Bei IT-Sicherheit steckt der Kopf oft im Sand
21. Oktober 2015
Ob Geschäftsbriefe, Termine, Protokolle oder Präsentationen - betriebliche Korrespondenz wird heute wie selbstverständlich auf elektronischem Weg erledigt. 98 Prozent aller Unternehmen hängen am Internet, 96 Prozent kommunizieren über E-Mails. Selbst sensible und geschäftskritische Informationen werden über das Netz verschickt. Selbstverständlich gesichert, so sollte man meinen. Doch weit gefehlt.
Lediglich 45 Prozent der E-Mails werden aktuell verschlüsselt, vor vier Jahren waren es noch 50 Prozent. Hartmut Thomsen, Geschäftsführer beim Softwarehersteller SAP Deutschland und Geschäftsführer der Initiative "Deutschland sicher im Netz" (DsiN), findet das alarmierend. "Wir wissen selber, dass Verschlüsselung nicht besonders komfortabel und einfach ist, wenn man eine E-Mail von einem PC verschickt und sie auf einem Smartphone lesen will." Trotzdem sei eine Quote von 45 Prozent "nicht akzeptabel".
Schäden in Milliardenhöhe
2011 hat die Initiative DsiN, die vor neun Jahren anlässlich des ersten IT-Gipfels der Bundesregierung gegründet wurde und unter der Schirmherrschaft des Bundesinnenministeriums steht, erstmals deutsche Mittelständler über ihre digitalen Schutzmaßnahmen befragt. 7.300 Unternehmen haben sich bis heute beteiligt, das Ergebnis findet Thomsen ernüchternd. Zu erkennen sei ein Sicherheitsparadoxon. Einerseits wachse die Digitalisierung, der IT-Schutz hingegen stagniere seit Jahren.
Das hat Konsequenzen. Nach Angaben des Bundesinnenministeriums und des Bundesamtes für Verfassungsschutz entstehen durch Wirtschaftsspionage in Deutschland jährlich Schäden in Höhe von 50 Milliarden Euro. Der Ingenieursverband VDI schätzt die Schäden sogar auf 100 Milliarden Euro pro Jahr. Das müsste nicht sein, sagt Hartmut Thomsen. "Bis zu 95 Prozent aller Cyberattacken könnten durch sicheren Umgang mit der IT abgewehrt werden."
Basissicherung reicht nicht aus
Manchmal müsse das Kind sprichwörtlich erst in den Brunnen fallen, um das entsprechende Bewusstsein zu schärfen, was für Risiken man eigentlich in Kauf nehme, sagt der DsiN-Vorsitzende. Zwar sind grundlegende Standards wie eine Firewall, Virenscanner und Spamfilter inzwischen weit verbreitet, über komplexere Anwendungen wie beispielsweise Web-Filter, die Überwachung der Internetnutzung oder eine automatische Angriffserkennung verfügt aber nur jedes dritte Unternehmen.
Größter Unsicherheitsfaktor ist und bleibt jedoch der Mitarbeiter. 42 Prozent der Unternehmen sind inzwischen in sozialen Netzwerken unterwegs und gerade dort tummeln sich die Cyberkriminellen. Sie versuchen, Daten und Identitäten zu stehen. "Oder ich versuche, Daten so zu manipulieren, dass der Mitarbeiter nicht weiß, woher die Anfrage kommt und dort Dinge preisgibt, die er vielleicht nicht hätten preisgeben dürfen", erklärt Thomsen. "Wir sehen ein signifikantes Ansteigen an Risiken, die sich alle unter dem Schlagwort Social Engineering, also der Manipulation von Mitarbeitern subsumieren lassen."
Wer ist für IT-Sicherheit zuständig
Umso wichtiger ist ihre Ausbildung und regelmäßige Schulung, doch darauf verzichten fast drei von vier Unternehmen. Wohl auch, weil IT-Sicherheit und Datenschutz zu selten Chefsache ist. "Wenn nur derjenige zuständig ist, der sich bis dato in einem offenen Raum um die drei Server gekümmert hat, dann ist das sehr schwierig", sagt Hartmut Thomsen. "Wir brauchen die Zuständigkeit auf der Ebene der Entscheider, der Geschäftsführer."
Nur jedes dritte der für den "Sicherheitsmonitor Mittelstand" befragten Unternehmen verfügt bislang über ein Sicherheitskonzept, das von der Geschäftsführung getragen wird. Andererseits machen sich in einer Umfrage des Bundesverbandes der Deutschen Industrie fast drei Viertel der Unternehmen Sorgen um die Datensicherheit. Wie passt das zusammen?
Ein Gefühl der Ohnmacht
Hartmut Thomsen stellt fest, dass sich im Zuge öffentlicher Debatten über Sicherheitsvorfälle zunehmend Fatalismus breit macht. Auch in Unternehmen. "Das Thema wird sicherlich an der einen oder anderen Stelle dadurch verstärkt, dass die Menschen denken, ich kann ohnehin nichts tun, wenn es solche Vorfälle gibt wie mit der NSA oder dem Cyberangriff auf den Deutschen Bundestag. Wie soll ich als kleiner Unternehmer bei dieser Komplexität, die ich gar nicht überschauen kann, die richtigen Maßnahmen für mich ableiten?" Diese Schlussfolgerung sei aber genau die falsche.
Dem soll mit verstärkter Aufklärung, an der sich auch die großen Wirtschaftsverbände beteiligen, begegnet werden. Die Handelskammern bieten inzwischen Workshops nicht mehr nur für IT-Verantwortliche, sondern vor allem auch für Geschäftsführer, Manager und Prokuristen an. Auch in Berufsschulen wird die Ausbildung auf IT-Sicherheit intensiviert, hier ist auch das Bundeswirtschaftsministerium mit im Boot. Wer als Unternehmer wissen will, wie gut die eigenen Sicherheitsvorkehrungen sind, kann auch online beim DsiN einen Sicherheitscheck machen.