Der Hase-und-Igel-Wettlauf
Wirtschaftsspionage: Bedingt durch die NSA-Affäre zieht die Nachfrage nach Sicherheitslösungen für die Unternehmens-IT an. Den Spionen einen Schritt voraus zu sein ist dabei eine herausfordernde Aufgabe.
Die Firma Vietz Pipeline Equipment GmbH traf es besonders schlimm. Der Mittelständler aus Hannover fertigt Higtech-Geräte für den Bau von Öl-, Gas- und Wasser-Pipelines wie zum Beispiel Schweißraupen, Rohrbiegemaschine und Hebegeräte. Das Unternehmen wurde sowohl von den Chinesen als auch von den Amerikanern ausspioniert.
Während die Chinesen schlicht und einfach das Know-how kopierten und identische Produkte herstellten, hackte sich die CIA nach Presseberichten in die Computersysteme des Mittelständlers ein und gelangte auf diese Weise an das begehrte Wissen. Mit der Technologie von Vietz kann nämlich der Bau von Pipelines schneller durchgeführt werden.
In etwa 80 % der Fälle von Wirtschafts- und Industriespionage sind nicht international tätige Großkonzerne, sondern kleine, innovative Unternehmen betroffen, stellt der brandenburgische Verfassungsschutz fest. Durch den illegalen Know-how-Transfer dürfte jährlich ein Schaden von etwa 20 Mrd. bis 50 Mrd. Euro – vielleicht aber auch noch mehr – entstehen.
Obwohl so viel darüber berichtet wird, schenken Mittelständler diesem Thema immer noch zu wenig Beachtung. „Viele denken, dass sie zu klein und damit uninteressant für Spionage sind“, meint etwa Dr. Dieter Steiner, Geschäftsführer der SSP Europe GmbH. Das Unternehmen bietet Security- und IT-Lösungen für Rechenzentren an und zählt beispielsweise Fujitsu und Hutchison 3G Austria zu seinen Kunden.
„Kleinere Unternehmen sind oft Opfer von ,Beifang‘“, so Thomas Uhlemann, Security Specialist von Eset Deutschland. „Darunter verstehen wir allgemeine Angriffe wie zum Beispiel das Phishing oder infizierte Webseiten.“ Eset ist ein weltweiter Anbieter von IT-Sicherheitslösungen für Unternehmen und Privatanwender. „Den Irrglauben, ,nichts Wertvolles‘ zu besitzen, hat schon so mancher teuer bezahlt.“
Aber immerhin scheint in diesem Punkt – vielleicht auch ausgelöst durch Berichte, dass selbst die Kanzlerin nicht vor den Spionageattacken gefeit ist – ein Umdenken einzusetzen. „Wir merken, dass das Neukundengeschäft deutlich anzieht – gerade aus dem Mittelstand“, meint Steiner. „Größere Unternehmen investieren seit Jahren in einen soliden Malwareschutz, hier verzeichnen wir keine gestiegene Nachfrage“, stellt Uhlemann fest. Bei kleineren Firmen „registrieren wir nicht nur eine vermehrte Nachfrage nach Sicherheitssoftware, sondern vor allem auch nach Beratung“.
Die Datensicherheit fängt ja meist schon bei sehr banalen Dingen an. Was nützt die beste IT-Sicherheitsinfrastruktur, wenn sensible Daten ausgedruckt auf dem Tisch eines Raums liegen, zu dem nicht autorisierte Personen Zutritt haben? Zu den grundlegenden Dingen gehört deshalb einer Studie der Management- und Technologieberatung Detecon International zufolge ein praxistaugliches Zutrittsmanagementsystem.
Ein weiterer wichtiger Aspekt ist die Festlegung des Schutzbedarfs von Informationen. Die vorhandenen Daten müssen klassifiziert werden und es muss geregelt sein, ob und an wen sie herausgegeben werden dürfen. Das System muss dabei einheitlich und für jeden Mitarbeiter verständlich sein.
Ein ganzheitliches Informationssicherheits-Managementsystem sollte nach ISO 27001 zertifiziert sein. Der Standard enthält Angaben dazu, welche Prozesse festgelegt und dokumentiert werden sollen. Darin sind auch Handlungsanweisungen zur kontinuierlichen Optimierung des Sicherheitsniveaus zu finden. Zu einem ordentlichen Security-Konzept gehört auch ein Worst-Case-Szenario. Dort wird das Vorgehen im Fall eines Datenklaus beschrieben. Damit sollen die Geschäftsprozesse auch nach einer Katastrophe möglichst reibungslos weiterlaufen, damit nicht noch größerer Schaden eintritt.
Die Investitionen in ein solches Konzept sind gar nicht so gewaltig. „Die Kosten für einen sicheren Schutz sind meist nicht wesentlich höher als der normale IT-Betrieb“, meint SSP-Geschäftsführer Steiner. Denn durch gezieltes Outsourcing auf spezialisierte Anbieter und Cloud-Dienste können mittelständische Unternehmen manchmal sogar Ausgaben sparen und gleichzeitig ein höheres Sicherheitsniveau erreichen.
Nicht nur auf die Investitionen schauen
Bei der Analyse der Kostensituation müssten immer alle Faktoren berücksichtigt werden. Folgeaufwendungen für Administration, Updates und Anpassungen fallen nach Erfahrungen von Uhlemann oftmals durch das Raster. „Wer alle Kosten zusammenrechnet, wird vermutlich schnell merken, dass Malwareschutz gar nicht so teuer ist wie vermutet.“ Das gelte erst recht, wenn man die Investitionen mit den finanziellen Folgen einer Malware gegenüberstellt.
Mit der Implementierung eines Schutzkonzepts ist es aber nicht getan. Denn es gibt immer wieder neue technologische Entwicklungen, zum Beispiel zuletzt das Thema mobile Kommunikation, wie Detecon ausführt. Mittlerweile gibt es viele effiziente MDM-Lösungen (mobile device management) – auch für den Fall, dass Geräte verloren gehen oder ein Angestellter im Unfrieden aus dem Unternehmen ausscheidet. Vor allem eine gestiegene Produktivität und Mitarbeiterzufriedenheit machen den Aufwand für die Einführung sinnvoll. Detecon weist in diesem Zusammenhang darauf hin, dass sich derzeit zu viele MDM-Anbieter am Markt tummeln, sodass mit einer Konsolidierungswelle zu rechnen ist. Das sollte bei der Entscheidung für eine Lösung berücksichtigt werden.
Auf die Wünsche der Belegschaft zu achten ist sehr wichtig. Denn sonst passiert das, was in der Computerwelt als Schatten-IT bezeichnet wird. Dabei handelt es sich um Software und Geräte, die in der Firma neben der offiziellen Infrastruktur und häufig ohne Wissen der Verantwortlichen genutzt werden. Viele ITler probieren privat die neueste Software aus und verwenden die neuesten Geräte – und wollen sie dann auch am Arbeitsplatz nutzen. Dieses Phänomen hat unter dem Begriff BYOD (bring your own device) Einzug in die Fachliteratur gefunden. Das bedeutet für die IT-Fachabteilungen eine zusätzliche Herausforderung, die damit verbundenen Risiken zu analysieren und in neue Richtlinien zu gießen.
Doch es lohnt sich, hier à jour zu sein – und das noch aus einem anderen Grund. Denn auch das Sicherheitsniveau im Unternehmen muss kontinuierlich optimiert werden. Wirtschaftsspionage wird nicht nur weiter betrieben, sondern ständig weiterentwickelt. Dieser Hase- und Igel-Wettlauf setzt sich fort und wird immer schneller.
03.03.2014 | 12:05