Wenn wir mit kleineren Unternehmen über den Schutz ihrer Daten vor Verlust und Diebstahl sprechen, hören wir häufig „Wir haben keinen Bedarf, unser Netzwerk ist geschützt“. Netzwerkschutz ist ausgesprochen sinnvoll, aber darum geht es beim Schutz der Daten nicht, jedenfalls nicht nur. Netzwerkschutz soll in erster Linie verhindern, dass Unbefugte hineingelangen ins Unternehmensnetz. Der Klassiker unter den Lösungen ist die Firewall, die die Verbindungen zwischen dem lokalen Netzwerk und dem Internet kontrolliert und alle nicht zugelassenen Verbindungen blockiert.
Aktivitäten von Personen, die berechtigterweise, zum Beispiel als Mitarbeiter, Zugriff auf das Netzwerk haben, werden von Lösungen für den Netzwerkschutz nicht erfasst. Diese Personen können dann mit den Daten machen, was sie wollen: zum Beispiel auf USB-Sticks kopieren und mitnehmen, per E-Mail verschicken, in Cloud-Speicher laden oder ausdrucken. Das sollen sie auch tun können, aber mit personenbezogenen Daten und denen, die für das Unternehmen existenziell sind, sollten sie das ausschließlich im Rahmen ihrer Aufgaben und über vom Unternehmen freigegebene Kommunikationswege tun können. Wenn denn schon Mitarbeiter beispielsweise von zu Hause aus mit sensiblen Daten arbeiten müssen, sollten die Daten nicht per USB-Stick dorthin geschafft werden. Das ist vordergründig der für das Unternehmen kostengünstigste Weg, aber eben auch der riskanteste. Selbst wenn Verschlüsselung die Daten schützt, falls der Stick abhandenkommt, bleibt das Risiko, dass der Rechner zuhause gehackt ist oder wird oder Familienmitglieder die Daten einsehen können.
Wenn man die Perspektive ändert und statt des Netzwerks die Daten in den Fokus nimmt, wird schlagartig klar: Die Bedrohungslage verändert sich, denn jetzt stellen nicht nur Eindringlinge von außen ein Risiko dar, sondern darüber hinaus jeder einzelne Mitarbeiter mit Datenzugriff, vom Praktikanten bis zur Geschäftsleitung. Es geht nicht darum, Mitarbeitern kriminelle Absichten zu unterstellen, sondern darum, sensible Daten zu schützen. Und da können ein Fehler bei der Bedienung einer Anwendung, mangelnde Umsicht beim Umgang mit den Daten, fehlendes Wissen um den Stellenwert der Daten, Uneinsichtigkeit in notwendige Änderungen bei den Arbeitsabläufen oder die mit der IT nicht abgestimmte Benutzung von Anwendungen genau dieselben Folgen haben wie ein Hackerangriff.
Der Datenschutzbehörde ist es egal, ob ein Datenvorfall durch „friendly fire“ zustande gekommen ist oder durch einen cyberkriminellen Akt. Für sie zählt allein der Umstand, dass ein Unternehmen Daten verloren hat. Dass es unterlassen hat, gängige Bedrohungen vorausschauend zu erkennen und einem möglichen Datenvorfall mit angemessenen Schutzvorkehrungen vorzubeugen, kommt erschwerend hinzu.
