IT Sicherheit und Datenschutz für KMU

DatenschutzFür Unternehmensinhaber und Geschäftsführer von EPUs oder KMU gibt es zahlreiche andere Aufgaben als sich um die IT-Infrastruktur und deren Verlässlichkeit zu kümmern. Aber auch diese sollten das Thema IT Sicherheit und Datenschutz nicht ignorieren. Sinnvoll wäre es sich mit diesem Thema an einen externen Experten zu wenden, der die Entwicklung eines maßgeschneiderten IT-Sicherheitskonzepts gemeinsam mit Ihren IT Verantwortlichen erstellt und das Risiko existenzbedrohender Datenverluste verhindert.

Warum ist Datenschutz & IT Sicherheit wichtig?

Die Errungenschaften in der Welt der Computer im letzten Jahrzehnt haben Unternehmen geholfen:

  • Kosten zu senken
  • Effizienz zu steigern
  • Qualitativ besseren Service für Kunden bieten zu können.

Aber neue Technologien ermöglichen Hackern auch neue Chancen Unternehmen anzugreifen. Für Hacker sind alle Unternehmen interessant, es geht den meisten nicht darum sensible Informationen zu erbeuten – auch, wenn es davon nicht wenige gibt – sondern die Herausforderung die Schwachstellen eines Systems herauszufinden und in ein System einzudringen.

Alle, das kleinste Unternehmen bis hin zum größten Unternehmen, sind dem Risiko ausgesetzt, dass versucht wird auf vertrauliche Informationen (sensible Daten, Bankkontoinformationen, …) mittels ausgeklügelter Methoden zu zugreifen.

Fehlerhafte Risiko Einschätzungen bei EPU & KMU

Die WKO (Wirtschaftskammer Österreich) hat 2014 eine Studie in Auftrag gegeben und dabei festgestellt, dass Themen wie Datenschutz, IT-Sicherheit und Schutz vor Spam bei österreichischen Unternehmen weit oben auf der Prioritätenliste steht. Lt. der Studie interessieren sich Österreichs Unternehmen vor allem für Datenschutz (70 % halten es für sehr wichtig).

EPU & KMU unterschätzen das Risiko und fühlen sich wenig gefährdet selbst ein Opfer eines IT Sicherheitsproblems zu werden. EPU/KMU befürchten geringere potenzielle Schäden als große Unternehmen:

  • 20,4 % erwarten gar keinen Schaden (2,7 % der Großunternehmen)
  • 33,3 % erwarten nur einen geringen potentiellen Schaden (14,5 % der großen).

Aber vor einem Datenverlust sind EPU/KMU und Großunternehmen gleichermaßen betroffen. Außerdem werden 1/3 aller Cyberangriffe gezielt auf EPU und KMU verübt

. Grund dafür ist, dass Sie häufig eine leichtere Beute sind als große Unternehmen – es ist also gar nicht die Frage, ob sondern wann sich eine Malware einschleust.

Kosten einer Cyberattacke

Studie von Kapersky Lab: Nachlässigkeit in der IT-Sicherheit betragen die Folgekosten einem EPU/KMU können durchschnittlich Folgekosten von 38.000 US$, wenn diese einen IT-Sicherheitsvorfall haben. Große Unternehmen kostet es im Schnitt 551.000 US$

Die Folgekosten für einen Sicherheitsvorfall setzen sich aus Mehraufwand für professionelle Dienstleistungen (externe IT-Experten, Anwälte, …) und Umsatzverlusten zusammen.

Die wenigsten KMU können sich die Kosten eines IT-Sicherheitsvorfalles nicht leisten. Sie spielen Russisches Roulette, wenn es um IT Sicherheit geht – ¾ der KMU & die Hälfte der EPU haben keine Strategie gegen Cyberkriminalität parat – von den Großunternehmen haben 62 % Richtlinien zur IT Sicherheit implementiert

Was ist Datenverlust?

Ein Datenverlust bezeichnet das unerwartete Verlorengehen von Daten. Der Verlust kann temporär oder dauerhaft sein. Vorübergehende Datenverluste können mittels entsprechende Gegenmaßnahmen behoben werden. Bei einem dauerhaften Datenverlust sind die Daten nicht wiederherstellbar, verloren oder physikalisch zerstört


Die Ursachen für einen Datenverlust können unterschiedlich sein:

  • Technischer Systemausfall
  • Systemmissbrauch
  • Sabotage & Spionage
  • Betrug & Diebstahl
  • Höhere Gewalt: z.B Blitzschlag & Überspannung, Feuer, Flüssigkeiten, Überschwemmungen oder Temperaturschwankungen
  • Fehlbedienung durch Personal oder zugangsberechtigten Personen
  • Computerviren, Trojaner und Würmer
  • Phising (über gefälschte Webseiten/Emails), Pharming (Weiterentwicklung des Phisings) oder Vishing (Voice Phising)
  • Cyberangriffe (DoS, Man-in-the-middle, …)
  • Social Engineering (zwischenmenschliche Beeinflussungen mit dem Ziel, bei Personen ein Verhalten, wie z.B. Herausgabe von vertraulichen Informationen, hervorzurufen
  • Physischer Einbruch zum Stehlen von sensiblen Daten oder zum Platzieren von Malware.

Präventionsmaßnahmen – Vorbeugen statt nachsehen

Das Risiko eines Datenverlustes kann minimiert werden, in dem man ein angemessenes Backup-Konzept einsetzt. Erster Schritt ist es regelmäßige Backups Ihrer Daten angelegt werden.

Bei den Mac OS und Windows sind im Betriebssystem schon Möglichkeiten, die ein Backup erstellen können, integriert.

Zu Empfehlen ist es das anlegen von einer mehrfachen Backupstrategie, d.h. mindesten 2 unterschiedliche Backups zu haben.

Bei der Wahl der Backup-Strategie sollte folgende Faktoren beachten:

  • Ort: hier sollte man die Backups an 2 unterschiedlichen Standorten aufbewahren
  • Speichermedien – hier sollte man auch 2 unterschiedliche Medien wählen
    • Festplatte
    • Flash-Speicher
    • Magnetbänder
    • Netzwerkspeicher
    • Cloud

Für kleinere Unternehmen würde sich empfehlen, ein Backup mittels einer externen Festplatte oder NAS und eines in die Cloud (eines vertrauenswürdigen Anbieters). Durch die Redundanz von Datenträgern und Speichersystemen wird einem Datenverlust vorgebeugt und die Daten stehen auch noch zur Verfügung, wenn ein Medium ausfällt.

Empfehlenswert ist es

  • Sicherheitsrichtlinien festzulegen
  • Mitarbeiterschulungen durchzuführen
  • mobile Datenträger und Geräte zu verschlüsseln

Aber beachten Sie:

Alle Präventionsmaßnahmen können das Risiko eines Datenverlustes nur minimieren, aber nicht gänzlich eliminieren

Weitere Informationen: