Weltweit investieren Unternehmen in die Digitalisierung ihrer Kundenschnittstellen, interner Prozesse und ihrer IT-Landschaften. Denn mit digitalisierten Abläufen lässt es sich schneller, effizienter und bequemer arbeiten. Doch neben diesen Vorzügen steigen auch die Gefahren von Cyberattacken und immer häufiger stehen Firmen im Fadenkreuz von Cyberkriminellen. Dabei geht es vor allem um Hackerangriffe, die erheblichen materiellen und immateriellen Schaden durch Spionage, Datendiebstahl oder Sabotage hervorrufen können. Im Fokus: Nicht nur systemrelevante Firmen wie Energieversorger, Banken, Flughäfen oder Mobilitätsunternehmen, sondern immer häufiger auch der Mittelstand.
Gleichermaßen gilt es aber auch die internen Risiken zu berücksichtigen: Ein Protokoll, das versehentlich an den falschen Empfänger geschickt wird oder unveröffentlichte Geschäftsergebnisse, die unverschlüsselt per E-Mail versendet werden – hier kann allein aus Sorglosigkeit, mangelndem Bewusstsein oder menschlichem Fehler ebenfalls großer Schaden entstehen.
Der Schutz von vertraulichen Daten und Dokumenten sollte heute deshalb in allen Unternehmen eine wesentliche Rolle spielen.
Doch welche Schutzmaßnahmen sind erforderlich? Um diese Frage zu beantworten, ist es hilfreich, zu klären, welchen Wert eine Information für Unternehmen überhaupt hat. Denn Daten haben nicht etwa wie Geld einen Universalwert, sondern bemessen sich in ihrem Wert vor allem nach dem Schaden, der bei deren Verlust entstehen kann.
Laut einer Studie des Digitalverbandes Bitkom beläuft sich der Gesamtschaden durch Cyberangriffe auf die deutsche Industrie im Jahr 2018 auf 43,3 Milliarden Euro. Ein Großteil davon geht dabei auf Imageschäden bei Kunden bzw. Lieferanten, negative Berichterstattung sowie auf Patentrechtsverletzungen zurück. Das zeigt: Die Gefahren sind akut und Vorsorgemaßnahmen absolut notwendig.
Was ist zu schützen?
Grundsätzlich differenzieren sich Unternehmensinformationen in ihrer Wichtigkeit und Relevanz für die Geschäftsabläufe. Für die Wahl konkreter Schutzvorkehrungen hilft deshalb die Einordnung aller Daten in die typischen Klassifikationskriterien offen, intern, vertraulich oder streng vertraulich. Diese lassen in der Regel auch einen Rückschluss auf den finanziellen Schaden zu, sollten die Informationen in falsche Hände geraten.
So könnten beispielsweise Dokumente wie Ausschreibungsunterlagen oder Prüfberichte der internen Revision, die als vertraulich klassifiziert werden, bei Verlust einen Schaden von 10.000 bis 1.000.000 Euro verursachen. Davon ausgehend wäre die Verschlüsselung dieser Informationen oder sogar die Aufbewahrung in einem Datenraum eine geeignete Schutzmaßnahme, insbesondere wenn der Austausch mit externen Partnern geplant ist.
Bei streng vertraulichen Daten wie beispielsweise Rezepturen oder klinischen Studien, in denen gleichzeitig das gesamte Know-how einer Firma stecken kann, liegt das Schadenspotenzial normalerweise bei weit über einer Millionen Euro. Hier empfiehlt sich als Schutz der entsprechenden Dokumente und Daten in jedem Fall ein Datenraum mit den restriktivsten Einstellungen.
Wie genau die Vertraulichkeitsklassen zugeschnitten sind und welche Schutzkonzepte dementsprechend Anwendung finden, ist letztlich in dem Risikomanagementsystem eines jeden Unternehmens festgelegt. Und auch der Schutz personenbezogener Daten folgt normalerweise einer vergleichbaren Einordnung, da hier auch Gesundheits- oder Kreditkartendaten kritischer als Vor- und Zuname einer Person zu handhaben sind.
Wie wird geschützt?
Bei der Frage, wie Daten nun konkret geschützt werden, sind vor allem technische Maßnahmen von Bedeutung. So sind es neben der Datenverschlüsselung dedizierte Dokumentenmanagement- und Collaborationlösungen zur sicheren Aufbewahrung und Zusammenarbeit.
Das grundsätzliche Prinzip: Vertrauliche Dokumente bleiben stets in einem geschützten, digitalen Datenraum, können aber trotzdem über Abteilungs- und Unternehmensgrenzen hinweg von allen Berechtigten eingesehen, bearbeitet und versendet werden.
Funktionalitäten wie das Versehen von Dokumenten mit einem Wasserzeichen oder einer exakten ID sorgen dabei für die nötige Integrität und Nachvollziehbarkeit. Durch individuell gestaltbare Berechtigungskonzepte können außerdem die Lese-, Druck- und Speichererlaubnis der Nutzer variieren.
Zusätzlich empfiehlt es sich bei der Festlegung der Schutzmaßnahmen, den Zugriff der Mitarbeiter auf Informationen auch unabhängig vom Datenraum nicht außer Acht zu lassen und bestenfalls nach dem Need-to-Know-Prinzip zu handhaben. Denn: Nicht jeder Mitarbeiter benötigt auch jede Information.