Datensicherheit 4.0

 

Die Digitalisierung erweitert die Chancen eines jeden Unternehmens: Neue Märkte und Kundengruppen werden erschlossen, passgenau können sie ihre Produkte anbieten und so ihren Umsatz erhöhen. Doch es gibt auch die andere Seite der Digitalisierung: Die Datensicherheit bindet Arbeitskraft, kostet Geld und bringt keinen Cent mehr Umsatz, ist aber dennoch unabdinglich. Mit der zunehmenden Digitalisierung steigen auch die Ansprüche an den Schutz der eigenen Daten.

So schützen Sie Ihr Unternehmen


Das Bewusstsein für diese Anforderungen des digitalen Zeitalters ist bei den Unternehmen schon angekommen. Gerade große Konzerne, die besonders häufig im Fokus von Cyberattacken stehen, lassen sich ihre Sicherheit viel kosten. Aber auch die kleinen und mittleren Unternehmen (KMU) rüsten auf. Laut einer Studie der Kreditanstalt für Wiederaufbau (KfW), haben 85 Prozent der KMU Maßnahmen zur Verbesserung der Datensicherheit ergriffen. Bei Betrieben mit 10 oder mehr Beschäftigten sind es sogar 95 Prozent. So wird in Software (Firewall, Virenschutz, etc.) investiert, in Back-up-Systeme, in die Verschlüsselung von Daten oder Mitarbeiterschulungen.

Jedes zweite Unternehmen sieht Nachbesserungsbedarf bei seinem Sicherheitsniveau

Aber dennoch sieht jedes zweite Unternehmen noch Nachbesserungsbedarf bei seinem Sicherheitsniveau. Und das aus gutem Grund: Zwischen 2013 und 2015 waren laut der KfW-Studie mehr als eine Million kleinerer und mittlerer Unternehmen Opfer einer Attacke auf ihre IT-Sicherheit, was ungefähr 30 Prozent aller KMU entspricht. Besonders kleine Betriebe sind häufig betroffen von solchen Attacken und mit 31 Prozent sogar mehr als größere Unternehmen, bei denen nur jeder vierte Betrieb betroffen war. Besonders häufig trifft es Unternehmen aus der Dienstleistungsbranche (33 Prozent), am wenigsten sind Betriebe aus dem Baugewerbe im Visier der digitalen Kriminellen mit 22 Prozent.

Aber warum sichern sich die Unternehmen nicht noch besser ab, als sie es bisher schon machen? Neben den Kosten und der Bindung von Arbeitskraft wird die Datensicherheit von einigen Unternehmen gar nicht als drängendes Problem wahrgenommen und dementsprechend wird erst an letzter Stelle in sie investiert. Auch fehlendes Fachpersonal und zu viele andere, gewinnbringende Projekte stehen einem umfassenden Risikomanagement oft entgegen.

Frühzeitig und umfassend in IT zu investieren lohnt sich

Dabei ist die Notwendigkeit, frühzeitig und umfassend in die IT-Sicherheit zu investieren, offensichtlich. „Es gibt Daten, die, wenn sie in falsche Hände geraten, ein Unternehmen in wirtschaftliche Schwierigkeiten bringen können“, sagt Thorsten Logemann, Vorstandsvorsitzender der intersoft consulting services AG. Das Hamburger Unternehmen berät Firmen zu allen Fragestellungen in den Bereichen Datenschutz, IT-Sicherheit und IT-Forensik. Dabei hilft es den Betrieben, die jeweiligen Gefahren zu analysieren und zu minimieren.

Die Identifizierung von unternehmenskritischen Daten ist dann auch eine der ersten Aufgaben, wenn die intersoft consulting services AG von einem Unternehmen beauftragt wird. 

„Das ist aber gar nicht so einfach, diese Daten herauszufiltern. Wir müssen wissen, welche Unternehmensdaten von Mitarbeitern, Prozessen und Maschinen unternehmenskritisch sind. Ein Beispiel: Wenn die Einkaufslisten von Aldi in die Öffentlichkeit gelangen würden, gäbe es für die Konkurrenz wie Lidl die Möglichkeit, das Angebot von Aldi zu unterbieten. Das hätte dramatische und existenzbedrohende Folgen für das Unternehmen. Hierbei zahlt sich die Erfahrung aus unserer Beratungspraxis und ein gewisses Fingerspitzengefühl aus, um an die richtigen Informationen zu gelangen., sagt Logemann.

Laut Logemann sind ungefähr 80 Prozent aller Daten über ein Unternehmen heute frei verfügbar: „Vieles wird unabsichtlich veröffentlicht. So sind in einem per E-Mail angehängten Word-Dokument so viele Zusatzinformationen versteckt, dass man auf viele Prozesse im Unternehmen schließen kann. Es gilt also, diese letzten 20 Prozent zu schützen. Auf die dürfen nur berechtigte Personen Zugriff haben.“

Viele Unternehmen haben eine falsche Vorstellung davon, was unternehmenskritisch ist

„So zählen einige Firmen ihre Gehaltstabellen dazu, was aber nur bedingt richtig ist. Natürlich ist es schmerzhaft, wenn diese Daten öffentlich werden. Aber deshalb wird das Unternehmen nicht weniger Umsatz oder Gewinn machen – es ist nicht existenzbedrohend. Existenzbedrohend ist der Verlust von Konstruktionsdaten oder Patentdaten“, klärt Logemann auf.

Und jedes Unternehmen hat andere sensible Daten. Für eine Spielbank sei die Sperrliste ein sehr hohes Gut, so Logemann.

„Denn Spielbanken haften mit hohen Summen, wenn sie jemanden ins Casino lassen, der sich bewusst auf diese Liste hat setzen lassen, weil er spielsüchtig ist, oder, wenn Spielern Einlass gewährt wird, die Berufsspieler sind und mit Tricks arbeiten oder manipulieren. Genau das ist einer Spielbank passiert. Wir wurden dann beauftragt sicherzustellen, dass diese Daten an allen Eingängen der Casinos jederzeit verfügbar, aber auch vor fremden Zugriff en geschützt sind“, berichtet Logemann.

Ein weiteres Problem in der digitalisierten Welt ist, dass Daten an vielen verschiedenen Orten, also zum Beispiel auf vielen Endgeräten, verfügbar sind. „Das ist vom Prinzip her auch richtig, denn das unterstützt den modernen Anspruch des dezentralen Arbeitens. Aber es birgt auch Probleme: Früher hatten wir in der IT ausschließlich Terminal-Lösungen, also einen extrem gut geschützten Großrechner, an dem nur Ein- und Ausgabesysteme angeschlossen waren“, erklärt Logemann.

Heute sind die Daten auf Endgeräte wie Tablet, Notebook, Smartphone oder in die Cloud verlagert. Mit diesen Geräten hat jeder Mitarbeiter Zugriff auf die Unternehmensdaten, um arbeiten zu können. „Und genau darin besteht die Gefahr: Die Daten sind nicht mehr zentral an einer geschützten Stelle, sondern sie sind verteilt auf viele mobile Geräte. Also ist ein Nachteil der Digitalisierung, dass man die Daten nicht mehr so im Blick hat wie früher noch. Deshalb müssen wir uns unbedingt mehr Gedanken über Datensicherheit machen“, warnt Logemann.

Nach der Identifizierung der unternehmensrelevanten Daten wird in einem zweiten Schritt eine Schutzbedarfsanalyse erstellt, also die Einstufung, wie hoch der Schutzbedarf dieser Daten ist. „Sie werden in niedrig, mittel und hoch kategorisiert. Je nach Einstufung müssen dann Zugriffsrechte, Verfügbarkeit, Vertraulichkeit oder Backups verteilt werden. Wenn beispielsweise jeder Mitarbeiter Zugriffsrechte auf vertrauliche Daten hat, dann ist die Chance, dass etwas falsch läuft, relativ groß. Bei wichtigen Prozessen, wie beispielsweise Updates von Produktionssystemen, muss das Vier-Augen-Prinzip greifen“, sagt Logemann.

Welche Gefahren gibt es und wie werden Risiken eingedämmt?

„Das sind meist weniger technische als prozessuale Schritte. Die technischen Schutzmaßnahmen halten gut Schritt, denn in den meisten Betrieben hat sich herumgesprochen, dass Virenscanner und Firewalls unerlässlich sind. Technisch sind die Unternehmen mittlerweile gut ausgerüstet. Es hapert aber an den Abläufen im Unternehmen und auch bei der Sensibilisierung und der Mitnahme der Mitarbeiter gibt es Nachholbedarf“, so Logemann. Darüber hinaus müssten die Mitarbeiter gut geschult werden. „Denn es gibt noch keine Technik bei der Datensicherheit, die die Fehler des Menschen kompensieren kann“, sagt Logemann.

Gerade die Sensibilisierung der Mitarbeiter ist für Logemann eine wichtige Aufgabe: „Die meisten Cyberangriff e auf ein System kommen von innen und das überwiegend ohne Absicht. Die beste Möglichkeit, an die Daten eines Unternehmens zu kommen, ist, USB-Sticks auf dem Parkplatz vor der Firma zu verteilen. Ich wette, dass 50 Prozent der Sticks in Firmencomputer gesteckt werden, denn der Mensch ist einfach neugierig. Und wenn dann noch ein kleines Spiel auf dem Stick ist, merkt ein Mitarbeiter gar nicht, dass sich derweil eine Spyware auf dem Rechner installiert“, berichtet Logemann.

Umso einem Problem vorzubeugen, wäre es beispielsweise nötig, ein Device- Managementsystem einzuführen. Was viele Unternehmen und ihre Beschäftigten vor verschärften Sicherheitsmaßnahmen zurückschrecken lässt, ist der Aufwand. Logemann: „Sicherheit ist immer lästig. Meine Mitarbeiter bekommen alle iPhones, die sie auch privat nutzen können. Das bedeutet aber auch, dass es bei uns keinen vierstelligen PIN zum Entsperren des Handys mehr gibt, sondern ein kompliziertes sechsstelliges Passwort mit Zeichen, Nummern sowie Groß- und Kleinschreibung. Das ist mühsam, aber man gewöhnt sich daran. Wenn das iPhone verloren geht, wird nach fünfmaliger Eingabe eines falschen PINs das Handy automatisch auf den Werkszustand zurückgestellt und alle Daten sind gelöscht, auch die privaten. Diese Sicherheitsmaßnahmen müssen auch juristisch wasserdicht formuliert sein.“

Im Bereich IT-Sicherheit fehlt es an Fachpersonal

Sorge wird auch in Zukunft das Fehlen von Fachpersonal bereiten: „In der IT und speziell in der IT-Sicherheit haben wir das Problem, dass es viel zu wenig Menschen gibt, die sich damit auskennen. Das liegt auch daran, dass IT-Sicherheit noch eine relativ neue Disziplin ist und die Hochschulen erst mit Verspätung auf den Bedarf reagieren. Hier hängt die Lehre der Realität hinterher. Deshalb haben wir viel zu wenig Absolventen.

Hinzu kommt, dass der klassische Informatiker mehr in Programmierung gelehrt wird und weniger in der IT-Sicherheit“, sagt Logemann. Dabei ist eine Spezialisierung absolut notwendig. „Früher gab es einen IT-Administrator, der Generalist war und von allem ein bisschen wusste. Heute muss es für jeden Teilbereich einen Spezialisten geben: einen Netzwerk-Administrator, einen Firewall-Administrator oder einen Windows- Administrator.“ Für die Zukunft sieht der IT-Sicherheitsexperte große Herausforderungen auf die Wirtschaft zukommen: „Die Komplexität der Anforderungen wird steigen, es wird weitaus mehr Daten geben, die auch noch stärker vernetzt sein werden. Darauf müssen wir vorbereitet sein.“

Ansprechpartner

Martin Schnitker

Pressesprecher

Tel.: 040 30801-151

Mobil: 0177 3470585

E-Mail schreiben

Es ist Zeit Ihren Browser upzudaten!

Ihre Browserversion ist zu alt und wird von dieser Webseite nicht unterstützt. Es kann deshalb zu fehlerhaften Darstellungen von Inhalten kommen.

Darum sollten Sie updaten:
  • Webseiten laden schneller
  • Webseiten werden korrekt und schöner angezeigt
  • Sie surfen sicherer und sind besser gegen Phishing-Angriffe geschützt