Glossar
Datenverlust: die häufigsten Ursachen und 9 konkrete Schutzmaßnahmen
Cyberattacken verursachen weltweit enorme Schäden. Laut Bundeslagebild Cybercrime des Bundeskriminalamts kam es allein in Deutschland im Jahr 2023 bei mehr als 800 Organisationen zu Angriffen mit Verschlüsselungssoftware. Ähnliches bestätigt auch eine Studie des Digitalverbands Bitkom: Dieser zufolge schlugen die durch Erpressung mittels gestohlener oder verschlüsselter Daten entstandenen finanziellen Verluste bei den Unternehmen mit 16,1 Milliarden Euro zu Buche. Die Betriebe sollten das Thema Datenverlust daher nicht auf die leichte Schulter nehmen.
Keyfacts
- Unter Datenverlust versteht man beabsichtigt oder unbeabsichtigt hervorgerufene Umstände, die dafür sorgen, dass Daten nicht mehr verfügbar sind.
- Die Ursachen für Datenverlust sind vielfältig und reichen von technischen Defekten oder unzureichenden Schutzmaßnahmen über menschliche Fehler bis hin zu kriminellen Angriffen von außen.
- Zu den möglichen Konsequenzen eines Datenverlusts zählen Imageschäden, Umsatzausfälle, Bußgelder und Vertragsstrafen und sogareine direkte Haftung des Geschäftsführers.
- Um den schwerwiegenden Folgen von Datenverlust vorzubeugen, sollten Unternehmen gezielte Schutzmaßnahmen ergreifen
Datensicherheit – So schützen Unternehmen ihre sensiblen und geschäftskritischen Daten. Jetzt Whitepaper Datensicherheit herunterladen!
Unter Datenverlust versteht man allgemein das Verlorengehen von Daten, beispielsweise durch Löschung, Zerstörung oder Beschädigung, aber auch durch Diebstahl oder anderweitige Umstände, die dafür sorgen, dass die Daten nicht mehr verfügbar sind. Daten können sowohl bei der Speicherung (“Data at Rest“) als auch bei der Übertragung (“Data in Transit“) oder Verarbeitung (“Data in Use“) verlorengehen. Ein Datenverlust kann entweder versehentlich passieren – etwa aufgrund von Bedienfehlern, technischen Problemen o. Ä. – oder absichtlich herbeigeführt werden, zum Beispiel durch Sabotage, Cyberangriffe o. Ä.
Anders als bei einem dauerhaften Datenverlust lassen sich die Daten bei einem temporären oder vorübergehenden Datenverlust mithilfe entsprechender Maßnahmen wiederherstellen bzw. wiederbeschaffen. Dieser Blogbeitrag behandelt die Ursachen und Folgen sowie den Schutz vor Datenverlust.
Ein Datenverlust kann unterschiedliche Konsequenzen für das betroffene Unternehmen haben. Dabei spielen mehrere Faktoren eine Rolle, etwa die Art der verlorenen Informationen (z. B. personenbezogenen Daten), die Ursachen für den Verlust (z. B. mangelhafte Sicherheitsvorkehrungen) und wie das Unternehmen damit umgeht. Genauso relevant ist die Frage nach der Wiederherstellbarkeit der Daten. Mögliche Folgen eines Datenverlusts sind:
1. Bußgelder
Handelt es sich bei den verlorenen Informationen um besonders schutzbedürftige – etwa personenbezogene – Daten , ist es möglich, dass Bußgelder fällig werden, etwa wegen eines Verstoßes gegen die Pflichten bei der Verarbeitung von Daten (vgl. Art. 9 bzw. Art, 11 DSGVO) oder wegen unzureichender Technikgestaltung zum Datenschutz (vgl. Art 25). Auch im Nachgang können noch Geldstrafen drohen, etwa wenn Verletzungen des Schutzes personenbezogener Daten nicht, zu spät oder in unzureichender Weise an die zuständige Aufsichtsbehörde gemeldet wurden (vgl. Art. 33 DSGVO). Verstöße gegen die Auflagen der DSGVO können Unternehmen teuer zu stehen kommen; in besonders harten Fällen drohen Strafen von bis zu bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes.
2. Umsatzausfall
Es kommt durchaus vor, dass ein Unternehmen durch einen Datenverlust vollständig lahmgelegt wird – etwa, wenn die abhandengekommenen Informationen für das Kerngeschäft notwendig sind. Je nachdem, wie lange der Geschäftsbetrieb zum Erliegen kommt, kann dieser Umsatzausfall kostspielig werden.
3. Kosten für Schadensanalyse und Datenwiederherstellung
Um verlorengegangene Daten zu retten, können Unternehmen die Hilfe von professionellen Datenrettern in Anspruch nehmen – doch das wird nicht billig! Hinzu kommen Kosten für die Schadensanalyse sowie für eventuell notwendige technische oder organisatorische Maßnahmen, mit denen sich weitere Datenverluste verhindern lassen.
4. Vertragsstrafen
Wie bereits erwähnt, kann ein Datenverlust im Unternehmen gut und gerne einmal die komplette Produktion bzw. Servicetätigkeit zum Stillstand bringen. Hat das betroffene Unternehmen Verträge zu erfüllen, erreicht dieser Ausfall schnell ganz neue Dimensionen. Denn dann drohen womöglich auch noch empfindliche Vertragsstrafen.
5. Imageschaden
Der Imageschaden, der mit einem Datenschutzverstoß (und einem damit verbundenen Datenverlust) einhergeht, kann enorme wirtschaftliche Auswirkungen haben und sollte daher nicht unterschätzt werden. Wird eine Datenpanne der Öffentlichkeit bekannt, so drohen:
- Die Abwanderung von Kunden
Verbraucher sind heutzutage stärker für das Thema Datenschutz sensibilisiert als je zuvor und möchten ihre persönlichen Daten in sicheren Händen wissen. Im Falle eines Datenverlusts besteht die Gefahr, dass die Kunden den Anbieter wechseln. Im B2C-Umfeld ist das Risiko eines Imageverlusts besonders groß, aber auch B2B-Unternehmen können hiervon betroffen sein.
- Der Verlust von Partnern
Ist der Ruf erst ruiniert, wenden sich unter Umständen nicht nur Kunden ab. Auch Partner wie beispielsweise Zulieferer können sich vom Unternehmen distanzieren. Sollten dadurch in der Folge Lieferketten beeinträchtigt werden, drohen weitere Umsatzverluste.
- Negative Auswirkungen auf das Recruiting
Der Fachkräftemangel ist in nahezu allen Branchen ein großes Thema. Ein angekratztes Firmenimage kann da schnell zum Problem werden. Denn negative Publicity bekommt in der Regel nicht nur der Vertrieb zu spüren, sondern auch die Personalabteilung.
6. Die direkte Haftung des Geschäftsführers
In den allermeisten Fällen haftet bei datenschutzrechtlichen Verstößen – zu denen auch der Verlust personenbezogener Daten gehört – das betroffene Unternehmen als „Verantwortlicher“ bzw. „datenverantwortliche Stelle“ (vgl. DSGVO Art. 82). Die persönliche Haftung des Geschäftsführers oder Vorstands ist üblicherweise ausgeschlossen. Anders sieht es jedoch bei Einzelunternehmen aus: Hier kann der Inhaber durchaus persönlich haften, da das Unternehmen mit dem Inhaber zusammenfällt. Ähnlich verhält es sich mit den Gesellschaftern einer Personengesellschaft.
Sie möchten Ihr Unternehmen vor Datenverlust schützen?
Hochsichere virtuelle Datenräume wie idgard sind ein probates Mittel gegen Datenverlust. Warum sie so sicher sind und welche technischen sowie organisatorischen Maßnahmen dahinter stecken, verrät unser Whitepaper.
3. Die 13 häufigsten Ursachen für Datenverlust
Die Ursachen für Datenverlust sind vielfältig und reichen von technischen Defekten oder unzureichenden Schutzmaßnahmen über menschliche Fehler bis hin zu kriminellen Angriffen von außen. Im Folgenden geben wir einen kurzen Überblick über die häufigsten Ursachen für den Verlust von Daten im Unternehmen.
1. Cyberangriffe
Mit Abstand die häufigste Ursache für Datenverlust im Unternehmen sind Angriffe durch Hacker bzw. Cyberkriminelle. Der aktuellen Studie des Digitalverbands Bitkom zufolge fühlt sich jedes zweite Unternehmen durch Hackerangriffe in seiner Existenz bedroht. Mehr noch: 70 Prozent der Firmen hatten 2023 einen Verlust sensibler Daten zu beklagen (oder vermuteten dies zumindest) – das entspricht einem Wachstum von 7 Prozentpunkten verglichen mit dem Vorjahr. So entstand der deutschen Wirtschaft durch analogen und digitalen Diebstahl, Industriespionage oder Sabotage im Jahr 2023 ein Schaden von 206 Milliarden Euro. Besonders verbreitet sind Angriffe mit Ransomware, bei denen die IT-Systeme des betroffenen Unternehmens blockiert und erst nach Zahlung eines Lösegelds wieder freigeschaltet werden.
2. Malware
Nicht immer müssen Hacker dahinterstecken: Es kann schnell vorkommen, dass Mitarbeiter versehentlich Schadprogramme einschleppen, etwa durch die Nutzung privater Datenträger oder suspekter Webseiten. Die Malware kann nicht nur den Verlust wichtiger Daten bewirken, sondern im schlimmsten Fall die gesamten IT-Systeme eines Unternehmens stilllegen.
3. Fehlerhafte Hardware
Ein weiterer häufiger Grund für den Verlust von Unternehmensdaten ist fehlerhafte Hardware wie beispielsweise defekte Festplatten. Oft zeigen sich diese Fehler erst, wenn die betroffenen Geräte bereits in Betrieb sind.
4. Fehlerhafte Software
Auch Software-Lösungen können fehlerhaft sein und zu Datenverlusten führen, zum Beispiel indem Daten nicht korrekt gespeichert werden. Stellen die Entwickler solche Fehler fest, beheben sie diese in der Regel zeitnah mit einem Patch. Unternehmen sollten also stets darauf achten, ihre Software aktuell zu halten. Das gilt ganz besonders für Antiviren-Programme.
5. Unsachgemäße Behandlung/Bedienfehler
Bedienfehler können ebenfalls einen Datenverlust im Unternehmen zur Folge haben – etwa, wenn Mitarbeiter Dateien oder Ordner versehentlich löschen oder überschreiben. Genauso kann die unsachgemäße Behandlung von Datenträgern dazu führen, dass die darauf gespeicherten Daten verlorengehen. Während sich versehentlich gelöschte Daten oft mit überschaubarem Aufwand wiederherstellen lassen, gestaltet sich die Datenrettung bei beschädigten Datenträgern meist komplizierter und kostenintensiver.
6. Mobile Geräte
Bei mobilen Geräten wie Smartphones, Laptops oder Tablets kann es sehr viel leichter passieren, dass Daten verlorengehen, als beispielsweise bei stationären Servern – einfach deswegen, weil diese Geräte häufig versehentlich beschädigt werden, etwa durch Fallenlassen, verschüttete Getränke oder extreme Temperaturen.
7. Höhere Gewalt/Stromausfall
Es ist zwar selten, aber auch Naturkatastrophen und andere schwer vorhersehbare Ereignisse können zu einem Verlust von Daten führen. Dazu zählen Überschwemmungen, Brände oder Erdbeben – aber auch plötzliche Stromausfälle, beispielsweise durch Netzüberlastung oder beschädigte Leitungen.
8. Abnutzungserscheinungen
Auch fehlerfreie und sachgemäß behandelte Hardware nutzt sich mit der Zeit ab. Speichermedien wie Festplatten oder Flash-Speicher unterstützen nur eine begrenzte Anzahl an Schreibprozessen – danach kann es zu Fehlern, Beschädigungen und eben Datenverlusten kommen.
9. Diebstahl oder Verlust von Speichermedien
Kompakte Speichermedien wie SD-Karten oder USB-Sticks können – genau wie mobile Geräte – schnell verlorengehen. Außerdem geraten sie leicht ins Visier von Langfingern. Das birgt die zusätzliche Gefahr, dass die Daten auch noch in die falschen Hände gelangen.
10. Einbruch oder Infiltration
Stationäre Server lassen sich zwar nicht so leicht entwenden wie mobile Geräte und Datenträger, aber auch hier können sich kriminelle Subjekte unerlaubten Zugang verschaffen und Daten entwenden, beschädigen oder manipulieren. Um solchen Vorfällen vorzubeugen, sollten Unternehmen ihre Betriebs- und Serverräume physisch absichern. Am besten sorgen sie für ein Extra-Maß an Schutz, indem sie eigene Server betreiben, statt sie mit anderen Unternehmen zu teilen – in selbstverständlich hochsicheren und zertifizierten Rechenzentren.
11. Zugänge & Passwörter
Schlecht geschützte Zugänge sind ein weiterer häufiger Grund für Datenverluste in Unternehmen: Passwörter, die aus kurzen oder leicht zu erratenden Wörtern oder Phrasen wie Namen, Geburtstagen etc. bestehen, stellen für findige Hacker kein ernstzunehmendes Hindernis dar.
Umgekehrt kann es vorkommen, dass das Unternehmen das Passwort und damit den Zugang zu einer wichtigen Datenbank verliert. Experten empfehlen daher die Nutzung eines Passwortmanagers. Außerdem sollten wichtige Zugänge stets mit einem zweiten Faktor abgesichert werden.
12. Schatten-IT
Auch Schatten-IT kann zu Datenverlusten führen. Als „Schatten-IT“ bezeichnet man Systeme oder Prozesse, die sich in Unternehmen parallel zur offiziellen IT-Infrastruktur entwickeln – beispielsweise, indem bestimmte Abteilungen ohne Absprache neue Software oder Geräte einführen. Diese stellen zusätzliche Einfallstore für Cyberkriminelle dar, die das Unternehmen nicht überwachen kann.
Dadurch, dass unterschiedliche Systeme zum Einsatz kommen, kann es außerdem erforderlich sein, die Daten vor der Nutzung erst umzuwandeln. Dabei kann es auch zum Verlust von Unternehmensdaten kommen.
13. Ehemalige Mitarbeiter
Wenn Kollegen das Unternehmen verlassen, kommt es nicht selten vor, dass sie auch weiterhin Zugriff auf die IT-Systeme haben. Das kann Unternehmen leicht zum Verhängnis werden. So kann es beispielsweise passieren, dass Dritte auch Jahre später noch Login-Daten für Unternehmens-IT auf schlecht gesicherten privaten Systemen finden und sich so Zugang zu Systemen und Daten verschaffen können.
☝ Schon gewusst?
Gerade bei den so genannten kritischen Infrastrukturen (KRITIS) hat ein Datenverlust immense Auswirkungen. Man denke etwa an Krankenhäuser: Gehen Patientendaten verloren, ist eine angemessene Gesundheitsversorgung nicht mehr gewährleistet. Im schlimmsten Fall drohen Fehlbehandlungen. Nicht zuletzt aus diesem Grund schuf die EU die RCE-Richtlinie (CER Directive), die die Widerstandsfähigkeit von kritischen Infrastrukturen (KRITIS) gegen alle Arten von Gefährdung stärken soll. In Deutschland erfolgt die Umsetzung durch das KRITIS-Dachgesetz, das KRITIS-Betreiber vor neue Sicherheitsanforderungen stellt. Welche dies sind und was es hierbei zu beachten gibt, zeigt unser Glossarbeitrag zum KRITIS-Dachgesetz.
Risiken beim digitalen Datenaustausch: Diese neun Gefahrenquellen sollten Sie kennen
In diesem Whitepaper erfahren Sie, welche Gefahren im Bereich Datenschutz und Datensicherheit lauern, wie sich diese auf Ihr Unternehmen auswirken (können) und wie Sie am besten damit umgehen.
Im Folgenden zeigen wir Ihnen, mit welchen Maßnahmen Unternehmen sich und ihre Mitarbeiter vor einem Datenverlust schützen können.
Tipp 1: Identitäts- und Zugriffsmanagement betreiben
Die Systeme eines Unternehmens sollten nur von dazu berechtigten Personen genutzt werden – doch das zu gewährleisten, ist in Zeiten von Internet und Remote Work gar nicht mehr so einfach. Zugänge einfach mit Passwörtern abzusichern, reicht nicht aus. Unternehmen, die sicherstellen wollen, dass Zugriffsdaten nicht gefälscht oder abgefangen werden, brauchen daher Lösungen, die ihnen beim Verwalten und Überwachen der (Nutzer-)Identitäten und ihrer Berechtigungen helfen. Die Rede ist von Identitäts- und Zugriffsmanagement (Identity and Access Management, kurz IAM). Denn nicht nur Personen, sondern auch (IoT)-Geräten und APIs lassen sich eigene Identitäten mit entsprechenden Zugriffsrechten zuweisen.
IAM besteht aus den Systemen und Prozessen, die es IT-Administratoren ermöglichen,
- jeder Entität eine einzige digitale Identität zuzuweisen
- diese Identität bei der Anmeldung zu authentifizieren
- ihr Zugriff auf bestimmte Ressourcen zu gewähren und
- diese Identität während ihres gesamten Lebenszyklus zu überwachen und zu verwalten.
Tipp 2: Eine Backup-Strategie entwickeln (und umsetzen!)
Um sich effektiv gegen Datenverlust zu schützen, empfiehlt es sich, eine gut durchdachte Backup- und Recovery-Strategie parat zu haben.Eine bewährte Datensicherungs-Strategie ist die sogenannte „3-2-1-Backup-Regel“:
- 3 – dreifache Ausführung der Daten: Das Original, an dem gearbeitet wird, plus zwei Kopien.
- 2 – zwei verschiedene Medientypen zur Datenspeicherung: zum Beispiel eine lokale Festplatte und die Cloud.
- 1 – eine Kopie „außer Haus“: Einer der Datensätze sollte sich an einem anderen Ort befinden als die anderen Kopien – beispielsweise in der Cloud.
Eine solche Strategie reduziert – richtig umgesetzt – das Risiko eines kritischen Datenverlusts auf ein Minimum. Die Datensicherung sollte dabei entweder regelmäßig oder abhängig vom Umfang der erzeugten Daten erfolgen; Unternehmen sollten also einen strategisch sinnvollen Zeitpunkt für das Backup wählen.
Warum die Nutzung der Cloud sogar eine gute Option für den Schutz vor Datenverlust – und besser als ihr Ruf – ist, zeigen wir im Kapitel 5 dieses Beitrags (“Schutz vor Datenverlust”).
Tipp 3: Externe Angriffe abwehren (Security-Mix)
Um sich vor Datenverlusten durch Cyberkriminelle zu schützen, müssen Unternehmen in der Lage sein, sich gegen externe Angriffe zu wappnen. Dabei hilft der richtige Security-Mix, der sich unter anderem nach Art und Größe des Unternehmens richtet.
Er umfasst typischerweise Maßnahmen wie:
- Einrichtung und Verwaltung von Firewalls und Anti-Viren-Software
- Absicherung des E-Mail-Verkehrs (z. B. durch Verschlüsselung oder Third-Party-Tools)
- Einrichtung von VPN-Lösungen (z. B. für Mitarbeiter im Homeoffice)
- Nutzung Hochsicherer Cloud-Collaboration-Lösungen
- Absicherung von Zugängen (z. B. durch einen zweiten Faktor)
- Monitoring der Systeme und des Netzwerkverkehrs
Tipp 4: Patch-Management betreiben
Veraltete Software kann zu Datenverlusten führen. Durch Patches lassen sich Fehler und Sicherheitslücken beheben – manchmal treten dadurch aber auch neue Probleme auf. Daher ist es wichtig, proaktives Patch-Management zu betreiben. Dazu gehört beispielsweise, Informationen zu Patches einzuholen oder sie in einer Testumgebung laufen zu lassen, bevor sie unternehmensweit aufgespielt werden. Auf keinen Fall sollten ungeschulte Mitarbeiter auf eigene Faust Patches installieren.
Tipp 5: Schutz gegen Überspannung & Stromausfälle
Zudem sollten Unternehmen ihre IT-Systeme gegen Überspannung und Stromausfälle absichern. Dabei helfen technische Maßnahmen wie Spannungsfilter und eine unterbrechungsfreie Stromversorgung. Auf keinen Fall sollten Unternehmen hier am falschen Ende sparen und auf billige Komponenten setzen – diese stellen eher ein zusätzliches Risiko dar. Wichtig: Die Installation unbedingt von Fachpersonal durchführen lassen, um Fehlerquellen zu vermeiden!
Tipp 6: Schulungen der Mitarbeiter durchführen
Menschliches Versagen ist immer noch einer der größten Risikofaktoren, wenn es um die Sicherheit von Daten im Unternehmen geht. Für Unternehmen gilt es daher, ihre Mitarbeiter entsprechend zu schulen. Das verringert die Wahrscheinlichkeit, dass Kollegen versehentlich Daten löschen oder auf Phishing-Mails hereinfallen und es so zu einem Datenverlust kommt.
Tipp 7: Schatten-IT vorbeugen
Schatten-IT ist ein Risikofaktor, dem sich durch Aufklärung und entsprechende Richtlinien vorbeugen lässt: Es gilt, klare Regeln aufzustellen und zu kommunizieren, wer unter welchen Voraussetzungen Änderungen an den bestehenden IT-Systemen vornehmen darf. Dazu gehört auch die Einführung neuer Hard- und Software oder Dienste.
Tipp 8: Einen Notfallplan entwickeln
Egal, wie gut sich ein Unternehmen gegen Datenverlust schützt: Es kann immer etwas schiefgehen. Für diesen Fall empfiehlt es sich, einen Notfallplan parat zu haben. Hier wird festgehalten, wie sich das Unternehmen im Ernstfall verhält: Welche Schritte in welcher Reihenfolge sind erforderlich und wer ist verantwortlich für die Durchführung? Dazu gehören nicht nur Initiativen zur Schadensbegrenzung und Wiederherstellung der verlorenen Daten, sondern auch zur Kommunikation mit Kunden, Partnern und den zuständigen Behörden.
Tipp 9: Speichermedien regelmäßig austauschen
Wie bereits erwähnt, haben Speichermedien nur eine begrenzte Lebensdauer. Festplatten, Flash-Speicher und optische Medien nutzen sich mit der Zeit ab, was am Ende des Lebenszyklus zu Zugriffsproblemen und im schlimmsten Fall zum Verlust von Daten führen kann. Diese Hardware gilt es also, regelmäßig und rechtzeitig auszutauschen.
„Die Cloud klaut“? Schon lange nicht mehr! Im Gegenteil, die Cloud ist heutzutage sicherer denn je – und meistens sogar sicherer als On-Premise-Systeme, also IT-Systeme in den eigenen vier Wänden. Es ist also eine gute Strategie, Daten (zusätzlich) in die Cloud zu verlagern, um sich gegen Datenverlust zu schützen.
Die Verlagerung von Unternehmensdaten in die Cloud bietet mehrere konkrete Vorteile:
- Hohe physikalische Sicherheit
Rechenzentren verfügen nicht nur über professionelle Hardware, sondern in der Regel auch über redundante Systeme bzw. Backup-Server, Maßnahmen gegen Eindringlinge sowie Schutz gegen Überspannung, Stromausfälle, Brände und Wasserschäden.
- Hohes technisches Know-how
Was den Schutz und die Bereitstellung von Daten angeht, verfügen Cloud-Anbieter in der Regel über exzellentes Know-how – schließlich handelt es sich dabei um ihr Kerngeschäft. Selbst den IT-Abteilungen großer Unternehmen fällt es schwer, da mitzuhalten.
- Georedundanz
Die meisten Cloud-Provider praktizieren Georedundanz. Das heißt, Daten werden nicht nur an einem Ort gespeichert, sondern es existieren Kopien in mehreren, geographisch getrennten Rechenzentren. Dieses Extra-Maß an Schutz hilft, Datenverlust (etwa durch Schäden in einem Rechenzentrum) vorzubeugen.
- Geringere Wahrscheinlichkeit für menschliches Versagen
Menschliche Fehler wie beispielsweise die versehentliche Löschung von Daten lassen sich in der Cloud leichter vermeiden – beispielsweise, indem Nutzern die entsprechenden Berechtigungen entzogen werden. Hinzu kommt, dass sich versehentlich gelöschte Daten bei vielen Cloud-Angeboten wiederherstellen lassen – dafür sorgen beispielsweise Backup-Funktionen.
- Sehr gute Kontrolle und Überblick über die Nutzeraktivitäten
Die meisten Cloud-Angebote bieten durch ihre Nutzerverwaltung sehr gute Möglichkeiten, den Zugang zu bestimmten Daten und die Berechtigungen einzelner Nutzer zu kontrollieren. Außerdem lassen sich die Aktivitäten der Nutzer – beispielsweise in einem digitalen Datenraum – lückenlos aufzeichnen.
Natürlich gilt es bei der Migration in die Cloud einiges zu beachten. Beispielsweise ist vorab zu klären, welche Daten in die Cloud übertragen werden sollen. Hierbei hilft eine Datenkategorisierung bzw. Datenklassifizierung im Unternehmen.
Anschließend ist zu bewerten, welchen Schutzbedarf die Daten haben. Denn für bestimmte Informationen wie beispielsweise personenbezogene Daten, Finanz- und Gesundheitsdaten oder Berufsgeheimnisse nach § 203 StGB gelten besondere Auflagen, denen nicht nur die Unternehmen, sondern auch die von ihnen genutzten Cloud-Provider entsprechen müssen. Für die Ermittlung der erforderlichen Sicherheit eignet sich beispielsweise dieser Schutzbedarfsrechner.
Darüber hinaus sollten Unternehmen prüfen, ob sie neben den gesetzlichen Auflagen noch eigene Anforderungen haben, etwa was Benutzerverwaltung, Protokollierung oder bestimmte Tools zur digitalen Zusammenarbeit betrifft. Sollen zum Beispiel Daten nicht einfach abgelegt, sondern mit Kunden, Partnern und Kollegen geteilt und bearbeitet werden, empfiehlt sich die Nutzung eines virtuellen Datenraums. Dabei handelt es sich um eine cloudbasierte Umgebung mit einem besonders hohen Sicherheitsniveau. Ein virtueller Datenraum ermöglicht den geschützten Austausch digitaler Dokumente sowie deren sichere und gemeinsame Bearbeitung. Alle Aktionen werden revisionssicher protokolliert, Zugriffs-, Lese- und Schreibrechte sind individuell anpassbar.
Worauf Unternehmen bei der Wahl eines geeigneten Cloud-Angebots sonst noch achten sollten, erfahren Sie in unserer kostenlosen Checkliste „Auswahl eines Cloud-Dienstes“.
Datensicherheit
In diesem Whitepaper erfahren Sie, wie Sie sensible geschäftskritische Daten bestmöglich schützen.
Bei all den potenziellen Ursachen wird schnell klar: Einen 100-prozentigen Schutz vor Datenverlust gibt es nicht. Ein gewisses Restrisiko gibt es immer. Doch die Wahrscheinlichkeit, Daten dauerhaft zu verlieren, lässt sich mit entsprechenden Maßnahmen und Vorkehrungen signifikant reduzieren. Einer der sichersten Wege, einem Datenverlust vorzubeugen, ist die Migration sensibler Daten in die Cloud – natürlich unter Beachtung der entsprechenden rechtlichen Auflagen.
Angesichts der Anforderungen, die Remote Work und die fortschreitende Digitalisierung mit sich bringen, ist es für Unternehmen ratsam, sich nach Lösungen umzusehen, die nicht nur eine sichere Speicherung, sondern auch den rechtskonformen Austausch und die geschützte digitale Zusammenarbeit an sensiblen Daten ermöglichen. Hochsichere virtuelle Datenräume sind dafür besonders geeignet.
7. FAQs
Natürlich lässt sich keine pauschale Aussage treffen, denn was bei einem Datenverlust zu tun ist, hängt davon ab, welche Daten und welche Personen davon betroffen sind und welches Ausmaß der Datenverlust hat. Prinzipiell gilt aber: Ruhe bewahren und mit kühlem Kopf Schadensbegrenzung betreiben.
Dazu haben sich die folgenden Maßnahmen bewährt:
1. Isolieren der betroffenen Systeme
Das Unternehmen sollte unverzüglich alle kompromittierten Systeme vom Netzwerk trennen, um weitere Datenverluste zu verhindern. Handelt es sich um einen physischen Defekt (etwa an der Festplatte oder dem Laufwerk) oder einen logischen Schaden (wie nach dem Formatieren oder dem Löschen von Daten), sollte das System sofort ausgeschaltet werden, damit keine weiteren Schäden entstehen. Ist jedoch ein Hackerangriff oder eine Phishing-Attacke Ursache des Datenverlusts, sollte das System nur vom Netz genommen werden. Ein Ausschalten könnte Hinweise vernichten, die für die Ursachenforschung wichtig sein könnten.
Übrigens: Was speziell zu tun ist, wenn eine Phishing-Mail geöffnet wurde, verrät unsere Checkliste.
2. Aktivieren eines Notfallteams
Als nächstes sollte das Unternehmen sofort ein Notfallteam aus IT-Sicherheitsfachleuten, Kommunikationsexperten und gegebenenfalls Juristen zusammenstellen. Dessen Aufgabe ist es, detaillierte Ursachenforschung für den Verlust der Daten zu betreiben und Schutzmaßnahmen zur Vermeidung künftiger Vorfälle zu ergreifen. Hierzu gilt es nicht nur, die betroffenen Systeme auf Schwachstellen zu überprüfen, sondern auch alle Zugangsdaten abzuändern und vorhandene Sicherheitsmaßnahmen hinsichtlich ihrer Tauglichkeit abzuklopfen. Zudem kümmert sich das Team um die Kommunikation mit den betroffenen Personen und – falls erforderlich – zuständigen Behörden.
3. Benachrichtigung der Behörden und Betroffenen
Wenn personenbezogene oder besonders schützenswerte Daten kompromittiert sind, heißt es, sofort zu reagieren. Informieren Sie ggf. die zuständigen Datenschutzbehörden und die betroffenen Personen gemäß den gesetzlichen Vorschriften. Diese Mitteilungen sollten Details zum Vorfall, den berührten Daten und den ergriffenen Maßnahmen zur Schadensbegrenzung enthalten.
4. Transparente Kommunikation
Auch gilt es, offen und ehrlich mit Kunden und Partnern zu kommunizieren. Schlechte Kommunikation führt meist zu nachhaltigem Vertrauensverlust und lässt zudem Missverständnisse entstehen. Stattdessen heißt es, klar und transparent über den Vorfall zu informieren und zu erläutern, welche Daten betroffen sind und welche Maßnahmen eingeleitet wurden.
5. Überarbeitung der Sicherheitsrichtlinien
Zum Schluss sollte das Unternehmen einen Blick auf seine Sicherheitsrichtlinien und -prozesse werfen. Wo gibt es noch Optimierungsbedarf oder -potenzial? An welchen Stellschrauben der IT-Infrastruktur gilt es zu drehen, um zukünftige Vorfälle zu vermeiden? Welche Sicherheitsmaßnahmen sollten zusätzlich implementiert werden? Eine solche Analyse deckt weitere mögliche Sicherheitslücken auf und befähigt das Unternehmen, seine Systeme vor weiteren Datenverlusten zu schützen.
Eine schnelle und umfassende Reaktion auf einen Datenverlust gestattet es dem Unternehmen, den Schaden auf ein Minimum zu reduzieren und das Vertrauen seiner Kunden und Partner zu wahren.
In der modernen Geschäftswelt sind digitale Zusammenarbeit und Datenaustausch unverzichtbar. In puncto Cloud-Lösung heißt es hier, auf einen Anbieter zu setzen, bei dem geschäftskritische Daten gut – und vor allem sicher – aufgehoben sind. Achten Sie darauf, dass der Anbieter drei Säulen der Sicherheit abdeckt:
1. Hochmoderne Technologien
Der Anbieter sollte modernste Technologien wie die patentierte Sealed-Cloud-Technologie nutzen, die Ihnen eine bequeme Datenverarbeitung ermöglichen – ohne dass Sie Kompromisse bei der Sicherheit eingehen müssen. Achten Sie unbedingt darauf, dass die Daten nicht nur bei der Übertragung und Speicherung, sondern auch bei der Verarbeitung sicher sind! Zudem sollte jeder unerlaubte Zugriff auf Verbindungsinformationen und Daten – und ein damit verbundener Datenverlust – mithilfe technischer Maßnahmen ausgeschlossen sein. Selbst der Anbieter darf zu keinem Zeitpunkt je Einblick in Ihre Daten haben!
2. Unabhängige Zertifizierungen
Unabhängige und verlässliche Zertifizierungen sind notwendig, um eine Aussage über die Qualität und Eigenschaft eines Cloud-Dienstes und aller nachgelagerten Prozesse wie Sicherheit, Infrastruktur, Verfügbarkeit und Ähnliches zu erhalten. Ein Zertifikat nach TCDP etwa erleichtert Unternehmen die Wahrnehmung der Kontrollpflichten im Rahmen der Auftragsdatenverarbeitung entscheidend. Mehr noch: Das Zertifikat in der Schutzklasse 3 unterstützt sie wesentlich bei der nach DSGVO geforderten Dokumentation der Datenschutzkonformität Ihrer Verarbeitungsvorgänge. Darüber hinaus gelten die von den Datenschutzgesetzen geforderten Kontrollpflichten selbst für Daten mit hohem Schutzbedarf als erfüllt. Setzen Sie also auf einen Anbieter, der sich von unabhängiger Stelle hat zertifizieren lassen.
3. Moderne und hochsichere Rechenzentren
Überprüfen Sie auch das vom Anbieter genutzte Rechenzentrum: Ist es mit modernster Sicherheitstechnologie ausgestattet? Befindet es sich in einem Land mit hohen Anforderungen an den Datenschutz wie Deutschland? Genügt es Ihren regulatorischen Ansprüchen? Ist es zertifiziert? Verfügt der Anbieter über eigene Server im Rechenzentrum, die ausschließlich ihm vorbehalten sind und keine Dienste oder Services anderer Anbieter beherbergen? Können Sie all diese Fragen mit “ja” beantworten, spricht dies für eine besondere Sorgfalt des Anbieters.
Eine sichere Cloud zeichnet sich durch mehrere Schlüsselfaktoren aus, die Unternehmen helfen, ihre Daten effektiv zu schützen. Vor allem diese Aspekte sollten Sie bei der Auswahl des richtigen Anbieters beachten:
1. Höchste Sicherheitsstandards
Der Cloud-Service sollte auf modernste Technologien setzen, die auf höchstmöglichen Sicherheitsstandards basieren. Mehrere ineinander verzahnte technische Vorkehrungen, die den unbefugten Zugriff auf unverschlüsselte Daten verwehren, schließen aus, dass die Schwachstelle „Mensch“ Datenverluste verursacht.
2. Zero-Knowledge-Prinzip
Dieses Prinzip gewährleistet, dass kein Unbefugter Einblick in gespeicherten Daten hat – nicht einmal der Anbieter selbst (Betreiberabschirmung). Die Daten sind nur für den/die jeweiligen Nutzer zugänglich, sodass für höchstmögliche Vertraulichkeit gesorgt ist – und somit auch für den Schutz vor einem möglichen Datenverlust.
3. Strenge Zugriffskontrollen
Strenge Zugriffskontrollen stellen zudem sicher, dass nur autorisierte Benutzer Zugang zu sensiblen Daten haben. Dazu gehören Sicherheitsmechanismen wie die Mehr-Faktor-Authentifizierung und die Erteilung individueller Benutzerrechte.
4. Regelmäßige Sicherheitsupdates und Audits
Ebenfalls wichtig ist es, dass der Anbieter kontinuierlich Sicherheitsupdates in seinen Tools implementiert und sich selbst regelmäßigen Audits unterzieht.
5. Sichere, hochverfügbare Rechenzentren
Auch der Speicherort ist ein ausschlaggebendes Kriterium für eine sichere Cloud. Das genutzte Rechenzentrum sollte ein Höchstmaß an digitaler wie physischer Sicherheit bieten. Hierzu zählen Maßnahmen wie effektiver Brandschutz, modernste Sicherheitstechnologie, mehrstufige Sicherheitskonzepte und Rund-um-die-Uhr-Überwachung des Geländes durch einen speziell ausgebildeten Wachdienst. Achten Sie zudem darauf, dass die IT-Infrastruktur auf hohe Verfügbarkeit ausgelegt ist, sodass die Dienste auch bei technischen Problemen oder Angriffen zuverlässig zugänglich bleiben.
6. Zertifizierungen und Compliance
Eine sichere Cloud entspricht internationalen Sicherheitsstandards und verfügt über entsprechende Zertifizierungen wie ISO 27001.
Diese Maßnahmen zusammen sorgen dafür, dass eine Cloud-Lösung höchste Sicherheitsstandards erfüllt und sensible Daten zuverlässig vor Verlust schützt.