Risikopotenzial durch entsprechende Sicherheitsvorkehrungen einschränken und damit Datenlücken schließen

[datensicherheit.de, 28.05.2011] Die jüngsten IT-Pannen bei global agierenden Unternehmen haben Diskussionen über Risiken durch Crackerangriffe neu in Gang gebracht. Auch die gerade veröffentlichte Kriminalitätsstatistik unterstreicht, dass Datendiebstahl drastisch zunimmt – demnach sei die Zahl der Ausspähungsfälle 2010 um 32 Prozent gestiegen. Der Verlust sensibler Daten könne auch kleinere und mittlere Unternehmen (KMU) treffen, warnt der Spezialversicherer Hiscox:
Die Firmen sollten daher ihr Risikomanagement überprüfen und darauf achten, dass sie auf der einen Seite über ein hohes Maß an IT-Sicherheit verfügen und auf der anderen über einen Versicherungsschutz, der die Ansprüche und Kosten eines Verstoßes gegen Datenschutzrechte absichert, so Jens Krickhahn, Experte für IT-Risiken bei Hiscox.
Schäden aufgrund gestohlener Kundendaten oder Verstößen gegen Datenschutzrichtlinien können nach Information von Hiscox leicht in die Millionen gehen. Die richtige Versicherung leistet Erste Hilfe, etwa in Form von forensischen Dienstleistungen, um Datenschutzlücken aufzudecken. Darüber hinaus erhält das betroffene Unternehmen über den gesamten Prozess hinweg Unterstützung. Eine Versicherung müsse die Kosten für die genaue Identifikation der vom Verstoß betroffenen Daten, für juristische Schritte, für die Information der Betroffenen sowie für Verwaltung und Öffentlichkeitsarbeit des Kunden übernehmen. Etwaige Umsatzausfälle durch Crackerangriffe oder „Denial-of-Service“-Attacken, die beim Kunden entstehen, sollten ebenfalls vom Versicherungsschutz umfasst sein, sagt Krickhahn. Eine Versicherung für den Notfall sei unabdingbar. Das Risikopotenzial könne aber durch entsprechende Sicherheitsvorkehrungen eingeschränkt und damit Datenlücken geschlossen werden. Nur selten seien die eigenen Mitarbeiter für den Datenverlust auf Unternehmensservern verantwortlich. In nahezu allen Fällen entstehe der Verlust durch Angriffe von außen. Krickhahn empfiehlt, sensible Daten zu verschlüsseln und nur einem möglichst kleinen Personenkreis zugänglich zu machen; die Speicherung auf mobilen Geräten sollte vermieden werden.
Neue Risiken entstehen zudem im Zuge der zunehmenden Nutzung von „Cloud Computing“ – immer mehr Unternehmen speichern ihre Daten bei Drittanbietern, wo die Kontrolle über die Datensicherheit schwieriger ist als auf eigenen Servern. Wenn die KMU Aufgabenbereiche auslagern, können sie dennoch für die Fehler Dritter verantwortlich gemacht werden. Liegen Kundendaten bei einer Fremdfirma, bleibt der abgebende Betrieb rechtlich für diese verantwortlich – und damit für deren Sicherheit. Unternehmen müssten daher laut Hiscox nicht nur sicherstellen, dass die Kundenerlaubnis für die Datenweitergabe an ein Rechenzentrum vorliegt, sondern auch, dass dieses einen sicheren Umgang mit den Daten pflegt. Um dies zu gewährleisten, sollte eine Kopie des letzten unabhängigen Audits angefordert und vertraglich festgelegt werden, dass der Dienstleister für eventuelle Datenschutzverstöße verantwortlich ist.
Ob Daten im eigenen Unternehmen gespeichert werden oder bei Drittanbietern – stets empfiehlt es sich, einen Notfallplan für Schadenfälle in der Schublade zu haben. Darüber hinaus ist es sinnvoll, Ansprechpartner in IT Projekte zu integrieren, die sich mit Datensicherheit und den Folgen vonDatenschutzverletzungen auskennen – zum Beispiel Anwälte, forensische Experten oder anderweitige Berater.

Weitere Informationen zum Thema:

Hiscox
Geschäftskunden