Sie sind hier: Startseite > Arbeitsfelder > Spionageabwehr > Archiv  > Archiv 2015 > Sicherheit und Datenschutz in der Wirtschaft

Sicherheit und Datenschutz in der Wirtschaft

Spionageabwehr/Materieller Geheimschutz     2 | 2015

Die jüngsten Geheimdienstskandale haben die Herausforderungen der Informationssicherheit wieder in den Fokus der Öffentlichkeit gerückt. Das Landesamt für Verfassungsschutz gibt im Rahmen seiner Präventionsarbeit seit jeher Hinweise bezüglich der Brisanz jener Problemstellungen und zeigt der Wirt-schaft verschiedene Möglichkeiten auf, entsprechende Vorkehrungen zum Schutz sensibler Informationen zu treffen. Nun wurde dieses Thema auch von der renommierten Analystenfirma techconsult GmbH in Kooperation mit dem Heise Zeitschriften Verlag (heise Security) näher betrachtet. Unter anderem wurde der Selbsttest „heise Security Consulter“ entwickelt, der kleinen und mittleren Unternehmen (KMU) eine Bestandsaufnahme in Sachen IT-Sicherheit und Datenschutz ermöglichen soll. Nach der Beantwortung von über 50 Fragen erhält der Teilnehmer eine Bewertung des gegenwärtigen Zustands relativ zum Branchendurchschnitt. Diesen ermittelten die Mitarbeiter von techconsult vorab in einer repräsentativen Studie „Security Bilanz Deutschland“.

1. Der Status Quo im Bereich der IT-Sicherheit im deutschen Mittelstand

Die Studie sowie auch die Auswertung des heise Security Consulters zeigen, dass im wirtschaftlichen Mittelstand die Sensibilität für die Bedeutung von aktuellen Bedrohungsszenarien wie Cyberattacken relativ gering ist. Im Vergleich zum Gesamtschnitt messen insbesondere der Handel, öffentliche Verwaltungen und Non-Profit-Unternehmen diesem Gefahrenpotenzial besonders wenig Relevanz bei. In den Betrieben herrscht ein Umsetzungsgefälle zwischen operativ und strategisch tätigen Arbeitsbereichen, so weisen Marketingabteilungen im Regelfall größere Schwierigkeiten bei der Implementierung von Sicherheitsmaßnahmen auf als beispielsweise der IT-Bereich selbst. In der Gesamtschau lässt sich darüber hinaus konstatieren, dass in allen maßgeblichen Handlungsbereichen massive Defizite bestehen.

Technische Maßnahmen und Lösungen
Bereits bei der Umsetzung wenig komplexer technischer Lösungen wie Anti-Malware-Tools besteht ein deutlicher Nachholbedarf. Rund 60 Prozent der befragten Teilnehmer muss somit ein nicht ausreichender Basisschutz bescheinigt werden. Anspruchsvollere technische Lösungen werden von der Mehrheit der mittelständischen Betriebe nicht oder lediglich mangelhaft umgesetzt. Mehr als die Hälfte der befragten Unternehmen haben massiven Nachholbedarf bei der Umsetzung von Verschlüsselungslösungen. Sehr anspruchsvolle Lösungen, etwa Unified Threat Management, Intrusion Detection oder Data-Loss-Prevention, sind bei der Majorität der Firmen gar nicht oder unzureichend in den Arbeitsalltag implementiert...

Organisatorische Maßnahmen und Lösungen
Organisatorische Maßnahmen, beispielsweise die Klassifizierung von Daten und Prozessen, die Mitarbeitersensiblisierung sowie der Einsatz von Richtlinien und die Erprobung von Ernstfallszenarien, kommen im überwiegenden Teil der befragten Unternehmen nicht zum Einsatz.

Rechtliche Maßnahmen und Lösungen
Bei der juristischen Absicherung durch die Festlegung von Zuständigkeiten und Haftungsfragen im Ernstfall sowie durch den Einsatz von Geheimhaltungsabsprachen weist mehr als der Hälfte der Betriebe massive Schwierigkeiten auf.

Strategische Maßnahmen und Lösungen

Strategische Maßnahmen, z. B. die Festlegung einer unternehmensweiten IT-Sicherheits-Strategie oder eine ausreichende Berücksichtigung des Personal- und Budgetbedarfs im IT-Security-Bereich, werden bei rund 60 Prozent der befragten Unternehmen nicht hinreichend umgesetzt.

2. Tipps des Wirtschaftsschutzes beim LfV Baden-Württemberg

Aufgrund der oben genannten Erkenntnisse und Deutschlands starker wirtschaftlicher Stellung in der Welt herrscht in der hiesigen Ökonomie eine besonders ausge-prägte Spionagegefahr. Insbesondere Baden-Württemberg mit seinen zahlreichen innovativen Unternehmen, z. B. aus der Automobilbranche, oder auch sonstigen Forschungseinrichtungen sowie der im Südwesten äußerst stark vertretene Finanzsektor sollten dieser Gefahren entsprechend begegnen.

Hierbei ist ein umfassendes Sicherheitskonzept von zentraler Bedeutung, das alle maßgeblichen Handlungsfelder – folglich organisatorische, rechtliche, technische und strategische Lösungen – ausreichend berücksichtigen muss. Besonders wichtig ist der Faktor Mensch. Mitarbeiter sind nicht nur eine mögliche Gefahrenquelle, sie sind vielmehr ein wichtiger Baustein eines umfassenden Konzepts zur Informationssicherheit. Sofern den Mitarbeitern bewusst ist, dass sich ihr Verhalten auf die Sicherheit der Unternehmensdaten auswirkt, lassen sich gemeinsam Regelwerke erarbeiten, die sowohl den Anforderungen der IT-Sicherheit genügen als auch den reibungslosen Ablauf des Tagesgeschäfts sichern. Technische Lösungen müssen auf der einen Seite für den Ernstfall vorgehalten werden, aber die zeitlichen und personellen Ressourcen, diese auch einzusetzen, müssen zusätzlich generiert werden. Übungen und Ernstfallsimulationen sind das Mittel der Wahl, um zu überprüfen, ob Notfallpläne und -prozeduren auch in der Praxis funktionieren. Die Sicherheit von Informationen muss fortwährend gewährleistet sein.

Bedrohungsszenarien ändern sich, Angreifer werden durch guten Schutz in einem Bereich genötigt, alternative Angriffsflächen zu suchen – die Unternehmens-IT sieht sich somit täglich mit neuen Herausforderungen konfrontiert. Entsprechend müssen Sicherheitskonzepte kontinuierlich überprüft und weiterentwickelt werden. Externe Dienstleister können hier einen Mehrwert darstellen. Ebenso bietet das Landesamt für Verfassungsschutz Informationsgespräche und Vorträge zu diesem Themenbereich an. Beratungswünsche nimmt das Landesamt unter der Rufnummer 0711/95 44-301 entgegen.

Weitere Informationen finden Sie im Internet unter www.heise.de und www.verfassungsschutz-bw.de.