Praxistipp: Wird es in Ihrem Unternehmen 2021 ein Datenleck geben?

Team Datenschutz • 21. Januar 2021

Praxistipp Datenschutz 02|2021

Mitarbeiter im Homeoffice

Immer mehr Unternehmen werden Opfer von Trojanerangriffen. Trotz zahlreicher bekannter Fälle sind noch immer zu wenige Unternehmen vorbereitet. Dabei drohen Millionenschäden, häufig steht die Existenz auf dem Spiel. Wie stehen die Chancen, dass es in Ihrem Unternehmen 2021 zum Datenleck kommt? Machen Sie den Check.



Tatsache Nr. 1

Was die Corona-Pandemie neben anderem mit sich brachte, sind kurzfristig eingerichtete mobile Arbeitsplätze. Ein viel zu großer Bestand essenzieller Firmendaten befindet sich zum ersten Mal außerhalb der Infrastruktur der Unternehmen.



Tatsache Nr. 2

Für Computerviren sind das perfekte Voraussetzungen für eine rasche Verbreitung. Und daran wird sich in absehbarer Zeit wenig ändern. Denn: Wann die Zahl erforderlicher Impfungen für das Ende des Lockdown-Zeitalters erreicht sein wird, steht in den Sternen. Darum ist jetzt der richtige Zeitpunkt, Wissens- und Sicherheitslücken zu schließen.



Tatsache Nr. 3

Angreifer nutzen die Situation. Immer mehr Angriffe auf mobile Arbeitsplätze sind zu verzeichnen – sofern sie bekannt werden. In zu vielen Fällen dringen Angreifer über schlecht geschützte mobile Arbeitsplätze in Firmennetze ein. Im Verborgenen wird Mailverkehr mitgeschnitten, um über authentisch wirkende Mails weitere Angriffe vorzubereiten. Dateien werden kopiert, um in aller Ruhe deren Schutzmechanismen zu knacken – sofern sie überhaupt geschützt sind. Möglicherweise wird die Verschlüsselung der Unternehmensdateien vorbereitet, um Lösegeld zu fordern. So erging es jüngst nicht nur dem Heise-Verlag und der Funke Mediengruppe.



Tatsache Nr. 4

Wenn Ihr Unternehmen bis heute kein Angriffsopfer geworden ist, haben Sie entweder die richtige Strategie und das Glück des Tüchtigen – oder Sie sind den Angreifern bisher einfach nicht ins Visier geraten.



Tatsache Nr. 5

Wird Ihr Unternehmen angegriffen, ist in aller Regel eine Meldung an die Datenschutz-Aufsichtsbehörde fällig. Zugegeben dürfte das dann eines Ihrer geringeren Probleme sein. Dennoch: Im Ernstfall haben Sie für die Meldung nur 72 Stunden. Besser, wenn Sie vorbereitet sind.



Hand aufs Herz

Haben sich Ihre Mitarbeiter 2020 zum ersten Mal ernsthaft mit Themen wie Phishing und sicheren Netzwerken auseinandersetzen müssen? Möglicherweise haben sie bis zum Beginn der Corona-Pandemie nie von zuhause oder unterwegs gearbeitet. Und wenn ja: Wie gelingt es, nach etwa einem Jahr Notstands-Homeoffice-Lösungen endlich das nötige Bewusstsein zu schaffen?



Nur Gefahren, die man kennt, kann man bekämpfen

Noch nie gab es so viele Identitätsdiebstähle wie derzeit. Schließlich war es für Angreifer nie so leicht, Identitäten abzugreifen. Umso wichtiger, in angemessener Weise mobil arbeitende Kolleginnen und Kollegen mit diesen Gefährdungen vertraut zu machen. Bevor sie in Unkenntnis Einstellungen vornehmen, die möglicherweise massive Gefahren nach sich ziehen, sollten sie sich unbedingt an die Experten im Unternehmen wenden.



Wie gefährlich sind nicht reglementierte Lösungen für die Unternehmens-IT?

Viel zu wenige Unternehmen waren auf mobiles Arbeiten eingestellt. Entsprechend dürftig haben sie Arbeitsplätze auf die strengen Sicherheitsanforderungen der freien IT-Wildbahn eingerichtet. Wie viele unzureichend abgesicherte Cloud-Speicher derzeit wohl im Einsatz sind? Sicher ist: zu viele. Entsprechend viele Angreifer zielen genau darauf ab.



Wie viele Beschäftigte schätzen die Risiken im Homeoffice richtig ein?

Oder treffender: wie wenige? Plötzlich müssen Menschen, die sich bisher höchstens geärgert haben, sich zehn- und mehrstellige Passwörter merken zu müssen, Entscheidungen zur Sicherheit ihres Notebooks und der Unternehmensdaten treffen. Wer sorgt dafür, dass eine sichere Anbindung vom mobilen Arbeitsplatz ans Internet erfolgt? Wer entscheidet, ob die Einstellungen am privaten Router sicher sind?



Alles sicher. Bis auf …

Nehmen wir einmal an, der mobile Arbeitsplatz ist sicher. Nehmen wir an, das Notebook ist ein Thin Client, hat also keine Daten vor Ort, sondern ist über eine sichere Lösung wie Remote Desktop an die sichere Unternehmens-IT angebunden. Nehmen wir weiter an, es werden nur sichere Systeme für Video- und Telefonkonferenzen verwendet (von denen gibt es, nebenbei bemerkt, nur sehr wenige). Nehmen wir an, das Drucken funktioniert sicher, Unterlagen werden sicher aufbewahrt und die Vernichtung ist geregelt. Klingt, als sei es die Ausnahme? Ist es. Nehmen wir es dennoch an. Als Nächstes stellt sich nämlich eine Frage.



Wie gut sind die Beschäftigten geschult?

Sind diese auf die mobile Arbeitssituation so vorbereitet, dass sie sich mit Phishing, Social Engineering und Erpressungstrojanern auskennen? Wie ist sichergestellt, dass das Wissen aktuell bleibt? Ist die Authentisierung der Kolleginnen und Kollegen so sicher, dass sich keine Angreifer dazwischen¬schleichen können? Ehrliche Antworten auf diese Fragen helfen, dem Unternehmen in der Zukunft viel Ärger zu ersparen.



Schnell-Check zum mobilen Arbeiten

Wie steht es um die Sicherheit beim mobilen Arbeiten? Machen Sie den Schnell-Check:


  1. Sind die mobilen Arbeitsplätze des Unternehmens sicher im Sinne der Sicherheit der Unternehmens-IT?
  2. Gibt es verbindliche Vorgaben, damit die Beschäftigten wissen, was sie im Homeoffice zu beachten haben?
  3. Können Vorgaben aus dem Unternehmen am mobilen Arbeitsplatz überhaupt eingehalten werden?
  4. Wenn Sie Auftragsverarbeiter sind: Erlauben die Verträge über Auftragsverarbeitung mobiles Arbeiten?
  5. Besteht mindestens eine VPN-Anbindung?
  6. Ist eine Mehr-Faktor-Authentisierung vorgegeben?
  7. Können Sie garantieren, dass die mobil arbeitenden Kolleginnen und Kollegen gegen die verschärften Risiken hinsichtlich Sicherheit und Datenschutz hinreichend gewappnet sind?
  8. Sind die eingesetzten Rechner genauso sicher wie im Büro?
  9. Unterliegt die Infrastruktur wie Router und Drucker denselben Kriterien wie im Büro?
  10. Wurden die Router-Einstellungen hinsichtlich Angriffssicherheit geprüft und für sicher befunden?
  11. Sind eingesetzte Videokonferenzsysteme sicher?
  12. Sind eingesetzte Telefonielösungen sicher?
  13. Sind eingesetzte Telefonkonferenzsysteme sicher?
  14. Werden verbindliche Schulungen auch im Homeoffice verlässlich durchgeführt?
  15. Finden angemessene und dokumentierte Überprüfungen statt?


Sollten Sie mehr als drei Fragen nicht eindeutig mit Ja beantworten können, sollten Sie sich nicht wundern, wenn es 2021 zu einem (vermeidbaren) Datenleck kommt. Darum: handeln! Schließlich dürfen Vorsätze fürs neue Jahr auch mal gebrochen werden. Besonders, wenn es die von Kriminellen sind.


Lösungen zum Thema Sicherheit bei mobilem Arbeiten und zur Überprüfung durch den Datenschutzbeauftragten? Fragen Sie uns.

Persönliche Beratung, passgenaue Umsetzung. Mit Team Datenschutz sind Sie in Sachen Datenschutz und Informationssicherheit einen Schritt voraus.

Hier gibts den Praxistipp als kostenlosen PDF-Download.

zum Praxistipp

Mehr zum Thema

Seminar Security Awareness


Top gerüstet gegen Social Engineering mit unserem Tagesseminar.

zum Seminar

Technische und organisatorische Maßnahmen


Unsere Lösung für gelebten Datenschutz.

weiterlesen
Öffentliches Café am Flughafen

Unsichere WLAN-Netzwerke erkennen und wichtige Daten schützen

von Eberhard Häcker 9. Juli 2024
Wie Sie unsichere WLAN-Netzwerke erkennen und mit welchen Maßnahmen Sie Ihre Daten schützen. Unsere Tipps zu sicheren Verbindungen und Mitarbeiterschulungen.
Globus als Netzwerk

Network Access Control – 8 Tipps für eine DSGVO-konforme Netzzugangskontrolle

von Eberhard Häcker 5. April 2024
Wer unerlaubt in ein Netzwerk eindringt, kann erheblichen Schaden anrichten. Wie betreiben Organisationen ihre Netze in Sachen Informationssicherheit und Datenschutz rechtskonform? Mittels Network Access Control. 8 Tipps, wie Sie die Netzzugangskontrolle sicher und DSGVO-gerecht regeln.
Silhouette einer Geschäftsfrau beim Telefonieren

Tipps gegen Datenlecks beim Telefonieren

von Eberhard Häcker 24. Oktober 2023
Haben Sie sich schon mal überlegt, was beim Telefonieren alles Vertrauliches nach draußen dringt? Gerade bei öffentlichen Telefonaten haben es Geschäftsgeheimnisse und persönliche Daten schwer. Unsere Tipps für vertrauliches Telefonieren und das Vermeiden von Datenpannen.
Technische Geräte im Homeoffice

Wie sicher ist die IT im Homeoffice?

von Eberhard Häcker 11. August 2023
Unternehmen müssen sichergehen, dass IT-Sicherheit und Datenschutz auch im Homeoffice gelten. Sind Daten auf der Homeoffice-IT so sicher wie im Unternehmen? Datenschutz-Experte Eberhard Häcker gibt Tipps für mehr Datenschutz und Datensicherheit im Homeoffice.
Hand mit Smartphone und Apps

Mobile Apps auf Datenschutz prüfen

von Eberhard Häcker 17. Mai 2023
Mobile Apps auf Smartphones, Tablets & Co. sind in Unternehmen Alltag. Haben Sie den Umgang damit geregelt? Wenn Mitarbeitende beliebige Apps herunterladen und installieren können, wird es heikel für Datenschutz, Informationssicherheit und Compliance. Was hilft, ist ein Mobile Device Management mit klaren Regeln. Datenschutz-Experte Eberhard Häcker gibt Tipps.
Laptop mit eingestecktem USB-Stick

Wie Sie Daten auf USB-Sticks datenschutz­gerecht löschen

von Eberhard Häcker 13. April 2023
Daten von USB-Sticks zu löschen, ist leicht. Oder nicht? „Löschen“ klicken oder „Entfernen“ drücken geht natürlich schnell und einfach. Nur gelöscht sind die Daten damit noch lange nicht. Datenschutz-Profi Eberhard Häcker hat Tipps, wie man Daten zuverlässig und DSGVO-gerecht von Speichersticks löscht.
Mitarbeiter mit Tablet, Smartphone und Kaffeetasse

9 Tipps für mobile Apps ohne Datenpannen

von Eberhard Häcker 20. Januar 2023
In der modernen Arbeitswelt ist es völlig normal, dass mobile Geräte wie Smartphone und Tablet auch geschäftlich zum Einsatz kommen. Das bringt Risiken mit sich, die sich mit den richtigen Regelungen erheblich mindern lassen. Datenschutz-Profi Eberhard Häcker erklärt die Hintergründe und gibt Tipps.
Smartphone mit Social-Media-Apps wie YouTube, Twitter, WhatsApp, Instagram und mehr

E-Mail, Messenger, Social Media | Das Webinar zum neuen TTDSG

von Team Datenschutz 8. November 2021
Die neue Rechtslage nach dem TTDSG jetzt im Webinar! Speaker Eberhard Häcker mit Lösungsansätzen und vielen Praxisbeispielen und Erfahrungen aus dem Datenschutzalltag. Anmelden!
Monitor, Tablet, Mobiltelefon und weitere technische Geräte

Datenpannen vermeiden dank IT-Inventarisierung

von Team Datenschutz 5. November 2021
Die IT-Inventarisierung erhöht nicht nur die Informationssicherheit eines Betriebs, sie ist auch in Sachen Datenschutz und DSGVO maßgeblich. Der Datentipp erklärt, warum – und gibt Tipps für die erfolgreiche Inventarverwaltung.
Laptop mit einsehbarem Bildschirm

Guck mal, was der schreibt – oder doch lieber mit Sichtschutzfolie?

von Eberhard Häcker 11. August 2021
Am Arbeitsplatz und beim mobilen Arbeiten kommt es leicht zu unbefugten Blicken auf den Bildschirm. Neben Sichtschutzfolien gibt es weitere wirksame Gegenmaßnahmen.

15. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 14. Dezember 2025
Dieses Türchen verbindet Alltag, Risiko und Weihnachtszauber und zeigt, warum Datenschutz in Behörden nicht nur Pflicht ist – sondern Menschenschutz.

14. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 13. Dezember 2025
Das heutige Adventskalender-Türchen ist für alle, die wissen wollen, wie Datenschutz auch auf vier Rädern funktioniert.

13. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 12. Dezember 2025
In dieser warm erzählten Adventsgeschichte zeigt ein Fuhrparkleiter, wie man mit Ruhe, Respekt und Know-how eine stille Datenpanne verhindert und gleichzeitig das gesamte Unternehmen verbessert.

12. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 11. Dezember 2025
VPN, Verschlüsselung und richtige Reihenfolge entscheiden, ob ein Angreifer nur bunte Datenpakete sieht oder ob ein echtes Risiko entsteht.

11. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 10. Dezember 2025
Nicht jeder Held trägt einen Umhang. Diese Geschichte erzählt von einem Kollegen, der mehr Sicherheit schafft als jede technische Maßnahme.

10. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 9. Dezember 2025
Was tun, wenn ein externer Partner einen Datenschutzfehler verursacht? Ein spannendes Türchen über Krisenkompetenz, Vertrauen und echtes Projekt-Leadership.

9. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 8. Dezember 2025
Wie gewinnt man Kunden, wenn Budgets wie dünne Eiszapfen wirken? Indem man zeigt, dass Datenschutz nicht nur Ressourcen kostet, sondern sich auszahlen kann.

8. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 7. Dezember 2025
Das 8. Türchen zeigt humorvoll, wie ein unscheinbarer Router zum Risiko wird und wie ein IT-Kollege mit viel Fachkenntnis (und etwas Übermut) eine kritische Situation sichtbar macht.

7. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 6. Dezember 2025
Was passiert, wenn ein Team erkennt, dass ein Kollege unterzugehen droht? In dieser warmen Adventsgeschichte wird aus Stress eine stille, liebevolle Rettungsaktion.
Mehr anzeigen