Kontrollierbare Risiken

Mitarbeiter für IT-Sicherheit sensibilisieren

Im Interview berichtet Prof. Dr. Andreas Blum, Partner bei dem Beratungsunternehmen DHPG und zuständig für den Bereich IT, über IT-Schwachstellen in mittelständischen Unternehmen.

Prof. Dr. Andreas Blum, Partner bei dem Beratungsunternehmen DHPG, berichtet über IT-Schwachstellen in mittelständischen Unternehmen.

ITM: Herr Blum, rund jedes zweite deutsche Unternehmen wurde in den letzten zwei Jahren Opfer von digitaler Wirtschaftsspionage oder Datendiebstahl. Wo sehen Sie die gefährlichsten IT-Schwachstellen bei Mittelständlern?
Prof. Dr. Andreas Blum:
Oftmals werden die eigenen Mitarbeiter mehr oder weniger unbewusst zur Schwachstelle: Angestellte schicken sensible Unternehmensdaten versehentlich an betrügerische E-Mail-Adressaten, laden fahrlässig Programme aus dem Internet oder plaudern interne Informationen an betrügerische Anrufer aus. Aber es gibt auch Fälle, in denen Mitarbeiter Unternehmensdaten bewusst preisgeben. So kommt es häufig vor, dass sie kurz vor dem Unternehmensaustritt sensible Informationen auf externe Datenträger kopieren und unerlaubt mitnehmen.

Da IT-Systeme und Software aufgrund des Designs immer Schwachstellen enthalten, werden Mittelständler aber auch Opfer von externen Angreifern: Laut einer Bitkom-Umfrage sind mittelständische Unternehmen mit 61 Prozent am stärksten von Spionage- oder Sabotageakten betroffen. Insbesondere bei international ausgerichteten Unternehmen kommen wirtschaftliche Auskundschaftung, Blockierung von Internetdiensten oder Manipulation vor. Zudem werden vermehrt IT- und Kommunikationsgeräte wie Smartphones, Tablets oder Notebooks gestohlen. Gibt es auf diesen Geräten z.B. keine Passwörter oder Verschlüsselungen, erlangt der Täter schnell Zugang zu internen Daten.

ITM: Welche unmittelbaren Folgen resultieren daraus?
Blum:
Natürlich denken bei dieser Frage immer alle gleich an den Diebstahl wichtigen Know-hows – was auch so ist. Allerdings ist sich insbesondere der Mittelstand oft nicht des Risikos bewusst, dass eine manipulierte IT die finanzwirtschaftliche und produktionsseitige Steuerung des gesamten Unternehmens lahmlegen kann. Sollte das alles noch nicht abschreckend genug sein, so sollte ergänzend beachtet werden, dass die deutsche Finanzverwaltung eine manipulierte IT verwerfen und die Steuern des Unternehmens schätzen kann. Dies wird immer zu einem erheblichen Steuermehraufwand führen. Schlecht gemanagte IT kann das Unternehmen sehr viel Geld kosten.

ITM: Häufig fehlen entsprechendes Know-how und Ressourcen für die IT-Sicherheit, welche Tipps geben Sie Unternehmern in diesem Zusammenhang?
Blum:
Unternehmer sollten das Know-how ihrer Mitarbeiter und die Ressourcen aufbauen, um IT-Schwachstellen unter Beachtung eines angemessenen Kosten-Nutzen-Verhältnisses zu minimieren. In regelmäßigen Abständen sollte das Unternehmen seinen IT-Sicherheitsstatus ermitteln, Unsicherheitsfaktoren identifizieren und dann verbessern. Dazu sollten Firmen zum einen ihre Mitarbeiter für IT-Sicherheit sensibilisieren. Dies gilt für Themen, wie Spam-Mails, Downloads und Passwörter. Zum anderen sollten Unternehmen regelmäßig Patches und Sicherheitsupdates einspielen sowie auf einen sicheren Dokumentenaustausch achten. Letzteres wird z.B. durch die Verifizierung der Empfänger und Verschlüsselung von E-Mails erreicht oder den Einsatz sicherer Plattformen.

Natürlich kann eine Firma auch auf die Expertise eines externen Dienstleisters zurückgreifen, um seine IT-Systeme und Software auf Schwachstellen zu prüfen. Unser Team führt in solchen Fällen u.a. einen Sicherheitscheck durch. Hier werden z.B. Angriffe gesichert simuliert, um die IT-Sicherheit eines Unternehmens einschätzen zu können.

ITM: Auf welche IT-Security-Trends müssen mittelständische Unternehmen in Zukunft besonders achten, welche Strategie empfehlen Sie?
Blum:
Als Trend in der IT-Sicherheit hat sich der internationale Standard ISO/IEC 27001 etabliert, der national durch die IT-Grundschutz-Kataloge des Bundesamts für Sicherheit in der Informationstechnik (BSI) konkretisiert wird. Auf dieser Basis werden bedarfsgerechte Sicherheitsmaßnahmen in der IT identifiziert und umgesetzt. Immer mehr Unternehmen möchten mit diesem Zertifikat dokumentieren, dass sie ihre IT-Systeme systematisch absichern. Das steigert die Transparenz und das Vertrauen in die IT, weil Risiken kontrollierbarer werden. Um die ISO 27001-Zertifizierung zu erlangen, prüft ein BSI zertifizierter Auditor das Unternehmen auf sein Informationssicherheitsmanagement und die Umsetzung der Sicherheitsmaßnahmen.


©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok