Cyber-Kriminalität - 27. Februar 2014

Bloß nichts übersehen

Seit 2007 haben sich die Straftaten, die über das Internet begangen wurden und bekannt geworden sind, verdoppelt, so eine Studie. Trotz aller Sicherheits­vor­kehrungen schaffen es Angreifer immer wieder, auf Unter­nehmens­daten zuzugreifen. Wie ist das möglich?

Die Zahlen und Warnungen des Bundeskriminalamtes sind ernst zu nehmen. Einer Schätzung des US-amerikanischen Software-Hauses Symantec zufolge, das das Antivirusprogramm Norton vertreibt, entstand 2013 allein in Deutschland ein Gesamtschaden von über drei Milliarden Euro durch Cyber-Kriminalität. Das ist eine enorme Summe.Die Erfahrungen in der Daten­schutz­beratung zeigen allerdings, dass Unternehmen und Mitarbeiter häufig Internet­angriffe durch fehlende Regelungen oder Fehlverhalten begünstigen. Vor allem die Leichtgläubigkeit und Unwissenheit der Mitarbeiter, aber auch falscher Ehrgeiz, ermöglichen Angreifern den Zugang zu wichtigen Informationen über IT-Systeme und damit zu den Unternehmensdaten.

Wie ist das zu verstehen?

Unter­nehmen und Mitar­beiter begüns­tigen Angriffe aus dem Netz durch mangelnde Rege­lungen und Fehl­verhalten.

Immer wieder erhalten Mit­arbeiter E-Mails mit folgendem oder ähn­lichem Wortlaut: „Sie haben Ihre Rechnung nicht bezahlt (s. Anlage)“. Anstatt den Absender und den Inhalt genauer unter die Lupe zu nehmen, wird die Anlage geöffnet und der Trojaner installiert.
Auch der Einsatz mobiler Geräte stellt in Verbindung mit unzu­reichenden Regelungen ein zunehmendes Risiko dar. Alle Arten von Daten werden auf USB-Daten­trägern, Smart­phones und Notebooks über­tragen oder per E-Mail in die ganze Welt versandt. Hier stellen vor allem die besonders eifrigen und gut meinenden Mit­ar­beiter ein hohes Sicherheits­risiko dar, weil der Datenschutz oft hinter den Kunden­wünschen rangiert. So wird aus Zeitgründen der Viren­scanner abgebrochen, auf eine Ver­schlüs­selung der Daten und Geräte verzichtet oder das mobile Gerät unbeo­bachtet und ungeschützt liegen gelassen.

Passwörter als Zugriffsschutz

Für kleine und mittelständische Unternehmen ist die Sicherstellung eines ausreichenden Zugriffsschutzes noch nicht selbstverständlich. Gerade der Umgang mit Passwörtern, dem meist einzigen System- und Datenschutz, ist häufig ungeeignet, die gewünschte Datensicherheit zu gewährleisten. Leider ist es immer noch üblich, Passwörter einfach zu gestalten, an Kollegen weiterzugeben oder in unsicheren Umgebungen zu nutzen. Hier müssen klare Regelungen festgelegt und überwacht, aber auch die Mitarbeiter regelmäßig sensibilisiert werden.
Eine weitere Gefahrenquelle sind die sozialen Netzwerke. Hier erhalten Angreifer häufig interne Informationen über Unternehmen und nutzen das Medium als Angriffsweg. Regelungen zum Umgang mit diesen Plattformen bestehen für viele Mitarbeiter nicht.

Mitarbeiterbindung zählt auch hier

Der tatsächliche Umfang des Datenschutzes im Unternehmen hängt sehr stark vom Engagement des Einzelnen ab. Erschreckend lesen sich in diesem Zusammenhang Studien, die davon ausgehen, dass im Durchschnitt 85 Prozent der Mitarbeiter bereits innerlich gekündigt haben, sprich, denen die Datensicherheit ihres Arbeitgebers schlicht gleichgültig ist. Neben einer schwindenden Produktivität führt die Unzufriedenheit der Mitarbeiter auch zu einem nach­lässigen Daten­schutz oder zu einer be­wussten Um­gehung, wenn es ihm bei­spiels­weise darum geht, zu belegen, was alles schief­läuft im Unternehmen.
Auch wenn die Medienberichte über die NSA-Vorfälle vielen Unternehmern kleiner und mittelständischer Betriebe häufig Hilflosigkeit und Ohnmacht signalisieren, lohnt es, Maßnahmen zum Schutz der Daten zu treffen, um die Unternehmenswerte zu schützen. Damit Mitarbeiter diesen Anforderungen gerecht werden können, sind verbindliche Regelungen zum Umgang mit Daten zu treffen, die von allen verstanden und umgesetzt werden können. Dazu gehören Leitlinien und Verfahrensanweisungen, beispielsweise zum Umgang mit Smartphones, E-Mails und Social Media. Darüber hinaus sollten Sicherheits- und Notfallmanagementsysteme eingeführt werden. Mitarbeiter sollten regelmäßig geschult und sensibilisiert werden, auch für den Fall, dass es doch einmal zu einer Datenpanne oder einem IT-Notfall kommt.

Mehr DAZU

E-Mail-Sicherheit im Mittelstand

Deutschland sicher im Netz e. V. (DsiN) veröffentlichte jüngst den Leitfaden „Verschlüsselung von E-Mails“. Er richtet sich an kleine und mittelständische Unternehmen (KMU) und gibt einen Überblick über die wichtigsten Aspekte zur E-Mail-Sicherheit. Damit reagieren die Herausgeber auf den großen Nachholbedarf der KMU. Weniger als die Hälfte sichert derzeit ihre E-Mail-Kommunikation. Diese Lücke bestätigte die DsiN-Studie „IT-Sicherheitslage im Mittelstand 2013“.

Der Leitfaden wurde im Rahmen des Projektes „Freie Berufe als Brückenbauer für IT-Sicherheit“ erstellt, das von der Task Force „IT-Sicherheit in der Wirtschaft“ des Bundesministeriums für Wirtschaft und Technologie unterstützt wird. Den neuen Leitfaden finden Sie unter www.datev.de/sicherheitsleitfaden

Unter www.dsin-blog.de finden Sie weitere Themen.

Seminare

Besuchen Sie ab Mitte März die Seminarreihe Cybersecurity
(Art.-Nr. 73189) mit Referenten der KPMG. Weitere Infos unter
www.datev.de/chef-seminare | Officemanagement und IT

Kontakt

Tel. +49 911 319-7051
www.datev.de/consulting | Datenschutz-Beratung

Zum Autor

WS
Werner Schmidgruber

Mitarbeiter der DATEV eG im Bereich Consulting, IT-Strategie, Datenschutz und Unternehmensmarkt

Weitere Artikel des Autors