Image
(Foto: © Jakub Jirsák – stock.adobe.com)

Die Kehrseite der Digitalisierung

Cyber-Angriffe stellen zunehmend eine reale Gefahr dar – Digitalisierung und IT-Security verlangen nach besseren Verschlüsselungs- und Sicherheitstechnologien.



Im Zeitalter der Industrie 4.0 ist die Digitalisierung mit ihren modernen Technologien ein wichtiger Faktor für den Erfolg eines Unternehmens. Doch gleichzeitig bringen diese neuen Entwicklungen auch neue Risikofaktoren mit sich. Digitalisierung verlangt nach besseren Verschlüsselungs- oder optimierten Sicherheitstechnologien, denn mit der digitalen Vernetzung stellen Cyber-Angriffe zunehmend eine reale Gefahr für Unternehmen dar. „Cybercrime – in all ihren Ausprägungen – ist eine wachsende Industrie mit enormem Schadenspotenzial und derzeit noch viel zu geringen Risiken für Straftäter“ erklärte Holger Münch, Präsident des Bundekriminalamts im Zusammenhang mit einem Interview der CeBIT. Münch gibt dabei auch zu bedenken, dass man heute kein IT-Experte sein muss, um Cyber-Straftaten zu begehen. „Anleitungen für DDoS-Attacken oder den Einsatz von Malware werden im Darknet gehandelt“, so Münch, der auf der diesjährigen CeBIT zum Thema IT-Sicherheit Auskunft geben wird. Auch wird der bekannteste Whistleblower der Welt, Edward Snowden, als Redner aus Moskau zugeschaltet sein. Snowden wird sich dabei stärker der Bedrohung durch Staatsspionage widmen und darlegen, dass diese auch von Hackern als Backdoor genutzt werden könnte. Nicht von ungefähr haben sich der Deutsche Beirat für Digitale Wirtschaft im Bundeswirtschaftsministerium und der französische Nationalrat für Digitales gegen die Forderungen nach Zugriff auf Informationen von Innenminister Thomas de Maizière und seinem französischen Amtskollegen Bernard Cazeneuve ausgesprochen. Staatssicherheit kann bei Unternehmen eben auch zu Unsicherheit führen. Und damit sind wir wieder beim Thema, denn Unsicherheit ist eben etwas, was den deutschen Mittelstand beim Thema Cyber-Security aktuell am besten beschreibt.

Cyber-Security und der Mittelstand


Dabei sind der Schutz vorhandener Daten und die Sicherheit der eigenen IT-Infrastruktur wichtiger denn je. Doch einige Unternehmen schützen ihre materiellen und immateriellen Werte nicht ausreichend bzw. schaffen es nicht IT-Sicherheitsstrukturen zu definieren. Dafür spricht auch eine Studie des Branchenfachverbands Bitkom aus dem Frühjahr 2016, laut der 69 Prozent der Industrieunternehmen in Deutschland in den vergangenen zwei Jahren bereits zum Opfer von Datendiebstahl, Wirtschaftsspionage oder Sabotage geworden sind. Den dabei entstandenen Schaden für die deutsche Industrie berechnet der Verband auf rund 22,4 Milliarden Euro pro Jahr. Für den Mittelstand kann dabei der Umsatzverlust, Rechtstreitigkeiten oder ein Betriebsstopp existenzgefährdend sein. „Die deutsche Industrie mit ihren zahlreichen Hidden Champions ist ein attraktives Angriffsziel von Cyberkriminellen und ausländischen Nachrichtendiensten“, mahnte Bitkom-Präsidiumsmitglied Winfried. Das am häufigsten auftretende Delikt ist dabei der Diebstahl von IT- und Kommunikationsgeräten: 32 Prozent der Unternehmen berichten, dass zum Beispiel Smartphones, Computer oder Tablets gestohlen wurden. Bei einem Fünftel wurden sensible physische Dokumente, Bauteile oder Muster entwendet. Vom Diebstahl sensibler digitaler Dokumente dagegen waren 19 Prozent betroffen. Bei 18 Prozent kam es zu Sabotageakten mit dem Ziel, die betrieblichen Abläufe zu stören oder lahmzulegen. Und 16 Prozent der betroffenen Unternehmen registrierten Fälle von Social Engineering. Bei dieser Methode geht es darum, Mitarbeiter zu manipulieren, um an Informationen wie Passwörter zu gelangen. Dabei sind die Schwachstellen allgemein bekannt. So ist beim Mittelstand vor allem die mangelnde Wahrnehmung einer Gefahr durch Cyber-Attacken präsent; oder eben nicht. Zudem sind es vor allem die hohen Kosten, weshalb der Mittelstand sich nicht besser schützt. Hier spiegelt sich die Ansicht wider, dass Datenschutz einen finanziellen Aufwand verursacht, aber keinen Beitrag zum Umsatz liefert. Auch mangelnde Zeit, sich gezielt mit IT-Sicherheit und Datenschutz auseinanderzusetzen, spielt eine Rolle. Im Ergebnis halten daher laut einer KfW-Analyse von 2016 rund 55 Prozent der Mittelständler ihr Unternehmen für ausreichend geschützt. Das heißt im Umkehrschluss, dass auch jedes zweite Unternehmen aktuell keinen ausreichenden Schutz für sich sieht.
Verschärft wird diese Lage noch durch das Prinzip der Nutzung privater Endgeräte für berufliche Zwecke (Bring your own Device – BYOD) und die vermehrte Nutzung von Tablets oder Smartphones. Letztere sind nämlich in der Regel kein Teil der IT-Sicherheit eines Unternehmens und können somit leichter attackiert werden. Laut Bitkom Umfrage vom Oktober 2016 hatte jeder vierte Smartphone-Nutzer in den vergangenen zwölf Monaten einen Sicherheitsvorfall mit seinem Gerät. Dabei führen spezielle Smartphone-Viren dazu, dass der Nutzer ausspioniert, aggressive Werbung angezeigt oder der Zugang zu den Geräten versperrt wird. BYOD wird daher vom Bundesverband mittelständische Wirtschaft als grundsätzlich abzuratend eingestuft. Der Verband rät seinen Mittgliedern eher die Anschaffung von Firmengeräten. Diese können dann mit der entsprechenden Sicherheitssoftware und Verschlüsselung auch privat genutzt werden. Wichtig ist dabei, dass jemand im Unternehmen im Falle eines Angriffs oder Diebstahls die Möglichkeit hat sensible Daten per Fernzugriff zu löschen. Es bleibt festzuhalten, dass der Grundschutz, über den alle Unternehmen verfügen sollten, längst nicht mehr nur aus Virenscannern, Firewalls und regelmäßigen Updates sämtlicher Programme besteht. Diese Maßnahmen allein reichen heutzutage kaum noch aus. Der Basisschutz sollte durch spezielle Angriffserkennungssysteme ergänzt werden. Einen wichtigen Schutz bietet zudem die Verschlüsselung sensibler Daten. Nur 45 Prozent der Firmen verschlüsseln ihre Daten, und dass obwohl immer wieder neue Berichte über Cyber-Angriffe in den Medien erscheinen.

Risikofaktor Mensch

Und damit kommen wir zum letzten großen Risikofaktor in der IT-Sicherheit – dem Menschen. So nutzen beispielsweise mehr als ein Drittel der Internetnutzer in Deutschland ein und dasselbe Passwort für mehrere Online-Zugänge, zum Beispiel zu E-Mail-Diensten, sozialen Netzwerken oder Online-Shops. Auch birgt die vermehrte Nutzung von Cloud-Diensten wie Dropbox und Co. große Risiken. IT-Sicherheit wird dabei oft aus reiner Bequemlichkeit umgangen.
Doch es geht auch anders, denn der Mensch kann auch ganz aktiv zum Sicherheitsrisiko werden. Laut Bitkom sagen rund zwei Drittel der betroffenen Unternehmen, dass aktuelle oder ehemals Beschäftigte für Cyber-Straftaten verantwortlich waren. „Innentäter sind das größte Sicherheitsrisiko in der Wirtschaft“, so Holz der gleichzeitig riet: „Unternehmen sollten ihren Mitarbeitern nicht misstrauen, sondern eine Sicherheitskultur etablieren, die das Bewusstsein für den Schutz des Betriebes schärft.“ Bei einem Drittel der Befragten kamen die Angriffe aus dem unmittelbaren Umfeld von Kunden, Lieferanten oder Dienstleistern. In vielen Fällen verfügen Täter aus dem direkten Umfeld über Insiderkenntnisse, die Straftaten erleichtern.

Katz und Maus


Als Rat kann man an dieser Stelle keine pauschale Aussage treffen, doch empfiehlt es sich Mitarbeiter regelmäßig zu schulen, denn Informationssicherheit zieht sich durch die gesamte Organisation Ihres Unternehmens. Um im Sinne des Daten- und Identitätsschutzes auch rechtlich auf der sicheren Seite zu bleiben, empfiehlt die CeBIT, dass Sie und Ihre Mitarbeiter folgendes im Blick haben: Gehen Sie bewusst vorsichtig mit Informationen um und schützen Sie Ihre Identitäten. Überlegen und regeln Sie, wer Zugang zu welchen Daten bekommt. Achten Sie darauf nur rechtlich
legitimierte Inhalte ins Internet zu stellen. Nutzen Sie sichere Passwörter und verschlüsseln Sie Ihre Kommunikation bestmöglich. Halten Sie Betriebssysteme wie auch Sicherheitssoftware auf dem neuesten Stand. Last but not least: Vernetzen Sie sich nur mit geprüften Kontakten. Cyber-Security und Cyber-Crime ist eines der wichtigsten Themenfelder der Digitalisierung. Es bleibt zu hoffen, dass im Katz und Maus Spiel zwischen Hackern und IT-Sicherheit Ihres Unternehmens letztere die besseren Karten hat.

André Sarin | redaktion@revier-manager.de

Ausgabe 03/2017