Fehlende oder mangelhafte Datensicherung

Eine regelmäßige Sicherung aller Firmendaten ist unerläßlich. Bei einem Hardwaredefekt können die Daten von mehreren Jahren verloren gehen. Die Rekonstruktion anhand von Ausdrucken und sonstigen Unterlagen ist sehr zeit- und kostenintensiv, abgesehen von den auftretenden Behinderungen des normalen Geschäftsbetriebes durch fehlende aktuelle Daten.

Hinweis: Nur durch eine Überprüfung (verify after write) der Datensicherung wird ein evtl. Ausfall der Datensicherung wirksam erkannt. Diese Funktion ist bei allen professionellen Datensicherungssystemen verfügbar, wird aber oft nicht aktiviert.

Die beste Datensicherung nützt nichts, wenn die Sicherungsmedien nicht an einem sicheren Ort gelagert werden. So sind bei einem Brand im Serverraum die dort gelagerten Sicherungsbänder meistens ebenso zerstört.

Schädlingsbefall eines oder mehrer Computersysteme

Eine Infektion selbst nur eines Arbeitsplatzes mit Schädlingen hat in einem Netzwerk weitreichende Folgen und führt zu einer Einschränkung des gewöhnlichen Geschäftsbetriebs. Zur Behebung des Fehlers muss nicht nur der betroffene Arbeitsplatz sondern auch der/die Server sowie die anderen Arbeitsplätze untersucht werden. Dies führt zu einer nicht unerheblichen Bindung von menschlichen Ressourcen.

Zur Vermeidung einer weiteren Schädigung des Unternehmens muss die Verbindung ins Internet sofort gekappt werden und damit werden weitere betriebliche Prozesse behindert. Die Säuberung der betroffenen Systeme muss per Hand von qualifiziertem Personal vorgenommen werden. Zerstörte Daten müssen über die Datensicherung (soweit vorhanden) wiederhergestellt werden. Diese bindet nicht nur IT-Personal, sondern führt auch zu einer Beeinträchtigung der Arbeitsfähigkeit der betroffenen Arbeitsplätze.

Tipp: Neben der Beseitigung des Schädlings und der Wiederherstellung der Daten ist eine Überprüfung des Schadensverlaufs und die Installation geeigneter Gegenmaßnahmen zur künftigen Abwehr dringend angeraten.

Ausspionieren betriebswichtiger Daten

Die Weitergabe betriebswichtiger Daten (Kalkulationsdaten, Einkaufs- und Lieferbedingungen, Kundendaten, Entwicklungsdaten) an Mitbewerber bewirkt in der Regel entscheidende Wettbewerbsnachteile für das betroffene Unternehmen.

Ebenso wirkt sich das Bekanntwerden von Sicherheitslücken negativ auf die Reputation des Unternehmens aus. Auch dadurch kann die Existenz eines Unternehmens gefährdet werden.

Strategische Fehler

• Fehlender Stellenwert der Datensicherheit in der Organisation: Kosten die durch Verlust oder Spionage von Daten entstehen, werden unterschätzt. Es besteht kein Sicherheitskonzept, und es fehlen Sicherheitsrichtlinien.
  
• Der Sicherheitsprozess wird als statische Maßnahme begriffen und nicht als dynamischer Prozess. Daraus resultiert ein mangelndes Sicherheitsbewusstsein. Es findet keine Anpassung des Sicherheitskonzepts an veränderte Rahmenbedingungen statt.
  
• Fehlende Klassifikation der betrieblichen Daten nach Sicherheitsstufen. Dadurch wird ein situationsgerechtes Sicherheitskonzept erst möglich.
  
• Fehlendes Notfallmanagement.

Operative Fehler

• Kein ausreichendes Rechte-Management (wer darf was und wann)
  
• Mangelhafte Implementierung der vorhandenen Sicherheitsfunktionen im Hard- und Softwarebereich durch den Administrator
  
• Nichtbefolgen der Sicherheitsvorgaben und keine Überprüfung derselben (keine Datensicherung, laxer Umgang mit Passwörtern, keine Richtlinien für den Einsatz von Notebooks etc.)
  
• Unzureichende Ausbildung der Mitarbeiter (Administratorfunktion wird oft von Personen nebenbei erledigt, die zudem wenig Ahnung und wenig Zeit haben).
  
• Unzureichende Aufklärung und Verpflichtung der Mitarbeiter bezüglich des Sicherheitskonzepts. Kontrollmechanismen und Aufklärung im Fall von Verstößen fehlen
  
• Schlechte Wartung der IT-Systeme (z. B. fehlende Sicherheitspatches)
  
• Mangelhafte physische Sicherheit (Absicherung der EDV gegen Elementarschäden, Diebstahl, Vandalismus)
  
• Die Umsetzung von Sicherheitsmaßnahmen wird nicht dokumentiert und kontrolliert