Datenpannen vermeiden - Datenschutz-Tipps für's Büro
Viele Verbraucher denken bei Hacks und Datenpannen zuerst an Onlineanbieter und IT-Firmen. Dabei belegen zahlreiche Beispiele, dass es jedes Unternehmen treffen kann – egal aus welcher Branche. Das Sicherheitsteam von Tresorit erklärt anhand von sieben Beispielen aus Deutschland und Österreich typische Schwachstellen in Büroabläufen, wie diese missbraucht werden können und gibt Datenschutz-Tipps, mit denen Unternehmen vorbeugen können.
Auch in Industrie und Einzelhandel kommt es zu folgenschweren Hacks und Pannen. Hacker und Datendiebe haben es nicht immer nur auf Kundendaten abgesehen, sondern oft auch auf Finanzdaten, Strategiepapiere, Patente und Konstruktionspläne, aber auch Preismanagement oder Personaldaten. Und manchmal auch einfach nur darauf, möglichst großen Schaden anzurichten.
Die Folgen solcher Angriffe reichen von kleineren PR-Krisen über Insolvenz bis hin zu lebensgefährlichen Systemstörungen und können dabei nicht nur das Unternehmen selbst, sondern auch Mitarbeiter, Geschäftspartner oder Kunden treffen. Diese Datenschutz-Tipps helfen, das zu vermeiden:
Vertrauliche Daten nie als E-Mail-Anhang senden
Wie häufig gingen Ihre E-Mails schon an den falschen Herrn Schmidt? Wie oft realisieren Sie, dass Sie gerade vertrauliche Firmendokumente im Posteingang Ihres Smartphones empfangen haben, auf dem Sie auch zahlreichen Sudoku- und Fitness-Apps Zugriff auf Ihre Daten gewähren?
Als vor zwei Jahren der E-Mail-Account eines Aufsichtsratsmitglieds von Rewe gehackt wurde, versuchten Unbekannte das Unternehmen mit vertraulichen Strategiepapieren zu erpressen, die sie dort gefunden hatten. Der Konzern erstattete stattdessen Anzeige und der Schaden hielt sich für das Unternehmen in Grenzen, da die Daten nicht so brisant waren, wie die Erpresser dachten. Aber was, wenn nicht? Es gibt viele Wege, einen E-Mail-Account zu hacken, die wichtigsten Schutzmaßnahmen sind bekannt – gutes Passwort, Zwei-Stufen-Verifizierung, Vermeidung von Logins auf fremden Geräten.
Trotzdem lässt sich mehr tun: Versendet man statt Anhängen nur den Downloadlink zu einem geschützten Cloud-Server, lässt sich sicherstellen, dass Dokumente auch jenseits des Bürorechners nur von denjenigen geöffnet werden können, für die sie bestimmt sind. Wer keinen Zugriff auf den sicheren Server hat, kann dann nichts mit der gehackten oder fehlgeleiteten E-Mail anfangen. Die dazu notwendige IT-Infrastuktur muss jedoch nicht zwingend intern aufgebaut werden, Tresorit bietet zum Beispiel passwortgeschützte verschlüsselte Links für alle Businesslizenzen.
Accounts teilen bedeutet Passwörter teilen
Hängt auch in Ihrem Büro ein Zettel mit den Anmeldedaten zur Webseitenverwaltung oder einer Recherchedatenbank? Teilen sich mehrere Kollegen das Passwort zum Buchungssystem? Selbst wenn Sie Ihren Mitarbeitern vertrauen, das ist eine Sicherheitslücke, für deren Missbrauch es nicht einmal Hackerwissen braucht. Passwörter zu teilen bedeutet, sie müssen aufgeschrieben werden. Geteilte Passwörter sind außerdem einfacher als sie sein sollten. Und wenn ein Praktikant das Unternehmen verlässt, macht sich niemand die Mühe, das Passwort zu ändern.
Sicherheitsforscher haben herausgefunden, dass bei Millionen von gestohlenen Daten das am häufigsten verwendete Passwort „123456“ war. So gelang es Internetaktivisten auch vermutlich vor einigen Jahren, durch Erraten des zu einfachen Passworts den Twitter-Account der CDU zu kapern und falsche Informationen zu twittern.
Noch schlimmer kam es in Frankreich: Nachdem Sendebetrieb und Webseite des französischen Fernsehsenders TV5 Monde angegriffen und lahmgelegt wurden, wiesen Internetnutzer auf mehrere TV-Interviews aus den Büroräumen des Senders hin, bei denen im Hintergrund deutlich Passwortzettel für verschiedenste Accounts zu sehen waren. Übersetzt lauteten einige der versehentlich verbreiteten Passwörter zudem „daspasswortfüryoutube“ oder „qwertz12345“.
Erste Schutzmaßnahme und wichtigster Datenschutz-Tipps gegen diese Schwachstelle ist es natürlich, Passwörter nicht an Wände zu hängen und komplexer zu gestalten. Beschränken Sie aber zudem den Zugang zu Firmenkonten nur auf diejenigen, die diese wirklich zur täglichen Arbeit benötigen. Außerdem sollten Unternehmer in eine eigene Lizenz für jeden Mitarbeiter investieren. Denn Knausern geht schnell auf Kosten der Sicherheit.
Bei Tresorit hat unsere Personalabteilung zusätzlich eine Sicherheits-Checkliste aufgesetzt, in der die Mitarbeiter Schritt für Schritt abhaken und prüfen können, welche der vorgeschlagenen und/oder zwingenden Schutzmaßnahmen sie für die Anmeldung in geschäftliche und auch private Accounts getroffen haben.
Arglose Kollegen sensibilisieren
Vertrauen in die eigenen Mitarbeiter ist gut und wichtig. Und in jeder E-Mail Viren oder Phishing zu vermuten, würde das Tagesgeschäft jedes Unternehmens zum erliegen bringen.
Es kann in vielen Fällen helfen, Vertraulichkeitsstufen für verschiedene Dokumente und Informationen einzuführen. Denn wenn alles „streng vertraulich“ ist, nimmt es bald niemand mehr ernst. Wenn jedoch festgelegt ist, dass ab bestimmten größeren Transaktionsvolumen oder für bestimmte Kennzahlen zusätzliche Vorsicht geboten sein muss, bleiben Vorsichtsmaßnahmen praktikabel.
Außerdem ist es notwendig, bei den Mitarbeitern die Sensibilität für bestimmte Sicherheitsrisiken zu schulen. Dies erreichen Sie am besten, indem Sie erklären, was bei bestimmten Verhaltensweisen passieren kann, anstatt diese einfach zu verbieten. So können Sie Ihren Mitarbeitern nicht nur trockene Datenschutz-Tipps geben, sondern praktisch demonstrieren, wie schnell eine E-Mail-Adresse im Namen anderer aufgesetzt werden kann, damit sie nicht arglos wichtige Informationen an vermeintlich private E-Mail-Adressen bekannter Klienten senden oder Dateianhänge aus diesen E-Mails zu öffnen.
Mit einer solchen E-Mail im Namen eines guten Geschäftskontakts begann es auch für das mittelständische Unternehmen S&P Werbeartikel GmbH. Den Mitarbeiter gab es bei der Partnerfirma, es kam zu Großaufträgen im Wert von 160.000 Euro, zehntausende USB-Sticks wurden produziert. Erst als der Controller der vermeintlichen Auftraggeberfirma sich weigerte, die Rechnung zu zahlen, kam heraus – niemand dort hatte den Auftrag erteilt. Die zur Bestellung verwendete E-Mail-Adresse wich leicht von der echten Firmen-Domain ab, niemandem war es aufgefallen. Die in der E-Mail enthaltene Telefonnummer war für die Folgekommmunikation verwendet worden. Inzwischen kämpft das Unternehmen um seine Existenz, denn weder Versicherung noch Partnerfirma wollen für den Schaden aufkommen.
Aber nicht nur Identitätsdiebstahl, auch handfeste Industriesabotage kann mit einfachen E-Mails beginnen. Im Jahr 2014 kam es zu einer Cyber-Attacke auf ein deutsches Stahlwerk. Hierbei sollen die Angreifer per Spear-Phishing über E-Mails gezielt das Büronetz des Werks infiltriert und sich von da aus zu den Steueranlagen vorgehangelt haben. Die Ausfälle führten dazu, dass ein Hochofen nicht geregelt heruntergefahren werden konnte, es kam zu massiven Beschädigungen der Anlage.
Vorbereitet sein, dass Mitarbeiter das Unternehmen irgendwann verlassen
Wie schon erwähnt, wird der Weggang von Mitarbeitern oft nicht ausreichend als mögliche Sicherheitsschwachstelle bedacht. Dabei müssen Datenschutz-Tipps auch hier ansetzen. Nicht immer trennen sich die Wege von Unternehmen und Mitarbeiter einvernehmlich, was Daten, auf die diese Mitarbeiter Zugriff haben, in Gefahr bringen kann. Geht der Kollege direkt zur Konkurrenz, können sensible Unternehmensinterna wie Produktentwicklungen oder auch Marktstrategie sehr interessant werden. So sollen etwa ehemalige Angestellte von Striko-Westofen Konstruktionszeichnungen eines Gießereiofens entwendet haben, um diese für die Produktion in einer anderen Firma zu verwenden. Auf den sichergestellten Zeichnungen befanden sich teilweise sogar noch das originale Firmenlogo. Dieser Fall von Industriespionage beschäftige die deutschen Gerichte über mehrere Jahre.
Datenschutz-Tipps auf Dienstleister und Zulieferer ausweiten
Aber auch Dienstleister und deren ehemalige Mitarbeiter können zum Risiko werden. So vermutlich geschehen beim Verkehrsdienstleister Wiener Linien. Ein früherer Mitarbeiter einer Hamburger Partnerfirma hatte Kontaktdaten und Geburtstage von 20.000 Kunden gestohlen und im Netz veröffentlicht. Deshalb sollten Sie prüfen, wie Ihre Dienstleister mit Ihren sensiblen Daten umgehen und gegebenenfalls auf die Einführung entsprechender Sicherheitsmaßnahmen pochen. Dies gilt übrigens auch bei der Wahl des Cloud-Anbieters. Sichere Dienste behandeln Nutzerdaten unter strengem Datenschutzrecht und verschlüsseln alle Ihre Daten mit Ende-zu-Ende-Verschlüsselung so, dass selbst ihre eigenen Administratoren keinen Zugriff auf Ihre Dateien haben.