Geschäftsrisiko Datenverlust und der Einfluss von Homeoffice
Der Verlust von Daten zählt weltweit zu den größten Geschäftsrisiken. Unternehmen sollten entsprechend vorbereitet sein – insbesondere da sich das Arbeitsumfeld durch Faktoren wie Homeoffice bzw. Remote-Work, die Cloud, künstliche Intelligenz und das Internet der Dinge (IoT) stark verändert.
Der nachfolgende Artikel beleuchtet die Ursachen und Folgen von Datenverlust sowie die Auswirkungen von Homeoffice und Co. auf die IT-Sicherheit. Abschließend erfahren Sie, wie Sie das neue digitale Arbeitsumfeld sicherer machen.
Datenverlust im Unternehmen: So teuer kann es werden
Die finanziellen Folgen eines Datenverlustes sind vielfältig. Unternehmen können infolge eines Verlustes beispielsweise mit gestohlenen oder verschlüsselten Daten erpresst werden. Weitere typische Kostenpunkte sind:
- datenschutzrechtliche Maßnahmen wie die Kontaktierung von Partnern und Kunden
- Patentrechtsverletzungen
- Produktivitätsverluste
- Umsatzeinbußen durch den Verlust strategischer Wettbewerbsvorteile
- Umsatzeinbußen durch Plagiate
- Umsatzeinbußen durch Imageschäden
- Kosten für Ermittlungen und Rechtsstreitigkeiten
Nach einer Studie des Digitalverbands Bitkom sind im Jahr 2022 durch den Diebstahl von Daten und IT-Ausrüstung sowie durch Spionage und Sabotage für die deutsche Wirtschaft Schäden in Höhe von etwa 203 Milliarden Euro entstanden. Zum Vergleich: Die Schadenssumme der Jahre 2018 und 2019 betrug zusammengerechnet mit 102,9 Milliarden Euro gerade einmal die Hälfte. 84 Prozent der stichprobenartig befragten 1066 Unternehmen gaben an, 2022 von Diebstahl, Spionage oder Sabotage betroffen gewesen zu sein. Weitere 9 Prozent gehen davon aus, Opfer gewesen zu sein.
Im weltweiten Vergleich liegt Deutschland in puncto Kosten infolge eines Datenlecks auf Platz 5: Etwa 4,85 Millionen US-Dollar betrugen die durchschnittlichen Kosten dem „Cost of a Data Breach Report 2022“ von IBM zufolge im vergangenen Jahr. Damit lag Deutschland über dem weltweiten Schnitt von 4,35 Millionen US-Dollar. Spitzenreiter waren die USA mit 9,44 Millionen US-Dollar pro Datenverlustfall.
Diese Branchen sind von Datendiebstahl besonders betroffen
Natürlich verursacht nicht jeder Datenverlust im Businesssektor einen Schaden in Millionenhöhe. Hierbei kommen verschiedene Faktoren zum Tragen, beispielsweise wie viele Daten in dem spezifischen Fall überhaupt verloren gegangen bzw. gestohlen worden sind. Zudem ist die Art der Daten entscheidend: Der Verlust sensibler Kunden- und Mitarbeiterdaten oder streng geheimer Unternehmensdaten wiegt logischerweise schwerer als der Verlust „einfacher“ Daten.
Auch aus den genannten Gründen sind bestimmte Branchen stärker von den Folgen eines Datenverlustes betroffen. Unternehmen und Einrichtungen, die eine Vielzahl an sensiblen Daten nutzen und speichern, haben im Angriffsfall auch mehr zu verlieren.
Es ist also keine Überraschung, dass das Gesundheitswesen das Ranking der betroffenen Branchen in der IBM-Studie seit drei Jahren anführt. Rund 10 Millionen US-Dollar Schaden verursachte ein Datenleck hier 2022 weltweit im Durchschnitt. Es folgen das Finanzwesen (5,97 Mio. US-Dollar), Pharma-Unternehmen (5,01 Mio. US-Dollar) und die Technologie-Branche (4,97 Mio. US-Dollar).
Was sind die typischen Ursachen für Datenverlust?
Im Business-Alltag existieren diverse Gefahrenpotenziale, die dazu führen können, dass wichtige Daten verloren gehen und Schäden entstehen. In einigen Fällen sind Mitarbeiter und Mitarbeiterinnen bzw. Angestellte direkt involviert, in anderen Fällen liegt die Problematik außerhalb der Kontrolle des Menschen. Nachfolgend sind die häufigsten Auslöser für Datenverlust im Unternehmen aufgeführt:
- System-/Hardwarefehler: Der Ausfall von Hardware, insbesondere von Festplatten, zählt zu den häufigsten Gründen für Datenverlust. Mechanische Probleme sind hierfür ebenso verantwortlich wie eine falsche Handhabung der Geräte. Regelmäßige Backups in der Cloud können die Folgen deutlich abschwächen.
- Versehentlicher Datenverlust: Verlorene Speichermedien, versehentlich gelöschte Datenbanken oder initiierte Festplattenformatierungen oder ein fallengelassener oder anderweitig beschädigter Laptop – die Liste potenzieller „Unfälle“ ist lang. IT-Richtlinien und entsprechende Schulungen helfen, das Bewusstsein für IT-Sicherheit zu schärfen, um derartige Vorfälle zu minimieren.
- Social Engineering: Beim Social Engineering treten Angreifer unter Vorspiegelung falscher Tatsachen mit Mitarbeitern und Mitarbeiterinnen in Kontakt (typischerweise via E-Mail oder Telefon), um an sensible Informationen wie Zugangsdaten zu gelangen. Auch in diesem Fall besteht der beste Schutz darin, das Sicherheitsbewusstsein (Security Awareness) zu stärken.
- Sicherheitslücken in Drittsoftware: Sicherheitslücken in Software zählen zu den größten Einfallstoren für Schadsoftware. Zwar bemühen sich Hersteller um eine schnelle Beseitigung von Schwachstellen, häufig werden diese jedoch zu spät aufgedeckt. Um das Risiko zu minimieren, sollten Unternehmen verfügbare Updates so schnell wie möglich aufspielen und nur auf zwingend erforderliche Programme von Drittanbietern zurückgreifen.
- Ungenügende Sicherheitsmechanismen: Wie erfolgreich Kriminelle beim Einschleusen von Malware und Abfangen von Anmeldedaten sind, hängt auch von den Sicherheitsmaßnahmen ab, die ein Unternehmen ergreift. Verfügen Arbeitsgeräte nicht über gute Sicherheitssoftware oder wird auf Zwei-Faktor-Authentifizierung verzichtet, ist das Risiko eines Datenverlustes automatisch höher.
- Phishing und kompromittierte Geschäfts-E-Mail-Konten: Phishing und E-Mail-Accounts, die von Kriminellen übernommen wurden, zählen ebenfalls zu den möglichen Ursachen für Datenverlust. Hier ist eine gute Kombination aus Spam- und E-Mail-Konto-Schutz sowie Vorsicht bei der Kommunikation mit digitalen Nachrichten gefragt.
Welchen Einfluss hat Homeoffice bzw. Remote-Work auf die IT-Sicherheit?
Corona hat die Digitalisierung in vielen Unternehmen entscheidend vorangetrieben. Besonders kennzeichnend war dabei der – zur Zeit der Pandemie zwingend erforderliche – Umstieg auf Homeoffice. Das moderne Arbeitsmodell hat sich auch nach Corona in vielen Firmen etabliert: Remote-Work, also die Arbeit aus der Ferne (ob Zuhause oder von unterwegs), macht heute für viele Arbeitnehmer und Arbeitnehmerinnen einen wichtigen Teil des Alltags aus.
So fortschrittlich diese Entwicklung auch ist, so unerwartet und vor allem ungeplant ist sie in vielen Unternehmen vonstattengegangen – ein Fakt, der nicht selten mit gewissen Nachlässigkeiten bzw. Engpässen in puncto IT-Sicherheit einhergegangen ist bzw. immer noch einhergeht. Wenig verwunderlich sind daher die Angaben der 817 befragten Unternehmen, bei denen Home-Office generell möglich ist, in der von Bitkom veröffentlichten Studie zum Wirtschaftsschutz 2021: Knapp 60 Prozent der Verantwortlichen gaben an, dass es seit Beginn der Corona-Pandemie IT-Sicherheitsvorfälle im eigenen Unternehmen gab, die auf die Arbeit im Homeoffice zurückzuführen waren. In jedem zweiten dieser Fälle entstand dabei auch ein Schaden für das Unternehmen.
Homeoffice: Was sind die spezifischen Sicherheitsrisiken?
Im Human Risk Review 2022 hat die deutsche Firma SoSafe 251 IT-Sicherheitsexperten und IT-Sicherheitsbeauftragte zur aktuellen Cyber-Bedrohungslage befragt. 9 von 10 gaben dabei an, die Lage hätte sich im Jahr 2021 spürbar verschärft. Als treibende Kraft hinter dieser Entwicklung sahen die Befragten neben der zunehmenden Professionalisierung der Cyberkriminalität (85 Prozent) die Verlagerung ins Homeoffice und die damit verknüpften neuen Angriffspunkte (75 Prozent).
Doch welche spezifischen Angriffspunkte birgt Homeoffice bzw. Remote-Work eigentlich genau? Die nachfolgende Grafik zeigt die größten Sicherheitsrisiken, die mit der Arbeit von zuhause bzw. unterwegs verknüpft sind, auf.
Eines der Hauptsicherheitsprobleme der Remote-Work liegt also darin, dass die Schutzmaßnahmen und -richtlinien für das mobile Arbeiten in vielen Fällen nicht ausreichend sind. Hinzu kommt das Risiko, dass Arbeitsgeräte, die außerhalb des Büros genutzt werden, leichter verloren gehen und schnell auch für unternehmensfremde Personen zugänglich sein können. Der Arbeitsplatz zuhause, im Café oder im Zug sorgt dafür, dass Arbeitnehmer und Arbeitnehmerinnen abgelenkt sind, Regeln missachten oder dazu neigen, das Risiko von Bedrohungen zu unterschätzen. In der Folge fallen sie beispielsweise leichter Phishing-Mails zum Opfer.
Schutzmaßnahmen und der Faktor Kosten
Aufgrund der zusätzlichen Risiken, die Remote-Work für die Sicherheit bedeutet, sollten die Sinne der Unternehmen in den vergangenen Jahren eigentlich in besonderer Weise geschärft worden sein. Die Realität sieht häufig jedoch etwas anders aus: Im Schnitt schätzten die in der Studie zum Wirtschaftsschutz 2022 (Bitkom) befragten 1066 Verantwortlichen, dass das Budget für IT-Sicherheit gerade einmal einen Anteil von 9 Prozent am gesamten IT-Budget ausmacht. Im Vergleich zu 2021 ist dieser Wert damit zwar um 2 Prozent gestiegen. Angesichts der drohenden Gefahren und Kosten sind diese Investitionen aber viel zu zaghaft.
Ursache für das sehr zögerliche Verhalten dürfte in vielen Firmen neben Bequemlichkeit und fehlender Awareness vor allem der Kostenfaktor sein – umfassende Schutzmaßnahmen haben ihren Preis. Diese Kosten stehen jedoch in keinerlei Verhältnis zu den Kosten, die bei einem möglichen Datenleck drohen. Wir haben drei zentrale Sicherheitsmaßnahmen für Homeoffice und Co. sowie ihren Kostenfaktor zusammengefasst.
Backups
Um optimal für den Fall eines Datenverlusts vorbereitet zu sein, sollten Sie in Ihrem Unternehmen Sicherungskopien aller wichtigen Dokumente, Dateien und Datenbanken anfertigen. Eine umfassende Backup-Strategie, die die gesamte Belegschaft und sämtliche Geräte (ob im Homeoffice, im Außendienst oder im Büro) umfasst, zählt zum Pflichtprogramm. Backups in der Cloud werden dabei immer wichtiger und beliebter, auch um die 3-2-1 Backup-Regel abzudecken, die unter anderem eine Speicherung der Backups „außer Haus“ vorsieht. In speziellen Business-Tarifen bieten professionelle Cloud-Anbieter Unternehmen ausreichend Speicherplatz zu erschwinglichen Preisen.
Multi-Faktor-Authentifizierung (MFA)
Multi- bzw. Zwei-Faktor-Authentifizierung erweitern den gewöhnlichen Login mit Benutzername und Passwort bzw. PIN um einen oder mehrere weitere Faktoren. Zu dem Faktor „Wissen“ gesellt sich dabei in den meisten Fällen der Faktor „Besitz“. Die Authentifizierung bei einem Login ist erst dann erfolgreich, wenn alle erforderlichen Faktoren erfüllt sind. Zusätzlich zu dem Passwort ist dann bei der Anmeldung zum Beispiel ein Code einzugeben, der direkt an Geräte wie ein Smartphone oder einen sog. USB-Dongle gesendet wird, die sich im Besitz der sich anmeldenden Person befinden.
Für viele Drittanbieterdienste lässt sich eine Zwei-Faktor-Authentifizierung hinzubuchen, insofern diese nicht bereits Teil des Standardpaketes ist. Zudem können Sie den Zugriff auf eigene Anwendungen oder das Firmennetzwerk ebenfalls mit einer MFA-Lösung absichern. Die monatlichen Kosten liegen in der Regel bei wenigen Euro pro Gerät.
Virtual Private Network (VPN)
Eine der wichtigsten Maßnahmen für mehr Sicherheit am mobilen Arbeitsplatz ist die Einrichtung und Nutzung eines Virtual Private Networks, kurz VPN. Machen Sie die Unternehmensressourcen über ein solches virtuelles Netzwerk verfügbar, können alle befugten Personen über das Internet auf sie zugreifen. Dabei profitieren sie von Verschlüsselungs- und Authentifizierungsverfahren, die eine anonyme und gesicherte Übertragung von Daten gewährleisten.
Kostenpunkte für ein VPN für das eigene Unternehmen sind das zentrale VPN-Gateway, das Ihre Firmenressourcen über das Internet verfügbar macht, sowie die einzelnen VPN-Zugänge. Für die einzelnen Zugänge zahlen Sie in der Regel pro User einen einstelligen monatlichen Betrag. Gateways gibt es bereits ab 30–50 Euro monatlich – für besonders leistungsstarke VPN-Gateways, die einen großen Datendurchsatz und hohe Verfügbarkeit leisten müssen, können aber durchaus mehrere Tausend Euro im Monat anfallen.
Die besten Tipps für ein sicheres digitales Arbeitsumfeld
IT-Sicherheit ist und bleibt eine der wichtigsten Stellschrauben für eine sorgenfreie Business-Zukunft – denn Datenverlust kann jedes Unternehmen treffen. Investitionen in umfassende Schutzmaßnahmen sind der logische Schritt und zahlen sich langfristig aus. Eine gute Kombination aus technischen und organisatorischen Sicherheitsmaßnahmen ist gefragt, um den digitalen Arbeitsplatz der Zukunft sicherer zu machen. Das sahen auch über 80 Prozent der befragten Experten und Expertinnen des SoSafe-Berichts so.
Wichtig ist, dass Business-Verantwortliche und Mitarbeiter und Mitarbeiterinnen Hand in Hand arbeiten: Eingerichtete Sicherheitsstrukturen können ihre volle Wirkung nur dann entfalten, wenn sich alle im Unternehmen – Chefs und Angestellte, im Remote-Office und im Büro – an die definierten Richtlinien halten und verantwortungsbewusst mit geschäftlichen Daten und Nachrichten umgehen. In der folgenden Infografik haben wir abschließend die wichtigsten Tipps und Schritte für mehr Sicherheit am digitalen Arbeitsplatz für Sie zusammengefasst.
Quellen:
https://www.bitkom.org/Presse/Presseinformation/Wirtschaftsschutz-2022
https://www.ibm.com/de-de/reports/data-breach
https://sosafe-awareness.com/de/ressourcen/reports/human-risk-review/