Macht eine Sicherheitsstrategie für KMUs überhaupt Sinn? Diese und weitere Fragen haben wir im Rahmen unseres 4. Cloud Tages Saarland gesammelt. Unsere Experten Christina Collmann und Norman Brust (M&B Sicherheitsmanagement) stehen im Interview Rede und Antwort dazu.
Wie hoch ist die Gefahr für deutsche Unternehmen ein Opfer von „Wirtschafts- oder Industriespionage“ bzw. „Datendiebstahl“ zu werden?
Norman Brust: Die Anfragen von betroffenen Unternehmen zeigen deutlich, dass es sich bei weitem nicht um Einzelfälle handelt. Viele Unternehmen merken dabei erst viel zu spät, dass sie ausgespäht wurden. Die Dunkelziffer ist sehr hoch, zumal viele Unternehmen Schadensfälle nicht zur Anzeige bringen, um Reputations- und Imageschäden abzuwenden. Die Argumente sind zwar verständlich, jedoch führt solches Verhalten zu einer trügerischen Sicherheit. Gleichzeitig werden die Täter in ihrem Verhalten bestärkt. Wie anfällig deutsche Unternehmen sind, zeigt zum Beispiel der jährlich erscheinende Bericht des Bundesamtes für Verfassungsschutz.
Macht eine Sicherheitsstrategie für KMUs überhaupt Sinn?
Christina Collmann: Gerade für KMUs macht das Sinn und ist dringend nötig. 46% der KMUs wurden bereits Opfer von Security Attacken. Die meisten merken es nicht einmal. Gerade deshalb sind KMUs interessante Ziele, insbesondere da hier sehr viel Spezialwissen liegt.
Ist eine wirksame Abwehr von Informationsabfluss möglich?
Norman Brust: Die Abwehr von Datendiebstahl und Know-how-Abfluss ist in der Tat schwierig, aber nicht aussichtslos. Ein ganzheitlicher Schutz vor unerwünschten Informationsabflüssen kann dabei nur erreicht werden, wenn die technischen Maßnahmen mit organisatorischen und personellen Maßnahmen Hand in Hand gehen und diese in den Sicherheitsmanagement-Prozess eingebettet sind. Hierdurch ist bereits eine deutliche Risikominimierung möglich. Dabei sollte vor allem der unkontrollierte Abfluss von elektronischen Daten und Informationen ins Visier genommen werden. Hier zeigen sich aus der Praxis auch die meisten Schwachstellen. Das schwächste Glied in der Kette ist und bleibt der Faktor Mensch. Leichtsinnige Herausgabe von Firmeninterna – beispielsweise auf Veranstaltungen oder am Telefon – sind leider keine Seltenheit. Wirksame Präventionsmaßnahmen bieten Compliance- und Awareness-Programme, die individuell auf das entsprechende Unternehmen zugeschnitten sein sollten. Softwarelösungen zum Schutz von Daten (z. B. Verschlüsselungsprogramme wie AIP) können dann unterstützend und relativ kostengünstig eingesetzt werden. Letztlich muss Informationsschutz im Unternehmen gelebt werden. Das fängt beim Chef an.
Wie viel muss man als Mittelständler in IT-Sicherheit investieren?
Christina Collmann: Es gibt keinen pauschalen Richtwert. Was man jedoch sagen kann, ist, dass es noch nie so einfach für KMU war, nachhaltig in Sicherheit zu investieren als heutzutage. Mit den modernen Cloud Sicherheitsfeatures der bekannten Hersteller, können auch kleine Unternehmen Sicherheitsstandards implementieren, die früher nur großen Unternehmen vorbehalten waren.
Welche Sicherheitsmaßnahmen sollten Unternehmen ergreifen?
Norman Brust: Viele Unternehmen unterschätzen die Gefahren und Auswirkungen von Informationsabfluss. Die erste Frage, die ich meinen Kunden stelle, ist: „Wie nimmt die Unternehmensführung die gegenwärtige Unternehmenssituation und Informationssicherheit wahr?“ Dies ist ein erster Einstieg in eine konstruktive Diskussion. Um eine gezielte Strategie zu implementieren oder ein Sicherheitskonzept zu erstellen, ist es wichtig, zunächst den eigenen Schutzbedarf zu ermitteln, um Kosten-/Nutzen-Aspekte angemessen auszutarieren. Hierzu gehört auch eine interne Risikoanalyse. Letztlich ist die Klassifizierung aller geschäftsrelevanten Informationen gemäß ihrem Schutzbedarf ein wesentliches Element aller Sicherheitsmaßnahmen. Hierauf aufbauend muss dann individuell geklärt werden, wer diese Informationen unter welchen Rahmenbedingungen bearbeiten, speichern und weitersenden darf und wie diese dabei zu schützen sind. Hierbei können bspw. softwaregestützte Lösungen den Unternehmer und Mitarbeiter sinnvoll und kostengünstig unterstützen.
Was können betroffene Unternehmen bei ersten Verdachtsmomenten tun? Worauf sollte man unbedingt achten?
Norman Brust: Besteht ein Anfangsverdacht oder gibt es konkrete Hinweise auf eine Ausspähung, sollten Firmen grundsätzlich ziellosen Aktionismus vermeiden. Um den Ermittlungserfolg nicht zu gefährden, ist eine systematische Vorgehensweise unter Einbeziehung von Forensik-Experten und den Sicherheitsbehörden zu empfehlen. Im ersten Schritt ist zu ermitteln, wie hoch das Schadensausmaß ist und welche Abteilungen und Personen von der Ausspähung betroffen sind. Anschließend können gezielte kurzfristige Gegenmaßnahmen eingeleitet werden. Auch die Sicherheitsbehörden sollten bei strafrechtlich relevanten Sachverhalten informiert werden.
Lohnt sich die Beschaffung von Software zum Informationsschutz? Worauf sollte ich beim Einsatz unbedingt achten?
Norman Brust: Vor der Beschaffung eines Tools sollte der Einsatzzweck genau definiert werden. Bevor ein Tool in Betrieb genommen wird, muss eine Richtlinie zu dessen Nutzung erstellt werden sowie der Regelsatz festgelegt werden, den das Tool überprüfen soll. Der Einsatz und das Regelwerk sollten sorgfältig geplant und auf die Institution abgestimmt werden. Dabei sollten die Arbeitnehmervertretung und der Datenschutzbeauftragte einbezogen werden. Es empfiehlt sich, die getroffenen Regelungen in einer Betriebsvereinbarung zu fixieren.
Wichtig ist es, nicht über zu reagieren. Nach ersten Tests mit den Tools sind die Verantwortlichen meist entsetzt über die vielen potentiellen Schwachstellen, die damit aufgezeigt werden. Die Regeln sollten allerdings nicht zu eng aufgesetzt werden, damit ein vernünftiges Arbeiten noch möglich bleibt. Die Mitarbeiter sollten darüber informiert werden, dass bspw. ein Tool zum Informationsschutz eingesetzt wird. Gleichzeitig sollte man mitteilen, was diese Tools prüfen und welche Reaktionen auf Verstöße gegen das Regelwerk vorgesehen sind. Bei Verstößen gegen die definierten Regeln bieten die jeweiligen Tools auch abgestufte Reaktionsmöglichkeiten, dazu gehören beispielsweise die Anzeige eines Hinweises für den Benutzer, dass die geplante Interaktion gegen das Regelwerk verstoßen würde, eine Abfrage einer expliziten Zustimmung des Benutzers, die Blockade der Aktion, die Protokollierung oder die Information Dritter, z. B. eines Administrators oder Vorgesetzten.
Die Erfahrung zeigt, dass die Anzeige von Warnhinweisen sehr wirkungsvoll ist, um die Mitarbeiter für den verantwortungsbewussten Umgang mit vertraulichen Informationen zu sensibilisieren. Zu starke Einschränkungen oder Kontrollen können sich dagegen negativ auf die Motivation der Mitarbeiter auswirken. Die Richtlinien, die beim Einsatz des Tools festgelegt wurden, sowie die Konfiguration des Tools selbst muss regelmäßig überprüft und optimiert werden und an Änderungen in der Institution, den Geschäftsprozessen und der IT angepasst werden. Die Kosten für entsprechende Softwarelösungen kommen auf den jeweiligen Bedarf der Unternehmen an. Die Erfahrung zeigt jedoch, dass es bereits gute Programme gibt, die unterhalb von 2,00 Euro pro Anwender liegen.
Kann man Security auch outsourcen?
Christina Collmann: Klar, es gibt viele Beratungsunternehmen in dem Bereich. Einfach nur outsourcen reicht jedoch nicht. Jeder ist selbst für seine Security verantwortlich und muss die Verantwortung hierfür übernehmen. Man sollte daher immer up to date bleiben und eng mit eventuell eingesetzten Unternehmen zusammenzuarbeiten, um zu verstehen, was die Knackpunkte sind.
Wie sicher sind die Daten in der Cloud wirklich?
Christina Collmann: Aus meiner Sicht kann man ein Maximum an IT-Sicherheit am einfachsten in der Cloud erhalten. Große Anbieter wie z.B. Microsoft investieren so viele Ressourcen in das Thema Security, wie ich es mir als KMU niemals leisten kann. Daher sind Cloud-Architekturen in der Regel auf einem viel besseren Stand als es interne Infrastrukturen mit realistischem Aufwand sein können.
