Der Albtraum jedes Geschäftsführers: Wenn Kundeninformationen verloren gehen
Das digitale Zeitalter bringt neben neuen Chancen auch neue Risiken mit sich. Das gilt für private Belange ebenso wie für berufliche. Und auch Geschäftsführer müssen sich heute mit Herausforderungen auseinandersetzen, die ihre Vorgänger in den letzten Jahrzehnten des vergangenen Jahrtausends noch nicht kannten. Viele dieser Sorgen hängen mit sensiblen Informationen wie Kundendaten zusammen. Gehen diese verloren, kann das zum Albtraum werden, der neben einem Vertrauensverlust schwere finanzielle und rechtliche Konsequenzen nach sich ziehen und im Extremfall die wirtschaftliche Existenz bedrohen kann. Umso wichtiger ist es, auf solche Sicherheitsvorfälle vorbereitet zu sein. In diesem Artikel zeigen wir auf, wie in 5 Schritten die Auswirkungen eines Datenverlusts minimiert werden können.
Schritt 1: Sich einen Überblick über die Situation verschaffen
Es geht dabei nicht um eine detaillierte Analyse, die an dieser Stelle zu viel wertvolle Zeit kosten würde, sondern darum, sich einen ersten Überblick zu verschaffen, was passiert ist und welche Schäden bereits erkennbar oder absehbar sind. Dieses Vorgehen gilt nicht nur für Datenverluste, sondern generell für sämtliche Vorfälle im Bereich der Sicherheit, die über der Geringfügigkeitsschwelle liegen.
Schritt 2: Experten kontaktieren
Sobald grundlegende Informationen gesammelt werden konnten und eine erste Lageeinschätzung vorliegt, gilt es, eine entscheidende Frage zu beantworten: Kann das Unternehmen die Krise aus eigener Kraft bewältigen oder wird die Unterstützung externer Spezialisten benötigt? Bei Vorfällen, in denen der Verlust von Daten eine Rolle spielt wie zum Beispiel Cyberangriffen oder umfassenden Hardware-Fehlfunktionen, kommen vor allem Spezialisten für Incident Response und Datenrettung in Frage.
Welches Unternehmen die beste Wahl darstellt, hängt vom konkreten Vorfall und den Gegebenheiten vor Ort ab. So macht es beispielsweise einen Unterschied, ob es sich um eine QNAP NAS Datenwiederherstellung in der Folge eines Ransomware-Angriffs handelt, oder ob durch Anwendungsfehler die logische Struktur einer SSD zerstört wurde. Beide Situationen erfordern eine gesonderte Herangehensweise und spezifisches Fachwissen. Auf den Websites professioneller Datenrettungsdienstleister finden sich ausführliche Informationen dazu, für welche Art von Vorfällen jeweils Unterstützung angeboten werden kann.
Sind im Unternehmen selbst ausreichende Ressourcen für die Bewältigung der Situation vorhanden, kann direkt zu Schritt 3 übergegangen werden.
Schritt 3: Rechtliche Vorgaben einhalten
Gehen Kundeninformationen verloren, ist das – unabhängig von den konkreten weiteren Umständen – keine Lappalie. Es handelt sich vielmehr um einen schwerwiegenden Sicherheitsvorfall, bei dem Unternehmen rechtliche Vorgaben einhalten müssen. Dazu gehört unter anderem, dass Betroffene innerhalb eines festgelegten Zeitraums über den Vorfall informiert werden. Wie die Kommunikation abzulaufen hat und was aus rechtlicher Sicht noch berücksichtigt werden muss, sollte im Vorfeld im Rahmen eines Notfallplans mit Datensicherungs- und Wiederherstellungskonzept verbindlich festgehalten worden sein, sodass im Ernstfall keine Zeit mit Recherche und Zuständigkeitsklärungen verschwendet werden muss. Auch weitere Maßnahmen zur Schadensbegrenzung sollten in ein solches Konzept einfließen. Umso mehr Klarheit über die zu bewältigenden Aufgaben bei allen Beteiligten von der Geschäftsführung über die IT bis hin zum Kundendienst herrscht, desto höher stehen die Chancen, eine Krise souverän zu meistern.
Schritt 4: Vorfall ausführlich dokumentieren
Auch wenn es direkt nach einem Sicherheitsvorfall im Unternehmen viel Arbeit gibt: Die Dokumentation aller Erkenntnisse und durchgeführten Maßnahmen darf nicht vernachlässigt werden. Jeder einzelne Schritt aus diesem Artikel sollte sich beispielsweise am Ende auch in der Dokumentation wiederfinden.
Eine ausführliche Dokumentation von Sicherheitsvorfällen wie verloren gegangenen Kundeninformationen ist aus zwei Gründen von zentraler Bedeutung. Zum einen sind die gesetzlichen Anforderungen in dieser Hinsicht streng. Zum anderen gehen diese Regularien aber auch Hand in Hand mit dem eigenen unternehmerischen Interesse. Nur was jetzt erkannt und festgehalten wird, kann zur Vorbeugung gegen künftige Vorfälle genutzt werden. Dank der technischen Innovationen der letzten Jahre gestaltet sich die Dokumentation von Sicherheitsvorfällen einfacher denn je. Wir können schließlich einfach automatisierte Systeme nutzen, um relevante Daten in Echtzeit zu erfassen und weiterzuverarbeiten. Ferner besteht die Möglichkeit, Daten zentral zu speichern und mit Zugriffsberechtigungen gezielt an die richtigen Personen weiterzugeben.

Schritt 5: Datensicherungs- und Wiederherstellungskonzept aktualisieren
Es ist in Schritt 3 bereits angeklungen: Jedes mittelständische und große Unternehmen sollte ein Datensicherungs- und Wiederherstellungskonzept haben, in dem festgelegt ist, wie im Falle eines Datenverlusts oder vergleichbaren Sicherheitsvorfalls agiert werden muss. Aber auch kleinere Unternehmen und sogar Freiberufler können von einem solchen Konzept profitieren – natürlich in einer reduzierten, auf die jeweiligen Bedürfnisse angepassten Variante. Dazu können auch sogenannte Playbooks gehören, die detaillierte Schritte für verschiedene Szenarien definieren. Nach einem Vorfall, bei dem Kundeninformationen abhandengekommen sind, sollte das Datensicherungs- und Wiederherstellungskonzept unbedingt aktualisiert werden. So kann ein Sicherheitsvorfall letztlich zu einer positiven, das Unternehmen auf nachhaltige Art und Weise verändernden Erfahrung werden.
Fotos: kubais, Andrii, Arjuna Kodisinghe @stock.adobe.com