Security-by-Default: So schützen Sie Ihr Unternehmen mit Standardeinstellungen

Ob Personalmanagement, ESG-Reporting oder einfach nur das Zeiterfassungssystem für die Mitarbeitenden: Kaum ein Betrieb kommt heute ohne Software aus. Bei der Wahl des passenden Tools achten Unternehmen häufig vorrangig auf Funktionen und Preis. Doch ebenso wichtig ist es, mit Security-by-Default und Security-by-Design von Anfang an auf Risiken und Angriffe vorbereitet zu sein. Nur so lassen sich Datenschutz und Datensicherheit im Unternehmen vollumfänglich umsetzen - und Organisationen vor hohen Kosten aufgrund erfolgreicher Cyberattacken schützen.

Security-by-Default oder Security-by-Design? Das ist der Unterschied

Wenn es um die Sicherheit von Software geht, kommen IT-Verantwortliche nicht um die Begriffe Security-by-Default und Security-by-Design herum. Beide Ansätze sorgen dafür, dass Programme gewisse Sicherheitseinstellungen enthalten. Das schützt vor digitalen Angriffen. Doch was genau steckt hinter den beiden Begriffen?

Security-by-Default: Standardmäßig sicher

Security-by-Default heißt übersetzt “Sicherheit durch Voreinstellung“ oder auch „standardmäßige Sicherheit“. Bei diesem Konzept programmieren Hersteller ihre Software so, dass die Standardeinstellungen die sichersten Einstellungen sind, die möglich sind. Die Nutzer müssen sich selbst nicht um die Sicherheit kümmern, sondern bemerken im besten Fall nichts von den integrierten Sicherheitsbausteinen. Eine gängige Standardeinstellung bei Mailprogrammen ist beispielsweise das automatisierte Abfangen von Phishing-Mails oder Schadsoftware. Auch das Einloggen via Zwei-Faktor-Authentifizierung ist ein Beispiel für vorab eingestellte Schutzfunktionen.

Produkte, die nach Security-by-Default konzipiert sind, schützen demnach automatisch vor vielen gängigen Cyberbedrohungen und Schwachstellen. Will ein Nutzer die Standardeinstellungen ändern, wird er in der Regel vom System gewarnt, dass dies zu Sicherheitslücken führt. Das sorgt für mehr Datensicherheit im Unternehmen und kostet nicht zusätzlich.

Damit Security-by-Default bestmöglich wirkt, gilt es, das Konzept nicht nur auf Produkt- und Technologie-Ebene umzusetzen. Auch Prozesse, Abläufe und Infrastrukturen sollten von den Herstellern einbezogen sein.

Ebenso wichtig ist es, weitere Aspekte guter Software bei der Entwicklung sicherer Standards im Blick zu haben:

• Sichere Standardeinstellungen sollten die Benutzerfreundlichkeit nicht (zu sehr) einschränken.
• Wichtige Funktionen dürfen nicht blockiert werden.
• Die Software sollte mit anderen Tools kompatibel bleiben.

Security-by-Design: Sicher durch die Entwicklung

Security-by-Design lässt sich mit “Sicherheit durch Design“, „Sicherheit durch Technik“ oder „Sicherheit durch Gestaltung“ übersetzen. Bei diesem Konzept geht es darum, dass Hersteller von Anfang an mögliche Sicherheitslücken ihrer Software im Blick haben und ihre Produkte entsprechend sicher entwickeln.

Das bedeutet: Bereits während der Entwicklung des Produkts werden Schwachstellen identifiziert und passende Schutzmaßnahmen durchgeführt. Hierzu zählen beispielsweise Verschlüsselung und Authentifizierung – also die Notwendigkeit von Passwörtern. Dadurch wird Software weniger anfällig für Cyberattacken und andere digitale Sicherheitsrisiken.

Software, die mit Security-by-Design entwickelt wurde, ist demnach bei Markteintritt bestmöglich auf Bedrohungen vorbereitet. Das hilft, Angriffe abzuwehren, entlastet das IT-Team und beugt im besten Fall hohen Folgekosten vor.

So wird Software DSGVO-konform

Security-by-Default und Security-by-Design sorgen für mehr Datensicherheit im Unternehmen. Das ist wichtig, um Cyberangriffe zu verhindern. Ebenso elementar ist allerdings der Aspekt Datenschutz. So schreibt Artikel 25 der Datenschutz-Grundverordnung (DSGVO) Softwareherstellern vor, dass sie auch datenschutzrechtliche Punkte bei der Entwicklung ihrer Produkte beachten müssen. Das bedeutet vor allem: Es sind möglichst wenig personenbezogene Daten wie Namen, E-Mail-Adressen und Telefonnummern zu verarbeiten.

Im Zuge dieser Vorgaben und angelehnt an Security-by-Design und Security-by-Default sind zwei neue Konzepte entstanden: Privacy-by-Design und Privacy-by-Default – also „Datenschutz durch Design“ und „Datenschutz durch Voreinstellung“. Privacy-by-Design verfolgt dementsprechend den Ansatz, Fragen des Datenschutzes in die gesamte Entwicklung einer Software einzubeziehen. Bei Privacy-by-Default geht es darum, dass die Standardeinstellungen eines Programms automatisch die Privatsphäre des Nutzers schützen.

Datensicherheit im Unternehmen: Wieso jede Software standardmäßig sicher sein sollte

Rund 203 Milliarden Euro – so hoch ist der Schaden, der deutschen Unternehmen jährlich etwa durch Diebstahl von IT-Ausrüstung und Daten, Spionage und Sabotage entsteht. Das geht aus einer Studie des Digitalverbands Bitkom für das Jahr 2022 hervor. Nur vier Jahre zuvor, 2018, lag dieser Wert bei 103 Milliarden Euro. Allein diese Steigerung um fast 100 Prozent zeigt, wie wichtig das Thema Datensicherheit im Unternehmen ist.

Hinzu kommen weitere Details der Studie: 84 Prozent der befragten Unternehmen waren 2022 von Cyberangriffen betroffen, weitere neun Prozent gehen davon aus, attackiert geworden zu sein. Das bedeutet, dass etwa neun von zehn befragten Unternehmen IT-Sicherheitslücken haben. Ein Punkt, an dem Konzepte wie Security-by-Default ansetzen.

Die Ergebnisse sind branchen- und abteilungsunabhängig. Ob Wohn- und Immobilienwirtschaft, Baubranche oder Industrieunternehmen, ob HR-Abteilung, Controlling oder Kundendienst – sie alle können gleichermaßen betroffen sein.

Diesen Risiken setzen sich Unternehmen aus

Wer Software nutzt, die nicht nach den Konzepten Security-by-Default und/oder Security-by-Design konzipiert wurde, setzt sich unnötigen Risiken aus. Laut der Bitkom-Studie stehlen Hacker vor allem folgende Daten:

• Kundendaten, Lieferanteninformationen oder andere Daten Dritter
• Kommunikationsdaten wie E-Mails
• Business-Informationen
• Cloud-Zugangsdaten
• Marktanalysen
• (personenbezogene) Daten von Mitarbeitenden
• Geistiges Eigentum wie Patente
• Finanzdaten wie Kontoinformationen oder Finanzflüsse

Die Sicherheitslücken sind Einfallstore für Hacker weltweit, die teils immensen Schaden anrichten können:

• Erpressung
• Reputationsverlust
• Bußgelder
• Verletzung der Datenschutzgrundverordnung (DSGVO)
• Wettbewerbsnachteile
• Ausfall von Betriebs- und Produktionszeiten, sprich Stillstand

Die Vorteile von Security-by-Default

Zahlreiche Beispiele zeigen mittlerweile, dass eine Firewall und ein Anti-Viren-Programm Unternehmen nicht ausreichend vor Cyberangriffen schützen. Auch die konkrete Ausgestaltung der genutzten Programme mit Konzepten wie Security-by-Default ist entscheidend, um Sicherheitslücken zu schließen.

Sind die Standardeinstellungen einer Software automatisch auf dem sichersten Niveau, das möglich ist, bringt das einige Vorteile für die Datensicherheit im Unternehmen:

• Abschirmen der Mitarbeitenden vor Sicherheitsrisiken
• Schutz der Mitarbeitenden und Daten
• Automatische Ausführung wichtiger sicherheitsrelevanter Vorgänge wie beispielsweise die Verschlüsselung von Daten
• Weniger Sicherheitslücken und Einfallstore für Hacker
• Größeres Vertrauen der Kunden und besseres Image
• Geringere IT-Kosten, da weniger Schwachstellen im Nachhinein ausgebessert werden müssen
• Weniger Produktionsausfälle
• Rundum mehr Sicherheit

Security-by-Default – ja oder nein? So finden Sie heraus, ob Ihre Software sicher ist

Ihnen ist nun bewusst, dass Ihr Unternehmen beim Thema Software nicht auf Security-by-Default verzichten kann. Doch wie finden Sie heraus, ob die Programme, die Sie bereits nutzen oder die Sie anschaffen möchten, entsprechend sichere Standardeinstellungen haben? Unsere Checkliste hilft Ihnen bei der Analyse:

1. Basiert Security-by-Default auf Security-by-Design?

Damit die Standardeinstellungen eines Programms so sicher wie möglich werden, sollte seine Entwicklung auf dem Konzept Security-by-Design basieren. So ist dafür gesorgt, dass mögliche Sicherheitslücken bereits von Beginn an bedacht und entsprechende Vorkehrungen in die Software integriert wurden. Zudem zeugt dieser Ansatz von einem hohen Sicherheitsbewusstsein des Herstellers.

2. Lassen sich die Sicherheitsfunktionen leicht einstellen?

Wenn Sie die neue Software im Unternehmen ausrollen, sollten die Standardeinstellungen direkt einsatzbereit sein – ohne langwierige Konfiguration. Eine Ausnahme sollte es lediglich dann geben, wenn noch etwas wegen des unternehmenseigenen IT-Systems individuell anzupassen ist.

Tipp: Wenn Sie testen möchten, ob Ihre bereits installierte Software standardmäßig die sichersten Einstellungen enthält, versuchen Sie einmal, die Einstellungen zu ändern. Viele Programme, die auf Security-by-Default beruhen, warnen automatisch, wenn Sie die Standardeinstellungen ändern.

3. Können Endnutzer die Software und ihre Sicherheitseinstellungen einfach bedienen?

Auch wenn Software für die Datensicherheit im Unternehmen nach dem Konzept Security-by-Default entwickelt werden sollte: Ebenso gilt es, die Bedienbarkeit nicht komplett außen vor zu lassen. Auch Mitarbeitende, die sich wenig mit Technik auskennen, sollten das Programm einfach und sicher bedienen können. Neben einer nutzerfreundlichen Oberfläche bedeutet das auch: Außer den Administratoren sollte in einem Unternehmen niemand die sicherheitsrelevanten Einstellungen einer Software ändern können – weder bewusst noch unbewusst.

4. Stellt der Hersteller regelmäßige Updates und Audit-Protokolle zur Verfügung?

Auch wenn Hersteller bereits während der Entwicklung mögliche Sicherheitslücken schließen und dies in den Standardeinstellungen hinterlegen: Die digitale Welt verändert sich täglich, immer wieder tauchen neue Bedrohungen auf. Es ist daher auch bei Security-by-Default unerlässlich, dass Softwarehersteller regelmäßige Updates zur Verfügung stellen.

Eine weitere sicherheitsrelevante Service-Leistung von Herstellern sind Audit-Protokolle. In diesen werden potenzielle Sicherheitsvorfälle protokolliert und dem Kunden zur Verfügung gestellt.

5. Ist die Software Security-by-Default-zertifiziert?

Ein gesetzlich verbindliches Sicherheitskennzeichen für Software gibt es aktuell weder in Deutschland noch in der EU. Trotzdem gibt es freiwillige Zertifizierungen, an denen sich Unternehmen orientieren können. Hierzu zählt in Deutschland das IT-Sicherheitskennzeichen des Bundesamts für Sicherheit in der Informationstechnik (BSI). Das Kennzeichen orientiert sich an etablierten Grundstandards, die unter anderem die Konzepte Security-by-Design und Security-by-Default fördern.

Security-by-Default: Das Wichtigste auf einen Blick

IT-Sicherheit wird für Unternehmen jedes Jahr wichtiger. Das zeigen die jährlich höhere Anzahl an Cyberangriffen und die dadurch steigenden Kosten deutlich. Zwei bewährte Konzepte für sichere Software sind Security-by-Design und Security-by-Default. Sie berücksichtigen zum einen jegliche Sicherheitslücken bereits bei der Entwicklung. Zum anderen sorgen sie für möglichst sichere Standardeinstellungen. Dadurch können Unternehmen sich vor Cyberattacken, Diebstahl und den negativen Konsequenzen wie hohen Bußgeldern, Imageverlust oder Produktionsausfällen schützen.