Imageverlust durch Sicherheitslücken - kleine und mittlere Unternehmen unterschätzen die Gefahr

Thomas Riegel-Mottlau berät Kunden der Konzept 17 als Consultant und Auditor für Datenschutz. Foto: Riegel-Mottlau

Die existenzielle Wichtigkeit von Datenschutz und IT-Sicherheit wird vor allem in kleinen und mittleren Unternehmen (KMU) häufig unterschätzt. Das weiß Thomas Riegel-Mottlau aus Erfahrung. Er ist Consultant und Auditor für Datenschutz bei der Konzept 17 GmbH in Schuby, die speziell KMU zu den Themen Datenschutz und IT-Sicherheit berät. Auf dem WEP Workshop „Fit für die Zukunft“ zu verschiedenen aktuellen Themen war er im vergangenen Juni einer der Experten, die den teilnehmenden Unternehmensvertretern einen Thementisch für Fragen, Diskussion und Information anboten.  Der WEP Report  hat Riegel-Mottlau gebeten, in einem Interview nochmals auf besonders relevante Punkte einzugehen. Seine Antworten finden Sie in den unteren Frageboxen.

Hackerangriffe, Schadsoftware, Datenverlust, überraschende Abmahnungen und so weiter nehmen in atemberaubender Geschwindigkeit zu. Laut dem Branchenverband Bitkom verursachen allein Hackerangriffe in Deutschland aktuell einen jährlichen Wirtschaftsschaden von weit mehr als 200 Milliarden Euro.

Herr Riegel-Mottlau, warum glauben manche Unternehmen immer noch, sie könnten davon nicht betroffen sein?

Manche Unternehmen denken noch immer, sie seien zu klein, zu unbedeutend oder zu uninteressant, um Opfer eines Angriffs werden zu können. Das ist aber ein Trugschluss. Die Angreifer machen hier schon lange keinen Unterschied mehr, wie gerade erst in den letzten Wochen ein lokaler Steuerberater hier aus Schleswig-Holstein bemerken musste, dessen Daten zum Download im Darknet angeboten wurden. Glücklicherweise muss man aber festhalten, dass die meisten Verantwortlichen der Schleswig-Holsteiner Unternehmen sich dieses Risikos und Ihrer Verantwortung bewusst sind. Häufig fehlt es einfach an der nötigen Unterstützung.

Von was für einer Unterstützung sprechen Sie?

Zunächst einmal verfügen viele bereits über die grundlegende Expertise in ihrem Haus. Sei es in der eigenen IT-Abteilung oder bei einem Dienstleister, mit dem häufig langjährig zusammengearbeitet wird. Manchmal erfahren wir jedoch im Zuge unserer Beratungen, dass die Ratschläge dieser Dienstleister mit Werbung für Waren und Dienstleistungen gleichgesetzt werden. Allerdings möchte ich behaupten, dass die meisten Personen in dieser Branche ihren Auftrag ernst nehmen und die Unternehmen vor Schaden bewahren möchten. Die Hinzuziehung eines neutralen Experten in Form eines IT-Sicherheitsbeauftragten, eines Datenschutzbeauftragten oder eines externen Auditors kann für zusätzliche Sicherheit sorgen. Und hier gelangen wir schon zum nächsten Problem. Leider wird bei der Beauftragung von Dienstleistern jeder Art häufig als einziges Auswahlkriterium der Preis herangezogen, wodurch sich dann immer wieder die alte Weisheit „Wer billig kauft, kauft zweimal.“ bewahrheitet.

Welche Konsequenzen können Datenmanipulation und Datenverlust für KMU haben?

An dieser Stelle könnte ich jetzt die Horrorszenarien wie Bankrott, Massenentlassungen, Millionenbußgelder und so weiter herausholen. Die tatsächlichen Folgen sind jedoch praxisnäher, aber trotzdem schwerwiegend. Zunächst einmal muss man sich darauf einstellen, in den nächsten Wochen und Monaten nicht mehr so arbeiten zu können, wie zuvor. Wenn sie funktioniert, und das ist nicht immer der Fall, dann lassen sich „verschwundene Daten“ über eine Datensicherung wiederherstellen. Das aber erst, nachdem die Systeme neu aufgesetzt wurden. Im Anschluss gilt es, verlorene Daten wiederherzustellen und aufzuarbeiten. Nebenbei gilt es, mit Behörden, Geschäftspartnern und Kunden zusammenzuarbeiten. All das frisst Zeit und Geld. Im Falle eines Angriffs mit Ransomware sind außerdem die Daten im Internet abrufbar, sollte man das Lösegeld nicht zahlen. Letztendlich kann ein solcher Vorfall nicht nur Zeit und Geld kosten, sondern sich auch noch ungeahnt auf den Ruf des Unternehmens auswirken.

Was empfehlen Sie Unternehmen als wichtigste vorbeugende Sicherheitsmaßnahmen?

Die Sicherheitsmaßnahmen sind so individuell wie die Unternehmen, die diese einsetzen. Die Frage lässt sich daher nicht so pauschal beantworten. Der grundsätzliche Hinweis lautet aber: Nehmen Sie das Thema ernst, implementieren Sie geeignete Maßnahmen und testen Sie diese regelmäßig auf ihre Funktion. Wichtige Maßnahmen sind zum Beispiel ein Datensicherungskonzept, Notfallpläne und technische Schutzeinrichtungen mit einem strikten Regelwerk. Besonders die Einbeziehung und Sensibilisierung der Beschäftigten muss hier mit im Fokus stehen. Das für alle passende „Sicherheitskonzept“ gibt es hier nicht. Wenn jemand dieses, ohne das Unternehmen zu kennen, verkaufen möchte, sollte man genau hinschauen.

Welche typischen Fehler identifizieren Sie bei der Bestandsaufnahme in Unternehmen? Was macht sie leicht angreifbar?

Gehen wir mal ein wenig weg von der IT-Sicherheit. Zwei Bereiche, in denen sich Unternehmen leicht angreifbar machen, fallen mir häufig auf, ohne dass ich diese erst auditieren muss. Schauen wir uns zuerst mal das Aushängeschild des Unternehmens an, die Webseite. Hier lässt sich häufig schnell erkennen, wie es um den Datenschutz steht. Hat man nur 2018 etwas getan oder wurde die Seite regelmäßig den rechtlichen Gegebenheiten angepasst? Dabei geht es um Cookie-Banner, Dienstleistereinsatz, Besuchertracking und Informationspflichten. Außer dass ich sehe, wie es um den Datenschutz steht, hat man hier auch ein hohes Abmahnpotenzial, welches auch ausgenutzt wird.

Und der zweite Bereich?

Den erkenne ich sofort beim ersten Kontakt per Mail. Bei Unternehmen die Microsoft 365 einsetzen, und das ist nicht selten der Fall, kann man bei den entsprechenden Einstellungen sehen, ob der Gegenüber sich derzeit aktiv im System bewegt. Mit ein wenig Zeit und Geduld ist hier durchaus eine Profilbildung möglich. Um das zu verhindern, führen wir bei unseren Mandanten ein entsprechendes Audit durch, bei dem unsere Experten die Einstellungen überprüfen, damit das Unternehmen diese anpassen kann.

Gibt es einfache Datenschutztipps, die jedes Unternehmen problemlos einhalten könnte und sollte?

Grundlegender Datenschutz kann ganz einfach sein und muss nicht viel Geld kosten. Allen voran können ein vernünftiges Passwortkonzept und dessen Umsetzung durch sensibilisierte Beschäftigte die letzte „Mauer“ gegen den Unbefugten stärken. Zudem lassen sich Risiken durch Schadsoftware bereits durch interne Regelungen zum Umgang mit der dienstlichen Technik wirkungsvoll reduzieren. Wenn dann noch den datenschutzrechtlichen Informationspflichten nachgekommen wird, ist auch ein Einfallstor für unzufriedene Mitbewerber, Kunden und Besucher geschlossen. Wenn dann ein Grundschutz gewährleistet ist, heißt es, diesen dem Risiko entsprechend auszubauen.

Welchen Nutzen haben Cybersecurity-Versicherungen und worauf sollte man achten?

Eine Versicherung ist dafür da, Sie im Schadenfall zumindest finanziell zu unterstützen. Sie kann und soll aber nicht der Vorbeugung dienen und bietet auch keinen Schutz vor einem Schadensereignis. Das gilt natürlich auch für eine Cybersecurity-Versicherung. Dennoch wird sich gern auf dieser ausgeruht. Das soll nicht bedeuten, dass diese nichts bringt. Im Schadensfall ist sie durchaus wertvoll. Dennoch muss etwas für die Sicherheit getan werden. Und das zeigt auch schon ein Blick ins Kleingedruckte. Die meisten Versicherungen fordern in ihren Bedingungen umfangreiche IT-Sicherheitsmaßnahmen, um im Fall der Fälle überhaupt zu zahlen. Es ist also nicht mit einer Versicherung getan. Und bedenken Sie: Eine Cybersecurity-Versicherung kann Sie auch ablehnen, wenn Ihre Sicherheitsmaßnahmen zu schlecht sind.

Kurzporträt Konzept 17

Konzept 17 GmbH – Datenschutz und IT-Sicherheit

Die Konzept 17 GmbH mit ihren vier Standorten in Schuby, Iserlohn, Berlin und Stralsund berät und betreut mit ihrem erfahrenen siebenköpfigen Team bundesweit mittelständische Unternehmen und Konzerne verschiedener Branchen sowie Behörden und andere öffentliche Einrichtungen. Die Experten stehen ihren derzeit rund 170 Mandanten als externe Datenschutzbeauftragte bei allen Fragen rund um die Themen Datenschutz, IT-Sicherheit und Whistleblowing mit pragmatischen Lösungen zur Seite und sorgen dafür, dass diese Themen im Unternehmen gelebt werden.

Beim Datenschutz geht es um personenbezogene Daten und deren Schutz vor Missbrauch während der Erhebung, Verarbeitung und Nutzung unter Gewährleistung des Rechts auf informationelle Selbstbestimmung. Die IT-Sicherheit - darunter ist der Schutz der gesamten Informationstechnologie vor Bedrohung und Schäden zu verstehen - ist die wichtigste Voraussetzung zum Schutz aller Daten im Unternehmen.

Geschäftsführer Frank Berns und sein Team erstellen mit ihrer umfassenden Expertise individuell auf die Unternehmen zugeschnittene Datenschutz- und IT-Sicherheitskonzepte und bilden damit eine Grundlage für die Datenschutzorganisation und den effektiven Schutz der Daten. Dabei werden Beratung und Betreuung großgeschrieben, um den Datenschutz und die IT-Richtlinien gemeinsam mit den Mandanten proaktiv umzusetzen. Außerdem bietet Konzept 17 GmbH Schulungen zum geprüften Datenschutzbeauftragten sowie Workshops zur Weiterbildung an.

Kontakt

Konzept 17 GmbH
Westring 3
24850 Schuby

Telefon: (04621) 5304050
E-Mail: mail@konzept17.de
Homepage: www.konzept17.de

Zurück