Security Bilanz Deutschland, Teil 1

Vernetzter Datenverkehr birgt neue Risiken

Von Sabine Philipp

Datenschutz und Datensicherheit bleiben ein Dauerbrenner, wie zuletzt wieder der großflächige Identitätsdiebstahl gezeigt hat: Laut BSI hatten Cyberkriminelle insgesamt 16 Mio. E-Mail-Adressen samt den zugehörigen Passwörtern gesammelt. Dabei stehen keineswegs nur die privaten Nutzerkonten hoch im Kurs. „Ein besonders lukratives Ziel sind mittelständische Unternehmen“, erklärt Henrik Groß, Analyst bei der techconsult GmbH in Kassel. „Oft verfügen sie über Know-how, das international gefragt ist.“ Abgesehen haben es die Kriminellen auf Konstruktionspläne und Prototypen ebenso wie auf Vertriebsdaten und Preislisten.

Bitte beachten Sie: Die nationalen Datenschutzgesetze in der EU, also auch das BDSG, wurden zum 25. Mai 2018 durch die Bestimmungen der EU-Datenschutz-Grundverordnung ersetzt.

Böswillige Schädigung ist aber nicht das einzige Risiko. „Heutzutage spielt die IT in den meisten Unternehmen eine Schlüsselrolle. Ein Ausfall der Systeme führt zu einem Arbeits- und damit zu einem Umsatzverlust, der je nach Dauer unternehmenskritische Züge annehmen kann“, warnt der Projektleiter der Security Bilanz Deutschland.

Besonders heikel wird es, wenn personenbezogene Daten, wie z.B. Kundendaten nach außen gelangen. Das Bundesdatenschutzgesetz (§ 9 BDSG) schreibt für diese Daten ein besonders hohes Schutzniveau vor. Entsteht den Betroffenen daraus ein Schaden, können sie nach § 7 BDSG sogar Schadensersatz fordern – wenn die „gebotene Sorgfalt“ nicht beachtet wurde. Zu einem Imageverlust kommt es aber auf jeden Fall.

Henrik Groß.jpg

Henrik Groß ist Senior Analyst bei der techconsult GmbH, wo er u.a. als Projektleiter die Aktivitäten rund um die Studie Security Bilanz Deutschland koordiniert. Daneben entwickelt der studierte Soziologe individuelle Studienkonzepte und setzt sie in Studien und Market Papers um. Als Autor hat er u.a. zu den Themen Business Performance, Client Management und Industrie 4.0 publiziert.


Henrik Groß, Analyst, techconsult GmbH, Am Platz der Deutschen Einheit, Leipziger Straße 35–37, 34125 Kassel, Tel. 0561-8109-178, Fax: 0561-8109-101, henrik.gross@techconsult.de, www.techconsult.de

Von Antivirus bis Zugangskontrolle

Datenschutz und Datensicherheit sind mittlerweile ein enorm vielfältiges Thema geworden, bei dem ganz unterschiedliche Bereiche betroffen sind. Gerade für kleine und mittelständische Unternehmen mit einer eher kleinen IT-Abteilung kann diese Komplexität eine ernste Herausforderung sein.

Eine übergreifende Security-Strategie beginnt daher mit einer umfassenden Betrachtung der IT-Technik. Dies ist der erste Schritt, um mögliche Gefahrenquellen aufzudecken, sowohl auf der technischen als auch auf der organisatorischen und rechtlichen Ebene. Der zweite Schritt besteht in der Definition und im Ergreifen von Maßnahmen, der dritte heißt systematische Erfolgskontrolle und Nachverfolgung.

„Auf der technischen Ebene sind physikalische Maßnahmen wie z.B. Firewalls und Antivirenprogramme, aber auch Backup-Systeme angesiedelt. Sie bieten Schutz vor Virenattacken und Trojanern bzw. sichern die Daten eines Unternehmens“, erläutert Groß. Als Beispiel für Maßnahmen auf organisatorischer Ebene nennt er exemplarisch Notfall- und Reaktionspläne, Security Audits oder die Durchführung von Tests. „Auf der rechtlichen Ebene geht es um die Einhaltung gesetzlicher Vorgaben, wie z.B. die Umsetzung des Bundesdatenschutzgesetzes“, erläutert der Fachmann. Konkrete Schritte könnten hier z.B. Mitarbeiterschulungen oder Zertifizierungen sein.

Vernetzung macht Plaudertaschen
Eine herausragende Rolle nimmt für Groß auch die Unternehmenskommunikation ein – etwa mit Kunden, dem Finanzamt oder mit Mitarbeitern im Außendienst – sowie die zugehörige Absicherung der Kommunikationsbeziehungen (z.B. durch ein Virtual Private Network). In der Außenkommunikation sieht er Risiken u.a. in der Unternehmenspräsentation durch Mitarbeiter in sozialen Netzwerken. „Häufig ist nicht definiert, welche Informationen die Mitarbeiter privat und dienstlich über das Unternehmen kommunizieren sollten“, erklärt der Marktexperte, der als eine Gegenmaßnahme Mitarbeiterschulungen und die Formulierung von Richtlinien sieht.

Fazit: Werkzeug zum Selbstcheck

Tatsächlich ist vielen Unternehmensverantwortlichen durchaus bewusst, dass ihre Sicherheitsstrategie nicht up to date ist, Mängel hat oder Lücken aufweist. Nur: Wie sollen gerade kleine Mittelständler all diese Aspekte im Auge behalten?

„Techconsult und der Heise-Verlag erarbeiten aktuell ein kostenloses ,Self-Check-Tool‘, mit dem Unternehmen systematisch ihre technischen Schwachstellen ausloten können“, sagt dazu Groß, der gleichzeitig Projektleiter ist. Grundlage sei die Studie „Security Bilanz Deutschland“, für die 500 Geschäftsführer, IT-Leiter und Datenschutzbeauftragte von Unternehmen verschiedener Branchen sowie von öffentlichen Verwaltungen und Non-Profit-Organisationen mit einer Größe von 20 bis 1999 Mitarbeitern befragt werden.

Serie: Security Bilanz Deutschland
Teil 1 beginnt bei der aktuellen Sicherheitslage und sagt, wie die Security Bilanz Deutschland angelegt ist. Teil 2 sichtet die Risiken nach Branche und erläutert die Funktionsweise des Heise Security Consulters.

Groß betont, dass die Studie genau die erforderliche ganzheitliche und umfassende Betrachtungsweise von IT-Technik und der nötigen organisatorischen und rechtlichen Maßnahmen umsetzt; sie hält auch fest, wie sich diese verschiedenen Ebenen in einer (IT-)Security-Strategie wiederfinden bzw. wie sie umgekehrt von dieser definiert werden. Im Studienbeirat sitzen u.a. der Leiter des Referates für Informationssicherheit Günther Ennen im Bundesamt für Sicherheit in der Informationstechnik (BSI), der Chefredakteur von heise Security Jürgen Schmidt, der Justiziar, IT-Fachanwalt und Datenschutzexperte des Heise Zeitschriften Verlages Jörg Heidrich und der Sicherheitsexperte Christoph Wegener. Das Tool und erste Studienergebnisse will das Team erstmals auf der CeBIT 2014 präsentieren.

Der Selbstcheck ergibt in der Gesamtbetrachtung einen Security Performance Index, der zum einen ein Abbild der Sicherheitsprozesse im eigenen Unternehmen ist und zum anderen aufzeigt, wie das Unternehmen im Vergleich zu ähnlichen Firmen dasteht.

Wieso gerade diese Benchmark ein besonders effizientes Instrument ist, legt Teil 2 dieser Serie dar.

Nützliche Links