Die Digitalisierung beeinflusst weite Teile der Wirtschaft. Unterschätzt werden das Tempo der Veränderung und Fragen der Sicherheit.
Unaufhaltsam geht die Digitalisierung der Wirtschaft und des täglichen Lebens voran. Betroffen sind davon nicht allein Internet-basierte Wirtschaftszweige wie beispielsweise das Online-Shopping, sondern weite Teile der Wirtschaft. Auch Branchen, die sich als Internet-fern verstehen, sollten sich nicht in Sicherheit wiegen, denn auch dort können durch neue Online-Geschäftsmodelle unversehens die Karten neu gemischt werden. Das zeigen der private Zimmervermittlungsdienst Airbnb, der dem klassischen Übernachtungsgewerbe zusetzt, oder die Smartphone-App von Uber, die in der Taxi-Branche für Aufruhr sorgt. Grafiker sehen sich durch Portale um das Geschäft gebracht, auf denen Amateure und Profis aus der ganzen Welt digitale Entwürfe zu Kampfpreisen anbieten.
Folgt man dem „Cyber-Punk“ und Internet-Experten Sascha Lobo entsteht gerade ein „Plattform-Kapitalismus“, der eine neue Wirtschaftsform hervorbringe. Es entstünden immer neue Online-Plattformen und ungeahnte Möglichkeiten, immer mehr Daten immer schneller und gezielter zu verarbeiten und damit „neue Stufen der Effizienz“ zu erreichten, erklärte Lobo vor Kurzem in Nürnberg. Ein typisches Indiz für die neue Form des Wirtschaftens sei eine „Vereinfachung der Angebotsabgabe“, außerdem würden etablierte und professionelle Märkte zunehmend durch eine „Armada von Amateuren“ herausgefordert.
Die Digitalisierung sorgt auch in anderen Bereichen und Branchen für radikale Umwälzungen, die sich langsam, aber deutlich abzeichnen. Hierbei geht es nicht nur um eine weitere Flexibilisierung von Produkten oder Arbeitsformen durch neue, digitale Möglichkeiten. So bieten beispielsweise erste Versicherer nach dem Prinzip „Pay as you drive“ einen Abschlag auf die Kfz-Police, wenn der Fahrer eine Black Box im Auto akzeptiert, die das Fahrverhalten kontinuierlich mitprotokolliert. Ebenso wichtig ist, dass Produkte und Hardware an Bedeutung verlieren dürften, während Daten, Steuerungssoftware und IT-Giganten zu bestimmenden Faktoren werden.
Das kann auch für mittelständische Zulieferer zu einem Problem werden. Erste Systemlogistiker beschäftigen sich bereits intensiv mit der Technologie der 3D-Drucker. Der Hintergedanke dabei: Kleine Original-Ersatzteile wie Schrauben, Dichtungen oder Ähnliches müssten nicht zugeliefert werden, sondern könnten per Knopfdruck aus dem 3D-Drucker des Kunden kommen. Dann könnten die Zentrallager für Ersatzteile radikal verkleinert werden,
Diese Entwicklungen stellen insbesondere kleine und mittlere Industrie- und Handelsunternehmen vor doppelte Herausforderungen: Sie müssen sich nicht nur um digitale Strategien und um die Vermarktung über Webshops kümmern, sondern auch das Thema IT- und Datensicherheit professionell angehen, so Claudiu Bugariu, IHK-Experte für Informationssicherheit.
In der Tat bestehen existenzielle Gefahren, wenn Unternehmen glauben, ohne ein Minimum an IT-Sicherheit auszukommen. Der Verweis auf fehlende Geschäftsgeheimnisse ist eine unzureichende Begründung, das Thema nicht anzugehen. Denn es geht nicht allein um den viel zitierten Ideenklau innovativer Produkte über das Internet. Auch von anderer Seite drohen finanzielle oder ideelle Schäden, denn digitale Langfinger nehmen auch Kundendaten und Passwörter ins Visier. Andere Cyber-Kriminelle kapern Rechner kleiner Firmen und schließen diese zu fremdgesteuerten Bot-Netzen mit zigtausend Einzelrechnern zusammen, um auf diese Weise Angriffe auf Dritte vorzunehmen. „Manchmal merkt der Einzelne nichts davon, dass statt Daten Rechenleistung geklaut wird“, erklärt Kriminalhauptkommissar Jürgen Reeg, der in Mittelfranken das Kommissariat K 25 Cyber-Crime (u.a. mit den Sparten Ermittlungen und Forensik) leitet. Der kriminellen Phantasie im World Wide Web sind seinen Erfahrungen zufolge keine Grenzen gesetzt: „Cyber-Kriminalität entwickelt sich rasant steigend.“ Entsprechend wird das K 25 in den nächsten Monaten von 20 auf 26 Mitarbeiter aufgestockt. Zwar erfasst die mittelfränkische Kriminalstatistik nur knapp 2 000 Straftaten mit Verbindung zum Internet. Das liege aber daran, dass einerseits nur die Fälle mit Tatort in Mittelfranken erfasst werden, ausländische Server-Standorte dagegen nicht in die Kriminalstatistik einfließen. Andererseits gebe es eine hohe Dunkelziffer, weil Cybercrime-Delikte in aller Regel nicht zur Anzeige gebracht werden. Insofern bezeichnet Reeg die Ansicht vieler kleiner Betriebe, bei ihnen sei sowieso nichts zu holen, als „blauäugig“.
Der Kommissar nennt aktuelle Fälle: Der Server eines lokalen Internet-Cafés wurde gehackt, im Namen des Betreibers wurde Internet-Geld geordert und das Konto innerhalb von zehn Minuten geräumt. Der von den Cyper-Cops gesicherte Computer war in einem desolaten Zustand: „Wir konnten weit über 50 Trojaner feststellen.“ Zu tun hatte die Polizei auch mit geknackten und nachgebildeten Firmen-Homepages, über die Kundenbestellungen und Kontodaten abgegriffen wurden. Häufig sind auch das Ausspähen und Abfangen von Daten sowie virenverseuchte Rechnungen, die im Design bekannter Unternehmen (z.B. PayPal, Amazon, Telekom) versandt werden.
Hoher wirtschaftlicher Schaden
In anderen Fällen werden Firmenrechner gekapert und gespeicherte Bilder mit anderen überspielt. Oder das gesamte System wird so verschlüsselt, dass es sich manchmal kaum wiederherstellen lässt. In solchen Fällen wird dann eine Art Lösegeld gefordert. Für Reeg ist das World Wide Web ein Segen für moderne Arbeitsformen, bringt aber angesichts bekannter Risiken auch ein hohes Gefahrenpotenzial mit sich. Anders als der Einbruch mit dem Brecheisen kann der Cyber-Einbruch ins Firmennetzwerk einen wesentlich höheren wirtschaftlichen Schaden verursachen, gibt der Polizeibeamte zu bedenken.
Das Hacken der Firmenrechner von außen ist eine Gefahr, eine andere sind illegale Datenzugriffe von innen – sowohl von eigenen Mitarbeitern als auch von Fremden, die sich physischen Zutritt zu Firmenrechnern verschaffen. IHK-Experte Bugariu fordert deshalb ein Umdenken in den kleinen und mittleren Betrieben. Häufig sehe die Geschäftsleitung nur ihre IT-Mitarbeiter in der Pflicht und vernachlässige es, das Thema IT-Sicherheit in eine Gesamtstrategie einzubinden. Nötig sei ein „Top-Down-Prinzip“, bei dem der firmeneigene Kodex der IT-Sicherheit von oben nach unten vorgelebt wird. Dem stehe häufig auch eine gewisse Bequemlichkeit entgegen. So sei es zwar komfortabel, das Chef-Smartphone oder das eigene Laptop an das Firmennetz anzubinden, um auch unterwegs die Mails im Blick zu behalten. Allerdings erfordere diese Praxis einen besonderen Schutz und große Sorgfalt im Umgang mit Smartphone oder Laptop, um einen unbefugten Zugriff auf Adressdaten, Mails oder andere wichtige Daten zu verhindern.
Klare Regularien fordert Bugariu auch bei der Zugangskontrolle – sowohl für bestimmte Räume als auch beim Zugriff auf Firmendaten durch Mitarbeiter. Das beginnt schon mit ganz einfachen Handgriffen: Mitarbeiter, die ihren Arbeitsplatz auch nur kurzzeitig verlassen, sollten dazu verpflichtet werden, ihren PC zu sperren. Ein Sicherheitskonzept sollte auch den Zutritt für die Mitarbeiter von Reinigungsfirmen regulieren. Unterstreichen kann Bugariu die Empfehlung von Datenschützern, beim Auslagern von Daten auf „Security Made in Germany“ zu setzen: Wegen der strengen Datenschutzbestimmungen seien grundsätzlich Cloud-Dienstleister mit Servern in Deutschland zu empfehlen, zumal laut EU-Recht keine personenbezogenen Daten außerhalb der EU gespeichert werden dürfen. Zudem erschwere man mit deutschen Servern Zugriffe von ausländischen Geheimdiensten.
Unterstützung bekommen ratsuchende Firmen über den Sicherheitsleitfaden des Bundesamts für Sicherheit in der Informationstechnik (BSI). Allerdings ist das Papier mit über 1 000 Seiten für kleine Betriebe schwer umsetzbar. Eine Alternative ist die ISO 27001, mit der ein Management-System für die Informationssicherheit eingeführt und zertifiziert werden kann. Bugariu erinnert zudem daran, dass gemäß des Bundesdatenschutzgesetzes (BDSG) ein betrieblicher Datenschutzbeauftragter zu bestellen ist, wenn personenbezogene Daten automatisiert verarbeitet werden und wenn damit in der Regel mindestens zehn Personen ständig beschäftigt sind.
Handlungsbedarf konstatiert auch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) in Ansbach. Im September 2014 hatte die Behörde bei über 2 200 bayerischen Unternehmen das Sicherheitsniveau der eingesetzten Mail-Server automatisiert überprüft. Das ernüchternde Ergebnis: Ein Drittel der Unternehmen genügte den datenschutzrechtlichen Anforderungen nicht. Der Grad der Geheimhaltung einer unverschlüsselten E-Mail wird wie eine klassische Postkarte bewertet. Jeder, der die Karte zu Gesicht bekommt, kann ohne größeren Aufwand den Inhalt lesen, auswerten oder sogar manipulieren. Deshalb mahnt das BayLDA Nachbesserung an. Denn Unternehmen sind im Rahmen der Zugangs-, Zugriffs- und Weitergabekontrolle verpflichtet, bei ihren Mail-Servern in angemessenem Umfang aktuelle Verschlüsselungsverfahren zu verwenden.
