Unternehmenssicherheit

Der Mittelstand kann durch viele externe aber auch interne Einflüsse bedroht und geschwächt werden. Dazu gehören grundsätzlich auch alle sicherheitsrelevanten Themen wie Unternehmens- und Betriebssicherheit, Datenschutz, Arbeitsschutz und Arbeitssicherheit, IT-Sicherheit und Cyber- Security oder die allgemeine Informationssicherheit. Der wirtschaftliche Erfolg eines Mittelständlers ist immer stärker davon abhängig, wie gut persönliche und elektronische Daten vor Verlust und Beschädigung geschützt sind.

Unternehmenssicherheit

1. Abhängigkeiten

Mit der zunehmenden Digitalisierung steigen auch die Abhängigkeitsverhältnisse. Abhängiger werden wir einerseits von Infrastrukturen, von der Versorgung mit Energie und von speziell geschultem Personal. Andererseits – und diese Abhängigkeit ist kritisch – spielt leistungsfähige Schutztechnologie eine immer größere, überlebenswichtige Rolle. Ist die Unternehmenssicherheit nicht gegeben, sind geistiges Eigentum, innerbetriebliche Informationen und letztendlich digitale Netzwerke als solche bedroht. Diese Faktoren müssen geschützt werden. Der Schaden, den ein Unternehmen bei erfolgreichen Angriffen auf diese kritischen Faktoren nehmen könnte, ist kaum zu bestimmen und kann bis zum Totalausfall führen.

Wohl oder übel sollten wir anerkennen, dass es die gewonnenen Vereinfachungen, die digitales Wirtschaften erst ermöglicht, wert sind, sich derartig von Schutzsystemen abhängig zu machen. Vernetzung, Neuorganisation und das Steuern höchst komplexer Prozesse durch smarte Technologie werden durch die Industrie 4.0 zunehmend Realität. Der Umgang mit den verwendeten Daten muss entsprechend sensibel und kontrolliert sein, um den realen und abstrakten Gefährdungen für die Unternehmenssicherheit mit der notwendigen Gewissenhaftigkeit zu begegnen. Neben allen möglichen Spielarten von Disfunktionalitäten ist es selbst bei höchsten Sicherheitsstufen grundsätzlich immer möglich, Daten zu verändern oder zu stehlen. Vertrauliche Kommunikation ist eine Grundvoraussetzung für digitalisierte Arbeitsabläufe.

2. Angriffsflächen

Zur Erhöhung der Unternehmenssicherheit ist es daher extrem wichtig, zu wissen, an welchen Stellen Angreifer zuschlagen könnten. Ein einzelner professioneller Hacker reicht oft aus, um beispielsweise Passwörter für Online Profile und sämtliche damit verbundenen Daten wie E-Mail Adressen, Bankverbindungen und Kreditkartennummern aus einem „gesicherten“ System zu ziehen oder zu manipulieren. Leider ist und bleibt es utopisch zu glauben, digitale Systeme seien sicher. In der Realität ist es für Hacker sogar Antrieb und Motivation zugleich, Sicherheitslücken zu erkennen und zu umgehen. Daher muss ein ausgeklügeltes Security Management auf der Agenda eines jeden mittelständischen Unternehmers stehen und selbst ein kreatives Brainstorming kann kritische Stellen zunächst als unkritisch einstufen. So können zum Beispiel selbst Daten der Strom- und Gasinfrastruktur eine Angriffsfläche bieten, da sie anhand des Energieverbrauchs Aufschluss über Anwesenheitszeiten oder dezidierte Informationen über die Produktion liefern können. Auch wenn Kryptologen nach immer neuen Verschlüsselungsmethoden suchen, um Daten, Systeme, Kommunikationsnetze und Unternehmen zu schützen, sind Hacker oft einen Schritt voraus.

Datenlecks oder gar ein Datenverlust kann für ein Unternehmen selbst nach Beseitigung des Problems enorm rufschädigend sein. Ein dauerhafter Vertrauensverlust von Kunden, die ihre Daten in den Systemen des Unternehmens als sicher wähnten, hätte für Mittelständler verheerende Auswirkungen. Wenn der Ernstfall eintritt, ist es bereits zu spät. Daher sollten besser gestern als heute konkrete Vorkehrungen getroffen werden, die idealerweise sämtliche individuellen Bedrohungszenarien, denen das Unternehmen möglicherweise ausgesetzt sein könnte, miteinbeziehen.

Gerade deutschen Unternehmen, die mit ihrem hochspezialisierten Know-how in unterschiedlichsten Bereichen zur Weltspitze gehören, stehen im Fokus internationaler Cyberkriminalität und sollten daher im Security Management Standards setzen. Laut offiziellen Zahlen des Verfassungsschutzes werden die jährlichen Schäden für Unternehmen mit einem Schätzwert von mindestens 50 Milliarden Euro beziffert. Die Abwehr vor dem Eintritt eines Angriffs bildet daher eine strategisch essentielle Maßnahme.

Das Erpressen von Lösegeldern durch das Einschleusen von Trojanern, Phishing Mails, um an Kreditkartendaten zu gelangen, das sogenannte und extrem komplexe „Social Engineering“, bei dem falsche Tatsachen vorgegeben werden, um an sensible Daten zu gelangen oder Scareware, die sich gerne als kostenfreies Antivirus Programm präsentiert, adressieren oft nicht das Unternehmen als solches, sondern einzelne Personen, die dort beschäftigt sind.

Das Sicherheitsbewusstsein von Beschäftigten in Unternehmen sollte folgerichtig intensiv geschult werden, und zwar über alle Hierarchieebenen hinweg. Da Sicherheit stets an individuelles Verhalten gekoppelt ist, steht jeder einzelne Mitarbeiter in der Verantwortung. Vorsicht ist geboten bevor Mail-Adressen oder Einwilligungen bezüglich von Cookies nicht vertrauenswürdigen Dritten gegeben werden. Security Management heißt Risiken ausloten und gezielt minimieren. Wenn jeder Mitarbeiter die richtigen Verhaltensweisen verinnerlicht, ist der Unternehmenssicherheit als Ganzes gut gedient.

Für die enormen Risiken in der Informationstechnologie zu sensibilisieren und bei der Umsetzung entsprechender Sicherheitskonzepte anzuleiten ist folglich ein essentieller Schritt, um die Sicherheitsstruktur im Unternehmen zu erhöhen. Seit Sommer 2015 existiert immerhin  ein IT Sicherheitsgesetz, dass Minimalstandards gewährleisten soll. So gibt es neben dem generell gesteigerten Problembewusstsein auch verpflichtende Elemente für Betreiber kritischer Infrastrukturen oder Web Angebote sowie für Tele-Unternehmen, ihre Kunden auf Gefährdungspotentiale hinzuweisen.

Das BMWi bietet konkrete Unterstützungsprojekte zur IT-Sicherheit und Risk-Reduction für KMU. Als Einstieg ist beispielsweise denkbar, über den IT-Sicherheitscheck erste Erkenntnisse zum Zustand von IT und Datenschutz im Unternehmen inklusive Handlungsempfehlungen in Erfahrung zu bringen. Über eine Umfrage werden die entsprechenden Informationen bezüglich Datenschutz im Unternehmen gesammelt und gegebenenfalls an geschulte Ansprechpartner oder Leitfäden verwiesen. Ein hilfreicher Service. Der nachhaltige Schutz vor Angriffen erfordert allerdings das regelmäßige Prüfen auf Schadcodes und im Ernstfall das sofortiges Einleiten von Gegenmaßnahmen.

3. Vertrauensdienste und sichere digitale Identitäten

Während Identifizierungsmerkmale wie individuelle Spracherkennung, der eigene Fingerabdruck oder ein Iris-Scan zunächst als sicher erscheinen, haben Cyberkriminelle längst Möglichkeiten gefunden, derartige Systeme zu umgehen. Das Stehlen biometrischer Daten und ihr Verkauf im Darknet stellen ein immer größer werdendes Problem dar. Die Durchführung komplexer Finanztransaktionen lediglich durch einen Fingerabdruck macht letzten Endes ungewollte Umsätze möglich. Als Verbraucher ist man entweder gezwungen, der eingesetzten Technik zu vertrauen, oder man muss auf ihre Nutzung verzichten. Kriminelle Hacker werden auch weiterhin immer neue Wege finden, Sicherheitssysteme zu unterlaufen.

Mit der eIDAS-Verordnung wurde ein einheitlicher Rechtsrahmen für elektronische Vertrauensdienste wie elektronische Siegel und elektronische Signaturen in Europa geschaffen. Dadurch werden Unternehmen ein Stück weit entlastet, indem digitale Dokumente auch von nicht natürlichen Personen signiert werden können.

Das Internet der Dinge verbindet zunehmend physische und virtuelle Geräte. Auch hier schlummern bei allen Vorteilen erhebliche Sicherheitsrisiken. Geräte an unterschiedlichen Orten und innerhalb unterschiedlicher Systemkreisläufe müssen sich zweifelsfrei gegenseitig identifizieren können. Beteiligte Personen, Maschinen und Prozesse müssen daher einer sinnvollen Authentifizierung unterlaufen, um sichere Identitäten zu schaffen und die Unternehmenssicherheit zu gewährleisten.

4. Von Mittelständlern für Mittelständler

Die Mehrzahl der Unternehmen, die IT-Sicherheitsprodukte anbieten, ist mittelständisch geprägt. Sie zeichnen sich durch hohe Kompetenz in technischen Fragen aus und behaupten sich auch international.

Unternehmenssicherheit hängt also in jedem einzelnen Fall auch von menschlichem Zutun ab. Menschliches Versagen gab und gibt es immer wieder. Bürokratischen Bestimmungen, die die Sicherheit der Unternehmen gewährleisten, sollte unbedingt Folge geleistet werden.

Der Bundesverband Mittelständische Wirtschaft kümmert sich um die sicherheitsrelevanten Fragen seiner Mitglieder. Wenden Sie sich an die Kommission Unternehmenssicherheit. Noch nicht im Verband? Machen Sie mit!

X
Logo

Sie wollen mehr? Zu Recht!

 

Wenn Sie noch nicht gefunden haben, was Ihnen unter den Nägeln brennt…

…dann haben wir die Antworten auf Ihre unternehmerischen Fragen. Nutzen Sie unser einmaliges Netzwerk mit 300 Geschäftsstellen überall in Deutschland. Und profitieren Sie von enormen Einkaufsvorteilen, bspw. mit bis zu 40% auf Ihr Firmenfahrzeug. Jetzt unverbindlich kontaktieren und alle Vorteile mitnehmen!