Obwohl den meisten Unternehmen die Risiken bewusst sind, sind viele quasi ohne Netz und doppelten Boden unterwegs. Das technische Kernwissen liegt auf dem einzigen Firmenserver; die Sicherungskopien verwahrt der technische Geschäftsführer im heimischen Safe.
Die IT-Infrastruktur wird von einem externen Dienstleister bereitgestellt und gewartet, und der Service für die Netzwerkkomponenten Plotter, Scanner und Drucker liegt bei einem zweiten externen Unternehmen.
Bei einem solchen Szenario bedarf es keines großangelegten Hackerangriffs von außen, um unerlaubt elementares Firmenwissen abzuschöpfen. Potenzielle Schädiger befinden sich bereits zu Genüge im Hause.
Datenzugriffe in Echtzeit überwachen
Gerade der Mittelstand hat durch ein intensives, proaktives Risiko-Management die gute Möglichkeit, einer Cyber-Attacke die Spitze ihres Schadenpotenzials zu nehmen. Es muss daher nicht immer zum Äußersten kommen.
Eine einfache, aber umso wirkungsvollere Maßnahme ist, nicht nur den Zugang und die Zugriffsberechtigungen der externen Dienstleister exakt und fortlaufend zu dokumentieren, sondern besonders die Art und Häufigkeit aller Datenzugriffe möglichst in Echtzeit zu überwachen.
Das entlastet im Zweifelsfall nicht nur die eigenen Dienstleister, sondern gibt sofort auch deutliche Hinweise, wenn Dritte von außen – oder auch Mitarbeiter von innen – unerlaubt auf sensible Daten zugreifen.
Informationspflichten bei Kundendatenspeicherung
Neben sensitivem eigenem Fachwissen speichern auch Mittelständler in stetig zunehmendem Maß Kundendaten auf ihren Systemen. Der Verlust oder das Kompromittieren solcher Datensätze lösen nicht nur umfangreiche Melde- und Informationspflichten aus.
Die Haftung daraus sowie die Kosten dafür erreichen oft völlig unterschätzte Ausmaße. Im Jahre 2012 betrugen die Durchschnittskosten je kompromittiertem Datensatz rund 110 Euro, das sind fast 35 Prozent mehr als noch vor fünf Jahren. Jeder Firmeninhaber kann sich leicht ausrechnen, dass beträchtliche Summen zusammenkommen können.
Auffallend ist, dass in vielen Fällen von unerlaubtem Umgang mit erbeuteten Kundendaten die Kosten für die Entdeckung und Offenlegung des eigentlichen Schadenereignisses sowie für Kundenbenachrichtigungen oft nur zwischen 25 und 40 Prozent des gesamten Schadens ausmachen.
Seite drei: Hohe Kosten nach Entdecken des Schadenfalles
