Datenschutz und Cybersicherheit – Verantwortungsvoller Umgang mit dem Internet
Ob Smartphones oder Smarthomes: Das Internet ist bei uns mittlerweile allgegenwärtig. Fast jeder kann immer und überall auf das weltweite Netzwerk zugreifen, dem Smartphone sei Dank. Über soziale Netzwerke können die Daheimgebliebenen miterleben, was Freunden alles so im Urlaub passiert – schnell ein Foto mit der Handykamera geknipst und automatisch auf Facebook geteilt.
Selbst Diskussionen werden kaum noch durch angelesenes Wissen entschieden: Gibt es Unstimmigkeiten darüber, ob Frankfurt/Oder nördlich oder nordwestlich von Dresden liegt, wird die Antwort fix gegoogelt. Es liegt übrigens nordöstlich von Dresden – Danke, Google Maps.
Datenschutz ist ein wichtiger Teil der Neuen Medien, genau wie Online-Marketing und E-Commerce. Daher sollten Bedeutung und Vorteile dieser Punkte, genau wie die Cybersicherheit, nicht unterschätzt und stiefmütterlich behandelt werden.
Inhaltsübersicht
- Der Siegeszug des Internets
- Mit Abhängigkeit kommt die Notwendigkeit an Cybersicherheit
- Global ist nicht national – Die Schwierigkeiten eines internationalen Kommunikationsnetzwerkes
- Risikofaktor Internet oder Risikofaktor Mensch?
- Im Internet ist keiner sicher
- Datenschutz betrifft im Unternehmen jeden Einzelnen
- Datenschutz geht alle etwas an
- Cybersicherheit – Nutzen, der nicht immer sofort sichtbar ist
- Datenschutz und Internet: komplex und kompliziert
DIE MACHT DES CYBERSPACE
DER SIEGESZUG DES INTERNETS
Das Internet, oder auch Cyberspace genannt, hat jedoch nicht nur den privaten Lebensbereich unaufhaltsam erobert und für sich beansprucht. Es gibt kaum Unternehmen oder Wirtschaftszweige, die nicht auf das Internet angewiesen sind. Die Vorteile liegen auf der Hand: Schnelle Kommunikation zwischen Gesprächspartnern (z. B. Unternehmen und Kunden oder Chef und Außendienstmitarbeitern), effektive Informationsfindung, Faktenüberprüfung, Home-Office über VPN Zugänge, flexible Gestaltung der Arbeitsplätze über Cloud-Speichermöglichkeiten, Fernwartungen und vieles mehr.
Ein sehr einschneidendes Beispiel ist der Briefverkehr: Das Internet hat diesen fast komplett digitalisiert. Die Alltagskommunikation in Unternehmen verläuft fast ausschließlich per E-Mail: Bewerbungen werden als pdf-Anhänge geschickt, Fragen zwischen Kollegen schnell per E-Mail beantwortet und damit der Chef stets informiert ist, wird er bei wichtigen E-Mails ins CC gesetzt. Sensible Dokumente müssen zwar noch per Post verschickt werden, jedoch gibt es auch hier schon Ansätze der verschlüsselten Datenübertragung. Das Internet sorgt somit für eine unglaubliche Kosten-, Ressourcen- und Zeiteinsparung.
WARUM CYBERSICHERHEIT?
MIT ABHÄNGIGKEIT KOMMT DIE NOTWENDIGKEIT AN CYBERSICHERHEIT
Sind viele Menschen und Infrastrukturen auf eine bestimmte Technik angewiesen bzw. davon abhängig, muss diese Technik natürlich geschützt werden. Paradebeispiel ist das Auto: Nutzen nur wenige Leute ein Automobil, ist das wenig gefährlich für die Autofahrer sowie Fußgänger.
Werden Kraftfahrzeuge jedoch millionenfach für den Transport von Waren und Personen genutzt, muss sich die Gesellschaft daran anpassen: entsprechende Straßen müssen gebaut werden, Fußgänger und Kraftfahrzeuge müssen voneinander getrennt sein, Autos müssen Sicherheitsstandards erfüllen, und Verkehrsregeln, Richtlinien, sowie Gesetze sind für einen sicheren Umgang mit der Technik Auto notwendig.
Gleiches gilt auf für das Internet. Viele wirtschaftliche und infrastrukturelle Zweige sind vom Internet und dessen Funktionstüchtigkeit abhängig. Ein Ausfall dessen wäre schwerwiegend, nicht nur in finanzieller Hinsicht. Daher ist es wichtig, dass sich im Cyberspace verantwortungsbewusst bewegt wird.
DIE MACHT DES CYBERSPACE
GLOBAL IST NICHT NATIONAL – DIE SCHWIERIGKEITEN EINES INTERNATIONALEN KOMMUNIKATIONSNETZWERKES
Auto und Internet haben jedoch entscheidende Unterschiede, zum Beispiel die Globalität und Materialität: Das Internet ist ein Netzwerk, dass die ganze Welt miteinander verbindet, und zwar in einem nicht-greifbaren Raum. Verkehrsregeln können relativ einfach eingehalten und durchgesetzt werden: Der Fahrer des Autos verletzt nationale Verkehrsregeln – es gibt daher einen Kläger (der Staat) und einen Angeklagten (der Autofahrer). Somit ist klar definiert, wer etwas wo gemacht hat.
Im Internet gibt es aber keine nationalen Grenzen: Ich kann in meinem Browser 3 Webseiten gleichzeitig offen haben: Eine deutsche Nachrichtenseite, ein amerikanisches Diskussionsforum und eine russische Minispiel-Seite; ich selbst liege aber gerade in Australien auf einem Bett in einem Hotelzimmer. Das Internet sorgt mit seiner weltweiten Vernetzung für einen rechtsfreien Raum: Nationale Gesetze können auf globaler Ebene nur schwierig bis gar nicht durchgesetzt werden. Erst recht nicht, wenn nicht klar ist wer wo ein Gesetz gebrochen hat.
Technisch gesehen gibt es zwar Lösungen um herauszufinden, welcher Computer was gemacht hat (z. B. über die IP-Adresse), aber über Proxy-Dienste ist es relativ einfach, diese IP-Adresse zu verschleiern. Bedingt durch die Architektur des Internets und die Masse an Nutzern ist es auch nicht möglich, diese Daten lange zu speichern. Hinzukommend ist auch das Problem der Mensch-Maschine-Schnittstelle:
Selbst, wenn eine bestimmte Handlung bis zu einem bestimmten Computer zurückverfolgt werden kann, stellt sich immer noch die Frage, wer diesen Computer bediente: Der, der vor dem Rechner sitzt, muss nicht zwangsweise der Täter sein. Trojaner und Viren können fremde Computer übernehmen und diese lassen sich so über das Internet steuern. Oft ist sich der Nutzer eines Computers nicht bewusst, dass sein eigener Computer schädliche Dinge im Internet macht.
Die ganzen Schwierigkeiten und Faktoren, die sich im Cyberspace eröffnen, würden den Rahmen dieses Beitrages sprengen. Jedoch lässt sich sagen: Das Internet ist in seiner Konstruktion offen. Es ist ein internationales Gebilde, auf welches versucht wird, eine nationale Rechtsprechung anzuwenden. Dies erweist sich, jedenfalls zurzeit noch, als sehr schwierig. Es kommt noch erschwerend hinzu, dass die Internetlandschaft sehr schnelllebig und in einem steten Wandel, die Gesetzgebung eines Landes jedoch sehr träge ist.
VON WEM GEHT DAS RISIKO AUS?
RISIKOFAKTOR INTERNET ODER RISIKOFAKTOR MENSCH?
Das Internet ist, wie jede Technik, vom Menschen für Menschen konstruiert worden. Daher kann es niemals perfekt und absolut sicher sein. Es wird immer Schwachstellen geben, die ausgenutzt werden können. Selbst wenn ein System perfekt ist, würde die einzige Schwachstelle, die kaum bis gar nicht zu lösen wäre, der Nutzer dieses System, respektive der Mensch, sein.
Je häufiger eine Technik benutzt wird, desto alltäglicher fühlt sich diese an. Im Alltag schleichen sich jedoch oft kleine Bequemlichkeiten ein: Der Schulterblick wird weggelassen, für die paar Meter mit dem Auto wird sich nicht angeschnallt oder das Passwort zum Arbeitsrechner wird auf einen kleinen Zettel am Arbeitsplatz geschrieben – all diese Sachen gefährden die Sicherheit, werden aber aus Bequemlichkeit oder Unachtsamkeit trotzdem gemacht.
Beim Auto ist die Gefahr vielleicht noch unmittelbarer, im Internet ist sie jedoch abstrakter und nicht so greifbar. Umso wichtiger ist es, dass sich Nutzer im Internet stets der Gefahren bewusst sind, wenn sie sich unachtsam im Cyberspace bewegen.
DIE GEFAHREN LAUERN ÜBERALL
IM INTERNET IST KEINER SICHER
Im Alltag sind wir immer Risiken ausgesetzt, die einem jedoch nicht immer unmittelbar bewusst sind: Überquere ich eine Straße, besteht das Risiko überfahren zu werden. Gehen ich einkaufen, könnte mir die Brieftasche gestohlen werden. Im Internet ist es nicht anders: Hier kann ich jederzeit angegriffen werden – nur gibt es hier zahlreiche Möglichkeiten dafür. Von Trojanern und Viren in E-Mail-Anhängen, Drive-by-Downloads von Webseiten, (Web)Spam, Phishing, Identitäts-Diebstahl, Social Engineering, DDos-Attacken, Hackerangriffe, etc. etc. Die Möglichkeiten, die das Internet bietet, sind überwältigend.
Es gibt aber Möglichkeiten, wie das Risiko eines Angriffs verringert werden kann. Gänzlich ausschließen ist jedoch unmöglich. Es ist wie mit dem Fahrradschloss: Selbst das teuerste Schloss verhindert nicht, dass das Fahrrad gestohlen werden kann.
Es soll dem Dieb nur so schwierig wie möglich gemacht werden, dass Fahrrad zu stehlen. Hat der Dieb aber den Wunsch genau dieses Fahrrad zu stehlen und kann er genug Ressourcen dafür aufbringen, bekommt er es früher oder später. Ziel ist es also auch im IT-Bereich, Angreifern den Angriff so schwierig wie möglich zu machen.
DATENSCHUTZ IN UNTERNEHMEN
DATENSCHUTZ BETRIFFT IM UNTERNEHMEN JEDEN EINZELNEN
Gerade für Unternehmen ist die Sicherheit im Internet bzw. die Cybersicherheit ein wichtiger Faktor: Sollte diese kompromittiert sein, ganz das fatale Folgen haben: Vom großen finanziellen Verlusten, über Diebstahl von geistigem Eigentum oder sensiblen Dokumenten, bis hin zum öffentlichen Reputationsverlust. Im schlimmsten Fall kann dies sogar Menschenleben kosten.
Gerade in großen Unternehmen gibt es viele unbekannte Variablen, die es zu beachten gilt: Sei es von einem unachtsamen Mitarbeiter bis hin zum Management, welches Kosten sparen möchte. Cybersicherheit ist ein wichtiges Thema, welches oft stiefmütterlich behandelt wird.
Hier finden Sie daher eine kurze Übersicht an Handlungsempfehlungen, die Sie in Ihrem Unternehmen sowohl auf Belegschafts-, als auch auf Führungsebene umsetzen können, damit die Cybersicherheit im Unternehmen erhöht wird.
FAKTOR MITARBEITER
DIE MITARBEITER ALS WICHTIGER FAKTOR DER CYBERSICHERHEIT
Die Angestellten eines Unternehmens sind oft Angriffspunkte: Sei es über Social Engineering, Phishing-Versuche oder Identitätsdiebstahl. Hier ist es wichtig, das die Belegschaft hinsichtlich der Cybersicherheit und des Datenschutzes sensibilisiert ist.
- Schulen Sie das Personal dahingehend, welche Daten über das Internet preisgegeben werden können und welche nicht, welche E-Mails beantwortet und welche E-Mail-Anhänge geöffnet werden dürfen und welche Daten wo zu speichern sind. In diesem Zusammenhang ist auch die Sensibilisierung für soziale Netzwerke wichtig: Je mehr Informationen Ihr Personal über sich im Internet preisgibt, umso einfacher sind Hackerangriffe auf diese oder auf Ihr Unternehmen.
2. Jeder Mitarbeiter sollte starke Passwörter verwenden. Diese sollten niemals mehrfach für verschiedene Firmenkonten benutzt und regelmäßig geändert werden. Zudem ist es wichtig, das keine personenbezogenen Informationen darin enthalten sind (z. B. der Name des Hundes). Wichtig ist ebenfalls, dass sich betriebliche und private Passwörter nicht überschneiden.
3. Passwörter sollten darüber hinaus nicht notiert werden, weder am Arbeitsplatz noch in einer Datei. Zudem sollten Passwörter nicht per Online-Kommunikation verschickt werden. Nutzen Sie starke Passwörter und gegebenenfalls einen Passwort-Manager.
4. Klären Sie, ob persönliche Geräte mit in das Unternehmen und Firmennetzwerk eingebracht werden dürfen; der einfachste Weg in ein gesichertes Netzwerk ist von Innen: Schließt ein Mitarbeiter einen mitgebrachten infizierten USB-Datenstick am Arbeitsplatzrechner an, betrifft dies anschließend das gesamte Firmennetzwerk.
5. Die Mitarbeiter sollten unbedingt darauf achten, dass, wenn Daten über eine Webseite gesendet werden, diese per https verschlüsselt werden.
6. Führen Sie zudem Schulungen zu Themen der Cybersicherheit durch, wie zum Beispiel über Phishing-E-Mails.
7. Ihre Führungskräfte sollten als gutes Beispiel für Cybersicherheit dienen und die Unternehmensrichtlinien dahingehend einhalten.
8. Haben Sie einen Notfallplan für etwaige Cyberangriffe, dann kommunizieren Sie diesen mit Ihrer Belegschaft. So wird jedem einzelnen die Verantwortung dahingehend bewusst.
9. Verschiedene Profile sollten, nach Möglichkeit, nicht miteinander verbunden werden. Lässt sich dies nicht vermeiden, erhöht es die Sicherheit, wenn jedes einzelne Profil andere Passwörter benutzt.
10. Firmengeräte, wie Firmensmartphones oder -tablets, sind besondere Schwachstellen, da Sie entweder leicht gestohlen oder unterwegs manipuliert werden können. Daher sollten Mitarbeiter besonders auf diese achten.
FAKTOR UNTERNEHMEN
CYBERSICHERHEIT FÜR DAS GESAMTE UNTERNEHMEN
Unternehmensweit lassen sich auch Maßnahmen durchführen, die die Cybersicherheit an sich erhöhen. Es sollte klar sein, wie wichtig das eigene Firmennetzwerk ist und das es unter (fast) allen Umständen geschützt werden sollte.
- Überprüfen Sie, welche Daten öffentlich sind und welche strenger geschützt werden müssen. Das gleiche gilt für Unternehmensfunktionen. Nur so können Sie feststellen, was stärker zu schützen ist.
2. Nutzen Sie in Ihrem Netzwerk mehrere Authentifizierungsmethoden. So wird es schwieriger für Angreifer, in sensible Bereich des Netzwerkes einzudringen.
3. Ihre Firmenwebseite sollte https benutzen. Dies erhöht die Sicherheit, sowohl von gesendeten Daten, die über die Webseite geschickt werden, als auch die Angreifbarkeit der Seite an sich.
4. Halten Sie jedwede Software, die Sie im Unternehmen benutzen, immer auf dem neusten Stand. Updates und Patches sind dafür da, um Sicherheitslücken und Bugs zu reparieren.
5. Führen Sie regelmäßige Sicherungen Ihrer Unternehmensdaten durch und lagern Sie diese abgeschnitten vom Internet bzw. Firmennetzwerk. Zudem sollten die Sicherungskopien schnell zugänglich sein, damit diese im Notfall ohne Verzögerungen genutzt werden können.
6. Sichern Sie jede Verbindung zum Internet mit einer Firewall.
7. Erstellen Sie einen Notfallplan, der den Fall einer Kompromittierung der Cybersicherheit abdeckt: Darin sollten alle technischen, rechtlichen, betriebswirtschaftlichen und organisatorischen Aspekte abgedeckt sein. Bilden Sie ein Team, welches für den Notfallplan und dessen Umsetzung verantwortlich ist.
8. Testen Sie den Notfallplan und optimieren Sie diesen gegebenenfalls nach. Führen Sie in unregelmäßigen Abständen simulierte Phishing Angriffe durch, damit Ihre Mitarbeiter aufmerksam bleiben.
9. Nutzen Sie eine sichere E-Mail-Kommunikation, sowohl intern als auch extern.
10. Führen Sie eine interne Bedrohungsanalyse durch: So können Sie Schwachstellen in Ihrer Cybersicherheit herausfinden und korrigieren.
11. Schaffen Sie Leitlinien, wie sich bei einem Cyberangriff verhalten werden soll. Das sorgt für schnelle Reaktionszeiten für etwaige Gegenmaßnahmen.
12. Planen Sie, wie bei einer Kompromittierung Ihrer Cybersicherheit externe Betroffene schnell informiert werden können – hierzu gehört auch der Provider.
13. Falls ein Cyberangriff stattfand, sollten Sie unbedingt eine Analyse des Angriffes durchführen. Nur so können aus diesem Lehren gezogen werden, damit solche in Zukunft schwieriger sind bzw. besser darauf reagiert werden kann.
14. Seien Sie sich bewusst, dass es immer eine Schwachstelle geben wird, ob technischer oder menschlicher Natur – kein System ist absolut sicher.
15. Schließen Sie eine Cyberversicherung ab. Im etwaigen Schadensfall können so Ausfallkosten oder Reparaturkosten getragen werden.
16. Jedes Gerät im Firmennetzwerk sollte eine eigene Geräteidentität besitzen. So lässt sich ermitteln, welches Gerät die Schwachstelle im System war.
17. Engagieren Sie sogenannte White Hats. Das sind Hacker, die Ihre Systemsicherheit auf Schwachstellen prüfen. Diese können Sie anschließend nachoptimieren.
18. Überwachen Sie zentral den gesamten Datenfluss in und aus Ihrem Firmennetzwerk und Ihre Sicherheitssysteme. So können Bedrohungen in Echtzeit erkannt und schnell darauf reagiert werden (z. B. durch Abwehrmaßnahmen oder Schadensbegrenzung).
19. Nutzen Sie für Ihre Datensicherungen ebenfalls kostenpflichtige Cloudspeicherungen, die im Idealfall die Server, auf welchen Ihre Daten liegen, in Deutschland haben. Ihre Daten werden verschlüsselt und „zerhackt“ auf verschiedenen Servern gespeichert.
20. Ihr Firmennetzwerk sollte segmentiert sein. Falls ein Segment betroffen ist, greift dies nicht auf andere Segmente über und erhöht somit die Cybersicherheit.
21. Informieren Sie sich stets über die aktuellsten Branchenvorschriften und setzen Sie diese in Ihrem Unternehmen um.
22. Nutzen Sie stets die neusten Updates und Technologien für (kritische) Unternehmenssysteme.
23. Behalten Sie auch stets Ihre Kunden und Zulieferer im Blick und schulen Sie diese über Ihre Cybersicherheitsrichtlinien.
24. Ein Kompetenzzentrum lohnt sich: Dieses sollte entweder im eigenen Unternehmen oder extern gelöst sein. So ist das Wissen zur Cybersicherheit stets abrufbereit.
25. Falls Ihr Unternehmen keine eigene IT-Abteilung für Cybersicherheit hat, nutzen Sie externe Lösungsmöglichkeiten. Beispielsweise bieten Firmen wirtschaftliche DDoS-Schutzschilde an, welche die Netzinfrastruktur Ihres Unternehmens schützen und abschirmen, Angriffe erkennen und, falls machbar, eindämmen.
DATENSICHERHEIT FÜR ALLE
DATENSCHUTZ GEHT ALLE ETWAS AN
Grundsätzlich gilt es, dass jeder, der sich im Internet bewegt, sich dessen Gefahren bewusst ist und dem Internet stets mit einem gesunden Maß an Misstrauen begegnet. Es sollte sich immer die Frage vor Augen geführt werden, wenn es darum, welche Informationen im Internet veröffentlicht werden: Würde ich diese Informationen auch Fremden geben, die ich auf der Straße treffe?
Die Preisgabe von Informationen hat im Internet jedoch stärkere Konsequenzen: Informationen sind lange im Cyberspace verfügbar und können schnell abgespeichert werden. Sie sind daher selbst nach der Löschung der Originalinformationen an anderer Stelle noch verfügbar. Je mehr Informationen über ein Unternehmen oder über Mitarbeiter im Internet verfügbar sind, umso leichter können diese angegriffen werden.
WELCHEN NUTZEN HAT CYBERSICHERHEIT?
CYBERSICHERHEIT – EIN NUTZEN, DER NICHT IMMER SOFORT SICHTBAR IST
Damit Schwachstellen geschlossen werden können, müssen diese erst einmal identifiziert werden. Dies ist mitunter schwierig, kann lange dauern und ist mit hohen Kosten verbunden. Oftmals wird nur reaktiv gehandelt: Nach einem Angriff wird die offene Stelle im Netzwerk geschlossen, damit hier nicht noch einmal ein Angriff stattfinden kann.
Es gibt hier aber oft Variablen, die die Schließung dieser Schwachstelle herauszögern: Erst muss einmal die Schwachstelle identifiziert werden, dann muss der Anbieter der Software/Hardware diese Stelle reparieren, danach muss er den Patch bzw. das Update ausliefern und letztendlich muss der Nutzer den Patch oder das Update installieren. Dieser ganze Prozess kann mitunter sehr lange dauern und eine Schwachstelle kann lange existieren.
Daher ist es wichtig, dass das eigene Firmennetzwerk kontinuierlich beobachtet und verbessert wird. Oft ist der Nutzen einer funktionierenden Cybersicherheit nicht immer sofort oder jemals sichtbar – Cybersicherheit ist nur ein Schutz vor möglichen Angriffen.
Ob Ihr Unternehmen jemals angegriffen wird, ist eine andere Frage. Die Gefahr eines Angriffs besteht jedoch immer, sobald ein Computer mit dem Internet verbunden ist. Cybersicherheit ist jedoch ein wichtiges Thema und in diesem Zusammenhang sollten keine Kosten gespart werden; wenn es darauf ankommt, macht sich dort jeder Cent bezahlt.
WEBNEO FAZIT ZUR CYBERSICHERHEIT
DATENSCHUTZ UND INTERNET: KOMPLEX UND KOMPLIZIERT
Die Auswirkungen des Internets auf die Gesellschaft sind viel zu kompliziert, um Sie in einem Artikel kurz darstellen zu können. Egal ob Botznetze, Ransomware (zum Beispiel WannaCry), Black-Hats oder das Stuxnet – das Internet ist ein hochkomplexes Gebilde, was in enger Wechselwirkung mit der globalen Gesellschaft steht.
Dieser Artikel sollte kurz Möglichkeiten aufzeigen, welche Gefahren das Internet mit sich bringt und wie sich Unternehmen und Einzelpersonen besser im Internet schützen können. Cybersicherheit ist wichtig und sollte sich immer wieder vor Augen geführt werden. Es dient nur zum eigenen Schutz und dem Schutz anderer im Internet – genau wie der Schulterblick oder das Anschnallen im Straßenverkehr.
Wobei dürfen unsere Experten Sie unterstützen?
- DATENSCHUTZ & CYBERSICHERHEIT
- DER SIEGESZUG DES INTERNETS
- MIT ABHÄNGIGKEIT KOMMT DIE NOTWENDIGKEIT AN CYBERSICHERHEIT
- GLOBAL IST NICHT NATIONAL – DIE SCHWIERIGKEITEN EINES INTERNATIONALEN KOMMUNIKATIONSNETZWERKES
- RISIKOFAKTOR INTERNET ODER RISIKOFAKTOR MENSCH?
- IM INTERNET IST KEINER SICHER
- DATENSCHUTZ BETRIFFT IM UNTERNEHMEN JEDEN EINZELNEN
- DATENSCHUTZ GEHT ALLE ETWAS AN
- CYBERSICHERHEIT – EIN NUTZEN, DER NICHT IMMER SOFORT SICHTBAR IST
- DATENSCHUTZ UND INTERNET: KOMPLEX UND KOMPLIZIERT