Die Praxis zeigt: Mittelständische Betriebe werden häufiger Opfer von Internetkriminalität als große Unternehmen. Doch noch immer sind viele nicht ausreichend geschützt, geschweige denn auf den Worst Case vorbereitet.
Der Versuch, Internetangriffen zu entkommen, gleicht häufig dem Wettlauf zwischen Hase und Igel. So haben denn auch die IT-Mitarbeiter der Würzburger Autohausgruppe Spindler GmbH & Co. KG alle Hände voll zu tun, die Systeme der rund Mitarbeiter virenfrei, funktionstüchtig und immer auf dem neuesten Sicherheitsstand zu halten. Ein IT-Notfallplan gehört für Geschä ftsführer Christian Wieser selbstverständlich zur Grundausstattung. Dieser listet die wichtigsten Geschäftsprozesse des Unternehmens auf und beschreibt, was im Schadensfall zu tun und wer zu informieren ist. Auch in puncto Kommunikation geht Wieser auf Nummer sicher und nutzt das Glasfasernetz der Stadt Würzburg. „Darin haben wir ein eigenes privates Netzwerk eingerichtet, das schon vom Anbieter mit einer Firewall versehen ist und sämtlichen Sicherheitsrichtlinien entspricht“, erklärt er.
Gefahrenquellen identifizieren
So wie die Spindler GmbH ist nicht jedes mittelständische Unternehmen gegen Angriffe auf die Firmen-IT gewappnet. Nahezu jedes dritte Unternehmen in Deutschland, das mehr als Mitarbeiter beschäftigt, verzeichnete nach einer repräsentativen Umfrage des Digitalverbands Bitkom in den vergangenen zwei Jahren IT-Sicherheitsvorfälle. „Vor allem innovative Mittelständler mit ihrem spezialisierten Know-how in bestimmten Märkten und Technologien wecken bei kriminellen Hackern und Geheimdiensten Begehrlichkeiten“, so Bitkom-Präsident Dieter Kempf. In der Regel haben es Cyberkriminelle auf das geistige Eigentum der Unternehmen abgesehen. Aber neben Patenten, Bauplänen oder Konzepten für Produkte und Dienste können auch Marketingaktionen, Kundendaten, Produktionspläne oder Mitarbeiterprofile von Interesse sein
„Vor allem innovative Mittelständler wecken bei Hackern und Geheimdiensten Begehrlichkeiten.“ Dieter Kempf, Bitkom
Doch die Gefahren kommen nicht immer von außen: Laut Bitkom-Umfrage wurden die IT-Sicherheitsvorfälle bei fast zwei Dritteln der Befragten intern verursacht, etwa durch gezielten Datenklau von aktuellen oder ehemaligen Mitarbeitern oder das Einschleusen mit Schadsoftware infizierter Datenträger. Prozent der Firmen verzeichneten hingegen Angriffe über das Internet.
Unabhängig davon, ob interne oder externe Bedrohung, dagegen hil ft nur: „Die Sicherheitsvorkehrungen müssen immer auf dem neuesten Stand gehalten werden und die Firmen sollten regelmäßig in den Schutz der eigenen IT-Systeme investieren“, rät Kempf. Das betrifft sowohl die technischen Vorkehrungen wie den Grundschutz mit aktuellen Virenscannern und Firewalls als auch die regelmäßigen Softwareupdates. Außerdem sollten die Unternehmen eine Software zur Erkennung von IT-Angriffen (Intrusion Detection) einsetzen und ihre Systeme regelmäßig auf Schwachstellen überprüfen (Penetrationstest). Mit organisatorischen Maßnahmen wie etwa Zugangskontrollen oder der Festlegung von Zugriffsrechten für bestimmte Gruppen von Mitarbeitern verbessern Unternehmen ebenfalls die Sicherheit. Der Aufwand lohnt sich, IT-Angriff e können ein Unternehmen schwer schädigen oder gar in seiner Existenz bedrohen: Die finanziellen Schäden für die Wirtschaft bezifferte das Bundeskriminalamt auf mehr als Millionen Euro.
Die steigende Zahl der mobilen Geräte stellt Unternehmen ebenfalls vor neue Herausforderungen. Bei rund jedem dritten Nutzer sind sensible Daten in E-Mails oder anderen Dokumenten gespeichert, fast jeder Fünfte legt seine Passwörter auf seinem mobilen Gerät ab. Das Gerät selbst schützt allerdings nur jeder Dritte mit einem Passwort, wie eine Studie des Sicherheitssoftware- Spezialisten Symantec ergab. „Im Blindflug“ sieht Wolfram Funk, IT-Sicherheitsexperte von Steria Mummert Consulting, hier noch zu viele Unternehmen. „Ob es um Sicherheitstechnologien geht oder um Prozesse wie etwa im Fall eines Verlusts oder der Rückgabe des Gerätes: Die Konzepte sind lückenhaft. Sicherheitsrichtlinien und -Standards, wie sie im PC-Umfeld schon vielfach etabliert sind, stecken bei Smartphones und Tablets noch in den Kinderschuhen“, führt er aus. Was viele nicht wissen: Unternehmen haben die datenschutzrechtliche Verantwortung für Adressen von Kunden und Mitarbeitern. Wer seine Daten nur unzureichend oder gar nicht schützt, macht sich eventuell sogar strafbar.
Ungeschützte Webau ftritte
Doch nicht nur die Geräte, auch die Websites selbst bieten eine große Angriffsfläche für Hacker: Mit Schadprogrammen infizierte Internetauftritte sind eine Gefahr sowohl für das Unternehmen, den Seitenbetreiber als auch für dessen Kunden und Geschäftspartner, warnt Eco – Verband der deutschen Internetwirtschaft aus Köln. Eigens für kleine und mittlere Unternehmen bietet der Verband die Möglichkeit, ihre Website bei der Initiative S regelmäßig auf Schadprogramme überprüfen zu lassen und ihren Internetauftritt mit einem Sicherheitssiegel zu versehen (www.initiative-s.de). Denn auch die Konsequenzen einer infizierten Website reichen weit: vom Vertrauensverlust der Kunden, wenn ihr Virenscanner vor dem Besuch der Seite warnt, über Internetauftritte, die von Suchmaschinen blockiert werden, bis zu rechtlichen Auseinandersetzungen, wenn sich Seitenbesucher mit Schadprogrammen infiziert haben. Fest steht: Vor Angriffen ist kein Unternehmen gefeit. „Wichtig ist, die Gefahren schnell zu entdecken und zu handeln“, resümiert Christian Wieser von der Autohausgruppe Spindler.
DER IT -NOTFALLPLAN – DIE WICHTIGSTEN ECKPUNKTE
Eine hundertprozentige Sicherheit vor IT-Angriffen werden Unternehmen nie erreichen. Doch sie können Vorbereitungen treffen, damit die Geschäfte im Notfall weiterlaufen:
Risiken analysieren. Die wichtigsten Geschä ftsprozesse auflisten, die besonders geschützt werden müssen, ebenso die Folgen, wenn diese ausfallen.
Lösungsmöglichkeiten entwickeln. Szenario erstellen, wie Ausfälle schnell aufgefangen und der Betrieb aufrechterhalten werden können, welche Ausweichmöglichkeiten es gibt und welcher Dienstleister dabei helfen kann.
Daten sichern. Sollte regelmäßig Pflicht sein. Die Informationen mindestens doppelt sichern und eine Kopie an einem sicheren, räumlich getrennten Ort aufbewahren.
Verantwortliche beau ftragen. Ein Mitarbeiterteam benennen, das im Notfall Ansprechpartner ist und die Vorgehensweise koordiniert. Es müssen Bereitscha ftspläne beispielsweise für das Wochenende oder die Urlaubszeit aufgestellt werden.
Handlungsanweisungen festlegen. Eine Checkliste führt auf, was genau im Ernstfall in welcher Reihenfolge zu erledigen ist.
Regelmäßige IT-Sicherheitsschulungen. Für alle Mitarbeiter zum Pflichtprogramm erklären und Notfallübungen abhalten.
Notfallplan in Sicherheitsrichtlinien integrieren. Diesen immer aktualisieren und an alle Mitarbeiter aushändigen.
