Schwerpunkte

CRN-Interview

»Unternehmen fehlen Strategien, Daten zu monetarisieren«

03. Februar 2020, 15:13 Uhr   |  Michaela Wurm | Kommentar(e)


Fortsetzung des Artikels von Teil 2 .

Wie Unternehmen sich schützen können

Stefan Krüger, EY Law
© EY Law

Stefan Krüger ist Rechtsanwalt und Partner bei EY Law. Er leitet den Bereich Digitales Recht in Deutschland, Österreich sowie in der Schweiz.

CRN: Wie können Unternehmen sich selbst schützen?
Krüger: Unternehmen sollten ihre Daten so gut es geht mit den ihnen zur Verfügung stehenden Werkzeugen schützen. Auf rechtlicher Seite bedeutet das, einerseits eine umfassende vertragliche Absicherung mit denjenigen zu schaffen, die an der Generierung der Daten beteiligt sind. Es sollte klar geregelt sein, inwieweit das Unternehmen die Daten nutzen darf. Bei Konzernen sind darüber hinaus konzerninterne Regelungen zu treffen, welche Konzerngesellschaft die Daten hält und inwieweit verbundene Unternehmen Zugriff auf die Daten erhalten. Diese konzerninterne Betrachtung ist vor allem aus steuerlichen Gesichtspunkten relevant. Andererseits muss auch eine Regelung für die Weitergabe an dritte Unternehmen getroffen werden. Dabei müssen der Umfang und die Nutzung genau spezifiziert werden. Kurz gesagt: Ohne Verträge sind die Daten nicht geschützt. Damit droht auch der wirtschaftliche Totalverlust des Datenbestands.

CRN: Und welche Verteidigungsmechanismen gibt es in technischer Hinsicht?
Riedel: Unternehmen sollten ihre Widerstandsfähigkeit im Hinblick auf unterschiedliche Bedrohungsarten verbessern. Das bedeutet für die Unternehmensleitung, sich einen soliden Überblick über ihre Unternehmensdaten und deren Schutzwürdigkeit zu verschaffen – und für die Experten der Cybersicherheit, dass sie diese mindestens im gleichen Maß so flexibel und umfangreich schützen müssen, wie ihre Gegner Angriffe darauf ausführen. Konventionelle Angriffe können häufig schon durch eine geschärfte Sensibilität der Mitarbeiter für Cybersicherheit abgewehrt werden. Daneben unterstützen technische Vorrichtungen wie Firewalls, Antivirussoftware, Systeme zur Erkennung von und zum Schutz vor Eindringlingen sowie Verschlüsselungstechnologien. Unternehmen sollten die Datenintegrität auch in dem Fall schützen, wenn ein Hacker bereits Zugriff darauf hatte.

CRN:Und was können Unternehmen tun, wenn dieser Schutz durchbrochen wird?
Riedel: In diesem Fall sollte ein mehrstufiges Cyber-Response-System greifen. Zunächst gilt es, die Daten entsprechend ihrer Schutzwürdigkeit regelmäßig zu sichern. Einbrüche in das Unternehmensnetz sollten durch das Erkennungssystem möglichst frühzeitig identifiziert werden, um dann Schritte zum Blockieren der Internetzugänge einzuleiten. Darüber hinaus benötigen Unternehmen einen Aktionsplan, der die Isolierung des Angriffs vorsieht, verbunden mit dem Wiederherstellen der Systeme. Auf diesem Weg können Unternehmenslenker ihr Unternehmen bestmöglich vorbereiten und schützen. Auch der Austausch mit anderen Unternehmen oder die Zusammenarbeit mit Behörden wie beispielsweise dem Bundesamt für Sicherheit in der Informationstechnologie kann empfehlenswert und eine gute Ergänzung sein, um negative Auswirkungen von Cyberangriffen zu vermeiden.

Seite 3 von 3

1. »Unternehmen fehlen Strategien, Daten zu monetarisieren«
2. Unklare Gesetzeslage
3. Wie Unternehmen sich schützen können

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Das könnte Sie auch interessieren

Verstoß gegen Datenschutzrecht
Avast will Datenvermarkter Jumpshot schließen
Planet 49 und die Einwilligung in Cookies
Immer mehr Datenpannen werden gemeldet
Hackerangriff auf Lanxess mit mutmaßlichen Verbindungen zu China

Verwandte Artikel

CRN

Computerkriminalität

Datenschutz