Wird der deutsche Mittelstand um die Innovationen gebracht?Gefährdetes Markenzeichen
11. Juli 2017Bei Angriffen auf den als innovativ geltenden deutschen Mittelstand handelt es sich nicht mehr um zufällige Angriffe mit Malware, die Schwachstellen in den Firewalls aufspüren und in die Systeme eindringen können, vielmehr werden gezielte und effektive Angriffe registriert. Bernd Länge, Bereichsleiter Infrastruktur und Sicherheit bei der AXSOS AG und seit über 15 Jahren in der Branche tätig, bestätigt, dass sich die Angriffe in ihrer Art verändert haben. „Ein gutes Beispiel dafür ist der WannaCry-Vorfall, der eine ganz spezifische Sicherheitslücke in Windows 7-Systemen ausgenutzt hat, denen ein Sicherheitsupdate fehlte. Einmal eingedrungen wurden Daten verschlüsselt und nur gegen Lösegeldforderungen wieder nutzbar. Diese Kombination macht auch eine eindeutig kriminelle Absicht deutlich.“
Gesetzgeber greift ein
Besonders bedenklich bei Angriffen auf den deutschen Mittelstand ist die Tatsache, dass ein Datenklau zumeist erst im Nachhinein bemerkt wird. Schutzmechanismen, die ein Eindringen verhindern könnten, fehlen oft. Eine Tatsache, die aufhorchen lassen sollte! Denn, der Schaden, der bei einem solchen Datenklau entsteht, umfasst weit mehr als nur die Aspekte der Industriespionage: Die dabei entstehenden Kosten, der Verlust von Wettbewerbsvorteilen sowie irreparable Schäden im Ruf des Unternehmens wie im Vertrauen zu den Kunden, fallen hier wesentlich schwerer ins Gewicht.
Die Politik hat hier ihre Verantwortung erkannt und mit der Europäischen Datenschutzgrundverordnung (EU-DSGVO) bzw. dem IT-Grundgesetz in Deutschland entsprechende Richtlinien festgelegt, die derartige Vorkommnisse erschweren sollen. Bereits 2015 brachte die Bundesregierung das IT-Sicherheitsgesetz auf den Weg, in dem Unternehmen verpflichtet wurden, Hackerangriffe an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Das Gesetz umfasst insbesondere Unternehmen der kritischen Infrastrukturen. In einem zweiten Schritt soll die Meldepflicht allerdings ausgeweitet werden. Wer dieser Meldepflicht nicht nachkommt, den erwartet eine Strafe in sechsstelliger Höhe.
Mit der EU-DSGVO werden dagegen einheitliche Regeln für einen besseren Datenschutz in der digitalen Arbeitswelt umgesetzt – mit dem Hintergrund, dass der Datenschutz in der gesamten EU harmonisiert werden soll. Allerdings werden davon auch außereuropäische Unternehmen betroffen sein: Besonders Firmen, die Waren oder Dienstleitungen in der EU anbieten und somit Einfluss auf die Verarbeitung personenbezogener Daten von Bürgern der EU haben. Im Gegensatz zum IT-Sicherheitsgesetz sind hier die Bußgelder in empfindlicheren Regionen angesetzt, so können bei Nichteinhaltung vier Prozent des jährlichen, weltweiten Umsatzes des Unternehmens oder 20 Millionen Euro erreichen – je nachdem, welcher Wert höher ist.
Bewusstsein
Doch allein mit dem Befolgen nationaler wie übernationaler Richtlinien und Gesetze wird das eigene Unternehmen nicht vor Angriffen geschützt. Peter Klien, IT-Security Experte der AXSOS AG, empfiehlt daher, die Mitarbeiter entsprechend zu sensibilisieren. „Das beste Gesetz, sei es die EU-DSGVO oder das IT-Sicherheitsgesetz, bringt nichts, wenn die Mitarbeiter nicht wissen, was das für sie konkret bedeutet. Das sollte man bei der Umsetzung dieser Gesetze immer im Hinterkopf behalten,“ so Klien. Eine aktuelle Umfrage bestätigt diese Aussage, da fast drei Viertel der Befragten der Meinung sind, dass die Mitarbeiter Datenschutzverletzungen verhindern sollten.
Fünf grundlegende Maßnahmen helfen hier weiter:
Öffentlichkeit: Vertrauliche Telefonate oder Gespräche sollten nicht in der Öffentlichkeit geführt werden.
Starke Passwörter: Komplexe Passwörter, die aus Buchstaben, Ziffern und Sonderzeichen bestehen, sind sicherer. Außerdem sollte das Passwort regelmäßig geändert werden. Ein Passwort gehört nicht auf ein Post-It, das am Bildschirm klebt – entweder merken oder einen Passwort-Manager verwenden.
Virencheck: Regelmäßiger Virencheck mindestens einmal in der Woche.
Datenträger prüfen: Datenträger, die von außerhalb des eigenen Unternehmens kommen vor Verwendung auf Viren prüfen.
Spam-Mails: Niemals auf Spam-Mails antworten, enthaltene Links oder Anhänge öffnen, sondern umgehend löschen. (rhh)
Hier geht es zu AXSOS
Bernd Länge ist seit über 15 Jahren in der IT-Branche tätig. Seit 2014 ist er Bereichsleiter Infrastruktur und Security der AXSOS AG aus Stuttgart.
Peter Klien ist seit über 17 Jahren in der IT-Security-Branche tätig. Seit 2017 arbeitet er als Account Manager im Bereich Infrastruktur und Sicherheit für die AXSOS AG aus Stuttgart.