DSGVO: IT-Sicherheit wasserdicht machen – ein Wegweiser

Am 25. Mai 2018 wird die neue Datenschutz-Grundverordnung in der EU geltendes Recht. Der Druck auf Unternehmen steigt, die neuen Regelungen fristgerecht umzusetzen. Doch viele sind noch wenig vorbereitet, werden von einer Informationsflut überrollt, in der man leicht den Überblick verliert. Da wächst die Angst, zum Stichtag schon ein paar „Strafzettel“ begleichen zu müssen.

Kundendaten und Betriebsgeheimnisse waren 2017 ein attraktives Ziel für Cyberattacken. Hochrangige Unternehmen wurden angegriffen und Daten gestohlen. Schäden in Milliardenhöhe waren die Folge.

Cyberkriminalität – die wachsende Bedrohung

Auch 2018 steigt die Bedrohung durch Cyberkriminalität rasant. Weltweit werden täglich 20.000.000 Cyber-Attacken gemeldet (Quelle: Hiscox Cyber Readiness Report 2017), wobei die Dunkelziffer der ungemeldeten Attacken nochmals deutlich höher anzusiedeln ist. Und trotzdem: die Gefahren von Cyberattacken bleiben weitgehend unterschätzt und werden verdrängt.

Sicherheitstests: Sieben von zehn Unternehmen fallen durch

Bei Sicherheitstest fallen sieben von zehn Unternehmen durch. Dies liegt vor allem daran, dass wichtige Sicherheitsupdates nicht ausgeführt oder übersprungen werden. Was fatale Folgen für Unternehmen haben kann, denn viele Angreifer nutzen bekannt gewordene Sicherheitslücken in Software oder Plugins sofort aus. Cyberkriminelle haben dadurch leichtes Spiel beim Einstieg in das System eines Unternehmens und gewinnen so personenbezogene und sensible Daten – zum Beispiel Kreditkartendaten, Telefonnummern und E-Mail-Adressen.

Unternehmen sollten darauf achten, dass Updates regelmäßig vorgenommen werden. Die Aktualisierungen außerhalb der regulären Arbeitszeiten durchzuführen, kann dabei helfen, entstehende Betriebsunterbrechungen zu reduzieren – und das Risiko eines erfolgreichen Angriffs erheblich zu verringern.

Maßnahmen zum größtmöglichen Schutz

In Art. 32 Abs. 1 der DSGVO wird festgehalten, dass „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen von dem Verantwortlichen und dem Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen getroffen werden sollen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“

Wie sehen diese Maßnahmen aus? Und kann sie wirklich jeder umsetzen? Hier einige Tipps.

Verschlüsseln Sie die Daten 

Beim Verschlüsseln werden Informationen so umgewandelt, dass sie jemand, der unbefugt darauf zugreift, nicht lesen kann. Identifizieren Sie zuerst alle Datenspeicher, die personenbezogene oder sensible Daten beinhalten könnten. Das wären zum Beispiel Passwörter in Datenbanken, mobile Datenträger wie USB-Sticks oder Festplatten. Hier ein paar Hinweise, wie Sie diese dann verschlüsseln können:

Verschlüsselung im Betriebssystem

Windows bietet mit dem Encrypted File System (EFS) die Möglichkeit, Dateien und Ordner zu verschlüsseln, die auf Festplatten mit dem Dateisystem NTFS gespeichert sind. Hier die Anleitung, die Windows bereitstellt..

Bei Mac OS können Sie FileVault aktivieren, um Festplattenpartitionen zu verschlüsseln. Hier die Anleitung von Apple.

(Quelle: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Verschluesselung/Datenverschluesselung/Betriebssysteme/betriebssysteme_node.html - Bundesamt für Sicherheit in der Informationstechnik)

Verschlüsselung mit Software

Zahlreiche, teilweise kostenlos verfügbare Programme ermöglichen die Verschlüsselung einzelner Dateien und Ordner oder ganzer Datenträger. Wichtig ist, dass diese auch mit dem Betriebssystem kompatibel sind, das Sie nutzen. Am Besten sehen Sie sich dazu einige Programme und deren ausführliche Beschreibung und Anwendung an, aber auch die Erfahrungswerte anderer Nutzer, um sicherzugehen, dass Sie eine funktionierende und vor allem schützende Software erhalten.

(Quelle: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Verschluesselung/Datenverschluesselung/Software/software_node.html - Bundesamt für Sicherheit in der Informationstechnik)

Hardware-unterstützte Verschlüsselung

Viele Computer sind mit einem Trusted Platform Module (TPM) Chip ausgestattet. Diesen Schlüsselspeicher nutzt die Microsoft-Windows-Software Bitlocker Drive Encryption zur Verschlüsselung von Partitionen. Hierbei speichert der Bitlocker bei der Verschlüsslung der Festplatte den zum Entschlüsseln notwendigen Schlüssel auf dem TPM.

Einige klassische Festplatten (HDD) sowie auch solche ohne bewegliche Teile (SSD) bieten eine eingebaute Verschlüsselungsoption an und auch Gehäuse für externe Festplatten und USB-Speichermedien werden mitunter mit eingebauter Verschlüsselungstechnik verkauft. Am Besten informieren Sie sich beim Kauf, ob Ihr gewünschter Datenträger eine eingebaut Verschlüsselungsoption hat.

Datenspeicher in lokalen Netzwerken, so genannte NAS-Geräte, können je nach Modell die auf ihnen gespeicherten Daten verschlüsseln. Der Anwender muss die Daten bei jedem Neustart des Geräts entschlüsseln lassen. Wenn Sie solche Netzwerkspeicher für Ihre Daten verwenden, sollten Sie neben der Verschlüsselung Ihrer Daten auch die Sicherheit des entsprechenden Netzwerkes beachten.

(Quelle: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Verschluesselung/Datenverschluesselung/Hardware/hardware_node.html ­– Bundesamt für Sicherheit in der Informationstechnik)

Vertrauenswürdig sein und auch bleiben

Verhindern Sie die unrechtmäßige Verarbeitung von Daten, zum Beispiel deren unbeabsichtigte Änderung oder Zerstörung, indem Sie Virenscanner, Firewalls und Software regelmäßig auf deren Aktualität prüfen. Sensibilisieren Sie Ihre Mitarbeiter regelmäßig für den verantwortungsbewussten Umgang mit Daten.

Die Unternehmens-Website regelmäßig auf Risikofaktoren prüfen

Die Unternehmens-Website sollte kontinuierlich im Blick auf Risikofaktoren überwacht werden. Am effektivsten sind hier automatisierte Penetrations-Tests. Diese Tests überprüfen das gesamte System wie auch die Anwendungen eines Netzwerks auf Ihre Sicherheit. Hacker verwenden viele verschiedene Methoden, um in ein System zu gelangen – bei den Penetrationstests werden genau diese Methoden regelmäßig nachgestellt, um zu sehen, ob Sicherheitslücken vorhanden sind. Sollte ein Risiko bestehen, erkennt man dieses anhand des Tests und kann rechtzeitig eingreifen, bevor ein echter Angriff stattfindet.

Planen und erproben Sie den Ernstfall

Für den Fall, dass ein Angriff das ganze System lahmlegt, ist es ratsam, geeignete Backup-Systeme zu verwenden, Maßnahmen zur Wiederherstellung der Systeme zu proben und eine Notstromversorgung zu haben.

Überprüfen Sie alle Maßnahmen regelmäßig

Vieles ändert sich laufend, so auch die Wirksamkeit der gewählten Maßnahmen. Deshalb ist es wichtig, diese Maßnahmen auch kontinuierlich daraufhin zu überprüfen, ob sie ihren Zweck erfüllen.

Diese kurze Checkliste hilft dabei:

  • Erfüllen die gewählten Maßnahmen noch ihren Zweck?
  • Wurden neue technische Fortschritte eingeführt?
  • Haben sich die Risiken geändert?

Es ist zu empfehlen, diese Prüfungen intern oder extern protokollieren zu lassen.

Sicherheit muss nicht teuer sein

Verschiedene kostenlose Quickcheck-Tools bieten Unternehmen die Möglichkeit, ihre Website selbst auf Schwachstellen für Cyberangriffe zu testen und so Sicherheitslücken zu beheben, bevor sie ein Hacker entdecken könnte.

Über den Autor: Matthias Friese ist Gründer und Geschäftsführer von patronus.io mit Sitz in Berlin. Das Unternehmen bietet Lösungen, um Webseiten gegen Cyberangriffe zu sichern.

0
RSS Feed

Hat Ihnen der Artikel gefallen?
Abonnieren Sie doch unseren Newsletter und verpassen Sie keinen Artikel mehr.

Mit einem * gekennzeichnete Felder sind Pflichtfelder!

Neuen Kommentar schreiben

Entdecken Sie die Printmagazine des WIN-Verlags