Teilen Sie www.B2B-NORD.de auf Facebook.
IT-Sicherheit ist Chefsache
B2B Wirtschaft | Thomas R. Koehler

IT-Sicherheit ist Chefsache

B2B NORD IT-Sicherheit ist Chefsache
München (em/lm) Sie kommen beinahe täglich – die Meldungen in der Presse über immer neue Unsicherheiten weitverbreiteter technischer Systeme. Große Schlagzeilen machen dabei nur wenige Ereignisse, wie etwa die im Juli verbreitete Nachricht, dass beinahe 950 Millionen(!) derzeit im Gebrauch befindliche Android-Smartphones ganz einfach per manipulierter MMS-Nachricht zu kapern sind – die Kenntnis der Telefonnummer genügt, um ein Gerät unter Kontrolle zu bringen. Doch der große Aufschrei blieb auch diesmal aus, zu sehr haben wir uns anscheinend bereits daran gewöhnt, dass Informationstechnologie, auf die wir uns privat wie geschäftlich stützen und ohne die unsere moderne Welt nicht mehr funktionieren kann, hochgradig unsicher ist.

Sicherheit – etwa im gerade angesprochenen Smartphone-Sektor – ist relativ und lässt sich bestenfalls an einzelnen Zahlen festmachen. So wurde aus an die Öffentlichkeit gelangten Interna der italienischen Sicherheitsfirma mit dem schönen Namen „Hacking Team“ bekannt, dass noch nicht bekannte Sicherheitslücken für das alternative Smartphone-Betriebssystem iOS (das von Apple) für Millionenbeträge gehandelt wurden (und vermutlich noch werden), während es dergleichen für Android quasi „im Dutzend billiger“ gab und gibt. Die Summe dieser Meldungen mag den Abstumpfungseffekt erklären, der viele Unternehmensverantwortliche scheinbar erfasst hat, wenn es um grundlegende Einstellungen in Sachen Sicherheit geht. IT-Sicherheit ist und bleibt ein Thema, mit dem man sich ungerne befasst.

KRITIS – die Haftungsfrage
Daran ändert auch das kürzlich in Deutschland in Kraft getretene IT-Sicherheitsgesetz wenig, mit dem höhere Sicherheitsstandards quasi vorgeschrieben werden sollen und in dem eine Meldepflicht von Cyberattacken festgelegt ist. Denn betroffen sind nur Betreiber sogenannter kritischer Infrastrukturen (KRITIS), also Organisationen, „bei deren Ausfall nachhaltig wirkende Versorgungsengpässe oder erhebliche Störungen der öffentlichen Sicherheit eintreten würden“ (Bundesamt für Sicherheit in der Informationstechnik, BSI). Dazu zählen im wesentlichen Energieversorger, Telekommunikationsdienstleister, Krankenhäuser und auch das Finanz- und Versicherungswesen. Gefühlt gilt für alle anderen Branchen damit Entwarnung. Zwar riskiert man als Unternehmensverantwortlicher – unabhängig von KRITIS – Haftungsprobleme, wenn man sich unzureichend um die ITSicherheit kümmert, solange aber die Einschläge nicht näher kommen, ändert sich dennoch zumeist nichts an der Situation. Aufgeschreckt reagieren Unternehmer und IT-Verantwortliche in Unternehmen zumeist erst dann, wenn Vorfälle in der gleichen Branche Publik werden oder Unternehmerkollegen betroffen sind. Beunruhigend in diesem Zusammenhang ist insbesondere die Tatsache, dass es – nach verschiedenen Schätzungen aus der Sicherheitsbranche – zwischen 100 und 200 Tage dauert, bis eine erfolgreiche Attacke tatsächlich auch vom Unternehmen bemerkt wird, gleichzeitig aber wenige Stunden Zugriff bereits genügen, um substantielle Informationen abzuziehen oder großen Schaden durch Sabotage zu stiften. Reagiert man nun erst nach Bekanntwerden vergleichbarer Fälle, so ist die „Inkubationszeit“ für das eigene Unternehmen möglicherweise längst verstrichen. Mithin ist dieses Zuwarten bei näherer Betrachtung keine sehr rationale Option für den Umgang mit der Bedrohungslage. Rationales Vorgehen ist in diesem Umfeld aber zumeist die Ausnahme. Nur jede dritte Führungskraft sieht die Risiken. Aufs schönste dokumentiert diese für Fachleute eigentlich groteske Situation eine gerade unter dem Titel „Datenklau 2015“ erschienene Studie des Beratungshauses Ernst&Young. Nur knapp jeder Dritte Befragte (Führungskräfte und Sicherheitsverantwortliche in einem deutschen Unternehmen) bewertet demnach das Risiko für das eigene Unternehmen, Opfer von Spionage, Cyberangriffen und/oder „Datenklau“ zu werden als hoch („eher hoch“ oder „sehr hoch“). Dieses Bild wird gespiegelt von der typischen Ausstattung mit Informationstechnologie. So nutzen – nach einer soeben erschienen Studie des Branchenverbandes Bitkom (auf Basis von Daten von IDC) alle befragten Unternehmen Virenscanner, Firewalls sowie einen Passwortschutz für IT-Geräte. Anwendungen zur Daten-- und Mailverschlüsselung werden von weniger als der Hälfte der Unternehmen eingesetzt. Noch schlechter sieht das Bild bei weitergehenden Sicherheitslösungen aus. Systeme zur Absicherung gegen Datenabfluss von innen (Data Leakage Prevention) nutzen nur 29 Prozent und nicht einmal ein Viertel (23 Prozent) verfügt über spezielle Angriffserkennungssysteme für Attacken von außen (Intrusion Detection). Für weitere 18 Prozent Angriffserkennungssysteme vor der Einführung und bescheidene 7 Prozent wollen sich verstärkt gegen Datenabfluss von innen absichern. Wird das ausreichen vor dem Hintergrund immer neuer Bedrohungen?

Der Feind im eigenen Haus
Ein Blick auf die Fakten sollte eigentlich aufrüttelnd genug sein. Ein Beispiel: Für 80.000 Dollar würde ein signifikanter Teil von Mitarbeitern Unternehmensgeheimnisse an Dritte verkaufen (Clearswift 2015). Was sind Ihre Geschäftsgeheimnisse wert? Schon bei einem typischen Mittelständler dürfte dieser in die Millionen gehen. Eine bewusste Wahrnehmung der Bedrohungslage ist der erste und wichtigste Schritt hin zu einem eigenen Sicherheitskonzept. Ignoranz ist in keinem Fall eine sinnvolle Abwehrstrategie gegenüber aktuellen Bedrohungen der Unternehmenssicherheit. Mehr zum Themenfeld: Sicherheitskonzept in der nächsten Kolumne von Thomas R. Köhler oder unter Thomas.Koehler@ce21.de.

Foto:
Thomas R. Köhler ist Geschäftsführer der CE21 GmbH – www.ce21.de und Autor zahlreicher Standardwerke zu IT-Themen.
Thomas R. Koehler
Thomas R. Koehler
Wittelsbacherstrasse 15
80469 München
Tel.: +49 (0) 89 7167211-0
Thomas.Koehler (at) ce21.de
www.ce21.org
Weitere Artikel lesen
BRANCHENBUCH
Auto
Druckereien
Einkaufen
Elektronik/TV
Energie
Event
Finanzen
Garten / Landschaftsbau
Gastronomie
Handwerk
Lebensmittel
Logistik
Mode
Netzwerke
Personalservice
Verlage
Wirtschaft
Dienstleistungen
Fortbildung
Gesundheit
Hotel
Immobilien
Kommunikation
Neubau
Office
Politik
Rechtsanwälte
Reisen
Senioren
Steuerberater
Training/Coaching
Versicherungen
Werbung
Wohnen
Verwendung von Cookies
Um unsere Webseite für Sie optimal gestalten zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Infos finden Sie in der Datenschutzerklärung
Akzeptieren und weitersurfen