Remote Work steigert Sicherheitsbedürfnis der Unternehmen Datensicherheit braucht einen Mix an Maßnahmen

Von István Lám

Die weltweite Datenmenge steigt rasant an. 2025 wird sie 175 Zettabyte (ZB) erreichen, so die International Data Corporation. Das entspricht einem Wachstum von 27 Prozent jährlich seit 2018. Damals waren es noch 33 ZB. Diese unvorstellbare Menge an Daten effizient zu sichern, wird zu einer der größten Herausforderungen der IT in den nächsten Jahren. Denn mehr Datentransfer bedeutet auch mehr Risiko unberechtigter Zugriffe.

Anbieter zum Thema

Um den Datentransfer sicher zu gestalten, bedarf es einer Kombination aus verschiedenen Maßnahmen: die richtige Security-Software, ein sicheres Filesharing und geschulte und sensibilisierte Mitarbeiter:innen.
Um den Datentransfer sicher zu gestalten, bedarf es einer Kombination aus verschiedenen Maßnahmen: die richtige Security-Software, ein sicheres Filesharing und geschulte und sensibilisierte Mitarbeiter:innen.
(© envfx - stock.adobe.com)

Daten gehören in unserer Zeit zu den wertvollsten Ressourcen überhaupt. Doch wenn es darum geht, diesen Schatz zu beschützen, hinken die Unternehmen hinterher. Das haben der Filehosting-Dienst Tresorit und das Umfrageinstitut Opinion Matters in einer Befragung von IT-Entscheidungsträgern festgestellt: Führungskräfte halten sichere Datentransfers gerade angesichts des Remote-Work-Booms für besonders wichtig – nutzen die Tools für Cybersecurity jedoch nur unzureichend. Wie muss also eine effiziente Sicherheitsstrategie aussehen?

Einer der wichtigsten Gründe hierfür ist, neben dem allgemeinen Wachstum der Datenmengen, die zunehmende Anzahl von Arbeitsplätzen außerhalb der Unternehmen. Sie sind infolge der Pandemie stark angestiegen. Der Bundesverband Digitale Wirtschaft hat festgestellt, dass ein Viertel der Angestellten auch noch nach Corona hybrid arbeiten wird, also Teile seiner Arbeitszeit im Home Office verbringt.

Doch wenn Daten das Unternehmensnetzwerk verlassen, um sie mit externen Partnern zu teilen oder wenn sie umgekehrt von außen in das Netzwerk eingebracht werden, steigt die Gefahr unberechtigter Zugriffe. Folgerichtig steigt das Sicherheitsbedürfnis. Das hat eine Befragung des Filesharing-Anbieters Tresorit, gemeinsam durchgeführt mit dem Marktforschungsunternehmen Opinion Matters, unter 750 IT-Entscheidungsträger ergeben. 72 Prozent von ihnen gaben an, dass sicherer Datenaustausch in Zeiten von Remote Work bedeutender geworden ist. Die drei größten Risiken, die Befragten sehen, sind Sicherheitsschwachstellen der verwendeten Software (49 Prozent), potenzieller Kontrollverlust über geteilte Dateien (47 Prozent) und die Schwierigkeit bei der Bereitstellung und Instandhaltung der Tools (46 Prozent).

Während die Unternehmen sich also der zunehmenden Gefahr von Cyperkriminalität bewusst sind, hinken die getroffenen Maßnahmen jedoch hinterher. So gaben 70 Prozent an, dass ihr Unternehmen noch keine umfassenden Richtlinien für das Teilen sensibler Daten mit Externen hat, nur 30 Prozent nutzen integrierte End-to-End-Encryption-Tools.

Filesharing-Anbieter können Unternehmen dabei unterstützen, Daten geschützt zu transferieren, ohne dass sensible Informationen auf dem Weg verloren gehen. Welche Möglichkeiten gibt es also, um resiliente Sicherheitsstrategien für den externen Datenaustausch aufzubauen?

Mitarbeiter:innen für IT-Sicherheit und Datenschutz sensibilisieren

Social Engineering bezeichnet den Versuch zwischenmenschlicher Beeinflussung mit dem Ziel, bestimmte Verhaltensweisen hervorzurufen. Im Kontext von Datensicherheit bedeutet dies, an vertrauliche Informationen wie Kreditkartendaten und Passwörter zu gelangen oder Schadsoftware zu installieren. Cyberkriminelle haben den Wert menschlicher Manipulation erkannt, um in fremde Computersysteme einzudringen. Eine Bitkom-Studie aus dem Jahr 2020 besagt, dass 22 Prozent der Unternehmen von analogen, 15 Prozent von digitalen Social-Engineering-Attacken betroffen waren. Denn ist die IT-Security noch so ausgefeilt und robust, wenn Mitarbeiter:innen in gutem Glauben Zugangsdaten und Passwörter an getarnte Hacker:innen weitergeben, ist jede Sicherheitslösung vergebens.

Auch Achtlosigkeit stellt ein hohes Risiko dar. Als sich im Mai 2021 beim IT-Dienstleister IBES sich ein Verschlüsselungstrojaner den Zugriff auf die Computersysteme verschaffte, nannte das Unternehmen als Grund “menschliche Fahrlässigkeit”. Das kann ein unbedachter Klick auf einen Link sein, der ein komplettes System mit Viren infiziert. Auch wenn Mitarbeiter:innen unterwegs sind und in öffentlichen WLAN-Netzwerken arbeiten, vielleicht sogar auf ihren privaten Mobiltelefonen ohne entsprechende Sicherheitssoftware, ist das Risiko hoch. Deswegen sollte die Sensibilisierung der Angestellten für die Gefahren des Social Engineering ein zentrales Element der Sicherheitsstrategie sein. Es ist sinnvoll, einen Datenschutzbeauftragten zu benennen, der Angestellte regelmäßig schult und über aktuelle Bedrohungen und Vorbeugungsmaßnahmen informiert.

Passwörter und Authentifizierung ernst nehmen

Im April 2021 wurden die Computersysteme der Vereinten Nationen Opfer eines Hacker:innenangriffs. Dies geschah wahrscheinlich durch Zugangsdaten, die im Darknet zum Kauf angeboten wurden. Unverzichtbar für die Cybersecurity sind deshalb Passwortmanagertools zur Generierung sicherer Zugangsdaten und zu ihrer zentralen Verwaltung. Sie vergeben starke und einzigartige Passwörter für jedes einzelne Konto, die regelmäßig ausgetauscht werden. Dabei können IT-Teams einen Turnus festlegen, in dem Mitarbeiter:innen ihre Passwörter regelmäßig ändern müssen, um weiterhin Zugriff auf die Systeme des Unternehmens zu haben. Bei besonders sensiblen Firmendaten ist darüber hinaus eine Zwei-Faktor-Authentifizierung anzuraten.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Antivirenprogramm up to date halten

Die aufmerksame Pflege der Passwörter und die Schulung der Mitarbeiter:innen, um Phishing-Mails zu erkennen reichen jedoch nicht aus, um Systeme gegen feindliche Attacken zu schützen. Auch die IT-Umgebungen selbst müssen gesichert sein, da sie ansonsten für Hacker:innen der leichteste Weg sind, in die Systeme der Unternehmen zu gelangen oder Erpressersoftware, Trojaner und Botnets zu installieren.

Antivirensoftware überprüft beispielsweise Anhänge von E-Mails oder den gesamten Rechner auf Anzeichen bösartiger Software. Dies geschieht vornehmlich, indem sie die Daten auf dem Rechner nach verdächtigen Daten durchsucht. Findet sie die Signatur einer Schadsoftware, blockiert das Programm den weiteren Zugriff auf die betroffenen Daten. Da täglich neue Varianten von Schädlingen auftreten, müssen die Signaturen immer auf dem aktuellen Stand sein und die Software regelmäßig aktualisiert werden.

Backups schützen Daten vor Ransomware

Hacker:innen, die in IT-Systeme eindringen, um die Infrastruktur lahmzulegen, stehlen die Daten und löschen sie von den Servern. Gegen Zahlung eines Lösegeldes (“ransom”) bieten sie den Wiedererwerb der Daten an. Um die Erpressbarkeit zu minimieren, ist es wichtig, sensible Daten über einen Back-up-Service zu sichern. Dieser ist nicht automatisch in jeder Cloud integriert und sollte in jedem Fall vertraglich festgelegt werden. Filesharing-Dienste bieten ebenfalls solche Services an.

Ende-zu-Ende-Verschlüsselung beim Datentransfer

Wie eingangs beschrieben, ist der Transfer von Unternehmensdaten mit besonders hohen Sicherheitsrisiken behaftet. Vermeiden lässt sich dieses Risiko kaum, denn fast jedes Unternehmen ist in irgendeiner Art auf den Austausch von Daten angewiesen. Allerdings sind die Lösungen von Filesharing-Anbietern heute so weit entwickelt, dass Unternehmen das Risiko auf ein Minimum reduzieren können. Ende-zu-Ende-Verschlüsselung gilt aktuell als der Königsweg, um vertrauliche Daten von Nutzer:innen zu schützen. Hierbei erfolgt die Verschlüsselung clientseitig, wodurch Dateien verschlüsselt werden, bevor sie das Absender-Gerät verlassen. Sie bleiben so lange vollständig verschlüsselt, bis sie die Empfänger:innen erreichen. Das Zero-Knowledge-Prinzip besagt, dass ein Anbieter Dateien und Passwörter niemals unverschlüsselt oder in Klartext einsehen kann. Im Falle einer Datenpanne kann so niemand die Inhalte entschlüsseln.

Mix aus Maßnahmen

Um den Datentransfer sicher zu gestalten, bedarf es also einer Kombination aus verschiedenen Maßnahmen: die richtige Security-Software, ein sicheres Filesharing und geschulte und sensibilisierte Mitarbeiter:innen. Erst wenn diese drei Faktoren erfüllt sind, erreichen Unternehmen jene Cyber-Resilienz, die in Zeiten eines angestiegenen Datenaustausches über die Unternehmenssysteme hinweg unverzichtbar ist.

Über den Autor: István Lám ist CEO and Founder von Tresorit.

(ID:47904566)