
Datensicherheit
Der Feind in meinem Netz
Gerade mittelständische Unternehmen werden Opfer von Hackerangriffen. Sie trifft es hart, wenn ihnen wertvolle Ideen geklaut werden. Doch mit einigen Vorkehrungen können auch sie ihre Daten schützen.

Wie versende ich E-Mails sicher?
Es klingt einfach – und ist es auch: Beim Versenden von Mails sollte man die Nachrichten verschlüsseln. Das geht zum Beispiel mit dem Verschlüsselungssystem OpenPGP. Damit können zwei Parteien Nachrichten versenden, ohne dass der Inhalt bei der Übertragung ausspioniert werden kann. Der Sender kann mit einer digitalen Signatur dem Empfänger zusätzlich seine Authentizität beweisen. Der Vorgänger dieses Verfahrens hieß schlicht PGP, Pretty Good Privacy, ist schon über zwanzig Jahre alt und wurde von dem Amerikaner Phil Zimmermann Anfang der neunziger Jahre entwickelt. Ihm ging es um einen einfachen, aber zuverlässigen Schutz. PGP setzt dafür zwei sich ergänzende Schlüssel ein. Der eine ist öffentlich, mit ihm wird die Mail vom Absender so verschlossen, dass sie von niemandem außer dem Adressaten geöffnet werden kann. Der Text wird dabei in eine lange Abfolge von Buchstaben und Zahlen verwandelt. Auf den anderen Schlüssel hat nur der Empfänger Zugriff. Damit kann er die Mail aufschließen und den Text wieder in den Ursprungszustand zurückversetzen. Und damit der geheime private Schlüssel selbst vor Systemadministratoren sicher ist, wird er zusätzlich durch eine Passphrase geschützt.
Mittlerweile gibt es Nachfolger von PGP. Auch damit kann man für jedes E-Mail-Konto ein Schlüsselpaar generieren. Einer der Schlüssel wird ausschließlich zum Codieren der Nachrichten genutzt und kann an jeden Kunden und Auftraggeber weitergegeben werden. Entschlüsseln kann die Nachrichten nur noch der private Schlüssel, der gut unter Verschluss gehalten werden sollte. Da es sich bei OpenPGP um ein Open Source Projekt handelt – also Software, die jeder nach Belieben studieren, benutzen, verändern und kopieren darf – können eventuelle Sicherheitslücken im System schnell aufgedeckt und repariert werden.
Noch höher als die Wahrscheinlichkeit, Opfer von Industriespionage zu werden, ist die, von eigenen Mitarbeitern hintergangen zu werden. Verärgerte Kollegen, die ihren USB-Stick mit Unternehmensdaten vollsaugen, oder Praktikanten, die mit ein paar Festplatten verschwinden, sind nicht selten. Die Werte, die dann gestohlen werden, sind umso größer, da die Diebe Zeit haben, sich auf dem Markt umzuschauen und ihre Wissenswerte gezielt zu verkaufen. Ein kompletter Schutz gegen Datenklau, da sind sich Experten einig, existiert nicht. Weder für interne noch für externe Zugriffe. Niemand weiß, ob es ihn je geben wird. Doch wer einige Kniffe beherzigt, hat große Chancen, nicht leicht gefunden zu werden. Wer dann noch dafür sorgt, dass sich die Mitarbeiter wertgeschätzt fühlen, hat schon einiges für die Datensicherheit getan.
Checkliste
Das erwartet einen Onlineshop-Betreiber nach einem Hacker-Angriff
- Ermittlung
Ein externer Computer-Forensik-Experte muss ermitteln, wie die Hacker ins System eindringen konnten und welche Seiten und Daten betroffen sind. Er schließt die Sicherheitslücke und muss die Systeme wiederherstellen, damit das Geschäft weitergeht. Eventuell muss er den ganzen Shop wiederherstellen. - Dokumentation
Man muss die Datenschutzbehörde über den Vorfall informieren, was umfangreiche Fragebögen nach sich ziehen kann. Gegebenenfalls muss ein spezialisierter Anwalt bei rechtlichen Fragen zum Umgang und zur Kommunikation mit den Datenschutzbehörden helfen. Im schlimmsten Fall fallen Kosten für die strafrechtliche Verteidigung an. - Aufklärung
Besonders wichtig ist es, mit den verunsicherten Kunden zu sprechen. Dafür könnte man ein Callcenter einrichten. - Nachsorge
Kreditschutz- und Kreditüberwachungsdienstleistungen müssen jetzt organisiert werden. All die Kosten, die dabei anfallen, sind Eigenschäden. Das bedeutet: Der Webshop-Betreiber wurde selbst geschädigt und kann sich die Kosten deshalb nicht über eine Haftpflichtversicherung ersetzen lassen. Inzwischen bietet der Markt jedoch vereinzelt auch Versicherungslösungen, die speziell auf die Risiken von Webshop-Betreibern zugeschnitten sind.
In Kürze
Die fünf wichtigsten Fakten zur Datensicherheit
- Der Schaden, der in Deutschland jährlich durch Wirtschaftsspionage entsteht, wird auf 50 Milliarden Euro geschätzt. Betroffen sind auch die kleinen und mittelständischen Betriebe.
- Datensicherheit ist ohne allzu hohe Kosten möglich.
- Wer sensible Daten auf einer „Cloud“ ablegt, sollte nicht nur die großen Cloud-Dienste in Betracht ziehen. Kleinere Unternehmen bieten oft höhere Datensicherheit.
- Achten Sie bei der Nutzung von Cloud-Diensten auf die Vertragsbedingungen, wo geregelt ist, was etwa im Konkursfall oder bei Datenschutzverletzungen passiert.
- E-Mails können mit Verschlüsselungssystemen wie OpenPGP vor dem Lesen durch Unbefugte geschützt werden.
Titelfoto: © Niklas Briner