IT-Sicherheit: Der Datendieb in meiner Firma

IT-Sicherheit: Der Datendieb in meiner Firma

, aktualisiert 05. September 2016, 18:04 Uhr
Bild vergrößern

Datendiebe versuchen häufig, kleinere Unternehmen mit den gehackten vertraulichen Daten zu erpressen.

Quelle:Handelsblatt Online

Mit der IT-Sicherheit bei deutschen Unternehmen ist es nicht zum Besten bestellt. Viele Mittelständler glauben, dass sie zu uninteressant für Hacker sind – eine Fehleinschätzung, die fatale Folgen haben kann.

Aachen„Hacker haben es doch nur auf die ganz großen Konzerne abgesehen“ – so oder so ähnlich argumentieren viele Chefs von mittelständischen Unternehmen, wenn sie auf die Sicherheit ihrer hauseigenen IT-Systeme angesprochen werden.

Ein gefährlicher Irrglaube, wie eine Studie des Beratungsunternehmens PWC belegt. Demzufolge hat es in den vergangenen Jahren bereits Tausende kleine und mittlere Firmen erwischt. Allein im Jahr 2014 wurde jedes zehnte mittelständische Unternehmen Opfer eines Cyberangriffs. Der Schaden war jeweils beträchtlich. Er lag im Schnitt bei 80.000 Euro.

Anzeige

Rund die Hälfte der Attacken zielt laut der Studie dabei darauf, die Verfügbarkeit des Informationssystems lahmzulegen. Etwa ein Drittel der Angriffe (31 Prozent) ist darauf ausgelegt, Mitarbeiter- und Zugangsdaten auszuspähen. Gut ein Viertel (26 Prozent) hat das Unternehmensimage und die Reputation im Visier. „Viele Mittelständler haben den Ernst der Lage noch nicht erkannt und verfügen weder über ausreichende technische Sicherheitsmaßnahmen, noch über einen angemessenen Versicherungsschutz“, sagt Peter Bartels von PWC.

Auch eine Umfrage des Beratungsunternehmens KPMG kommt zu dem Ergebnis, dass es mit der IT-Sicherheit bei deutschen Unternehmen nicht zum Besten bestellt ist. Danach gaben 40 Prozent der befragten Firmen an, bereits einmal Opfer eines Zwischenfalls geworden zu sein. Nach einer Erhebung der Europäischen Union sind sogar 80 Prozent aller EU-Unternehmen bereits Opfer geworden.

Ein Beispiel dafür, wie groß der Imageschaden sein kann, ist der im Frühjahr bekannt gewordene Hackerangriff auf den Babynahrungshersteller Hipp. Bei einem gezielten Serverangriff waren vertrauliche Kundendaten wie etwa E-Mailadressen, Anschriften und Passwörter in falsche Hände geraten.


Nur noch wenig Zeit zur Umsetzung

„Der Mittelstand ist zunehmend abhängig von einer gut geölten Unternehmens-IT“, sagt Frank Hülsberg, Experte für Risk & Compliance bei der Wirtschaftsprüfungsgesellschaft Warth & Klein Grant Thornton. Falle diese auch nur kurzfristig aus, drohen Stillstand, Vertragsstrafen, Auftrags- und schließlich Kundenverlust. Seiner Erfahrung nach fehlt es den Chefs nicht am Wissen, dass es viele Angriffe auf die IT-Sicherheit gibt. „Allerdings bezweifeln viele, dass es einen selbst treffen könnte. Nach dem Motto: Wer soll sich denn für uns interessieren?“, so Hülsberg.

Außerdem verfügten die Firmen seiner Beobachtung zufolge nicht über genügend qualifiziertes IT-Personal, das sich dauerhaft um solche Themen kümmern kann. Wichtig sei auch, dass die Mitarbeiter gut geschult sind und sensibel auf Auffälligkeiten reagieren.

Bei der Risikoanalyse der IT eines Unternehmens geht es aber auch um die Frage der Loyalität der eigenen Mitarbeiter. Wer hat zum Beispiel Zugriff auf große Datenmengen oder vertrauliche Informationen, obwohl er oder sie dazu eigentlich keine Befugnis hat? Berater Hülsberg erinnert sich zum Beispiel an den Chef eines mittelgroßen Unternehmens, der stolz darauf gewesen sei, dass er sämtliches Firmenwissen in einem Kompendium zusammengetragen hatte. „Darin befanden sich unter anderem Dinge wie Kundendaten, Bestellhistorie und technische Spezifikationen. Dies war dann auch noch im zentralen Unternehmenslaufwerk abgelegt – ohne jegliche Zugriffsbeschränkung.“

In einem anderen Fall wurde ein Vertriebsmitarbeiter eines Maschinenbauzulieferers von einer Firma aus Fernost eingeladen, die es auf die Technologie der Deutschen abgesehen hatte. Nach seinem Besuch erhielt der Mitarbeiter eine freundliche E-Mail mit einem Link, der eine Spähsoftware aktivierte. „Um dies alles herauszubekommen, waren einige Recherchen notwendig“, erzählt Hülsberg. So habe man schließlich gesehen, was genau in dem Unternehmen ausspioniert worden sei. Wäre der Datenklau nicht gestoppt worden, hätte es sein können, dass die asiatische Firma die Produkte kopiert und auf den Markt geworfen hätte.

Wie bei großen Konzernen versuchen Datendiebe häufig, kleinere Unternehmen mit den gehackten vertraulichen Daten zu erpressen – etwa Steuerberater, denen Steuererklärungen ihrer vermögenden Mandanten elektronisch entwendet wurden. „Die bekamen einen Anruf mit der Bitte, in Bitcoins einen Betrag zwischen 5.000 und 10.000 Euro zu überweisen. Ansonsten würden die Daten veröffentlicht und ihre Mandanten informiert, dass der Steuerberater gehackt wurde“, so Hülsberg.

Sich vor Cyberattacken zu schützen ist für viele Firmen in Deutschland mehr als eine freiwillige Verpflichtung. Mit dem IT-Sicherheitsgesetz (IT-SiG) schreibt der Gesetzgeber den Betreibern kritischer Infrastrukturen – dazu gehören unter anderem Transport- und Logistikunternehmen, Energieversorger und Finanzdienstleister – vor, sich gegen IT-Angriffe besser zu wappnen. Die betroffenen Unternehmen müssen die Vorgaben formal bis zum 13. Juni 2017 umgesetzt haben.

Quelle:  Handelsblatt Online
Anzeige

Twitter

Facebook

Google+

Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%