NN IP: Datenschutz vs. Datenklau – Sicherheit im Cyberspace und die Folgen für ESG

Tatsächlich vergeht kaum ein Tag ohne Schlagzeilen über eine neuartige Cyber-Bedrohung oder eine massive Datenschutzverletzung. Hacker, Kriminelle und ausländische Regierungen verlagern ihren Aktionsradius – ob Diebstahl, Betrug oder Sabotage – in diese zunehmend vernetzte Welt. 

Durch die Aktionen des amerikanischen Whistleblowers Edward Snowden hat Datenschutz bei Unternehmen jetzt als Frage unternehmerischer Verantwortung höchste Priorität. Snowden hat der Öffentlichkeit vor Augen geführt, in welchem Ausmaß Regierungen die private Kommunikation ihrer Bürger über das Internet belauschen. Konzerne wie Facebook und Google sahen sich urplötzlich an den Pranger gestellt, als sich zeigte, dass sie auf behördliche Anordnungen hin Nutzerdaten an die US-Regierung weitergegeben hatten. 

Glücklicherweise gibt es nicht nur schlechte Nachrichten. Der Cyberspace entwickelt sich kontinuierlich weiter und bietet immer wieder neue Chancen und Gelegenheiten. Unternehmen sind generell für neue Technologien (Stichwort: Internet, Cloud) offen, bedeuten sie doch, dass sich so neue Geschäftskanäle öffnen. Doch sie bringen auch ungeahnte Risiken mit sich. Der Bereich Cybersecurity wächst rapide, und Unternehmen mit genügend Weitsicht, um diese Trends zu nutzen, können sich hier einen deutlichen Vorsprung in puncto Wertschöpfung sichern. 

Stand der Dinge

Datensicherheit – auch Cybersecurity – bezieht sich auf den Schutz von Informationen und Daten (Systemen) vor unbefugtem Zugriff, das schließt auch Nutzung, Weitergabe, Unterbrechung, Verfälschung und Vernichtung ein. Datenschutz bezieht sich demgegenüber auf die rechtmäßige Nutzung von Informationen. Datenschutz bedeutet, dass Daten nur zum beabsichtigten Zweck genutzt und nicht ohne Einwilligung der betroffenen Person an Dritte weitergeben werden. Datensicherheit und Datenschutz werden häufig synonym verwendet. Ohne angemessene Datensicherheitsprogramme lässt sich Datenschutz nicht zuverlässig darstellen. Umgekehrt mag die Datensicherheit technisch und prozessual zuverlässig gesichert sein, doch mangels unzureichender administrativer Maßnahmen haben externe Dienstleister unbefugten Zugang zu den Daten.Die Motive von Cyberkriminellen liegen auf der Hand. Weniger offensichtlich ist, was Hacker antreibt. Als mögliche Motive kommen finanzieller Nutzen durch Betrug, Identitätsdiebstahl oder Missbrauch geistigen Eigentums, politische Gründe oder einfach die Lust am Sabotieren von Wirtschaftsunternehmen in Frage. Ein weitverbreiteter Irrglaube ist, dass die Angreifer Außenstehende seien. Tatsächlich finden diese Angriffe häufig von innen heraus statt: durch gegenwärtige oder ehemalige Beschäftigte, Dienstleister, befugte Nutzer eines internen Systems oder Auftragnehmer. Von diesen Insider-Angriffen bekommen wir in der Regel nichts mit, weil mit ihnen häufig intern verfahren wird und sie daher nicht an die Presse gelangen. Dadurch unterschätzen wir ihre Tragweite.

Die von der Wirtschaftsprüfungsgesellschaft PwC durchgeführte Umfrage 2014 US State of Cybercrime Survey ergab, dass fast ein Drittel der Befragten Insider-Kriminalität als teurer bzw. schädlicher ansieht als von Außenstehenden begangene IT-Attacken. Je größer das Unternehmen, desto wahrscheinlicher werden Insider-Attacken als teurer und schädlicher wahrgenommen. Dennoch gaben nur 49 Prozent der Befragten an, einen Plan für den Umgang mit Insider-Bedrohungen zu haben. Über 500 leitende Angestellte von US-Unternehmen sowie hochrangige Vertreter der Strafverfolgungsbehörden und anderer staatlicher Stellen nahmen an dieser Umfrage teil. Das nachfolgende Diagramm illustriert die Ursachen und Folgen der von Insidern verübten Cyberkriminalität¹.  

Lesen Sie die vollständige Kolummne im PDF-Dokument.