mz_logo

Ostbayern
Dienstag, 21. November 2017 7

IT-Sicherheit

Das Problem sitzt häufig vor dem Monitor

Cyberattacken machen den Unternehmen das Leben schwer und offenbaren große Sicherheitslücken – oft sind es die Mitarbeiter.
Von Thomas Tjiang, Wirtschaftszeitung

Hacker richten jährlich Schäden von mehr als 50 Milliarden Euro an. Sie nutzen für ihre Angriffe zahlreiche und unterschiedliche Einfallstore. Foto: Family Business - stock.adobe.com

Nürnberg.Informationssicherheit wird zunehmend zum kritischen Erfolgsfaktor von Unternehmen. Aussagen wie „Bei uns ist noch nie etwas passiert“ oder „Was soll bei uns schon zu holen sein, so geheim sind unsere Daten nicht“ sind Ausdruck einer laut Bundesamt für Sicherheit in der Informationstechnik (BSI) weit verbreiteten Fehleinschätzung bezüglich des eigenen Schutzbedarfs. Als Hauptangriffsziel gelten längst nicht mehr nur geheime Daten auf Firmenrechnern, auch Erpressung durch die Verschlüsselung von Systemen nimmt zu.

Täter sind oft Mitarbeiter

Mehr als jedes zweite Unternehmen in Deutschland ist laut einer Bitkom-Erhebung innerhalb der letzten zwei Jahre Opfer von Cyberangriffen geworden. Der Schaden durch Spionage, Sabotage oder Datendiebstahl wird mittlerweile mit 55 Milliarden Euro beziffert. Am häufigsten haben Unternehmen aktuelle oder ehemalige Mitarbeiter als Täter identifiziert. Vier von zehn betroffenen Unternehmen machen Wettbewerber, Kunden, Lieferanten oder Dienstleister für die Angriffe verantwortlich. Ausländische Nachrichtendienste wurden in drei Prozent der Unternehmen als Täter identifiziert. „Wir brauchen technische Lösungen, die Geld kosten“, stellt Robert Wortmann vom Nürnberger Systemhaus Teamix klar. Denn Angriffsmuster von Cyberkriminellen würden immer raffinierter. Zumal sich auf den Rechnern der Unternehmen viel geistiges Eigentum befindet, das den wirtschaftlichen Erfolg der Firmen begründet. Den Schutz der betrieblichen Informationssicherheit könne man aber nicht an die eigene IT-Abteilung delegieren, mahnt Wortmann: „Das ist ein Irrglaube.“

Hoch im Kurs der Sicherheitsbedrohungen liegt Ransomware, gern als Verschlüsselungstrojaner, der per E-Mail-Link verschickt wird. Das hat sich zu einem „Riesengeschäft“ entwickelt, hinter der kriminellen Softwareentwicklung, die oft günstig zu kaufen ist, steht häufig ein „Provisionsmodell“ für den Programmierer. Mittlerweile finde sich immer öfter am verschlüsselten Bildschirmrechner ein Chatfenster, um auch einer „Oma zu erklären, wie man die Internetwährung Bitcoins kauft und überweist“, so Wortmann weiter.

Alle Sicherheitsinvestitionen nützen allerdings nicht, wenn es – wie es in der Computerbranche gern heißt – ein „Layer-8-Problem“ gibt. Das ist der „DAU“, der dümmste anzunehmende User, gern auch als „Error 40“ – der Fehler sitzt 40 Zentimeter vor dem Monitor – bezeichnet. Wortmann meint damit aber nicht nur das individuelle Fehlverhalten einzelner Mitarbeiter bezüglich der Informationssicherheit, sondern auch organisatorisches Versagen. Dazu zählt er etwa eine sicherheitstechnisch bedenkliche Holztür zum Serverraum oder den unkontrollierten Zugang für die Putzkolonne.

Jede Sensibilisierung der Mitarbeiter sei aber vergeblich, wenn der schwierigste User, der Chef im Unternehmen, aus der Reihe schert. Mit einem Anruf in der IT-Abteilung setze er sich oftmals über die Sicherheitsarchitektur hinweg, weil er etwa aus dem Urlaub per Smartphone nicht auf die Firmenmails zugreifen kann.

Bedrohung für reale Werte

Für Mark Semmler, Nürnberger Berater und Experte für Informationssicherheit, sollte Informationssicherheit in Unternehmen den gleichen Stellenwert besitzen wie der Brandschutz. In beiden Fällen werden reale Werte gegen reale Bedrohungen geschützt und in beiden Fällen kann die Schadenshöhe ruinös sein. In diesem Zusammenhang erinnert er exemplarisch an die Nutzungsbedingungen für die iCloud, die sich leicht unter dem Suchbegriff „Apple, ohne Ihnen gegenüber“ googeln lassen. Dort findet sich die Passage: „... Sie erklären sich damit einverstanden, dass Apple, ohne Ihnen gegenüber zu haften, auf Ihre Accountinformationen und Ihre Inhalte zugreifen, diese nutzen, aufbewahren und/oder an Strafverfolgungsbehörden, andere Behörden und/oder sonstige Dritten weitergeben darf, wenn Apple der Meinung ist, dass dies vernünftigerweise erforderlich oder angemessen ist …“ Semmler ermahnt: Was das für die Know-how-Träger im deutschen Mittelstand bei „America First“ bedeutet, solle jedes Unternehmen für sich selbst beantworten.

Für eine „organisatorische Resilienz“ bei der Informationssicherheit plädiert Michael Franke von der Nürnberger Rühl Consulting. Er empfiehlt die ISO 27001, um alle organisatorischen und technischen Maßnahmen auf Basis einer Risikobeurteilung zu planen, zu steuern und zu koordinieren. Sie steht auf drei Säulen, die dem Top-Management auch bei unvorhergesehenen Ereignissen hilft, die richtigen Entscheidungen zu treffen.

Lesen Sie zu diesem Thema auch folgenden Artikel: „In der Praxis haben wir große Probleme“

Dieser Text ist ein Beitrag aus der Wirtschaftszeitung. Hier geht es zum E-Paper. www.die-wirtschaftszeitung.de/epaper

Die Kommentarfunktion steht exklusiv unseren Abonnenten zur Verfügung. Als Abonnent melden Sie sich bitte an oder registrieren Sie sich. Alle anderen Nutzer finden preiswerte Angebote in unserem Aboshop.

Anmelden Registrieren Zum Abo-Shop

Sie sind noch nicht registriert?

Neu registrieren

MessageBox

Nachricht