Sicherer Datenschatz

Cyber-Angriffe auf Unternehmen, Verwaltungen und Privatnutzer kommen jeden Tag vor. Viele Angriffe verlaufen erfolgreich, weil die Angreifer zum einen immer professioneller werden und zum anderen auf Rahmenbedingungen treffen, die sie zu ihrem Vorteil zu nutzen wissen.“ Im Bericht „Zur Lage der IT-Sicherheit in Deutschland 2014“ warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI), dass Schwachstellen in IT-Systemen und Software, die allgegenwärtige Nutzung mobiler Geräte und die Naivität vieler Anwender den Cyber-Kriminellen ihr perfides, aber äußerst lukratives Handwerk erleichtern.

Datenklau, Datenmanipulation, Erpressung und Diebstahl geistigen Eigentums kommen Unternehmen teuer zu stehen: Eine Studie von McAfee, des Spezialisten für Sicherheits-Software, schätzt den finanziellen Schaden durch Cyber-Kriminalität weltweit auf bis zu 575 Mio. US-Dollar jährlich. Nach einer Umfrage des Branchenverbandes Bitkom stand fast jedes dritte Unternehmen in Deutschland bereits im digitalen Fadenkreuz. Dennoch tendieren vor allem Mittelständler zu einer „digitalen Sorglosigkeit“. Diese Haltung zu korrigieren, ist das Ziel der Allianz „Prävention IT-Kriminalität“. Mit dieser Initiative wollen der Bayerische Verband für Sicherheit in der Wirtschaft e.V. (BVSW), das Polizeipräsidium Mittelfranken, der IT-Security-Spezialist MW IT-Businesspartner und die IHK Nürnberg für Mittelfranken Unternehmen durch Beratung und Veranstaltungen für die Gefahren der Cyber-Kriminalität sensibilisieren und bei Gegenmaßnahmen unterstützen.

Mit einer gut besuchten Auftaktveranstaltung im Polizeipräsidium Mittelfranken hat die Allianz vor Kurzem ihre Aufklärungsarbeit begonnen. BVSW-Geschäftsführer Heinrich Weiss richtete dabei einen eindringlichen Appell an die zahlreichen Zuhörer: „Tun Sie was, die Zeit drängt.“ Und Karl Geyer, Leiter des Sachgebiets E3 beim Polizeipräsidium Mittelfranken, ergänzte: „Im Alleingang ist der Kampf gegen Cyber-Kriminalität nicht zu gewinnen.“ Zur Vorbeugung seien Netzwerke gefragt, betonte der Leitende Kriminaldirektor.

Cyber-Cops gegen Datendiebe

Dazu will die Polizei ihren Beitrag leisten: Beim Bayerischen Landeskriminalamt wurde ein „Cyber-Kompetenzzentrum“ eingerichtet. Außerdem wurden neue Stellen für „Cybercops“ geschaffen; ab Mai 2015 sollen fast 50 hochqualifizierte IT-Fachleute im Technischen Kriminaldienst tätig sein. Darüber hinaus hat sich im Landesamt für Verfassungsschutz das Cyber-Allianz-Zentrum Bayern etabliert. Als vertraulicher Ansprechpartner kann das CAZ Unternehmen und Betreiber kritischer Infrastruktur bei der Prävention und Abwehr von Cyber-Attacken helfen. Die Anti-Cybercrime-Strategie des Bayerischen Innenministeriums setzt auch auf dezentrale Maßnahmen. Wie Polizeioberkommissar Christian Brunner berichtete, werden im Einzugsbereich des Polizeipräsidiums Mittelfranken auch an den Standorten Fürth, Erlangen, Schwabach und Ansbach Beratungsstellen eingerichtet. „Diese Struktur soll gewährleisten, dass Betroffene vor Ort kompetente Ansprechpartner vorfinden“, erklärte Brunner, der über langjährige Erfahrung im Bereich Prävention und IT-Kriminalität verfügt.

Auch die IHK Nürnberg für Mittelfranken unterstützt kleine und mittlere Unternehmen bei der Vorbeugung gegen digitale Attacken. Zu den Angeboten zählt neben Sprechtagen, Seminaren, einschlägigen Leitfäden und Newslettern auch eine kostenfreie, individuelle Einstiegsberatung. Die Basis-Checkliste, die Claudiu Bugariu in seinem Vortrag bei der Auftaktveranstaltung der „Prävention IT-Kriminalität“ empfahl, enthält vier Punkte: Virenschutz, Firewall, Datensicherung und Patch-Management. Der Spezialist für IT-Sicherheit aus der IHK-Abteilung Innovation | Umwelt betonte jedoch, dass selbst State-of-the-Art-Technologie allein keinen ausreichenden Schutz bietet: „Immer mehr Cyber-Attacken haben den Anwender als Angriffsziel.“

Beim sogenannten Social Engineering erweisen sich IT-Kriminelle als Virtuosen auf der Psycho-Klaviatur und machen sich Gefühle wie Angst oder Neugier zunutze, um sensible Daten abzugreifen oder Rechner mit Schad-Software zu infizieren. So locken sie Leichtgläubige zum Beispiel mit Phishing-Mails, in denen sie Schnäppchen oder Traumrenditen für Anlagen versprechen. Eine gängige Masche, um Mitarbeitern die digitalen Schlüssel für das Firmennetzwerk zu entlocken, sind Anrufe eines vermeintlichen Vorgesetzten mit dem Tenor „Wenn Sie mir diese Informationen nicht geben, hat das Konsequenzen“. Ein Biotop für alle Spielarten des Social Engineering sind Facebook, Xing etc. In diesen sozialen Netzwerken geben manche Nutzer in ihren Profilen wertvolle Firmeninterna preis, die Cyber-Kriminelle gezielt einsetzen. Vor diesem Hintergrund sollten Unternehmen – unabhängig von ihrer Größe – interne Richtlinien aufstellen, die u.a. den Umgang mit sozialen Netzwerken auf dem Arbeits-PC oder dem Firmenhandy oder die Handhabung von Dokumenten regeln, so Bugarius Rat: „Es kommt gar nicht so selten vor, dass Mitarbeiter wichtige Unterlagen in ihre private Dropbox legen.“

Der Nürnberger Rechtsanwalt Thomas Costard referierte bei der Auftaktveranstaltung über mögliche Folgen allzu lässiger IT-Spielregeln: „Die Haftungsrisiken im Bereich Datenschutz und IT-Sicherheit sind enorm, sowohl für das Unternehmen als auch für Geschäftsführung und unter Umständen sogar für alle Beschäftigten eines Unternehmens.“ Laxheit und/oder Naivität kommen Unternehmen mitunter teuer zu stehen, so die Erfahrung des auf IT-Recht und Datenschutz spezialisierten Juristen. Beispielsweise kann das Bundesdatenschutzgesetz den schludrigen Umgang mit Kundendaten mit Bußgeldern sanktionieren.

Auch das Zivilrecht ahndet IT-Ignoranz: Ein Unternehmen haftet gegenüber einem geschädigten Dritten immer dann, wenn dem Unternehmen ein Verschulden nachzuweisen ist. Dabei orientiert sich die Rechtsprechung an der „Sorgfalt eines ordentlichen Geschäftsmannes“, wozu die Risikovorsorgepflicht gehört. Führt deren Verletzung zu einem finanziellen Schaden für das Unternehmen, haften Geschäftsführer oder Vorstandsmitglieder unter Umständen persönlich. Liegt ein Verschulden der im Unternehmen Beschäftigten vor, haftet grundsätzlich der Arbeitgeber. Ob und in welchem Umfang das Unternehmen einen Beschäftigten für den Schaden haftbar machen kann, richtet sich nach dem Grad des Verschuldens: Bei Vorsatz oder grober Fahrlässigkeit hat in der Regel der Arbeitnehmer für den Schaden aufzukommen. Die Beweislast liegt hier beim Arbeitgeber: Er muss darlegen, dass der Beschäftigte den Schaden verursacht hat.

In einem Punkt waren sich die Experten von der Allianz „Prävention IT-Kriminalität“ einig: IT-Compliance, also die Einhaltung der gesetzlichen, unternehmensinternen und vertraglichen Regelungen im Bereich der IT-Landschaft, ist ein Thema für das gesamte Unternehmen, vom Geschäftsführer bis zur Aushilfskraft. Leider herrscht aber nach wie vor die Tendenz, den „Technikkram“ in die exklusive Zuständigkeit der IT-Abteilung abzuschieben. Diese Haltung kann fatal werden, denn für die Datensicherheit spielen eben nicht nur die Computer-Spezialisten eine wesentliche Rolle, sondern alle Anwender. Deren Sicherheitsbewusstsein lässt jedoch häufig zu wünschen übrig, beklagte Matthias Wörner. Der IT-Sachverständige und Inhaber des in Röttenbach ansässigen Beratungsunternehmens MW IT-Businesspartner erlebt immer wieder, dass Unternehmen IT-Sicherheitsschulungen für Anwender als überflüssige Ausgabe betrachten.

Zertifizierung für IT-Sicherheit

Unternehmen, die das Thema IT-Sicherheit strukturiert und Compliance-tauglich angehen wollen, können sich nach ISO 27001 zertifizieren lassen. Sie gilt als international führende Norm für Informationssicherheits-Managementsysteme und beschreibt die Anforderungen für deren Einführung, Umsetzung, Überwachung und Verbesserung. Allerdings fürchten gerade kleine und mittlere Unternehmen den mit der Zertifizierung verbundenen personellen und finanziellen Aufwand. Für diese Zielgruppe hat Matthias Wörner „Security by Design“ entwickelt: Er erarbeitet mit seinen Klienten ein bedarfsgerechtes Sicherheitskonzept auf der Basis der ISO 27001 oder des BSI Grundschutzes für die gesamte IT-Landschaft. „Dabei halten wir den Weg für einen späteren Zertifizierungswunsch offen“, erklärte Wörner.