Einer der wichtigsten Aspekte bei der Nutzung von digitalen Lösungen ist die Sicherheit der verarbeiteten Daten. Datensicherheit ist ein Thema, das gleichzeitig sehr präsent und aufgrund der Komplexität sehr undurchsichtig ist. Oder zumindest so erscheint - weshalb wir in diesem Artikel näher darauf eingehen wollen. 

‍

Hauptsächlich werden im Folgenden zwei Bereiche betrachtet: Vorkehrungen, die innerhalb von Organisationen getroffen werden sollten und die technischen Voraussetzungen, die Software-Lösungen mitbringen sollten. 

‍

Wir haben mit Oleksandr Sakharchuk, leitender Softwareentwickler bei einer FinTech (Finanztechnologie) Firma, und Christoph Fichtmüller, unserem Head of Engineering gesprochen. Sie erklären, dass Datensicherheit genauso gehandhabt werden sollte wie normale Arbeitssicherheit: Es sollte in jeder Firma jemanden geben, der oder die dafür zuständig ist. Außerdem müssen Angestellte regelmäßig geschult werden, um ihr Wissen auf dem aktuellsten Stand zu halten. Denn Datensicherheit bedeutet nicht nur, die besten Vorkehrungen in Form von Hard- und Software zu treffen, sondern das Risiko des menschlichen Fehlverhaltens zu minimieren. Ihrer Erfahrung nach steht der Mensch im Mittelpunkt von Cybersicherheit, hinzu kommen die Unternehmenskultur und -Compliance. Das Management sollte Strukturen vorgeben, die Datensicherheit begünstigen und dafür sorgen, dass Mitarbeitende wissen, wie mit Gefahrenquellen umgegangen werden sollte.

‍

Warum ist Datensicherheit überhaupt wichtig? 

Daten müssen aus verschiedenen Gründen geschützt werden. Gesetzlich vorgeschrieben ist z. B. durch die DSGVO (Datenschutzgrundverordnung), personenbezogene Daten gesondert zu behandeln. Diese dürfen nur unter Zustimmung der betroffenen Person, für Außenstehende unzugänglich und nur für eine bestimmte Zeit aufbewahrt werden. Zusätzlich müssen im Unternehmenskontext zahlungsrelevante Informationen sicher gehandhabt werden. Darüber hinaus sind Firmen daran interessiert, Informationen über Prozesse oder Produkte vor Wettbewerbern zu verbergen, die für diese von Vorteil sein könnten. 

‍

Um sich über entsprechende Maßnahmen zu informieren, gibt es verschiedene Möglichkeiten. Im Internet finden Unternehmen Anleitungen zu Bereichen und Themen, die die Cybersicherheit betreffen. Das Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI) liefert nicht nur Leitfäden für IT-Firmen, sondern allgemein für Unternehmen, die online Anwendungen nutzen. Auf der Seite des BSI werden des Weiteren viele Tools aufgelistet, die Hilfestellung leisten, wenn es darum geht herauszufinden, wie man sich am besten vor Angriffen schützen kann. 

Ein entscheidender Risikofaktor ist vor allem der Mensch. Mitarbeitende, denen nicht bewusst ist, wie zum Beispiel mit Phishing E-Mails (E-Mails, die dazu animieren, auf beigefügte Links zu klicken) oder fremden externen Speichermedien umzugehen ist, sind eine der größten potenziellen Gefahrenquellen. 

‍

Um Daten durch Log-Ins so gut wie möglich zu schützen, gibt es unter anderem folgende Möglichkeiten:

• 2 Faktor Authentisierung nutzen
• Passwortmanager für komplizierte Passwörter

‍

2 Faktor Authentisierung

Laut unserer Experten ist die 2 Faktor Authentisierung die sicherste Art und Weise, Daten in Programmen, die durch Log-in geschützt sind, abzusichern. Bei diesem Verfahren wird sich nicht nur durch einen Benutzernamen und ein Passwort eingeloggt, sondern durch eine zweite Art der Verifizierung, meistens durch ein anderes Gerät, zum Beispiel das Mobiltelefon. Entweder kann eine SMS mit Verifizierungscode angefordert oder in einer extra App die Identität bestätigt werden. Manche Verfahren verwenden auch den Fingerabdruck oder die Gesichtserkennung. So können Daten und Informationen vor unbefugten Dritten geschützt werden, die an das Passwort gelangt sind, da eine zweite Barriere besteht. 

‍

Passwortmanager für komplizierte Passwörter

Eine große Anzahl verschiedener, komplizierter Passwörter führt nicht zwangsläufig dazu, dass Daten besser geschützt sind. Um sich diese Passwörter merken zu können, werden sie häufig irgendwo aufgeschrieben oder im Handy gespeichert. Dadurch sind sie relativ einfach für andere zugänglich. Besser ist es, einen Passwortmanager zu nutzen, für dessen Zugriff man nur ein Passwort benötigt. Darin lassen sich alle anderen Passwörter speichern und verwalten, als Erweiterung am Internetbrowser erkennen die meisten Passwortmanager auch die Seite, deren Log-In benötigt wird und bieten das automatische Eintragen der Daten an. 

‍

Sicherungskopien der Daten 

Trotz aller Sicherheitsvorkehrungen kann es unter Umständen dazu kommen, dass Daten gelöscht werden. Um in einem solchen Fall betriebs- und wettbewerbsfähig zu bleiben, ist es sehr wichtig, regelmäßige Sicherungskopien auf anderen Datenträgern zu erstellen. Diese sollten verschlüsselt werden, damit sie von Unbefugten nicht gelesen werden können. Zum Beispiel können diese auf externen Servern oder Festplatten gespeichert werden, welche nicht mit dem Internet verbunden sind. Somit sind sie vor Online-Angriffen geschützt. Sollte es zu dem unwahrscheinlichen Fall eines Einbruchs oder Diebstahls kommen, wären diese Geräte natürlich trotzdem gefährdet - genau wie ausgedruckte Dokumente. Deswegen ist es sinnvoll, auch geschützte online Backups (englisch für Sicherungskopien) zu erstellen. 

‍

Sicherheit als essenzieller Bestandteil von Software

Neben der Sicherheit im unternehmensinternen Umgang mit Daten, spielt auch die Sicherheit der genutzten Software eine wichtige Rolle. Der kontinuierliche und sichere Betrieb der Softwareprodukte ist im Eigeninteresse der Hersteller, weshalb diese sich intensiv mit Datensicherheit beschäftigen. 

‍

Auch bei Tenera ist die Sicherheit der Daten einer der wichtigsten Aspekte. Die Systeme werden so gebaut, dass sie von Anfang an ein hohes Maß an Sicherheit bieten. Unser Head of Engineering, Christoph Fichtmüller, hat erläutert, wie es genau abläuft: 

‍

“Unsere Daten sowie die der Nutzenden von Tenera sind auf verschiedenen Ebenen geschützt. Zum einen werden sie von vornherein verschlüsselt geschrieben. Das bedeutet, dass selbst in dem unwahrscheinlichen Fall, dass jemand an den Datenträger gelangt, die Daten nicht gelesen werden können. Außerdem sind immer nur die Server mit dem Internet verbunden, die das unbedingt müssen, um die Angriffsfläche so klein wie möglich zu halten. Dieses Verfahren nennt sich “Virtual Private Cloud” und wird von Amazon Web Services angeboten. Diese Web-Services werden in verschiedenen Rechenzentren weltweit gehostet, die Server auf denen Tenera programmiert wird, stehen in Rechenzentren in Deutschland. Insbesondere in Bezug auf Sicherheit bedeutet die Nutzung eines großen Cloud-Anbieters, dass die Server ständig von Expertenteams überwacht werden. Des Weiteren ist das Rechenzentrum selbst auf einem gesicherten Gelände platziert, zu dem Unbefugte keinen Zutritt haben. In ein bewachtes Rechenzentrum einzubrechen und Datenträger zu klauen wäre wesentlich schwieriger, als im mittelständischen Betrieb einen Computer oder Aktenordner zu stehlen. Der größte Risikofaktor für eine Sicherheitslücke ist der Mensch, der sein Passwort nicht ausreichend schützt oder auf Links in Phishing E-Mails klickt.”

‍

Während es komplexe und ausgefeilte Ausarbeitungen wie die vom BSI gibt, wie Organisationen aufgestellt sein sollten, um Cybersecurity optimal zu gewährleisten, reicht es für die meisten klassischen Mittelständler, eine oder mehrere Personen zu haben, die sich eingehender mit dem Thema auseinandersetzen. Werden zudem regelmäßige Schulungen mit den neuesten Maßnahmen abgehalten, sollte ausreichende Datensicherheit gewährleistet sein. Außerdem ist es Aufgabe des Managements, Risiken entsprechend abzuwägen und Angestellten die nötigen Prozesse und Werkzeuge an die Hand zu geben, um selbstständig richtig reagieren zu können.

‍

‍

Weitere Informationen können Sie auf der Seite des Bundesamts für Sicherheit in der Informationstechnik finden.