Datenlecks schaffen es nicht immer in die Nachrichten. Für jede Schlagzeile über einen massiven Datenvorfall bei einem Konzern gibt es Tausende stille Lecks bei kleinen und mittleren Unternehmen — ein Mitarbeiter, der sensible Dateien an eine private E-Mail-Adresse weiterleitet, ein Cloud-Dienst, der versehentlich öffentlich zugänglich konfiguriert ist, oder ein Backup-Laufwerk, das unverschlüsselt in einer Schreibtischschublade liegt.

Enterprise Data Loss Prevention (DLP) Tools von Anbietern wie Symantec, Microsoft Purview oder Forcepoint kosten Zehntausende pro Jahr und erfordern dedizierte Sicherheitsteams zur Verwaltung. Die meisten KMU können diese Investition nicht rechtfertigen. Aber das bedeutet nicht, dass sie ihre Daten nicht schützen können.

Der effektivste Schutz vor Datenlecks beginnt nicht mit dem Kauf von Software. Er beginnt damit zu wissen, was Sie haben.

Was ist ein Datenleck?

Ein Datenleck ist die unbeabsichtigte Offenlegung von Daten gegenüber einer unberechtigten Partei. Im Gegensatz zu einem Datenvorfall (bei dem ein aktives Eindringen stattfindet) entsteht ein Leck oft durch Fahrlässigkeit, Fehlkonfiguration oder mangelndes Bewusstsein.

Häufige Leckvektoren für KMU sind:

  • E-Mail — interne Dokumente extern weiterleiten, falsche Personen in CC setzen
  • Cloud-Speicher — geteilte Links mit „Jeder mit dem Link"-Zugriff
  • Privatgeräte (BYOD) — Unternehmensdaten auf nicht verwalteten Telefonen und Laptops ohne Verschlüsselung
  • Ehemalige Mitarbeiter — Zugriff nach Ausscheiden nicht widerrufen
  • Backups — unverschlüsselte Backup-Laufwerke, Cloud-Backups ohne Zugriffskontrollen
  • Drittanbieter-Dienste — Daten, die mit Anbietern geteilt werden, die eigene Unterauftragsverarbeiter haben

Die Checkliste zum Schutz vor Datenlecks

Hier sind 10 praktische Schritte, die jedes KMU unternehmen kann — kein Enterprise-DLP-System erforderlich.

1. Wissen, welche Dienste Sie nutzen

Listen Sie jeden Cloud-Dienst, jedes SaaS-Tool und jede Plattform auf, die Ihre Organisation nutzt. Schließen Sie die offensichtlichen ein (E-Mail, CRM, Buchhaltung), aber auch die vergessenen (das kostenlose Filesharing-Tool, für das sich vor drei Jahren jemand angemeldet hat).

Dokumentieren Sie für jeden Dienst: wer die Geschäftsbeziehung verantwortet, wo Daten gespeichert werden (Land) und welche Rolle der Dienst spielt (Verantwortlicher oder Auftragsverarbeiter).

2. Kartieren, wer auf was zugreift

Dokumentieren Sie, welche Rollen oder Personen auf welche Dienste zugreifen. Ein Marketing-Praktikant sollte keinen Zugriff auf das HR-System haben. Ein externer Auftragnehmer sollte nicht in Ihrer Finanzsoftware sein.

Achten Sie auf Konzentrationsrisiken: Wenn eine Person Zugriff auf alles hat, ist deren Konto ein einzelner Ausfallpunkt.

3. Gerätesicherheit bewerten

Jedes Gerät, das auf Ihre Dienste zugreift, ist ein potenzieller Leckpunkt. Prüfen Sie für jede Gerätekategorie (Firmenlaptops, private Telefone, gemeinsam genutzte Arbeitsstationen):

  • Ist Festplattenverschlüsselung aktiviert?
  • Gibt es eine Bildschirmsperre-Richtlinie?
  • Ist Fernlöschung verfügbar (für Mobilgeräte/Laptops)?
  • Werden Betriebssystem-Updates automatisch installiert?
  • Gibt es MDM (Mobile Device Management)?

Ein unverschlüsselter Laptop, der im Zug liegen gelassen wird, ist ein Datenleck, das darauf wartet zu passieren.

4. Ihre Datenelemente dokumentieren

Welche Arten von Daten verarbeitet Ihre Organisation? Kundennamen, Finanzunterlagen, Arbeitsverträge, Gesundheitsdaten? Klassifizieren Sie jedes Datenelement nach Sensitivität.

Besondere Kategorien personenbezogener Daten (Gesundheit, biometrische Daten, rassische/ethnische Herkunft) erfordern gemäß der DSGVO zusätzlichen Schutz. Wenn Sie solche verarbeiten, müssen Sie genau wissen, wo sie sich befinden.

5. Rechtsgrundlagen und Aufbewahrungsfristen prüfen

Dokumentieren Sie für jedes Datenelement, warum Sie es verarbeiten (die DSGVO-Rechtsgrundlage) und wie lange Sie es aufbewahren. Daten, die Sie nicht mehr benötigen, sind Daten, die nicht durchsickern können. Löschen Sie, was Sie nicht mehr brauchen.

Fehlende Rechtsgrundlagen und undefinierte Aufbewahrungsfristen sind Warnsignale in jeder Prüfung.

6. Zugriff regelmäßig überprüfen

Zugriffsrechte häufen sich im Laufe der Zeit an. Menschen wechseln Rollen, treten Projekten bei, verlassen das Unternehmen — aber ihr Zugriff bleibt oft derselbe. Führen Sie regelmäßige Zugriffsüberprüfungen durch:

  • Braucht jeder noch den Zugriff, den er hat?
  • Gibt es Konten, die seit Monaten nicht genutzt wurden?
  • Werden gemeinsam genutzte Konten verwendet (diese sollten abgeschafft werden)?

7. Ihre Backup-Strategie prüfen

Backups sind unverzichtbar, aber sie sind auch Kopien Ihrer sensiblen Daten. Fragen Sie sich:

  • Wo werden Ihre Backups gespeichert? Vor Ort? Extern? Cloud?
  • Sind sie verschlüsselt?
  • Wer hat Zugriff auf die Backup-Medien?
  • Haben Sie kürzlich getestet, ob eine Wiederherstellung aus dem Backup funktioniert?
  • Folgen Ihre Backups einer Strategie wie 3-2-1 (3 Kopien, 2 Medientypen, 1 extern)?

Ein unverschlüsseltes Backup auf einem NAS ohne Zugriffskontrolle ist ein Leckvektor.

8. Vendor Lock-in und Ausstiegsstrategien bewerten

Wenn ein Anbieter Ihre Daten hält und Sie sie nicht exportieren können, sind Sie abhängig. Wenn dieser Anbieter kompromittiert wird, gehen Ihre Daten mit. Für jeden kritischen Dienst:

  • Können Sie Ihre Daten in einem offenen Format exportieren?
  • Was passiert, wenn der Anbieter insolvent wird oder übernommen wird?
  • Haben Sie einen Auftragsverarbeitungsvertrag (AVV) abgeschlossen?

9. Datenübertragungen dokumentieren

Daten bleiben nicht an einem Ort. Sie fließen zwischen Diensten — Ihr CRM synchronisiert mit Ihrem E-Mail-Marketing-Tool, Ihr ERP exportiert an Ihr Business-Intelligence-Dashboard, Ihre Laptops sichern auf ein NAS, das in die Cloud repliziert.

Kartieren Sie diese Übertragungen. Dokumentieren Sie für jede: welche Daten bewegt werden, warum, wie (API, Dateiübertragung, manueller Export) und ob Landesgrenzen überschritten werden.

10. Eine Risikobewertung erstellen

Sobald Sie alles Obige dokumentiert haben, haben Sie genügend Informationen, um Ihre Risiken zu bewerten. Betrachten Sie jeden Dienst und fragen Sie: Was ist das Schlimmste, das passieren könnte, wenn dieser Dienst kompromittiert wird? Was, wenn diese Daten durchsickern? Was, wenn dieses Gerät verloren geht?

Ein Risikoregister, das jeden Dienst basierend auf Datensensitivität, Zugriffsmustern und Sicherheitskontrollen bewertet, gibt Ihnen eine priorisierte Liste dessen, was zuerst zu beheben ist.

Von der Checkliste zum kontinuierlichen Prozess

Diese Checkliste ist keine einmalige Übung. Datenlandschaften ändern sich ständig — neue Dienste werden eingeführt, Menschen kommen und gehen, Vorschriften entwickeln sich weiter. Die Organisationen, die Datenlecks vermeiden, sind diejenigen, die diese Dokumentation zu einem lebendigen Prozess machen, nicht zu einem verstaubten PDF.

Tools, die helfen

Readmodel® automatisiert den Großteil dieser Checkliste. Es bietet über 200 vorkonfigurierte Dienstvorlagen, kartiert Datenflüsse mit einem interaktiven Graphen, bewertet Risiken automatisch, prüft die Konformität der Backup-Strategie, bewertet die Gerätesicherheit und erstellt KI-gestützte Analyseberichte. Die VVT- und Risikoregister-Exporte ergeben sich als Nebenprodukt der Dokumentation, die Sie ohnehin durchführen möchten.

Schutz vor Datenlecks beginnt mit Transparenz. Was man nicht sehen kann, kann man nicht schützen.