Mittelständler unterschätzen Risiko

Nachholbedarf beim Datenschutz

Ein Blick in ein mittelständisches Rechenzentrum in Deutschland zeigt meist ein trauriges Bild: Veraltete Server und PCs fristen ihr Dasein als Rechenknechte. Welche Mitarbeiter Zugang zu unternehmenskritischen Anwendungen haben, lässt sich oft kaum nachvollziehen.

Notfallpläne oder gar regelmäßige Backups sind häufig Fehlanzeige, ganz zu schweigen von nachvollziehbaren Sicherheitskriterien. Ein Datenschutzbeauftragter, wie er bereits seit einigen Jahren Pflicht ist, soll für einen bewussteren Umgang mit Daten und gleichzeitig für ein höheres Sicherheitsniveau in Unternehmen sorgen.

Ortswechsel: In Büroräumen finden sich häufig noch Heerscharen von veralteten Computern, denn Hardware wird aus Kostengründen solange genutzt, bis sie den Geist aufgibt. Wer einen aktuellen Virenscanner findet, kann von Glück reden, doch das Durchsuchen nach kritischen Anwendungen oder Malware lässt ein paralleles Arbeiten kaum oder nur sehr langsam zu. Der pragmatische Anwender, im Dilemma zwischen Wirtschaftlichkeit und Sicherheit, entscheidet sich kurzerhand dazu, den Scan vorzeitig abzubrechen, für die Zukunft vielleicht sogar ganz abzustellen.

Wen wundert es da nicht, dass unter Mitarbeitern der Ruf nach flexiblen, leistungsstarken und vor allem mobilen Geräten laut ist. Der Hype um „Bring your own Device“ (BYOD) kommt da vielen sehr gelegen, sind die meisten im Privatbereich längst mit multifunktionalen Smartphones und Tablets ausgestattet. Wer will auf diesen Luxus bei der Arbeit schon verzichten, wo er doch angeblich so viele Vorteile bringt? Über rechtliche Gegebenheiten und vor allem die IT-seitigen Herausforderungen machen sich nur wenige Gedanken – sind sich ihnen nicht einmal bewusst. Bei IT-Administratoren klingeln jedoch zurecht die Alarmglocken, sobald, meist von der Führungsebene aus, die ersten privaten Geräte ins Unternehmensnetzwerk eingebunden werden sollen. Dass der zunehmende Trend zum mobilen Arbeiten vor allem durch die Vielfalt der eigesetzten Geräte und Plattformen verstärkt zu Sicherheitsvorfällen und Datenverlusten führt, ist sehr wahrscheinlich, denn trotz großer Bemühungen der IT-Abteilungen gelten mobile Geräte als besondere Risikofaktoren.

Vielen Unternehmensentscheidungsträgern sind die Möglichkeiten des „Mobile Device Management“ gar nicht bewusst, manche wissen nicht einmal, welche Sicherheitssoftware es für das eigene mobile Geräte gibt. Hinzu kommt, dass „die meisten mobilen Geräte eher auf Design und einfache Bedienung optimiert sind, während die Konfigurationsmöglichkeiten und vorhandenen Sicherheitsfunktionen nicht dem Stand der Technik entsprechen, die im professionellen Umfeld eingesetzt werden“, warnt Tim Griese, Pressereferent beim Bundesamt für Sicherheit in der Informationstechnologie.

Mit der Unsicherheit sind die Manager aber nicht alleine – auch viele Mitarbeiter haben selten ein ausgeprägtes Sicherheitsverständnis. Erstaunlicherweise sorgen sich nur wenige, um die Sicherheit von Unternehmensdaten, glauben jedoch viele, dass die Verwendung eines privaten Gerätes für Arbeitszwecke durchaus ein Sicherheitsrisiko für die eigenen, persönlichen Daten darstellen könnte. Besonders der Missbrauch von vertraulichen Gesundheitsdaten wird gefürchtet. Es gibt also Nachholbedarf in Sachen Compliance-Vorgaben und der Sensibilisierung für diese.

„Compliance ist keine Frage der Unternehmensgröße, sondern des Risikoumfelds. Für KMUs besteht also das Problem, mit vertretbarem Aufwand wirksame Compliance-Maßnahmen zu treffen“, erklärt Dr. Tobias Rolfes, Leiter des Bereichs Handels- und Gesellschaftsrecht der IHK Köln. Leider sei immer noch häufig zu beobachten, dass kleine und mittelständische Unternehmen dem Risiko, ohne Sicherheitsrichtlinien zu arbeiten, nicht oberste Priorität beimessen. Doch woher kommt dies? „Viele Manager sind sich der Wichtigkeit dieses Themas bewusst, stellen aber die Effizienz von Abläufen in den Vordergrund“, erklärt Rainer Seidlitz, Leiter IT-Security bei der Tüv Süd Management Service GmbH.

Elisabeth Slapio, Geschäftsführerin der IHK Köln, hingegen kennt noch einen anderen Grund: „Dies liegt nicht an mangelndem Interesse oder fehlendem Risikobewusstsein, sondern vielmehr daran, dass es scheinbar an spezifischen mittelständischen Produkten fehlt. Die Anbieter von IT-Sicherheitsservices sollten daran interessiert sein, die sehr umfänglichen Komponenten mittelstandsgerecht anzubieten. Dies bedeutet, dass jedem Unternehmen klar gemacht werden sollte, wie schutzwürdig seine Produkte und Dienstleistungen sind.“

Fischen im Social Web

Den größten Schaden im Hinblick auf Datenverluste richten heutzutage gezielte Angriffe, die „Advanced Persistent Threats“ an. Dank geschickter Nutzung von Social-Engineering-Techniken wie „Spear Phishing“ gelangen die Internetkriminellen unbemerkt in das Innere des Unternehmensnetzwerkes, wo sie oftmals lange Zeit unentdeckt bleiben.

Laut einer Studie von Trend Micro beginnen neun von zehn Angriffen mit einer einfachen E-Mail. In diesem Fall spricht die E-Mail den Unternehmensmitarbeiter persönlich an. An der Betreffzeile lässt sich schon lange keine „Fake-E-Mail“ mehr erkennen, die alten Techniken haben ihre Wirkung verloren – neue müssen her. Soziale Netzwerke dienen als beliebte Einfallstore oder Informationssammelstelle. Daher ist es möglich, den Inhalt an die persönliche Situation anzupassen. Eine gefälschte Mail mit der Bitte um eine Kontaktbestätigung bei Linkedin oder Facebook ist das beste Beispiel – die wenigsten Anwender sind derart technisch versiert, dass sie gleich den gefälschten Absender erkennen können. Bei einer eindeutigen Werbemail kann der Angesprochene direkt entscheiden, ob es interessant für ihn ist oder nicht. Als Facebook-Nutzer zögert hingegen niemand eine E-Mail mit vertrautem Facebook-Absender zu öffnen.

Trend Micro fand außerdem heraus, dass 94 Prozent der Hacker verseuchte Datenanhänge nutzen. Die verbleibenden sechs Prozent versuchen sich über eine Übertragung von Schadprogrammen oder durch bösartige Links, über die Dateien heruntergeladen werden. Rund 70 Prozent der Spear-Pphishing-E-Mails verwenden rtf-, xls-, und zip-Dateien. Die Unbeliebtheit der exe-Datei lässt sich darauf zurückführen, dass diese in der Regel von Sicherheitslösungen entdeckt und abgewehrt wird.

Wertvoll und begehrt

Der deutsche Mittelstand ist bekannt und geschätzt in der ganzen Welt; der weltweite Wettbewerb hat deshalb ein großes Interesse an internen Informationen, denn das geistige Eigentum eines Mittelständlers macht etwa 40 Prozent des gesamten Unternehmenswertes aus. „Den Ursprungsort eines Cyberangriffes auszumachen, ist aufgrund der Verschleierungsmöglichkeiten jedoch schwierig. Es ist aber kein Geheimnis, dass viele Cyberkriminelle aus den Staaten kommen, in denen die Regularien in Bezug auf IT-Sicherheit anders sind“, weiß Tim Griese. Kein Wunder also, dass die internationale Konkurrenz gerne ein wenig spioniert. Allerdings ist hier eine Wende, hin zu einem lokalen Phänomen, zu beobachten: „Die häufigsten Schäden entstehen durch eigene Mitarbeiter oder externe Partner. Die bewusste Informationsweitergabe bzw. der Datendiebstahl durch die eigenen Mitarbeiter war bei 47,8 Prozent der konkreten Spionagehandlungen für den Informationsabfluss verantwortlich“, warnt Rainer Seidlitz.

Bei solchen geschickt getarnten Angriffen auf bestimmte Mitarbeiter, um an spezielle Daten und Systeminformationen zu gelangen, laufen herkömmliche Verteidigungsmechanismen völlig ins Leere. Targeted Attacks machen vielmehr bewusst, dass es einen hundert prozentigen Schutz – die uneinnehmbare IT-Festung – gar nicht gibt. Eingesetzte Kontrollmechanismen müssen immer dem aktuellen Unternehmensrisiko angepasst werden. Leider entwickelt sich hier zunehmend ein Verteilungsparadoxon: Gezielte Spionageangriffe auf Unternehmen werden immer günstiger – sie abzuwehren, scheitert nicht zuletzt am Budget, das selten vorgesehen ist.

Datenschützer – Datenretter?

Trotz allem Übel gilt Deutschland im internationalen Vergleich als unangefochtener Spitzenreiter, was die Vorschriften zum Datenschutz betrifft. Von Rechtswegen ist jedes Unternehmen, in dem mindestens zehn Mitarbeiter ständig mit der Verarbeitung automatisierter Daten beschäftigt sind, dazu verpflichtet, einen Datenschutzbeauftragten zu bestellen. Diese Vorschrift des Bundesdatenschutzgesetzes soll vor allem kleine und mittelständische Unternehmen zur Selbstkontrolle anleiten. Viele Geschäftsführer sehen in dieser Pflicht jedoch nur ein weiteres bürokratisches Instrument, um ihnen das Leben schwer zu machen und nicht etwa als Chance. „Erschreckend ist, dass es in zehn Prozent der mittelständischen Betriebe keinen Datenschutzbeauftragten gibt, obwohl sie gesetzlich dazu verpflichtet wären“, kritisiert Seidlitz. Das ergab die Datenschutzstudie 2012 von Tüv Süd und der Ludwig-Maximilians-Universität (LMU) München. „Damit fehlt den Unternehmen nicht nur ein wichtiges Element des Datenschutzmanagements, es liegt auch ein Gesetzesverstoß vor, für den hohe Bußgelder verhängt werden können.“ Ungeachtet der Tatsache, dass dieser Regelung nicht überall Beachtung geschenkt wird, „macht Deutschland hier Schule“, glaubt Birgit Weck-Boeckh, Pressesprecherin des Landesbeauftragten für Datenschutz und Informationsfreiheit in Nordrhein Westfalen. „Zudem kann ein hoher Datenschutzstandard für ein Unternehmen durchaus einen Wettbewerbsvorteil darstellen“. Weck-Boeckh hält den „Datenschutzbeauftragten für ein deutsches Erfolgsmodell“. „Der Schutz personenbezogener Daten ist ein so wichtiges Thema, dass es nicht nebenbei erledigt werden kann, sondern ein gutes Datenschutzmanagement erfordert“, betont Seidlitz. Unternehmensentscheider haben hier die Wahl, einen betrieblichen oder externen Datenschutzbeauftragen mit der Zusammenstellung von relevanten Unternehmens-Compliances sowie der Überwachung und Einhaltung der Datenschutzrichtlinien zu betrauen. Der Zwang der eigenverantwortlichen Datenkontrolle, auferlegt durch den Gesetzgeber, sollte vor allem als Chance angesehen werden. Eine Chance dem immer größer werdenden Markt von Internetkriminalität, Datenspionage und -diebstahl einen kleinen Schritt voraus zu sein und nicht erst dann zu reagieren, wenn das schlimmste Szenario bereits eingetreten ist und Verluste zu beklagen sind.



Betrieblicher versus externer Datenschutzbeauftragter (DSB)


Intern:

Vorteile

  • Kenntnisse der internen Abläufe
  • Akzeptanz bei Kollegen

Nachteile

  • Tätigkeit als DSB „belastet“ durch Tagesgeschäft
  • Unkündbarkeit während der Bestellung
  • Ist mit Räumlichkeiten, Weiterbildung, Arbeitsmitteln auszustatten

Extern:
Vorteile

  • Vertragsverhältnis, daher keine Unkündbarkeit
  • Schulungs- und Zertifizierungsaufwand entfällt
  • Wissen um „best practice“ spart Zeit und Geld
  • Höhere Flexibilität
  • Risikoverlagerung nach extern

Nachteile

  • Eingewöhungszeit zur Kenntnis interner Abläufe
  • Hemmschwelle für andere Mitarbeiter

 

Bildquelle: Thinkstock/iStockphoto.com

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok