Das schwächste Glied der Kette

In einer Umfrage gaben 14,8 Prozent der befragten Unternehmen aus Deutschland und Österreich an, für die Belange des Informationsschutzes keinen Verantwortlichen festgelegt zu haben. Dabei rückt der innovationsstarke Mittelstand immer mehr in den Fokus von Cybercrime und Industriespionage.

Bei der US-Tochter eines deutschen mittelständischen Maschinenbauers meldete sich eines Tages das FBI. Man sei im Rahmen eines Falles von internationaler Wirtschaftskriminalität in den Besitz mehrerer Gigabyte interner Forschungs- und Entwicklungsdaten gelangt, ob man denn vom Datenabfluss wüsste. Völlig unbemerkt hatten sich Hacker über das Internet Zugang zu vertraulichen Dokumenten verschafft und die Resultate jahrelanger Arbeit kopiert. Die Firmenzentrale in Deutschland war schockiert, solch einen orchestrierten Angriff hatte man noch nicht erlebt.

Mittelstand im Fokus

Doch so geht es gerade vielen Unternehmen. „Gerade innovationsstarke Mittelständler aus dem Maschinenbau geraten mehr und mehr in den Fokus der Angreifer“, bestätigt Christian Schaaf, Geschäftsführer von Corporate Trust, einer Unternehmensberatung für Sicherheitsdienstleistungen. Eine Studie seines Unternehmens gibt einen Einblick, wie stiefmütterlich das Thema in deutschen Unternehmen noch immer behandelt wird: So hatte in den vergangenen beiden Jahren jedes zweite befragte Unternehmen einen Spionageangriff oder Verdachtsfall zu beklagen, ein Anstieg von 5,5 Prozent seit 2012. Dennoch haben 14,8 Prozent die Verantwortlichkeit für die Belange des Informationsschutzes intern nicht geregelt. Für Schaaf gehört das brisante Thema klar auf Vorstandsebene.

Aktuelle Entwicklungen

Corporate Trust unterteilt das abstrakte Thema IT-Sicherheit in drei Bereiche. Die reine Datensammlung meist ohne eindeutig strafbare Handlung etwa von NSA oder Google fällt in die Kategorie „Privacy“. Unter „Cybercrime“ fällt die organisierte Kriminalität, die mit immer komplexeren Viren, Trojanern und Phishing-E-Mails Privatpersonen und in letzter Zeit verstärkt auch Unternehmen angreift. Ziel ist primär ein unmittelbarer finanzieller Vorteil. Als „Cyberwar“ wird die gezielte Industriespionage bezeichnet, die für innovative Unternehmen die größte Bedrohung darstellt. Denn ein Wettbewerber könnte sich theoretisch das mühsam aufgebaute Know-how in relativ kurzer Zeit aneignen.

Wirtschaftsstruktur erleichtert Angriffe

Die etwa in den USA vorherrschenden Großkonzerne verfügen über ausreichende Ressourcen, um eigene Sicherheitsabteilungen zu unterhalten. Die Struktur der deutschen Wirtschaft mit relativ vielen kleinen Mittelständlern hingegen erleichtert Angreifern die Arbeit. „Auch wegen ihrer Zusammenarbeit mit Großkonzernen sind Mittelständler ein interessantes Ziel für Angreifer. Diese suchen sich dabei das vermeintlich schwächste Glied der Kette aus und arbeiten sich bis zum Zielobjekt vor“, erläutert Marc Fliehe, Bereichsleiter IT-Sicherheit beim Branchenverband Bitkom. Es reiche heutzutage nicht mehr, die Informationssicherheit nur auf aktuellem Stand zu halten. Eine permanente Weiterentwicklung der Sicherheitsstandards ist notwendig, neue Trends zwingen zur ständigen Kontrolle.

Woher kommen die Angriffe?

Bei der Identifikation der Angreifer ist Vorsicht geboten, Spuren können verwischt oder absichtlich falsch gelegt werden. Dennoch können Unternehmen die Attacken in vielen Fällen eingrenzen. Der Studie von Corporate Trust zufolge stammen die meisten Angriffe auf deutsche Unternehmen aus Asien (38,8 Prozent), den GUS-Staaten (32,6 Prozent) und Osteuropa (31,7 Prozent). Dabei bietet die zunehmende Digitalisierung der Arbeitswelt immer mehr Angriffsflächen. Durch Home-Office-Zeiten müssen beispielsweise auch Arbeitsplätze außerhalb des Unternehmens berücksichtigt werden, zusätzliche Schnittstellen ergeben sich durch mobile Endgeräte. Bei der Auslandsexpansion sollte besonderes Augenmerk auf die Ausgestaltung des Datenaustauschs mit dem Mutterunternehmen gelegt werden. Die sorgfältige Auswahl und Schulung der Mitarbeiter hilft, interne Lecks zu minimieren.

Ganzheitlicher Ansatz nötig

„Das Thema IT-Sicherheit muss ganzheitlich betrachtet werden und mit klassischen Sicherheitsthemen wie Zugangsrechten kombiniert werden“, fasst Schaaf zusammen. Sinnvoll sei eine Segmentierung des gesamten Unternehmens nach jeweiligem Sicherheitsbedarf. „Schon mit relativ einfachen Maßnahmen kann viel für die Sicherheit der Daten getan werden. Für besonders kritische Unternehmensbereiche sollten die Sicherheitskonzepte an die individuellen Prozesse angepasst werden“, ergänzt Fliehe. Im Schadensfall rät er schon aus versicherungsrechtlichen Gründen zur Anzeige. „Ich verstehe die Vorbehalte der betroffenen Unternehmen. Um den Sicherheitsbehörden aber ein realistisches Lagebild zu ermöglichen, sollte zumindest eine anonyme Schadensmeldung vorgenommen werden.“

 

Dieser Beitrag erschien ursprünglich in Ausgabe 5-14 von WIR FAMILIENUNTERNEHMER, dem Verbandsmagazin von Die Familienunternehmer – ASU und die Jungen Unternehmer – BJU

Autorenprofil
Vorheriger ArtikelGuter Deal, schlechter Deal
Nächster ArtikelLeichter Stimmungseinbruch auch in Österreich