Im Mai 2025 meldete das Office of the Australian Information Commissioner (OAIC), dass ihm im Jahr 2024 1.113 Datenlecks gemeldet wurden. Diese neuesten Zahlen deuten auf einen Anstieg um 25 % im Vergleich zu den 893 Datenlecks hin, die 2023 in Australien gemeldet wurden. Dies war die höchste jährliche Gesamtzahl, seit die Meldung von Datenlecks im Rahmen des Notifiable Data Breaches (NDB)-Schemas im Jahr 2018 obligatorisch wurde.

Diese Zahlen sind eine deutliche Mahnung für Unternehmen in Australien und darüber hinaus, ihre Cybersicherheitsmaßnahmen zu verstärken, um nicht in die Schlagzeilen zu geraten. Immer mehr Unternehmen setzen auf ein „Digital First“-Betriebsmodell und nutzen eine Vielzahl von Systemen und Anwendungen, um ihre Geschäfte zu führen. Heutzutage sind nicht nur Büromitarbeiter mit Laptops und Computern ausgestattet; Tablets und mobile Geräte werden von Mitarbeitern in Krankenhäusern, Geschäften, Fabriken und Industrieumgebungen sowie von Außendienstmitarbeitern genutzt. Dies ermöglicht es Unternehmen, Daten zu sammeln und mit Mitarbeitern zu kommunizieren, egal wo sie arbeiten.

Der weit verbreitete Einsatz von Mobilgeräten und Tablets durch Mitarbeiter zur Erledigung von Aufgaben hat die Betriebsabläufe optimiert und Unternehmen eine Fülle von Daten zur Entscheidungsfindung geliefert, aber er hat auch die Angriffsfläche für Cyberkriminelle vergrößert. Ein einfacher menschlicher Fehler, wie das Entsperrtlassen eines Geräts, kann dazu führen, dass sensible Daten in die falschen Hände geraten und Systeme kompromittiert werden.

Obwohl Unternehmen aufgrund der Effizienz, die sie mit sich bringen, nicht auf diese Systeme und Geräte verzichten möchten, müssen Organisationen wachsam sein und Maßnahmen ergreifen, um Cyberrisiken zu managen, Cybervorfälle zu lösen und die Datenschutzbestimmungen einzuhalten, um Systeme zu schützen und Unternehmensdaten zu sichern.

Welche Branchen sind am stärksten von Datenlecks betroffen?

Laut den neuesten OAIC-Zahlen umfassten die fünf Sektoren mit den meisten Datenlecks in Australien das Gesundheitswesen, die Regierung, Finanzdienstleistungen, Rechts-, Buchhaltungs- und Managementdienstleistungen sowie den Einzelhandel. Diese Sektoren neigen dazu, viele persönliche Daten und in einigen Fällen Zahlungsdetails zu speichern, was sie zu einem Hauptziel für Cyberkriminelle macht. Dies sind auch Sektoren, in denen die meisten Mitarbeiter irgendeine Art von digitalem Gerät zur Erledigung ihrer Aufgaben verwenden werden, was Cyberkriminellen mehr Zugangspunkte verschafft und die Wahrscheinlichkeit menschlicher Fehler erhöht, die zu Datenlecks führen könnten.

Wie können Organisationen die Wahrscheinlichkeit von Cyberangriffen reduzieren?

Unternehmen können die Wahrscheinlichkeit, dass ihre Systeme durch Cyberangriffe und Datenlecks kompromittiert werden, reduzieren, indem sie effektive Cyber-Risikomanagementprozesse etablieren, Governance-Verfahren und wirksame Kontrollen implementieren und eine schnelle Lösung von Cybervorfällen gewährleisten. Hier sind 5 Wege, wie Organisationen die Wahrscheinlichkeit von Cyberangriffen reduzieren können.

1. Cyber-Risikomanagement

Um Cyberrisiken effektiv zu managen, müssen Unternehmen ein Cyber-Risikoregister aufbauen und Cyberrisiken aktiv überwachen; dies lässt sich am besten mit GRC-Software verwalten. Jedes Cyberrisiko muss erfasst, kategorisiert und bewertet werden, und es müssen Key Risk Indicators (KRIs) festgelegt werden. Risikostufen müssen regelmäßig anhand von KRIs überwacht werden, um steigende Risikostufen zu erkennen. Risikostufen sollten durch regelmäßige Cyber-Risikobewertungen und durch die Überwachung relevanter IT-Daten überwacht werden. Wenn Unternehmen GRC-Software zur Verwaltung von Cyberrisiken verwenden, können diese Lösungen oft in andere IT-Systeme integriert werden, um Daten über APIs in die Plattform zu ziehen und Risikostufen basierend auf Live-Betriebsdaten und realen Bedrohungen zu verfolgen.

2. Kontrollen

Sobald die gesamte Bandbreite der Cyberrisiken identifiziert und die Risikostufen überwacht werden, sollten Unternehmen Kontrollen implementieren, um sicherzustellen, dass die Risikostufen innerhalb der gewünschten Risikobereitschaft bleiben. Im Falle von Cyberrisiken könnte eine Kontrolle eine Software zum Schutz vor Malware und Ransomware sein, eine Firewall oder Verschlüsselung, eine Mitarbeiterschulung oder eine IT-Nutzungsrichtlinie, oder eine regelmäßige Überprüfung oder Inspektion. Wie auch immer die Kontrollen aussehen, sie müssen regelmäßig überprüft und getestet werden, um sicherzustellen, dass sie das damit verbundene Risiko wirksam mindern.

Unternehmen sollten regelmäßig über die Cyber-Risikobelastung und die Wirksamkeit der Kontrollen berichten und steigende Risikostufen sowie fehlgeschlagene oder ineffektive Kontrollen aktiv angehen, um das Risiko innerhalb ihrer gewünschten Risikobereitschaft zu halten.

3. Cyber-Vorfallsmanagement

In einem weitgehend digitalen Betriebsmodell werden Cybervorfälle und Datenlecks auftreten, und es kommt darauf an, wie Unternehmen auf diese Vorfälle reagieren und mit ihnen umgehen. Unternehmen müssen klare Meldewege für Mitarbeiter zur Erfassung von Cybervorfällen und Datenlecks sowie klare Eskalationswege definieren.

Viele Unternehmen nutzen die Vorfallsmanagementfunktionen innerhalb der GRC-Software, um ihre Cybervorfälle zu erfassen, zu eskalieren und zu lösen. Mitarbeiter nutzen Online-Formulare, um Vorfälle zu protokollieren, und können problemlos Fotos, Beweismittel und URLs hochladen, um das volle Ausmaß des Vorfalls zu erfassen. Vorfälle werden automatisch an den relevanten Stakeholder eskaliert, und Abhilfemaßnahmen werden mithilfe von Fallmanagement-Workflows erfasst, bis der Vorfall behoben ist. Unternehmen können eine Ursachenanalyse durchführen, um zu verstehen, warum Vorfälle auftreten, über Ursachen und Folgen berichten und Kontrollen implementieren, um zukünftige Vorkommnisse zu verhindern.

4. Einhaltung von Datenschutz- und Cybersicherheitsstandards

Um sicherzustellen, dass die Organisation mit modernen Cybersicherheitsprotokollen übereinstimmt, müssen die meisten Unternehmen eine Reihe von Datenschutz- und Cybersicherheitsstandards einhalten. Häufig angewandte Frameworks sind ISO 27001, DSGVO, CPS 234, NIST, NIS2 und Cyber Essentials, und es gibt noch viele weitere.

Um die Compliance sicherzustellen, nutzen etablierte Unternehmen GRC-Software, um ein Verpflichtungsregister zu erstellen, das jede Vorschrift oder Norm und ihre Anforderungen erfasst. Anschließend dokumentieren sie die ergriffenen Compliance-Maßnahmen, um jede Anforderung zu erfüllen. Diese Maßnahmen könnten eine Richtlinie oder ein Betriebsverfahren sein, eine regelmäßige Überprüfung oder Inspektion, oder Sicherheitssoftware oder -ausrüstung. Die Erfassung dieser wichtigen Schritte und Prozesse hilft Unternehmen, die Einhaltung jeder Anforderung zu erreichen.

Da die meisten Unternehmen dieselben Vorschriften einhalten müssen, bieten viele GRC-Softwareplattformen vorgefertigte Compliance-Frameworks an, um Unternehmen dabei zu helfen, ihre Prozesse an weit verbreitete Cybersicherheits- und Datenschutz-Frameworks wie ISO 27001, DSGVO, CPS 234, NIST, NIS2 und weitere anzupassen. Diese Frameworks ermöglichen es Unternehmen, die notwendigen Überprüfungen und Kontrollen zu implementieren, um ihre Prozesse an die Standards anzupassen. Diese Tools bieten auch Workflows für das Management regulatorischer Änderungen. Jede Vorschrift ist den relevanten Prozessen, Richtlinien und Compliance-Maßnahmen zugeordnet. Wenn sich also eine Vorschrift ändert, können Unternehmen leicht nachvollziehen, welche Richtlinien und Verfahren geändert werden müssen, und sie können vollständig dokumentieren, was wann geändert wurde, und so einen vollständigen Prüfpfad für Aufsichtsbehörden bereitstellen.

5. Cyber-Asset-Management

Um eine sichere IT-Infrastruktur zu gewährleisten, müssen Organisationen sicherstellen, dass ihre Hardware aktuell und ihre Softwarelizenzen auf dem neuesten Stand sind. Dies erfordert ein effektives Cyber-Asset-Management. Unternehmen müssen eine umfassende Liste ihrer Cyber-Assets führen, die es ihnen ermöglicht, Nutzung, Alter und Ablaufdaten zu überwachen. Dies hilft Organisationen nicht nur dabei, sicherzustellen, dass ihre IT-Infrastruktur robust genug ist, um modernen Anforderungen gerecht zu werden, sondern es hilft Teams auch, Budgets für den Ersatz alternder Ausrüstung und die Finanzierung von Lizenzverlängerungen zu planen.

Warum das Management von Cyberrisiken Priorität haben sollte

Obwohl Datenlecks zunehmen, gibt es viele Möglichkeiten, wie Unternehmen ihre Cybersicherheitsposition stärken können. Durch effektives Management von Cyberrisiken und Technologierisiken mit den entsprechenden Kontrollen, schnelles Erfassen und Beheben von Cybervorfällen sowie die Sicherstellung der Einhaltung von Datenschutzbestimmungen und -standards können Unternehmen die Wahrscheinlichkeit eines Datenlecks erheblich reduzieren.

Durch die Implementierung von GRC-Software und das effektive Management und die Minderung von Cyberrisiken können Unternehmen zuversichtlich sein, dass sie alles tun, um die Wahrscheinlichkeit eines Datenlecks oder Cyberangriffs zu reduzieren. Um zu erfahren, wie die GRC-Software von Riskonnect Ihr Unternehmen dabei unterstützen kann, Cyberrisiken zu identifizieren und zu mindern sowie effektive Kontrollen zu implementieren, fordern Sie eine Demo an.