Mit immer mehr IT im Unternehmen steigt auch das Risiko. Viren, Würmer und Hacker, die über das Internet ins Firmennetz eindringen, sind bekannte Gefahrenquellen. Die Abwehrmechanismen sind mittlerweile ausgereift. Neue Anforderungen an die Sicherheitssysteme entstehen hingegen durch bislang kaum bekannte Angriffsmuster.

Persönliche Ansprache als Lockmittel

Mit der fortschreitenden Digitalisierung der Abläufe in mittelständischen Unternehmen verändern sich auch die Risiken. Dies wird am Beispiel der zunehmenden Kommerzialisierung der Hacker-Szene deutlich. Waren früher meistens Zufall und Spieltrieb die Auslöser für entsprechende Sicherheitsvorfälle, stehen heute Betrugsinteressen im Vordergrund. Diese Entwicklung spiegelt sich beispielsweise in gezielten Angriffen wie dem "Spear Phishing" wider. Bei dieser Variante des bekannten Phishing-Angriffs werden einzelne Personen im Unternehmen mit maßgeschneiderten E-Mails attackiert. Ziel des Angriffs ist, den PC des Opfers mit einem Trojaner zu infizieren, um einen Zugang ins Netz zu erlangen. Indem die Mails den Anwender mit persönlichen Informationen ansprechen, sollen sie ihn bewegen, den Dateianhang zu öffnen oder einen manipulierten Link anzuklicken. Als Quelle dafür dienen unter anderem Social Networks und Beiträge in Internet-Foren.

Werthaltiges Wissen sichern
Im Schnitt sind fünf Prozent des Know-hows für künftige Projekte werthaltig. Diese Informationen sollten deshalb besonders geschützt werden, um nicht in den Besitz der Konkurrenz zu gelangen.

Sicherheitskonzept erstellen
Jede Firme sollte ein Sicherheitskonzept haben und die Problemfelder Wirtschafts- und Industriespionage von Beginn an in die Policy mit aufnehmen.

Berater konsultieren
Planen Sie Ihr Sicherheitskonzept inklusive Spionageschutz gegebenfalls mit Hilfe eines Beraters.

Datentypen klassifizieren
Alle Typen von Unternehmensdaten sollten in Sicherheitsklassen eingeteilt werden, zum Beispiel die drei Kategorien öffentlich, intern und vertraulich. An dieser Klassifizierung muss sich dann die Sicherheitsstrategie organisatorisch und technisch ausrichten.

Informationen verschlüsseln
Geschäftskritische Informationen sollten immer verschlüsselt werden. Dies muss abhängig von der Struktur des Unternehmens und seiner Datenhaltung auf verschiedenen Ebenen geschehen: E-Mail, https, VPN, SSL-VPN sowie File- und Disk-Encryption sind mögliche Verschlüsselungsfelder.

Datenlecks abdichten
Data Leakage Protection ist ein neuer Sicherheitstrend. Mit solchen Systemen lassen sich Informationen jeglicher Art analysieren und schützen, was sich indes auch auf personenbezogene Daten erstreckt. <br/><br/> Damit kann das Interesse der Unternehmen an einer umfassenden Kontrolle mit dem Anspruch der betroffenen Personen auf informationelle Selbstbestimmung kollidieren.

IT-Profi beschäftigen
Der Verzicht auf einen IT- bzw. Sicherheitsexperten im Betrieb kann unter dem Strich teuer kommen.

Datenträger schützen
Das Wegsperren von Datenträgern kann zwar Schutz bieten, reicht allein aber nicht aus. Die Verschlüsselung geschäftskritischer Informationen ist unverzichtbar.

Personal sensibilisieren
Mitarbeiter sollten in Sicherheitsschulungen auch auf die Gefahren durch Wirtschafts- und Industriespionage aufmerksam gemacht werden.

Internes Risiko beachten
Leider ist nicht auszuschließen, dass eigene Mitarbeiter aus unterschiedlichen Motiven wichtige Daten für Dritte ausspähen.

Dienstleister überprüfen
Dienstleister, die täglich Zutritt zum Unternehmen haben, sind potentielle Schlupflöcher für Spione. Zum Beispiel IT-Experten getarnt als Reinigungskräfte.

Spione antizipieren
Es ist natürlich nahezu unmöglich, aber machen Sie sich Gedanken darüber, wer besonderes Interesse am geistigen Eigentum Ihres Unternehmens haben könnte.

Ein erfolgreicher Angriff führt häufig zum Datenklau, der in Versuche, das betroffene Unternehmen zu erpressen, oder Spionage münden kann. Solche Vorfälle sind auch im deutschen Mittelstand belegbar. Deutlich wird an diesem Beispiel auch, wie gut getarnt Angriffe sein können. Ausgangspunkt ist die Veröffentlichung scheinbar harmloser Informationen in öffentlichen sozialen Netzen und an anderen Stellen im Internet durch einen Mitarbeiter.

IT-Ausfall verursacht finanziellen Schaden

Kritisch sind solche Angriffe auch, weil sie die Verfügbarkeit der IT bedrohen. Die Computerisierung durchdringt unmerklich alle Unternehmensteile. Schritt für Schritt wurden Produktionsstraßen in das Firmennetz integriert, Klemmbretter durch WLAN-fähige PDAs ersetzt und die herkömmlichen Telefonkabel gegen Ethernet getauscht. Diese Entwicklung sorgt seit Jahren für eine steigende Produktivität - aber auch für mehr Anfälligkeit. Ein Festplatten-Crash in zentralen IT-Systemen kann nun beispielsweise dazu führen, dass die komplette Produktion ausfällt; ein defektes ERP-System entzieht den Mitarbeitern ihre wichtigste Arbeitsumgebung. Eine unzuverlässige IT kann enormen finanziellen Schaden anrichten.

1. Eigenes Profil anlegen
Legen Sie für Ihre Personen- oder Unternehmensmarke ein eigenes Profil auf den wichtigsten Social-Media-Diensten an und verifizieren Sie alle Online-Aktivitäten als die eigenen, damit niemand Ihren Namen online fälschlicherweise nutzen und missbrauchen kann.

2. Namen sichern
Bei einigen Diensten wie Twitter kann jeder Mitgliedsname nur einmal verwendet werden. Sichern Sie sich also Ihren (Marken-)Namen nicht nur als Domain-Adresse, sondern auch noch auf den Social-Media-Plattformen, bevor es jemand anderes tut. Selbst dann, wenn Sie nicht planen, den Dienst aktiv zu nutzen.

3. Datenfreigabeoptionen nutzen
Nutzen Sie die Datenfreigabeoptionen der Social Networks. Überlegen Sie dabei stets, wer welche Ihrer Daten öffentlich einsehen darf, und gehen Sie nicht zu freigiebig mit privaten Informationen um. Damit erschweren Sie es potenziellen Stalkern, zu viel über Sie herauszufinden.

4. Regelmäßiges Scannen
Scannen Sie regelmäßig die wichtigsten Social Networks nach Ihrem eigenen Namen und Ihren Marken. Besser Sie finden ein gefälschtes Profil als Ihre Kontakte oder Kunden.

5. Reputations-Monitoring
Setzen Sie dazu ein einfaches Monitoring via Google Alerts, Technorati oder myON-ID auf, damit Sie keine Überraschungen erleben.

6. Das Internet ist öffentlich
Machen Sie sich stets bewusst, dass das Internet ein öffentlicher Raum ist. Seien Sie sich bewusst bei alledem, was Sie publizieren. Wirklich private Informationen machen Sie angreifbar. Deshalb sollten Sie diese besser für sich behalten.

7. Domain anmelden
Melden Sie sofort eine oder mehrere Domains auf Ihren Namen an. Das Hosting ist nicht teuer. Aber achten Sie darauf, dass Ihr Name im Titel, in der URL und auch sonst gut präsent ist auf Ihrer Website.

8. Videos und Podcasts
Lassen Sie einige Videos und Podcasts von sich aufnehmen und stellen Sie diese selbst auf Sevenload und YouTube oder verlinken Sie von Ihren Profilen darauf. Wenn Ihr Namen dann noch in der Überschrift erscheint, werden Sie bei jeder Suche sehr gut mit Ihrem Video gefunden.

9. Interviews
Geben Sie bereitwillig Bloggern Interviews, die dann in deren Online-Journalen erscheinen, und verweisen Sie darauf.

10. Eigene Artikel
Veröffentlichen Sie regelmäßig Fachartikel in den Medien, als Gastblogger oder in Business-Communitys wie der Marketingbörse.

11. Keine Spitznamen
Seien Sie in den Business-Foren nur unter Ihrem realen Namen aktiv.

12. Eigen-PR
Stellen Sie eine Pressemitteilung auf eine PR-Plattform, um dadurch wiederum auf Ihre anderen Online-Aktivitäten zu verweisen und somit Links zu generieren.

13. Vorträge nutzen
Wenn Sie auf einem Event sprechen, erhalten Sie in der Regel die Möglichkeit, Ihr Profil mit Ihren gewünschten Informationen einzureichen. Nutzen Sie diese Gelegenheit dazu, nicht nur auf Ihre Biografie, sondern auch auf Ihre Webseiten zu verweisen.

14. Social Network ausbauen
Bauen Sie gezielt Ihr Social Network aus, damit Sie sich in der Krise auf Ihre Freunde verlassen können. Der beste Schutz besteht immer in dem Vertrauen, das andere einem entgegenbringen. Deshalb geben Sie Ihren Geschäftspartnern und Kollegen die Gelegenheit, Gutes über Sie im Internet mitzuteilen. Holen Sie sich manchmal das Feedback direkt ein.

15. Multiplikatoren identifizieren
Finden Sie heraus, welche Influencer in Ihrem Markt die wichtigsten sind, und bauen Sie zu diesen Kontakte auf.

16. RSS-Feed
Sammeln Sie alle Monitoring-Informationen als RSS-Feed an einem Platz, um sie dort zu analysieren. Dazu eignet sich beispielsweise ein Account bei iGoogle sehr gut.

17. Worst case scenario
Als Unternehmen sollten Sie gemeinsam mit Ihrer PR-Agentur ein Szenario für die richtigen Reaktionen auf mögliche Angriffe entwickeln. Überlegen Sie aber auch als Privatperson, wie Sie auf eine Kritik gegebenenfalls reagieren können.

18. Immer am Ball
Informieren Sie sich aktiv über das Online-Geschehen, damit Sie sehen, wie sich die Nachrichten und Gerüchte im Netz verbreiten, und lernen Sie dadurch die Mechanismen kennen, die Personenmarken genauso wie Unternehmensmarken schädigen können.

Im Rahmen einer umfassenden Sicherheitsstrategie gilt es zudem, viele gesetzliche Vorgaben zu beachten. Mängel in der IT-Sicherheit können zu Wechselwirkungen führen. Kommt es zu Vorfällen, weil Risiken unterschätzt wurden, drohen rechtliche Konsequenzen. Wichtige IT-relevante Gesetze sind das Bundesdatenschutzgesetz (BDSG), das Gesetz zur Kontrolle und Transparenz im Unternehmen (KonTraG) und der Sarbanes-Oxley Act (SOX). Verstöße gegen das BDSG bescheren derzeit vielen Unternehmen Negativschlagzeilen. Meistens hängen solche Verstöße direkt oder indirekt mit dem IT-Einsatz zusammen. Der Imageschaden lässt sich dabei selten in Euro beziffern. Bilanzwirksame Belastungen entstehen aber in jedem Fall durch Bußgelder, die der Gesetzgeber immer wieder erhöht.

Wie wertvoll ist die eigene IT?

Viele Risiken hängen damit zusammen, dass Unternehmen ihre Abhängigkeit von IT nicht kennen. Komplexe Methoden für das Risiko-Management und konkrete Sicherheitsvorkehrungen helfen hier nur bedingt weiter. Um mit der Bedrohung angemessen umgehen zu können, muss zunächst Klarheit darüber geschaffen werden, wie die IT in die Geschäftsprozesse eingreift und wo Unternehmenswerte in Form von Daten gespeichert werden. Ist das nicht bekannt, sind Fehleinschätzungen und unzureichende Vorkehrungen unvermeidbar. Sicherheitsvorfälle und Fehlinvestitionen sind die Konsequenzen.

Die Intransparenz in Sachen IT-Abhängigkeit löst eine Kettenreaktion aus, an deren Ende eine mangelhafte Systemadministration und der unsensible Umgang mit IT-Systemen durch die Anwender stehen. Risikobewusstsein lässt sich in diesem Bereich nur dann schaffen, wenn alle Beteiligten sich über die Abhängigkeit des Unternehmens von der IT im Klaren sind. Der erste Schritt dazu ist, dass die Geschäftsführung den Stellenwert der IT kennt und IT-Risiken als unternehmenskritischen Faktor akzeptiert.

Die Unternehmensleitung sollte die Anforderungen an die IT-Sicherheit in einem Strategiepapier dokumentieren und der gesamten Belegschaft mitteilen. Das verschafft den IT-Verantwortlichen Rückendeckung, wenn sie unpopuläre Sicherheitsmaßnahmen in den Fachbereichen durchsetzen müssen. Wird die IT jedoch von der Geschäftsleitung stiefmütterlich behandelt, kann ein sensibler Umgang mit IT-Anwendungen und -Systemen auch von den Benutzern kaum erwartet werden.

Kennzahlen helfen bei der Risikobewertung

Eine wichtige Frage ist, wie sich die IT-Abhängigkeit transparent darstellen und ein angemessenes Risiko-Management einführen lässt. Die Lösung liefert das Informationssicherheits-Management-System (ISMS, siehe Textkasten). Die internationale Norm ISO/IEC 27001 formuliert Anforderungen an Einführung, Betrieb, Wartung und Verwaltung eines ISMS. Die Norm schlägt zudem Arbeitsschritte vor, die etwa die verwendeten IT-Anwendungen den Geschäftsprozessen zuordnen und die sensiblen und wertvollen Daten des Unternehmens identifizieren.

Daraus resultieren simple Kennzahlen wie etwa die Anzahl unentbehrlicher IT-Anwendungen und -Systeme pro kritischen Geschäftsprozess. Mit dieser Erhebung lassen sich Risiko und Auswirkungen fundiert einschätzen. Die gemeinsame Betrachtung der Geschäftsprozesse schafft auch eine gute Kommunikationsbasis zwischen Geschäftsleitung und IT-Leitung. Mit dem Rückhalt des Unternehmens-Managements kann die IT ihre Strategie in der Kommunikation gegenüber den Fachbereichen verbessern.

Statt vor Risiken zu warnen, kann sie künftig Lösungen bieten. Das bedeutet konkret, dass sie IT-Sicherheit nicht mehr auf Basis von Warnungen und Angstszenarien durchsetzen muss. Die transparente Darstellung der unternehmensweiten IT-Abhängigkeit verbessert das Risikobewusststein und das Verständnis, wenn technische und organisatorische Veränderungen erforderlich sind.

Relevante Risiken erkennen

Solange die IT weiter die Unternehmensprozesse durchdringt, werden sich auch die Risiken erhöhen. Komplexe Methoden des Risiko-Managements bleiben wirkungslos, solange nicht alle Verantwortlichen den Ist-Zustand kennen und Einigkeit über Maßnahmen erzielen. Ein prozessbasierendes Informationssicherheits-Management ist das Fundament für eine erfolgreiche Bekämpfung beziehungsweise eine Verringerung von IT-Risiken. Anstatt Security im Gießkannenprinzip einzuführen, lassen sich Risiken genau einordnen und mit angemessenem Aufwand bekämpfen. Nur wer über den Einfluss der IT auf die Geschäftsprozesse Bescheid weiß, kann alle relevanten Risiken erkennen. (jha)