Im
Zeitalter der Industrie 4.0 ist die Digitalisierung mit ihren modernen
Technologien ein wichtiger Faktor für den Erfolg eines Unternehmens.
Doch gleichzeitig bringen diese neuen Entwicklungen auch neue
Risikofaktoren mit sich. Digitalisierung verlangt nach besseren
Verschlüsselungs- oder optimierten Sicherheitstechnologien, denn mit der
digitalen Vernetzung stellen Cyber-Angriffe zunehmend eine reale Gefahr
für Unternehmen dar. „Cybercrime – in all ihren Ausprägungen – ist eine
wachsende Industrie mit enormem Schadenspotenzial und derzeit noch viel
zu geringen Risiken für Straftäter“ erklärte Holger Münch, Präsident
des Bundekriminalamts im Zusammenhang mit einem Interview der CeBIT.
Münch gibt dabei auch zu bedenken, dass man heute kein IT-Experte sein
muss, um Cyber-Straftaten zu begehen. „Anleitungen für DDoS-Attacken
oder den Einsatz von Malware werden im Darknet gehandelt“, so Münch, der
auf der diesjährigen CeBIT zum Thema IT-Sicherheit Auskunft geben wird.
Auch wird der bekannteste Whistleblower der Welt, Edward Snowden, als
Redner aus Moskau zugeschaltet sein. Snowden wird sich dabei stärker der
Bedrohung durch Staatsspionage widmen und darlegen, dass diese auch von
Hackern als Backdoor genutzt werden könnte. Nicht von ungefähr haben
sich der Deutsche Beirat für Digitale Wirtschaft im
Bundeswirtschaftsministerium und der französische Nationalrat für
Digitales gegen die Forderungen nach Zugriff auf Informationen von
Innenminister Thomas de Maizière und seinem französischen Amtskollegen
Bernard Cazeneuve ausgesprochen. Staatssicherheit kann bei Unternehmen
eben auch zu Unsicherheit führen.
Und damit sind wir wieder beim
Thema, denn Unsicherheit ist eben etwas, was den deutschen Mittelstand
beim Thema Cyber-Security aktuell am besten beschreibt.
Cyber-Security und der Mittelstand
Dabei
sind der Schutz vorhandener Daten und die Sicherheit der eigenen
IT-Infrastruktur wichtiger denn je. Doch einige Unternehmen schützen
ihre materiellen und immateriellen Werte nicht ausreichend bzw. schaffen
es nicht IT-Sicherheitsstrukturen zu definieren. Dafür spricht auch
eine Studie des Branchenfachverbands Bitkom aus dem Frühjahr 2016, laut
der 69 Prozent der Industrieunternehmen in Deutschland in den
vergangenen zwei Jahren bereits zum Opfer von Datendiebstahl,
Wirtschaftsspionage oder Sabotage geworden sind. Den dabei entstandenen
Schaden für die deutsche Industrie berechnet der Verband auf rund 22,4
Milliarden Euro pro Jahr. Für den Mittelstand kann dabei der
Umsatzverlust, Rechtstreitigkeiten oder ein Betriebsstopp
existenzgefährdend sein. „Die deutsche Industrie mit ihren zahlreichen
Hidden Champions ist ein attraktives Angriffsziel von Cyberkriminellen
und ausländischen Nachrichtendiensten“, mahnte Bitkom-Präsidiumsmitglied
Winfried. Das am häufigsten auftretende Delikt ist dabei der Diebstahl
von IT- und Kommunikationsgeräten: 32 Prozent der Unternehmen berichten,
dass zum Beispiel Smartphones, Computer oder Tablets gestohlen wurden.
Bei einem Fünftel wurden sensible physische Dokumente, Bauteile oder
Muster entwendet. Vom Diebstahl sensibler digitaler Dokumente dagegen
waren 19 Prozent betroffen. Bei 18 Prozent kam es zu Sabotageakten mit
dem Ziel, die betrieblichen Abläufe zu stören oder lahmzulegen. Und 16
Prozent der betroffenen Unternehmen registrierten Fälle von Social
Engineering. Bei dieser Methode geht es darum,
Mitarbeiter zu
manipulieren, um an Informationen wie Passwörter zu gelangen. Dabei sind
die Schwachstellen allgemein bekannt. So ist beim Mittelstand vor allem
die mangelnde Wahrnehmung einer Gefahr durch Cyber-Attacken präsent;
oder eben nicht. Zudem sind es vor allem die hohen Kosten, weshalb der
Mittelstand sich nicht besser schützt. Hier spiegelt sich die Ansicht
wider, dass Datenschutz einen finanziellen Aufwand verursacht, aber
keinen Beitrag zum Umsatz liefert. Auch mangelnde Zeit, sich gezielt mit
IT-Sicherheit und Datenschutz auseinanderzusetzen, spielt eine Rolle.
Im Ergebnis halten daher laut einer KfW-Analyse von 2016 rund 55 Prozent
der Mittelständler ihr Unternehmen für ausreichend geschützt. Das heißt
im Umkehrschluss, dass auch jedes zweite Unternehmen aktuell keinen
ausreichenden Schutz für sich sieht. Verschärft wird diese Lage noch
durch das Prinzip der Nutzung privater Endgeräte für berufliche Zwecke
(Bring your own Device – BYOD) und die vermehrte Nutzung von Tablets
oder Smartphones. Letztere sind nämlich in der Regel kein Teil der
IT-Sicherheit eines Unternehmens und können somit leichter attackiert
werden. Laut Bitkom Umfrage vom Oktober 2016 hatte jeder vierte
Smartphone-Nutzer in den vergangenen zwölf Monaten einen
Sicherheitsvorfall mit seinem Gerät. Dabei führen spezielle
Smartphone-Viren dazu, dass der Nutzer ausspioniert, aggressive Werbung
angezeigt oder der Zugang zu den Geräten versperrt wird. BYOD wird daher
vom Bundesverband mittelständische Wirtschaft als grundsätzlich
abzuratend eingestuft. Der Verband rät seinen Mittgliedern eher die
Anschaffung von Firmengeräten. Diese können dann mit der entsprechenden
Sicherheitssoftware und Verschlüsselung auch privat genutzt werden.
Wichtig ist dabei, dass jemand im Unternehmen im Falle eines Angriffs
oder Diebstahls die Möglichkeit hat sensible Daten per Fernzugriff zu
löschen. Es bleibt festzuhalten, dass der Grundschutz, über den alle
Unternehmen verfügen sollten, längst nicht mehr nur aus Virenscannern,
Firewalls und regelmäßigen Updates sämtlicher Programme besteht. Diese
Maßnahmen allein reichen heutzutage kaum noch aus. Der Basisschutz
sollte durch spezielle Angriffserkennungssysteme ergänzt werden. Einen
wichtigen Schutz bietet zudem die Verschlüsselung sensibler Daten. Nur
45 Prozent der Firmen verschlüsseln ihre Daten, und dass obwohl immer
wieder neue Berichte über Cyber-Angriffe in den Medien erscheinen.
Risikofaktor Mensch
Und
damit kommen wir zum letzten großen Risikofaktor in der IT-Sicherheit –
dem Menschen. So nutzen beispielsweise mehr als ein Drittel der
Internetnutzer in Deutschland ein und dasselbe Passwort für mehrere
Online-Zugänge, zum Beispiel zu E-Mail-Diensten, sozialen Netzwerken
oder Online-Shops. Auch birgt die vermehrte Nutzung von Cloud-Diensten
wie Dropbox und Co. große Risiken. IT-Sicherheit wird dabei oft aus
reiner Bequemlichkeit umgangen. Doch es geht auch anders, denn der
Mensch kann auch ganz aktiv zum Sicherheitsrisiko werden. Laut Bitkom
sagen rund zwei Drittel der betroffenen Unternehmen, dass aktuelle oder
ehemals Beschäftigte für Cyber-Straftaten verantwortlich waren.
„Innentäter sind das größte Sicherheitsrisiko in der Wirtschaft“, so
Holz der gleichzeitig riet: „Unternehmen sollten ihren Mitarbeitern
nicht misstrauen, sondern eine Sicherheitskultur etablieren, die das
Bewusstsein für den Schutz des Betriebes schärft.“ Bei einem Drittel der
Befragten kamen die Angriffe aus dem unmittelbaren Umfeld von Kunden,
Lieferanten oder Dienstleistern. In vielen Fällen verfügen Täter aus dem
direkten Umfeld über Insiderkenntnisse, die Straftaten erleichtern.
Katz und Maus
Als
Rat kann man an dieser Stelle keine pauschale Aussage treffen, doch
empfiehlt es sich Mitarbeiter regelmäßig zu schulen, denn
Informationssicherheit zieht sich durch die gesamte Organisation Ihres
Unternehmens. Um im Sinne des Daten- und Identitätsschutzes auch
rechtlich auf der sicheren Seite zu bleiben, empfiehlt die CeBIT, dass
Sie und Ihre Mitarbeiter folgendes im Blick haben: Gehen Sie bewusst
vorsichtig mit Informationen um und schützen Sie Ihre Identitäten.
Überlegen und regeln Sie, wer Zugang zu welchen Daten bekommt. Achten
Sie darauf nur rechtlich legitimierte Inhalte ins Internet zu stellen.
Nutzen Sie sichere Passwörter und verschlüsseln Sie Ihre Kommunikation
bestmöglich. Halten Sie Betriebssysteme wie auch Sicherheitssoftware auf
dem neuesten Stand. Last but not least: Vernetzen Sie sich nur mit
geprüften Kontakten.
Cyber-Security und Cyber-Crime ist eines der
wichtigsten Themenfelder der Digitalisierung. Es bleibt zu hoffen, dass
im Katz und Maus Spiel zwischen Hackern und IT-Sicherheit Ihres
Unternehmens letztere die besseren Karten hat.
André Sarin | redaktion@niederrhein-manager.de
Teilen: