IT-Sicherheit im Mittelstand: „Die eigenen Mitarbeiter sind die größte Schwachstelle“

IT-Sicherheit im Mittelstand: „Die eigenen Mitarbeiter sind die größte Schwachstelle“

, aktualisiert 18. September 2016, 10:38 Uhr
Bild vergrößern

Nach einem Angriff auf die IT-Sicherheit fürchten viele Firmenchefs die öffentliche Bloßstellung. Das Unternehmen muss sich rechtfertigen, erleidet einen Imageschaden und verliert vielleicht sogar Kunden.

von Carina KontioQuelle:Handelsblatt Online

Wer sich vor Angriffen im Netz schützen will, sollte sich mit dem Thema gut auskennen. Gerade der Mittelstand unterschätzt jedoch das Risiko, von Hackern attackiert zu werden. Dabei geraten sie besonders oft ins Visier.

Wo sind die größten Sicherheitsschwachstellen im deutschen Mittelstand? Wie lässt sich die IT absichern, wenn wenig finanzielle Ressourcen zur Verfügung stehen? Und mit welchen Folgekosten müssen Unternehmer rechnen, die Opfer eines Cyber-Angriffs geworden sind? Darüber spricht Wirtschaftsprüfer und Steuerberater Andreas Blum, der Firmen in Fragen der IT-Sicherheit berät, im Interview. Blum ist Partner der DHPG, eines der führenden, mittelständischen Beratungsunternehmen in Deutschland, das sich auf die Kernbereiche Wirtschaftsprüfung, Steuerberatung, Rechtsberatung sowie Insolvenzverwaltung und Sanierungsberatung spezialisiert hat. Zudem ist er Professor an der Hochschule Fresenius in Köln.

Herr Blum, ist der Mittelstand in Sachen IT-Sicherheit gut aufgestellt?
In den letzten fünf Jahren nehmen kleine und mittelgroße Unternehmen das Thema IT-Sicherheit zwar stärker wahr. Viele Mittelständler unterschätzen jedoch immer noch das Risiko, selbst Opfer einer Cyberattacke zu werden. Entsprechend ergreifen sie nicht genügend Sicherheitsmaßnahmen, um sich ausreichend zu schützen.

Anzeige

Warum geraten besonders Mittelständler ins Visier von Hackern und nicht die Big Player?
Hacker wissen, dass viele Mittelständler vor allem aus finanziellen und zeitlichen Gründen ihre IT nicht so gut absichern können wie große Konzerne. Entsprechend ist es dort leichter, an Daten zu kommen oder sich sogar Zugang zu externen Vertragspartnern und damit größeren Unternehmen zu verschaffen. In manchen Fällen fällt eine Manipulation gar nicht oder erst sehr spät auf, da IT-Kontrollen fehlen oder in unregelmäßigen Abständen durchgeführt werden.

Ist denn die Digitalisierung der Industrie schuld daran, dass deutsche Unternehmen so angreifbar geworden sind?
Natürlich entstehen durch die hohe Geschwindigkeit der Digitalisierung auch immer neue Möglichkeiten, ein Unternehmen anzugreifen. Dennoch können Firmen sich nicht dem digitalen Wandel versperren – dadurch würden sie an Wettbewerbsfähigkeit einbüßen. Schließlich bringt die Digitalisierung auch viele Vorteile wie schnellere Kommunikationswege oder die Steigerung der Produktivität durch eine bessere Auswertung von Daten.

Wo sehen Sie die größten Schwachstellen im Mittelstand?
Auch wenn viele Mittelständler es nicht wahr haben wollen: Häufig sind die eigenen Mitarbeiter die größte Schwachstelle – ob unbewusst wie beim Herunterladen von Schadsoftware oder mit Intention, etwa wenn Angestellte Unternehmensdaten auf private Datenträger kopieren.


Der eigene Arbeitsplatz steht auf dem Spiel

Wie lassen sich Mitarbeiter denn dafür sensibilisieren, dass sie die Sicherheitsmaßnahmen einhalten?
Unternehmen müssen Mitarbeitern die Gründe für bestimmte Maßnahmen erläutern und ihnen die Konsequenzen der leichtfertigen Nutzung veranschaulichen. Wenn ihnen bewusst wird, dass sogar der eigene Arbeitsplatz infolge eines hohen finanziellen Schadens durch einen Cyberangriff gefährdet sein kann, wird das Risiko viel greifbarer. Die Sensibilisierung von Mitarbeitern erfordert regelmäßige Wiederholungen. Nur so lässt sich das Thema IT-Sicherheit nachhaltig in ihrem Denken und Handeln verankern.

Was braucht es noch, um die Sicherheit im Unternehmen zu erhöhen?
Darüber hinaus müssten mehr interne Kontrollmaßnahmen in die Geschäftsprozesse implementiert werden. So kann etwa ein Vier-Augen-Prinzip im Programmfreigabeverfahren oder im Zahlungsverkehrsmanagement auch betriebswirtschaftlich helfen, Fehler im Prozess zeitnah aufzudecken. Beispielsweise sollten Änderungen an der ERP-Software grundsätzlich durch eine zweite Person und die betreffende Fachabteilung freigegeben werden. Anderenfalls drohen Programmmanipulationen, beispielsweise im Zahlungsverkehrsmanagement, nicht aufgedeckt zu werden.

Was fürchten Unternehmer nach einem Cyber-Angriff am meisten?
Viele Unternehmer fürchten vor allem den Diebstahl von unternehmensinternen Daten und Informationen zu Prozessen. Diese sind gerade bei Mittelständlern häufig ein gut gehütetes Geheimnis. Dass ein Cyber-Angriff auch das ganze Unternehmen stilllegen oder zu Problemen mit der Finanzverwaltung führen kann, ist vielen jedoch weniger bewusst.

IT-Sicherheit kostet Geld. Wie kann ich als Unternehmer mit wenig finanziellen Ressourcen Unterstützung bei der Absicherung meiner IT finden?
Auf technischer Ebene verringern bereits regelmäßige Updates des Virenschutzprogramms oder die Verschlüsselung von E-Mails das Risiko eines Cyberangriffs. Um trotz begrenzter finanzieller Ressourcen auch auf personeller Ebene für mehr IT-Sicherheit zu sorgen, können Unternehmer etwa leicht verständliche Sicherheitsrichtlinien zur Orientierung der Mitarbeiter erstellen und jeden neuen Angestellten eine Geheimhaltungspflicht unterzeichnen lassen – und eben durch prozessintegrierte Kontrollmaßnahmen insgesamt mehr Sicherheit in das Unternehmen bringen.


Produktionsstillstand, Reputationsschaden, Steuernachzahlung

Mit welchen Folgekosten muss ich als Unternehmer rechnen, wenn ich Opfer einer Cyberattacke werde?
Eine Cyberattacke kann einem Unternehmen schnell einen Schaden von mehreren Millionen zufügen. Die Gründe dafür sind vielfältig: Erpressungen mittels einer manipulierten IT, Produktionsstillstand durch ein geschädigtes Rechenzentrum oder die Veröffentlichung von sensiblen Unternehmensdaten, die zum Reputationsschaden führt. Bekommt die Finanzverwaltung etwas von der Manipulation von Buchhaltungsdaten mit, drohen des Weiteren empfindliche Zuschätzungen durch die steuerliche Betriebsprüfung.

Welche Sicherheitsregeln sollten Chefs unbedingt beachten, um ihr Unternehmen gut gegen Internetkriminalität aufzustellen?
Chefs sollten nicht nur technische Maßnahmen wie die Implementierung einer Firewall oder die Installation von Backup-Systemen ergreifen. Auch die Planung von organisatorischen Maßnahmen bei IT-Störfällen und vor allem die Schulung eines jeden Mitarbeiters hinsichtlich sicherheitsrelevanter Themen sollten Unternehmen in die IT-Sicherheitsstrategie einbeziehen, um sich gut gegen Internetkriminalität aufzustellen. Bei mangelndem Fachwissen in bestimmten Bereichen, kann sich es sich auch lohnen, die Unterstützung eines externen Dienstleisters heranzuziehen.

Was entscheidet letztendlich über Erfolg oder Misserfolg von IT-Sicherheit im Unternehmen?
Wer seine IT erfolgreich absichern möchte, muss sämtliche Technologien, Arbeitsabläufe, Kommunikationswege und externe Schnittstellen eines Unternehmens einbeziehen. Dies ist kein einmaliges Projekt. Es gilt, die IT-Infrastruktur regelmäßig zu überprüfen und zu verbessern sowie das Know-how der Angestellten aufzubauen oder aufzufrischen.

Letzte Frage: Was muss die Politik tun, um den Mittelstand beim Thema Datenschutz zu unterstützen?
Die bestehenden Initiativen wie beispielsweise it-sicherheit-in-der-wirtschaft.de bieten dem Grunde nach schon viel Hilfestellung an. Doch agiert die Politik noch zu stark „im stillen Kämmerlein“. Das Thema muss in die Unternehmen aktiv hineingetragen werden. Denkbar wäre beispielsweise uns Wirtschaftsprüfern aufzutragen, ergänzend zur gesetzlichen Abschlussprüfung Prüfungshandlungen in Sachen IT-Sicherheit zu entfalten. Wir bieten das unseren Geschäftspartnern an – und erfahren zunehmend Zuspruch. Das IT-Sicherheitsgesetz greift insoweit jedenfalls zu kurz.

Herr Blum, ich danke Ihnen für das Interview.

Quelle:  Handelsblatt Online
Anzeige

Twitter

Facebook

Google+

Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%