Steffen Bäuerle von Deutschland sicher im Netz e.V. (DsiN) über Unternehmensdaten auf dem Sperrmüll, Kopierer die zum Verhängnis werden können und einem Tipp, wie Unternehmen in wenigen Minuten den Status ihrer IT-Sicherheit ermitteln und verbessern können. Verlorene oder gestohlene Datenspeicher wie geklaute Festplatten bei Einbrüchen, oder ein gekündigter Mitarbeiter, der sensible Unternehmensdaten auf einem USB-Stick entwendet: Nicht nur fehlende technische Sicherheitsmaßnahmen, insbesondere mangelnde organisatorische Maßnahmen und unzureichende Sensibilisierung der Mitarbeiter für das Thema IT-Sicherheit führen bei Unternehmen dazu, dass vertrauliche Unternehmensdaten in falsche Hände oder gar in die Öffentlichkeit gelangen. Existenzielle wirtschaftliche Schäden und ein nachhaltig zerstörtes Image können die Folgen sein.
Geschäftsführer mittelständischer Unternehmen sind erfahrene Kaufleute und gegenüber IT-Innovationen aufgeschlossen. Wieso sind Sie trotz allem der Meinung, dass der Mittelstand IT-Sicherheit vernachlässigt?
Eine aktuelle Studie von Deutschland sicher im Netz e.V. zur Lage der IT-Sicherheit im Mittelstand belegt: Zahlreiche Unternehmen gehen nachlässig mit dem Thema um. Einige glauben leider immer noch, sie seien zu klein, nicht rentabel genug und daher für IT-Angriffe ein unattraktives Ziel. Andere sind der Meinung die Investition in IT-Sicherheit lohne sich nicht und sei zu teuer. Das ist ein gewaltiger Trugschluss.
Inwiefern?
Dass Mittelständler im Visier von Cyberkriminellen stehen, zeigen zahlreiche Beispiele, wie der aktuelle Fall eines hessischen Foto-Fachhändlers mit 17 Mitarbeitern: Hacker legten seinen Server lahm, weil er sich weigerte 4.000 Dollar Erpressungsgeld zu bezahlen. Die Kunden konnten drei Tage lang nicht auf die Webseite zugreifen. Nach eigenen Angaben entstand pro Tag ein Schaden von 30.000 Euro. Die Dunkelziffer derartiger Vorkommnisse, die nicht zur Anzeige gebracht werden ist natürlich entsprechend hoch.
Viele Unternehmen vernachlässigen die IT-Sicherheit auch unbewusst und setzen sich so unkalkulierbaren wirtschaftlichen Risiken aus. Mankos bestehen insbesondere im rechtskonformen Verhalten, beispielsweise bei der Vergabe von Zugriffsrechten. Aber auch beim Umgang mit mobilen Endgeräten, wie Smartphones oder Tablet-PCs und in der E-Mail-Kommunikation. Die Hälfte der in der Studie befragten Unternehmen schützen E-Mails während der Übertragung durch keinerlei Maßnahme – eine willkommene Einladung für Missbrauch, Manipulation und unberechtigte Einsichtnahme.
Wie läuft eine solche unberechtigte Einsichtnahme oder Manipulation konkret ab?
Bevor eine gewöhnliche E-Mail, wie wir sie täglich versenden, beim Empfänger ankommt, durchläuft sie in der Regel mehrere Mailserver – in Deutschland aber eventuell auch in unsichereren Drittstaaten. An diesen Knotenpunkten können Unbefugte – wenn die E-Mail nicht eigens durch eine technische Sicherheitslösung verschlüsselt wurde – den Text einfach mitlesen oder gar verändern. Je nach Inhalt kann beides bei geschäftlichen E-Mails fatale Folgen haben. Neben einfachen technischen Lösungen, wie der E-Mail-Verschlüsselung, heben insbesondere gut informierte und sensibilisierte Geschäftsführer und ihre Mitarbeiter das IT-Sicherheitsniveau in einem Unternehmen ungemein. Wissen diese, wo mögliche Gefahren lauern, und befolgen entsprechende Regelungen im Umgang mit den IT-Systemen, lassen sich vorbeugend drohende Datenlecks und Umgangsfehler vermeiden – und das ohne großen technischen Aufwand oder teure Investitionen. Leider kommt die Erkenntnis, dass die Sensibilisierung für IT-Sicherheit absolut geschäftskritisch ist, häufig erst, wenn es bereits zu spät ist oder es zumindest einen Vorfall gab.
Haben Sie ein Beispiel dazu?
Schon die Liste der öffentlich gewordenen Fälle ist nahezu endlos: Eine unbekannte Person stahl in einer Klinik rund 50.000 Patientendaten aus dem Computernetzwerk, da ein Mitarbeiter das Zugangspasswort unachtsam auf seinem Schreibtisch liegen ließ. In einem anderen Fall hatten die gesamte Belegschaft eines rheinländischen Verkehrsunternehmens zwei Tage lang Zugriff auf die persönliche Daten ihrer Kollegen: Beurteilungen, Zeugnisse, Abmahnungen und sogar E-Mails des Vorstands. Die Suchmaschine im Intranet fand diese Dateien und Daten, da sie ein Mitarbeiter zuvor an einem falschen Ort abspeicherte. Selbst der US-amerikanischen Raumfahrtbehörde unterlief ein Malheur, das auf mangelhafte IT-Organisation zurückzuführen ist: Als das Space-Shuttle-Programm auslief, verkaufte die NASA ausrangierte PCs – ohne zuvor sensible Daten sicher gelöscht zu haben. Ein ähnlicher Fall passierte in einer norddeutschen Kleinstadt: Auf dem Sperrmüll wurde ein intakter Computer mit detaillierten Berichten über das Verhalten von Kindern und sozialpsychiatrischen Problemen in Familien gefunden – samt Namen, Adressen und Geburtstagen. Das Gerät wurde einer renommierten deutschen Hilfsorganisation zugeschrieben.
Sind das nicht von den Medien hochgepuschte Einzelfälle?
Leider nicht. Derartige Szenarien passieren nahezu täglich. Insbesondere in Unternehmen, die sich nicht ausreichend mit IT-Sicherheit auseinandersetzen. Denn die Gefahren lauern oft dort, wo man sie nicht vermutet: Selbst ein handelsübliches Multifunktionsgerät zum Kopieren, Drucken und Scannen kann zum Verhängnis werden. Alle neueren Modelle verfügen über eine Festplatte, wie wir sie aus dem Computer kennen. Diese speichert sämtliche Daten von Kopien, Faxsendungen und Druckaufträgen: Gehaltsbescheinigungen, Bewerbungen, Zeugnisse, Ausschreibungs- oder Buchhaltungsunterlagen, Rechenschaftsberichte, Entwicklungskonzepte und Patentunterlagen. Mit minimalem technischem Aufwand lassen sich selbst vermeintlich gelöschte Daten wieder sichtbar machen. Anleitungen dazu gibt es im Internet. Verkauft ein Unternehmen das Gerät, gibt es in Reparatur oder ein gemietetes an den Dienstleister zurück, landen personenbezogene, geschäftskritische Daten zwangsläufig in fremden Händen. Je nach kriminellem Potenzial kann das unabsehbare und schwerwiegende Folgen haben und ein Unternehmen gegebenenfalls erpressbar machen. Die Sensibilisierung von Geschäftsführern und deren Mitarbeitern für das Thema IT-Sicherheit, beispielweise durch Schulungen, hat daher oberste Priorität.
IT-Sicherheit ist ein breites, teils unübersichtliches Feld. Was können Unternehmen konkret tun und womit sollten sie anfangen?
In einem ersten Schritt empfehlen wir Unternehmen den IT-Sicherheitscheck auf unserer Webseite: www.sicher-im-netz.de/sicherheitscheck. Dieser ist kostenlos, anonym und dauert nur wenige Minuten. Er eignet sich für Unternehmen sämtlicher Branchen. Nachdem sich der Nutzer durch die knapp 20 Fragen geklickt hat, erhält er einen ersten Überblick über den Stand der Informationssicherheit in seinem Unternehmen. Gleichzeitig erfährt er, ob und welcher Handlungsbedarf in den Bereichen Datensicherheit und Datenschutz besteht. Die automatische Auswertung zeigt umgehend konkrete technische und organisatorische Handlungsempfehlungen und Lösungswege zur Verbesserung der Datenschutz- und IT-Sicherheitslage auf. Der IT-Sicherheitscheck ist bewusst schlank gehalten und bietet Mittelständlern einen niederschwelligen Einstieg, um sich dem Thema zu nähern.
Welche Chancen und Möglichkeiten sehen Sie, um IT-Sicherheit zukünftig in kleinen und mittleren Unternehmen nachhaltig zu erhöhen?
Sicher ist: Werbekampagnen und reines Informationsmaterial wie beispielsweise Flyer reichen dazu nicht aus. Daher gehen wir in unserem laufenden Pilotprojekt einen neuen Weg, den das Bundesministerium für Wirtschaft und Technologie unter dem Dach der Task Force „IT-Sicherheit in der Wirtschaft“ fördert: In kostenfreien Workshops sensibilisiert Deutschland sicher im Netz gemeinsam mit seinen Partnern Steuerberater und Wirtschaftsprüfer rund um das Thema IT-Sicherheit. Das Gelernte sollen die Teilnehmer einerseits in der eigenen Kanzlei umsetzen und andererseits, etwa in einem Beratungsgespräch, an ihre Mandanten weitergeben. Diese sind zumeist kleine und mittlere Unternehmen. Steuerberater und Wirtschaftsprüfer sind ideale Multiplikatoren, da sie einerseits im Geschäftsalltag selbst mit sensiblen Daten umgehen und wissen wo die Fallstricke in Hinblick auf IT-Sicherheit liegen. Zum anderen genießen sie bei Geschäftsführern als kompetente Partner für finanzielle Fragen großes Vertrauen. Ihre Ratschläge werden ernst genommen.
Steuerberater und Wirtschaftsprüfer sind keine IT-Sicherheitsexperten. Wie können sie als Laien ihre Mandanten zum Thema IT-Sicherheit beraten?
Sie sind keine IT-Sicherheitsexperten und sollen auch keine werden. In den Workshops geht es um Sensibilisierung und um das Managen von IT-Sicherheit – nicht um hochkomplexe Lösungen. Im Fokus stehen einfache technische und organisatorische Maßnahmen, die bereits die IT-Sicherheit im Geschäftsalltag entscheidend erhöhen. Dazu zählen die verschlüsselte E-Mail-Kommunikation oder praktische Tipps, wie eine Sichtschutzfolie für das Notebook, die neugierige Blicke des Sitznachbars im Zug abwendet, eine Anleitung wie man ein sicheres Passwort erstellt – oder eben Hinweise wie, dass auch ein Kopierer eine Festplatte enthält und wo sonstige Gefahren lauern. Weiter muss im Unternehmen klar sein, wer das Thema IT-Sicherheit verantwortet und die Umsetzung der Maßnahmen kontrolliert.
Sind denn ein paar Workshops mit Steuerberatern und Wirtschaftsprüfern, die als Multiplikatoren ausgebildet werden, nicht ein Tropfen auf den heißen Stein?
An den Workshops nahmen allein in den ersten sechs Monaten 1.500 Steuerberater und Wirtschaftsprüfer teil. Laut eigenen Angaben kann jeder Teilnehmer in etwa 50 Mandanten mit dem Thema IT-Sicherheit erreichen. Multipliziert ergeben die beiden Zahlen mehrere zehntausend kleine und mittlere Unternehmen, die so für das Thema IT-Sicherheit sensibilisiert werden könnten. Nahezu alle Teilnehmer, so eine Evaluation der Workshops, sind fest entschlossen ihre Mandanten für das Thema zu sensibilisieren und interessieren. Wundern Sie sich also nicht, wenn Sie Ihr Steuerberater oder Wirtschaftsprüfer demnächst auf Ihre IT-Sicherheit anspricht, sondern nutzen Sie die Chance zum Austausch!
Das Interview führte Edgar Jehnes, BVMW Metropolregion Nürnberg