Unternehmen und Daten wirksam schützen

Im digitalen Zeitalter sind Unternehmen immer häufiger digitalen Gefahren ausgesetzt. Zu den durch Computerviren, den sorglosen Umgang mit dem Internet oder mobiler Hardware verursachten Sicherheitsproblemen kommen immer häufiger Ausspähaktionen oder Cyber-Attacken durch konkurrierende Unternehmen oder Kriminelle hinzu. Zwei von drei deutschen Unternehmen sind gemäß einer repräsentativen Umfrage des deutschen IT-Branchenverbands Bitkom in den vergangenen zwei Jahren bereits Opfer von Datendiebstahl, Wirtschaftsspionage oder Sabotage geworden. Den Schätzungen zufolge beläuft sich der dadurch verursachte Schaden auf rund 22,4 Mrd. Euro pro Jahr. Auch im europäischen Ausland und in Übersee werden neben Schadprogrammen auch Hacker-Angriffe zunehmend zu einem Problem für die IT-Sicherheit von Unternehmen. Welche digitalen Bedrohungen betriebliche Fertigungsabläufe stören oder gar lahmlegen können und was man dagegen tun kann, erläutern die folgenden Absätze.

Sicherheitsprobleme durch Schadsoftware

Aufgrund des regen Datenaustauschs in den meisten Unternehmen geht eine nicht zu unterschätzende Gefahr von Computer-Viren aus. Da man es im geschäftlichen Alltag mit vielen Projektpartnern zu tun hat, ist die Ansteckungsgefahr durch digitale Viren, Würmer, Trojaner und andere Schadprogramme hoch. Sie können Daten verschlüsseln und damit unlesbar machen, Computer blockieren oder Festplatten schädigen. So genannte Bot-Programme können PCs unbemerkt fernsteuern, Keylogger speichern Tastatureingaben und geben sie weiter. Sogenannte Denial of Service-Attacken können Netzwerke lahmlegen, Phishing-Auftritte im Internet können IT-Nutzern sensible Daten entlocken – und vieles andere mehr.

Neben dem Datenaustausch mit Projektpartnern können auch Mitarbeiter zur Sicherheitslücke werden – etwa wenn E-Mail-Anhänge mit unbekanntem Absender geöffnet, Apps oder Shareware-Programme heruntergeladen oder private Urlaubsfotos als Bildschirmhintergrund-Grafik per USB-Stick mitgebracht werden. Dann können sich Viren und Würmer im Firmennetzwerk festsetzen.

Auch eine Durchmischung der privaten und geschäftlichen Hardware-Nutzung kann zum Sicherheitsproblem werden. Wird etwa das private Smartphone auch geschäftlich genutzt und umgekehrt, kann der sorglose Umgang mit SMS-Nachrichten, E-Mails, App-Plattformen, sozialen Netzwerken etc. zum Problem werden. Ist der Ernstfall erst einmal eingetreten und hat sich ein Computervirus in den Systemdateien der Unternehmens-Hardware festgesetzt, kann das Tagesgeschäft erheblich beeinträchtigt werden – bis hin zum kompletten Produktionsausfall. In vielen Fällen müssen Festplatten komplett formatiert, Betriebssysteme und Anwendungsprogramme neu installiert und konfiguriert sowie alle Arbeitsdaten neu aufgespielt werden – sofern entsprechende virenfreie Sicherungskopien vorhanden sind.

Basisschutz für Unternehmen und Daten

Wie kann man seine Bürohardware, -software und -daten vor diesen Risiken schützen? Den besten Schutz bieten mehrere, aufeinander abgestimmte Maßnahmen zur IT-Sicherheit. Sie alle sollten die Vertraulichkeit, Verfügbarkeit und Integrität von Informationen und IT-Systemen gewährleisten, Schäden vermeiden und Risiken minimieren. Erreicht wird das nur durch ein Maßnahmenpaket, das den Virenschutz, Firewalls, Spam (E-Mail-Müll), die Datensicherung und -verschlüsselung sowie den Datenschutz beinhaltet.

Ganz oben in der Prioritätenliste steht der Virenschutz: Anti-Virenprogramme halten die meisten aktuellen Schadprogramme in Schach – vorausgesetzt die Software wird durch eine regelmäßige Online-Aktualisierung aktuell gehalten. Sogenannte „Firewalls“ schirmen ein Netzwerk von äußeren, schädigenden Einflüssen ab. In der Regel besteht eine Firewall aus Hard- und Software, die den Datenfluss zwischen internem und externem Netzwerk kontrolliert.

Firewalls eignen sich für die Absicherung mehrerer Unternehmens-PCs; Desktop- oder Personal-Firewalls dienen dazu, einzelne Arbeitsplatz-PCs, respektive mobile Rechner wie Notebooks vor äußeren Angriffen zu schützen. Im Unterschied zur Netzwerk-Firewall läuft die Personal-Firewall direkt auf dem zu schützenden Rechner. Werden ergänzend dazu Sicherheitsregeln beim Surfen und Versenden elektronischer Post eingehalten sowie das Betriebssystem, der Internet-Browser, das E-Mail-Programm und gegebenenfalls Anwendungsprogramme im Hinblick auf maximale Sicherheit konfiguriert, haben Personal-Firewalls meist kaum noch etwas zu tun.

Zusätzlich zu den im jeweiligen Betriebssystem ohnehin enthaltenen Sicherheitsfunktionen, versprechen handelsübliche IT-Security-Programme von Avira, Kaspersky, Norton, Symantec und anderen noch mehr Sicherheit. Einen Basisschutz gibt es bereits ab etwa 50 Euro pro Rechner, für etwas mehr einen relativ guten Rundum-Schutz. Security-Software für Business-Anwendungen unterscheiden sich übrigens von den Privatanwender-Versionen durch die Anzahl der installierbaren Lizenzen (ab fünf PCs), Netzwerkfunktionen und weitere Zusatzleistungen.

Auch die eigenen Mitarbeiter müssen in ein umfassendes IT-Sicherheitskonzept einbezogen werden. Dass sie nicht zu einem Sicherheitsfaktor werden, lässt sich einerseits durch Schulungsmaßnahmen und Sicherheitsvorgaben verhindern. Wenn sie Zusammenhänge besser verstehen, werden sie potenzielle Gefahren leichter erkennen und manchmal als lästig empfundene Sicherheitsmaßnahmen eher akzeptieren. Es gibt aber auch eine ganze Reihe technischer Möglichkeiten, Risiken durch unüberlegtes Handeln Einzelner zu minimieren:

So kann man im Firmennetzwerk Zugriffsrechte definieren, mit denen festgelegt wird, wer auf welche Netzwerkbereiche Zugriff hat oder wer welche Anwendungen nutzen darf. Darüber hinaus lassen sich Laufwerke oder USB-Schnittstellen einzelner Arbeitsplätze sperren. Ferner kann der Web-Server (für die Internet-Verbindung zuständiger Rechner) so konfiguriert werden, dass problematische Internetseiten Mitarbeitern nicht zugänglich sind. Schutz vor unberechtigtem Zugriff bieten ein persönliches Benutzerkennwort und biometrische Kontrollsysteme wie Fingerabdruck-Scanner, die – in Tastaturen, PC-Mäusen, Notebooks und so weiter eingebaut – im Handel erhältlich sind.

Auch Mobilhardware in Sicherheitskonzepte einbinden

Mobilität wird im Zusammenhang mit der Digitalisierung und der medienbruchfreien, Vor-Ort-Erfassung oder Präsentation von Daten immer wichtiger. Doch mobile Hardware in Form von Smartphones oder Tablets, SD-Karten, USB-Sticks oder USB-Festplatten kann zum Sicherheitsproblem werden. Sie sind klein, leicht, mobil – und können dadurch schnell verloren gehen. Gerade USB-Sticks der SD-Karten werden gerne für den Datentransport oder Datenaustausch auch sehr großer Datenmengen verwendet. Doch je kleiner sie sind, desto größer die Gefahr, dass man sie unterwegs verliert und damit sensible Projekt- oder Unternehmensdaten in falsche Hände geraten. Vorkehrungen kann man dadurch treffen, dass man spezielleTransport-Hüllen oder -Boxen verwendet. Schutz vor Hardwarediebstahl bieten spezielle Schlösser mit Stahlkabel, sogenannte Kensington-Schlösser. Sie werden einfach in die dafür vorgesehene Standard-Öffnung eingeführt und über einen abschließbaren Sperrmechanismus in der Hardware arretiert und mit ihr fest verbunden. Das Schloss ist meist mit einem Drahtseil ausgestattet, mit dem man es an Gegenständen, etwa einem schweren Möbelstück, befestigen kann.

Geraten Smartphones, Tablets oder USB-Sticks dennoch einmal in falsche Hände, so erschwert oder verhindert ein Benutzerkennwort oder eine Datenverschlüsselung, dass Daten von unbefugten Dritten im Fall der Fälle geöffnet werden können. Auch für mobile Hardware gibt es mittlerweile spezielle Schutzprogramme (z.B. AVG Antivirus free, Lookout usw.). Sie halten Schadprogramme in Schach, sichern Dateien und helfen teilweise sogar, verlorene Mobilhardware wiederzufinden. Nicht nur die Hardware schützen sie vor Virenbefall und schädlichen Apps – sie können auch verhindern, dass umgekehrt Mobilgeräte zur Virenschleuder werden. Geht die Mobilhardware einmal verloren oder wird sie gestohlen, kann teilweise auch deren Position mithilfe von GPS-Daten ermittelt werden.

Datenspionage und deren Folgen

Vertrauliche Firmendaten werden der oben genannten Umfrage des deutschen Branchenverbands Bitkom zufolge nicht nur in digitaler Form durch Hackerangriffe über das weltweite Datennetz gestohlen, sondern etwa zu einem Drittel physisch durch den Diebstahl von Datenträgern, IT- und Kommunikationsgeräten, wie Smartphones oder Tablets. In weiteren rund 20 % der Fälle erfolgt die Ausspähung durch den Diebstahl sensibler digitaler Dokumente. In einem ähnlichen Umfang kommt es in den Unternehmen zu Sabotageakten, mit dem Ziel, betriebliche Abläufe zu stören oder lahmzulegen. Das kann zu Zeitverlusten im Betriebsablauf führen, bei Produktionsanlagen Schäden verursachen oder die Produktqualität mindern. In einigen Fällen wurden der Umfrage zufolge auch Mitarbeiter durch unterschiedliche Maßnahmen beeinflusst, vertrauliche Informationen wie Passwörter unbewusst preiszugeben. Bei weiteren Unternehmen wurde die elektronische Kommunikation ausgespäht oder Telefonate abgehört.

Einen großen Teil der daraus resultierenden Schäden machen Umsatzverluste durch Plagiate sowie Patentrechtsverletzungen aus, gefolgt von Umsatzeinbußen durch den Verlust von Wettbewerbsvorteilen. Ein weiterer Posten sind Ausgaben für die Ersatzbeschaffung gestohlener IT- und Kommunikationsdaten sowie Kosten, die durch den Ausfall von IT-Systemen oder die Störung von Betriebsabläufen entstehen. Nicht zu unterschätzen sind auch als Folge von Sicherheitsvorfällen eintretende Imageschäden. Erstaunlich ist, dass gemäß Umfrage in den meisten Fällen eigene Mitarbeiter die Täter sind: In fast zwei Drittel der betroffenen Unternehmen waren aktuelle oder ehemals Beschäftigte für die Taten verantwortlich. Bei einem Drittel der Befragten kamen die Angriffe aus dem unmittelbaren Umfeld von Kunden, Lieferanten oder Dienstleistern. In vielen Fällen verfügen Täter aus dem direkten Umfeld über Insiderkenntnisse, was derartige Straftaten erleichtert. Wettbewerber waren der Bitkom-Umfrage zufolge bei 16 % der befragten Unternehmen für die Taten verantwortlich, weitere 20 % erklärten, dass organisierte Banden oder ausländische Geheimdienste hinter den Attacken steckten.

Was kann man gegen IT-Spionage und Sabotage tun?

Im Bereich der technischen IT-Sicherheit verfügen zwar die meisten Unternehmen über Virenscanner, Firewalls und einen Passwort-Schutz für Rechner und Geräte. Angesichts der vielfältigen und immer komplexeren Bedrohungen reicht dieser gängige Basisschutz allerdings längst nicht mehr aus. Zudem kommen mit der Vernetzung von Maschinen über das Internet und dem Trend zur digitalen Fabrik (Stichwort „Industrie 4.0“) neue sicherheitstechnische Herausforderungen hinzu. Durch die datentechnische Verknüpfung und Verbindung von Geräten und Objekten mit dem Internet potenzieren sich die sicherheitstechnischen Schwachstellen im Unternehmen. Der Vernetzungsgrad ist inzwischen so weit fortgeschritten und die Zusammenhänge sind so komplex, dass häufig IT-Angriffe überhaupt nicht erkannt werden und der Abfluss von Daten über lange Zeit unbemerkt bleibt. Deshalb sind zusätzliche Sicherheitsmaßnahmen notwendig, wie die Verschlüsselung von Netzwerkverbindungen, von Daten auf Datenträgern oder die elektronische Kommunikation per E-Mail. Doch das macht nur ein Teil der Unternehmen.

Noch weniger verbreitet ist die Absicherung des internen Netzwerks gegen Datenabfluss von innen oder die Verwendung spezieller Angriffserkennungssysteme. Diese Systeme analysieren Datenströme in einem Unternehmen und melden verdächtige Aktivitäten. Zu den weiteren Sicherheitsvorkehrungen zählen erweiterte Verfahren zur Benutzeridentifikation, zum Beispiel eine Zwei- oder Multi-Faktor-Authentifizierung. Dabei wird mittels einer Kombination zweier oder mehrerer unterschiedlicher und unabhängiger Komponenten eine Benutzer-Authentifizierung durchgeführt, etwa per Chip-Karte, PIN und zusätzlich der Prüfung biometrischer Merkmale. Regelungen, wer im internen Netzwerk auf welche Daten zugreifen darf und wer Zutritt zu sensiblen Bereichen eines Unternehmens bekommt, steigern die organisatorische Sicherheit. Zudem sollte es einen Sicherheitsbeauftragten geben, der diese Maßnahmen initiiert und überwacht. Ein mit einem IT-Sicherheitsexperten ausgearbeitetes Notfallkonzept sollte eine schnelle Reaktion im Krisenfall ermöglichen.

Fazit: Einen hundertprozentigen Schutz gibt es nicht!

IT-Sicherheit ist wichtig und kann sogar über die Existenz eines Unternehmens entscheiden – einfach zu haben ist sie gleichwohl nicht. Mit Anti-Viren-Software alleine ist es heute längst nicht getan und Verhaltensregeln fordern die Disziplin aller.

Einen hundertprozentigen Schutz vor Schadsoftware, Datenspionage, Datenklau und Sabotage gibt es nicht. Im ständigen Wettstreit zwischen Entwicklern von Schadprogrammen und Hackern einerseits und Entwicklern von IT-Sicherheitsprogrammen und -konzepten andererseits, sind erstere immer einen Schritt voraus, weil die Möglichkeiten, IT-Systemen Schaden zuzufügen, sehr vielfältig sind. Anbieter von IT-Sicherheitslösungen können immer nur möglichst zeitnah reagieren.

Befolgt man die wichtigsten Sicherheitsregeln und legt man eine gewisse Vorsicht und Disziplin im Umgang mit Hardware, Software, Daten, E-Mails und dem Internet an den Tag, lässt sich das Gefahrenpotenzial aber weitgehend eingrenzen.