Autorin: Ute von Lüpke
Viele Ihrer Kunden unterschätzen den Wert der eigenen Daten – dabei sind diese mittelständische Firmen längst attraktive Ziele für Spionage-Attacken der Cyber-Gangster.
Doch um diese Datenschätze Ihrer Kunden zu schützen, benötigen Sie nicht nur eine zuverlässige Sicherheitstechnik. Mindestens ebenso wichtig ist es, die Mitarbeiter Ihrer Kunden auf die Gefahren aufmerksam zu machen und ihnen adäquate Arbeitsressourcen zur Verfügung zu stellen.
Mittelstand im Fokus
Lange war die IT-Sicherheit in deutschen Unternehmen eine vernachlässigte Größe. Zu abstrakt erschien vielen die Gefahr von Datenklau, zu gering der unternehmerische Nutzen von Sicherheitskonzepten. Nun, nach Bekanntwerden des NSA-Überwachungsprogramms PRISM, kommt dem Thema IT- und Datensicherheit in der öffentlichen Debatte eine ganz andere Bedeutung zu, denn:
Der Schaden, den deutsche Mittel- und Großunternehmen durch Spionage- und Hackerangriffe zu verzeichnen haben, steigt seit Jahren und erreicht laut einem Bericht des Nachrichtenportals Spiegel Online mittlerweile Milliardenhöhe. Dabei ist es gerade der hochinnovative und damit für Spionageangriffe besonders attraktive deutsche Mittelstand, der die Gefahr von IT-Sicherheitslücken unterschätzt. „Viele Mittelständler wiegen sich aufgrund ihrer vermeintlich weniger exponierten Position in Sicherheit, betreiben im Bereich IT-Security weniger Aufwand, und werden gerade deshalb zu einem lohnenden Ziel für Hacker und Datendiebe“, so der Sicherheitsexperte Thomas Schmidt, Chief IT-Consultant bei dem IT-Unternehmen Didas Business Services.
Riskante Eigeninitiative
Seit wenigen Wochen erst weiß die Weltöffentlichkeit von dem NSA-Überwachungsskandal, doch schon jetzt steigt allerorten die Nachfrage nach Sicherheits- und Verschlüsselungstechniken, insbesondere für den Austausch von E-Mails. Auch im Management deutscher Betriebe steigt das Bewusstsein für die Bedeutung eines sicheren IT-Systems. Längst ersetzen Computer nicht mehr nur die Schreibmaschine im Vorstandssekretariat, sondern bilden in der Regel die Grundlage des gesamten Produktions- und Arbeitsprozesses. Ein Totalausfall der EDV kann in manchen Fällen sogar bedeuten, dass die Betriebs- und Büroräume nicht einmal mehr betreten werden können. Um einen solchen Katastrophenfall zu verhindern, bedarf es eines individuellen Sicherheitskonzepts, das auf die Arbeitsabläufe des gesamten Betriebes Rücksicht nimmt. „Viele Unternehmen erhöhen ihre Schutzmaßnahmen durch Verschlüsselungstechniken und Firewalls, unterschätzen jedoch die mitunter in IT-Angelegenheiten riskante Eigeninitiative ihrer Mitarbeiter“, so der Security-Experte Schmidt. Das Problem ist oftmals ein grundlegendes, das über den engen Bereich IT-Security weit hinausgeht:
„Wenn die Ausstattung mit modernen, zeitgemäßen Arbeitsressourcen unzulänglich ist, , greifen die Mitarbeiter z.B. für die Ablage und Verwaltung von Dateien gerne auf externe Cloud-Dienste zurück, um mit ihre Kollegen effizient zusammenarbeiten zu können. Vertrauliche, mitunter personenbezogene Daten verlassen auf diesem Weg den geschützten Raum der unternehmensinternen IT-Infrastruktur.“ Die Gefahr dabei: Insbesondere bei der Nutzung bekannter US-Anbieter wie Microsoft SkyDrive, Skype oder Google kann es zu datenschutzrechtlichen Problemen kommen.
IT-Sicherheit durch ganzheitliche Systeme
IT-Sicherheit, so die Konsequenz, erfordert einen ganzheitlichen Problemansatz, der alle IT-relevanten Bereiche des Unternehmens umfasst. Der Einsatz einer Firewall ist wichtig, reicht aber bei weitem nicht aus, so Thomas Schmidt: „Es nützt nichts, wenn ich mein Haus mit der besten und sichersten Eingangstür versehe, während links und rechts die Fenster offen stehen.“ Ein umfassendes
Sicherheitskonzept sollte also nicht nur bei der Technik ansetzen, sondern auch die Arbeitsgewohnheiten der Mitarbeiter mit in den Blick nehmen. Das IT-Unternehmen DIDAS empfiehlt seinen Kunden, ein Projekt zur Erhöhung der Daten- und IT-Sicherheit stets mit einer Analyse der individuellen Ist-Situation einschließlich einer Risikobeurteilung für einzelne Bereiche zu beginnen. Dieser Schritt bildet dann die Grundlage für einen gemeinsam mit dem Management zu erstellenden Maßnahmenplan.
Ein besonderes Thema der IT-Security bildet der Trend zum Cloud-Computing. Sicherheitsbedenken halten viele Unternehmen bislang davon ab, das Potenzial von Cloud-Diensten voll auszuschöpfen. Eine Zurückhaltung, die berechtigt ist, denn schließlich werden hierbei in der Regel Daten an eine dritte Partei ausgelagert. Dennoch gibt es auch in diesem Bereich Maßnahmen, um das Cloud-Computing stärker abzusichern. Fachleute empfehlen, zunächst immer die Vertrauenswürdigkeit des Cloud-Anbieters genau zu beurteilen. Bedacht werden sollte zudem die Art und Weise des Datenverkehrs: So ist es zum Beispiel möglich, die Vorteile des Cloud-Computing zu nutzen, ohne sämtliche Unternehmensdaten transferieren zu müssen, oder das Cloud-Computing in gesicherten Umgebungen durchzuführen. Auch hier gilt jedoch: Eine genaue Risikoanalyse hängt stets von der Art der Nutzung ab.
Schutz vor Cyberwar
„Cyberwar“ betitelt die Unternehmensberatung Corporate Trust ihre Studie zur Industriespionage 2012. Das erschreckende Ergebnis: Über fünfzig Prozent der befragten deutschen Unternehmen hatten in den vergangenen drei Jahren einen Spionageangriff zu verzeichnen oder einen Fall von Wirtschaftsspionage in Verdacht. Prozentual am meisten betroffen ist dabei erneut der Mittelstand. Höchste Zeit also für eine Bewusstseinsänderung in Sachen IT-Sicherheit – schließlich geht es hierbei um nichts anderes als um den Schutz des wertvollen Firmenwissens. Thomas Schmidt von DIDAS hofft derweil, dass das Thema Security über die aktuelle Medienpräsenz hinaus in den Köpfen bleibt und langfristig an Bedeutung gewinnt. Damit in Zukunft nicht nur die Tür, sondern auch die Fenster des Hauses vor Einbrüchen und feindlichen Angriffen aus dem Cyberspace gut geschützt sind. (rw)