Zukünftig veröffentlichen wir in (un)regelmäßigen Abständen Blogbeiträge von Gastautoren auf unserem Blog. Dieser stammt aus der Feder von Petra Adamik, freie Fachjournalistin für verschiedene IT-Fachmedien.

Wirtschaftsspionage, Ideenklau und Plagiate sind seit jeher unliebsame Begleiterscheinungen der Wirtschaft. Die Digitalisierung hat diese Problematik weiter verschärft. Immer häufiger werden Unternehmen und ihre Netzwerke von Cybergangstern attackiert. Deren Angriffe sind eine ernsthafte Bedrohung und können das wirtschaftliche Überleben eines Unternehmens gefährden, wenn Produktionspläne, Forschungsergebnisse oder andere wichtige Informationen in die falschen Hände geraten.

Laut einer Studie des Branchenverbandes BITKOM, wurden in den vergangenen beiden Jahren gut die Hälfte (51 Prozent) aller Unternehmen in Deutschland Opfer von digitaler Wirtschaftsspionage, Sabotage oder Datendiebstahl. Nach konservativen Berechnungen des Verbandes beläuft sich der daraus resultierende Schaden auf rund 51 Milliarden Euro pro Jahr. Ein Grund dafür sei, dass viele Unternehmen ihre materiellen und immateriellen Werte nicht ausreichend schützen, heißt es in dem Papier. Besonders der Mittelstand müsse beim Thema Sicherheit nachlegen, denn laut Umfrage sind mittelständische Unternehmen mit 61 Prozent am stärksten von Spionage- oder Sabotageakten betroffen.

 

Digitale Scheunentore sind zu häufig offen

Datennetze und IT-Systeme sind in den meisten Fällen das Einfallstor für digitale Spionage- und Sabotageakte. Die Angriffe gelten allen Geschäftsbereichen bis hinauf zur Geschäftsleitung. Besonders im Focus stehen die Forschungs- und Entwicklungsabteilungen, denn Informationen, die hier abgegriffen werden, sind auf den Weltmärkten viele Milliarden wert. Der Schutz wichtiger Infrastrukturen ist daher für jedes Unternehmen eine zentrale Verpflichtung.

Nicht zu unterschätzen ist allerdings auch ein weiteres Gefahrenpotenzial, nämlich der Mensch. Dazu gehören neben den aktuellen auch ehemalige Mitarbeitern, aber auch Zulieferer, Lieferanten oder Kunden. Studien zeigen, dass nahezu 80 Prozent aller Sicherheitsvorfälle in Unternehmen durch aufmerksamere Mitarbeiter hätten vermieden werden können. Warum das im Alltag aber nicht geschieht, liegt meist an einem zu geringen Risikobewusstsein oder dem „pragmatischen“ Umgehen von Schutzmaßnahmen. Daher wird es für Unternehmen, die im globalen Wettbewerb bestehen wollen immer wichtiger, eine durchgängige Sicherheitskultur zu etablieren, die für alle Mitarbeiter verständlich ist und von ihnen auch mitgetragen wird. Nur wenn Mitarbeiter wissen, wo Risiken lauern, treffen sie im Zweifelsfall die richtige Entscheidung, um ihr Unternehmen zu schützen.

Hier würde es helfen, den Mitarbeitern in klassischen IT-Bereichen, etwa bei der E-Mail, einen schlüsselfertigen Schutz zu liefern. Ein guter Spamfilter-Service, wie ihn  Hornetsecurity anbietet, dafür beispielsweise dafür, dass Mitarbeiter nicht auf eine Spam- oder Virenmail klicken können, da diese gar nicht erst bis zu ihnen vordringen. Auf diese Weise bleiben die Mailserver und die Nutzer vor DDoS-Angriffen und Phishing E-Mails geschützt.

 

Wirtschaftsministerium fördert Sicherheit

Aufklärungsmaßnahmen und nachvollziehbare Sicherheitsregeln sind das A und O einer jeder Sicherheitskultur. Unternehmen müssen ihre Mitarbeiter angesichts der anhaltenden Bedrohungslage kontinuierlich schulen. Sinnvoll ist es auch, ihnen einheitliche Werkzeuge zur Verfügung zu stellen. Das verhindert im Unternehmensnetz einen Wildwuchs an Lösungen und entlastet die Administratoren. Im Bereich der Datenspeicherung und des Daten-Sharing bietet sich beispielsweise der Einsatz von Hornetdrive an. Damit lassen sich Daten über die Cloud verschlüsseln und mit mehreren Personen oder Geräten teilen sowie synchronisieren.

Um das Bewusstsein für Cyber-Gefahren weiter zu schärfen, speziell dem Mittelstand in puncto Sicherheit auf die Sprünge zu helfen und durch praxisnahe Maßnahmen zu unterstützen, hat beispielsweise das Bundesministerium für Wirtschaft und Energie die Initiative “IT-Sicherheit in der Wirtschaft“ (www.it-sicherheit-in-der-wirtschaft.de) eingerichtet. Gemeinsam mit Sicherheitsexperten der Wirtschaft sowie der Arbeitsgruppe SecuSo der TU-Darmstadt wurde das Forschungsprojekt KMU AWARE aufgelegt, um praxisnahe und im Alltag umsetzbare Methodiken für diesen Benutzerkreis zu entwickeln.

Gerade die Mitarbeiter von KMUs handeln selten in böser Absicht, werden oft unbewusst zu Tätern. Häufige Gründe für den Verstoß gegen die Grundregeln der Sicherheit sind Unwissenheit und ein geringes Risikobewusstsein, fehlendes IT-Handwerkzeug und nicht zuletzt unzureichende Sicherheitsrichtlinien oder das „pragmatische“ Umgehen von Schutzmaßnahmen. Aufklärung ist daher eine wichtige Maßnahme. Denn grundsätzlich gilt – egal ob Phishing Mails, der Umgang mit Passwörtern oder Social Networks – nur wenn Mitarbeiter wissen, wo Risiken lauern, treffen sie im Zweifelsfall die richtige Entscheidung.

 

Mit guten Organisationsstrukturen zu mehr Sicherheit

Neben dem Grundschutz, zu dem beispielsweise Firewalls, Virenscanner, Verschlüsselungsprogramme sowie regelmäßige Updates sämtlicher Programme gehören, sollten Unternehmen daher auch auf organisatorische Maßnahmen für mehr Sicherheit ergreifen:

  • Regeln festlegen, wer auf welche Daten des Netzes zugreifen darf und wer Zutritt zu sensiblen oder kritischen Bereichen des Unternehmens bekommt.
  • Ein Notfallmanagement mit Verantwortlichen etablieren, um im Krisenfall schnell reagieren zu können.
  • Standardisierte Werkzeuge installieren und aktivieren.
  • Management und Mitarbeiter regelmäßig schulen, Sicherheitsregeln kommunizieren und auffrischen.
  • Festlegen, wie Zugangsdaten verwendet werden dürfen oder müssen, was das Unternehmen im Hinblick auf den korrekten Umgang mit externen Datenträgern von seinen Mitarbeitern erwartet.
  • Verhaltensregeln dafür festschreiben, wie Management und Mitarbeiter auf Reisen oder im HomeOffice mit Daten und Firmeninformationen umgehen müssen.
  • Potenzielle neue Mitarbeiter bereits in der Bewerbungsphase mit Blick auf die Sicherheit überprüfen.
  • Zugangsdaten und -berechtigungen von ausgeschiedenen Mitarbeitern löschen, um unberechtigte Zugriffe zu verhindern.

Um die Hemmschwelle zur Umsetzung von Sicherheitsregeln im Arbeitsalltag möglichst niedrig zu halten, muss nicht jeder Mitarbeiter bis ins Detail über sämtliche Sicherheitsaspekte informiert werden. Nicht an jedem Arbeitsplatz besteht schließlich ein gleich hohes Risiko für das Unternehmen. Grundsätzlich ist es aber wichtig, das Risikobewusstsein aller Mitarbeiter zu schärfen und die Bedeutung der IT-Sicherheit immer wieder zu veranschaulichen. Bei der Einführung von Sicherheitsregeln sollten alle Abteilungen mit einbezogen werden, um das Bewusstsein für deren Bedeutung zu schärfen und durch diese Teamarbeit das Wir-Gefühl in allen Bereichen zu stärken.