(pressebox) (Mainz, 31.08.2009) Am 1. September 2009 tritt in Deutschland ein verschärftes Datenschutzgesetz in Kraft. Darin geregelt ist auch eine gesetzliche Informationspflicht bei Datensicherheitsverletzungen: Gehen beispielsweise personenbezogene Daten verloren, verschaffen sich Unbefugte Zugriff darauf oder werden sie unrechtmäßig an Dritte weitergegeben, müssen Unternehmen und Behörden dies künftig veröffentlichen (Novelle II des Bundesdatenschutzgesetzes BDSG, §42a). Festgelegt ist auch, dass Unternehmen die von den Datensicherheitsverletzungen Betroffenen informieren müssen. Dies kann schlimmstenfalls bedeuten, dass sie sich an Millionen von Betroffenen beispielsweise über Anzeigen in Tageszeitungen wenden müssen. Sophos, einer der führenden Anbieter von IT-Lösungen für Security and Data Protection, begrüßt das neue Gesetz. Dazu Christoph Hardy, Senior Security Consultant bei Sophos: 'Nichts trifft Unternehmen so nachhaltig, wie die Schädigung ihres guten Rufs. In Ländern wie den USA haben ähnlich verstärkte Gesetze bereits zu einem Rückgang bei IT- und Datensicherheitsvorfällen geführt. Sophos und Utimaco haben sich daher schon in der Vergangenheit für eine Meldepflicht eingesetzt. Für deutsche Unternehmen sollte die Verschärfung des Datenschutzrechts daher Anlass sein, ihre bestehenden IT- und Datensicherheitskonzepte kritisch zu prüfen und bei Bedarf zu optimieren. Nur so können sie vermeiden, dass vertrauliche Daten verloren gehen oder von Hackern gestohlen werden. Der Einsatz geeigneter technischer Lösungen mit integrierten Funktionen zum Schutz der IT-Systeme vor Schadsoftware und unberechtigten Datenzugriffen sollte mittlerweile selbstverständlich sein. Auch die Durchsetzung klarer Sicherheitsrichtlinien sowie die Schulung der Mitarbeiter im verantwortungsvollen Umgang mit vertraulichen Informationen sollte heute in Unternehmen klar geregelt sein.'

Studien zufolge lassen sich bis zu 78 Prozent aller Fälle von Datenverlust den eigenen Mitarbeitern zuschreiben (US-Studie von Arcsight und Ponemon Institute, Juli 2008): Dabei gehen nicht nur oft Notebooks, PDAs, Smartphones oder USB-Sticks versehentlich verloren. Es kommt auch immer wieder vor, dass Mitarbeiter unabsichtlich oder sogar vorsätzlich vertrauliche Daten per E-Mail aus dem Unternehmen "schleusen". Im August 2008 war beispielsweise der Verbraucherzentrale Schleswig-Holstein eine CD mit 17.000 Datensätzen zugespielt worden, die offenbar von der Süddeutschen Klassenlotterie (SKL) stammten. Auch die Zusammenarbeit mit externen Geschäftspartnern oder Dienstleistern birgt IT- und Datensicherheitsrisiken: So wurde etwa im März 2009 bekannt, dass Kabel Deutschland Hundertausende von Kundendaten an verschiedene Call-Center weitergegeben hatte. Die Daten wurden in unverschlüsselten Excel-Dateien verschickt und von einigen Call-Centern wiederum an Subunternehmen weitergeleitet.

'Unternehmen dürfen IT- und Datensicherheit nicht nur als rein technisches Thema verstehen, sondern müssen auch die Gefahren berücksichtigen, die von einem zu lockeren Umgang mit den Daten durch die eigenen Mitarbeiter oder externen Dienstleister ausgehen. Schon der Verlust eines USB-Sticks oder Notebooks mit vertraulichen personenbezogenen Daten kann jetzt ein meldepflichtiger Vorfall sein', so Christoph Hardy weiter. 'Sie müssen sicherstellen, dass die Angestellten ausreichend über die Gefahren der digitalen Welt informiert werden und sich bewusst sind, welche Folgen der Verlust sensibler Daten für ihren Arbeitgeber und sie selbst haben kann.'

Sieben goldene Regeln, die Mitarbeiter beim Umgang mit E-Mail, Internet und vertraulichen Daten beachten sollten

1. Jeder Klick kann gefährlich sein: Cyberbedrohungen nehmen kontinuierlich zu, vor allem im Internet. Wer heute zum Beispiel aus Neugierde auf einen Link in einer obskuren E-Mail klickt, dubiose Websites besucht oder sich ausführbare Dateien herunterlädt, setzt das Unternehmensnetzwerk dem Risiko einer Vireninfektion aus.

2. Schwer zu knackende Passwörter einrichten: Bei der Wahl eines Passworts sollte auf Begriffe verzichtet werden, die im Wörterbuch stehen oder sich einfach erraten lassen. Als sichere Variante gilt ein Mix aus mindestens zehn Ziffern, Buchstaben oder Sonderzeichen. Mitarbeiter sollten dabei beachten, für jeden Zugang ein anderes Passwort zu verwenden.

3. Vorsicht bei sozialen Online-Netzwerken: Rund 25 Prozent aller Unternehmen fielen bereits einmal Spam-, Phishing- oder Malware-Attacken zum Opfer, die von Social Networking Websites ausgingen (Quelle: Sophos Security Threat Report für das 1. Halbjahr 2009). Mitarbeiter, die Netzwerke wie Xing oder Facebook im beruflichen Umfeld nutzen, sollten dort nicht zu viele geschäftliche und private Informationen preisgeben - die Daten könnten sonst von Cyberkriminellen für gezielte Angriffe gegen das Unternehmen missbraucht werden.

4. Nur verschlüsselte Daten sind sicher: Vertrauliche Geschäftsinformationen und Kundendaten sollten prinzipiell nur verschlüsselt gespeichert und übertragen werden, um sie vor unberechtigtem Zugriff, Verlust, Diebstahl und Manipulation zu schützen.

5. Auf mobile Geräte besonders achten: Rund sieben Millionen Notebooks gingen im Jahr 2007 weltweit verloren oder wurden gestohlen. Ein unachtsamer Moment am Flughafen, im Bahnhof oder Taxi genügt - schon ist der Laptop, PDA oder USB Stick weg und sensible Daten können in die falschen Hände geraten. Das eigene Gepäck sollte daher stets im Auge behalten werden.

6. Daten sind bares Geld wert: Die durchschnittlichen Kosten pro Datenpanne in deutschen Unternehmen lagen im Jahr 2008 bei 2,4 Millionen Euro. Jeder einzelne verlorene Datensatz schlug dabei mit 122 Euro zu Buche (Ponemon Institute, 2009). Mitarbeiter müssen sich im Klaren darüber sein, dass verlorene Daten massive wirtschaftliche Schäden im Unternehmen verursachen, den Verlust von Kunden nach sich ziehen und im schlimmsten Fall sogar Arbeitsplätze gefährden können.

7. Datendiebstahl kann Folgen haben: Zwar haften Unternehmen grundsätzlich für ihre Mitarbeiter im Falle verlorener Daten. Werden diese jedoch des fahrlässigen oder vorsätzlichen Datendiebstahls überführt, drohen eine Abmahnung durch den Arbeitgeber oder sogar die Kündigung.

Zur Aufklärung ihrer Mitarbeiter in Sachen IT- und Datensicherheit sollten Unternehmen regelmäßige Schulungen abhalten und praxistaugliche Informationsmaterialien bereitstellen. Darüber hinaus sollten sie klare Regeln zum Umgang mit Daten, E-Mail und Internet definieren und durchsetzen. Die Voraussetzung für ganzheitliche IT- und Datensicherheit und die Durchsetzung von Richtlinien schaffen Unternehmen durch den Einsatz integrierter Lösungen, die IT-Systeme sowohl vor externen Bedrohungen, wie Malware- und Hacker-Attacken, schützen als auch die Verschlüsselung der auf mobilen Endgeräten, Festplatten und Speichermedien abgelegten oder per E-Mail übertragenen Daten erlauben.

Weitere Praxistipps zum Schutz vor den neuesten IT- und Datensicherheitsbedrohungen stehen bereit unter [Link inaktiv] sowie [Link inaktiv]

Über Sophos Technology GmbH: Mehr als 100 Millionen Anwender in 150 Ländern verlassen sich auf Sophos als den besten Schutz gegen komplexe IT-Bedrohungen und Datenverlust. Sophos bietet dafür Security- and Data- Protection-Lösungen an, die einfach zu verwalten, zu installieren und einzusetzen sind und dabei den branchenweit niedrigsten Total Cost of Ownership bieten. Sophos bietet preisgekrönte Verschlüsselungs- und Endpoint-Security-Produkte, darüber hinaus Lösungen für Web- und E-Mail-Sicherheit sowie Network Access Control (NAC). Das Angebot wird von einem weltweiten Netzwerk eigener Analysezentren, den SophosLabs, unterstützt. Mit mehr als 20 Jahren Erfahrung gehört Sophos laut der Top-Analystenhäuser zu den führenden Unternehmen für IT-Sicherheit und Datenschutz und hat zahlreiche Branchenauszeichnungen erhalten. Durch die Übernahme des weltweit führenden Datensicherheitsspezialisten Utimaco Safeware erweiterte Sophos im Jahr 2009 sein Leistungsspektrum um Datensicherheitslösungen, mit denen sich mittelständische Firmen und Großunternehmen vor vorsätzlichem Datendiebstahl sowie unbeabsichtigtem Datenverlust schützen und die Einhaltung geltender Datenschutzbestimmungen sicherstellen können. Die in das Sophos Produktportfolio integrierten Utimaco SafeGuard Lösungen bieten dabei einen umfassenden Rundum-Schutz aller Daten. Die weltweiten Aktivitäten von Sophos werden von Boston, USA, und Oxford, Großbritannien, aus geleitet. Weitere Informationen unter: www.sophos.de