Sie sind hier:

„Cyberspionage gefährdet Existenzen“: Interview mit IT-Sicherheitsexperten Volker Röthel und Ulrich Heun

16 Jun

(16.06.2014) Die IT-Sicherheitsberater Volker Röthel, Applied Security GmbH und Ulrich Heun, Carmao GmbH sprachen im Interview mit dem IHK-Report über Datenklau, schweigsame Opfer und wirksame Maßnahmen zum Schutz. Anlässlich des kommenden IT-Sicherheitstags in Darmstadt stellen wir es Ihnen auf unserem Blog zur Verfügung.


IHK-Report:
Deutsche Behörden beziffern den Schaden durch Datendiebstahl auf 50 Milliarden Euro jährlich. Wie schätzen Sie die Situation ein, gerade im Hinblick auf kleine und mittlere Unternehmen (KMU)?

Volker Röthel: In KMU ist das Risiko sogar erhöht, weil Angreifer davon ausgehen, dass kleinere Betriebe schlechter geschützt sind. Nicht selten glauben Chefs dort, dass sich niemand für ihre betrieblichen Daten interessiert. Sie denken: Wenn vor Ort schon kaum jemand weiß, dass ich erfolgreich bin, warum soll es dann jemanden im Ausland kümmern? Es wird allgemein lieber eine neue Maschine gekauft als Sicherheits-Software.

Ulrich Heun: Das eigentliche Know-how liegt oft bei den Zulieferern und damit bei den KMU. Das betrifft nicht nur Innovationen, sondern auch Fragen zur Logistik und zur Effizienz von Prozessen. Leider steckt man gerade dort, wo es viel Erfindungsreichtum gibt, nicht die gleiche Energie in Schutzmaßnahmen. Dieser Diskrepanz begegne ich immer wieder. Oft wird befürchtet, dass IT-Sicherheit das Innovationstempo hemmt.


Wird derartiges Verhalten dadurch gefördert, dass aufgedeckte Fälle von Wirtschaftsspionage kaum an die Öffentlichkeit dringen?

Röthel: Wenn jemand betroffen ist, gibt er das ungerne zu. Es könnte ja dem Image der Firma schaden. Zusätzlich zum Verlust des geistigen Eigentums will man nicht noch riskieren, dass die Reputation leidet. Schweigen aber verhindert, dass anderswo Führungskräfte die Brisanz des Themas erkennen.

Heun: Eine chinesische Praktikantin wurde mal erwischt, als sie in einem Unternehmen Daten mit einem USB-Stick fischen wollte. Der Inhaber zeigte sich verwundert, weil er doch nichts zu verbergen habe. Andererseits muss es ja irgendein Interesse für ihre Aktion gegeben haben. Oft genug merken die Firmen auch gar nichts vom Diebstahl, oder erst nach langer Zeit.


Ist es Betrieben vielleicht auch schlicht zu teuer, in IT-Sicherheit zu investieren?

Röthel: Virenschutz und Firewall bekommt man schon für wenige tausend Euro. Wenn ich mir dann noch einen Berater für zwei Tage ins Haus hole, bin ich schon sehr weit. Damit bleibe ich unter 10.000 Euro und weiß, wo ich Baustellen habe. Sicherheit aber verdient nun mal kein Geld.

Heun: Dabei gibt es doch einen hilfreichen Weg, und zwar durch Risikobewertung. So etwas zeigt die größten Gefahrenherde. Oft hat in KMU der Leiter der IT-Abteilung ein Budget für Sicherheit zur Verfügung. Das muss er dann verteilen – ohne dass zuvor der konkrete Bedarf systematisch ermittelt wurde. Dann wird an den falschen Stellen investiert. Da herrscht viel Unwissenheit.


Wie ist das weitere Vorgehen, um Licht ins Dunkle zu bringen, und wo liegen Fallstricke im betrieblichen Ablauf?

Röthel: Ein Berater kann das methodische Vorgehen einer Analyse zeigen, und er kann sie moderieren. Danach wissen Sie, wo Ihre ,Kronjuwelen‘ sind, und die können Sie dann effektiv schützen. Flankierend geschieht das durch die Schulung der Mitarbeiter – damit diese wissen, wie man mit Datenhaltung umgeht. Niemand muss Angst haben, dass dabei sensible Bereiche angetastet werden. Der externe Berater kennt ja die vertraulichen Daten nicht. Zudem gilt der Grundsatz: Der Prophet im eigenen Haus wird überhört.

Heun: Wo man nicht den Mitarbeiter sensibilisiert, kann dieser – sehr oft unbewusst – die größte Schwachstelle sein. Man wird freundlich angesprochen und hilft jemandem, ist sich aber nicht im Klaren darüber, dass eine Frage mit Hintergedanken gestellt worden sein kann. Schwierig wird es dann, wenn man in KMU den Blick nur auf die eigenen Informationen richtet. Oft empfangen nämlich auch der Vertrieb oder die Produktion vertrauliche Daten vom Kunden, und diese sind in besonderem Maße zu schützen.

Röthel: Je weiter weg die Menschen von der Technik weg sind, um so leichtsinniger gehen sie mit Daten um. Schnelligkeit und Verfügbarkeit schlagen die Sicherheit. Der Chef etwa muss immer auskunftsfähig sein. Besonders wenn er unterwegs ist, werden Standards im Zweifelsfall missachtet. Der Vertriebler genauso, er will verkaufen. Da ist ihm nichts heilig – im Vertrauen darauf, dass schon nichts passieren wird.


Kann ein umfassender IT-Schutz angesichts immer komplexerer Wertschöpfungsketten überhaupt gewährleistet werden?

Heun: Man muss überlegen: Was ist der Level an Sicherheit, den ich brauche? Reicht mir ein mittleres Niveau, weil meine Daten gar nicht so kritisch sind, oder muss ich hohen Schutz anstreben? Da muss man differenzieren und abwägen.

Röthel: Das bedeutet ja nicht, die Hände in den Schoß zu legen. Je höher der Aufwand fürs Eindringen in ein Netzwerk, desto geringer die Lust eines Angreifers. Das schreckt ab.


Zurzeit entwirft der Bundestag ein IT-Sicherheitsgesetz. Wird das für mehr Schutz sorgen und Unternehmer sensibilisieren?

Röthel: Ganz klar ja. Es hat sich in den letzten 20 Jahren gezeigt, dass da, wo in Deutschland Sicherheit reguliert worden ist, sich die Situation verbessert. Das Gesundheitswesen war einer der ersten Einsatzfälle. Dort wurde eine Infrastruktur zum verschlüsselten Austausch von Daten zwischen Arbeitgebern und Krankenkassen geschaffen. Auf diesem Sektor wird nun verantwortungsvoller mit Daten umgegangen als in vielen anderen Branchen.

Heun: Ein Gesetz, das Unternehmer in ihrer Entscheidungsfreiheit einschränkt und Meldepflichten bringt, stößt naturgemäß nicht auf Gegenliebe. Auf lange Sicht kommen wir aber nicht darum herum, dass man eingreift. Denn Cyberspionage gefährdet Existenzen und schadet der Wirtschaft immens.

Interview: Jürgen Dickhaus


Der IT-Sicherheitstag 2014 findet am Dienstag, den 23. September in Darmstadt statt. Unter dem Motto "Passwörter, E-Mail-Verschlüsselungen... ist das schon alles?" wendet er sich mit Keynotes und Praxisvorträgen an kleine und mittlere Unternehmen, die ihre IT-Sicherheit mit überschaubarem Aufwand verbessern wollen. Veranstalter sind neben dem BIEG das Unternehmernetzwerk IT for work e.V., die IHKs Darmstadt Rhein Main Neckar, Offenbach am Main und Hanau-Gelnhausen-Schlüchtern. Weitere Informationen finden Sie unter www.darmstadt.ihk.de.

Archiv

Der BIEG Newsletter

Immer auf dem Laufenden bleiben Sie mit unserem monatlichen Newsletter. Wir informieren Sie über aktuelle Veranstaltungen und unsere neuesten Leitfäden!