Wie gefährdet sind sensible Kundendaten in einem Unternehmen?

Autovermieter verwalten eine Reihe sensibler Kundendaten in ihren Systemen – leichte Beute für Angreifer, die sie mit einer Veröffentlichung derselben erpressen könnten. Welche Sicherheitslücken bestehen? Wie können sich Unternehmen schützen?

2011 war das Jahr der großen öffentlich gewordenen Hackerangriffe: Sony, Bundespolizei, Rewe und zahllose andere kleine und größere Firmen wurden Opfer von Cyberkriminellen, die es auf die Daten ihrer Kunden abgesehen hatten. Außerdem war laut Kaspersky-Lab fast die Hälfte aller deutschen Unternehmensnetzwerke – darunter auch Autovermieter – schon einmal von Schadsoftware befallen. Ein Viertel der betroffenen Unternehmen erlitten dabei auch einen Datenverlust. Nachdem bei Sony Daten aus 100 Millionen Nutzerkonten entwendet worden sind, sieht sich der Konzern nun Schadenersatzklagen in Milliardenhöhe ausgesetzt, bei Rewe waren rund 50.000 Datensätze mit Namen, Passwörtern und Mail-Adressen betroffen.

Der Imageverlust ist in solchen Fällen nahezu grenzenlos, Schadenersatzansprüche sind keineswegs auszuschließen. Hinzu kommen mögliche Sanktionen durch die Aufsichtsbehörden. In Heller und Cent kostete jeder verlorene Datensatz ein deutsches Unternehmen im Jahr 2009 rund 130 Euro, wie das amerikanische Ponemon-Institut berechnete. Zustande kommen diese Kosten durch Investitionen für die Aufdeckung und Information der Betroffenen und zuständigen Stellen sowie entgangene Umsätze.

Das verdeutlicht den Stellenwert, den Datenschutz eigentlich haben müsste, zumal bei einem Verstoß der Geschäftsführer persönlich in voller Höhe haftet. Insbesondere in der Autovermietbranche sind in der Regel Zahlungsinformationen wie Kreditkartendaten hinterlegt, eine äußerst attraktive Beute. Insgesamt wurden laut Ponemon-Institut Unternehmen aus den Bereichen Automotive und Service etwa im Vergleich zur Energiebranche vergleichsweise oft von Angreifern heimgesucht.

Gefahren drohen intern wie extern

Gefährdet sind die sensiblen Daten in erster Linie durch Angriffe von außen – aber nicht nur. Denn auch immer mehr Mitarbeiter vergreifen sich nach Einschätzung des BITKOM-Präsidenten Prof. Dieter Kempf an den Daten ihrer Arbeitgeber, oftmals würden sie auch als Werkzeug Dritter benutzt. Immerhin gegen letzteres hilft Schulung und Aufklärung, gegen die kriminellen Kräfte im eigenen Unternehmen ist dagegen schwer zu operieren.

Im Wesentlichen sollten Unternehmen ihre Datenbestände prüfen und klassifizieren, nicht benötigte entfernen, andere gegebenenfalls verschlüsselt ablegen und auch die Zugriffsrechte der Mitarbeiter so weit wie möglich beschränken. Um Attacken von außen abzuwehren, helfen einfache Sicherungsstrategien, die eigentlich selbstverständlich sein sollten, es aber keineswegs sind. So verfügt nach einer Studie der Info AG nur jedes dritte aller kleinen und mittelständischen Unternehmen in Deutschland über eine belastbare Sicherheitsstrategie für die Firmen-IT.

WLAN gehört nicht ins Unternehmen

So setzt im Gegenteil immer noch eine große Zahl von Unternehmen einfache DSL-Router für den Internetzugang ein, an die das Firmennetzwerk angeschlossen ist. Eine Virenschutzsoftware bietet an dieser Stelle im Übrigen keinen ausreichenden Schutz. Insbesondere dann, wenn ein WLAN verwendet wird, das ja mittels Funk arbeitet, und dieses nicht per VPN-Tunnel abgesichert wird – was kaum ein Unternehmen macht – haben Cyperkriminelle leichtes Spiel.

„Ein WLAN gehört grundsätzlich nicht in ein Unternehmen“, sagt daher Götz Schartner, Geschäftsführer der 8com GmbH & Co. KG aus Neustadt an der Weinstraße. Sein IT-Sicherheitsunternehmen versucht sich im Auftrag seiner Kunden zu Prüfzwecken in das jeweilige Firmennetz einzuhacken – zumeist mit raschem Erfolg. Hat sich ein realer Hacker erst einmal Zugang zum System verschafft, übernimmt er die vollständige Kontrolle und zwar, ohne dass das Unternehmen etwas davon merkt. Auch die prominenten Datenpannen konnten erst mit erheblicher Zeitverzögerung aufgedeckt werden.

Wenige grundsätzliche Maßnahmen beachten

Ein wenig schwerer macht echten Angreifern ihre Arbeit, wer neben der Auswahl der richtigen Hardware drei wesentliche Punkte berücksichtigt: Egal wie lästig sie erscheinen mögen – alle Updates für das Betriebssystem und sämtliche Anwendungen müssen stets installiert werden, um bereits bekannte Sicherheitslücken zu schließen. Daneben sorgt eine professionelle Firewall – nicht diejenige, die auf dem Router installiert ist – für eine tatsächlichen Schutzwall. An dritter Stelle stehen die mittlerweile bekannten Antivirenprogramme.

Sie schützen nicht nur davor, dass mit Schadsoftware behaftete E-Mails Cyberkriminellen Zugang zum Firmennetz erhalten, sondern auch vor dem so genannten Drive by-Download. Dabei installieren sich die Viren oder Trojaner bereits beim Öffnen einer Website, ohne dass der Nutzer aktiv einen Inhalt downloaden müsste. Grundsätzlich gilt, dass niemand mit Administratorrechten im Internet surfen sollte – unterbleibt dies nämlich, kann sich Malware weitaus weniger auf dem befallenen Rechner verselbstständigen.

Daten - nicht nur auf Festplatten

Um weder durch die eigenen Mitarbeiter noch durch aktive Angreifer Daten zu verlieren, sollten Autovermietunternehmen noch etwas bedenken: Sensible Informationen finden sich nicht nur auf den Firmenfestplatten, sondern noch auf einer ganzen Reihe anderer Geräte. Dazu zählen insbesondere Kopierer und Faxgeräte. Auf deren internen Speichern sammeln sich über die Jahre hinweg Massen aller möglichen Dokumente an – Rechnungen, Meetingprotokolle, Mitarbeiterlebensläufe. Nachhaltig löschen lassen sich diese vor dem Ausmustern der Geräte durch spezielle Löschsoftware.

All diese Probleme machen deutlich, dass Autovermieter der IT-Sicherheit und dem Datenschutz in ihren Firmen eine höhere Priorität einräumen müssen als bislang – die Kosten können andernfalls insbesondere im persönlichen Bereich empfindlich sein. Einfache Maßnahmen schaffen bereits Abhilfe.