IT-Sicherheit: Viele Unternehmen mit unzureichendem Schutz
„Angespannte Bedrohungslage.“ „Neue Qualität der Gefährdung.“ Wenn es um die IT-Sicherheit in Deutschland geht, überschlagen sich selbst als bedacht geltende Politiker wie Bundesinnenminister Thomas de Maizière mit warnenden Worten. Die Lage der IT-Sicherheit, bescheinigt auch das ihm unterstellte Bundesamt für Sicherheit in der Informationstechnik BSI, sei „weiterhin auf hohem Niveau angespannt“. Unzählige Unternehmen mussten schon Lehrgeld zahlen.
29.01.2018
Etwa der namenlos bleibende deutsche Industriekonzern, über den das Bundesamt in seinem neuesten Lagebericht aus dem November 2017 schreibt. Kriminelle hackten sich bei dem Mitte 2016 in die Netzwerke ein und saugten daraus mindestens zwei Monate lang unbemerkt Daten ab, und zwar solche, die „den Tätern oder ihren Auftraggebern einen technologischen Vorteil hätten verschaffen können“. Ob durch den Datenabfluss tatsächlich ein Schaden entstanden ist, blieb unklar. Der Konzern konnte das nicht nachvollziehen.
War was?
Das Beispiel illustriert idealtypisch, wie Industriespionage heute aussehen kann: Die Täter kommen aus dem Nichts, bleiben unbemerkt und verschwinden genau so spurlos, wie sie aufgetaucht sind. Fast täglich finden sie neue Angriffsflächen, sehr zum Schaden der deutschen Wirtschaft. Der Digitalverband Bitkom beziffert die Kosten für sie auf rund 55 Milliarden Euro, und das jährlich. Mehr als die Hälfte der Unternehmen in Deutschland sei in den vergangenen beiden Jahren Opfer von Sabotage, Wirtschaftsspionage oder Datendiebstahl geworden, so der Verband.
Nicht nur Bitkom-Präsident Achim Berg fordert die deutsche Wirtschaft deswegen auf, mehr für ihre digitale Sicherheit zu tun. Die Gefahr für Unternehmen aller Branchen und jeder Größe sei real. „Jeder kann Opfer von Spionage, Sabotage oder Datendiebstahl werden“, so Berg. BSI-Präsident Arne Schönbohm sagt, Cyber-Angriffe wie WannaCry, Petya/NotPetya oder der Ausfall hunderttausender Router machten klar, dass es notwendig sei, „Informationssicherheit als unabdingbare Voraussetzung einer erfolgreichen Digitalisierung zu verstehen“.
Viele Unternehmen noch ohne Digitalstrategie
Nur: In der deutschen Wirtschaft scheint diese Mahnung noch nicht überall angekommen zu sein. „Die Digitalisierung“ sagt Bitkom-Chef Berg, „ist in zu vielen Unternehmen noch nicht organisatorisch verankert“. Einer aktuellen Umfrage seines Verbandes zeigt, dass sich bislang lediglich zwei Drittel der Befragten eine Digitalstrategie gegeben haben. Und das heißt halt auch: Drei von zehn Unternehmen haben keine – und damit wohl auch keine Expertise in Sachen IT-Sicherheit.
In dieser Gemengelage ist längst eine milliardenschwere Beratungsindustrie zur IT-Sicherheit in Unternehmen entstanden. Große Konzerne wie T-Systems, IBM oder Hewlett Packard tummeln sich auf dem Feld, ebenso viele Einzelkämpfer. Neben Unterstützung beim Aufbau oder der Weiterentwicklung sicherer IT-Systeme haben sie oft auch Beratungsleistungen oder Trainings im Gepäck, um die Beschäftigten ihrer Auftraggeber etwa für die Zertifizierung bestimmter Sicherheitsstandards wie der ISO 27001 fit zu machen. Mit dieser Norm – laut BSI der „De-Facto-Standard für IT-Sicherheit“ – werden alle Prozesse, die der Informationssicherheit eines Unternehmens dienen, systematisch auf den Prüfstand gestellt.
ISO 27001: Zertifikat schafft Vertrauen
Die ISO 27001 ermöglicht die Berücksichtigung unternehmensspezifischer Risiken und baut auf dem Prinzip kontinuierlicher Verbesserung. Unternehmen, die eine entsprechende Zertifizierung anstreben, können eine unabhängige Zertifizierungsgesellschaft damit beauftragen, ähnlich wie sie es bei der Zertifizierung ihrer Umwelt- oder Qualitätsmanagementsysteme tun. Ein Auditor überprüft dann vor Ort die Übereinstimmung mit den Anforderungen des internationalen Standards. Bei erfolgreichem Audit erhält das Unternehmen ein Zertifikat, das als Nachweis gegenüber dem Gesetzgeber, Kunden, Partnern, Versicherungen und Lieferanten dient – und Vertrauen schafft.
Ein langjähriger Anbieter solcher Audits ist DNV GL – Business Assurance, ein international tätiges Unternehmen für Qualitätssicherung und Risikomanagement. DNV GL hat sich ursprünglich mit Risikomanagement in der Öl- und Gasindustrie und der Seefahrt einen Namen gemacht. Vor rund 150 Jahren gegründet und nach eigener Auskunft „seit den 1960er Jahren ein digitaler Pionier“, hat der Konzern seine Aktivitäten zur Digitalisierung jüngst in einem neu gegründeten Geschäftsbereich mit 1.000 Fachleuten zusammengeführt. „Daten“, sagt DNV GL-Vorstandsvorsitzender Remi Eriksen, „sind der Rohstoff des 21. Jahrhunderts“. Sie seien eine „wesentliche Basis für die Wertschöpfung von Unternehmen“.
Bewusstsein, Bewusstsein, Bewusstsein
Sollen nicht Cyber-Kriminelle diese Werte abschöpfen, tun Unternehmen gut daran, frühzeitig etwaige Lücken in ihren IT-Systemen aufzuspüren. Dass die noch nicht mal technischer Natur sein müssen, zeigt ein kostenloses Online-Tool von DNV GL, das mit wenigen Fragen bei einer ersten Selbsteinschätzung hilft. Im Vordergrund stehen dabei nicht die Systeme, die Unternehmen zu Schutz ihrer IT auffahren. Im Vordergrund stehen die organisatorischen Gegebenheiten – etwa die Frage, wie stark sich das Top-Management dem Thema verpflichtet.
Um die Aufmerksamkeit für etwaige Sicherheitslücken auch in der Belegschaft zu schärfen, bieten Unternehmen wie DNV GL auch Trainings zur ISO 27001 an. Schließlich hilft es wenig, ausgefeilte Sicherheitssysteme aufzusetzen, wenn nur wenige sie kennen oder einen Nutzen in ihnen sehen. Letztendlich ist IT-Sicherheit auch in Unternehmen schließlich immer eine Frage des Bewusstseins. Oder wie es Bundesinnenminister de Maizière formuliert: „Wir brauchen bei der IT-Sicherheit mindestens das gleiche Sicherheitsbewusstsein wie bei der Verkehrssicherheit.“