Informationsrisiko-Index sieht deutsche Unternehmen am stärksten gefährdet

Cyber-Kriminalität hat in den letzten Jahren enorm zugenommen – die organisierte Kriminalität verdient in diesem Bereich nach Informationen des Präsidenten des Cyber-Sicherheitsrates Deutschland, Arne Schönbohm, mehr Geld als mit Drogenhandel. Umso beunruhigender ist es, dass deutsche Unternehmen laut des aktuellen Informationsrisiko-Index‘ die am schlechtesten gesicherten in ganz Europa sind.

Der sogenannte Reifeindex wurde zum dritten Mal von der Wirtschaftsprüfungsgesellschaft Pricewaterhouse-Coopers (PwC) und dem Informationsmanagement-Dienstleister Iron Mountain erstellt und hat ermittelt, inwiefern Unternehmen ein geeignetes Schutzniveau zur Verringerung von Informationsrisiken wie Datenverluste, Cyber-Angriffe oder Industriespionage aufweisen. Befragt wurden in Europa und Nordamerika je 600 mittelständische und 600 Großunternehmen. Während Deutschland im Jahr 2013 noch Rang drei im europäischen Vergleich belegte, liegt es in der aktuellen Untersuchung sowohl hinter Frankreich, Ungarn, Spanien, den Niederlanden und dem Vereinigten Königreich als auch hinter den Vereinigten Staaten und Kanada.

Wie können solche Übergriffe verhindert werden?

„Eine hundertprozentige Datensicherheit gibt es nicht“, sagt Dr. Dieter Steiner, IT-Security-Experte und CEO der SSP Europe, einem Spezialisten für hochsichere Datenaustauschlösungen. Steiner erläutert: „Besonders bei Großunternehmen agieren Datenspione extrem filigran und zielgerichtet, allerdings sind solche Angriffe sehr aufwendig. Zero-Day Exploit-Attacken beispielsweise, die unbekannte Sicherheitslücken in Softwareprogrammen nutzen, erfordern eine hohe Investition, denn die Informationen über solche Sicherheitslücken erzielen auf dem Schwarzmarkt vier bis sechsstellige Beträge. Viel häufiger sind daher Angriffe über Sicherheitslecks, die durch eine Informationsstrategie und konsequent durchgeführte Sicherheitsmaßnahmen verhindert werden könnten.“

Ähnlich wie beim Fußball ergeben sich auch in der Cyberkriminalität die meisten Angriffsoptionen durch Standardsituationen. SSP Europe hat daher eine Checkliste von Punkten zusammengestellt, die Unternehmen bei der Revision ihrer Datensicherheit überprüfen sollten.

Zwölf Maßnahmen für wirksamen Datenschutz gegen Wirtschaftsspionage

  1. Identifizierung der „schützenswerten Informationen“
    Der Informationsrisiko-Index bestätigt, dass nicht einmal die Hälfte der befragten Unternehmen eine individuell ausgearbeitete Informationsstrategie besitzt. Dies wäre jedoch eine Voraussetzung, um relevante Daten zu schützen und Missbrauch zu verhindern.
  2. Erstellen von Benutzerrollenkonzepten
    Wenn nicht festgelegt ist, welche Nutzer welche Art von Daten verarbeiten dürfen, kommt es häufig zu Sicherheitslücken durch unsachgemäße Handhabung beim Informationszugriff, der Weitergabe oder Speicherung.
  3. Regelmäßiges Einspielen von Patches, um Sicherheitslücken zu schließen
    Es klingt trivial, ist aber noch immer eine der häufigsten Schwachstellen in Unternehmen, denn wenn das Patch-Update nur auf einem einzigen Gerät übersehen wird, ensteht eine Sicherheitslücke; das gilt auch für mobile Endgeräte.
  4. Aktuellster Viren- und Firewallschutz
    Besonders in mittelständischen Unternehmen gehören Angriffe durch Viren, Würmer, Trojaner und Web-Apps zu den häufigsten Ursachen für Datenverluste. Daher sind konsequent durchgeführte Updates auf allen Geräten, auch den mobilen Endgeräten, Basis jeder Sicherheitsstrategie.
  5. Regelmäßige Auswertung sämtlicher Logfiles auf Angriffe
    Viele Unternehmen merken gar nicht, dass sie zum Opfer von Wirtschaftsspionage geworden sind – höchstens, wenn es bereits zu spät ist und eine Neuentwicklung, in die viel investiert wurde, plötzlich an anderer Stelle angeboten wird. Daher sollten Logfiles regelmäßig ausgewertet werden, um auffällige Aktivitäten feststellen zu können.
  6. Monitoring der Server in Echtzeit
    Der zeitnahe Eingriff zur Verhinderung eines Übergriffs kann allerdings in den meisten Fällen nur durch ein Server-Monitoring in Echtzeit umgesetzt werden.
  7. Einsatz von Enterprise-Mobility-Management-Lösungen
    Mobile Endgeräte bilden heute eine der größten Schwachstellen für viele Unternehmen. Nicht nur in Punkto Sicherheitsupdates, sondern auch bei der Datenübertragung und deren Speicherung, zum Beispiel durch automatische Datensynchronisation in vorinstallierten Cloudlösungen, ergeben sich Sicherheitsrisiken.
  8. Bewertung der IT von Geschäftspartnern
    Wenn bei der Zusammenarbeit mit Partnern gemeinsame Infrastrukturen oder Lösungen genutzt werden, entstehen durch die Vernetzung Risiken, die in der Informationsstrategie berücksichtigt werden sollten. Insbesondere Spionageangriffe erfolgen häufig über die schwächere Infrastruktur von Geschäftspartnern.
  9. Verschlüsselung von Daten client- und serverseitig sowie bei der Übermittlung
    Beim Datenaustausch zwischen Niederlassungen, mit mobilen Endgeräten sowie mit Partnern empfiehlt sich eine durchgängige Datenverschlüsselung: bei der Übertragung (Channel Encryption), auf dem Server, was auch für die Cloud-Speicherung gilt (Server-Side Encryption), sowie auf den Endgeräten der Anwender (Local Encryption).
  10. Alternativen zum (meist) unsicheren Datenaustausch per E-Mail oder FTP
    Grundsätzlich ist es sinnvoll, sich einer sicheren Collaboration-Plattform für den Datenaustausch zu bedienen beziehungsweise diese den Mitarbeitern zur Verfügung zu stellen. Das kann heute auch eine Business Cloud-Lösung sein. Denn wenn sie die oben genannten Kriterien zur Datenverschlüsselung erfüllt, ist sie wesentlich sicherer als viele Wege, auf denen Unternehmen alternativ Daten austauschen und ablegen – wie E-Mail-Anlagen, File-Server oder die häufig von Mitarbeitern genutzten, kostenfreien Cloudlösungen.
  11. Datenspeicherung in zertifizierten Rechenzentren
    Neben der Datenverschlüsselung ist auch der Ort, an dem die Daten vorgehalten werden, ein Sicherheitskriterium. Im Gegensatz zu Rechenzentren in den USA oder anderen Ländern müssen Datenzentren in Deutschland nach der ISO/IEC-Norm 27001 zertifiziert sein, die ein umfassendes Informationssicherheits-Managementsystem gewährleistet.
  12. Sensibilisierung der Mitarbeiter für das Thema Datenschutz
    Eine der größten und in vielen Unternehmen stark unterschätzten Bedrohungen für sensible Daten geht von den eigenen Mitarbeitern aus. Viele Anwender sind sich nicht bewusst, welche Sicherheitslücken sie beispielsweise durch unzureichend gesicherte mobile Endgeräte oder durch das Nutzen unsicherer Cloud-Lösungen schaffen. Schulungen und eine regelmäßige Auffrischung der Sicherheitsinformationen für Mitarbeiter sind daher unerlässlich. Auch die Aufmerksamkeit des Managements für das Thema Sicherheit muss wachsen: 47 Prozent der für den Informationsrisiko-Index befragten Firmen gaben an, dass das Thema Datensicherheit bei ihnen auf der Chefetage nur geringe Priorität besitzt.

„Wirtschaftsspionage findet immer stärker digital statt. Unternehmen müssen aufrüsten oder ihre Infrastruktur an professionelle Betreiber auslagern. Die Themen ‚Verschlüsselung und Wahl des Speicherortes‘ werden zunehmend in den Fokus rücken“, betont Steiner. „Außerdem sollte das Thema Datensicherheit unbedingt als Chefsache eingestuft werden, denn auch der wirtschaftliche Nutzen von Datensicherheit wird heute noch häufig unterschätzt.“

(SSP Europe GmbH/asc)