Datendiebstahl. Immer häufiger dominiert der Begriff die Schlagzeilen. Was sich ändert, sind die mit dem Unwort verbundenen Namen der Wirtschaftskonzerne, die den Attacken zum Opfer fallen – darunter auch immer wieder Unternehmen des Lebensmittel-Einzelhandels. Ziel der Angriffe sogenannter Cyber-Piraten auf die Computernetzwerke und Server ist die Erbeutung von Kundendaten oder wettbewerbsrelevanten internen Informationen.
Wer den Namen der eigenen Firma in diesem Zusammenhang in den Medien wiederfindet, hat sowohl mit einem wirtschaftlichen Schaden als auch einem enormen Imageverlust zu kämpfen. Nicht zuletzt die Enthüllungen von Edward Snowden haben Verbraucher sensibler gemacht für das Thema Datenschutz. Was dieser Supergau unterm Strich kosten kann, erfuhr unlängst die US-amerikanische Warenhauskette Target.
Rund 1 Mrd. US-Dollar – ein Drittel des Jahresgewinns – verlor Target nach eigenen Angaben durch einen Hacker-Angriff in der Vorweihnachtszeit des vergangenen Jahres. 40 Mio. Daten von Kredit- und Bankkarten sowie Postadressen, Telefonnummern und E-Mail-Adressen von bis zu 70 Mio. Kunden hatten die Angreifer im Laufe weniger Wochen erbeutet, musste die Warenhauskette einräumen. Die Folgen: Die Verkäufe gingen nach Bekanntwerden des Datenklaus nach Aussagen des Unternehmens signifikant zurück. 61 Mio. USD gab Target allein für die Aufklärung der Cyber-Attacke und Schutzmaßnahmen aus. Welche langfristigen Auswirkungen der Vertrauensverlust seitens der Kunden nach sich zieht, ist noch unklar.
Ein Beispiel, das weit weg erscheint? Weit gefehlt. Dass die Bedrohung durch Cyber-Kriminalität hierzulande in den vergangenen Jahren weiter zugenommen hat, zeigen die Analysen des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Immer stärker nehmen Angreifer demnach die deutsche Wirtschaft ins Visier, „wobei gerade auch mittelständische Unternehmen in besonderem Maße von Wirtschaftsspionage, Konkurrenzausspähung, aber auch Erpressung betroffen sind“, heißt es im Bericht „Fokus IT-Sicherheit 2013“. Dabei seien eine gesteigerte Zielorientierung und Qualität der Angriffe zu beobachten.
Ein Lied davon singen kann die Rewe Group. Im Februar 2014 geriet der Konzern durch den Erpressungsversuch eines Datendiebs in die Schlagzeilen. Dieser hatte sich in den privaten E-Mail-Account eines Aufsichtsratsmitglieds eingehackt und Rewe-Chef Alain Caparros mit der Veröffentlichung der Informationen – angeblich zu den Expansionsplänen der Kölner – gedroht, sollte man seiner Geldforderung nicht nachkommen. Der Konzern reagierte gelassen, ließ den Angreifer abblitzen: „Die mit krimineller Energie beschafften Daten beziehungsweise Informationen sind zwar unternehmensintern, aber in keiner Weise dazu geeignet, Druck auf unser Unternehmen auszuüben“, kommentierte ein Unternehmenssprecher den Vorfall, der somit zumindest keinen wirtschaftlichen Schaden mit sich zog.
Lehrgeld hatten die Kölner jedoch bereits zahlen müssen, als im Juli 2011 zuerst zwei Rewe-Bildertauschbörsen gehackt und danach zahlreiche Datensätze von Rewe-Kunden mit E-Mail-Adressen und Passwörtern ins Internet gestellt und kurz darauf ein Einbruch in den Server der Discounttochter Penny entdeckt worden waren. Danach sind die Sicherheitsvorkehrungen nach Angaben des Unternehmens „massiv verschärft“ worden. Der erneute Vorfall zeigt also umso deutlicher die neue Angriffslust der Cyberkriminellen.
Welche Konsequenzen der Konzern aus der erneuten Attacke ziehen wird, dazu schweigen die Kölner. Zu dem „sensiblen, strategischen und unternehmenssicherheitsrelevanten Themenbereich“ IT- und Datensicherheit äußere man sich grundsätzlich nicht. Auch Edeka, Globus oder Kaiser’s Tengelmann lassen sich nicht in die Karten schauen. Dass sie mit der Problematik seltener zu kämpfen haben, ist wenig wahrscheinlich.
„Eine aktuelle Unternehmens-Umfrage von EY (Ernst & Young) kam zu dem Ergebnis, dass bei 31 Prozent der Wirtschafts-Unternehmen in den vergangenen 12 Monaten die entdeckten Cyberangriffe um mindestens 5 Prozent angestiegen sind“, erklärt IT-Experte Tobias Schrödel im LP-Interview (S. 40). Da es sich hier lediglich um die erkannten Angriffe handelt, dürfte die Dunkelziffer weitaus höher sein, ist sich Schrödel sicher. Das Fortschreiten der Technik lässt die Gefahren weiter wachsen. „45 Prozent der von EY befragten Unternehmen sagen, dass mobile Geräte wie Smartphones das Risiko von Datenverlust am meisten erhöht haben“, fasst Schrödel die Ergebnisse des EY Global Information Security Survey (GISS-Report) zusammen, einer Umfrage unter knapp 2.000 Unternehmen, 220 davon aus den Bereichen Groß- und Einzelhandel.
Entwicklungen, die das Handelsunternehmen Tegut bestätigen kann. Die Fuldaer haben in den vergangenen Monaten eine erneute Steigerung der Anzahl der Cyberangriffe verzeichnet. „Die geblockten Requests an der Firewall sind angestiegen. Weiterhin wurde festgestellt, dass automatisierte Manipulationen versucht werden“, berichtet Benjamin Beinroth, Leiter der Tegut Informationstechnologie.
Bei der Metro Group ist es in den vergangenen Monaten ruhig geblieben. „Glücklicherweise konnten wir in den vergangenen Monaten keinen messbaren Anstieg von Cyberattacken feststellen“, erklärt Christoph Schlossarek, Leiter Konzernsicherheit bei der Metro Group. Dem Thema Datensicherheit komme bei dem Konzern seit je her eine große Bedeutung zu, sowohl in Bezug auf die Kundendaten als auch internen Betriebs- und Geschäftsgeheimnisse. „Nur mit entsprechender Sicherheit in den Systemen und Daten können wir unseren Kunden das Gefühl geben, bei uns sicher einzukaufen. Gerade im Hinblick auf die elektronischen Vertriebskanäle wird diesem Thema bei der Metro Group größte Aufmerksamkeit geschenkt.“
Tatsächlich gewinnt das Thema Cyberkriminalität insbesondere für den Online-Handel an Brisanz. Knapp 70 Prozent der Online-Händler in Deutschland waren bereits Opfer von Cyberkriminalität, so das Ergebnis der Studie „Betrugserkennung im Online-Shop“ des Händlerbundes aus dem vergangenen Jahr. Bedenklich: 85 Prozent der befragten Shop-Betreiber nutzen noch keine Form zur Betrügererkennung.
Dass das Bewusstsein für die gestiegenen Herausforderungen an die IT-Sicherheit noch nicht in allen Unternehmen vorhanden ist, zeigt Schrödel zufolge der aktuelle GISS-Report von EY: „Demnach erhöhen 43 Prozent der Unternehmen 2014 ihr Budget für Cyber-Sicherheit, 65 Prozent sagen aber, dass es von Jahr zu Jahr schwieriger wird, die Höhe des Budgets weiterhin zu erhalten, da das Verständnis in der Geschäftsführung nicht da ist.“
Bei der Metro Group ist das Thema Chefsache. „IT- und Datensicherheit genießt im Konzern einen hohen Stellenwert. Operativ wird das Thema direkt von der Ebene unterhalb des Vorstandes verantwortet, strategisch befasst sich der Vorstand selbst damit“, sagt Schlossarek. Auch bei Tegut ist IT- und Datensicherheit heute auf der Führungsebene angesiedelt. „Der steigende Vernetzungsgrad, hohe Abhängigkeiten der Geschäftsprozesse von IT-Prozessen, die Mobilität der Endgeräte sowie das Nutzungs- und Know-how-Profil der Anwender haben das Thema in den Fokus der IT-Führung gebracht“, erklärt Beinroth die Hintergründe. Investiert hat das Fuldaer Unternehmen in folgende Sicherheitsvorkehrungen: die „Zentralisierung der Daten, Verschlüsselung von Notebooks, Mobile Device Management (MDM), Aufrüstung der Firewall, Segmentierung der internen Netze in Sicherheitszonen, Viren- und Hackerschutz, Notfallkonzepte und IT-Risikoanalyse“, zählt Beinroth auf.
Damit geht Tegut bereits weiter als viele andere deutsche Unternehmen, zeigt eine EY-Umfrage von 2013 unter Führungskräften aus IT-Sicherheit und Datenschutz von 400 deutschen Unternehmen. Demnach sind es bisher vor allem Standardmaßnahmen wie Firewalls oder Komplexitätsanforderungen für Passwörter, die von der Mehrheit der Unternehmen (je rund 85 Prozent, vgl. Grafik S. 59) umgesetzt wurden. Umfassendere Schutzvorkehrungen wie Intrusion Detection bzw. Prevention Systeme, die Hinweise auf die Aktivitäten von Eindringlingen geben können, leisten sich jedoch lediglich 13 bzw. 12 Prozent der Unternehmen, eine eigene Sicherheitsabteilung gibt es nur bei 14 Prozent der Unternehmen.
Die Sensibilisierung der Mitarbeiter für die Gefahren von internen IT-Sicherheitslücken – für Experte Schrödel eine elementare Stellschraube – hat gerade mal jedes zweite Unternehmen im Blick. Ein Versäumnis, das geradezu an grobe Fahrlässigkeit grenzt. Schließlich ist eine Kette bekanntermaßen nur so stark, wie ihr schwächstes Glied – in diesem Falle im Zweifel der Mitarbeiter, der ein einfachstes Passwort für mehrere Dienste nutzt oder über einen unternehmensfremden USB-Stick Viren bzw. Schadsoftware einschleppt – zwei der beliebtesten Beispiele von IT-Spezialisten wie Schrödel für interne Sicherheitslücken, die schnell zum Einfallstor für Angreifer werden können.
Bei der Metro Group liegt hierauf ein besonderer Fokus. Die Düsseldorfer schulen ihre Mitarbeiter umfangreich und sensibilisieren sie für das Thema IT-Sicherheit, z. B. auch im Umgang mit Social Media und der Verschlüsselung von E-Mails, erklärt der Leiter Konzernsicherheit, Schlossarek. Anforderungen an die Mitarbeiter sind eine gewisse Komplexität der verwendeten Passwörter sowie deren regelmäßige Änderung. Darüber hinaus werde der Anschluss externer Datenträger geblockt.
Klar ist jedoch: die Schlacht um IT- und Datensicherheit gilt es jeden Tag aufs neue zu schlagen. Mit der rasanten Weiterentwicklung der Informationstechnik wird die digitale Selbstverteidigung noch schwieriger. Die Frage nach dem nächsten Angriff auf das eigene Netzwerk ist nicht „ob“, sondern „wann“ dieser geschieht. „Eine ausreichende IT-Sicherheit ist Voraussetzung, um als Unternehmen bestehen zu können. Die Herausforderung ist, in der gleichen Geschwindigkeit IT-Sicherheit aufzubauen, wie die Risiken und Gefahren wachsen“, ist sich der Leiter der Tegut Informationstechnologie, Benjamin Beinroth, sicher.
Nach Meinung der Experten von EY müssen sich Wirtschaftsunternehmen bei ihren Schutzmaßnahmen bereits stärker um die Cyber-Risiken von morgen kümmern. Noch immer seien die Maßnahmen zu reaktiv, ausgerichtet auf bereits bekannte Gefahren. Zu den Technologien und Trends, die IT- und Datensicherheits-Experten der Unternehmen künftig im Auge haben müssten, zählten u. a. Big Data (das Management riesiger Mengen von Kundendaten), Bring your own Cloud (neue Konzepte, die es Mitarbeitern erlauben, öffentliche oder private, unternehmensfremde Datenwolken zur Datenspeicherung zu nutzen) und digitale Währungen, heißt es im GISS-Report von EY.
Eine beruhigende Nachricht kommt von Seiten der Versicherungswirtschaft. Maßgeschneiderte Versicherungslösungen decken mögliche Cyber-Risiken, beispielsweise durch Hacker-Angriffe, Datendiebstahl und Datenmanipulation, ab, informiert die auf Risikomanagement spezialisierten Unternehmensberatung Funk RMCE Firewall: Software, die ein Rechnernetz oder einen einzelnen Computer vor unerlaubte Netzwerkzugriffen von außen und somit interne Daten schützt. Die Software überwacht den durch die Firewall laufenden Datenverkehr und entscheidet anhand festgelegter Regeln, ob bestimmte Datenpakete durchgelassen werden oder nicht.
Intrusion Detection Systeme (IDS): System zur Erkennung von Angriffen, die gegen ein Computersystem oder Computernetz gerichtet sind. Alles was im Netzwerk anormal ist, sollte von dem IDS-System erkannt und protokolliert werden.
Intrusion Prevention Systeme (IPS): Im Gegensatz zu einem IDS hat das Intrusion Prevention System (IPS) keine überwachende und alarmauslösende Funktion, sondern überwacht die ein- und ausgehenden Datenpakete der Netzwerk-Komponenten. Angriffe und vom normalen Datenverkehr abweichende Bitmuster werden über Signaturen erkannt und blockieren den Datenverkehr.
Penetration Tests: Prüfung der Sicherheit von Systembestandteilen und Anwendungen eines Netzwerks- oder Softwaresystems mit Mitteln und Methoden, die ein Angreifer anwenden würde, um unautorisiert in das System einzudringen (Penetration genannt).
Zertifizierung nach BSI-Standard: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in den vergangenen Jahren ein Zertifizierungsschema für IT-Grundschutz veröffentlicht. Informationen unter www.bsi.bund.de
