Die fort­schrei­ten­de Digi­ta­li­sie­rung erhöht die Leis­tungs­fä­hig­keit von Unter­neh­men jeder Grö­ßen­ord­nung, sie erhöht aber auch die Anfor­de­run­gen an die IT-Sicherheit. Die Tech­no­lo­gi­en für kri­mi­nel­le Hand­lun­gen in Netz­wer­ken wach­sen, Security-Lösungen wer­den eben­falls immer bes­ser. Unter­neh­men müs­sen Letz­te­re ken­nen und anwen­den.

Digi­ta­li­sie­rung: Chan­cen und Risi­ken

Die Chan­cen durch den digi­ta­len Wan­del sind enorm. Es ent­ste­hen inno­va­ti­ve­re Pro­duk­te in sta­bi­ler Qua­li­tät, die Kun­den­kom­mu­ni­ka­ti­on wird durch sozia­le Netz­wer­ke viel direk­ter. Kun­den neh­men bestimm­te digi­ta­le Dienst­leis­tun­gen sehr dank­bar an, dar­un­ter “How-to-Anleitungen“ oder auch den Chat mit einem Sup­por­ter. Pro­duk­te und Dienst­leis­tun­gen las­sen sich stär­ker per­so­na­li­sie­ren, Beschaffungs- und Infor­ma­ti­ons­pro­zes­se wer­den ein­fa­cher. Mit moder­nen Tech­no­lo­gi­en ist die orts­un­ab­hän­gi­ge Steue­rung geschäft­li­cher Pro­zes­se kein Pro­blem mehr. Die­sen gro­ßen Chan­cen ste­hen Risi­ken gegen­über, denn die erfor­der­li­chen Netz­wer­ke sind prin­zi­pi­ell neur­al­gi­sche Punk­te. Doch ohne eine kon­se­quen­te und naht­lo­se Ver­knüp­fung von viel­fäl­ti­gen Schnitt­stel­len kann die digi­ta­le Trans­for­ma­ti­on nicht gelin­gen. Die bis­lang ein­ge­setz­ten IT-Inseln in Unter­neh­men, die bes­ten­falls an ein Intra­net ange­schlos­sen sind, kön­nen nicht das gan­ze Poten­zi­al von ver­füg­ba­ren Infor­ma­tio­nen aus­nut­zen. Also sind die meis­ten Unter­neh­men per­ma­nent online, damit sind sie auch angreif­bar. Das größ­te Risi­ko für Tech­no­lo­gie­un­ter­neh­men ist das Abgrei­fen von Entwicklungs-Know-how, gefolgt vom Aus­spä­hen sen­si­bler Finanz­da­ten und Pla­nun­gen, dem Dieb­stahl von Iden­ti­tä­ten inklu­si­ve Miss­brauch, der Erpres­sung und der Daten­ma­ni­pu­la­ti­on zum Zweck der Sabo­ta­ge. Die Schä­den gehen in Deutsch­land in die Mil­li­ar­den, las­sen sich aber nicht ein­mal genau bezif­fern, weil nicht jedes Unter­neh­men jeden Scha­den mel­det. Eines ist aber unbe­strit­ten: Die Ver­ant­wor­tung für Daten­schutz, IT-Verfügbarkeit und Know-how ist mit der digi­ta­len Trans­for­ma­ti­on gewach­sen.

Wie gehen Unter­neh­men mit erhöh­ten Sicher­heits­an­for­de­run­gen um?

Das Bewusst­sein ist zwar prin­zi­pi­ell da, jedoch fehlt es teil­wei­se an Kon­se­quenz bei der Umset­zung. Ein Bei­spiel lie­fert der nöti­ge Schutz von E-Mail-Identitäten vor Miss­brauch. Die gestie­ge­ne Rele­vanz die­ses Schut­zes soll­te ver­mu­ten las­sen, dass die Unter­neh­men zuneh­mend ihre Mails ver­schlüs­seln, doch das Gegen­teil ist der Fall, wie eine aktu­el­le DsiN-Studie (Initia­ti­ve Deutschland-sicher im Netz) ergab. Die Sicher­heits­vor­keh­run­gen für den E-Mail-Verkehr haben dem­nach zwi­schen Janu­ar 2016 und Janu­ar 2017 um sie­ben Pro­zent (von 50 auf 43 Pro­zent) abge­nom­men. Fast jedes vier­te deut­sche Unter­neh­men ergreift gar kei­ne Maß­nah­men: Mails wer­den grund­sätz­lich ohne Ver­schlüs­se­lung ver­sen­det. Eine unver­schlüs­sel­te Mail aber hat nach ein­schlä­gi­ger Auf­fas­sung den Sicher­heits­sta­tus einer Post­kar­te. Den “Unsi­cher­heits­fak­tor Mensch” haben eben­falls zu weni­ge Unter­neh­men auf dem Schirm. Nur 26 Pro­zent aller in der Stu­die befrag­ten KMU konn­ten auf doku­men­tier­te Sicher­heits­maß­nah­men vor­wei­sen, 28 Pro­zent hin­ge­gen küm­mern sich gar nicht um mög­li­che Phishing-Angriffe gegen Mit­ar­bei­ter. Der Rest der Befrag­ten klärt eher spo­ra­disch und nicht sehr inten­siv dar­über auf. Ein wei­te­res Pro­blem ergibt sich aus der man­geln­den Abstim­mung von Sicher­heits­maß­nah­men auf­ein­an­der inner­halb eines Betrie­bes. Hier­für sind kei­ne gro­ßen Inves­ti­tio­nen, son­dern nur admi­nis­tra­ti­ve Maß­nah­men nötig. Exper­ten schät­zen, dass allein dadurch die Risi­ken um bis zu 75 Pro­zent sin­ken könn­ten. Die Pro­ble­ma­tik reicht bis in die höchs­ten Eta­gen gro­ßer Kon­zer­ne oder auch der Poli­tik. So stol­per­te die US-Präsidentschaftskandidatin Hil­la­ry Clin­ton über ihr man­geln­des Sicher­heits­ver­ständ­nis: Sie hat­te als Außen­mi­nis­te­rin Dienst­mails über einen pri­va­ten Ser­ver lau­fen las­sen — “aus Bequem­lich­keit“, wie sie zugab.

Wie muss die IT-Sicherheit im Zeit­al­ter der Digi­ta­li­sie­rung beschaf­fen sein?

Zu den nöti­gen Sicher­heits­maß­nah­men gehö­ren neben Auf­klä­rung, Dienst­an­wei­sun­gen und Know-how natür­lich auch hand­fes­te Hard- und Soft­ware­lö­sun­gen. Als uner­läss­lich gel­ten:

  • Grund­schutz mit aktu­el­len Fire­walls und Viren­scan­nern
  • regel­mä­ßi­ge Software-Updates
  • Erken­nungs­soft­ware (Intru­si­on Detec­tion, iden­ti­fi­ziert Angrif­fe)
  • regel­mä­ßi­ger Check aller Sys­te­me auf Schwach­stel­len (Pene­tra­ti­ons­tests)
  • Zugangs­steue­rung und Admi­nis­tra­ti­on (Fest­le­gung von Zugriffs­rech­ten)

Wich­tig sind auf der Hard- und Soft­ware­sei­te moder­ne Lösun­gen, ansons­ten wür­de die IT-Sicherheit zum Fla­schen­hals. The­men wie New Ses­si­on Rate, Latenz und Durch­satz sind enorm wich­ti­ge Fak­to­ren. Die Kol­le­gen möch­ten kei­nes­falls, dass die Per­for­mance durch Sicher­heits­maß­nah­men sinkt. Auch des­halb ist eine gele­gent­li­che Über­prü­fung des aktu­el­len Schut­zes erfor­der­lich.

Sie wol­len kei­nen Bei­trag mehr ver­pas­sen, dann fol­gen Sie uns auf Soci­al Media: