1. Identifizierung der „schützenswerten Informationen“: Der Informationsrisiko-Index bestätigt, dass nicht einmal die Hälfte der befragten Unternehmen eine individuell ausgearbeitete Informationsstrategie besitzt. Dies wäre jedoch eine Voraussetzung, um relevante Daten zu schützen und Missbrauch zu verhindern.
2. Erstellen von Benutzerrollenkonzepten: Wenn nicht festgelegt ist, welche Nutzer welche Art von Daten verarbeiten dürfen, kommt es häufig zu Sicherheitslücken durch unsachgemäße Handhabung beim Informationszugriff, der Weitergabe oder Speicherung.
3. Regelmäßiges Einspielen von Patches, um Sicherheitslücken zu schließen: Es klingt trivial, ist aber noch immer eine der häufigsten Schwachstellen in Unternehmen, denn wenn das Patch-Update nur auf einem einzigen Gerät übersehen wird, einsteht eine Sicherheitslücke; das gilt auch für mobile Endgeräte.
4. Aktuellster Viren- und Firewallschutz: Besonders in mittelständischen Unternehmen gehören Angriffe durch Viren, Würmer, Trojaner und Web-Apps zu den häufigsten Ursachen für Datenverluste. Daher sind konsequent durchgeführte Updates auf allen Geräten, auch den mobilen Endgeräten, Basis jeder Sicherheitsstrategie.
5. Regelmäßige Auswertung sämtlicher Logfiles auf Angriffe: Viele Unternehmen merken gar nicht, dass sie zum Opfer von Wirtschaftsspionage geworden sind – höchstens, wenn es bereits zu spät ist und eine Neuentwicklung, in die viel investiert wurde, plötzlich an anderer Stelle angeboten wird. Daher sollten Logfiles regelmäßig ausgewertet werden, um auffällige Aktivitäten feststellen zu können.
6. Monitoring der Server in Echtzeit: Der zeitnahe Eingriff zur Verhinderung eines Übergriffs kann allerdings in den meisten Fällen nur durch ein Server-Monitoring in Echtzeit umgesetzt werden.
7. Einsatz von Enterprise-Mobility-Management-Lösungen: Mobile Endgeräte bilden heute eine der größten Schwachstellen für viele Unternehmen. Nicht nur in Punkto Sicherheitsupdates, sondern auch bei der Datenübertragung und deren Speicherung, z.B. durch automatische Datensynchronisation in vorinstallierten Cloudlösungen, ergeben sich Sicherheitsrisiken.
8. Bewertung der IT von Geschäftspartnern: Wenn bei der Zusammenarbeit mit Partnern gemeinsame Infrastrukturen oder Lösungen genutzt werden, entstehen durch die Vernetzung Risiken, die in der Informationsstrategie berücksichtigt werden sollten. Insbesondere Spionageangriffe erfolgen häufig über die schwächere Infrastruktur von Geschäftspartnern.
9. Verschlüsselung von Daten, client- und serverseitig sowie bei der Übermittlung: Beim Datenaustausch zwischen Niederlassungen, mit mobilen Endgeräten sowie mit Partnern empfiehlt sich eine durchgängige Datenverschlüsselung: bei der Übertragung (Channel Encryption), auf dem Server, was auch für die Cloud-Speicherung gilt (Server-Side Encryption) sowie auf den Endgeräten der Anwender (Local Encryption).
10. Alternativen zum (meist) unsicheren Datenaustausch per Email oder FTP: Grundsätzlich ist es sinnvoll, sich einer sicheren Collaboration-Plattform für den Datenaustausch zu bedienen bzw. diese den Mitarbeitern zur Verfügung zu stellen. Das kann heute auch eine Business Cloud-Lösung sein. Denn wenn sie die oben genannten Kriterien zur Datenverschlüsselung erfüllt, ist sie wesentlich sicherer als viele Wege, auf denen Unternehmen alternativ Daten austauschen und ablegen – wie E-Mail-Anlagen, File-Server oder die häufig von Mitarbeitern genutzten, kostenfreien Cloudlösungen.
11. Datenspeicherung in zertifizierten Rechenzentren: Neben der Datenverschlüsselung ist auch der Ort, an dem die Daten vorgehalten werden, ein Sicherheitskriterium. Im Gegensatz zu Rechenzentren in den USA oder anderen Ländern müssen Datenzentren in Deutschland nach der ISO/IEC-Norm 27001 zertifiziert sein, die ein umfassendes Informationssicherheits-Managementsystem gewährleistet.
12. Sensibilisierung der Mitarbeiter für das Thema Datenschutz: Eine der größten und in vielen Unternehmen stark unterschätzten Bedrohungen für sensible Daten geht von den eigenen Mitarbeitern aus. Viele Anwender sind sich nicht bewusst, welche Sicherheitslücken sie beispielsweise durch unzureichend gesicherte mobile Endgeräte oder durch das Nutzen unsicherer Cloud-Lösungen schaffen. Schulungen und eine regelmäßige Auffrischung der Sicherheitsinformationen für Mitarbeiter sind daher unerlässlich.
