Remote-Work steigert Sicherheitsbedürfnis der Unternehmen Datensicherheit braucht einen Mix an Maßnahmen

Von István Lám*

Die weltweite Datenmenge steigt rasant an. 2025 wird sie 175 Zettabyte (ZB) erreichen, so die International Data Corporation. Das entspricht einem Wachstum von 27 Prozent jährlich seit 2018. Damals waren es noch 33 ZB. Diese unvorstellbare Menge an Daten effizient zu sichern, wird zu einer der größten Herausforderungen der IT in den kommenden Jahren. Denn mehr Datentransfer bedeutet auch mehr Risiko unberechtigter Zugriffe.

Anbieter zum Thema

Um den Datentransfer sicher zu gestalten, bedarf es einer Kombination aus verschiedenen Maßnahmen: der richtigen Security-Software, eines sicheren Filesharings und geschulter und sensibilisierter Mitarbeiter:innen.
Um den Datentransfer sicher zu gestalten, bedarf es einer Kombination aus verschiedenen Maßnahmen: der richtigen Security-Software, eines sicheren Filesharings und geschulter und sensibilisierter Mitarbeiter:innen.
(© envfx - stock.adobe.com)

Daten gehören in unserer Zeit zu den wertvollsten Ressourcen überhaupt. Doch wenn es darum geht, diesen Schatz zu beschützen, hinken die Unternehmen hinterher. Das haben der Filehosting-Dienst Tresorit und das Umfrageinstitut Opinion Matters in einer Befragung von IT-Entscheidungsträgern festgestellt: Führungskräfte halten sichere Datentransfers gerade angesichts des Remote-Work-Booms für besonders wichtig – nutzen die Tools für Cybersecurity jedoch nur unzureichend. Wie muss also eine effiziente Sicherheitsstrategie aussehen?

Einer der wichtigsten Gründe hierfür ist, neben dem allgemeinen Wachstum der Datenmengen, die zunehmende Anzahl von Arbeitsplätzen außerhalb der Unternehmen. Sie ist infolge der Pandemie stark angestiegen. Der Bundesverband Digitale Wirtschaft hat festgestellt, dass ein Viertel der Angestellten auch noch nach Corona hybrid arbeiten wird, also Teile seiner Arbeitszeit im Home-Office verbringt.

Doch wenn Daten das Unternehmensnetzwerk verlassen, um sie mit externen Partnern zu teilen, oder wenn sie umgekehrt von außen in das Netzwerk eingebracht werden, steigt die Gefahr unberechtigter Zugriffe. Folgerichtig steigt das Sicherheitsbedürfnis. Das hat eine Befragung des Filesharing-Anbieters Tresorit, gemeinsam durchgeführt mit dem Marktforschungsunternehmen Opinion Matters, unter 750 IT-Entscheidungsträger ergeben. 72 Prozent von ihnen gaben an, dass sicherer Datenaustausch in Zeiten von Remote-Work bedeutender geworden ist. Die drei größten Risiken, welche die Befragten sehen, sind Sicherheitsschwachstellen der verwendeten Software (49 Prozent), potenzieller Kontrollverlust über geteilte Dateien (47 Prozent) und die Schwierigkeit bei der Bereitstellung und Instandhaltung der Tools (46 Prozent).

Während die Unternehmen sich also der zunehmenden Gefahr von Cyperkriminalität bewusst sind, hinken die getroffenen Maßnahmen jedoch hinterher. So gaben 70 Prozent an, dass ihr Unternehmen noch keine umfassenden Richtlinien für das Teilen sensibler Daten mit Externen hat, nur 30 Prozent nutzen integrierte End-to-End-Encryption-Tools.

Filesharing-Anbieter können Unternehmen dabei unterstützen, Daten geschützt zu transferieren, ohne dass sensible Informationen auf dem Weg verloren gehen. Welche Möglichkeiten gibt es also, um resiliente Sicherheitsstrategien für den externen Datenaustausch aufzubauen?

Mitarbeiter:innen für IT-Sicherheit und Datenschutz sensibilisieren

Social Engineering bezeichnet den Versuch zwischenmenschlicher Beeinflussung mit dem Ziel, bestimmte Verhaltensweisen hervorzurufen. Im Kontext von Datensicherheit bedeutet dies, an vertrauliche Informationen wie Kreditkartendaten und Passwörter zu gelangen oder Schad-Software zu installieren. Cyberkriminelle haben den Wert menschlicher Manipulation erkannt, um in fremde Computersysteme einzudringen. Eine Bitkom-Studie aus dem Jahr 2020 besagt, dass 22 Prozent der Unternehmen von analogen und 15 Prozent von digitalen Social-Engineering-Attacken betroffen waren. Denn auch wenn die IT-Security noch so ausgefeilt und robust ist, wenn Mitarbeiter:innen in gutem Glauben Zugangsdaten und Passwörter an getarnte Hacker:innen weitergeben, ist jede Sicherheitslösung vergebens.

Auch Achtlosigkeit stellt ein hohes Risiko dar. Als sich im Mai 2021 beim IT-Dienstleister IBES ein Verschlüsselungstrojaner den Zugriff auf die Computersysteme verschaffte, nannte das Unternehmen als Grund „menschliche Fahrlässigkeit“. Das kann ein unbedachter Klick auf einen Link sein, der ein komplettes System mit Viren infiziert. Auch wenn Mitarbeiter:innen unterwegs sind und in öffentlichen WLAN-Netzwerken arbeiten, vielleicht sogar auf ihren privaten Mobiltelefonen ohne entsprechende Sicherheits-Software, ist das Risiko hoch. Deswegen sollte die Sensibilisierung der Angestellten für die Gefahren des Social Engineerings ein zentrales Element der Sicherheitsstrategie sein. Es ist sinnvoll, einen Datenschutzbeauftragten zu benennen, der Angestellte regelmäßig schult und über aktuelle Bedrohungen und Vorbeugungsmaßnahmen informiert.

Passwörter und Authentifizierung ernst nehmen

Im April 2021 wurden die Computersysteme der Vereinten Nationen Opfer eines Hacker:innenangriffs. Dies geschah wahrscheinlich durch Zugangsdaten, die im Darknet zum Kauf angeboten wurden. Unverzichtbar für die Cybersecurity sind deshalb Passwortmanagertools zur Generierung sicherer Zugangsdaten und zu ihrer zentralen Verwaltung. Sie vergeben starke und einzigartige Passwörter für jedes einzelne Konto, die regelmäßig ausgetauscht werden. Dabei können IT-Teams einen Turnus festlegen, in dem Mitarbeiter:innen ihre Passwörter regelmäßig ändern müssen, um weiterhin Zugriff auf die Systeme des Unternehmens zu haben. Bei besonders sensiblen Firmendaten ist darüber hinaus eine Zwei-Faktor-Authentifizierung anzuraten.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Data-Storage und -Management

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Antivirenprogramm up to date halten

Die aufmerksame Pflege der Passwörter und die Schulung der Mitarbeiter:innen, um Phishing-Mails zu erkennen, reichen jedoch nicht aus, um Systeme vor feindlichen Attacken zu schützen. Auch die IT-Umgebungen selbst müssen gesichert sein, da sie ansonsten für Hacker:innen der leichteste Weg sind, in die Systeme der Unternehmen zu gelangen oder Erpresser-Software, Trojaner und Botnets zu installieren.

Antiviren-Software überprüft beispielsweise Anhänge von E-Mails oder den gesamten Rechner auf Anzeichen bösartiger Software. Dies geschieht vornehmlich, indem sie die Daten auf dem Rechner nach verdächtigen Daten durchsucht. Findet sie die Signatur einer Schad-Software, blockiert das Programm den weiteren Zugriff auf die betroffenen Daten. Da täglich neue Varianten von Schädlingen auftreten, müssen die Signaturen immer auf dem aktuellen Stand sein und die Software regelmäßig aktualisiert werden.

Backups schützen Daten vor Ransomware

Hacker:innen, die in IT-Systeme eindringen, um die Infrastruktur lahmzulegen, stehlen die Daten und löschen sie von den Servern. Gegen Zahlung eines Lösegeldes („ransom“) bieten sie den Wiedererwerb der Daten an. Um die Erpressbarkeit zu minimieren, ist es wichtig, sensible Daten über einen Backup-Service zu sichern. Dieser ist nicht automatisch in jeder Cloud integriert und sollte in jedem Fall vertraglich festgelegt werden. Filesharing-Dienste bieten ebenfalls solche Services an.

Ende-zu-Ende-Verschlüsselung beim Datentransfer

Wie eingangs beschrieben, ist der Transfer von Unternehmensdaten mit besonders hohen Sicherheitsrisiken behaftet. Vermeiden lässt sich dieses Risiko kaum, denn fast jedes Unternehmen ist in irgendeiner Art auf den Austausch von Daten angewiesen. Allerdings sind die Lösungen von Filesharing-Anbietern heute so weit entwickelt, dass Unternehmen das Risiko auf ein Minimum reduzieren können. Ende-zu-Ende-Verschlüsselung gilt aktuell als der Königsweg, um vertrauliche Daten von Nutzer:innen zu schützen. Hierbei erfolgt die Verschlüsselung clientseitig, wodurch Dateien verschlüsselt werden, bevor sie das Absendergerät verlassen. Sie bleiben so lange vollständig verschlüsselt, bis sie die Empfänger:innen erreichen. Das Zero-Knowledge-Prinzip besagt, dass ein Anbieter Dateien und Passwörter niemals unverschlüsselt oder in Klartext einsehen kann. Im Falle einer Datenpanne kann so niemand die Inhalte entschlüsseln.

Mix aus Maßnahmen

Um den Datentransfer sicher zu gestalten, bedarf es also einer Kombination aus verschiedenen Maßnahmen: der richtigen Security-Software, eines sicheren Filesharings und geschulter und sensibilisierter Mitarbeiter:innen. Erst wenn diese drei Faktoren erfüllt sind, erreichen Unternehmen jene Cyber-Resilienz, die in Zeiten eines angestiegenen Datenaustausches über die Unternehmenssysteme hinweg unverzichtbar ist.

*Der Autor: István Lám ist CEO and Founder von Tresorit.

(ID:47959055)