Jedes zweite Unternehmen ist von Wirtschaftskriminalität und Datendiebstahl betroffen – so zeigt das auch die Grafik des BITKOM, die Sie hier sehen. Die Infektion des PCs mit Schadprogrammen ist dabei immer noch der größte Punkt, aber rein finanziell gesehen, ist der unterste Punkt der relevanteste.
Von Wirtschaftsspionage und Datenklau sind zwar nur ungefähr 3% der Unternehmen betroffen – die reale Schadenssumme hingegen ist enorm. Zu bemerken ist hier zudem: Es sind nur die Betroffenen in die Statisitk eingeflossen, die von dem Datendiebstahl wissen. Der indirekte, finanzielle Schaden ist aber dennoch vorhanden und die Bedrohung definitv steigend. Die aktuelle Aufklärung reicht also noch nicht aus.
Das Internet spielt auch hier wie so oft eine zentrale Rolle. Es macht vieles einfacher, schneller und direkter – aber die Bedrohungslage erst konkret. Darauf sollten Sie die Internetnutzer in Ihrem Unternehmen darauf aufmerksam machen, ABER im Hinterkopf behalten: Es ist immer noch “nur” eine Bedrohung. “Die Lösung kann nicht darin liegen, dem mittelständischen Unternehmer die Sicherheitsthematik in einer solchen Dramatik darzustellen, dass der Anwender sagt: Dann laß ich es lieber. Ziel ist es einfach, den Nutzer kundiger zu machen.” so die Aussage von Prof. Dieter Kempf (DATEV e.G.) im CeBIT Studio Mittelstand “Wenn der Benutzer sich an das hält, was ihm Hersteller und Verbände raten, wäre er sicher.” Heißt das jetzt: Eigentlich ist alles ganz einfach?
Nun ja, ganz einfach nicht, aber machbar. Und vor allem sollten wir die Gesamtthematik “Internetnutzung und Mitarbeiter” etwas differenzierter betrachten. Natürlich ist Ihr Mitarbeiter ein Sicherheitsrisiko (klingt schon etwas irritierend, oder?). Das größte Sicherheitsrisiko ist er aber sicherlich nicht. Die bösen Buben sitzen eher selten im eigenen Unternehmen.
Teilweise verhält es sich jedoch so, dass sich im Tagesgeschäft eine gewisse Nachlässigkeit einstellt. Ganz nach dem Motto “Es ist noch nie was passiert – es wird auch nichts passieren”. Dem gilt es vorzubeugen, indem Sie – nicht täglich, aber immer wieder aufs Neue – mit Schulungen oder kurzen Rundschreiben auf Gefahren oder Auffälligkeiten hinweisen.
Ihr Mitarbeiter soll sich als Teil des Unternehmens fühlen – auch in der Sicherheitsstrategie. Dadurch ist er mehr in der Verantwortung (auch für die Sicherung seines Arbeitsplatz), achtet auf seine Veröffentlichungen im Internet und bemerkt ggf. Ungereimtheiten.
Manche Unternehmen machen die Mitarbeiter vielleicht auch selbst ungewollt zu Risikofaktoren – indem sie ihnen den Datenzugriff zu leicht machen. Diese These hat Marko Rogge auf der CeBIT 2010 aufgeworfen. Stichwort “Daten-CD”: Der Mitarbeiter nimmt ein paar geheime Daten mit und verkauft diese dann. Wie kann es dazu kommen? Unternehmen stecken viel Geld in innere Sicherheit, aber aus der Politik werden Gelder angeboten, um genau an diese Daten heranzukommen. Gegen solch kriminelle Absichten eines Mitarbeiters können Sie sich wahrscheinlich nie ganz schützen, denn ein Grundvertrauen gehört zu jedem gesunden Arbeitsverhältnis. Dennoch können Sie mit Hilfe von “IT-Mauern” etwas vorbeugen.
Der TÜV Rheinland-Experte für Datenschutz und Informationssicherheit rät daher: „Informationen auf Firmenrechnern sollten nur für diejenigen zugänglich sein, die damit auch arbeiten müssen. Schon in kleinen Firmennetzwerken lässt sich genau regeln, welcher Mitarbeiter auf welche Kunden- oder Rechnungsdaten zugreifen darf. Mit einer Berechtigungsstruktur, die je nach Hierarchieebene abgestuften Zugang zu sensiblen Daten ermöglicht, verhindern Arbeitgeber die unkontrollierte Nutzung von Firmengeheimnissen durch Unberechtigte.”
Was sagen Gegner der Sicherheitsverfechter zu diesen umfassenden und teils auch kostenintensiven Maßnahmen? Nicht alles in einem Unternehmen ist schützenswert! Nur 3-5% des Wissens gehört dazu. Dafür sind die Investitionen doch zu hoch. Stimmt das?
Hier spielt die Sichtweise und der Zeitpunkt eine entscheidende Rolle: Aus Sicht des Unternehmers sind individuelle Gehaltsdaten vielleicht nicht so schützenswert, aber aus Sicht des Individuums umso mehr. Ähnlich bei einem Produktrelease: Die Konstruktionspläne sind nach dem Release nur noch halb so geheim wie davor. -> Je nach Sichtweise und Zeitpunkt werden schützenswerten Daten sehr unterschiedlich bewertet. Schutz ist dennoch notwendig.
Es gibt einfach einen Unterschied zwischen realem Diebstahl und Angriffen durch das Internet:
- In der Realität sehen wir die Angriffe kommen und können teilweise “just-in-time” reagieren. Im Internet sehen wir die potentiellen Angreifer meist gar nicht. Wenn wir den Angriff bemerken, ist er schon vollzogen.
- Unser Bauchgefühl: Wir fühlen in der Realität, wenn wir in einer unguten Situation sind. Dies fällt im Netz oftmals weg.
- Die Erfahrung: Das Internet ist immer noch recht jung und unsere Bewegungen darin auch. Ähnlich einem Schulkind, dass mit vollgepacktem Rucksack und Digicam nach Barcelona geht. In der momentan gefährlichsten europäischen Stadt, was Taschendiebstahl betrifft, würde der Rucksack nicht lange voll bleiben. So gehen manche Unternehmer noch durch das Internet. Helfen kann hier nur die Aufklärung, wo im Internet “Barcelona” sein kann oder welche Dinge man mit in den Rucksack “Internet” packen kann oder welche lieber in dem verschlossenen Safe im Hotel bleiben sollten.
Zusammenfassung einer ersten Herangehensweise:
- Gefährdungsanalyse: Jedes Unternehmen und seine Produkte sind in der Wirtschaft wichtig und dadurch gefährdet. Stellen Sie fest: Welche Daten sind mir wichtig, welche sind gefährdet und wer verfügt über diese Daten? Sehen Sie “Sicherheit” als ein großes Ganzes. -> PDF von ORACLE mit kurzer Checkliste auf der letzten Seite
- Maßnahmenkatalog erstellen: Was kann ich tun und wo brauche ich externe Unterstützung?
- Sicherheitsrichtlinien und Grundschutzkatalog erarbeiten: Offen mit Mitarbeitern diskutieren und ggf. von Experten überprüfen lassen. Die Geschäftsleitung muss sich bewußt werden, dass sie Vorbild sein muss.
- Sensibilisieren: Den Mitarbeiter zum integralen Bestandteil des Unternehmens und der Sicherheitsstrategie machen! Wenn er weiß, was er mit einem Fehlverhalten anrichten kann, wird er die Sicherheitsrichtlinien konzentrierter verfolgen.
Weitere Informationen – auf unterschiedlichste Art und Weise aufbereitet – finden Sie auch in dem Leitthema “Know how Protection”.
