Berlin/ Wildau. Die Datenaffäre um Prism, Tempora, XKeyscore hat die deutsche Wirtschaft verunsichert und wachgerüttelt. Die Berichte über Massendatenüberwachung, angezapfte Internet-Knotenpunkte und transatlantische Datenleitungen lassen Unternehmen befürchten, dass durch die ausländischen Geheimdienste nicht nur terroristische Anschläge vorgebeugt und vereitelt werden sollen, sondern möglicherweise auch Betriebsgeheimnisse auf der Spähliste stehen. Damit sehen sie wichtiges deutsches Wissen und Wettbewerbsvorsprung gefährdet.
Daher ist die derzeitige Diskussion für viele ein wichtiger Anstoß, die bis dato vor allem in kleineren und mittelständischen Unternehmen vorherrschende Sorglosigkeit über Bord zu werfen, die eigenen Sicherheitsbestimmungen und -richtlinien im Unternehmen ernsthaft zu hinterfragen und dem bisher auch vielfach erstaunlich laxem Umgang in Fragen der IT-Sicherheit die nötige Aufmerksamkeit zu widmen.
Christian Köhler, Vorstandsvorsitzender des IT-Branchenverbandes Berlin-Brandenburg, SIBB e.V. und IT-Sicherheitsexperte sieht häufige Ursachen für Schäden in diesem Zusammenhang vor allem in der unzureichenden Strategie und mangelndem Personaleinsatz für Informationssicherheit. „Damit einher geht vielfach eine ungenügende bzw. lückenhafte Administration von IT-Systemen durch unsichere Vernetzungen und/ oder Internet-Anbindungen. Der sorglose Umgang mit Passwörtern (besonders beliebt, die oberste Schreibtischschublade oder besser noch das Post.it am Bildschirm) oder Authentisierungsformen und Sicherheitsmechanismen, die unzureichende Wartung von IT-Systemen, die Nutzung fremder Applikationen tun ihr Übriges. Die Grenze zwischen beruflicher und privater Nutzung bei mobilen Geräten verschwimmt zusehends. Datenlecks sind vorprogrammiert, die Vielfalt der Geräte erschweren die einheitliche Administration.“
Dabei lassen sich seiner Meinung nach und aus seinem Erfahrungsschatz schöpfend große Teile der Schäden vermeiden: Zuvorderst steht die Sensibilisierung aller Mitarbeiter und die Schulung derer, die an den Schnittstellen des Informationsmanagements arbeiten. Dies betrifft auch die sichere Nutzung mobiler IT-Systeme wie Smart Phones, Tablets oder Nutzer, die in Firmennetzwerken an verschiedenen Computern arbeiten (Roaming User). „So wie das Firmenfahrzeug eine technische Durchsicht erfährt, gilt es, durch verfügbare Sicherheitsupdates auch in der IT-Struktur mögliche Sicherheitslücken auszuschließen,” verdeutlicht Köhler die Notwendigkeit ganz plastisch. Die Einhaltung von Gesetzen und Richtlinien im Unternehmen, freiwillige Kodizes tragen wesentlich zur Vermeidung und zum Schutz von Schäden bei. Dies gilt auch in der Zusammenarbeit mit Dritten, sei es durch Systembeteiligung oder durch die Nutzung von Leistungen durch Dritte. Hinterfragen Unternehmen solche Fakten, ist ein großer Schritt zur Infrastruktursicherheit getan, können Software-Schwachstellen ebenso wie Schädigungen durch Schadsoftware aufgedeckt und ausgemerzt werden. Selbst die regelmäßige Datensicherung gehört dazu. Darüber hinaus sollte auch ein IT-Notfallplan zur Sicherung der Geschäftsprozesse Bestandteil der firmeninternen IT-Sicherheit gehören. Wie heute typischerweise ein Betriebsrat, ein Gesundheitsbeauftragter oder Gleichstellungsbeauftragter zum Unternehmen gehört, sollte ein IT-Sicherheitsbeauftragter und Compliance Manager ebenso selbstverständlich in die Managementstrukturen von Unternehmen eingebunden sein.
Handlungsempfehlung: Sensible Daten des Unternehmens separieren und abschotten
Daten mit hohem Schutzbedarf, zu denen auch Entwicklungs-, Forschungs- oder Patentdaten zählen, gehören nicht auf mobile Systeme. Die Erziehung zur Datensparsamkeit und das Einführen von Verhaltensregeln im Datenumgang im Betrieb können wesentlich zur Sicherheit beitragen (inkl. Absicherung von Verzeichnissen und Verzeichnisdiensten).
Die Nutzung qualifizierter nationaler Cloud-Dienste-Anbieter und Rechenzentren-Betreiber, die bspw. nach TÜV Level 4 oder gemäß ISO 27001 auf Basis von IT-Grundschutz zertifiziert sind, sorgen für sichere Datentransporte und -archivierung nach europäischem und deutschem Recht. Damit verbunden ist auch der Einsatz von Technologie deutscher oder europäischer Anbieter (je nach Schutzbedarf zugelassen bzw. zertifiziert, bspw. nach Common Criteria). Sie erlauben es, Lösungen einzusetzen, die dem Bundesdatenschutzgesetz bzw. dem Fernmeldegeheimnis entsprechen. Im klassischen B2B – Verkehr können E-MailVerschlüsselungsverfahren wie zum Beispiel Chiasmus, GGP4WIN, SMIME zusätzlich Sicherheit gewährleisten. Remote-/Fernwartungszugänge sowie B2B-Direktvernetzung bzw. über Internet gilt es, gesondert zu sichern.
Um besonders sensible Daten eines Unternehmens zu schützen, „sollen diese `Kronjuwelen´ in gesonderten Sicherheitszonen nur begrenzt Zugangs- und Zugriffsberechtigten zur Verfügung stehen. Regelmäßige Sicherheits-Scans und Penetrationstests (sogenannte simulierte Hackerangriffe) müssen in Betriebsabläufe integriert werden, “ rät Christian Köhler weiter. Er empfiehlt zudem „künftige Ausschreibungen und Vergaben für Neuentwicklungen bei Produktionsverfahren und Steuerungssystemen mit Blick auf nationale Expertise bzw. die Einhaltung von Konformitätsanforderungen zu prüfen und zu berücksichtigen. Mit all diesen überschaubaren Maßnahmen können auch KMU´s, die Etats für die Informationstechnik in der Regel nur in kleinem Maße planen, große Wirkungen erzielen!“
Unterstützungsangebote nutzen
Kleine und mittelständische Unternehmen in Berlin und Brandenburg, die im Bereich der IT-Sicherheit Beratungs- und Unterstützungsbedarf zu allen in den letzten Wochen aufgekommenen Fragen haben, können über den SIBB e.V. umfangreiche Vernetzungsangebote nutzen. Insbesondere das auf dieses Thema spezialisierte SIBB FORUM IT-Security steht hierbei als Gesprächspartner zur Verfügung. Forensprecher Christian Stuchlik berichtet aktuell von einer erhöhten Anzahl von Anfragen aus allen Bereichen der Wirtschaft, aber auch von Kommunen und Netzwerkpartnern: „Der Informationsbedarf ist nach wie vor sehr hoch, vielen ist das Gefährdungspotential im Zuge der Datenaffäre erst so richtig bewusst geworden. Damit einher geht auch eine gewisse Verunsicherung. Der Kontakt zu unserem IT-Sicherheits-Forum ist in diesen Fällen ein richtiger Schritt – wir geben Handlungsempfehlungen und wichtige Anleitung zur Abhilfe und Selbsthilfe.“ Eine erste Checkliste bietet das SIBB Forum IT-Security zum Download unter http://www.sibb.de/sibb-forum-it-security.html?&no_cache=1 an.
Auch das BMWi hat im Rahmen der Task Force „IT-Sicherheit in der Wirtschaft“ ein abgestimmtes „Zehn-Punkte-Papier“ mit allgemeinen Handlungsempfehlungen für einen sicheren Umgang mit Unternehmensdaten im Internet veröffentlicht: http://www.it-sicherheit-in-der-wirtschaft.de/IT-Sicherheit/Navigation/meldungen,did=587442.html
Daher ist die derzeitige Diskussion für viele ein wichtiger Anstoß, die bis dato vor allem in kleineren und mittelständischen Unternehmen vorherrschende Sorglosigkeit über Bord zu werfen, die eigenen Sicherheitsbestimmungen und -richtlinien im Unternehmen ernsthaft zu hinterfragen und dem bisher auch vielfach erstaunlich laxem Umgang in Fragen der IT-Sicherheit die nötige Aufmerksamkeit zu widmen.
Christian Köhler, Vorstandsvorsitzender des IT-Branchenverbandes Berlin-Brandenburg, SIBB e.V. und IT-Sicherheitsexperte sieht häufige Ursachen für Schäden in diesem Zusammenhang vor allem in der unzureichenden Strategie und mangelndem Personaleinsatz für Informationssicherheit. „Damit einher geht vielfach eine ungenügende bzw. lückenhafte Administration von IT-Systemen durch unsichere Vernetzungen und/ oder Internet-Anbindungen. Der sorglose Umgang mit Passwörtern (besonders beliebt, die oberste Schreibtischschublade oder besser noch das Post.it am Bildschirm) oder Authentisierungsformen und Sicherheitsmechanismen, die unzureichende Wartung von IT-Systemen, die Nutzung fremder Applikationen tun ihr Übriges. Die Grenze zwischen beruflicher und privater Nutzung bei mobilen Geräten verschwimmt zusehends. Datenlecks sind vorprogrammiert, die Vielfalt der Geräte erschweren die einheitliche Administration.“
Dabei lassen sich seiner Meinung nach und aus seinem Erfahrungsschatz schöpfend große Teile der Schäden vermeiden: Zuvorderst steht die Sensibilisierung aller Mitarbeiter und die Schulung derer, die an den Schnittstellen des Informationsmanagements arbeiten. Dies betrifft auch die sichere Nutzung mobiler IT-Systeme wie Smart Phones, Tablets oder Nutzer, die in Firmennetzwerken an verschiedenen Computern arbeiten (Roaming User). „So wie das Firmenfahrzeug eine technische Durchsicht erfährt, gilt es, durch verfügbare Sicherheitsupdates auch in der IT-Struktur mögliche Sicherheitslücken auszuschließen,” verdeutlicht Köhler die Notwendigkeit ganz plastisch. Die Einhaltung von Gesetzen und Richtlinien im Unternehmen, freiwillige Kodizes tragen wesentlich zur Vermeidung und zum Schutz von Schäden bei. Dies gilt auch in der Zusammenarbeit mit Dritten, sei es durch Systembeteiligung oder durch die Nutzung von Leistungen durch Dritte. Hinterfragen Unternehmen solche Fakten, ist ein großer Schritt zur Infrastruktursicherheit getan, können Software-Schwachstellen ebenso wie Schädigungen durch Schadsoftware aufgedeckt und ausgemerzt werden. Selbst die regelmäßige Datensicherung gehört dazu. Darüber hinaus sollte auch ein IT-Notfallplan zur Sicherung der Geschäftsprozesse Bestandteil der firmeninternen IT-Sicherheit gehören. Wie heute typischerweise ein Betriebsrat, ein Gesundheitsbeauftragter oder Gleichstellungsbeauftragter zum Unternehmen gehört, sollte ein IT-Sicherheitsbeauftragter und Compliance Manager ebenso selbstverständlich in die Managementstrukturen von Unternehmen eingebunden sein.
Handlungsempfehlung: Sensible Daten des Unternehmens separieren und abschotten
Daten mit hohem Schutzbedarf, zu denen auch Entwicklungs-, Forschungs- oder Patentdaten zählen, gehören nicht auf mobile Systeme. Die Erziehung zur Datensparsamkeit und das Einführen von Verhaltensregeln im Datenumgang im Betrieb können wesentlich zur Sicherheit beitragen (inkl. Absicherung von Verzeichnissen und Verzeichnisdiensten).
Die Nutzung qualifizierter nationaler Cloud-Dienste-Anbieter und Rechenzentren-Betreiber, die bspw. nach TÜV Level 4 oder gemäß ISO 27001 auf Basis von IT-Grundschutz zertifiziert sind, sorgen für sichere Datentransporte und -archivierung nach europäischem und deutschem Recht. Damit verbunden ist auch der Einsatz von Technologie deutscher oder europäischer Anbieter (je nach Schutzbedarf zugelassen bzw. zertifiziert, bspw. nach Common Criteria). Sie erlauben es, Lösungen einzusetzen, die dem Bundesdatenschutzgesetz bzw. dem Fernmeldegeheimnis entsprechen. Im klassischen B2B – Verkehr können E-MailVerschlüsselungsverfahren wie zum Beispiel Chiasmus, GGP4WIN, SMIME zusätzlich Sicherheit gewährleisten. Remote-/Fernwartungszugänge sowie B2B-Direktvernetzung bzw. über Internet gilt es, gesondert zu sichern.
Um besonders sensible Daten eines Unternehmens zu schützen, „sollen diese `Kronjuwelen´ in gesonderten Sicherheitszonen nur begrenzt Zugangs- und Zugriffsberechtigten zur Verfügung stehen. Regelmäßige Sicherheits-Scans und Penetrationstests (sogenannte simulierte Hackerangriffe) müssen in Betriebsabläufe integriert werden, “ rät Christian Köhler weiter. Er empfiehlt zudem „künftige Ausschreibungen und Vergaben für Neuentwicklungen bei Produktionsverfahren und Steuerungssystemen mit Blick auf nationale Expertise bzw. die Einhaltung von Konformitätsanforderungen zu prüfen und zu berücksichtigen. Mit all diesen überschaubaren Maßnahmen können auch KMU´s, die Etats für die Informationstechnik in der Regel nur in kleinem Maße planen, große Wirkungen erzielen!“
Unterstützungsangebote nutzen
Kleine und mittelständische Unternehmen in Berlin und Brandenburg, die im Bereich der IT-Sicherheit Beratungs- und Unterstützungsbedarf zu allen in den letzten Wochen aufgekommenen Fragen haben, können über den SIBB e.V. umfangreiche Vernetzungsangebote nutzen. Insbesondere das auf dieses Thema spezialisierte SIBB FORUM IT-Security steht hierbei als Gesprächspartner zur Verfügung. Forensprecher Christian Stuchlik berichtet aktuell von einer erhöhten Anzahl von Anfragen aus allen Bereichen der Wirtschaft, aber auch von Kommunen und Netzwerkpartnern: „Der Informationsbedarf ist nach wie vor sehr hoch, vielen ist das Gefährdungspotential im Zuge der Datenaffäre erst so richtig bewusst geworden. Damit einher geht auch eine gewisse Verunsicherung. Der Kontakt zu unserem IT-Sicherheits-Forum ist in diesen Fällen ein richtiger Schritt – wir geben Handlungsempfehlungen und wichtige Anleitung zur Abhilfe und Selbsthilfe.“ Eine erste Checkliste bietet das SIBB Forum IT-Security zum Download unter http://www.sibb.de/sibb-forum-it-security.html?&no_cache=1 an.
Auch das BMWi hat im Rahmen der Task Force „IT-Sicherheit in der Wirtschaft“ ein abgestimmtes „Zehn-Punkte-Papier“ mit allgemeinen Handlungsempfehlungen für einen sicheren Umgang mit Unternehmensdaten im Internet veröffentlicht: http://www.it-sicherheit-in-der-wirtschaft.de/IT-Sicherheit/Navigation/meldungen,did=587442.html
