Vielerorts hat man es schon gelesen, auch die Spatzen pfeifen es von den Dächern: Daten sind die wertvollste Ressource des 21. Jahrhunderts. Egal ob Kundendaten, firmeninterne Daten oder die Kontodaten eines jeden Einzelnen von uns. Und dann gibt's da auch regelmäßig diese Schlagzeilen über Datenklau im großen Stil, Betriebsspionage via Computer und andere Cyberkriminalität. Beängstigend, wenn man bedenkt, dass so viele unserer persönlichen Daten auf Firmen- und Bankservern gespeichert sind. Aber sind sie auch gut genug vor Angriffen und Missbrauch geschützt?

Das Risiko identifizieren

Um die eigenen oder einem anvertraute Daten so gut wie möglich vor Angriffen zu schützen, ist es wichtig, das bestehende Risiko erst einmal zu identifizieren. Und dabei sollte man sich ganz zu Beginn klar werden, dass das Thema Datensicherheit keinesfalls ein IT-Thema ist. Denn Daten- und Informationssicherheit ist ein viel breiteres Thema, wovon nur ein Teil auch den IT-Bereich betrifft. Um das Gesamtrisiko identifizieren zu können, muss man sich zuerst ansehen, welche Daten im jeweiligen Unternehmen überhaupt vorliegen und welchen Wert diese Daten haben.

Dabei werden sensible Kundendaten oder geheime Konstruktionspläne deutlich strenger zu bewerten sein als weniger sensible Daten. Und das geht von den Verträgen im Ordner auf dem Schreibtisch bis zu den Daten in Cloud-Storage-Systemen. Ist das Risiko dann identifiziert, ergibt sich daraus automatisch ein Bedrohungskatalog. Der geht meist von Hackerangriffen und Computerviren über den Missbrauch durch Mitarbeiter bis hin zur völligen Zerstörung der Anlage, etwa durch Umwelteinflüsse oder Sabotage.

Die Bedrohung muss aber nicht immer der böse Hacker sein, der eine Firma vernichten will. In vielen Firmen beispielsweise haben immer noch alle Mitarbeiter Zugriff auf alle Daten. Wenn da jemand auch nur aus Versehen auf „Löschen“ drückt und ein Laufwerk formatiert, kann das für ein Unternehmen existenzbedrohende Ausmaße annehmen.

Dass in den meisten Fällen nicht alle Mitarbeiter Zugriff auf alle Daten benötigen, um ungehindert arbeiten zu können, mag auf der Hand liegen. Meist ergibt sich aber durch den langjährigen Alltag eine Betriebsblindheit, die nur eine Risikobewertung unternehmens-externer Profis aufdecken kann.

Das Risiko bewerten

Beim nächsten Schritt, der Risikobewertung, ist es wichtig, sich noch einmal einen Überblick zu verschaffen, welche tatsächlichen Verwundbarkeiten im Unternehmen bestehen. Denn mit der Risikoidentifizierung und dem Plan dahinter ist es meist nicht getan. Der Sollzustand unterscheidet sich häufig leider immer noch stark vom Ist-Zustand, gerade was die Datensicherheit angeht.

Und da kommen dann unabhängige Dritte ins Spiel. Profis für Datensicherheit, die sich ansehen, wie sicher die Computersysteme gegenüber Angriffen von außen sind oder ob Mitarbeiter einer Abteilung Daten von anderen Abteilungen einsehen können, obwohl sie für die Ausübung ihrer Tätigkeit irrelevant sind. Ein wichtiger Punkt für Sicherheitsprüfungen sind auch die bekannten Phishing-Angriffe, die simuliert werden. Beispielsweise gibt sich der Tester als Chef auf Geschäftsreise aus, der dringend Geld benötigt. Dabei wird darauf geachtet, ob gutgläubige Mitarbeiter ohne Absicherung einfach Geld schicken können oder nicht.

Auch bei der Risikobewertung ist es wichtig, zu bedenken, dass es sich dabei nicht um ein reines IT-Thema handelt. Nicht der CIO eines Unternehmens ist für die Datensicherheit alleine zuständig, auch wenn es oft so gesehen wird. Wer weiß beispielsweise wirklich, welche Mitarbeiter einfach so zum Schreibtisch des Geschäftsführers können?

Wenn dort sensible Daten in einem Ordner liegen, ist das genauso sicherheitsrelevant. Auch sollte man bedenken, wie sicher dieser Ordner ist, wenn im Gebäude Feuer ausbricht. Besteht ein separat gelagertes Backup, wenn er zerstört wird? Aus dem Zusammenspiel all dieser Faktoren ergibt sich dann eine Bewertung, die Risiken eindeutig einschätzbar macht.

Mit dem Risiko umgehen

Mit dem nun bekannten Risiko kann man je nach Unternehmen unterschiedlich umgehen. Eine Option, die gerne gewählt wird ist, das Risiko zu transferieren. Das kennt jeder vom Prinzip einer Versicherung. Wenn beispielsweise trotz Sicherungsmaßnahmen Daten verschwinden und dieser Verlust einen bestimmten Betrag kostet, springt eine Versicherung ein. Eine einfache Möglichkeit, mit Risiken umzugehen, ist auch das Abwägen von Wahrscheinlichkeiten.

So besteht beispielsweise das Risiko, dass ein Erdbeben ein Hauptrechenzentrum in Österreich zerstört. Die Eintrittswahrscheinlichkeit ist aber so gering, dass die Geschäftsleitung das Risiko einfach als gegeben akzeptiert und davon ausgeht, dass der Ernstfall nie eintreten wird. Das Thema Datensicherheit geht uns alle an. Doch gerade Unternehmen sollten sich bemühen, sensible Kundendaten genauso wie Firmeninterna so gut wie möglich zu schützen.