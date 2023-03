München (em/lm) Sie kommen beinahe täglich – die Meldungen in der Presse über immer neue Unsicherheiten weitverbreiteter technischer Systeme. Große Schlagzeilen machen dabei nur wenige Ereignisse, wie etwa die im Juli verbreitete Nachricht, dass beinahe 950 Millionen(!) derzeit im Gebrauch befindliche Android-Smartphones ganz einfach per manipulierter MMS-Nachricht zu kapern sind – die Kenntnis der Telefonnummer genügt, um ein Gerät unter Kontrolle zu bringen. Doch der große Aufschrei blieb auch diesmal aus, zu sehr haben wir uns anscheinend bereits daran gewöhnt, dass Informationstechnologie, auf die wir uns privat wie geschäftlich stützen und ohne die unsere moderne Welt nicht mehr funktionieren kann, hochgradig unsicher ist.



Sicherheit – etwa im gerade angesprochenen Smartphone-Sektor – ist relativ und lässt sich bestenfalls an einzelnen Zahlen festmachen. So wurde aus an die Öffentlichkeit gelangten Interna der italienischen Sicherheitsfirma mit dem schönen Namen „Hacking Team“ bekannt, dass noch nicht bekannte Sicherheitslücken für das alternative Smartphone-Betriebssystem iOS (das von Apple) für Millionenbeträge gehandelt wurden (und vermutlich noch werden), während es dergleichen für Android quasi „im Dutzend billiger“ gab und gibt. Die Summe dieser Meldungen mag den Abstumpfungseffekt erklären, der viele Unternehmensverantwortliche scheinbar erfasst hat, wenn es um grundlegende Einstellungen in Sachen Sicherheit geht. IT-Sicherheit ist und bleibt ein Thema, mit dem man sich ungerne befasst.



KRITIS – die Haftungsfrage

Daran ändert auch das kürzlich in Deutschland in Kraft getretene IT-Sicherheitsgesetz wenig, mit dem höhere Sicherheitsstandards quasi vorgeschrieben werden sollen und in dem eine Meldepflicht von Cyberattacken festgelegt ist. Denn betroffen sind nur Betreiber sogenannter kritischer Infrastrukturen (KRITIS), also Organisationen, „bei deren Ausfall nachhaltig wirkende Versorgungsengpässe oder erhebliche Störungen der öffentlichen Sicherheit eintreten würden“ (Bundesamt für Sicherheit in der Informationstechnik, BSI). Dazu zählen im wesentlichen Energieversorger, Telekommunikationsdienstleister, Krankenhäuser und auch das Finanz- und Versicherungswesen. Gefühlt gilt für alle anderen Branchen damit Entwarnung. Zwar riskiert man als Unternehmensverantwortlicher – unabhängig von KRITIS – Haftungsprobleme, wenn man sich unzureichend um die ITSicherheit kümmert, solange aber die Einschläge nicht näher kommen, ändert sich dennoch zumeist nichts an der Situation. Aufgeschreckt reagieren Unternehmer und IT-Verantwortliche in Unternehmen zumeist erst dann, wenn Vorfälle in der gleichen Branche Publik werden oder Unternehmerkollegen betroffen sind. Beunruhigend in diesem Zusammenhang ist insbesondere die Tatsache, dass es – nach verschiedenen Schätzungen aus der Sicherheitsbranche – zwischen 100 und 200 Tage dauert, bis eine erfolgreiche Attacke tatsächlich auch vom Unternehmen bemerkt wird, gleichzeitig aber wenige Stunden Zugriff bereits genügen, um substantielle Informationen abzuziehen oder großen Schaden durch Sabotage zu stiften. Reagiert man nun erst nach Bekanntwerden vergleichbarer Fälle, so ist die „Inkubationszeit“ für das eigene Unternehmen möglicherweise längst verstrichen. Mithin ist dieses Zuwarten bei näherer Betrachtung keine sehr rationale Option für den Umgang mit der Bedrohungslage. Rationales Vorgehen ist in diesem Umfeld aber zumeist die Ausnahme. Nur jede dritte Führungskraft sieht die Risiken. Aufs schönste dokumentiert diese für Fachleute eigentlich groteske Situation eine gerade unter dem Titel „Datenklau 2015“ erschienene Studie des Beratungshauses Ernst&Young. Nur knapp jeder Dritte Befragte (Führungskräfte und Sicherheitsverantwortliche in einem deutschen Unternehmen) bewertet demnach das Risiko für das eigene Unternehmen, Opfer von Spionage, Cyberangriffen und/oder „Datenklau“ zu werden als hoch („eher hoch“ oder „sehr hoch“). Dieses Bild wird gespiegelt von der typischen Ausstattung mit Informationstechnologie. So nutzen – nach einer soeben erschienen Studie des Branchenverbandes Bitkom (auf Basis von Daten von IDC) alle befragten Unternehmen Virenscanner, Firewalls sowie einen Passwortschutz für IT-Geräte. Anwendungen zur Daten-- und Mailverschlüsselung werden von weniger als der Hälfte der Unternehmen eingesetzt. Noch schlechter sieht das Bild bei weitergehenden Sicherheitslösungen aus. Systeme zur Absicherung gegen Datenabfluss von innen (Data Leakage Prevention) nutzen nur 29 Prozent und nicht einmal ein Viertel (23 Prozent) verfügt über spezielle Angriffserkennungssysteme für Attacken von außen (Intrusion Detection). Für weitere 18 Prozent Angriffserkennungssysteme vor der Einführung und bescheidene 7 Prozent wollen sich verstärkt gegen Datenabfluss von innen absichern. Wird das ausreichen vor dem Hintergrund immer neuer Bedrohungen?



Der Feind im eigenen Haus

Ein Blick auf die Fakten sollte eigentlich aufrüttelnd genug sein. Ein Beispiel: Für 80.000 Dollar würde ein signifikanter Teil von Mitarbeitern Unternehmensgeheimnisse an Dritte verkaufen (Clearswift 2015). Was sind Ihre Geschäftsgeheimnisse wert? Schon bei einem typischen Mittelständler dürfte dieser in die Millionen gehen. Eine bewusste Wahrnehmung der Bedrohungslage ist der erste und wichtigste Schritt hin zu einem eigenen Sicherheitskonzept. Ignoranz ist in keinem Fall eine sinnvolle Abwehrstrategie gegenüber aktuellen Bedrohungen der Unternehmenssicherheit. Mehr zum Themenfeld: Sicherheitskonzept in der nächsten Kolumne von Thomas R. Köhler oder unter Thomas.Koehler@ce21.de.



Thomas R. Köhler ist Geschäftsführer der CE21 GmbH – www.ce21.de und Autor zahlreicher Standardwerke zu IT-Themen.

Veröffentlicht am: 29.09.2015