Das Unternehmermagazin aus der Handelsblatt Media Group

Creditreform
Technik

Datenverlust wirksam vorbeugen

Redaktion | 30. September 2013 | 0 Kommentare

Von Uwe Seiler, procilon IT-Logistics GmbH

Zur Vertragsverhandlung nahm der Vertriebsleiter eines mittelständischen produzierenden Unternehmens das Angebot und alle damitim Zusammenhang stehenden Unterlagen, darunter Lieferantendaten, Leistungsbeschreibung und Kalkulation auf seinem Notebook mit. Beim Aufenthalt auf dem Flughafen Frankfurt/Main wurde ihm die Reisetasche mit dem Notebook gestohlen. Der Dieb hatte leichte Hand: Das Notebook war nur durch ein einfaches Passwort geschützt, welches leicht zu knacken war. Danach standen alle geschäftsrelevanten Informationen offen.

Der Vertriebsleiter erhielt wenig später einen anonymen Anruf, er könne das Gerät gegen Zahlung von 10.000 Euro in bar zurückerhalten. Um den Druck zu erhöhen, wurden ihm Beispiele aus der Kalkulation genannt. Der Täter konnte nicht gestellt werden. Die Vertragsverhandlung musste kurzfristig abgesagt werden. Der Kunde war über die Absage und Preisgabe von Informationen verärgert. Der Auftrag ging an einen Mitbewerber. Die Kosten für die Vorbereitung des Angebotes und zur geplanten Vertragsverhandlung beliefen sichauf 5.000 Euro. Der Gewinnausfall konnte nicht beziffert werden. Das Vertrauen des Kunden in das Unternehmen wurde durch diesen Vorfall geschwächt. Da sich das Unternehmen gegen den Rückkauf des Notebooks entschieden hatte, musste ein neues Notebook beschafft werden.

Immaterieller Schaden höher als der materielle

Der Verlust mobiler Endgeräte ist kein Einzelfall. Jede Woche werden rund 300 Laptops auf dem Frankfurter Flughafen gefunden.Dabei lassen sich bereits mit geringen Investitionen die Risiken von Datenverlust oder Datenmissbrauch stark minimieren. Der immaterielle Schaden bei solchen Vorfällen ist oft höher als der materielle Schaden. Das im geschilderten Fall betroffene Unternehmen führte nach dem Vorfall eine zentrale Verschlüsselungslösung ein und stattete die Mitarbeiter, die Nutzer mobiler Endgeräte wie Laptops sind, mit einem USB-Stick zur Verschlüsselung aus.

Heutige mobile Verschlüsselungslösungen in USB-Stick-Größe ermöglichen Auslandsmitarbeitern die sichere E-Mail-Kommunikation in einer unsicheren IT-Umgebung und Dateiverschlüsselung der E-Mail-Anhänge. Außerdem lässt sich die Festplatte des mobilen Endgeräts verschlüsseln und eine Pre-Boot-Authentication durchführen. Noch bevor der Computer startet, muss das Laden desBetriebssystems durch den USB-Stick autorisiert werden. So ist das Gerät im Falle eines Diebstahls vor Datenverlust geschützt.

Compliance-Regeln und eigene ethische Standards

Neben dem eigenen Interesse, sich vor Datenspionage zu schützen, müssen sich mittelständische Unternehmen heute auch mit Fragen der IT-Compliance beschäftigen: Die Einhaltung gesetzlicher Bestimmungen und regulatorischer Standards wie etwa für revisionssichere Archivierung von geschäftsrelevanten Dokumenten oder die Verwendung als sicher eingestufter Kommunikationskanäle wie De-Mail und OSCI sind hier von Wichtigkeit. Außerdem hat sich bei Unternehmen die Setzung eigener ethischer Standards in Form von Guidelines etabliert, und dies wird auch von Lieferanten und Subunternehmen abgefordert.

Wie bedeutsam E-Mail-Verschlüsselung ist, soll folgendes Schadensbeispiel zeigen: Für ein neues Projekt schickte ein mittelständisches Zuliefererunternehmen ein Angebot mit vielen Details über den Kunden an eine falsche Mailadresse. Der falsche Empfänger bemerkte den Fehler und leitete die EMail an den richtigen Empfänger weiter. Der Auftraggeber war verärgert, beschwerte sich über die Preisgabe von Informationen an Dritte und forderte einen Schadenersatz von 10.000 Euro. Der Auftraggeber machte von seinem außerordentlichen Kündigungsrecht Gebrauch. Das Unternehmen musste den Schadenersatz in Höhe von 10.000 Euro begleichen. Der Gewinnausfall und der Imageverlust konnten nicht beziffert werden. Für das Projekt mussten neue Abnehmer akquiriert werden.

Hätte das Unternehmen vorsorglich in eine Verschlüsselungstechnologie für E-Mail investiert, wäre die fälschlich gesendete Nachricht für den falschen Empfänger nicht lesbar gewesen. Das Unternehmen schaffte nach diesem Vorfall eine zentrale Verschlüsselungslösung anund stattete Lieferanten und Kunden mit einem USBStick zur Verschlüsselung aus, um das Lesen von sensiblen Daten durch Dritte zu vermeiden.

IT-Compliance: Was Sie sich fragen sollten

  • Sind die personenbezogenen Daten vor unberechtigtem Zugriff und Missbrauch geschützt?
  • Gibt es angemessene Vorkehrungen zum Schutz vor Diebstahl und Missbrauch aller anderen wichtigen Daten?
  • Werden sensible Daten verschlüsselt übertragen?
  • Verwenden Sie beim Austausch von Vertragsdaten eine elektronische Signatur?
  • Bewahren Sie alle geschäftsrelevanten Daten fristgerecht, revisions- und zugriffssicher auf?
  • Wurden Vorkehrungen für die Verfügbarkeit und Ausfallsicherheit wichtiger IT-Systeme und IT-Services getroffen?
  • Prüfen Sie regelmäßig die Aufnahme des Geschäftsbetriebes nach einem Notfall?
  • Wissen Sie, welche Software in Ihrem Unternehmen eingesetzt wird?
  • Sind die Daten auf mobilen Endgeräten verschlüsselt?
  • Gibt es eine Festlegung über die Nutzung und Aufbewahrung von Datenträgern und Speichermedien?

Quelle: procilon IT-Logistics GmbH

Wir freuen uns über Diskussionen und Ihre Kommentare.

Durch Ihre Kommentare sollen bereichernde Debatten entstehen, an denen sich andere Nutzer gerne beteiligen. Tabu sind Beleidigungen, Schmähreden, Diskriminierungen und die unerlaubte Veröffentlichung persönlicher Daten. Bitte verstecken Sie sich nicht hinter Pseudonymen, sondern nutzen Sie Klarnamen. Die Redaktion sieht von der Veröffentlichung von Kommentaren ab, die diesen Regeln nicht genügen. Gleiches gilt für Kommentare mit kommerziellem Interesse.

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert