28. Januar 2022

Cyber-
kriminalität und Datenschutz: Trends & Entwicklungen

Für NDIX ist und bleibt Cybersicherheit ein extrem wichtiges Thema und die Integrität privater Daten ein Must. Gesetze verhindern den Missbrauch personenbezogener Daten und Cyberkriminelle bleiben in der IT-Welt präsent. In diesem Artikel informieren wir Sie über die Entwicklungen im Bereich Cybersecurity und Datenschutz und wie Sie als Nutzer damit umgehen können.

Wenn Ihr Unternehmen viele Kunden hat, führt dies möglicherweise zum Austausch sensibler Unternehmensdaten zwischen zwei oder mehr Parteien. Bei einem Fall von Cyberkriminalität sind diese personenbezogenen Daten möglicherweise nicht mehr sicher. Aus diesem Grund ist es wichtig, sich gegen Cyberkriminalität gut zu wappnen und die Vertraulichkeit Ihrer Daten zu gewährleisten, um die Daten Ihrer Firma und Firmenbeziehungen zu schützen. Das Arbeiten vom Home Office aus macht Mitarbeiter noch abhängiger von der digitalen Arbeitsumgebung. Dies hat sich auch auf die Cyberkriminellen und deren Methoden ausgewirkt.

Malware und ransomware

Es werden zwei Arten von Cyberkriminalität hervorgehoben, die derzeit großen Schaden anrichten: Malware und eine verbreitetere Variante davon, Ransomware. Malware ist Software, die als Programm oder Datei getarnt einen Computer, ein Netzwerk oder einen Server infiziert. Auf diese Weise gelangen Cyberkriminelle in das System und können sich Zugriff auf die IT-Umgebung verschaffen, zu der das System gehört. Sie rufen Daten ab oder können Systemdaten darin ändern. Malware kann harmlos sein, aber eine bestimmte Art von Malware, wie zum Beispiel Viren, können weitreichende Folgen für Unternehmen haben.

 

Eine der häufigsten Formen der Cyberkriminalität ist Ransomware. Bei dieser Form von Malware wird ein Teil des IT-Geräts oder manchmal sogar das gesamte Gerät blockiert und ist für den Benutzer unzugänglich. Es können auch Daten betroffen sein. Bei Ransomware sind die Daten sozusagen die „Geisel“ und die gehackte Person muss einen Geldbetrag bezahlen, um die Daten oder das Gerät zurückzubekommen. Es gibt jedoch keine Garantie dafür, dass das System oder die Daten tatsächlich wieder freigegeben werden, was Ransomware zu einer sehr gefährlichen Form der Cyberkriminalität macht. 1 von 5 Unternehmen wird irgendwann einen Ransomware-Angriff erleben, deshalb sollte man gut auf die Gefahr von Ransomware hinweisen.

Die Rolle von Home Office und mobilen Geräten

Da das Arbeiten von zu Hause aus in den letzten zwei Jahren zum Normalfall geworden ist, hat sich auch der Umgang mit Daten verändert. Wo sich früher das gesamte Firmennetzwerk an einem physischen Ort befinden konnte, müssen heute alle Informationen von zu Hause aus verfügbar sein. Das Firmennetzwerk muss also von mehreren Stellen aus erreichbar sein und mit VPN wird zum Beispiel sichergestellt, dass über das Internet auf diese Firmensysteme zugegriffen werden kann. Dadurch erhöht sich auch die Chance, dass ein Cyberkrimineller zuschaut.

 

Auch mobile Geräte werden zunehmend von Cyberkriminellen angegriffen und datenschutzrelevante Daten sind auf diesen Geräten nicht immer sicher. So wird beispielsweise versucht, durch das Versenden von Falschnachrichten per SMS oder WhatsApp an Daten zu gelangen. Es gibt auch Apps, die eine oder mehrere Genehmigungen für Daten von Ihrem Telefon verlangen, mit denen wichtige Daten abgerufen werden können. Aus diesem Grund sollten Sie genau darauf achten, welche Daten von einer App angefordert werden, die von einem Benutzer installiert wird. Wenn diese Daten für das ordnungsgemäße Funktionieren der App nicht erforderlich sind, kann es sein, dass böswillige Absichten vorliegen. Auch im Business-Bereich muss daher genau darauf geachtet werden, welche Daten an welche Apps weitergegeben werden.

Unser Tipp: Zero Trust

Eine Betrachtungsweise von Daten und Datenaustausch innerhalb eines aufstrebenden Unternehmens ist „Zero Trust“. Es wird davon ausgegangen, dass innerhalb eines Netzwerks nichts als vertrauenswürdig angesehen werden kann. In den meisten Netzwerken können viele Dinge ohne Überprüfung bearbeitet werden, was es Cyberkriminellen erleichtert, etwas innerhalb des Netzwerks abzurufen. Bei einem „Zero Trust“-Verfahren wird eine Verifikation benötigt. Bei der Abfrage bestimmter Informationen wird jeder, jedes Gerät oder jede IP-Adresse zur Verifizierung aufgefordert, beispielsweise durch eine Zugangskontrolle. Eine Zwei-Faktor-Authentifizierung sorgt für noch mehr Sicherheit, da die Informationen erst nach zwei Schritten eingesehen werden können. Mit dieser Sichtweise auf die IT-Infrastruktur besteht eine größere Chance, dass unerwünschte Gäste wie Cyberkriminelle ferngehalten werden. Auf diese Weise kann auch der Datenschutz innerhalb eines Unternehmens viel besser gewährleistet werden.

Europäische Bestimmungen

Durch die Globalisierung und Digitalisierung kennt der digitale Kontaktaustausch keine Grenzen mehr. Deshalb bedarf es auch auf europäischer Ebene eine wichtige Gesetzgebung. Die wichtigste europäische Gesetzgebung zur Datensicherheit ist die DSGVO (Datenschutzgrundverordnung). Seit 2018 verlangt dieses Gesetz, dass personenbezogene Daten von Unternehmen und Behörden korrekt verarbeitet werden. Beispielsweise dürfen personenbezogene Daten gar nicht erst verarbeitet werden, wenn kein triftiger Grund vorliegt. Es muss eine Notwendigkeit zur Verarbeitung personenbezogener Daten bestehen, zum Beispiel wenn ohne personenbezogene Daten kein Produkt oder keine Dienstleistung geliefert werden kann. Transparenz ist auch innerhalb einer Organisation von großer Bedeutung.

 

Auch innerhalb Europas gibt es viele Fälle zur Prävention von Cyberkriminalität. Ein Beispiel hierfür ist das derzeit in Entwicklung befindliche NIS2 (Network and Information Security). Dies ist eine Richtlinie, die eine Weiterentwicklung der aktuellen Richtlinie NIS1 darstellt. Durch die starke Zunahme von Angriffen durch Cyberkriminelle steigt der Bedarf sich davor zu schützen. Während NIS1 für wesentliche Unternehmen wie Wasser- und Telekommunikationsunternehmen galt, gilt NIS2 für mehr Sektoren. Mit der NIS2 werden auch die Sicherheitsanforderungen für Unternehmen durch eine Mindestanzahl von Elementen zur Basissicherheit, die umgesetzt werden müssen, verändert. Schließlich müssen Sicherheitsrisiken angegangen und eine strengere Durchsetzung von Sicherheitsmaßnahmen durchgesetzt werden. Ziel ist es, im ersten Quartal 2022, eine endgültige Vereinbarung für NIS2 innerhalb der Europäischen Kommission zu haben.

ISO-Zertifizierung 27701

Für den Datenschutz ist auch eine ISO-Zertifizierung sehr interessant. Die ISO27701 besteht seit 2019 und ist ein internationaler Standard für das Datenschutzmanagement, als Erweiterung der ISO-27001. Diese ISO-Zertifizierung beinhaltet ein Privacy Information Management System (PIMS) als Ergänzung zu einem Information Security Management System (ISMS). Dieses System zeigt, wie Sie Ihren Datenschutz organisieren. Eine ISO27701-Zertifizierung legt eine gute Grundlage, um die DSGVO-Gesetzgebung einhalten zu können.

NDIX und Security

Sie wollen wissen, wie NDIX Ihre Benutzerdaten schützt? Dann schauen Sie gerne bei unserer Next Level Security Seite vorbei.

Weitere Artikel und Nachrichten

NDIX: Next Level Connectivity
31 März 2022

Herzlich Willkommen zu unserem neuen NDIX! Zu einem neuen Look gehört auch eine neue Website. Wir sind daher sehr stolz, unsere völlig neu gestaltete Website...

Weiterlesen
Cyberkriminalität und Datenschutz: Trends & Entwicklungen
28 Januar 2022

Für NDIX ist und bleibt Cybersicherheit ein extrem wichtiges Thema und die Integrität privater Daten ein Must. Gesetze verhindern den Missbrauch personenbezogener Daten und Cyberkriminelle...

Weiterlesen
2021 bei NDIX
17 Dezember 2021

2021 konnten wir als Unternehmen trotz aller Coronamaßnahmen viele schöne Dinge erleben. In diesem Artikel listen wir einige dieser Momente auf und gewähren Ihnen sogar...

Weiterlesen