Schlagwortarchiv für: Datenverlust

Lesedauer ‚Schatten-IT – Fluch (und Segen) für Unternehmen‘ 6 Minuten

Im Zeitalter voranschreitender Digitalisierung und der damit einhergehenden technologischen Entwicklung stehen Firmen vor einer Flut neuer Herausforderungen. Eine äußerst tückische, häufig unentdeckte Gefahr bedroht dabei die IT-Sicherheit und den Datenschutz in hohem Maße: die sogenannte ‚Schatten-IT‘. Was sich hinter diesem Begriff versteckt und warum Unternehmen diese Bedrohung ernst nehmen müssen, erfahren Sie im folgenden Blogartikel.

Wo Schatten-IT herkommt

Automatisierung, Cloud-Computing, Big Data, künstliche Intelligenz, Internet der Dinge … technologischer Fortschritt hat die Geschäftswelt nachhaltig geändert und Unternehmen in die Lage versetzt, ihre Geschäftsstrukturen zu verbessern, datengetriebene Geschäftsmodelle zu erstellen und innovative Produkte oder Services zu schaffen. Ob es um Resilienz, Agilität, Effizienzsteigerung, innovative Wachstumsmöglichkeiten, Nachhaltigkeit oder auch Kostenvorteile geht – die Potenziale, die sich aus der fortschreitenden Evolution bahnbrechender Technologien herausbilden, sind quasi unendlich und eröffnen Unternehmen bisher unerwartete Chancen.

Laut einer aktuellen Studie des Capgemini Research Institutes passen sich etliche Firmen dieser Dynamik an und setzen den Fokus auf intelligente Produkte sowie Services, die auf digitalen Technologien und künstlicher Intelligenz aufbauen. Knapp sieben von zehn Unternehmen sind der Meinung, dass sie ohne Investitionen in intelligente Produkte und Services Marktanteile verlieren plus Wettbewerbsvorteile riskieren. Es wird erwartet, dass in den kommenden drei Jahren durchschnittlich 28 Prozent des Unternehmensumsatzes aus intelligenten Services kommen werden – aktuell sind es nur 12 Prozent.

Ungeachtet dieser Vorteile führt die Implementierung innovativer Technologien auch zu unerwarteten Nebenwirkungen.

Schatten-IT – eine Definition

Der Begriff ‚Schatten-IT‘ bezeichnet den Einsatz von IT-Instanzen in der Infrastruktur eines Unternehmens, ohne das diese durch die IT-Abteilung autorisiert wurden. Dies geschieht häufig in Eigeninitiative der MitarbeiterInnen mit dem Hintergedanken, Zeit zu sparen und Arbeitsabläufe zu vereinfachen, um so die Produktivität zu potenzieren. Mögliche Risiken in Bezug auf IT-Sicherheit, Compliance oder Datenschutz werden dabei leider außer Acht gelassen – sei es durch Unwissenheit oder Fahrlässigkeit. Der Begriff definiert dabei sowohl Hardware- (private Mobiltelefone, Router, Drucker etc.) als auch Software-Komponenten (Cloud-Dienste, Apps, eigenentwickelte Anwendungen, Skripte usw.).

Schatten-IT – die Risiken auf einen Blick

Die unkontrollierte Nutzung solcher IT-Komponenten stellt eine große Bedrohung für Firmen dar und birgt immense Risiken. Ein paar der potenziellen Bedrohungen und Risiken von Schatten-IT sind:

Sicherheitsrisiken

Wenn Mitarbeiter Schatten-IT in Form von Hard- oder Software ohne die Befugnis oder das Wissen der IT-Abteilung nutzen, entstehen unweigerlich Sicherheitslücken. Und da der IT-Abteilung die Übersicht über diese Systeme fehlt, bleiben diese Sicherheitslücken zudem unentdeckt, was das Schadenspotenzial nochmals erhöht.

Compliance-Risiken

Unternehmen unterliegen oftmals branchenspezifischen Regeln, Normen und Gesetzen in Bezug auf IT-Sicherheitsanforderungen. Die Nutzung von Schatten-IT erhöht das Risiko der Nichteinhaltung dieser Vorschriften um ein Vielfaches. Rechtliche Konsequenzen, Strafen und Reputationsverlust sind die logische Folge.

Datenverlust

Im Rahmen der unautorisierten Nutzung von Schatten-IT erfolgt oftmals eine Speicherung sensibler Unternehmensdaten auf u.U. unzureichend gesicherten IT-Systemen (z.B. lokale Sicherung auf einem Tablet, Sicherung bei einem Cloud-Dienstleister). So entsteht ein hohes Risiko, dass diese Daten abhandenkommen (Geräteklau, Hackerangriffe usw.).

Mangelnder Support

Ohne die Unterstützung der IT-Abteilung, dedizierte Serviceverträge oder ähnliche Supportmodelle sorgt jede Störung an Schatten-IT-Komponenten für unnötige, langwierige Verzögerungen im Geschäftsablauf – dies führt den Initialgedanken, der überhaupt zum Einsatz solcher IT-Komponenten geführt hat, ad absurdum!

Ineffizienz

Ein weiterer ‚Ad Absurdum-Faktor‘ – beschaffen einzelne Teammitglieder voneinander unabhängig Schatten-IT in Form von Hard- oder Software, kann es zu Kompatibilitätsproblemen kommen, was die Zusammenarbeit ineffizient macht (als Beispiel: unterschiedliche Dateiformate).

Unerwartete Folgekosten

Alle aus den vorangegangenen Punkten entstandenen Probleme sind mit Folgekosten in Form von Serviceeinsätzen verbunden. Die Behebung solcher Probleme ist nicht oder nur schwer kalkulierbar, wird so gut wie nie im Budget für IT-Ausgaben berücksichtigt und kommt in den meisten Fällen zum ungünstigsten Zeitpunkt.

Wie Sie Schatten-IT im Unternehmen identifizieren und verhindern

Um die Verbreitung von Schatten-IT in Unternehmen zu vermeiden oder zumindest einzudämmen, können Unternehmen verschiedene Ansätze verfolgen und sowohl präventive als auch reaktive Strategien in die IT-Sicherheitsstrategie integrieren. Ein elementarer erster Schritt liegt darin, die Erwartungen wie auch Ansprüche der Mitarbeiter zu ermitteln und passende Hard- und Software ganz offiziell bereitzustellen. Weitere Maßnahmen sind:

Richtlinien und Prozesse

Entwickeln Sie klare und informative Richtlinien für die Verwendung sämtlicher IT-Ressourcen und aktualisieren Sie diese in regelmäßigen Abständen. Im Rahmen dieser Richtlinien sollten Sie die Gefahren der Benutzung von Schatten-IT explizit ansprechen (und entsprechende Sanktionen für Verstöße festlegen).

Mitarbeitersensibilisierung und Schulung

Durch kontinuierliche Sensibilisierungsmaßnahmen und Schulungen machen Sie Ihre Mitarbeiter fit für die Gefahren von Schatten-IT. Effizienztipp: Die generelle Bedeutung der Einhaltung von IT-Sicherheitsrichtlinien und -Vorschriften (s.o.) in diesem Zusammenhang direkt mit aufzeigen!

Audits und Kontrollinstanzen

Die Durchführung regelmäßiger IT-Audits und die Einführung effizienter Kontrollinstanzen (Wartung o.ä.) identifiziert Schatten-IT und ermöglicht passende Gegenmaßnahmen.

Zugangskontrollen und Identitätsmanagement

Die Implementierung robuster Zugangskontrollen und eines funktionierenden Identitätsmanagements garantiert, dass ausschließlich autorisierte Benutzer Zugriff auf sensible Informationen oder Systeme haben.

Offene Kommunikation und Feedback-Kultur

Die Förderung einer geöffneten Kommunikations- und Feedback-Kultur sorgt für die proaktive Identifikation genutzter Schatten-IT. Motivieren Sie alle MitarbeiterInnen dazu, Zweifel bezüglich der internen IT-Sicherheit auszudrücken und Vorschläge für Optimierungen zu unterbreiten. Zudem kann das Team so gemeinsam Lösungen erarbeiten, die den Einsatz von Schatten-IT in Form von Hard- und Software grundlegend überflüssig machen.

Incident Response und Notfallplanung

Firmen sollten Incident Response-Pläne erstellen, welche klare Verantwortlichkeiten sowie Verfahren für die Interaktion mit Sicherheitsvorfällen im Kontext mit Schatten-IT definieren. Achtung: Dies Pläne müssen regelmäßig geprüft und ergänzt werden, um sicherzustellen, dass sie auf dem neuesten Stand der Technik sind und wechselnden Bedrohungen und Gefahren gerecht werden.

Schatten-IT: Eine Chance für Innovation und Kreativität im Unternehmen

Ungeachtet der Risiken, die mit dem Gebrauch von Schatten-IT verknüpft sind, gibt es auch einige Vorteile. Wenn Mitarbeiter selbstständig Programme aussuchen und implementieren, trägt dies zur Aufwertung ihrer Laune und Bindung an das Unternehmen bei. Sie sind motiviert, ihre Produktivität zu erhöhen und die Arbeit effizienter zu gestalten. Zudem sorgt die Integration der Teammitglieder bei der Auswahl Lösungen für hohe Akzeptanz – ein Garant für deren Nutzung.

Ein weiterer Vorteil von Schatten-IT ist die Workload-Reduzierung für die IT-Abteilung. Wie der Artikel zeigt, sind Schatten-IT-Komponenten alles andere als sicher oder sinnvoll, können jedoch als offizieller Bestandteil der IT-Infrastruktur den Aufwand der IT-Abteilung mindern. Zum Beispiel dann, wenn einzelne Teammitglieder sich um die Administration bestimmter Komponenten (auf Anwenderebene) selbst kümmern können und so die IT-Abteilung entlasten.

Zu guter Letzt kann tatsächlich eintreffen, was initialer Gedanke hinter autarkem Mitarbeiterhandeln war – Anstatt Anträge für ein neue Hard- oder Software-Komponente einzureichen und dann auf die Implementierung durch die IT-Abteilung warten zu müssen, nimmt Ihr Team die Sache in die eigenen Hände.

Fazit: Chancen nutzen, Risiken minimieren!

Fakt ist: Für Unternehmen ist Schatten-IT ein zweischneidiges Schwert. Einerseits kann sie die Arbeit beschleunigen und die Mitarbeiterzufriedenheit verbessern. Auf der anderen Seite birgt sie teils enorme Risiken in Bezug auf IT-Infrastruktursicherheit, Compliance sowie Datenschutz. Um die komplexen Herausforderungen mit Erfolg zu bewältigen, ist eine gesamtheitliche und präzise IT-Sicherheitsstrategie unabdingbar. Erstellen Sie hierfür einen Katalog aus pro- und reaktiven Maßnahmen. Durch die gründliche Implementierung solcher Konzepte sind Unternehmen in der Lage, die Gefahren von Schatten-IT effektiv zu reduzieren und eine sichere, effiziente und produktive Arbeitsumgebung für das Team zu schaffen.

Wollen auch Sie sich mit einer ganzheitlichen und umfangreichen IT-Sicherheitsstrategie vor den Risiken von Schatten-IT schützen? Haben Sie weiterführende Fragen zum Thema oder zu anderen Aspekten der IT-Sicherheit? Sprechen Sie uns an – unter 0800 4883 338 (innerdeutsch kostenfrei) sind wir für Sie da!

 

Weiterführende Infos: Audits und IT-Infrastrukturanalysen | IT-Sicherheitsanalysen aus Angreifersicht

 

Foto © Mue Ervive @ Pexels

 

Lesedauer ‚Datenverlust: Wissen hilft!‘ 7 Minuten

Daten und die daraus gewonnenen Informationen sind die vielleicht wichtigste Ressource der modernen Geschäftswelt. Umso entscheidender ist es, Unternehmen vor Verlust dieser Daten zu schützen. Doch was bezeichnet der Begriff ‚Datenverlust‘ eigentlich genau? Welche Ursachen sind der häufigste Grund für den Verlust von Daten und mit welchen IT-Sicherheitsvorkehrungen können Unternehmen dies verhindern? Antworten auf diese und weitere Fragen erhalten Sie im folgenden Beitrag.

Datenverlust hat Konsequenzen …

Die Datenverfügbarkeit nimmt mittlerweile denselben Rang ein wie die Sicherstellung der Wasser- und Stromversorgung. Egal ob Geschäftsmodell, Produkt, oder Serviceleistung – jeder Unternehmensprozess wird durch die Erkenntnisse aus einer Analyse der Geschäftsdaten nicht bloß verbessert, sondern direkt auf eine neue Ebene gehoben werden. In vielen Unternehmen sind Daten daher Dreh- und Angelpunkt des wirtschaftlichen Erfolgs, wie eine aktuelle Studie von Dun & Bradstreet zeigt. Demnach sind zwei Drittel der teilnehmenden europäischen Unternehmen der Auffassung, dass Daten das nützlichste Instrument bsplw. zur Erschließung neuer Märkte oder zur Neukundengewinnung darstellen.

Allerdings: In diesem Zusammenhang schwebt das Thema ‚Datenverlust‘ wie ein Damoklesschwert über den Köpfen der Verantwortlichen.

Ganz gleich ob durch einen Hackerangriff, eine Naturkatastrophe oder schlichtweg durch menschliches Versagen: Ein Datenverlust kann schlimme Konsequenzen haben – sowohl in wirtschaftlicher als auch in rechtlicher Beziehung. Von den negativen Langzeitfolgen einer Rufschädigung ganz zu schweigen.

Alleine in den Jahren 2020 und 2021 mussten Betriebe, dem Global Data Protection Index 2021 (Achtung: Download PDF) von Dell Technologies zufolge, im Durchschnitt 960.000 US-Dollar für die Behebung der Probleme im Zusammenhang mit Datenverlust aufwenden.

Die gute Nachricht ist: Sie können dem Verlust von Daten bereits mit unkomplizierten Sicherheitsvorkehrungen effektiv vorgebeugen. Zunächst einmal schauen wir uns jedoch an, was mit dem Wort ‚Datenverlust‘ genau gemeint ist.

Was versteht man unter Datenverlust?

Ein Datenverlust definiert sich immer als „… unvorhergesehenes Vorkommnis, durch das geschäftskritische sowie sensible Daten verloren gehen“. In diesem Kontext gelten Daten dann als verloren, wenn sie auf einem anvisierten Datenspeicher nicht (mehr) aufgefunden werden können.

Grundlegend unterscheidet man zwei Arten von Datenverlust: Temporären auf der einen sowie langfristigen Verlust von Daten auf der anderen Seite. Temporäre Datenverluste zeichnen sich dadurch aus, dass diese durch geeignete Gegenmaßnahmen rückgängig gemacht werden können. Bei einem permanenten Datenverlust sind die Daten dagegen nicht wiederherstellbar, das heißt diese sind unwiederbringlich verloren bzw. irreparabel zerstört.

Wie ‚verliert‘ man eigentlich Daten?

Die Ursachen für Datenverlust sind facettenreich. Sie reichen von zerstörten Festplatten über komplexe Malware-Angriffe bis hin zur Manipulation von Innen. Und auch (oder gerade deshalb), wenn der Verlust von Daten seinen Ursprung in technischen Faktoren hat, liegt die hauptsächliche Verantwortung für den Erhalt der Daten beim Menschen. Zu den relevantesten Ursachen zählen:

Hackerangriffe, Malware und Computerviren: Die Gefahr von Datenverlust ist durch diese Bedrohungen in den vergangenen Jahren deutlich gestiegen. Laut dem Branchenverband Bitkom waren im Zeitraum 2020 und 2021 neun von zehn Firmen hierzulande von Internetangriffen betroffen.

Hardware-Schäden: Der populärste Hardwarefehler ist eine defekte Festplatte. Diese gehört nach wie vor zu den fehleranfälligsten Elementen einer Hardware, weil sie über mechanische Teile verfügt, die beispielsweise durch Erschütterungen kaputtgehen können oder bereits ab Werk mit einem schleichenden Defekt geliefert werden. Der Umstieg auf SSD-Laufwerke, also Laufwerke ohne mechanische Elemente, mindert das Risiko hier zwar, schließt es allerdings nicht völlig aus.

Unsachgemäße Handhabung von Hardware und Software: Falsche Pflege kann ebenfalls zum Verlust von Daten führen. Dies gilt für Server, NAS-Geräte, Festplatten sowie für USB-Sticks und sonstige Speichermedien. Eine Sonderrolle nehmen hier mobile Endgeräte wie Smartphones, Tablets oder Laptops ein. Hier gibt es eine Vielzahl weiterer Gefährdungen: Beschädigungen durch verschüttete Flüssigkeiten, Fallschäden oder eine unsachgemäße Lagerung können zu Datenverlust führen.

Alter und Abnutzungserscheinungen: Jede Hardware unterliegt alterungsbedingten Abnutzungserscheinungen. Die maximale Nutzungsdauer variiert allerdings, je nach Hardware-Typ, verwendetem Material oder Herstellungsverfahren. Abhängig von diesen Aspekten liegt die typische Lebensdauer von Hardware-Komponenten zwischen drei und zehn Jahren. Speichermedien vertragen zudem nur eine begrenzte Menge an Schreibprozessen. Ist dieses Reservoir aufgebraucht, kann bzw. sollte das Produkt nicht mehr benutzt werden.

Verlust oder Diebstahl: Eine weitere nennenswerte Quelle für den Datenverlust stellt der Verlust oder der Raub mobiler Endgeräten oder kleinformatiger Speichermedien wie USB-Sticks und SD-Karten dar. In diesem Fall kommt zu einem einfachen Datenverlust auch noch die Gefahr hinzu, dass geschäftskritische oder sensible Daten in falsche Hände geraten und so in weiterführender Weise geschäftsschädigend gegen das eigene Unternehmen eingesetzt werden.

Bedienungsfehler: Im Geschäftsalltag gehen geschäftskritische und sensible Daten oft durch versehentliches Löschen verloren. Im schlimmsten Fall kann es sein, dass Mitarbeiter unbeabsichtigt ein ganzes Laufwerk formatieren. Während versehentlich gelöschte Unterlagen, Dateien oder Ordner in der Regel wiederhergestellt werden können (weil diese erst einmal im Papierkorb landen), gestaltet sich das Rekonstruieren eines formatierten Laufwerks um einiges komplizierter. Zwar ist auch hier eine Wiederherstellung grundsätzlich denkbar, jedoch bedarf es hierfür in der Regel der Dienste eines Datenrettungsspezialisten – verbunden mit entsprechend hohen Kosten.

Schwache Passwörter: Schwache Passwörter sind ein ergänzender, häufiger Grund für Datenverlust. Gehen z.B. Passwörter für relevante Zugänge oder zentrale Datenbanken verloren, weil Mitarbeitende diese nicht hinreichend sicher dokumentieren oder ihr Wissen z.B. nach einer Kündigung mitnehmen, ist auch das dort hinterlegte Wissen (zunächst) verloren.

Schatten-IT: Ein weiteres immer ernstzunehmenderes Problem, ist die sog. ‚Schatten-IT‘. Dies bezeichnet innerbetrieblich verwendete IT-Systeme, IT-Dienste sowie Anwendungen, welche sich außerhalb des Einflussbereichs und der Kontrolle der IT-Abteilung befinden.

Sabotage von innen: Einstmalige Mitarbeiter*innen, denen die Zugriffsrechte auf E-Mail-Services, Unternehmensanwendungen und Daten nicht (rechtzeitig) entzogen werden, stellen ein enormes Gefahrenpotenzial dar. Hier kann es passieren, dass aus Neugier oder Racheabsichten in das Unternehmensnetzwerk eingedrungen wird und relevante Datensätze manipuliert, eliminiert oder gar entwendet werden.

Höhere Gewalt: Auch Naturkatastrophen wie Überschwemmungen, Brände sowie Sturmschäden oder politische wie gesellschaftliche Umwälzungen können den Verlust von Daten zur Folge haben.

Wie Sie sich vor Datenverlust schützen

Der Entfall elementarer Daten ist jederzeit ein Problem. Aus gutem Grund haben Unternehmen demnach ein großes Interesse daran, ihr wertvollstes Asset zu beschützen. mittlerweile gibt es eine Menge von Best Practices mit dem Ziel, ein Unternehmen zuverlässig vor Datenverlust zu schützen. Zu den wichtigsten Optimierungen gehören unter anderem:

  • Regelmäßige Datensicherungen mit der 3-2-1-Regel (3 Kopien aller relevanten Daten auf 2 verschiedenen Speichermedien, von denen eines fern des Unternehmenssitzes aufbewahrt wird)
  • Kontinuierliches Schwachstellen- und Patchmanagement
  • Zugang, Zugriff und Zutritt zum Unternehmensnetzwerk wie auch zu den Unternehmensanwendungen und Daten regeln und überwachen
  • Unternehmensnetzwerk und Systeme mit Passwörtern, Firewalls sowie sonstigen Schutzvorkehrungen sichern
  • Datenveränderungen ersichtlich machen
  • Verantwortungsvoller Umgang mit kleinformatigen Speichermedien (USB-Sticks, SD-Karten etc.)
  • Kontinuierliche Sicherheitsschulungen
  • Alarmanlagen sowie Videoüberwachung einführen
  • Absicherung des Gebäudes

Fazit: Nehmen Sie Datenverlust den Schrecken

Auch wenn es bis dato keinen 100-prozentigen Schutz vor dem Verlust von Daten gibt – eine Kombination verschiedener IT-Sicherheitsvorkehrungen hilft Ihnen, die Gründe und das Gefahrenpotenzial auf ein Minimum zu senken. Und sollte es doch einmal zu einem Dateienverlust kommen, heißt es stets Ruhe zu bewahren und einen Datenrettungsspezialisten zu Rate zu ziehen.

Wollen auch Sie Ihr wertvollstes Asset mit einem wirksamen Datensicherheitskonzept schützen? Oder haben Sie weiterführende Fragen zum Thema? Sprechen Sie uns gerne an – sie erreichen uns unter 0800 4883 338 (kostenfrei innerdeutsch). Oder vereinbaren Sie hier einen unverbindlichen Gesprächstermin.

Foto © Barbara Olsen @ Pexels

Weiterführende Links

Hier erhalten Sie weiterführende Informationen zum Thema Datensicherheit und unseren IT-Sicherheitskonzepten generell.