Wirtschaftsprüfungsgesellschaften erhalten sehr viele sensible Daten von Kunden und Mitarbeitern. Zu diesen Daten gehören personenbezogene Daten wie Sozialversicherungsnummern, Personalausweisnummern und Adressen, aber auch Finanzdaten wie Bankinformationen und Kreditkartennummern. Diese Kategorien sensibler Daten können die unerwünschte Aufmerksamkeit von Hackern und böswilligen Insidern auf sich ziehen, weshalb sie weltweit durch Datenschutzbestimmungen geschützt sind.
Der Payment Card Industry Data Security Standard (PCI DSS) regelt weltweit den Schutz der Daten von Karteninhabern. Unternehmen, die diesen Standard nicht einhalten, müssen mit Geldbußen von bis zu 100.000 US-Dollar pro Monat und erhöhten Transaktionsgebühren rechnen. Wenn es um personenbezogene Daten geht, können Unternehmen aufgrund von Gesetzen wie der Allgemeinen Datenschutzverordnung der EU (DSGVO) mit Geldbußen von bis zu 23 Millionen US-Dollar oder 4 % ihres weltweiten Jahresumsatzes belegt werden, je nachdem, welcher Betrag höher ist, wenn sie die Vorgaben zum Datenschutz nicht einhalten.
Die Kosten einer Datenpanne können also sehr hoch sein. Laut dem Bericht „2021 Cost of a Data Breach“ von IBM und dem Ponemon Institute können professionelle Dienstleistungen wie Wirtschaftsprüfungsunternehmen durchschnittliche Kosten in Höhe von 4,65 Millionen US-Dollar pro Datenschutzverletzung verursachen, wobei 38 % der Gesamtkosten für Datenschutzverletzungen auf entgangene Geschäfte entfallen. Insbesondere Wirtschaftsprüfungsunternehmen können aufgrund der sensiblen Daten, die sie sammeln und verarbeiten, nach einer Datenschutzverletzung einen massiven Imageschaden erleiden, der zum Verlust des Kundenvertrauens führt und die Neukundengewinnung massiv erschwert.
Daher ist es für Wirtschaftsprüfungsunternehmen sehr wichtig, Sicherheitsmaßnahmen zum Schutz der Kundendaten zu ergreifen. Doch wo können sie mit der Datensicherheit beginnen? Hier sind unsere besten Tipps.
Physische Sicherheit
Beginnen Sie mit den Grundlagen: Beschränkung des Zugangs zu den Räumlichkeiten, in denen sich die Kundendaten befinden. Mit Hilfe von Mitarbeiter-Schlüsselkarten, Besucherprotokollen, Ausweisen und Überwachungskameras kann sichergestellt werden, dass keine unbefugten Personen in ein Büro spazieren und Geräte oder die darauf gespeicherten Informationen stehlen können.
Da die COVID-19-Pandemie in allen Branchen die Möglichkeit des Work from Home eröffnet, müssen Wirtschaftsprüfungsgesellschaften sicherstellen, dass die Geräte, die ihre Mitarbeiter mit nach Hause nehmen, auch physisch gesichert sind. Dies bedeutet, dass Richtlinien für das Home Office eingeführt werden müssen, die den Zugriff Dritter auf die Arbeitsgeräte einschränken.
Wirtschaftsprüfungsgesellschaften sollten auch eine obligatorische Hardwareverschlüsselung für alle Arbeitsgeräte und die Aktivierung von Fernlöschfunktionen einführen, um sicherzustellen, dass bei Verlust oder Diebstahl eines Geräts die darauf befindlichen Daten nicht ohne einen Verschlüsselungsschlüssel abgerufen werden können.
Grundlegende Cybersicherheitsmaßnahmen
Zur Verhinderung von Cyberangriffen sollten Wirtschaftsprüfungsgesellschaften ihr Netzwerk mit einer Firewall schützen und sicherstellen, dass diese mit den neuesten Patches aktualisiert wird. Der Einsatz von Antiviren- und Antimalware-Software trägt dazu bei, Malware-Angriffe und das Öffnen potenziell gefährlicher Dateien oder bösartiger Websites zu verhindern.
Durch die Implementierung einer Zero-Trust-Architektur können Wirtschaftsprüfungsgesellschaften außerdem verhindern, dass sich Cyberangriffe auf ihr gesamtes Netzwerk auswirken. Durch die Verwendung von Regeln für die geringsten Rechte beim Zugriff auf vertrauenswürdige Ressourcen gewährleistet Zero Trust, dass alle Benutzer, Geräte und der Netzwerkverkehr überprüft werden.
Kontrolle sensibler Datenübertragungen
Wirtschaftsprüfungsgesellschaften können Data Loss Prevention (DLP)-Lösungen einsetzen, um die Übertragung von Finanzdaten zu überwachen und zu kontrollieren. Die DLP-Technologie verwendet Definitionen sensibler Daten, wie z. B. personenbezogene Daten und Finanzinformationen, um in Hunderten von Dateitypen mithilfe von kontextbezogenem Scannen und Inhaltsinspektion nach diesen Daten zu suchen. Auf diese Weise können Buchhaltungsunternehmen die Bewegungen aller Dateien, die als sensibel definierte Daten enthalten, identifizieren und überwachen.
Sie können auch Richtlinien anwenden, die die Übertragung solcher Dateien kontrollieren. DLP-Lösungen können die Übertragung sensibler Daten über das Internet blockieren, sei es über E-Mail, beliebte Messaging-Apps oder File-Sharing-Dienste. Sie können verhindern, dass sensible Daten auf Cloud-Speicherdienste hochgeladen oder in den Text von E-Mails eingefügt werden. Auf diese Weise können sich Unternehmen vor der Nachlässigkeit ihrer Mitarbeiter schützen, die eine der Hauptursachen für Datenschutzverletzungen ist.
Sicherung von Wechseldatenträgern
Eine weitere Möglichkeit, wie Finanzdaten nach außen dringen oder verloren gehen können, sind Wechseldatenträger. Mitarbeiter können Finanzdaten auf USB-Sticks oder externe Festplatten kopieren und diese dann aus dem sicheren Unternehmensnetzwerk herausnehmen. Vor allem USB-Speicher sind leicht zu verlieren und zu stehlen und haben in den letzten zehn Jahren zu einer Reihe von großen Datenschutzverletzungen geführt.
DLP-Tools können auch bei diesem speziellen Problem helfen. Die meisten bieten Gerätekontrollfunktionen, mit denen Unternehmen die Verwendung von Peripherie- und USB-Anschlüssen sowie Bluetooth-Verbindungen blockieren oder auf vertrauenswürdige, vom Unternehmen ausgegebene Geräte beschränken können.
Einige Lösungen wie Endpoint Protector gehen noch einen Schritt weiter und bieten eine erzwungene Datenverschlüsselung, die sicherstellt, dass alle Dateien, die auf einen USB-Stick kopiert werden, automatisch mit einer staatlich zugelassenen 256-Bit-AES-CBC-Verschlüsselung verschlüsselt werden. Passwörter können zurückgesetzt werden, falls sie kompromittiert wurden, und USBs können aus der Ferne durch Zurücksetzen des Geräts gelöscht werden. Buchhaltungsunternehmen können so sicherstellen, dass gestohlene oder verlorene USB-Geräte nicht von Dritten eingesehen werden können.
Mitarbeiter schulen
Eine der größten Sicherheitsbedrohungen sind schließlich Phishing-Angriffe, die sich direkt gegen Mitarbeiter richten. Indem sie sie dazu verleiten, einen bösartigen Link aufzurufen oder einen infizierten Anhang herunterzuladen, können Hacker Anmeldedaten stehlen oder Malware in einem Unternehmensnetzwerk installieren. Ransomware-Angriffe werden häufig durch Phishing ausgeführt.
Eine Zero-Trust-Architektur, TPM-Funktionen (Trusted Platform Module) und Anti-Malware-Lösungen können dazu beitragen, dass Phishing-Angriffe keinen allzu großen Schaden anrichten. Indem sie ihre Mitarbeiter darüber aufklären, worauf sie achten müssen und wie sie im Falle eines Angriffs reagieren sollten, können Unternehmen das Bewusstsein für Phishing-Angriffe schärfen und ihren Mitarbeitern die besten Sicherheitspraktiken für den Umgang damit vermitteln.