Studien belegen, dass in Europa rund 20 Prozent der Menschen bereits Opfer von Datenmissbrauch wurden. Also beinahe jeder fünfte Europäer musste sich bereits gezwungenermaßen mit der Thematik Identitätsdiebstahl beschäftigen. Und oftmals ist die Polizei machtlos. Es trifft jedoch nicht nur Privatpersonen. Im Fokus sogenannter Hacker stehen meist Unternehmen, bei denen Nutzerdaten gestohlen und für eigene Interessen verwendet werden. Ein gutes Beispiel ist Paypal: Durch einen Datendiebstahl gelangten Betrüger an Informationen vieler Nutzer, veröffentlichten diese oder nutzten sie, um privat einkaufen zu gehen und begehen somit Identitätsdiebstahl. Der wirtschaftliche Schaden ist sowohl für Unternehmen als auch für Privatpersonen groß. Doch wie können sich Firmen vor Datenmissbrauch schützen und worauf müssen sie achten?
Der wirtschaftliche Schaden durch Datenmissbrauch beträgt in Deutschland rund 102 Milliarden Euro pro Jahr. Fast 90 % der Unternehmen mit 10-99 Mitarbeitern wurden in den letzten 2 Jahren Opfer von Datendiebstahl, Industriespionage oder Sabotage.
Quelle: Studie „Wirtschaftsschutz in der digitalen Welt“, bitkom 11.2019
Definition: Was ist unter Datenmissbrauch zu verstehen?
Hierbei handelt es sich um nichts anderes als den Diebstahl personenbezogener Daten mit anschließender krimineller Nutzung. Dies geschieht ohne das Wissen der Betroffenen. Wenn gestohlene Informationen (dazu zählen auch sensible Daten aus Unternehmen) für kriminelle Handlungen genutzt werden, spricht man von Datenmissbrauch. Um für höhere Datensicherheit zu sorgen, sind Firmen daher gemäß DSGVO dazu verpflichtet, entsprechende Sicherheitsmaßnahmen zu treffen, die einen Datenmissbrauch und Identitätsdiebstahl verhindern sollen.
Gefahren für kleine und mittlere Unternehmen
Geschäftliche Daten von kleinen und mittleren Unternehmen stehen immer öfter im Fadenkreuz von gezielten Cyberangriffen. Darauf weist das Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig hin. Allerdings wird die Gefahr durch Datenmissbrauch immer noch von vielen unterschätzt. Die Folge: Zu lockere Sicherheitsvorkehrungen machen Kleinbetriebe und Mittelständler zu lohnenden Angriffszielen für Datenmissbrauch durch Cyberkriminelle.
Daten können auf unterschiedlichste Art und Weise ausspioniert werden. Das Spektrum reicht von Hackerangriffen mit Spyware-Tools über einfaches Kopieren der Daten auf USB-Sticks bis zum Versenden der Dateien per E-Mail. Selbst althergebrachte Verfahren wie das Abfotografieren oder Kopieren von Dokumenten sollten Sie nicht unterschätzen. Die Angreifer müssen auch nicht unbedingt von außen kommen. Um ein Opfer von Datenklau zu werden, ist nicht zwingend ein klassischer Hackerangriff notwendig. Ganz im Gegenteil: Datendiebstahl durch die eigenen Mitarbeiter ist keine Seltenheit.
Das bedeutet natürlich nicht, dass Sie ein Opfer von Datenmissbrauch werden, weil der Datenklau durch Mitarbeiter als aktive Täter geschieht. Angestellte stellen durchaus ein Sicherheitsrisiko dar, weil Sie häufig auch Hackerangriffe von außen durch Unachtsamkeit, Unwissenheitoder Leichtsinn ermöglichen. Sie können bewusst oder unbewusst die Gefahr des Datenmissbrauchs erhöhen und zum Diebstahl Ihrer Daten beitragen. Daher sollten Sie sich bei den Themen Datensicherheit und Datenschutz nicht ausschließlich auf technische Schutzvorkehrungen vor Hackerattacken und Datenmissbrauch konzentrieren. Vielmehr müssen Sie ein umfassenderes Sicherheitskonzept unter Einbeziehung der Mitarbeiter entwickeln und umsetzen, um Datenklau in Ihrer Firma zu verhindern.
Tipp
Experteninterview mit Dr. Tilman Frosch: Ganzheitliche Sicherheitskonzepte für Unternehmen
„Mit einer Antiviren-Software allein ist es schon lange nicht mehr getan!“ Das sagt ausgerechnet der Geschäftsführer des Unternehmens, das als erstes Antiviren-Software hergestellt hat: G DATA | Advanced Analytics GmbH.
- Die Bedrohung durch Cyberkriminelle wächst - auch für kleinere Unternehmen.
- Die Angriffe werden immer komplexer.
Im Interview erklärt Dr. Tilman Frosch, worauf Sie bei den Themen Datensicherheit und Datenmissbrauch unbedingt achten müssen.
Die unberechenbaren Angriffsmethoden: So gelangen Kriminelle an Ihre Daten
Daten waren noch nie so wertvoll wie heute. Deshalb werden Cyberkriminelle immer einfallsreicher, um an wertvolle und sensible Informationen von Unternehmen oder auch Privatpersonen zu gelangen. Derzeit sind die folgenden vier Angriffsmethoden für Datenklau und Datenmissbrauch weit verbreitet:
1. Phishing
Beim Phishing versuchen Angreifer mit Hilfe von gefälschten E-Mails und gefälschten Seiten im Internet an Ihre Zugangsdaten zu gelangen. Darin wird der Empfänger meist zur Eingabe der persönlichen Login-Daten aufgefordert. Phishing-Mails sind im Hinblick auf Design und Layout mittlerweile so professionell, dass Laien den geplanten Datenmissbrauch nur schwer als solchen erkennen.
Es besteht ein hoher Phishing-Verdacht, wenn folgende Kriterien zutreffen:
- Die Absenderadresse ist fehlerhaft (z. B. Telkom statt Telekom).
- Die Anrede ist unpersönlich (z. B. „Sehr geehrter Kunde“).
- Sie werden aufgefordert, Ihre Zugangsdaten zu aktualisieren oder einzugeben.
- Sie werden aufgefordert, Rechnungen zu begleichen, von denen Sie nichts wissen.
- Ihnen wird mit Kontosperrung oder anderen Einschränkungen gedroht, wenn Sie nicht unverzüglich reagieren.
Tipp
Was können Sie tun, um sich vor Datenmissbrauch zu schützen?
- Checken Sie bei solchen E-Mails immer den Absender und unterziehen Sie diesem bei Bedarf einer Google-Suche.
- Klicken Sie außerdem niemals auf den beigefügten Link.
- Geben Sie niemals Passwörter oder andere persönliche Daten ein.
2. Ransomware
Mithilfe sogenannter Ransomware – oder auch Erpressersoftware – bringen Angreifer einen Trojaner in Umlauf. Diese können durch das Öffnen von Anhängen in „versuchten“ E-Mails oder den Besuch von Webseiten auf Ihren PC gelangen. Der Trojaner verschlüsselt die Daten Ihres PCs oder verhindert den Zugriff auf bestimmte Programme. Ist dies der Fall, können Angreifer alle Vorgänge auf Ihrem Computer einsehen und die Informationen für einen Datenmissbrauch nutzen.
Tipp
So können Sie sich vor Ransomware-Angriffen schützen:
- Öffnen Sie keine Anhänge, wie zum Beispiel Rechnungen aus E-Mails, denen Sie nicht trauen.
- Halten Sie Ihre Antiviren-Software durch Updates aktuell.
- Erstellen Sie Datensicherungen bzw. Backups, um sich vor Datenverlust zu schützen.
3. Emotet-Trojaner
Emotet-Trojaner stellen eine noch gefährlichere Phishing-Variante dar. Hierbei werden in der Regel E-Mails von vermeintlich vertrauenswürdigen Personen (z. B. Freunde, Geschäftspartner) verschickt. Diese enthalten schädliche Anhänge. Das Öffnen dieser Anhänge allein ist noch nicht gefährlich und führt auch zu keinem Datenmissbrauch. Aktivieren Sie jedoch die Makros in den Dokumenten, wird Schadsoftware auf den Computer geladen.
Tipp
So können Sie sich vor Datenmissbrauch durch Emotet-Trojaner schützen:
- Aktivieren Sie keine Makros in E-Mail-Anhängen.
- Fragen Sie im Zweifel bei Ihren Bekannten nach, ob die E-Mails wirklich von ihnen kommen.
4. Social Engineering
Beim Social Engineering versucht der Angreifer über den direkten Kontakt zum Betroffenen an vertrauliche Informationen zu gelangen. Der Kontaktierte wird so manipuliert, dass dieser unbewusst persönliche Daten preisgibt. Mit diesen Informationen können Kriminelle ganz einfach Datenmissbrauch vornehmen. Hier gibt es verschiedene Vorgehensweisen:
- Der Angreifer gibt sich am Telefon als Systemadministrator aus, der die Zugangsdaten benötigt, um einen vermeintlichen Systemfehler zu beheben.
- Der Angreifer versucht über gefälschte Benutzerprofile in sozialen Netzwerken das Vertrauen des Angestellten zu gewinnen, um die gewünschten Informationen zu einem passenden Zeitpunkt abzufragen.
Tipp
So können Sie sich vor Datenmissbrauch via Social Engineering schützen:
- Hinterfragen Sie Kontaktaufnahmen, bei denen Sie aufgefordert werden, Ihre Zugangsdaten preiszugeben. Sie können sicher sein, dass ein Systemadministrator die Daten hat.
- Sensibilisieren Sie Ihre Mitarbeiter, damit auch diese keine Daten weitergeben – weder telefonisch noch online.
10 konkrete Maßnahmen gegen Datenmissbrauch
Am Anfang einer Sicherheitsstrategie steht die Frage, welche Daten in welchem Ausmaß geschützt werden müssen. Nicht alle Daten sind gleich wichtig und daher gibt es auch unterschiedliche Schutzniveaus. Bei personenbezogenen Daten müssen Sie zudem die speziellen Vorgaben der EU-Datenschutzgrundverordnung (DSGVO) beachten und diese durch geeignete Maßnahmen gegen Datenmissbrauch schützen.
1. Zugriffsrechte
Um Datenmissbrauch zu verhindern, sollten Sie den Personenkreis, der Zugriff auf bestimmte Daten hat, immer so klein wie möglich halten. Zugriffsrechte auf Daten sollten Sie daher nur denjenigen Mitarbeitern einräumen, die sie tatsächlich benötigen. Wichtig ist auch, dass Sie einmal vergebene Zugriffsrechte wieder aufheben, wenn diese Voraussetzung nicht mehr gegeben ist. Um einen Überblick über die Rechtevergabe zu behalten, kann eine Namensliste hilfreich sein.
2. Speichermöglichkeiten
Schränken Sie bei sensiblen Daten die Speichermöglichkeiten ein. Zum Beispiel können Sie die ausschließliche Speicherung auf gut gesicherten Servern erlauben, während das Speichern auf dem Arbeitsplatzrechner untersagt wird.
3. USB-Sticks
Über USB-Sticks kann Schadsoftware eindringen oder Daten können unerlaubt darauf kopiert werden. Um das zu verhindern, ist es empfehlenswert, entsprechende IT-Sicherheitsvorkehrungen zu treffen, wie z. B. den Anschluss solcher Wechseldatenträger zu blockieren. Diese Sicherheitsmaßnahme ist zudem hilfreich, um den Datenmissbrauch durch Unbefugte zu verhindern, sofern der USB-Stick verloren geht.
4. Verschlüsselung
Sensible Daten sollten Sie nach Möglichkeit nur verschlüsselt speichern. Moderne Betriebssysteme bringen bereits Lösungen zu einer Komplettverschlüsselung mit, wie z. B. BitLocker in Windows. Besonders wichtig ist die Verschlüsselung der Daten bei mobilen Geräten und Datenträgern. Denn hier besteht zusätzlich die Gefahr, dass diese Hardware unterwegs verloren geht und damit auch die Daten in fremde Hände geraten – ein Datenmissbrauch ist in diesen Fällen beinahe schon vorprogrammiert. Schützen Sie diese Daten daher in jedem Fall! Nutzen Sie bei Smartphones die Gerätesperre und bei Notebooks die Festplattenverschlüsselung. Auch USB-Sticks bzw. externe Festplatten sollten Sie nur mit Hardwareverschlüsselung verwenden.
5. Passwörter
Verwenden Sie nur sichere Passwörter. Diese müssen ausreichend lang sein und möglichst aus einem Mix aus Klein- und Großbuchstaben, Ziffern und Sonderzeichen bestehen. Einfache Zeichenfolgen, Namen oder sonstige Begriffe bieten keinen ausreichenden Schutz. Wer keine Lust hat, sich Passwörter auszudenken, kann sich Hilfe von Passwort-Generatoren im Internet holen (z. B. www.passwort-generator.com). Auf gar keinen Fall darf ein und dasselbe Passwort für mehrere Zwecke verwendet werden. Wir empfehlen Ihnen, einen Passwort-Manager zur Verwaltung Ihrer Passwörter einzusetzen.
6. Zwei-Faktor-Authentifizierung (H3)
Einen besseren Schutz als einfache Passwörter bietet die Zwei-Faktor-Authentifizierung. Bei dieser wird zusätzlich zum regulären Passwort noch ein weiteres Legitimationsmerkmal überprüft. Beispielsweise ein per SMS, per App oder Hardware-Token generiertes Einmal-Passwort. Da nur Sie die zweite Überprüfung durchführen können, halten Sie die Möglichkeit eines Datenmissbrauchs so gering wie möglich.
7. Backups
Denken Sie daran, regelmäßig und in angemessen kurzen Zeitabständen Datensicherungen durchzuführen. Ein solches Backup kann zwar Malware-Attacken nicht verhindern, wohl aber daraus resultierende Datenverluste vermeiden. Weitere Informationen dazu finden Sie auf der Themenseite Datenverlust.
8. Umfassendes Schutzkonzept
Neben PC und anderen Rechnern können auch auf Druckern oder Multifunktionsgeräten relevante Daten gespeichert sein. Diese Geräte müssen daher ebenfalls in ein Schutzkonzept einbezogen werden.
9. Klare Regeln
Geben Sie klare, verbindliche Sicherheitsregeln vor, beispielsweise zu diesen Themen:
- Passwörtern
- Nutzung von Mobilgeräten
- Umgang mit E-Mails
Schon bei der Einstellung neuer Mitarbeiter können Sie dafür sorgen, dass diese von Anfang an im Sinne Ihrer Datensicherheitsstrategie arbeiten und dabei mithelfen, Datenmissbrauch zu verhindern.
10. Sensibilisierung der Mitarbeiter
Sensibilisieren Sie Ihre Mitarbeiter für die Themen Datenschutz und Datensicherheit. Denn auch bei Hackerangriffen ist die größte Schwachstelle meist der Mensch, da oftmals Schadprogramme auf aktives Mitwirken von Personen angewiesen sind (z. B. Öffnen von Dateianhängen). Ein weiterer Schutz vor Datenmissbrauch in Unternehmen ist aus diesem Grund die Sensibilisierung Ihrer Mitarbeiter.
Praxis-Tipp: Ihre Daten einfach sicher – mit der neuen Lexware Sicherheitszentrale
Informationen aus der Buchhaltung und Kundendaten sind besonders schützenswert. Daher unterstützen wir Sie beim Schutz dieser Daten vor Verlust oder Datenmissbrauch – mit der Lexware Sicherheitszentrale. In unsere Software-Lösungen integriert, bündelt sie starke Funktionen rund um Ihre Datensicherheit in einem zentralen Cockpit. Sie wollen ein Beispiel? Kein Problem. In dem PDF: Praxisbeispiel für Datensicherung mit Lexware erhalten Sie alle relevanten Informationen.
So haben Sie den Sicherheitsstatus Ihrer Firmendaten immer im Blick! Wie das funktioniert, sehen Sie in diesem Video:
Sicherheitstipps für Windows-Nutzer
Für Windows-Rechner sollten Sie folgende Sicherheitsregeln beachten, um das Risiko von Malware-Angriffen und damit auch von Datenmissbrauch möglichst gering zu halten:
- Regelmäßige Updates: Halten Sie das Betriebssystem über das automatische Windows-Update stets auf dem aktuellen Stand. Kontrollieren Sie, ob diese Funktion aktiviert ist und holen Sie es ggf. nach. Nutzen Sie bei allen Anwendungen die angebotenen Auto-Updates oder kontrollieren Sie regelmäßig, ob sicherheitsrelevante Updates vorliegen und führen Sie diese unverzüglich durch.
- Virenschutz: Verwenden Sie ein aktuelles Antivirenprogramm wie den Windows Defender, um sich vor Datenmissbrauch zu schützen.
- Nutzerrechte einschränken: Auf den Arbeitsplatz-Rechnern sollten keine Administrator-Konten eingerichtet sein. Vielmehr sollten die Anwender nur mit eingeschränkten Nutzerrechten arbeiten. Dies mindert die Risiken, die von eingeschleusten Schadprogrammen ausgehen.
- Benutzerkonten: Erhöhen Sie die standardmäßig vorgegebene Stufe in der Benutzerkontensteuerung (UAC) von Mittel auf Hoch. Dadurch minimieren Sie von vornherein das Risiko eines Datenmissbrauchs.
- Sichere Programmausführung: Zum besseren Schutz vor Schadprogrammen und damit vor Datenklau in Unternehmen können Sie über die Software Restriction Policies (SRP) von Windows das Ausführen von Dateien außerhalb des Windows-Ordners blockieren, sodass ausschließlich unbedenkliche Programme ausgeführt werden.
- Makros blockieren: In Windows-Office-Anwendungen sollten Sie nach Möglichkeit das Ausführen von Makros blockieren. Das ist über die Einstellungen der Programme (Optionen – Trust Center-Einstellungen) oder über Gruppenrichtlinien möglich. Diesen Übertragungsweg nutzt auch der gefürchtete Emotet-Trojaner, der anschließend zu einem Datenmissbrauch führen kann.
Achtung
Kein Support mehr für Microsoft® Office 2010!
Am 13. Oktober 2020 hat Microsoft den Support für Office 2010 eingestellt. Das bedeutet unter anderem, dass Microsoft auch keine Sicherheitslücken mehr in den Anwendungen von Office 2010 schließt. Damit sind Hacker-Angriffen sowie einem potentiellen Datenmissbrauch Tür und Tor geöffnet. Nutzer von Office 2010 sollten deshalb schnellstmöglich auf eine neuere Office-Version umsteigen.
Fazit - So schützen Sie sich vor Datenmissbrauch
Unternehmensdaten sind zahlreichen Gefahren ausgesetzt. Die Methoden von Cyberkriminellen werden dabei immer ausgefeilter. Einen vollständigen Schutz gegen Datenklau und Datenmissbrauch wird es wahrscheinlich leider nie geben. Doch wenn Sie Firewalls und Anti-Virenprogramme einsetzen und zusätzlich die vorgestellten Maßnahmen umsetzen, ist dies definitiv schon ein wichtiger Schritt in die richtige Richtung.