Quelle: Newsletter der Wirtschaftsförderung metropoleruhr GmbH
Die Überwachung Deutschlands durch den britischen und amerikanischen Geheimdienst hat auch die deutsche Wirtschaft aufgeschreckt. Immer mehr Branchenverbände befürchten, die eruierten Daten könnten nicht nur zur Terrorbekämpfung, sondern auch zur Industriespionage genutzt werden. Deutschland ist ein starker Konkurrent auf dem Weltmarkt. Viele Branchen und Hochschulen besitzen teures Know-how im Hightech-Bereich, auch in NRW und dem Ruhrgebiet. Bekannt ist laut NRW-Verfassungsschutzbericht, dass die Zahl der Cyber-Attacken aus China, Russland und dem Iran 2012 gewachsen ist. Gut die Hälfte der Angriffe gilt mittelständischen Unternehmen, die oft spezielles Wissen besitzen. Etwa fünf Prozent der Firmendaten sind besonders sensibel. Der jährliche Schaden ist immens und bewegt sich im zweistelligen Milliardenbereich.
Neben technischen Lücken ist vor allem der Mensch eine Schwachstelle in der Sicherheitsarchitektur der Unternehmen. Insbesondere Tablet-Computer oder Smartphones verleiten zu schneller Kommunikation, die nicht entsprechend abgesichert ist. Prof. Dr. Thorsten Holz vom Bochumer Horst Görtz Institut für IT-Sicherheit, spezialisiert auf Systemsicherheit, erklärt, wie sich gerade kleine und große Unternehmen gegen Cyber-Attacken im Vorfeld schützen können und wie man die Schwachstelle Mensch in den Griff kriegt.
wmr: Wirtschaftsspione sind heute technisch besser ausgerüstet als je zuvor. Hinzu kommt der Datenhunger der britischen und amerikanischen Geheimdienste. Wie beeinflussen diese Entwicklungen die Nachfrage auf dem IT-Markt?
Prof. Dr. Thorsten Holz: Die Nachfrage nach Sicherheitssoftware, Services, Firewalls, Zugriffsverwaltung und Co. ist gewachsen. Laut Bitkom, dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V., soll sie dieses Jahr sogar um mehr als fünf Prozent steigen. Doch auch schon vorher – nach den gezielten Angriffen auf US-Firmen – war das Sicherheitsbewusstsein sehr hoch. Das ist die eine Seite. Für das große Wachstumsfeld Cloud Computing sieht es dagegen nicht so gut aus, möglicherweise werden die hohen Wachstumsziele nicht erreicht, weil Unternehmen gerade die externe Verwaltung ihrer firmeneigenen Daten als besonders unsicher ansehen.
wmr: Und sind ihre Befürchtungen berechtigt?
Holz: Nein, Cloud-Anbieter tun viel, um ihr Geschäft abzusichern, das ist für sie Teil des Geschäftsmodells. Eine 100-prozentige Sicherheit können natürlich auch sie nicht gewährleisten, das gilt aber auch für den hauseigenen Cloud-Server. Cloud Computing hat viele Vorteile, das sollte man immer bedenken, ist deutlich günstiger als eine eigene Cloud-Administration. Und mittlerweile gibt es deutsche Anbieter wie die Telekom, die eine Cloud-Infrastruktur anbieten, bei der alle Daten in Deutschland verfügbar bleiben, abgesichert durch das deutsche Datenschutzrecht, das weitreichendste der Welt.
wmr: Wie gehen Cyberspione typischerweise vor, um an sensible Firmendaten zu kommen?
Holz: Erst einmal sammeln die Angreifer Informationen über das Unternehmen: Wer arbeitet in der Firma, wer hat welche E-Mail-Adresse, wie ist das Unternehmen strukturiert. Sehr häufig erfolgt der eigentliche Angriff dann über eine E-Mail mit Schadsoftware im Anhang. Dabei nutzen die Angreifer Sicherheitslücken in täglichen Anwendungen wie Microsoft-Office-Produkten, Browsern oder innerhalb des PDF-Readers. Und durch fingierte, „verführerische“ E-Mails innerhalb der Firma bringen sie den Adressaten dazu, die Mail zu öffnen. So schreiben sie etwa eine E-Mail im Namen der Personalabteilung an die Sekretärin des Chefs. Gerade die Sekretärin des Chefs hat Zugriff auf viele vertrauliche Daten. Ist der Anhang erst einmal geöffnet, kann der Angreifer diesen Computer kontrollieren, sämtliche Mails, Passwörter etc. mitlesen und erhält so Zugang zu Patenten oder internen Entwicklungsdokumenten, die er zu sich transferiert.
wmr: Und was können mittelständische Unternehmen tun, um sich gegen solche Angriffe zu schützen?
Holz: Regelmäßig Sicherheitsupdates der Betriebssysteme einspielen, zudem die aktuellsten Versionen von Virenscannern und Firewalls verwenden – auf stationären wie mobilen Endgeräten. Sensible Daten sollte man nur verschlüsselt versenden und sichere Passwörter verwenden. Sinnvoll ist es natürlich auch, externe Beratungsfirmen oder IT-Sicherheitsdienstleister einzuschalten und mit denen zusammen Sicherheitspakete und -konzepte zu erarbeiten. Dazu gehören generelle Sicherheitsrichtlinien – etwa, dass Mitarbeiter keine fremden USB-Sticks in Firmenrechner einstecken dürfen – und spezielle Sicherheitsregeln, die auf die Firma zugeschnitten sind. Und man muss Pläne entwickeln, wie man auf einen Sicherheitsvorfall reagiert: wer alarmiert wird, welche Schritte unternommen werden müssen, um digitale Spuren zu sammeln. Anfang 2012 hatte nicht einmal jedes zweite Unternehmen einen Notfallplan für IT-Sicherheitsvorfälle, so eine Umfrage im Auftrag von Bitkom.
wmr: Und was ist mit den Mitarbeitern, der Mensch ist ja häufig die größte Schwachstelle in jeder Sicherheitsarchitektur?
Holz: Auf jeden Fall sollten Firmen ihre Mitarbeiter sensibilisieren und zu gesundem Misstrauen erziehen. Neben dem Grundschutz über Sicherheitsupdates muss man sie dazu bringen, verdächtige Signale etwa in E-Mails erkennen zu lernen. So sollten sie auf ungewöhnliche Schreibstile achten oder auf die Ansprache. Den richtigen Umgang mit Computern, Internet und mobilen Endgeräten kann man auch schulen. Dabei werden Firmen eingestellt, so genannte Pen-Tester, die Angriffe simulieren, meist ohne Kenntnis der Belegschaft. Später findet dann eine Aufklärungsveranstaltung statt, es werden Vorträge dazu gehalten, Poster und Postkarten verteilt mit den im Unternehmen gültigen Sicherheitsrichtlinien.
wmr: Viele Mitarbeiter nutzen ja auch private Smartphones und Tablets für berufliche Tätigkeiten, die sich der Kontrolle des Unternehmens entziehen. Was kann man da machen?
Holz: Ein einfacher Ansatz ist die Trennung der Anwendungen in private und dienstliche; so kann man im dienstlichen Bereich nur auf dienstliche E-Mails zugreifen. Aber gerade bei den mobilen Endgeräten ist der Innovationsbedarf in punkto Sicherheit noch sehr hoch, viele kleine und große Unternehmen arbeiten an diversen Sicherheitslösungen. Durchgesetzt hat sich auf dem Markt bisher noch keine.
wmr: Bietet dieser hohe Innovationsbedarf nicht Chancen für junge Firmen, auch im Ruhrgebiet?
Holz: Ja, der Markt boomt derzeit. Die Zahl der Sicherheitsunternehmen ist in den letzten Jahren im Ruhrgebiet von etwa 50 auf gut 100 angestiegen. Viele sind Spin-offs der Hochschulen – in Bochum gibt es eine starke universitäre Ausbildung in diesem Kontext, aber auch in Gelsenkirchen. In dem neuen, vom Land geförderten Projekt NRW.units versuchen wir seit Kurzem, kleine und große Unternehmen der Branche mit den Hochschulen zu vernetzen. Das HGI ist eine der Anlaufstellen des Projektes. Auf Anfrage stellen wir auch Kontakte zu Sicherheitsunternehmen in diesem Netzwerk her.