Jährlich entsteht deutschen Unternehmen laut Digitalverband Bitkom ein Schaden von 223 Milliarden Euro aufgrund krimineller Angriffe. Ob durch Wirtschaftsspionage, Sabotage oder Datendiebstahl. Es sind nicht nur wirtschaftliche Einbußen, die die betroffenen Unternehmen davontragen, auch das Firmenimage leidet nachhaltig. Wie aber kommt es dazu? Und was genau sind die Risiken mangelnder Datensicherheit? Wir zeigen Ihnen die drei häufigsten Risiken mangelnder Datensicherheit und ihre Ursachen.
Die drei häufigsten Risiken mangelnder Datensicherheit und ihre Ursachen
Laut einer IDC-Studie wurden 95 Prozent der Unternehmen innerhalb eines Jahres Opfer von Ransomware- oder Malware-Attacken. Mehr als ein Drittel von ihnen sogar mehr als 25-mal. Über 80 Prozent der befragten Firmen erlitten dabei einen Verlust von Daten. Bei knapp 43 Prozent der Unternehmen konnten diese auch nicht wiederhergestellt werden. Dies zeigt, dass Datensicherheitsrisiken allgegenwärtig sind. Diese können Unternehmen in einer Weise beeinträchtigen, derer sie sich vielleicht nicht bewusst sind. Die Ursachen reichen von technischen Defekten und unzureichenden Schutzmaßnahmen über menschliche Fehler bis hin zu kriminellen Angriffen von außen. Je sensibler die Daten, desto härter die Konsequenzen. Daher ist es für Unternehmenseigentümer, IT-Verantwortliche und Datenschutzbeauftragte unabdingbar, die häufigsten Risiken im Kontext der Datensicherheit zu kennen, um sich wirksam vor ihnen schützen zu können.
Risiko 1: Datenverlust
Haben Sie schon einmal Ihr Handy verloren? Dann kennen Sie das Gefühl der Machtlosigkeit und der Angst, was mit Ihren persönlichen Daten passiert, wenn es in die falschen Hände gerät. Die nächste gedankliche Eskalationsstufe: Stellen Sie sich vor, Ihnen kommen nicht Ihre eigenen Daten abhanden, sondern die eines Dritten, zum Beispiel die Daten Ihres Chefs oder Ihres Kunden. Dies kann bisweilen existenzbedrohlich für Sie und Ihr Unternehmen sein, denn:
- Datenverlust kann teuer werden: Neben den Kosten für verschwendete Arbeitsstunden und unterbrochene Geschäftsabläufe entstehen zusätzliche Ausgaben für die Wiederbeschaffung der Informationen – falls überhaupt möglich.
- Kundenprozesse und -beziehungen leiden: Womöglich beschweren sich Kunden oder verlagern ihr Geschäft im schlimmsten Fall woanders hin, weil ihr Anbieter nicht mehr zuverlässig agieren oder schnell genug reagieren kann.
Ob dauerhaft oder vorübergehend: Datenverlust ist immer frustrierend. Doch besonders gravierend sind die Auswirkungen, wenn auf Servern gespeicherte Daten verlorengehen. Viele IT-Systeme benötigen ständigen Zugriff auf diese Informationen. Daher kann ein solcher Verlust sogar erhebliche Beeinträchtigungen der Geschäftsprozesse nach sich ziehen. Eine durchdachte Backup-Strategie kann helfen, das Risiko eines kritischen Datenverlusts signifikant zu reduzieren.
Risiko 2: Datendiebstahl
Datendiebstahl ist der unberechtigte Zugriff, die unrechtmäßige Nutzung oder Weitergabe von vertraulichen Daten. Die Folgen von Datendiebstahl sind für die betroffenen Personen und Unternehmen bisweilen enorm, da ihre persönlichen und finanziellen Informationen in den Händen Krimineller zu erheblichen wirtschaftlichen Einbußen und Reputationsschäden führen können:
- Wettbewerbsspionage: Hacker können gestohlene Daten an den Wettbewerb verkaufen. Ein jahrelanger erarbeiteter Marktvorteil wird somit zunichtegemacht.
- Verlust von Konto- und Zahlungsinformationen: Oft legen Angreifer ihre Attacken direkt auf sensible Informationen wie Bankverbindungen aus, um möglichst schnell an Geld zu kommen.
- Kundenabwanderung: 20 Prozent der Kunden würden laut Studien des Ponemon Institute ihre Geschäftsbeziehung mit einem Unternehmen beenden, wenn diesem ihre Daten gestohlen wurden. Weitere 40 Prozent ziehen solche Konsequenzen zumindest in Betracht.
- Sanktionen durch die DSGVO: Bußgelder sind keine Seltenheit und können sich auf Summen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes des Unternehmens belaufen.
In den meisten Fällen ist es schwer, den Schaden wiedergutzumachen, der durch Datendiebstahl entstanden ist. Hier heißt es also, entsprechende Vorkehrungen – etwa in Form von Schulungen und technischen Maßnahmen – zu treffen, damit es gar nicht erst zum Datenklau kommt.
Risiko 3: Datenbeschädigung
Datenbeschädigung kann vielfältige Formen annehmen. So kann man Daten und Informationen löschen, verändern, unterdrücken oder unbrauchbar machen. Letzteres bedeutet, dass die Informationen so verändert wurden, dass sie sich nicht mehr vollständig und bestimmungsgemäß nutzen lassen. Von unterdrückten Daten spricht man, wenn die berechtigte Person keinen Zugriff mehr auf die Informationen hat. Abgesehen davon, dass das Beschädigen von Daten einen Straftatbestand nach § 126a StGB darstellt und sogar mit Freiheitsstrafen von bis zu fünf Jahren geahndet wird, ist Datenbeschädigung in der Konsequenz vor allem:
- Kostspielig: Genau wie beim Datenverlust entstehen hier zusätzliche Kosten für Wiederherstellung oder Vervollständigung der Informationen – falls überhaupt möglich.
- Zeitintensiv: Systemausfälle, stockende Routinen, Datenreparatur – all das ist sehr aufwändig, kostet Ressourcen und beeinträchtigt Geschäftsprozesse.
Fazit: Lieber auf Nummer (daten)sicher gehen
Die Konsequenzen mangelnder Datensicherheit – ganz gleich wodurch hervorgerufen – sind gerade im Unternehmensumfeld meist schwerwiegend: Es drohen nicht nur wirtschaftliche Schäden, auch das Firmenimage leidet nachhaltig, wenn Daten in falsche Hände geraten. Insbesondere, wenn es sich um sensible (beispielsweise personenbezogene) Daten handelt, müssen Unternehmen mit Strafen und Geldbußen von bisweilen existenzbedrohenden Ausmaßen rechnen. Aber auch, wenn „nur“ der Geschäftsbetrieb beeinträchtigt wird, ist dies für die betroffenen Unternehmen mit schmerzlichen Kosten verbunden. Ob durch menschliches Versagen, einen technischen Defekt oder durch Angriffe von extern, spielt dann kaum eine Rolle mehr. Umso wichtiger ist es, nicht nur die eigenen Mitarbeiter zu schulen, sondern auch entsprechende technische und organisatorische Maßnahmen zu ergreifen sowie auf geeignete Tools wie beispielsweise hochsichere Collaboration-Dienste oder virtuelle Datenräume zu setzen, um Risiken vorzubeugen und die Sicherheit der Daten zu gewährleisten. Dann bleiben auch unangenehme Überraschungen erspart.