Drei Möglichkeiten zum Schutz Ihres Unternehmens vor internen Bedrohungen

Drei Möglichkeiten zum Schutz Ihres Unternehmens vor internen Bedrohungen

Auch im Jahr 2017, sind Cyberangriffe gestiegen und haben in Unternehmen große Schäden angerichtet. In letzter Zeit haben diverse hochkarätige Angriffe Schlagzeilen gemacht – mit Datenverlusten und mehrstelligen Umsatzeinbußen.

Internationale Konzerne wie Yahoo und Equifax sowie Organisationen wie der britische Gesundheitsdienst NHS haben vernichtende Angriffe erlitten. Da mag der Schutz der eigenen Firma wie eine Mammutaufgabe erscheinen, vor allem wenn selbst millionenschwere Unternehmen die Flut der Online-Angriffe kaum einzudämmen vermögen. Wer jedoch den Ursprung und die Auslöser solcher Angriffe kennt, kann sein Unternehmen besser schützen. 

Unseren neuesten Untersuchungen zufolge stammen 74 % der Vorfälle aus dem größeren Unternehmensumfeld (Mitarbeiter, Kunden, Lieferfirmen und ehemalige Mitarbeiter). Die Studie, für die 600 Entscheidungsträger und 1.200 Mitarbeiter aus Großbritannien, den USA, Deutschland und Österreich befragt wurden, ergab, dass allein die Mitarbeiter (vorsätzlich oder aus Versehen) für 42 % der Vorfälle verantwortlich waren. Dies lässt einen eindeutigen Ansatzpunkt für die Cybersicherheit in Unternehmen erkennen. 

Kenne deinen Feind

Dieser häufig zitierte Rat von Sunzi gilt für die Cybersicherheit ebenso wie für die Kunst des Krieges. Wer die Bedrohung kennt, kann sie vereiteln. Was den Schutz des Unternehmens im digitalen Zeitalter betrifft, stellen interne Bedrohungen das größte Problem dar. 2015 wurden 33 % der Angriffe auf Unternehmen von Unbekannten, d. h. von Hackern und kriminellen Banden ausgeführt, doch diese Zahl ist inzwischen auf 26 % gesunken. Die Bedrohung von innen nimmt hingegen stetig zu.

65 % der Vorfälle erfolgen zufällig oder unbewusst. Die Mehrzahl geschieht also unbeabsichtigt. Unternehmen gehen überwiegend davon aus, dass sich ihre kritischen Daten vor allem in nicht-technischen Abteilungen befinden, also z. B. in der Buchhaltung (55 %), Personalabteilung (45 %) bzw. Rechts- und Compliance-Abteilung (43 %). Der erste Schritt zum Eindämmen der internen Bedrohung besteht daher darin, den Datenzugriff zu klären und die Mitarbeiter im Umgang mit Daten zu schulen, um so einem Datenverlust vorzubeugen: 

  • Ermitteln Sie, wo sich Ihre Daten befinden, und schulen Sie Ihre Mitarbeiter.

In gewissem Maße hat jede Abteilung mit personenbezogenen Daten zu tun, ob Gehaltsunterlagen in der Buchhaltung oder Zielgruppendaten in der Marketingabteilung. Es ist also wichtig, dass die Mitarbeiter die potenziellen Sicherheitsrisiken kennen, die mit der Nutzung solcher Daten einhergehen. Regelmäßige Schulungen und maßgeschneiderte Workshops zum Thema Datensicherheit mögen vielleicht übertrieben wirken, doch sie vermitteln den Mitarbeitern, wie die verwendeten Daten geschützt werden können, und motivieren sie, etwaige Konsequenzen von Sicherheitsverstößen zu bedenken. Mit dem bevorstehenden Inkrafttreten der DSGVO werden solche Schulungen für Unternehmen künftig ohnehin unerlässlich.

  • Weiten Sie den Datenschutzplan auf externe Mitarbeiter aus.

Auch die verschwommenen Linien zwischen persönlichen und beruflichen Technologien tragen maßgeblich zum internen Risiko und somit zu einem Datenverlust bei. Größere Flexibilität hinsichtlich des Arbeitsplatzes, gekoppelt mit mobilen Arbeitsgeräten wie Laptops und Smartphones, bedeutet, dass kritische Daten das Firmengelände verlassen. Sie müssen daher nicht nur vor Ort, sondern auch extern geschützt werden. Sicherheitstraining zur Remotearbeit sollte also unbedingt in Workshops und Seminare zur Datensicherheit integriert werden, da sich diese Aspekte beständig überschneiden. Darüber hinaus empfiehlt es sich, die allgemeinen Richtlinien zum Umgang mit Daten durch Strategien für die Remotearbeit zu ergänzen.

  • Investieren Sie in Datenschutz und Technologien zur Vermeidung von Sicherheitsverstößen.

Während sich das Risiko bei der Datennutzung durch Mitarbeiter reduzieren lässt, ist menschliches Versagen unvermeidlich. Für den umfassenden Schutz des Unternehmens hat die Investition in Tools zur Vermeidung von Datenverlust (Data Loss Prevention, DLP), Software für die Inhaltsanalyse sowie Dokumentbereinigung und Redaktion oberste Priorität. Zudem lässt sich damit die Einhaltung der DSGVO-Vorgaben nachweisen. Mit Hilfe dieser Technologien können Unternehmen sicherstellen, dass kritische Informationen weder versehentlich noch mutwillig von den Mitarbeitern weitergegeben werden. Zudem werden im Rahmen von Redaktion und Inhaltsanalyse nur Informationen entfernt, die gegen die Richtlinien verstoßen. Flexible Arbeitsszenarien und effiziente Betriebsabläufe bleiben also gewährleistet.