Kundendaten, Mitarbeiterdaten, Unternehmensdaten, Buchhaltungsdaten – was passiert, wenn diese sensiblen Informationen in die falschen Hände gelangen oder verloren gehen? Wie kann so etwas überhaupt passieren und was sind die Hauptrisiken? Wenn Sie sich diese Fragen ab und zu stellen, sollten Sie Ihre IT-Sicherheit einem genauen Check unterziehen.

Die Ausmaße der Internetkriminalität sind erschreckend. Der geschätzte Schaden belief sich laut einer McAfee Studie weltweit im Jahr 2014 auf 400 Mrd. USD, davon in Deutschland 39,4 Mrd. Euro (Statista 2014).

Ein Angriff, der besonders hohe Wellen geschlagen hat, ereignete sich im April 2011. Ziel war der Sony-Playstation Online-Dienst, bei dem 77 Millionen Nutzerdaten gestohlen wurden – darunter auch Kreditkarten-Nummern. Der dadurch verursachte Schaden (Geschäftsausfall, Mehraufwand, Entschädigungsleistungen) belief sich auf geschätzte 150 Millionen Euro – ganz abgesehen vom Imageschaden. Der Versicherer von Sony weigert sich, für die entstandenen Schäden aufzukommen, da hierfür keine Deckung bestand.

Auch der Cyberangriff 2015 auf den Bundestag hat für großes Aufsehen gesorgt. Die Hacker hatten sich Zugriff auf 14 Bundestagsserver verschafft, darunter auch auf den Hauptserver mit sämtlichen Zugangsdaten zum deutschen Parlament.

Auch bei der Absicherung von IT Risiken kennt AXA sich gut aus. Der Experte AXA Information Security, Helmut Rother, beantwortet wichtige Fragen, die für Sie und Ihre IT-Sicherheit von großem Interesse sein können.

Herr Rother, beim Thema Datensicherheit wird meistens der Schutz vor Datendieben und vor selbstverschuldetem Datenverlust herausgestellt – ist das so richtig? Kann sich ein Unternehmen zum Beispiel durch Antivirus-Software, Backups und einen Notfallplan ausreichend schützen?

Helmut Rother: „Datensicherheit wird oft mit dem Verlust oder Diebstahl von Daten gleichgesetzt. Zunächst einmal gehen die Daten in den meisten Fällen nicht verloren wie ein Portemonnaie. Die Daten werden kopiert, sind also noch da – und trotzdem weg. Es ist also nicht der Fall, dass man die Daten wiederfindet und damit das Problem löst. Mit der illegalen Kopie der Daten – also praktisch der Zellteilung in zwei identische Kopien (zwei identische Versionen, nur eine ist eine Kopie) – beginnt die Vermehrung, die dann im Internet nicht mehr aufzuhalten ist.

Bezogen auf den Verlust der Daten, geht es für das Unternehmen in der Regel um eine grundlegende Frage, egal ob die Daten gestohlen oder verloren gehen: Liegt ein Organisationsverschulden vor? Das bedeutet: Waren die Maßnahmen zum Schutz der Daten für den Unternehmenstyp und die Sensibilität der Daten angemessen? Als Maßstab sind hier die für die Unternehmung geltenden, gesetzlichen und regulatorischen Vorgaben anzusetzen.

Im Versicherungsumfeld ist insbesondere der Datenschutz und Solvency II (Projekt der EU-Kommission zu einer Reform des Versicherungsaufsichtsrechts, vor allem über die Eigenmittelausstattung von Versicherungsunternehmen) zu nennen, die weitere Verschärfungen der Risiko- und Kontrollmaßnahmen mit sich bringen.

Ein Beispiel zur Veranschaulichung: Ein großes Versicherungsunternehmen hat einen USB-Stick mit unverschlüsselten Daten verloren und wurde von den Aufsichtsbehörden in England zu einer Geldstrafe von mehreren Millionen Euro verurteilt. Die gesamten Versandprozesse sahen vor, dass die Daten unverschlüsselt versendet werden. Dabei spielte keine Rolle, ob die Daten letztendlich tatsächlich missbräuchlich genutzt wurden. Schlimmer als die Vertragsstrafe sind aber unter Umständen die Imagerisiken. Niemand möchte in der Zeitung lesen, dass ein Unternehmen, dem ich meine Daten anvertraue, mit diesen fahrlässig umgeht und sie verliert.

Unternehmen müssen andererseits ihren Mitarbeitern schnellen Zugriff auch auf sensible Daten gewähren, damit sie arbeiten können. Dabei besteht immer die Gefahr, dass die Mitarbeiter Fehler machen. Auch hier ist die Informationssicherheit gefordert, durch geeignete Sensibilisierungsprogramme den richtigen Umgang zu vermitteln.

So sollten Mitarbeiter beispielsweise nicht auf jeden Mailanhang klicken – denn vor einem geschickt programmierten und gezielt versendeten Trojaner (Computervirus, der gut getarnt, meist über E-Mail in ein Computersystem eindringt und dort Schäden verursacht) ist kein Unternehmen zu 100% geschützt, wie der Fall von Stuxnet zeigt (Computerwurm, der speziell für ein bestimmtes System zur Überwachung und Steuerung technischer Prozesse der Firma Siemens entwickelt wurde und durch den es zum Beispiel im Iran zu Störungen im iranischen Atomprogramm durch den Einsatz von Siemens-Anlagen kam).

Jeder Mitarbeiter muss seinen Beitrag zum Schutz der Unternehmens- und Kundendaten leisten – nicht nur im Internet. Folgende Punkte sollten beachtet werden:

Verlust oder Diebstahl von Daten sind aber nur eines der Probleme. Daten können bspw. auch zerstört werden, oder gerade in dem Moment, wo man sie braucht nicht verfügbar sein. Da im Falle eines Versicherungsunternehmens zum Beispiel das Grundkapital aus diesen immateriellen Daten oder besser gesagt Informationen besteht, sind Sicherheitsmaßnahmen (regelmäßige Datensicherung auf externen Speichermedien, Firewall, Anti-Virus-Software, Verschlüsselung von Daten) in jeder Anwendung, jedem Server oder und auch jedem Prozess wichtig.

Es ist sinnvoll, die gängigen Sicherheitsmaßnahmen um einen „Notfallplan“ zu erweitern.“ (Abläufe und Verantwortlichkeiten festlegen, die dazu beitragen, dass nach einer „Katastrophe“ so schnell wie möglich wieder der Normalbetrieb hergestellt werden kann.)

Eine Datensicherung in der „Cloud“ bietet auch kleineren Unternehmen eine kostengünstige Möglichkeit Daten zu speichern. Das erfordert komplexe Sicherheitsmechanismen. Herr Rother, inwieweit können die Cloud-Provider diese Datensicherheit im Internet auch gewährleisten?

Helmut Rother: „Wie gut die Service Provider für die Datensicherheit der Cloud (Daten- und Anwendungsspeicherung auf einem externen Server, auf den man von überall via Internet zugreifen kann) gewährleisten können, wissen Sie in der Regel nicht. Bei einem klassischen Dienstleister gehen Sie einen Vertrag ein und vereinbaren Maßnahmen zur Datensicherheit. Die Sicherheitsbeauftragten können von ihrem Kontrollrecht Gebrauch machen und sich dann vor Ort bei dem Provider von den Maßnahmen überzeugen. Die Daten lassen sich dann auch in einem Rechenzentrum lokalisieren.

Das Problem für Unternehmen beginnt, wenn sie eigentlich nicht mehr wissen, wo ihre Daten sind und sie sich den Allgemeinen Geschäftsbedingungen der Service Provider unterwerfen. Das angemessene Schutzniveau der Daten ist dann von einem Außenstehenden nicht mehr überprüfbar und es gibt eine gewisse Freiheit der Unternehmen, die AGBs nach ihrem Gutdünken zu ändern. Lesen Sie daher die AGBs genau und lassen Sie sich Punkte, die Sie nicht verstehen, vom Provider erklären.

In Deutschland kommen die im internationalen Vergleich besonderen Anforderungen zum Beispiel an den Schutz der Versicherungsdaten hinzu, die nach dem Strafgesetzbuch im Falle von Unfall-. Kranken- und Lebensversicherungsdaten als Geheimnisse eingestuft sind. Auch das Niveau der Datensicherheit ist von den Aufsichtsbehörden für den Datenschutz nicht in allen Ländern gleichermaßen anerkannt.

Weitere Artikel aus der Serie IT-Security

Rechtliche Hinweise
Die Artikelinhalte werden Ihnen von AXA als unverbindliche Serviceinformationen zur Verfügung gestellt. Diese Informationen erheben kein Recht auf Vollständigkeit oder Gültigkeit. Bitte beachten Sie dazu unsere Nutzungsbedingungen.