Inhaltsübersicht
Herr Schrödel, würden Sie selbst beim Einkauf im Supermarkt mit Ihrem Fingerabdruck zahlen?
Tobias Schrödel: Ja, wenn es sich um eine Firma handelt, der ich vertraue und die eine gewisse Größe hat. In einem Supermarkt, in dem ich regelmäßig einkaufe und von dem ich weiß, dass das Unternehmen auch etwas in Sachen IT-Sicherheit unternimmt, würde ich durchaus mit meinem Fingerabdruck zahlen. Wenn ein Schaden auftritt, rechne ich dann aber auch mit großer Kulanz seitens des Handels, so wie das Banken bei Angriffen auf das Online-Banking oder auf Geldautomaten heute schon machen.
Der Lebensmittelhandel träumt vom gläsernen Kunden. Wir Deutsche jedoch ticken anders als andere Nationen. Werden wir uns dennoch stärker anfreunden können mit der Preisgabe unserer Daten zu Gunsten der eigenen Bequemlichkeit?
Die US-amerikanischen Verbraucher sind völlig anders eingestellt als wir und verstehen überhaupt nicht, warum wir hier Probleme mit Datenschutz haben. Ich bin aber davon überzeugt, dass sich auch deutsche Verbraucher künftig viel weniger Gedanken über die Verbreitung ihrer Daten machen werden, da diese eben schon überall vorhanden sind. Payback ist sicherlich ein Beispiel hierfür. Hier werden ja bereits sehr bewusst die eigenen Daten preisgegeben und das nur, um sich den kostenlosen Milchaufschäumer für den Cappuccino zu sichern. Dennoch möchten Verbraucher nicht, dass diese Daten dann an einen Dritten weitergegeben werden oder gar öffentlich zur Verfügung stehen.
Werden die Aspekte Daten- und IT-Sicherheit in Zukunft bedeutende Kriterien sein, um sich als Unternehmen im Wettbewerb zu profilieren?
Ich glaube, dass das Vertrauen hier eine entscheidende Rolle spielt. Jeder Verbraucher weiß im Grunde, dass es eine 100-prozentige Sicherheit nicht geben kann. Das Entscheidende ist, wie geht das Unternehmen damit um, wenn es zu einem Vorfall kommt. Wenn der Kunde den Eindruck hat, es wird etwas unter den Teppich gekehrt und er erst durch dritte Parteien erfährt, dass vor einem halben Jahr etwas passiert ist, ist das Vertrauen verloren. Denn ich frage mich, was haben die zu verbergen. Ein ehrlicher Umgang mit allen Betroffenen ist wichtig. Man sollte offen sagen, hier haben wir ein Problem, aber wir kümmern uns darum und arbeiten daran, uns zu verbessern.
Wie groß ist die Bedrohung von Wirtschaftsunternehmen, insbesondere des Lebensmittelhandels, hierzulande durch Hacker?
Immer mehr Wirtschaftsunternehmen sind von Cyber-Angriffen betroffen, das zeigen Umfragen. Knapp drei Viertel der befragten Unternehmen hatten demnach bereits Datenverluste zu beklagen. Das sind aber nur die, die es gemerkt haben. In vielen Fällen geschieht das jedoch nicht durch einen Hacker-Angriff, sondern durch schlechten Umgang von Mitarbeitern mit Daten. Eine aktuelle Studie von EY Ernst & Young hat zudem ergeben, dass bei rund 31 Prozent der Wirtschaftsunternehmen 2013 die entdeckten Cyber-Angriffe um mindestens 5 Prozent zugenommen haben. In beiden Fällen können Sie davon ausgehen, dass die Dunkelziffer noch höher ist.
Was ist im Falle eines festgestellten Datenabflusses zu tun?
Wenn es sich um einen Angriff von außen handelt, sollten unbedingt die Behörden eingeschaltet werden, konkret beim Verfassungsschutz die Abteilung für Wirtschaftskriminalität. Viele Firmen verschweigen einen Verdacht noch immer, da sie z. B. Angst haben, ein nicht legal kopierter Film könnte auf dem Rechner des Mitarbeiters entdeckt werden. Seien Sie jedoch sicher, so etwas interessiert den Verfassungsschutz nicht, denn im Gegensatz zur Polizei ist er dabei nicht zu Ermittlungen verpflichtet. Es geht ihnen ausschließlich um den Schutz unserer Wirtschaft, und zu erfahren, wie die Angreifer vorgegangen sind. Ansonsten ist grundsätzlich in § 42 Bundesdatenschutzgesetz geregelt, dass im Falle eines Verlusts von personenbezogenen Daten die Information der betroffenen Personen Pflicht ist. Wenn Sie die nicht kennen, müssen Sie das sogar mit zwei halbseitigen Anzeigen in überregionalen Zeitungen tun.
Vorsorge ist das oberste Gebot. Wie sind deutsche Unternehmen aufgestellt gegen Gefahren für die IT-Sicherheit?
Jedes größere Unternehmen hat heute eine eigene IT-Abteilung. Darin arbeiten in der Regel gut ausgebildete IT-Spezialisten, die wissen, was sie tun, sieben Tage die Woche zur Verfügung stehen, und es gibt Systeme wie Firewalls, Intrusion-Detection-Systeme (Angriffserkennungssysteme) etc. Wenn aber interne Sicherheitslücken bestehen, weil Mitarbeiter unachtsam mit ihren Passwörtern umgehen, kann auch die beste IT-Abteilung nichts ausrichten. Hierfür muss ein Bewusstsein geschaffen werden.
Wie steht es um kleinere Unternehmen?
Bei kleinen und mittelständischen Unternehmen sieht es zwangsläufig oft anders aus, denn dort gibt es nicht immer eine IT-Abteilung. Aber auch hier kann viel erreicht werden durch die Sensibilisierung der Mitarbeiter und wichtige Basis-Maßnahmen.
Welche Maßnahmen sind dies?
Zunächst muss jeder Zugang, der in den Backend-Bereich eines Netzwerks führen kann, versteckt und geschützt werden. Zweitens müssen sichere Verbindungen von außen durch Firmenlaptops auf das Unternehmens-Netzwerk gewährleistet sein, d.h. es müssen hochgradig verschlüsselte Zugänge installiert werden. Virenschutz und Firewall setze ich jetzt einfach mal voraus. Vor allem jedoch gilt es, die Mitarbeiter zu sensibilisieren, zu vermitteln, warum die Sicherheitsmaßnahmen wichtig sind und wie sie die Daten der Firma schützen können. Viren, die durch USB-Sticks von extern eingeschleppt werden können, stellen z. B. eine Gefahr dar. Oft werden deshalb die USB-Ports zugeklebt. Dies führt schnell zu Unverständnis und dem Gefühl, gegängelt zu werden. Schließlich muss man beispielsweise als Außendienstmitarbeiter oft digitale Kataloge und Ähnliches zum Kundenbesuch mitnehmen. Wenn der Mitarbeiter die Risiken und Konsequenzen aber verstanden hat, wird er einen USB-Stick, der bei seinem Kunden im Rechner steckte, erst auf Viren prüfen, bevor er ihn wieder in seinem eigenen Netzwerk ansteckt, und dann sind so drastische Maßnahmen nicht nötig.
Welche Fehler werden am häufigsten in Unternehmen gemacht, und was können diese dagegen tun?
Häufige Gefahren gehen unter anderem von externen Webmail-Zugängen aus. Werden diese Zugänge nicht geschützt, kann ich mich relativ leicht darüber einhacken, weil irgendein Mitarbeiter schon ein schlechtes, weil zu erratendes, Passwort haben wird. Das gleiche gilt für den Zugang zum Smartphone, auf dem heutzutage ja auch brisante Informationen und Kontaktdaten liegen. Übrigens, entsprechende Programme brauchen zum Knacken lokaler Zugänge oder Dateien bei vierstelligen Kennwörtern, die nur aus Buchstaben oder Zahlen bestehen, maximal drei Sekunden. Hat das Kennwort jedoch acht Stellen und Sonderzeichen, dauert es schon über 24 Jahre. Da sieht man die Wichtigkeit komplexer und langer Kennwörter. Wichtig ist natürlich auch, dass man das Passwort regelmäßig – etwa alle sechs Monate – ändert. Darüber hinaus stelle ich immer wieder fest, wie unbedacht viele unterwegs am Handy über firmeninterne Informationen sprechen oder im Zug am Laptop mit sensible n Daten arbeiten, die der Sitznachbar einsehen kann. Auch dieses Thema gehört zu einer Mitarbeiterschulung.
Wie viel muss ein Unternehmen in etwa in IT-Sicherheit investieren?
Das kommt natürlich auf die Größe des Unternehmens an, die Kundenzahl etc. Zunächst muss der Wert der Daten im Unternehmen ermittelt werden, was es an Einbußen kostet, wenn der Wettbewerb diese hat. Wie viel dann in Schutzmaßnahmen investiert werden soll, ist Chef-Sache. Grundsätzlich gilt, wenn Sie die IT-Sicherheit hoch setzen, wird es weniger komfortabel. Man sollte daher immer die Frage stellen, ob der Aufwand in Relation steht zu dem Schaden, der entstehen könnte.
Bitte geben Sie ein Beispiel...
Wenn ich beispielsweise einen 5-kg-Schinken kaufe und mit einem vorab selbst gedruckten Barcode mit einem günstigeren Preis in den Markt komme und diesen statt des original Codes scannen lasse, entsteht dem Händler ein Schaden. Ob dieser es aber finanziell und vom Aufwand her rechtfertigt, die Waagen in den Frische-Abteilungen mit den Check-outs zu koppeln, bezweifle ich. Man muss immer noch die Kirche im Dorf lassen.
Wie sinnvoll sind IT-Sicherheits-Audits?
Umfassende Audits sind relativ teuer. Hierfür sind schnell fünf bis sechs Spezialisten für Netzwerke, Router etc. eine Woche lang beschäftigt. Das bedeutet Investitionen von 20.000 bis 40.000 Euro. Es gibt aber auch kleine Audits, die grundlegende Kriterien prüfen: Ist die Firewall auf dem neuesten Stand oder offen? Gibt es offene Ports, die zu einem Einfallstor werden können? Grundsätzlich ist es sinnvoll, sein Netzwerk regelmäßig prüfen zu lassen.
Bilder zum Artikel
