Teaserbild
Leitartikel

Hacker ante portas!

Virtuelle Angriffe bedrohen den Mittelstand.

Immer wieder berichtet die Presse von massiven Hacker-Angriffen: Große Wirtschaftsunternehmen wie Vodafone, Lufthansa oder Medienunternehmen wie der französische Fernsehsender TV5Monde sind davon genauso betroffen wie der deutsche Staat. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) registriert 2.000 bis 3.000 Attacken pro Tag allein auf die Bundesregierung.

Doch auch kleine und mittlere Unternehmen – sie machen immerhin mehr als 99 Prozent der deutschen Privatwirtschaft aus – sind vor virtuellen Angriffen nicht gefeit. So hat die Beratungsgesellschaft PricewaterhouseCoopers (PwC) in einer Studie aus dem Jahr 2014 herausgefunden, dass der deutsche Mittelstand nicht ausreichend auf Cyber-Attacken vorbereitet ist: Von den rund 400 befragten Unternehmen verfügen viele nicht über umfassende Maßnahmen zum Datenschutz. Viele Cyber-Attacken blieben schlicht unbemerkt, weil die nötigen Kontrollverfahren fehlten.

Notwendige Sicherheitsstrukturen fehlen

In der Wohnungswirtschaft wie auch in vielen anderen Branchen gehören Daten heute zum wichtigsten Gut überhaupt. Wer sie nicht ausreichend schützt, riskiert nicht nur immense wirtschaftliche Verluste, sondern auch einen enormen Imageschaden. „Deutsche Unternehmen sind zwar für das Thema IT-Sicherheit immer mehr sensibilisiert, aber gerade kleinen und mittleren Unternehmen fehlen oft die notwendigen Sicherheitsstrukturen“, so Udo Ungeheuer, Präsident des Branchenverbands VDI (Verein Deutscher Ingenieure).

Der VDI verweist dabei auf Angaben der IT-Sicherheitsfirma Symantec: Im Januar 2015 richteten sich demnach ein Drittel der gezielten Angriffe auf Unternehmen mit bis zu 250 Mitarbeitern.

Drei Säulen der Informationssicherheit

Die Gefahr des Hackings ist heutzutage allgegenwärtig. Kleine und mittlere Unternehmen, die sich und ihre Daten schützen wollen, müssen sich deshalb um drei verschiedene Säulen der Informationssicherheit kümmern: 

  1. Technik 
  2. Organisation
  3. Sensibilisierung ihrer Mitarbeiter 

Säule 1: Technische Maßnahmen

Mit einem „externen Verteidigungsring“ muss die Technik das Unternehmen nach außen hin absichern. Hierzu gehören unter anderem der Betrieb einer mehrstufigen Firewall, eines URL- und eines Malware-Filters sowie eines wirksamen Anti-Spam-Systems am Internet-Zugang. In großen Netzen sind zudem interne Firewalls nötig. Sie prüfen beispielsweise mittels Virenscanning eingehende Daten. Zur Abwehr von Viren sollten mehrere Virenscanner unterschiedlicher Hersteller an verschiedenen Stellen zum Einsatz kommen. Malware – also Schadprogramme – wird auf diese Weise direkt gefiltert und geblockt.

Mit mehrstufigen Authentifizierungsverfahren sollten Unternehmen den Datenschutz sicherstellen, wenn Mitarbeiter oder Kunden über einen Remote-Zugang – also aus der Ferne – auf Systeme und Daten zugreifen. Verbindungen über das Internet sollten Unternehmen grundsätzlich mit aktuellen kryptographischen Verfahren verschlüsseln. 

Ebenfalls in den technischen Bereich gehört das Patchen von Systemen. Der Techniker stellt sicher, dass er die Informationen über Sicherheitslücken seiner Systeme erhält und bewertet dann, ob und wie schnell er Upgrades durchführt. Mithilfe von Patches lassen sich Sicherheitslücken schnell schließen, neue Funktionen nachrüsten oder Fehler ausmerzen. 

Darüber hinaus sorgen Penetrationstests für Sicherheit: Externe Firmen oder auch eigene Mitarbeiter versuchen dabei, in einem definierten Vorgehen von außen die virtuellen Verteidigungslinien eines Unternehmens technisch zu durchbrechen. Stoßen sie dabei auf Sicherheitslücken, werden diese schnellstmöglich geschlossen. 

Säule 2: Organisatorische Maßnahmen

Um die Vielfalt der technischen Maßnahmen sinnvoll zu koordinieren, ist eine entsprechende Organisation erforderlich.

Zertifizierungen können hier helfen, indem sie beispielsweise zeigen, dass das zertifizierte Unternehmen ein Informationssicherheits-Management etabliert hat, das eine angemessene Erhebung und Behandlung personenbezogener Daten im Unternehmen sicherstellt. 

Über eine konstante Kommunikation lässt sich sicherstellen, dass dem Thema im Unternehmen die notwendige Aufmerksamkeit zuteil wird: Datenschutzbeauftragte und definierte Ansprechpartner aus relevanten Fachbereichen können in Arbeitskreisen und Entscheidungsgremien dafür sorgen, dass Fragen des Datenschutzes und der Informationssicherheit mit der notwendigen Wichtigkeit und Transparenz behandelt werden.

Säule 3: Sensibilisierung

Nicht zuletzt ist auch die Sensibilisierung der eigenen Mitarbeiter ein entscheidender Faktor im Kampf gegen Hacker. Schulungen zum sicheren Umgang mit Daten sollten dabei zum Standard in jedem Unternehmen gehören: Wie sieht ein sensibler Umgang mit E-Mails aus? Es stellt beispielsweise ein erhebliches Sicherheitsrisiko dar, wenn geschäftliche E-Mails an private Accounts weitergeleitet werden. Wirkt eine E-Mail verdächtig? Enthaltene Links können manipuliert sein, auch wenn sie unauffällig scheinen. Manchmal helfen schon einfache Tricks: Wer mit der Mouse über den Link fährt, sieht die dahinterliegende, eigentliche Web-Adresse.

Diese Beispiele zeigen anschaulich, dass zeitgemäßer Schutz aufwendig ist und eine stete Auseinandersetzung mit der Materie erfordert. Zwar bleibt ein Restrisiko vorhanden – durch die oben genannten Maßnahmen lässt es sich aber deutlich reduzieren.