Digitale Sicherheit – Mittelstand bedingt abwehrbereit

Daten und Informationen avancieren im Zuge der fortschreitenden Digitalisierung zur Ware Nummer eins. Doch die digitale Revolution birgt auch zunehmende Sicherheitsrisiken. Gerade aktuelle Trends wie mobile Kommunikation, Big Data oder Cloud-Computing bedürfen einer umfassenden Sicherung, um nachhaltiges Vertrauen bei Mitarbeitern, Kunden und Geschäftspartnern zu schaffen. Deshalb ist das Thema digitale Sicherheit mehr denn je von Bedeutung für den wirtschaftlichen Erfolg eines jeden Unternehmens. Doch wie lassen sich Infrastruktur und Kommunikationswege effektiv schützen? Welche allgemeinen Schutzvorkehrungen sollten Einzug in den Geschäftsalltag halten?

IT-Sicherheit als höchstes Gut

Die Digitalisierung ist allgegenwärtig und zwingt Unternehmen, ihre Geschäftsmodelle grundlegend zu überdenken. Schon heute vereinfacht sie Arbeitsabläufe, sie ermöglicht die Kommunikation in Echtzeit und eine effiziente Vernetzung rund um den Globus. Und mit der Entwicklung hin zur Industrie 4.0 auf Basis digitalisierter Wertschöpfungsketten und Produkte sowie ihrer smarten Vernetzung über das Internet, gewinnt die wirtschaftliche Transformation weiter an Gestalt. Die Folge ist eine rasant steigende Abhängigkeit der Betriebe von informationstechnischer Infrastruktur. Zugleich eröffnen sich zahlreiche Risikoquellen: Datenverluste, Sicherheitslücken, Systemausfälle oder das ungewollte Mitlesen von Informationen durch Dritte – das alles kann am Ende negative Folgen für das Vertrauen in ein Unternehmen, dessen Reputation und nicht zuletzt die Existenz haben. Der wirtschaftliche Erfolg hängt also künftig noch stärker davon ab, wie gut es gelingt, sensible Datenbestände und das geschäftliche Umfeld zu schützen. Eine ausgereifte IT-Sicherheit wird damit unerlässlich. Doch wie halten es Unternehmen angesichts der neuen Rahmenbedingungen wirklich mit der IT-Sicherheit?

Unsicherheiten und Risiken in Zeiten der Digitalisierung

Informationssicherheit ist für deutsche Unternehmen keine Unbekannte, allerdings besteht erheblicher Nachholbedarf: In seinem Lagebericht zur IT-Sicherheit in Deutschland von 2015 resümiert das Bundesamt für Sicherheit in der Informationstechnik (BSI), dass IT-Systeme hierzulande mit gravierenden Sicherheitslücken zu kämpfen hätten. Nach Angaben des Branchenverbands Bitkom war die Hälfte aller Unternehmen bereits von digitaler Spionage, Sabotage oder Datendiebstahl betroffen. Der dadurch entstandene Gesamtschaden für die Wirtschaft beläuft sich auf rund 51 Milliarden Euro  im Jahr. Dabei ist gerade bei Cybercrime-Delikten von einer sehr hohen Dunkelziffer auszugehen. Nur ein kleiner Teil der Straftaten wird nach Auskunft des Bundeskriminalamts überhaupt zur Anzeige gebracht, ein anderer ist den Verantwortlichen gar nicht erst bekannt. Während in der Vergangenheit hauptsächlich der öffentliche Sektor und Großkonzerne im Fokus standen, wird heute der Mittelstand vermehrt ins Visier von Cyberkriminellen genommen. Nicht ohne Grund: Das Rückgrat der hiesigen Wirtschaft ist aufgrund seiner Reputation und Innovationskraft ein attraktives Ziel für Angriffe. Zwar verfügen viele Mittelständler über einen guten Grundschutz, doch Virenscanner, Firewalls oder ein einfacher Passwortschutz für Computer sind im Zeitalter der Digitalisierung nicht mehr ausreichend. Der „Sicherheitsmonitor Mittelstand“ der Initiative Deutschland sicher im Netz e. V. (DsiN) kommt sogar zu dem Schluss, dass trotz des steigenden Digitalisierungsgrads der Betriebe die Vorkehrungen für IT-Sicherheit stagnieren bzw. zurückgehen.

Passwörter, Verschlüsselung etc. digitale Sicherheit im Geschäftsalltag gewährleisten

Erstaunlich ist, dass nur eine Minderheit der Unternehmen ihre IT-Sicherheit aufrüstet bzw. in neue Technologien investiert. Zwar ergreifen Unternehmen gewisse Sicherheitsmaßnahmen, jedoch reicht dieser Basisschutz in Zeiten zunehmender Cyberkriminalität meist nicht mehr aus. Für eine umfassende Absicherung ihrer Systeme sollten Unternehmen zusätzliche technische Sicherheitsvorkehrungen treffen. Dazu zählt die Verschlüsselung von Daten und des E-Mail-Verkehrs sowie eine erweiterte Benutzeridentifikation beim Zugriff auf Systeme, beispielsweise über eine Zwei-Faktor-Authentifizierung oder biometrische Merkmale wie den Fingerabdruck. Da die Cyberangriffe aber immer ausgefeilter werden, müssen sich IT-Verantwortliche auch mit Lösungen zur automatisierten Erkennung von hochkomplexen Bedrohungen beschäftigen. Systeme zur Erkennung von Einbrüchen überwachen beispielsweise Netzwerke und analysieren Datenströme. Sie erkennen frühzeitig Eindringlinge und wehren Cyberattacken ab, wenn Firewalls oder Virenscanner den Angriff nicht stoppen können.

Weitere wichtige Sicherheitsvorkehrungen sind Systeme zur Data Leakage Prevention. Sie schützen den Betrieb vor unerwünschtem Datenabfluss. Doch damit wird nicht etwa auf eine Bedrohung durch subversive Hackergruppen aus dem Ausland, sondern auf die durch die eigenen Beschäftigten reagiert. Letztere bzw. ehemalige Mitarbeiter stellen ein nicht zu unterschätzendes Risiko dar. Nicht nur kriminelle Motive stellen ein Problem dar, sondern vor allem auch, dass dieser Personenkreis unachtsam im Umgang mit Daten und der Kommunikation über das Internet agiert. Lädt sich ein Mitarbeiter Daten auf seinen privaten USB-Stick oder schickt sie an ein privates E-Mail-Konto, hat nämlich schon ein unkontrollierter Datenabfluss stattgefunden.

Zudem sind unsichere Passwörter ein sehr häufiges Sicherheitsleck. Viele Nutzer verwenden immer noch Zahlenreihen wie „12345“ oder einfache Begriffe. Hinzu kommt der sorglose Umgang mit bzw. der Verlust von externen Datenträgern. Ein erhebliches Sicherheitsrisiko stellt zudem die ungeregelte Nutzung privater Endgeräte wie Smartphones oder Tablets von Beschäftige im Geschäftsalltag dar. Selbst der Zugriff auf soziale Netzwerke über Firmenrechner ist eine potentielle Gefahr. Verstärkt wird dies durch das sogenannte Social Engineering: Dabei werden Profile in sozialen Netzwerken wie beispielsweise XING oder LinkedIn von Kriminellen ausgewertet, mit dem Ziel, ein Bekanntheitsverhältnis vorzutäuschen, um an vertrauliche Unternehmensdaten zu gelangen. Entscheidend ist daher die Sensibilisierung des Managements und der Belegschaft für das Thema digitale Sicherheit. Verbindliche Richtlinien, Schulungen und Weiterbildungen sind hierfür essentiell.

Herausforderungen für die Sicherheitsarchitektur des Mittelstands

Unternehmen müssen sich künftig intensiver und schneller auf die sich kontinuierlich verändernden Rahmenbedingungen einstellen. Kern der Sicherheitsarchitektur ist ein ganzheitliches Sicherheits-Management-System (ISMS). Mit diesem werden die notwendigen Prozesse und Verantwortlichkeiten festgelegt, um nicht nur punktuell und kurzfristig für IT-Sicherheit zu sorgen, sondern auch langfristig auf neue Sicherheitsrisiken reagieren zu können. Außerdem wird sichergestellt, dass eine ganzheitliche Risikobetrachtung durchgeführt wird, um nicht nur offensichtliche Lücken zu schließen, sondern alle Risiken zu vermeiden.

Fehlt dazu im Betrieb die notwendige Expertise, sollte externer Sachverstand eingeholt werden. Nicht nur der Faktor Mensch ist zu berücksichtigen, weitere wichtige Schritte sind die Einschätzung des Risikopotentials sowie die Identifizierung von bestehenden Sicherheitslücken. Darüber hinaus müssen neue Konzepte und Technologien zur Analyse, Abwehr und Bewertung von Schäden eingeführt werden. Dabei sind Investitionen in den physischen Schutz in Form von Zutrittskontrollen oder der Sicherung von Gebäuden genauso wichtig wie die Einrichtung von Notfallsystemen und die Zertifizierung durch Dritte. Das erhöht das allgemeine Sicherheitsniveau. Denn nur eine gefestigte IT-Infrastruktur schützt wertvolles Know-how vor Verlust oder Diebstahl und gewährleistet damit langfristig Wettbewerbsfähigkeit. Und wer fachlich auf dem Laufenden bleibt und weiß, wie sich Bedrohungsszenarien entwickeln und welche Auswirkungen sie haben, kann mit Sicherheitsvorfällen professionell umgehen und den entstandenen Schaden minimieren.