BELIEBT
Lifestyle
Wie die Gehaltserhöhung nicht zur Lifestyle Inflation wird
Business
New Work und Future Skills: Ein frischer Blick auf die Arbeitswelt von morgen
Deutschland
Zwei Juwelen an der Ostsee
Digitalisierung
Neue Ära der Effizienz in der Rechtspraxis
Sponsored
Soziale Arbeit: Rechtsfragen über Rechtsfragen
cybersecurity
Business

Schutz vor Cybercrime

24.09.2021
von SMA

Stadler Rail in der Schweiz, die Migros-Tochter Tegut in Deutschland – immer mehr Firmen werden von Cyberattacken überrascht. Wie kann man sich als Firma nicht nur technisch, sondern auch juristisch rüsten?

Die Umsetzung des neuen Informationssicherheits- und Datenschutzrecht wird Firmen ab Sommer 2022 auch besser vor Cyberattacken schützen. Es verlangt von Organisationen, die personenbezogene Daten speichern, erstmals die Gefahrenermittlung und die Umsetzung angemessener, individuell auf das Unternehmen abgestimmter technischer und organisatorischer Massnahmen auf Basis einer Risikoanalyse. Die Geldbusse im Fall einer Datenschutzverletzung muss als «Verstoss» gemäss Art. 83 Abs. 2 S. 2 EU-DSGVO im Grundsatz wirksam, verhältnismässig und abschreckend sein: «Aber die Bemessung ihrer Höhe berücksichtigt neben Art, Schwere und Dauer des Verstosses unter anderem auch, welche Art von Daten verarbeitet sowie ob früher angeordnete Massnahmen vom Verantwortlichen eingehalten wurden», erklärt die zertifizierte Datenschutzbeauftragte Monika Wehr. «Relevant ist auch die Art und Weise, wie der Verstoss der Aufsichtsbehörde bekannt wurde, ob er eigenständig mitgeteilt wurde oder nicht und insbesondere, ob und wie die Verantwortlichen mit den Aufsichtsbehörden zusammengearbeitet haben, um Verstössen abzuhelfen und ihre möglichen nachteiligen Auswirkungen zu mindern.»

Zahlen Sie nicht!

Immer wieder liest man Horrorgeschichten, wonach sich Firmen juristisch kaum wehren können, wenn die Täterschaft im Darknet oder in Fernost sitzt: «Sie können nicht verhindern, dass Sie angegriffen werden. Aber es liegt in Ihrer Hand, den Grad der Auswirkung im Unternehmen zu bestimmen. Die Masse der Täter:innen greift jeden an: Diese locken nach Bezahlung des Lösegeldes mit einer Wiederherstellungs-Software, die jedoch meist nicht zur Wiederherstellbarkeit der Daten führt. Auch bei bezahlten Lösegeldforderungen, falls die Entschlüsselung der Daten gelingen sollte, dauert der Betriebsunterbruch noch meist drei Wochen – im besten Fall. Zahlen Sie nach Möglichkeit nicht, denn dann läuft der Angriff ins Leere. Die Täter:innen agieren aus dem Ausland – Nigeria, Israel, Seychellen – und werden deshalb meist nicht gefasst.» 

Wehr empfiehlt ein durchdachtes Sicherheitsbackupkonzept, ein gutes Zugriffs- und Rollenmanagement (IAM), Netzwerksegmentierung, Application Whitelisting, Updates, eine verhaltensbasierte Antiviren-Software sowie eine gute Dokumentation des Netzwerkes. 

Für Wehr ist die menschliche Firewall effizienter als jede juristische Massnahme: «Die Mitarbeitenden sind die beste Cyber-Abwehr, wenn sie durch Awareness-Training geschult sind und wissen, wie sie Schadsoftware erkennen und reagieren müssen».

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Vorheriger Artikel Zwei Gänge hoch im unternehmerischen Klimaschutz
Nächster Artikel Consulting – eine unattraktive Branche?