18.04.2013, 16:45 Uhr | 0 |

Einfallstor für Hacker Deutscher Mittelstand schützt Daten zu wenig

Der Mittelstand in Deutschland muss im Bereich IT-Sicherheit einiges nachholen, moniert der Bitkom, der Branchenverband der deutschen Informations- und Telekommunikationsbranche. Seine Umfrage ergab, dass die Mehrzahl kleiner und mittlerer Unternehmen keinen Notfallplan für den Angriff auf Daten hat. Sicherheitsexperten betrachten sorglose Mittelstandsfirmen als Einfallstor für Hacker.

Mittelständische Unternehmen unterschätzen den Datenklau.
Á

Mittelständische Unternehmen unterschätzen den Datenklau.

Foto: dpa/Marijan Murat

Der deutsche Mittelstand zeichnet sich im internationalen Wettbewerb besonders durch seine Innovationskraft aus. Daher sind Patente, Entwicklungsunterlagen und Quellcodes ein bevorzugtes Ziel für Unbefugte, um mit so gesparten Entwicklungskosten die deutsche Konkurrenz unterbieten zu können.

2012 verzeichneten laut Corporate Trust, einer Unternehmensberatung für Sicherheitsdienstleistungen, 54,6 % der deutschen Unternehmen direkte Angriffe, unerklärliche Vorfälle oder interne Verstöße gegen Sicherheitsbestimmungen. Datendiebe sitzen keineswegs in der Ferne, sondern in fast jedem zweiten Fall auch im eigenen Unternehmen.

"Nach wie vor sind der Vertrieb mit 18 % sowie Forschung und Entwicklung mit 16 % die am häufigsten ausspionierten Bereiche", weiß Christian Schaaf, Geschäftsführer bei Corporate Trust.

Gegen diese internen wie externen Risiken zeigt sich der deutsche Mittelstand laut des Branchenverbandes Bitkom wenig gewappnet. Und das, obwohl Firmen und Geschäftsführung haften, wenn sie keine geeigneten Maßnahmen ergreifen, um kunden- und personenbezogene Daten zu schützen und deren Verlust zu vermeiden.

Notfallpläne fehlen

Der Bitkom untersuchte 2012 die Vorbereitung mittelständischer Unternehmen auf den Notfall, nämlich Systemausfälle etwa durch einen Hackerangriff. Nach Angaben von Bitkom-Sprecher Maurice Shahd hatten kleine Unternehmen mit einem Jahresumsatz bis 1 Mio. € in mehr als der Hälfte aller Fälle keinerlei Notfallplan. In mittleren Unternehmen mit einem Jahresumsatz zwischen 1 Mio. € und 50 Mio. € waren es noch 39 %. Dass bei Großunternehmen mit einem Jahresumsatz über 50 Mio. € nur 5 % keinen Notfallplan gegen Datenklau aufweisen, deutet auf einen direkten Zusammenhang zwischen Sicherheitsinvestitionen und Umsatz. Laut Bitkom wurden im Jahr 2012 etwa 2,5 Mrd. € aller IT-Investitionen auf die Sicherheit der Daten verwendet. Also etwa 4 % der Gesamtinvestitionen von 72,4 Mrd. €. "Hier herrscht im Mittelstand noch Nachholbedarf", bemerkt Shahd.

Fehlende oder veraltete Technik ist aber nicht immer der naheliegende Grund für die Versäumnisse. Vielmehr fehle es am Know-how durch den ständigen Abfluss von Fachkräften, weiß Arved von Stackelberg, Sicherheitsexperte bei Hewlett-Packard. Im Gegensatz zur verbreiteten Annahme vom Klau von Forschungsunterlagen seien jedoch oft Kundendaten und Angaben über interne Konditionen das Ziel von Datenangriffen. "Sollte die Konkurrenz erfahren, wer zu welchen Bedingungen und Preisen einkauft, drohen sehr schnell Umsatzeinbußen", gibt Sergej Schlotthauer, Chef des Sicherheitslösungsanbieters Egosecure, zu bedenken. Ähnlich verhalte es sich mit den Mitarbeiterdaten: Eine für Dritte einsehbare Gehaltsliste könne etwa dazu führen, dass wichtige Angestellte von Wettbewerbern abgeworben würden, warnt Schlotthauer.

Zudem würden oft Partner und Zulieferer von Unternehmen als Einfallstor in größere Firmen missbraucht, so Raimund Genes, Chief Technology Officer beim Hersteller Trend Micro. "Zulieferer und Partner bewegen sich meist ungehindert in großen Netzen und ziehen Daten ab", ergänzt von Stackelberg.

Interne Datendiebe fassen

Wenn es nicht möglich ist, die Grenzen der eigenen Firma nach außen abzuschotten, sollten zumindest interne Datendiebe gefasst werden können. Dafür gibt es eine Reihe von Lösungen. Diese sollen verhindern, dass Mitarbeiter Daten an unbefugte Adressaten oder über unzulässige Kanäle, wie einen unverschlüsselten USB-Stick, weitergeben. Lösungen für Data Loss Prevention kontrollieren auch Inhalte von Dateien oder E-Mails, die Mitarbeiter erhalten und versenden. Da kommt das Thema Datenschutz ins Spiel. Daher ist "die Nutzung derartiger Lösungen rechtlich sehr schwer durchzusetzen und scheitert zumeist spätestens beim Betriebsrat", erklärt Schlotthauer.

Dabei ließen sich nach Schlotthauers Angaben ganze 95 % der Fälle durch das C.A.F.E.-Management-Prinzip (s. Kasten) lösen: "Eine Content-Analyse darf aber auf keinen Fall als Überwachungswerkzeug eingesetzt werden."

Anzeige
Von Michael Matzer | Präsentiert von VDI Logo
Zur StartseiteZur Startseite
schlagworte: 
kommentare

Aktuell wurden noch keine Kommentare zu diesem Artikel abgegeben. Loggen Sie ich ein oder melden Sie sich neu an, wenn Sie noch keine Zugangsdaten haben
> Zum Login     > Neu anmelden