Das Informationssicherheits-Dilemma

Informationssicherheit: Technologiefortschritte bringen zusätzliche Risiken

Jede Technologie hat ihre Schwachstellen – und diese werden kreativ ausgenutzt. Jüngst erst wurden Angriffe mit sogenannter Erpressungssoftware auf deutsche Krankenhäuser bekannt, betroffen waren vor allem vertrauliche Patientendaten. Diese Fälle schärfen zugleich das Bewusstsein für Cyberrisiken beim Umgang mit vertraulichen Informationen. Klar ist: Dank neuer Technologien und flexibler Arbeitsmodelle können vertrauliche Informationen zunehmend leichter eine geschützte Büroumgebung verlassen. Dies gilt sowohl für Daten in klassischer Papierform als auch auf elektronischen Trägermedien. Entsprechend steigt das Risiko eines Datenverlustes, nur die Folgen bleiben gleich fatal: Reputation und Geschäft eines Unternehmens leiden, ganz gleich, ob der Datenverlust auf „neuem“, digitalen Weg erfolgt – oder klassisch in Form eines physischen Datenverlustes. 

Die Lücke schließen: Bei Informationssicherheit gibt es in vielen deutschen Unternehmen Nachholbedarf

Das beste Mittel gegen diese Gefahren sind nicht allein technische Sicherheitsvorkehrungen, sondern Wissen und Bewusstsein dafür, welche Informationen eigentlich schützenswert sind. Trotzdem hören wir fortlaufend von potentiellen Kunden: „Wir haben keine schützenswerte Daten.“ Auch die jüngsten Umfrageergebnisse der Shred-it Security Tracker Studie bestätigen, dass sich Unternehmen nicht ihrer Verantwortung gegenüber Kunden- und Unternehmensdaten bewusst sind. Geschweige denn wissen, welche erheblichen geschäftsschädigenden Auswirkungen damit verbunden sind. Unter den kleinen und mittleren Unternehmen behaupten 38%, nicht im Besitz von Dokumenten zu sein, deren Verlust sich geschäftsschädigend auswirken könnte – ein fataler Trugschluss. Ebenso alarmierend ist das mangelnde Wissen über rechtliche Rahmenbedingungen für die Aufbewahrung und Vernichtung vertraulicher Informationen in vielen deutschen Unternehmen: Lediglich 64% der großen Unternehmen mit mehr als 250 Mitarbeitern gibt an diese zu kennen, während sich 38% der Befragten kleineren Unternehmen und 11% der großen, nicht mit den relevanten Artikeln des Bundesdatenschutzgesetzes (BDSG) auskennt. Ganze 75% der Befragten in kleinen Unternehmen und 43% in großen Unternehmen kennen die zutreffende DIN-Norm nicht.

Drei Best-Practice-Tipps von Shred-it:

Unserer Erfahrung nach sollten Unternehmen ihre Informationssicherheitsprotokolle und Maßnahmen regelmäßig überprüfen. Nur so kann sichergestellt werden, dass sie sowohl physische als auch Cybersicherheits-Aspekte abdecken. Einige Hilfestellungen bieten dabei eine nachhaltige Verbesserung der Informationssicherheit:

1. Konkrete Datenschutzrichtlinien einführen: Obwohl es ganz selbstverständlich erscheint, haben nur etwa die Hälfte der befragten Unternehmen konkrete Richtlinien für die Aufbewahrung und Vernichtung vertraulicher Daten. Dabei lassen sich viele Maßnahmen leicht umsetzen, etwa durch die Einführung einer Clean-Desk-Policy oder durch eine Shred-it All Richtlinie, durch die alle Dokumente geschreddert werden. Hierdurch müssen Mitarbeiter nicht mehr entscheiden, wann und ob ein Dokument schützenswert ist oder nicht. Dabei darf auch die IT nicht außer Acht gelassen werden und sollte fest in den Datenschutzrichtlinien verankert sein. Durch regelmäßige Aktualisierung und Einbindung von IT-Fachleuten und Datenschutzbeauftragten können Unternehmen darüber hinaus sicherstellen, dass ihre Datenschutzrichtlinien auf dem neuesten Stand sind und damit das Risiko eines Datenverlustes verringern.
2. Mitarbeiter schulen: 40% der großen und 52% der kleineren Unternehmen sehen Mitarbeiter-Fehlverhalten als größte derzeitige Gefahrenquelle für einen Datenverlust. Für die Zukunft sind sich Unternehmen allerdings einig, dass Datenverlust im Zusammenhang mit Cybersicherheit das bestimmende Thema sein wird. Trotzdem geben lediglich rund ein Viertel der Unternehmen an, ihre Mitarbeiter mindestens einmal pro Jahr zu schulen. Das Risiko eines Datenverlustes kann durch die Einführung einer regelmäßigen Mitarbeiterschulung über die jeweiligen Unternehmensrichtlinien leicht minimiert werden. So lässt sich Mitarbeitern effektiv zeigen, wie sie tagtäglich zu mehr Informationssicherheit beitragen können. Dabei ist es Verantwortung der Unternehmensführung, dass Mitarbeiter im Umgang mit vertraulichen Informationen und den erheblichen Konsequenzen eines Datenverlustes geschult werden.
3.  Externe Expertenhilfe: Informationssicherheit ist ein äußerst komplexes Thema, das alle Abteilungen und Bereiche eines Unternehmens beschäftigt. Einhergehend ist es oftmals schwer nachvollziehbar und noch herausfordernder in der korrekten Umsetzung. Wissenslücken können allerdings erhebliche negative Konsequenzen für Unternehmen aller Größe bedeuten. Daher sollten deutsche Unternehmen auf externen Expertenrat, wie etwa durch einen Datenschutzbeauftragen für die korrekte Umsetzung von Datenschutzrichtlinien vertrauen. Rechtsexperten können zudem dabei helfen zu überprüfen, ob existierende Richtlinien im Einklang mit bestehendem Datenschutzrecht sind. Durch die Expertise eines externen Dienstleisters für Informationssicherheit können Unternehmen sicherstellen, dass schützenswerte Informationen sicher gehandhabt werden. Gleichzeitig lassen sich so wertvolle interne Ressourcen anderweitig nutzen.