnung (DSGVO) ergeben sich für Unternehmen verschiedene Pflichten zur Einhaltung der Datensicherheit. Bei Verstößen drohen hohe Geldbußen.
  • Mit technischen und organisatorischen Maßnahmen schützen Sie Ihr Unternehmen gegen Datenverlust und Attacken von außen.
Das könnte Sie auch interessieren:
Security
Ein Mann sitzt an einem Arbeitsplatz mit einem Bildschirm und einem Laptop. Auf beiden Bildschirmen ein Vorhängeschloss und der Text „Your personal files are encrypted“.

Ransomware: So können Sie Ihr Unternehmen schützen

Das Szenario ist der Albtraum in jedem Unternehmen: Eines Morgens schalten die Mitarbeiter:innen ihre Computer ein. Doch statt des Startbildschirms erscheint nur ein Textfeld – mit der Aufforderung, umgehend einen großen Geldbetrag zu überweisen. Alle Firmendaten sind durch eine Schadsoftware verschlüsselt worden. Erst nach Zahlung des Lösegelds wollen die Erpresser:innen eine Anleitung für deren Entschlüsselung geben. Das Unternehmen wurde Opfer eines sogenannten Ransomware-Angriffs. Was nun? Angriffe mit Ransomware sind aus Sicht des Bundesamts für Sicherheit in der Informationstechnik (BSI) eine der größten Gefahren für die Cybersicherheit von Unternehmen. Sie richten sich häufig gegen kleine und mittlere Unternehmen, die unzureichend geschützt sind. Weltweit konnten Kriminelle nach Angaben des BSI rund 1,1 Milliarden US-Dollar durch Ransomware-Erpressungen erbeuten. Die Dunkelziffer dürfte jedoch deutlich höher liegen. Was Ransomware ist, wie sie im Einzelnen funktioniert und wie Sie Ihr Unternehmen wirksam dagegen schützen, erfahren Sie in diesem Beitrag.

Telefon

Digitalisierungs-Beratung

Sie haben Fragen zur Digitalisierung? Jetzt kostenlos beraten lassen. Montag-Freitag von 8-18 Uhr, außer an Feiertagen.

0800 505 4539

Hilfe und Service

Montag bis Freitag von 8 bis 20 Uhr, außer an Feiertagen.

0800 172 1234
Online
Vor Ort