Sicher in der digitalen Welt

Maßnahmen gegen Spionage, Sabotage und Datendiebstahl

Cyberangriffe auf Unternehmen, öffentliche Einrichtungen und Privatpersonen nehmen immer weiter zu. Mehr als die Hälfte der Unternehmen in Deutschland sind in den vergangenen beiden Jahren Opfer von Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden. Dadurch ist ein Schaden von rund 55 Milliarden Euro pro Jahr entstanden.

Das ist das Ergebnis einer Studie des Digitalverbands Bitkom. Das Bundesforschungsministerium fördert deswegen die Entwicklung sicherer, innovativer IT-Lösungen für Bürgerinnen und Bürger, Wirtschaft und Staat.

Ohne moderne Kommunikationssysteme kommen wir heute nicht mehr aus. Sie sichern die Wettbewerbsfähigkeit des Standorts Deutschland. Weil wir alle darauf angewiesen sind, dass die Informationstechnik zuverlässig und sicher funktioniert – sei es in der Produktion, der Energieversorgung, im Gesundheitswesen, in Logistik und Verkehr aber auch in der  Finanzwelt – rückt  das Thema IT-Sicherheit weltweit immer mehr in den Fokus.

Allein die Deutsche Telekom meldet bis zu eine Million Angriffe auf ihre Netze – pro Tag. Menschen werden Opfer von Identitäts- und Datendiebstahl. Industrieanlagen und kritische Infrastrukturen wie Strom- und Wasserversorgung arbeiten zunehmend vernetzt und sind so über das Internet angreifbar. Nahezu jedes dritte Unternehmen in Deutschland wurde in den vergangenen zwei Jahren über das Internet angegriffen. In jedem sechsten Unternehmen wurden in den vergangenen zwei Jahren sensible digitale Daten gestohlen. Vor allem Kommunikationsdaten wie E-Mails oder Finanzdaten fielen dabei häufig in die Hände der Angreifer. In 17 Prozent der Fälle von Datendiebstahl wurden Kundendaten entwendet, in elf Prozent Patente oder Informationen aus Forschung und Entwicklung, in zehn Prozent Mitarbeiterdaten.

Die Angreifer haben es aber nicht immer ausschließlich oder direkt auf digitale Daten abgesehen. Häufigstes Delikt ist der Diebstahl von IT- oder Telekommunikationsgeräten wie Notebooks oder Smartphones. Davon waren 30 Prozent der Unternehmen in den vergangenen zwei Jahren betroffen, wobei in der Regel unklar ist, ob die Täter es auf die Geräte an sich oder auf die darauf gespeicherten Daten abgesehen haben.

Täter sind besonders häufig aktuelle oder ehemalige Mitarbeiter des Unternehmens oder Wettbewerber, Kunden, Lieferanten und Dienstleister für die Angriffe verantwortlich. Nicht einmal jedes dritte betroffene Unternehmen schaltet staatliche Stellen ein. Hauptgrund dafür, sich nicht an die Behörden zu wenden, ist die Angst vor Imageschäden. Aber nur wenn Unternehmen Angriffe melden, können die Sicherheitsbehörden ein realitätsnahes Lagebild erstellen und Abwehrstrategien entwickeln.

Viele Unternehmen haben bereits Maßnahmen ergriffen, um sich besser gegen Angreifer zu schützen. So setzen alle Unternehmen einen technischen Basisschutz wie etwa Passwörter auf allen Geräten, Firewalls und Virenscanner ein und fertigen regelmäßig Backups ihrer Daten an. Anspruchsvollere Maßnahmen sind dagegen eher selten.

Die Bundesregierung hat deswegen das neue Forschungsrahmenprogramm für IT-Sicherheit »Selbstbestimmt und sicher in der digitalen Welt« beschlossen. Es bündelt erstmals ressortübergreifend die Aktivitäten zur IT-Sicherheitsforschung und fördert die Entwicklung sicherer, innovativer IT-Lösungen für Bürgerinnen und Bürger, Wirtschaft und Staat. Bis 2020 wird das neue Forschungsrahmenprogramm mit rund 180 Millionen Euro vom Bundesministerium für Bildung und Forschung gefördert.

Schutz kritischer Infrastrukturen

Dabei geht es vor allem um neue Verschlüsselungstechnologien oder Sicherheitslösungen, die in der Hardware verankert sind. Neue Computergenerationen können herkömmliche Verfahren aufgrund verbesserter Rechenleistungen entschlüsseln. Für einen wirkungsvollen Schutz bedarf es daher ganz neuer Methoden. Ein Ansatz auf Basis völlig neuer Technologien ist hier die Quantenkommunikation, mit der ein unbefugtes Abhören erkannt werden kann. IT-Sicherheit muss in allen Facetten das erforderliche Maß an Schutz gewährleisten und eine einfache und leicht verständliche Bedienung ermöglichen. Lösungen, die zu kompliziert oder nicht transparent sind, werden oft gemieden, umgangen oder versehentlich fehlgenutzt. Die meisten gängigen E-Mail-Clients und Messaging Applikationen unterstützen zum Beispiel eine Ende-zu-Ende-Verschlüsselung – nur ist sie nicht Standard, sondern muss erst nachträglich eingeschaltet werden, das  ist einer der Hauptgründe für die mangelnde Verbreitung einer sicheren E-Mail-Kommunikation.

Die Folgen von Cyberangriffe auf Industrieanlagen, die über das Internet vernetzt sind können gravierende Schäden an kritischen Infrastrukturen wie den Strom- und Wasserversorgern, den Verkehrsleitzentralen oder Krankenhäusern auslösen. Eine Herausforderung ist es dabei, die Technologien so einzurichten, dass sie effektiv und mit geringem Zeitaufwand geschützt werden können. Bitkom und Bundesverfassungsschutz geben Unternehmen, die Ihre Sicherheit verbessern wollen, folgende Tipps:

  1. Sicherheit zur Chefsache machen
  • Sensibilisierung der Geschäftsführung
  • Initiieren firmenspezifischer Schutzüberlegungen auf Leitungsebene
  • Einrichtung eines Wirtschaftsschutz-Beauftragten oder eines Informations-Sicherheitsbeauftragten
  1. Technische IT-Sicherheit steigern
  • Basisschutz ergänzt um Verschlüsselung und spezielle Angriffserkennung
  • Security Information Event Management: Überwachung vernetzter Geräte und Erkennung von Anomalien
  • Security by Design bei allen Schnittstellen und vernetzten Geräten
  • Regelungen zum Umgang mit privaten und geschäftlichen mobilen Endgeräten
  1. Organisatorische Sicherheit erhöhen
  • Präventives und permanentes Risikomanagement etablieren: Externe Gefahren identifizieren, interne Schwachstellen aufdecken und rechtzeitig beheben
  • Praxisorientierung aller Sicherheitsregularien
  • Zugriffsrechte auf Daten sowie physische Zugangsrechte für sensible Bereiche
  • Besuchermanagement: Umgang mit Gästen und Delegationen
  • Notfallmanagement: Schnelle Reaktion im Krisenfall mit Notfallplan und Zuständigkeitsregelungen
  • Etablierung einer „clean-desk-policy“: Welche Daten sind am Arbeitsplatz wirklich nötig?
  1. Personelle Sicherheit verbessern
  • Etablierung einer Sicherheitskultur
  • Arbeitsplatzspezifische Schulungen/Sensibilisierungen
  • Informationssicherheit auf Geschäftsreisen im Ausland beachten
  • IT-Experten mit Produktions-Know-how
  1. Sicherheitszertifizierungen anstreben.

Text: Hans-Werner Mayer

 

Ähnliche Artikel

Wirtschaft & Finanzen

Gefahren im Netz

Ein falscher Klick kann teuer werden Ob mit Smartphone, Tablet oder PC – 79 Prozent der Deutschen sind regelmäßig online. Sie shoppen, vernetzen sich