In diesem Blogbeitrag wird kurz erklärt, weshalb Daten ein wertvolles Gut sind, welche Folgen Datenlecks oder Cyber-Attacken haben können und wie Kundendaten bestmöglich mit passender Cyber-Security geschützt werden.
Daten werden als wichtigste Währung der digitalen Welt bezeichnet. Sie erlauben es Unternehmen, die Kundenbindung zu vertiefen und den Marktanteil zu erhöhen. Gleichzeitig sorgen Hackerangriffe und Datendiebstähle regelmässig für Schlagzeilen. Der Twitter-Hack beispielsweise gab diesen Monat auf sozialen Medien, in News-Redaktionen und am Stammtisch zu reden. Die Angreifer konnten persönliche Informationen wie E-Mail-Adressen und Telefonnummern sowie möglicherweise weitere vertrauliche Informationen der betroffenen Twitter-Nutzer einsehen. Es ist davon auszugehen, dass Twitter noch lange mit den Folgen des Hacks zu kämpfen haben wird. Politiker und Journalisten verlangen nun nach umfassenden Abklärungen und fordern, dass Twitter zur Rechenschaft gezogen wird. Cyber-Attacken können Kosten in Millionenhöhe und irreparable Reputationsschäden verursachen. Viele Unternehmen brauchen Jahre, um sich von den Folgen von Hacks und Datendiebstählen zu erholen, da das Vertrauen der Kunden langfristig zerstört ist. Daher ist es zentral, dass ihr sensible Kundendaten bestmöglich vor unerlaubten Zugriffen durch Cyber-Kriminelle schützt.
Fokus Cyber-Security: Darum sind Daten so wertvoll
Daten sind allgegenwärtig, existieren in verschiedenen Formen, und kreieren kombiniert Muster. Werden diese Muster mit anderen Datenquellen vernetzt, bilden sich wiederum Cluster. Es wird davon ausgegangen, dass die Datenmenge künftig exponentiell zunehmen wird. Ohne passende Auswertungen und Analysen sind Daten nur wenig wert; sie müssen in einen Kontext gestellt werden, um für Unternehmen Wert zu stiften. Dabei werden grosse Datenmengen unabhängig von Quelle und Format verarbeitet. Die richtigen Daten und Muster helfen dabei, geschäftskritische Entscheidungen zu treffen. Datenwissenschaftler sind überzeugt, dass Unternehmen in allen Branchen von der zielgerichteten Datennutzung profitieren könnten.
Personalisierte Werbeanzeigen, die Differenzierung von Stammkunden und Erstbesuchern im Online-Shop oder Ausloten des Marktpotenzials für eine neue Idee: Kundendaten ermöglichen es Unternehmen, die Beziehung zu ihren Kunden laufend zu vertiefen und verbessern, das Angebot zu erweitern sowie den Marktanteil zu erhöhen. Hat ein Unternehmen Zugang zu einer repräsentativen Menge an Nutzerdaten, steigen die Chancen, sich erfolgreich auf dem Markt zu positionieren. In einer 2019 durchgeführten Umfrage des Beratungsunternehmens Deloitte gaben 96 Prozent der Befragten an, dass Datenanalysen in Zukunft in ihren Organisationen eine wichtigere Rolle spielen werde. Knapp die Hälfte aller Befragten (49 Prozent) glauben, dass der grösste Vorteil von Datenanalysen die Fähigkeit zur informierten Entscheidungsfindung ist. Fast zwei Drittel der Untersuchungsteilnehmer sagten, dass Datenanalyse eine zentrale Rolle bei der Weiterentwicklung der Geschäftsstrategie spielt.
Unternehmensinterne Daten sind jedoch nicht nur für den entsprechenden Betrieb wertvoll. Mithilfe eurer Kundendaten könnten Mitbewerber Einblicke in die Bedürfnisse der Zielgruppe gewinnen, ihr Angebot verbessern und den eigenen Marktanteil vergrössern – indem sie euch Kunden abwerben. Cyber-Kriminelle haben es auch oft auf Kreditkartendaten abgesehen. Gemäss dem Schweizerischen Datenschutz- und Öffentlichkeitsbeauftragten können grundsätzlich alle personenbezogenen Daten sensibel und somit schützenswert sein.
Wieso Cyber-Security entscheidend für den Unternehmenserfolg ist
Unternehmen müssen die Sicherheit aller gespeicherten personenbezogenen Daten garantieren. Sowohl Mitarbeiter- als auch Kundendaten gilt es bestmöglich zu schützen. Werden diese Daten versehentlich oder absichtlich kompromittiert und stellt sich nach dem Cyberangriff oder dem Datenleck heraus, dass das betroffene Unternehmen keine geeigneten Sicherheitsmassnahmen ergriffen hatte, drohen möglicherweise Bussen und Sanktionen. Wie eingangs erwähnt, fordern Journalisten und Politiker nach dem Twitter-Hack beispielsweise umfassende Abklärungen und Antworten des Kurznachrichtendienstunternehmens. Einige Medien gingen sogar so weit, von einer «globalen Sicherheitskrise» oder einem «präzedenzlosen Cyber-Angriff» zu reden.
Das Schweizer Datenschutzgesetz (DSG) sieht Strafbestimmungen vor, allerdings nur bei vorsätzlichen Verletzungen der Auskunfts-, Melde und Mitwirkungspflichten sowie der beruflichen Schweigepflicht. Das DSG wird momentan überarbeitet. Mit der Revision sollen mehr Transparenz geschaffen und die Mitbestimmungsrechte von betroffenen Personen gestärkt werden. Der Entwurf zur Revision lehnt sich stark an die EU-Datenschutz-Grundverordnung (DSGVO) an. Unternehmen mit Kunden im EU-Raum unterstehen bereits heute der DSGVO, wobei für die effektive Durchsetzung des Datenschutzrechts seit 2018 weitaus höhere Bussgelder als zuvor möglich sind. Cyber-Attacken können Kosten in Millionenhöhe, irreparable Reputationsschäden verursachen und Strafuntersuchungen verursachen. Viele Unternehmen brauchen Jahre, um sich von den Folgen von Hackerangriffen oder Datendiebstahl zu erholen und für nicht wenige Betriebe bedeuten Cyber-Attacken das Aus. «Die Informationstechnologie macht bekanntlich gewaltige Fortschritte, so dass es möglich ist, enorme Mengen von Personendaten zu erfassen und miteinander in Verbindung zu setzen. Leider hält das Sicherheitsbewusstsein der Datenbearbeiter oft nicht mit den technischen Neuerungen Schritt», schreibt der Schweizerische Datenschutz- und Öffentlichkeitsbeauftragte dazu.
So können Kundendaten geschützt werden
Wie oben beschrieben, können Datenlecks oder Cyber-Attacken auf Unternehmen hohe Kosten und Reputationsschäden verursachen. Unternehmen sollten ihr Konzept für Cyber-Security regelmässig auf mögliche Schwachstellen hin überprüfen. Führt alle relevanten Updates der Security-Software durch und stellt sicher, dass stets die neueste Version im Einsatz ist. Bei der Zusammenarbeit mit einem IaaS-Provider kümmert sich in der Regel der externe Partner um die Sicherheit der IT-Umgebung, führt Updates durch und übernimmt das Monitoring und Reporting verdächtiger Aktivitäten.
Bei der Wahl eines IT-Infrastruktur-Providers sollte aus Datenschutzgründen auch der Unternehmensstandort berücksichtigt werden. In Zeiten von Datenlecks und immer perfideren Hackerangriffen möchten wohl die meisten Unternehmen und deren Endkunden wissen, wo ihre Daten gespeichert werden. Die meisten Hyperscaler wie Amazon oder Microsoft haben ihren Hauptsitz in den USA, wo der Zugriff auf Unternehmensdaten mittels des Patriot Acts ohne richterliche Kontrolle praktiziert wird. In der Schweiz hingegen ist dies nicht erlaubt. Laut dem Schweizerischen Datenschutz- und Öffentlichkeitsbeauftragen soll der Datenschutz gewährleisten, dass in jedem Fall die Verhältnismässigkeit beachtet wird. Dies heisst, dass immer nur so viele persönliche Daten wie nötig und so wenig persönliche Daten wie möglich gesammelt und bearbeitet werden, und dass man als betroffene Person die Möglichkeit hat, die Bearbeitung der Daten über sich so weit wie möglich zu kontrollieren und notfalls zu verhindern.
Fazit
Personenbezogene Daten sind in der digitalen Welt eines der wertvollsten Güter. Cyber-Attacken und Datenlecks können verheerende Folgen haben und die Konsequenzen reichen von finanziellen Einbussen über Strafverfolgung bis hin zu Reputationsverlusten. Unsere Cyber-Security- und Datenschutz-Experten raten Unternehmen aller Grössen dazu, ihr Security-Konzept regelmässig zu überprüfen. So können allfällige Schwachstellen entdeckt und behoben werden. Bei der Zusammenarbeit mit einem IaaS-Provider kümmert sich in der Regel der externe Partner um die Sicherheit der IT-Umgebung.
Der Unternehmensstandort spielt eine wichtige Rolle bei der Wahl eines IT-Infrastruktur-Providers. Lokale Provider befolgen Schweizer Datenschutzgesetze und können dadurch höchste Datensicherheitsstandards garantieren. Unsere Infrastruktur befindet sich in Rechenzentren in den Kantonen Aargau und Zürich und sämtliche Kundendaten unterliegen dem Schweizer Datenschutzgesetz. Xelon erhielt im Juli 2020 die ISO-Zertifizierung 27001. Dabei handelt es sich um die international führende Norm für Informationssicherheits-Managementsysteme und um die wichtigste Cyber-Security-Zertifizierung.
Michael Dudli