Anzeige

Interview mit Tobias Schrödel „Hundertprozentige Sicherheit gibt es nicht“

Bettina Röttig | 11. April 2014

Cyberkriminalität und interne IT-Sicherheitslücken stellen eine zunehmende Bedrohung für Wirtschaftsunternehmen dar. Fachinformatiker Tobias Schrödel, Inhaber IT Security & Awareness, klärt über Fehler sowie sinnvolle Schutzmaßnahmen auf.

Anzeige

Herr Schrödel, würden Sie selbst beim Einkauf im Supermarkt mit Ihrem Fingerabdruck zahlen?
Tobias Schrödel: Ja, wenn es sich um eine Firma handelt, der ich vertraue und die eine gewisse Größe hat. In einem Supermarkt, in dem ich regelmäßig einkaufe und von dem ich weiß, dass das Unternehmen auch etwas in Sachen IT-Sicherheit unternimmt, würde ich durchaus mit meinem Fingerabdruck zahlen. Wenn ein Schaden auftritt, rechne ich dann aber auch mit großer Kulanz seitens des Handels, so wie das Banken bei Angriffen auf das Online-Banking oder auf Geldautomaten heute schon machen.

Der Lebensmittelhandel träumt vom gläsernen Kunden. Wir Deutsche jedoch ticken anders als andere Nationen. Werden wir uns dennoch stärker anfreunden können mit der Preisgabe unserer Daten zu Gunsten der eigenen Bequemlichkeit?
Die US-amerikanischen Verbraucher sind völlig anders eingestellt als wir und verstehen überhaupt nicht, warum wir hier Probleme mit Datenschutz haben. Ich bin aber davon überzeugt, dass sich auch deutsche Verbraucher künftig viel weniger Gedanken über die Verbreitung ihrer Daten machen werden, da diese eben schon überall vorhanden sind. Payback ist sicherlich ein Beispiel hierfür. Hier werden ja bereits sehr bewusst die eigenen Daten preisgegeben und das nur, um sich den kostenlosen Milchaufschäumer für den Cappuccino zu sichern. Dennoch möchten Verbraucher nicht, dass diese Daten dann an einen Dritten weitergegeben werden oder gar öffentlich zur Verfügung stehen.

Werden die Aspekte Daten- und IT-Sicherheit in Zukunft bedeutende Kriterien sein, um sich als Unternehmen im Wettbewerb zu profilieren?
Ich glaube, dass das Vertrauen hier eine entscheidende Rolle spielt. Jeder Verbraucher weiß im Grunde, dass es eine 100-prozentige Sicherheit nicht geben kann. Das Entscheidende ist, wie geht das Unternehmen damit um, wenn es zu einem Vorfall kommt. Wenn der Kunde den Eindruck hat, es wird etwas unter den Teppich gekehrt und er erst durch dritte Parteien erfährt, dass vor einem halben Jahr etwas passiert ist, ist das Vertrauen verloren. Denn ich frage mich, was haben die zu verbergen. Ein ehrlicher Umgang mit allen Betroffenen ist wichtig. Man sollte offen sagen, hier haben wir ein Problem, aber wir kümmern uns darum und arbeiten daran, uns zu verbessern.

Wie groß ist die Bedrohung von Wirtschaftsunternehmen, insbesondere des Lebensmittelhandels, hierzulande durch Hacker?
Immer mehr Wirtschaftsunternehmen sind von Cyber-Angriffen betroffen, das zeigen Umfragen. Knapp drei Viertel der befragten Unternehmen hatten demnach bereits Datenverluste zu beklagen. Das sind aber nur die, die es gemerkt haben. In vielen Fällen geschieht das jedoch nicht durch einen Hacker-Angriff, sondern durch schlechten Umgang von Mitarbeitern mit Daten. Eine aktuelle Studie von EY Ernst & Young hat zudem ergeben, dass bei rund 31 Prozent der Wirtschaftsunternehmen 2013 die entdeckten Cyber-Angriffe um mindestens 5 Prozent zugenommen haben. In beiden Fällen können Sie davon ausgehen, dass die Dunkelziffer noch höher ist.

Was ist im Falle eines festgestellten Datenabflusses zu tun?
Wenn es sich um einen Angriff von außen handelt, sollten unbedingt die Behörden eingeschaltet werden, konkret beim Verfassungsschutz die Abteilung für Wirtschaftskriminalität. Viele Firmen verschweigen einen Verdacht noch immer, da sie z. B. Angst haben, ein nicht legal kopierter Film könnte auf dem Rechner des Mitarbeiters entdeckt werden. Seien Sie jedoch sicher, so etwas interessiert den Verfassungsschutz nicht, denn im Gegensatz zur Polizei ist er dabei nicht zu Ermittlungen verpflichtet. Es geht ihnen ausschließlich um den Schutz unserer Wirtschaft, und zu erfahren, wie die Angreifer vorgegangen sind. Ansonsten ist grundsätzlich in § 42 Bundesdatenschutzgesetz geregelt, dass im Falle eines Verlusts von personenbezogenen Daten die Information der betroffenen Personen Pflicht ist. Wenn Sie die nicht kennen, müssen Sie das sogar mit zwei halbseitigen Anzeigen in überregionalen Zeitungen tun.