Die Studie wurde im Auftrag der RSA - The Security Division of EMC zusammen mit Corporate Trust, der Rechtsanwaltskanzlei Taylor Wessing sowie dem Wirtschaftsprüfungs- und Beratungsunternehmen MAZARS Hemmelrath durchgeführt. Ziel war es, Sicherheitsrisiken für den deutschen Mittelstand ans Licht zu bringen. An der Untersuchung nahmen insgesamt 5154 mittelständische Unternehmen in Deutschland teil.
Risiko des Datenverlusts wird unterschätzt
Wegen der großen Anzahl mittelständischer Unternehmen in Deutschland kommen viele Innovationen aus diesem Wirtschaftssegment. Mittelständische Betriebe sind deshalb ein begehrtes und häufiges Ziel von Wirtschafts- und Industriespionage. Die Gefahr, dass geschäftskritische Daten und geistiges Eigentum ausgespäht werden, ist wesentlich größer als viele Mittelständler denken. Das belegt auch die Studie: Sie zeigt, dass über die Hälfte der Befragten ihren Mitarbeitern und Geschäftspartnern keine klaren Vorgaben zum Umgang mit vertraulichen Informationen macht. Lediglich 39,8 Prozent der Betriebe verfügt über eine Klassifizierung von Geheimhaltungsstufen. Wegen dieser fahrlässigen Haltung rät der Report dringen dazu, keine Kompromisse zu machen, wenn es um die Sicherheit des Informationskapitals geht. Oft bedenken die Unternehmen auch nicht, dass Sicherheitslücken und Datenverluste nicht nur das Geschäft bedrohen, sondern in der Öffentlichkeit auch zu einem erheblichen Imageverlust bewirken können.
- Werthaltiges Wissen sichern
Im Schnitt sind fünf Prozent des Know-hows für künftige Projekte werthaltig. Diese Informationen sollten deshalb besonders geschützt werden, um nicht in den Besitz der Konkurrenz zu gelangen. - Sicherheitskonzept erstellen
Jede Firme sollte ein Sicherheitskonzept haben und die Problemfelder Wirtschafts- und Industriespionage von Beginn an in die Policy mit aufnehmen. - Berater konsultieren
Planen Sie Ihr Sicherheitskonzept inklusive Spionageschutz gegebenfalls mit Hilfe eines Beraters. - Datentypen klassifizieren
Alle Typen von Unternehmensdaten sollten in Sicherheitsklassen eingeteilt werden, zum Beispiel die drei Kategorien öffentlich, intern und vertraulich. An dieser Klassifizierung muss sich dann die Sicherheitsstrategie organisatorisch und technisch ausrichten. - Informationen verschlüsseln
Geschäftskritische Informationen sollten immer verschlüsselt werden. Dies muss abhängig von der Struktur des Unternehmens und seiner Datenhaltung auf verschiedenen Ebenen geschehen: E-Mail, https, VPN, SSL-VPN sowie File- und Disk-Encryption sind mögliche Verschlüsselungsfelder. - Datenlecks abdichten
Data Leakage Protection ist ein neuer Sicherheitstrend. Mit solchen Systemen lassen sich Informationen jeglicher Art analysieren und schützen, was sich indes auch auf personenbezogene Daten erstreckt. <br/><br/> Damit kann das Interesse der Unternehmen an einer umfassenden Kontrolle mit dem Anspruch der betroffenen Personen auf informationelle Selbstbestimmung kollidieren. - IT-Profi beschäftigen
Der Verzicht auf einen IT- bzw. Sicherheitsexperten im Betrieb kann unter dem Strich teuer kommen. - Datenträger schützen
Das Wegsperren von Datenträgern kann zwar Schutz bieten, reicht allein aber nicht aus. Die Verschlüsselung geschäftskritischer Informationen ist unverzichtbar. - Personal sensibilisieren
Mitarbeiter sollten in Sicherheitsschulungen auch auf die Gefahren durch Wirtschafts- und Industriespionage aufmerksam gemacht werden. - Internes Risiko beachten
Leider ist nicht auszuschließen, dass eigene Mitarbeiter aus unterschiedlichen Motiven wichtige Daten für Dritte ausspähen. - Dienstleister überprüfen
Dienstleister, die täglich Zutritt zum Unternehmen haben, sind potentielle Schlupflöcher für Spione. Zum Beispiel IT-Experten getarnt als Reinigungskräfte. - Spione antizipieren
Es ist natürlich nahezu unmöglich, aber machen Sie sich Gedanken darüber, wer besonderes Interesse am geistigen Eigentum Ihres Unternehmens haben könnte.
"Unternehmenskritische Informationen dürfen das Unternehmen nicht ungeschützt verlassen. Eine wirksame Maßnahme gegen Wirtschaftskriminalität ist es daher, eine ganzheitliche Sicherheitsstrategie zu implementieren, in deren Zentrum Technologien zur Verhinderung von Datenabflüssen (Data Loss Prevention) stehen. Risk Management und Sicherheitslösungen sind für jedes Unternehmen von strategischer Bedeutung", sagt Michael Frauen, Regional Director von RSA.