IT-Datensicherheit: Neue Standards für Unternehmen weltweit

31. Oktober 2016

6 Min. Lesezeit

Kunden- und Geschäftsdaten entwickeln sich immer mehr zur attraktiven Beute für Betrüger. Zahl und Umfang der Diebstähle steigen seit Jahren kontinuierlich. Weltweit verschärfen Regierungen deshalb die Datenschutzrichtlinien ­– auch für kleinere Unternehmen. Für viele Firmen heißt es jetzt: Hausaufgaben machen.

IT-Datensicherheit: Neue Standards für Unternehmen weltweit (Desktop)

Man nennt es die Fake-President-Masche: Mitarbeiter werden per Telefon oder E-Mail vom vermeintlichen Vorgesetzten aufgefordert, Geld auf Auslandskonten zu überweisen. Täuschend echte Dokumente lassen keinen Zweifel an der Richtigkeit der Anweisung. Die Mitarbeiter folgen den Aufforderungen und schon ist das Unternehmen um mehrere Millionen ärmer.

So geschehen beim deutschen Autozulieferer Leonie AG. Das im MDAX gelistete Unternehmen musste im August dieses Jahres bekannt geben, „Opfer betrügerischer Handlungen unter Verwendung gefälschter Dokumente und Identitäten sowie Nutzung elektronischer Kommunikationswege“ geworden zu sein. Demnach entstand ein Schaden von rund 40 Millionen Euro, wie das Unternehmen meldete. Das Geld sei auf Konten außerhalb Deutschlands transferiert worden.

Die Hintergründe muss die Leonie AG noch klären. Aber das Unternehmen veröffentlichte im September eine Stellungnahme, in der es hieß, dass der Diebstahl das Ergebnis im dritten Quartal und im Gesamtjahr 2016 belasten werde. Die Investoren zeigten sich wenig begeistert und schickten die Aktie auf Talfahrt.

Fälle von Datendiebstahl häufen sich

Leonie ist im deutschen Mittelstand kein Einzelfall. Gerade kleine und mittelständische Unternehmen eignen sich als Opfer, da Hierarchie- und Kommunikationsebenen einfach gehalten werden. Neben dem finanziellen Schaden werden durch solche Betrügereien oft auch wichtige Daten – etwa von Kunden oder Geschäftsgeheimnisse – entwendet. Die Sicherheitslücken nach einem Cyberangriff zu schließen, verursacht den Unternehmen anschließend noch zusätzliche Kosten.

Das Thema beschäftigt Unternehmen auf der ganzen Welt und wird in Zukunft noch an Bedeutung gewinnen. Wie aus der Studie „The Global State of Information Security Survey 2015“1 der Beratungsgesellschaft PricewaterhouseCoopers (PwC) hervorgeht, wächst die Zahl der Angriffe auf die IT-Sicherheit von Unternehmen weltweit stetig an.

Befragt wurden insgesamt rund 9 800 IT-Führungskräfte aus mehr als 154 Ländern. Demnach stieg die Gesamtzahl der Attacken im Jahr 2014 um 48 Prozent auf 42,8 Millionen im Vergleich zum Vorjahr. Allerdings liege die Dunkelziffer vermutlich deutlich höher, da viele Unternehmen Angriffe gar nicht erst bemerken oder sie aus strategischen Gründen nicht melden, heißt es in der Studie weiter.

Datenschutz in vielen Regionen noch uneinheitlich

Im globalen Vergleich unterscheidet sich der Umgang mit sensiblen Verbraucherdaten. Die Gesetzeslage ist in einigen Ländern noch nicht an moderne Bedürfnisse angepasst, wie aus einem Ländervergleich der internationalen Anwaltskanzlei DLA Piper2 hervorgeht. So gibt es in China beispielsweise noch kein konkretes Datenschutzgesetz. Zwar werde der Schutz persönlicher Daten in anderen Gesetzen berücksichtigt, doch sei dies Auslegungssache, heißt es in dem Bericht.

Die Regierung habe dennoch Richtlinien für den Umgang mit Personendaten vorgegeben: den Beschluss zum Schutz von Online-Informationen (The Decision on Strengthening Online Information Protection) sowie die Nationale Richtlinie für Informationssicherheitstechnologie (National Standard of Information Security Technology).

In Japan wurde der Datenschutz für Unternehmen im vergangenen Jahr an die neuen Herausforderungen angepasst. Das Gesetz zum Schutze Persönlicher Informationen (The Act on the Protection of Personal Information – APPI) wurde ergänzt, so DLA Piper in ihrem Bericht. Während bislang nur Firmen mit Kundendaten von mehr als 5 000 Individuen zum Datenschutz verpflichtet waren, wurden die Vorschriften nun auf alle japanischen Unternehmen ausgedehnt. Das Gesetz muss bis September 2017 umgesetzt werden.

In Russland regelt das Datenschutzgesetz den sicheren Umgang mit persönlichen elektronisch gespeicherten Informationen. Im September 2015 wurden die Vorschriften zum Schutze der russischen Bürger sogar noch verschärft. Demnach dürfen die Daten von in Russland agierenden internationalen Unternehmen nur noch innerhalb des Staatsgebietes gespeichert und verarbeitet werden.

Laut PwC-Ländervergleich gibt es in den USA rund 20 sektorspezifische nationale Datenschutzgesetze und zusätzlich mehrere Hundert auf föderaler Ebene. Eine eigene Behörde, die den Datenschutz überwacht, gibt es nicht. Aber die amerikanische Handelskammer (Federal Trade Commission – FTC), die die Handelspraktiken der Firmen überwacht, schreitet auch bei Verstößen gegen Datenschutzbestimmungen ein.

Internationale Abkommen immer wichtiger

Dass der Schutz von Kunden- und Geschäftsdaten global betrachtet werden muss, beweist auch die Tatsache, dass sich die Spuren von Hackern und anderen Datendieben oft rund um den ganzen Erdball verfolgen lassen. Beispielsweise wurde der US-Einzelhändler Target 2013 von Osteuropa aus attackiert. Die Kredit- und Debitkarten-Informationen von mehr als 40 Millionen Kunden, sowie persönliche Adress- und E-Mail-Daten von etwa 70 Millionen Personen wurden gestohlen.

Für die Aufklärung solch schwerer Datendiebstähle gewinnen internationale Abkommen zur Datensicherheit zunehmend an Bedeutung. Wie schwierig das aber sein kann, zeigt das Urteil des Europäischen Gerichtshofs (EuGH) zum Safe-Harbor-Abkommen zwischen der Europäischen Union (EU) und den USA. Die Richter erklärten die Vereinbarung zur Erhebung und Verarbeitung von Daten europäischer Bürger für rechtswidrig, da diese in den USA nicht ausreichend vor dem Zugriff von Behörden und Geheimdiensten gesichert seien.

Ein neues Abkommen zwischen der europäischen Staatengemeinschaft und den USA musste her: Das EU-US-Datenschutzschild kann Unternehmen, die in beiden Regionen aktiv sind, ein Gütesiegel verleihen. Dafür müssen sich die Firmen verpflichten, beim Datentransfer in die USA europäische Mindeststandards der IT-Sicherheit einzuhalten.

EU: Nach wirtschaftlicher Union nun Einheit im Datenschutz

In Europa will die EU die Standards zum Datenschutz für die Mitgliedsstaaten vereinheitlichen. Der EU-Rat, das Europäische Parlament und die Europäische Kommission haben sich Anfang 2016 auf die EU-Datenschutz-Grundversorgung (EU-DSGVO) geeinigt. Die neue Regelung gilt ab Mai 2018 für alle Mitgliedstaaten. Ziel ist es, nationale Bestimmungen in den einzelnen EU-Ländern aufzuheben.

Für EU-Mitglied Deutschland bedeutet das einige Veränderungen. Bislang wird das Thema Datensicherheit durch das Bundesdatenschutzgesetz (BDSG) geregelt. Daneben hat jedes einzelne Bundesland noch ein eigenes Datenschutzgesetz. Die EU-DSGVO wird die bisherigen Richtlinien ersetzen.

Der Austritt Großbritanniens aus der EU („Brexit“) dürfte für das Land nicht nur wirtschaftliche Folgen haben. Die EU-Datenschutz-Grundversorgung wird künftig nicht für das Vereinigte Königreich gelten. Das bedeutet, dass es in puncto Datensicherheit mit der europäischen Staatengemeinschaft ein separates Abkommen vereinbaren muss, denn: Großbritannien wird mit dem Austritt zum Drittland.

Kleine und mittelständische Unternehmen haben Nachholbedarf

Trotz der wachsenden Bedrohung, die Datendiebstahl für die globale Wirtschaft stellt, haben viele Unternehmen bei den Investitionen in ihre IT-Sicherheit noch Nachholbedarf. Die Ausgaben für den Bereich sind teilweise sogar gesunken, wie aus der PwC-Umfrage hervorgeht: Demnach ist das durchschnittliche Budget für Datensicherheit in den befragten Unternehmen 2014 im Vergleich zum Vorjahr um vier Prozent auf 4,1 Millionen US-Dollar zurückgegangen.

Während Großunternehmen sich über den Ernst der Lage bewusst sind und deutlich mehr Investitionen zum Schutze ihrer Daten zur Verfügung stellen, halten sich kleinere Firmen für zu irrelevant, um für Hacker ein attraktives Angriffsziel zu bieten.

Unternehmen mit Umsätzen von unter 100 Millionen US-Dollar haben ihre Ausgaben für IT-Sicherheit im Verlauf des Jahres 2013 um 20 Prozent reduziert, wie die PwC-Studie ergab. Das könnte damit zu tun haben, dass nur 40 Prozent der Befragten angaben, ihr Unternehmensvorstand sei in Budget-Entscheidungen für IT-Sicherheit involviert, heißt es in der Studie weiter. Deshalb hätten die IT-Abteilungen Schwierigkeiten, notwendige Finanzierungen durchzusetzen.

Datenschutzbestimmungen sollen Unternehmen zum Umdenken zwingen

Doch weltweit setzen Behörden den Unternehmen mit neuen IT-Sicherheitsrichtlinien die Pistole auf die Brust. Dabei wird keine Rücksicht auf die Unternehmensgröße genommen. Wer international Daten austauscht, muss in Zukunft für deren Sicherheit sorgen. Andernfalls drohen drakonische Strafen. In der EU bedeutet das bei Verstößen gegen die EU-DSGVO Bußgelder in Höhe von bis zu vier Prozent des weltweiten Jahresumsatzes.

„Bei den Neuregelungen geht es vor allem um den Präventionsgedanken“, sagt Dr. Söntje Julia Hilberg, Leiterin des Bereichs IT-Recht bei der Rechtsberatung Deloitte Legal. Dieser Ansatz beinhalte, dass der Datenschutz vor allem über technische Standards von den Unternehmen umgesetzt werden soll. Zudem würde für die Unternehmen mit der Möglichkeit der Zertifizierung die Rechtssicherheit im Datenschutz erhöht, erklärt die Expertin.

Betroffen von den neuen Richtlinien sind nach Angaben der Juristin alle Unternehmensbereiche, in denen Kundendaten verarbeitet werden – sei es Vertragsdaten oder die Nutzung persönlicher Angaben zu Marketingzwecken. „Wichtig sind vor allem sensible Daten wie Angaben zur persönlichen Gesundheit oder Finanzen“, so Hilberg.

http://www.pwc.de/de/digitale-transformation/global-state-of-information-security-survey-2015.html1
https://www.dlapiperdataprotection.com/index.html#handbook/world-map-section 2

Von Kerstin Kubanek, Finanzmarkt-Journalistin und Behavioral-Economics-Expertin

Drucken
Cyber Security eBook