Datenmissbrauch: Wirksame Maßnahmen gegen Datenklau

Studien belegen, dass in Europa rund 20 Prozent der Menschen bereits Opfer von Datenmissbrauch wurden. Also beinahe jeder fünfte Europäer musste sich bereits gezwungenermaßen mit der Thematik Identitätsdiebstahl beschäftigen. Und oftmals ist die Polizei machtlos. Es trifft jedoch nicht nur Privatpersonen. Im Fokus sogenannter Hacker stehen meist Unternehmen, bei denen Nutzerdaten gestohlen und für eigene Interessen verwendet werden. Ein gutes Beispiel ist Paypal: Durch einen Datendiebstahl gelangten Betrüger an Informationen vieler Nutzer, veröffentlichten diese oder nutzten sie, um privat einkaufen zu gehen und begehen somit Identitätsdiebstahl. Der wirtschaftliche Schaden ist sowohl für Unternehmen als auch für Privatpersonen groß. Doch wie können sich Firmen vor Datenmissbrauch schützen und worauf müssen sie achten?

Der wirtschaftliche Schaden durch Datenmissbrauch beträgt in Deutschland rund 102 Milliarden Euro pro Jahr. Fast 90 % der Unternehmen mit 10-99 Mitarbeitern wurden in den letzten 2 Jahren Opfer von Datendiebstahl, Industriespionage oder Sabotage.

Quelle: Studie „Wirtschaftsschutz in der digitalen Welt“, bitkom 11.2019

Hierbei handelt es sich um nichts anderes als den Diebstahl personenbezogener Daten mit anschließender krimineller Nutzung. Dies geschieht ohne das Wissen der Betroffenen. Wenn gestohlene Informationen (dazu zählen auch sensible Daten aus Unternehmen) für kriminelle Handlungen genutzt werden, spricht man von Datenmissbrauch. Um für höhere Datensicherheit zu sorgen, sind Firmen daher gemäß DSGVO dazu verpflichtet, entsprechende Sicherheitsmaßnahmen zu treffen, die einen Datenmissbrauch und Identitätsdiebstahl verhindern sollen.

Geschäftliche Daten von kleinen und mittleren Unternehmen stehen immer öfter im Fadenkreuz von gezielten Cyberangriffen. Darauf weist das Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig hin. Allerdings wird die Gefahr durch Datenmissbrauch immer noch von vielen unterschätzt. Die Folge: Zu lockere Sicherheitsvorkehrungen machen Kleinbetriebe und Mittelständler zu lohnenden Angriffszielen für Datenmissbrauch durch Cyberkriminelle.

Daten können auf unterschiedlichste Art und Weise ausspioniert werden. Das Spektrum reicht von Hackerangriffen mit Spyware-Tools über einfaches Kopieren der Daten auf USB-Sticks bis zum Versenden der Dateien per E-Mail. Selbst althergebrachte Verfahren wie das Abfotografieren oder Kopieren von Dokumenten solltest du nicht unterschätzen. Die Angreifer müssen auch nicht unbedingt von außen kommen. Um ein Opfer von Datenklau zu werden, ist nicht zwingend ein klassischer Hackerangriff notwendig. Ganz im Gegenteil: Datendiebstahl durch die eigenen Mitarbeiter ist keine Seltenheit.

Das bedeutet natürlich nicht, dass du ein Opfer von Datenmissbrauch wirst, weil der Datenklau durch Mitarbeiter als aktive Täter geschieht. Angestellte stellen durchaus ein Sicherheitsrisiko dar, weil du häufig auch Hackerangriffe von außen durch Unachtsamkeit, Unwissenheitoder Leichtsinn ermöglichst. Du kannst bewusst oder unbewusst die Gefahr des Datenmissbrauchs erhöhen und zum Diebstahl deiner Daten beitragen. Daher solltest du dich bei den Themen Datensicherheit und Datenschutz nicht ausschließlich auf technische Schutzvorkehrungen vor Hackerattacken und Datenmissbrauch konzentrieren. Vielmehr musst du ein umfassenderes Sicherheitskonzept unter Einbeziehung der Mitarbeiter entwickeln und umsetzen, um Datenklau in deiner Firma zu verhindern.

Daten waren noch nie so wertvoll wie heute.  Deshalb werden Cyberkriminelle immer einfallsreicher, um an wertvolle und sensible Informationen von Unternehmen oder auch Privatpersonen zu gelangen. Derzeit sind die folgenden vier Angriffsmethoden für Datenklau und Datenmissbrauch weit verbreitet:

Beim Phishing versuchen Angreifer mit Hilfe von gefälschten E-Mails und gefälschten Seiten im Internet an deine Zugangsdaten zu gelangen. Darin wird der Empfänger meist zur Eingabe der persönlichen Login-Daten aufgefordert. Phishing-Mails sind im Hinblick auf Design und Layout mittlerweile so professionell, dass Laien den geplanten Datenmissbrauch nur schwer als solchen erkennen.

Es besteht ein hoher Phishing-Verdacht, wenn folgende Kriterien zutreffen:

• Die Absenderadresse ist fehlerhaft (z. B. Telkom statt Telekom).
• Die Anrede ist unpersönlich (z. B. „Sehr geehrter Kunde“).
• Du wirst aufgefordert, deine Zugangsdaten zu aktualisieren oder einzugeben.
• Du wirst aufgefordert, Rechnungen zu begleichen, von denen du nichts weißt.
• Dir wird mit Kontosperrung oder anderen Einschränkungen gedroht, wenn du nicht unverzüglich reagierst.

Mithilfe sogenannter Ransomware – oder auch Erpressersoftware – bringen Angreifer einen Trojaner in Umlauf. Diese können durch das Öffnen von Anhängen in „versuchten“ E-Mails oder den Besuch von Webseiten auf deinen PC gelangen. Der Trojaner verschlüsselt die Daten deines PCs oder verhindert den Zugriff auf bestimmte Programme. Ist dies der Fall, können Angreifer alle Vorgänge auf deinem Computer einsehen und die Informationen für einen Datenmissbrauch nutzen.

Emotet-Trojaner stellen eine noch gefährlichere Phishing-Variante dar. Hierbei werden in der Regel E-Mails von vermeintlich vertrauenswürdigen Personen (z. B. Freunde, Geschäftspartner) verschickt. Diese enthalten schädliche Anhänge. Das Öffnen dieser Anhänge allein ist noch nicht gefährlich und führt auch zu keinem Datenmissbrauch. Aktivierst du jedoch die Makros in den Dokumenten, wird Schadsoftware auf den Computer geladen.

Beim Social Engineering versucht der Angreifer über den direkten Kontakt zum Betroffenen an vertrauliche Informationen zu gelangen. Der Kontaktierte wird so manipuliert, dass dieser unbewusst persönliche Daten preisgibt. Mit diesen Informationen können Kriminelle ganz einfach Datenmissbrauch vornehmen. Hier gibt es verschiedene Vorgehensweisen:

• Der Angreifer gibt sich am Telefon als Systemadministrator aus, der die Zugangsdaten benötigt, um einen vermeintlichen Systemfehler zu beheben.
• Der Angreifer versucht über gefälschte Benutzerprofile in sozialen Netzwerken das Vertrauen des Angestellten zu gewinnen, um die gewünschten Informationen zu einem passenden Zeitpunkt abzufragen.

Am Anfang einer Sicherheitsstrategie steht die Frage, welche Daten in welchem Ausmaß geschützt werden müssen. Nicht alle Daten sind gleich wichtig und daher gibt es auch unterschiedliche Schutzniveaus. Bei personenbezogenen Daten musst du zudem die speziellen Vorgaben der EU-Datenschutzgrundverordnung (DSGVO) beachten und diese durch geeignete Maßnahmen gegen Datenmissbrauch schützen.

Um Datenmissbrauch zu verhindern, solltest du den Personenkreis, der Zugriff auf bestimmte Daten hat, immer so klein wie möglich halten. Zugriffsrechte auf Daten solltest du daher nur denjenigen Mitarbeitern einräumen, die sie tatsächlich benötigen. Wichtig ist auch, dass du einmal vergebene Zugriffsrechte wieder aufhebst, wenn diese Voraussetzung nicht mehr gegeben ist. Um einen Überblick über die Rechtevergabe zu behalten, kann eine Namensliste hilfreich sein.

Schränke bei sensiblen Daten die Speichermöglichkeiten ein. Zum Beispiel kannst du die ausschließliche Speicherung auf gut gesicherten Servern erlauben, während das Speichern auf dem Arbeitsplatzrechner untersagt wird.

Über USB-Sticks kann Schadsoftware eindringen oder Daten können unerlaubt darauf kopiert werden. Um das zu verhindern, ist es empfehlenswert, entsprechende IT-Sicherheitsvorkehrungen zu treffen, wie z. B. den Anschluss solcher Wechseldatenträger zu blockieren. Diese Sicherheitsmaßnahme ist zudem hilfreich, um den Datenmissbrauch durch Unbefugte zu verhindern, sofern der USB-Stick verloren geht.

Sensible Daten solltest du nach Möglichkeit nur verschlüsselt speichern. Moderne Betriebssysteme bringen bereits Lösungen zu einer Komplettverschlüsselung mit, wie z. B. BitLocker in Windows. Besonders wichtig ist die Verschlüsselung der Daten bei mobilen Geräten und Datenträgern. Denn hier besteht zusätzlich die Gefahr, dass diese Hardware unterwegs verloren geht und damit auch die Daten in fremde Hände geraten – ein Datenmissbrauch ist in diesen Fällen beinahe schon vorprogrammiert. Schütze diese Daten daher in jedem Fall! Nutze bei Smartphones die Gerätesperre und bei Notebooks die Festplattenverschlüsselung. Auch USB-Sticks bzw. externe Festplatten solltest du nur mit Hardwareverschlüsselung verwenden.

Verwende nur sichere Passwörter. Diese müssen ausreichend lang sein und möglichst aus einem Mix aus Klein- und Großbuchstaben, Ziffern und Sonderzeichen bestehen. Einfache Zeichenfolgen, Namen oder sonstige Begriffe bieten keinen ausreichenden Schutz. Wer keine Lust hat, sich Passwörter auszudenken, kann sich Hilfe von Passwort-Generatoren im Internet holen (z. B. www.passwort-generator.com). Auf gar keinen Fall darf ein und dasselbe Passwort für mehrere Zwecke verwendet werden. Wir empfehlen dir, einen Passwort-Manager zur Verwaltung deiner Passwörter einzusetzen.

Einen besseren Schutz als einfache Passwörter bietet die Zwei-Faktor-Authentifizierung. Bei dieser wird zusätzlich zum regulären Passwort noch ein weiteres Legitimationsmerkmal überprüft. Beispielsweise ein per SMS, per App oder Hardware-Token generiertes Einmal-Passwort. Da nur du die zweite Überprüfung durchführen kannst, hältst du die Möglichkeit eines Datenmissbrauchs so gering wie möglich.

Denk daran, regelmäßig und in angemessen kurzen Zeitabständen Datensicherungen durchzuführen. Ein solches Backup kann zwar Malware-Attacken nicht verhindern, wohl aber daraus resultierende Datenverluste vermeiden. Weitere Informationen dazu findest du auf der Themenseite Datenverlust.

Neben PC und anderen Rechnern können auch auf Druckern oder Multifunktionsgeräten relevante Daten gespeichert sein. Diese Geräte müssen daher ebenfalls in ein Schutzkonzept einbezogen werden.

Gib klare, verbindliche Sicherheitsregeln vor, beispielsweise zu diesen Themen:

• Passwörtern
• Nutzung von Mobilgeräten
• Umgang mit E-Mails

Schon bei der Einstellung neuer Mitarbeiter kannst du dafür sorgen, dass diese von Anfang an im Sinne deiner Datensicherheitsstrategie arbeiten und dabei mithelfen, Datenmissbrauch zu verhindern.

Sensibilisiere deine Mitarbeiter für die Themen Datenschutz und Datensicherheit. Denn auch bei Hackerangriffen ist die größte Schwachstelle meist der Mensch, da oftmals Schadprogramme auf aktives Mitwirken von Personen angewiesen sind (z. B. Öffnen von Dateianhängen). Ein weiterer Schutz vor Datenmissbrauch in Unternehmen ist aus diesem Grund die Sensibilisierung deiner Mitarbeiter.

Informationen aus der Buchhaltung und Kundendaten sind besonders schützenswert. Daher unterstützen wir dich beim Schutz dieser Daten vor Verlust oder Datenmissbrauch – mit der Lexware Sicherheitszentrale. In unsere Software-Lösungen integriert, bündelt sie starke Funktionen rund um deine Datensicherheit in einem zentralen Cockpit. Du willst ein Beispiel? Kein Problem. In dem PDF: Praxisbeispiel für Datensicherung mit Lexware erhältst du alle relevanten Informationen.

So hast du den Sicherheitsstatus deiner Firmendaten immer im Blick! Wie das funktioniert, siehst du in diesem Video:

Für Windows-Rechner solltest du folgende Sicherheitsregeln beachten, um das Risiko von Malware-Angriffen und damit auch von Datenmissbrauch möglichst gering zu halten:

• Regelmäßige Updates: Halte das Betriebssystem über das automatische Windows-Update stets auf dem aktuellen Stand. Kontrolliere, ob diese Funktion aktiviert ist und hole es ggf. nach. Nutze bei allen Anwendungen die angebotenen Auto-Updates oder kontrolliere regelmäßig, ob sicherheitsrelevante Updates vorliegen und führe diese unverzüglich durch.
• Virenschutz: Verwende ein aktuelles Antivirenprogramm wie den Windows Defender, um dich vor Datenmissbrauch zu schützen.
• Nutzerrechte einschränken: Auf den Arbeitsplatz-Rechnern sollten keine Administrator-Konten eingerichtet sein. Vielmehr sollten die Anwender nur mit eingeschränkten Nutzerrechten arbeiten. Dies mindert die Risiken, die von eingeschleusten Schadprogrammen ausgehen.
• Benutzerkonten: Erhöhe die standardmäßig vorgegebene Stufe in der Benutzerkontensteuerung (UAC) von Mittel auf Hoch. Dadurch minimierst du von vornherein das Risiko eines Datenmissbrauchs.
• Sichere Programmausführung: Zum besseren Schutz vor Schadprogrammen und damit vor Datenklau in Unternehmen kannst du über die Software Restriction Policies (SRP) von Windows das Ausführen von Dateien außerhalb des Windows-Ordners blockieren, sodass ausschließlich unbedenkliche Programme ausgeführt werden.
• Makros blockieren: In Windows-Office-Anwendungen solltest du nach Möglichkeit das Ausführen von Makros blockieren. Das ist über die Einstellungen der Programme (Optionen – Trust Center-Einstellungen) oder über Gruppenrichtlinien möglich. Diesen Übertragungsweg nutzt auch der gefürchtete Emotet-Trojaner, der anschließend zu einem Datenmissbrauch führen kann.

Unternehmensdaten sind zahlreichen Gefahren ausgesetzt. Die Methoden von Cyberkriminellen werden dabei immer ausgefeilter. Einen vollständigen Schutz gegen Datenklau und Datenmissbrauch wird es wahrscheinlich leider nie geben. Doch wenn du Firewalls und Anti-Virenprogramme einsetzt und zusätzlich die vorgestellten Maßnahmen umsetzt, ist dies definitiv schon ein wichtiger Schritt in die richtige Richtung.