Das Risiko von Datenlecks besteht in jedem Unternehmen. Die neueste Studie von Barracuda zeigt, dass knapp die Hälfte (48 Prozent) der in den USA, Großbritannien, Deutschland, Frankreich und Australien befragten Unternehmen im letzten Jahr von einem Datenleck betroffen waren, bei dem sensible Informationen über Bestands- und mögliche Neukunden sowie Mitarbeiter verloren gingen oder gestohlen wurden. Bei Finanzdienstleistern sind es sogar 54 Prozent.
Nicht jeder Datenverlust birgt das gleiche Geschäftsrisiko. Daher sollten Unternehmen ihre Sicherheitsressourcen entsprechend ausrichten.
(Bild: ArtemisDiana - stock.adobe.com)
Nicht jeder Datenverlust birgt das gleiche Geschäftsrisiko. Daher sollten Unternehmen ihre Sicherheitsressourcen entsprechend ausrichten. Es überrascht nicht, dass in der Umfrage Finanzinformationen die Liste der Daten anführen (43 Prozent), die bei Verlust oder Diebstahl die größten finanziellen oder betrieblichen Auswirkungen auf das Unternehmen haben.
Der Verlust von Mitarbeiterdaten hat insgesamt die zweitgrößten Auswirkungen (37 Prozent). Der Abstand zwischen dem zweiten und dem dritten Platz der personenbezogene Kundendaten (36 Prozent) ist gering, liegt aber bei den größten befragten Unternehmen höher (40 Prozent). Dies könnte auf die Tatsache zurückzuführen sein, dass Unternehmen oft mehr und detailliertere, sensiblere und vertraulichere Informationen über ihre Mitarbeiter besitzen als über ihre Kunden. Angreifer könnten diesen Umstand zu Erpressungszwecken nutzen, indem sie böswillige Insider rekrutieren, um Unternehmen beispielsweise kostspieligen Prozessen und Bußgeldern aufgrund von Verstößen gegen Datenschutzgesetze auszusetzen.
Der Verlust von geistigem Eigentum wirkt sich auf kleinere Unternehmen (30 Prozent) stärker aus als auf größere (21 Prozent). Dies liegt möglicherweise daran, dass kleinere Unternehmen in hohem Maße auf geistiges Eigentum angewiesen sind, um sich Wettbewerbsvorteile zu verschaffen, und weniger wahrscheinlich über ein breiteres Spektrum an Vermögenswerten verfügen.
Der Verlust von E-Mails und informellen Chats/Texten hat die größten Auswirkungen für größere Unternehmen (32 Prozent). Dies könnte auf das Risiko ausgefeilter E-Mail-Bedrohungen, wie etwa die BEC-Angriffe, und die Notwendigkeit zurückzuführen sein, solche Aufzeichnungen für die Offenlegung und Einhaltung gesetzlicher Vorschriften aufzubewahren.
Hauptursachen von Datenlecks
Für die Studie wurden die Sicherheitsexperten auch nach den Hauptursachen für Datenlecks befragt. Die Ergebnisse zeigen, wie groß die digitalen Angriffsflächen geworden sind, mit zahlreichen Schwachstellen, die Netzwerke und Daten gefährden können. Die Hauptursachen lassen sich in vier Kategorien einteilen: Menschen, Cyber-Bedrohungen, Lieferkette oder Systemfehler/Fehlkonfiguration.
Für deutsche Unternehmen waren die Hauptursachen:
Aktivitäten von Mitarbeitern/Auftragnehmern, sei es durch Nachlässigkeit (41 Prozent) oder böswillige Handlungen (41 Prozent)
Versäumnisse im Bereich der IT-Sicherheit, einschließlich ungepatchter Schwachstellen (34 Prozent), Fehler im System oder im Betriebsverfahren (44 Prozent)
Fehler von Dritten (42 Prozent)
Externe Angreifer: Hacking (30 Prozent), Phishing (44 Prozent) und Viren oder andere Malware (48 Prozent).
Zudem zeigte die Studie, dass in deutschen Unternehmen rund einer von sechs (19 Prozent) erfolgreichen Phishing-Angriffen zum Verlust sensibler Daten führte. Viele dieser potenziellen Schwachstellen können durch wirksame Sicherheitstechnologien und -richtlinien behoben werden.
Maßnahmen zum Schutz sensibler Daten
1. Authentifizierung und Zugriff: Unabhängig von der Größe des Unternehmens sollten stets die grundlegenden Sicherheitsmaßnahmen implementiert werden. Dazu gehört ein solider Ansatz für die Authentifizierung und den Zugriff auf Unternehmensressourcen, der standardmäßig eine Multifaktor-Authentifizierung vorsieht und idealerweise zu einem Zero-Trust-Ansatz übergeht.
2. KI-gestützte Sicherheitstechnologien: Die IT-Infrastruktur sollte über tiefgreifende, KI-gestützte Sicherheitstechnologien verfügen, welche die gesamte Angriffsfläche und jeden Eintrittspunkt – von Geräten über APIs bis hin zu Cloud-Ressourcen – abdecken und für vollständige Transparenz sorgen.
3. Unterstützung durch externe Sicherheitsexperten: Idealerweise sollte die Sicherheitstechnologien durch ein 24/7-Security Operations- und -Monitoring-Service unterstützt werden. So sind Unternehmen rund um die Uhr vorbereitet, auf jede Bedrohung zu reagieren, sie zu entschärfen und zu neutralisieren, bevor sie sich weiter in der Cyber-Kill-Chain bewegt.
4. Backups: Parallel dazu sollten Unternehmen ihre Daten kontinuierlich sichern. Alle gesicherten Daten sollten verschlüsselt sein, sowohl im Ruhezustand als auch während der Übertragung. Dabei sollte der Goldstandard von drei Sicherungskopien auf zwei verschiedenen Medien, von denen eines offline gehalten wird, eingehalten werden.
5. Mitarbeiterschulungen: Da menschliche Fehler immer noch das schwächste Glied in der Sicherheitskette sind, ist die Einbindung und Schulung der Mitarbeiter entscheidend. Alle Mitarbeiter sollten regelmäßig über aktuelle Bedrohungen und Betrugsversuche aufgeklärt werden und wissen, was zu tun ist, wenn sie etwas Verdächtiges bemerken.
6. Datenschutzbestimmungen: Nicht zuletzt muss sichergestellt werden, dass Unternehmensverantwortliche die Datenschutzbestimmungen für jeden Markt, in dem sie tätig sind, kennen und einhalten.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Daten bleiben eine der kritischsten Unternehmenswerte und werden auch zukünftig verstärkt im Visier von Cyberkriminellen stehen. Damit die Cybersicherheit ihre volle Wirkung entfalten kann, muss sie deshalb von der obersten Führungsebene unterstützt werden. Nur so kann ein robuster, gesetzeskonformer Ansatz für Datenschutz und Datensicherheit effektiv umgesetzt werden.
Über die Studie: Im Auftrag von Barracuda führte das Ponemon Institute eine internationale Studie durch, die sich mit den Sicherheitsherausforderungen und den finanziellen Folgen von Kompromittierungen in Unternehmen mit 100 bis 5.000 Mitarbeitern befasst. Ponemon befragte für den Cybernomics 101 Report im September 2023 1.917 IT-Sicherheitsexperten in den Vereinigten Staaten (522), Großbritannien (372), Frankreich (329), Deutschland (425) und Australien (269).
Über den Autor: Dr. Klaus Gheri ist Vice President & General Manager Network Security bei Barracuda Networks.