IT-Sicherheit beherrscht CeBIT
17. März 2015
Die Fakten sind alarmierend: Alle zwei Sekunden taucht ein neues Schadprogramm im Internet auf. Jeden Tag kommen 100 neue Viren in Umlauf, mittlerweile addiert sich das auf 350 Millionen dieser fiesen Schädlinge. Online-Attacken auf die Rechner von Unternehmen nehmen immer bedrohlichere Ausmaße an.
Da bekommen ausgesuchte Zielpersonen E-Mails, die voll sind mit Schadsoftware - und schon beginnen die Spione ihre Arbeit in den Datenbanken. Konstruktionsunterlagen und andere Geschäftsgeheimnisse werden abgesaugt: Für manche Firma kann das existenzbedrohend sein. Denn es erwischt keinesfalls nur die "Großen".
Nach Daten des Sicherheits-Anbieters Symantec zielten allein im Januar über ein Drittel aller Angriffe weltweit auf Unternehmen mit weniger als 250 Mitarbeitern. Fast jedes zweite deutsche Unternehmen ist nach einer Studie der Wirtschaftsberatung KPMG bereits Opfer von e-Crime geworden. Die Unternehmensberatung EY beziffert den wirtschaftlichen Schaden für Deutschland auf 50 Milliarden Euro pro Jahr.
Mittelstand mit Nachholbedarf
Für Bernhard Rohleder, den Hauptgeschäftsführer des IT-Branchenverbandes Bitkom, ist klar: "Das Thema Sicherheit ist angekommen in der Wirtschaft. Aber vom Bewusstsein zum praktischen Handeln ist es immer noch ein weiter Weg." Dafür müsse man zum einen die richtigen Leute für die Entwicklung von IT-Sicherheitskonzepten haben. Und zum anderen müsse man "auch Geld in die Hand nehmen, weil es IT-Sicherheit nicht zum Nulltarif gibt." Insofern gelte es gerade bei den kleinen und mittelständischen Unternehmen noch für Aufklärung zu sorgen und sie zu motivieren, IT-Sicherheit in die Praxis einzubinden. "Aber es gibt in Deutschland zwei Millionen kleine und mittelständische Unternehmen. Das ist ein hoher Berg, der hier zu nehmen ist."
Auf der CeBIT in Hannover gibt es derzeit reichlich Gelegenheit, den ersten Schritt zu tun. Die Anbieter von Sicherheitslösungen nehmen eine ganze Messehalle in Beschlag, denn so langsam spricht es sich herum, dass man was tun muss. Mit einem ganzheitlichen Ansatz wirbt zum Beispiel Egosecure aus Ettlingen und hat dabei vor allem Mittelständler im Blick. "Für die darf Security darf kein Projekt sein, das sechs Monate braucht, um eingeführt zu werden," sagt Firmenchef Sergej Schlotthauer. "Wenn ich weiß, dass die Tür bei mir zu Hause offen steht, will ich sofort eine Lösung, und nicht erst nach einem halben Jahr."
Keine Geschäfte mit der Angst
Das neueste Egosecure-Produkt namens "Insight" macht zunächst eine Bestandsaufnahme der Systeme. Damit wird sichtbar, welche Daten die Firma verlassen und welche herein kommen. Dann, sagt Schlotthauer, könne jeder für sich entscheiden: "Jetzt kenne ich die Situation, will ich mich schützen oder nicht. Wir wollen nicht mit der Angst Geschäfte machen, sondern mit Fakten. Normalerweise fällt dann die Entscheidung sehr schnell." Ein Argument zieht dann besonders: Die Kosten eines Datenverlustes betragen nach einer Studie des Ponemon-Instituts im Schnitt 3,1 Millionen Euro.
Wirklich bedrohlich wird es, wenn die kritische Infrastruktur angegriffen wird: Stromnetze, Kraftwerke, Krankenhäuser. Hier bietet Intel Security jetzt ein Schutzschild an, das im Rahmen eines Projekts des US-Energieministeriums bereits erprobt wurde. Das Neue daran: Das System arbeitet proaktiv; es erkennt die Bedrohung sozusagen schon, wenn sie im Anmarsch ist.
Besonders Deutschland als bedeutender Industriestandort müsse seine kritische Infrastruktur schützen, sagt Hans-Peter Bauer, Vizepräsident Zentraleuropa bei Intel Security. Dabei müsse man IT-Sicherheit als Gesamtlösung sehen, vom Endgerät über das Transportmedium - also das Netz - bis hin zu den Datencentern oder der Cloud, wo die Daten verarbeitet werden.
"Wir hatten schon immer die Strategie, die gesamte Kette abzusichern. Denn Sicherheit ist immer nur so stark wie das schwächste Glied der Kette", sagt Bauer und ist sich sicher: "Ohne entsprechende IT-Sicherheit ist eine industrielle Revolution, wie sie in der Industrie 4.0 angedacht ist, nicht wirklich denkbar.
Größtes Risiko bleiben Mitarbeiter
Eines freilich wird beim Thema IT-Sicherheit oft übersehen. Es sind nur selten Wettbewerber oder Spione, die sich in fremde Netze hacken. Das größte Sicherheits-Risiko bleiben die eigenen Mitarbeiter. Sei es, indem sie vertrauliche Papiere liegen lassen oder verseuchte USB-Sticks in die Rechner stecken. Oder, wenn man wie unlängst im Fall der Ex-US-Außenministerin Hillary Clinton bekannt geworden, kein gesichertes Handy für interne Mails benutzt, sondern das private. Was aber eben auch daran liegt, dass abhörsichere Geräte lange Zeit schlicht nicht "sexy" waren.
Der deutsche Sicherheits-Anbieter Secusmart, eine Blackberry-Tochter und Lieferant der Bundesregierung für abhörsichere Smartphones, hat das jetzt gemeinsam mit Samsung und IBM geändert. Auf schicken Endgeräten kann man zwischen einem dienstlichen und einem privaten Modus wählen.
"Sicherheit darf nicht stören. Das ist das oberste Gebot", sagt Secusmart-Gründer und Geschäftsführer Hans-Christoph Quelle. Man wolle immer höchste Nutzbarkeit mit höchster Sicherheit verbinden. "Wenn ich nur die Sicherheit alleine erhöhe, werden es die Leute nicht mehr nutzen." Und eine solche Nische, wie sie Secusmart bediene, nämlich die hohen Sicherheitsansprüche der Regierungen, sei eine Chance für den IT-Standort Deutschland. In diesen Nischen hantierten kleine Firmen besser als große. "Wenn es darum ginge, alle Menschen der Welt sicher zu machen, wäre Secusmart die falsche Firma." Es gäbe, sagt Quelle, hervorragende kleine Firmen in Deutschland, "die weltweit führend sind, was IT-Security angeht."
Die Kooperation von Secusmart mit Größen der Branche wie IBM und Samsung zeigt aber auch: Einer alleine kann die Herausforderungen der digitalen Welt nicht stemmen. Immer mehr Allianzen werden nötig sein, um den Wandel, vor dem Wirtschaft und Gesellschaft stehen, zu bewerkstelligen.