Schließen TEILEN MIT...

RANKINGS
Schließen
Schließen
Business

Die Kehrseite der Digitalisierung

Cyber-Angriffe stellen zunehmend eine reale Gefahr dar – Digitalisierung und IT-Security verlangen nach besseren Verschlüsselungs- und Sicherheitstechnologien.

Bild oben: (Foto: © Jakub Jirsák – stock.adobe.com)
Im Zei­tal­ter der In­dus­trie 4.0 ist die Dig­i­tal­isierung mit ihren mod­er­nen Tech­nolo­gien ein wichtiger Fak­tor für den Er­folg eines Un­terneh­mens. Doch gleichzeitig brin­gen diese neuen En­twick­lun­gen auch neue Risiko­fak­toren mit sich. Dig­i­tal­isierung ver­langt nach besseren Ver­sch­lüs­selungs- oder op­ti­mierten Sicher­heit­stech­nolo­gien, denn mit der dig­i­tal­en Ver­net­zung stellen Cy­ber-An­griffe zuneh­mend eine reale Ge­fahr für Un­terneh­men dar. „Cy­ber­crime – in all ihren Aus­prä­gun­gen – ist eine wach­sende In­dus­trie mit enormem Scha­denspotenzial und derzeit noch viel zu gerin­gen Risiken für Straftäter“ erk­lärte Hol­ger Münch, Präsi­dent des Bun­dekrim­i­nalamts im Zusam­men­hang mit einem In­ter­view der CeBIT. Münch gibt dabei auch zu be­denken, dass man heute kein IT-Ex­perte sein muss, um Cy­ber-Straf­tat­en zu bege­hen. „An­lei­tun­gen für DDoS-At­tack­en oder den Ein­satz von Mal­ware wer­den im Dark­net ge­han­delt“, so Münch, der auf der diesjähri­gen CeBIT zum The­ma IT-Sicher­heit Auskunft geben wird. Auch wird der bekan­n­teste Whistle­blow­er der Welt, Ed­ward Snow­den, als Red­n­er aus Moskau zugeschal­tet sein. Snow­den wird sich dabei stärk­er der Be­dro­hung durch Staatss­pi­o­n­age wid­men und dar­le­gen, dass diese auch von Hack­ern als Back­door genutzt wer­den kön­nte. Nicht von unge­fähr haben sich der Deutsche Bei­rat für Dig­i­tale Wirtschaft im Bun­deswirtschafts­min­is­teri­um und der franzö­sische Na­tio­n­al­rat für Dig­i­tales ge­gen die Forderun­gen nach Zu­griff auf In­for­ma­tio­nen von In­nen­min­is­ter Tho­mas de Maiz­ière und seinem franzö­sischen Amt­skol­le­gen Ber­nard Cazeneuve aus­ge­sprochen. Staats­sicher­heit kann bei Un­terneh­men eben auch zu Un­sicher­heit führen.
Und damit sind wir wied­er beim The­ma, denn Un­sicher­heit ist eben et­was, was den deutschen Mit­tel­s­tand beim The­ma Cy­ber-Se­cu­ri­ty aktuell am besten beschreibt.

Cy­ber-Se­cu­ri­ty und der Mit­tel­s­tand

(Foto: © Jakub Jirsák – stock.adobe.com)
(Fo­to: © Jakub Jirsák – stock.adobe.com)

Dabei sind der Schutz vorhan­den­er Dat­en und die Sicher­heit der ei­ge­nen IT-In­fras­truk­tur wichtiger denn je. Doch einige Un­terneh­men schützen ihre ma­teriellen und im­ma­teriellen Werte nicht aus­reichend bzw. schaf­fen es nicht IT-Sicher­heitsstruk­turen zu definieren. Dafür spricht auch eine Studie des Branchen­fachver­bands Bitkom aus dem Früh­jahr 2016, laut der 69 Prozent der In­dus­trie­un­terneh­men in Deutsch­land in den ver­gan­ge­nen zwei Jahren bere­its zum Opfer von Da­tendieb­s­tahl, Wirtschaftss­pi­o­n­age oder Sab­o­tage ge­wor­den sind. Den dabei ent­s­tan­de­nen Scha­den für die deutsche In­dus­trie berech­net der Ver­band auf rund 22,4 Mil­liar­den Eu­ro pro Jahr. Für den Mit­tel­s­tand kann dabei der Um­satzver­lust, Recht­stre­itigkeit­en oder ein Be­triebss­topp ex­is­ten­zge­fähr­dend sein. „Die deutsche In­dus­trie mit ihren zahl­reichen Hid­den Cham­pi­ons ist ein at­trak­tives An­griff­sziel von Cy­berkriminellen und aus­ländischen Nachrich­t­en­di­en­sten“, mah­nte Bitkom-Prä­sid­i­ums­mit­glied Win­fried. Das am häu­fig­sten auftre­tende De­likt ist dabei der Dieb­s­tahl von IT- und Kom­mu­nika­tions­geräten: 32 Prozent der Un­terneh­men bericht­en, dass zum Beispiel Smart­phones, Com­put­er oder Tablets ges­tohlen wur­den. Bei einem Fünf­tel wur­den sen­si­ble ph­y­sische Doku­mente, Bauteile oder Muster en­twen­det. Vom Dieb­s­tahl sen­si­bler dig­i­taler Doku­mente dage­gen waren 19 Prozent be­trof­fen. Bei 18 Prozent kam es zu Sab­o­tageak­ten mit dem Ziel, die be­trie­blichen Abläufe zu stören oder lah­mzule­gen. Und 16 Prozent der be­trof­fe­nen Un­terneh­men reg­istri­erten Fälle von So­cial En­gi­neer­ing. Bei dies­er Meth­ode ge­ht es darum,
Mi­tar­beit­er zu ma­nip­ulieren, um an In­for­ma­tio­nen wie Pass­wörter zu ge­lan­gen. Dabei sind die Schwach­stellen all­ge­mein bekan­nt. So ist beim Mit­tel­s­tand vor allem die man­gel­nde Wahrneh­mung ein­er Ge­fahr durch Cy­ber-At­tack­en präsent; oder eben nicht. Zu­dem sind es vor allem die ho­hen Kosten, we­shalb der Mit­tel­s­tand sich nicht bess­er schützt. Hi­er spiegelt sich die An­sicht wider, dass Daten­schutz ei­nen fi­nanziellen Aufwand verur­sacht, aber kei­nen Bei­trag zum Um­satz lie­fert. Auch man­gel­nde Zeit, sich gezielt mit IT-Sicher­heit und Daten­schutz au­sei­nan­derzusetzen, spielt eine Rolle. Im Ergeb­nis hal­ten da­her laut ein­er KfW-Anal­yse von 2016 rund 55 Prozent der Mit­tel­ständler ihr Un­terneh­men für aus­reichend geschützt. Das heißt im Umkehrsch­luss, dass auch jedes zweite Un­terneh­men aktuell kei­nen aus­reichen­den Schutz für sich sie­ht. Ver­schärft wird diese Lage noch durch das Prinzip der Nutzung pri­vater Endgeräte für beru­fliche Zwecke (Bring your own De­vice – BY­OD) und die vermehrte Nutzung von Tablets oder Smart­phones. Let­ztere sind näm­lich in der Regel kein Teil der IT-Sicher­heit eines Un­terneh­mens und kön­nen somit leichter at­tackiert wer­den. Laut Bitkom Um­frage vom Ok­to­ber 2016 hatte jed­er vierte Smart­phone-Nutz­er in den ver­gan­ge­nen zwölf Mo­nat­en ei­nen Sicher­heitsvor­fall mit seinem Gerät. Dabei führen spezielle Smart­phone-Viren dazu, dass der Nutz­er auss­pi­oniert, ag­gres­sive Wer­bung angezeigt oder der Zu­gang zu den Geräten versper­rt wird. BY­OD wird da­her vom Bun­desver­band mit­tel­ständische Wirtschaft als grund­sät­zlich abzu­ra­tend eingestuft. Der Ver­band rät sei­nen Mitt­glied­ern eher die An­schaf­fung von Fir­mengeräten. Diese kön­nen dann mit der ent­sprechen­den Sicher­heits­soft­ware und Ver­sch­lüs­selung auch pri­vat genutzt wer­den. Wichtig ist dabei, dass je­mand im Un­terneh­men im Falle eines An­griffs oder Dieb­s­tahls die Möglichkeit hat sen­si­ble Dat­en per Fernzu­griff zu löschen. Es bleibt festzuhal­ten, dass der Grund­schutz, über den alle Un­terneh­men ver­fü­gen soll­ten, längst nicht mehr nur aus Viren­s­can­n­ern, Fire­walls und regelmäßi­gen Up­dates sämtlich­er Pro­gramme beste­ht. Diese Maß­nah­men allein reichen heutzu­tage kaum noch aus. Der Ba­sisschutz sollte durch spezielle An­griff­serken­nungssys­teme ergänzt wer­den. Ei­nen wichti­gen Schutz bi­etet zu­dem die Ver­sch­lüs­selung sen­si­bler Dat­en. Nur 45 Prozent der Fir­men ver­sch­lüs­seln ihre Dat­en, und dass ob­wohl im­mer wied­er neue Berichte über Cy­ber-An­griffe in den Me­di­en er­schei­nen.

Risiko­fak­tor Men­sch


Und damit kom­men wir zum let­zten großen
Risiko­fak­tor in der IT-Sicher­heit – dem Men­schen. So nutzen beispiel­sweise mehr als ein Drit­tel der In­ter­net­nutz­er in Deutsch­land ein und das­selbe Pass­wort für mehrere On­line-Zugänge, zum Beispiel zu E-Mail-Di­en­sten, sozialen Net­zw­erken oder On­line-Shops. Auch birgt die vermehrte Nutzung von Cloud-Di­en­sten wie Drop­box und Co. große Risiken. IT-Sicher­heit wird dabei oft aus rein­er Be­quem­lichkeit um­gan­gen.
Doch es ge­ht auch an­ders, denn der Men­sch kann auch ganz ak­tiv zum Sicher­heit­s­risiko wer­den. Laut Bitkom sa­gen rund zwei Drit­tel der be­trof­fe­nen Un­terneh­men, dass aktuelle oder ehe­mals Beschäftigte für Cy­ber-Straf­tat­en ve­r­ant­wortlich waren. „In­nen­täter sind das größte Sicher­heit­s­risiko in der Wirtschaft“, so Holz der gleichzeitig ri­et: „Un­terneh­men soll­ten ihren Mi­tar­beit­ern nicht mis­s­trauen, son­dern eine Sicher­heit­skul­tur etablieren, die das Be­wusst­sein für den Schutz des Be­triebes schärft.“ Bei einem Drit­tel der Be­fragten ka­men die An­griffe aus dem un­mit­tel­baren Um­feld von Kun­den, Lie­fer­an­ten oder Di­en­stleis­tern. In vielen Fällen ver­fü­gen Täter aus dem di­rek­ten Um­feld über In­sid­erken­nt­nisse, die Straf­tat­en er­leichtern.

Katz und Maus


Als Rat kann man an dies­er Stelle keine pauschale Aus­sage tr­ef­fen, doch emp­fiehlt es sich Mi­tar­beit­er regelmäßig zu schulen, denn In­for­ma­tions­sicher­heit zie­ht sich durch die ge­samte Or­gan­i­sa­tion Ihres Un­terneh­mens. Um im Sinne des Dat­en- und Iden­titätsschutzes auch rechtlich auf der sicheren Seite zu bleiben, emp­fiehlt die CeBIT, dass Sie und Ihre Mi­tar­beit­er fol­gen­des im Blick haben: Ge­hen Sie be­wusst vor­sichtig mit In­for­ma­tio­nen um und schützen Sie Ihre Iden­titäten. Über­le­gen und regeln Sie, wer Zu­gang zu welchen Dat­en bekommt. Acht­en Sie da­rauf nur rechtlich le­gi­t­imierte In­halte ins In­ter­net zu stellen. Nutzen Sie sichere Pass­wörter und ver­sch­lüs­seln Sie Ihre Kom­mu­nika­tion best­möglich. Hal­ten Sie Be­triebssys­teme wie auch Sicher­heits­soft­ware auf dem neuesten Stand. Last but not least: Ver­netzen Sie sich nur mit geprüften Kon­tak­ten.
Cy­ber-Se­cu­ri­ty und Cy­ber-Crime ist eines der wichtig­sten The­men­felder der Dig­i­tal­isierung. Es bleibt zu hof­fen, dass im Katz und Maus Spiel zwischen Hack­ern und IT-Sicher­heit Ihres Un­terneh­mens let­ztere die besseren Karten hat.

An­dré Sarin | re­dak­tion@­sued­west­falen-ma­n­ag­er.de

Ausgabe 03/2017