Security

Notfallplan für die IT-Sicherheit im Unternehmen
Kommentare

Unternehmen haben immer öfter mit digitalen Angriffen zu kämpfen. Überraschend, dass nicht alle über einen Notfallplan für solchen Situationen verfügen. Der BITKOM erklärt, worauf es bei der Schadensbegrenzung ankommt.

Mehr als die Hälfte (51 Prozent) aller deutschen Unternehmen wurde in den letzten zwei Jahren Opfer von digitaler Wirtschaftsspionage, Sabotage oder Datendiebstahl, so Studienergebnisse von Digitalverband BITKOM. Die Automobilindustrie ist dabei der am stärksten betroffene Wirtschaftszweig. 68 Prozent der Unternehmen sind von den Angriffen aus dem Web betroffen. Darauf folgen die Chemie- und Pharma-Branche mit 66 Prozent sowie Banken und Versicherungen mit 60 Prozent betroffenen Unternehmen.

Den Schaden als Folge digitaler Wirtschaftsspionage, Sabotage und Datendiebstahl berechnet der BITKOM mit rund 51 Milliarden Euro pro Jahr. Fast ein Viertel dieser Summe machen dabei Umsatzeinbußen durch Plagiate aus. Darauf folgen Patentrechtsverletzungen, deren Folgen ähnlich denen der Plagiaten. An dritter Stelle liegen Umsatzverluste durch den Verlust von Wettbewerbsvorteilen.

Diebstahl von Geräten und sensiblen Daten

Auch infolge des Diebstahls von ITK-Geräten sowie Ausgaben, die durch den Ausfall von IT-Systemen oder die Störung von Betriebsabläufen entstehen entstehen immense Kosten. „Ein weicher Faktor mit großem Gewicht sind Imageschäden, die nach Sicherheitsvorfällen eintreten“, sagte Kempf. „Gelten ein Unternehmen oder seine Produkte bei Kunden und Geschäftspartnern erst einmal als unsicher, ist das nur schwer aus der Welt zu schaffen. Ein solcher Reputationsverlust kann ein Unternehmen in seiner Existenz gefährden.“

bitkom digitale schädenBei den befragten Unternehmen kommt der Diebstahl von ITK-Geräten besonders häufig vor. 28 Prozent klagten in den letzten zwei Jahren zum Beispiel über entwendete Computer, Smartphones oder Tablets. Fast ein Fünftel (19 Prozent) registrierten Fälle von Social Engineering. Bei dieser Methode werden Mitarbeiter manipuliert, um an bestimmte Informationen zu gelangen. 17 Prozent der befragten Unternehmen berichten vom Diebstahl sensibler elektronischer Dokumente bzw. Daten und 16 Prozent von Sabotage ihrer IT-Systeme oder Betriebsabläufe. Bei 8 Prozent der Unternehmen wurde die elektronische Kommunikation ausgespäht. Unter den großen Unternehmen ab 500 Mitarbeitern beträgt dieser Anteil sogar 15 Prozent. In 8 Prozent aller Unternehmen sind Besprechungen oder Telefonate abgehört worden.

IT-Systeme als häufigstes Angriffsziel

Das häufigste Angriffsziel sind die IT-Systeme und die Kommunikationsinfrastruktur der Unternehmen. Ein Drittel (34 Prozent) der attackierten Unternehmen nennen diesen Bereich. „IT-Systeme und Datennetze sind das Einfallstor für digitale Spionage- und Sabotageakte“, sagte Kempf. In 20 Prozent der betroffenen Unternehmen hatten es die Angreifer auf die Bereiche Lager und Logistik abgesehen. Es folgen der Einkauf (18 Prozent), die Produktion (15 Prozent) sowie die Geschäftsleitung (14 Prozent). In 9 Prozent der Unternehmen sind auch die Forschungs- und Entwicklungsabteilungen gehackt oder ausspioniert worden. Bei den großen Unternehmen ab 500 Mitarbeitern sind die F&E-Bereiche mit 30 Prozent bei fast jedem dritten Unternehmen betroffen.

Notfallpläne zur Schadensbegrenzung unerlässlich

In Anbetracht der großen Schäden, die durch digitale Angriffe entstehen können, ist es überraschend, dass nur knapp die Hälfte (49 Prozent) aller Unternehmen hierzulande überhaupt über ein Notfallmanagement bei digitaler Wirtschaftsspionage, Sabotage oder Datendiebstahl verfügt. „Alle Unternehmen müssen auf solche Situationen vorbereitet sein und einen Notfallplan in der Schublade haben.“ So Rohleder. „Viele Unternehmen schützen ihre materiellen und immateriellen Werte nicht ausreichend. Gerade der Mittelstand muss beim Thema Sicherheit nachlegen.“ Laut Umfrage sind mittelständische Unternehmen mit 61 Prozent am stärksten von Spionage- oder Sabotageakten betroffen.

Ein betriebliches Notfallmanagement enthält schriftlich geregelte Abläufe und Sofortmaßnahmen für Situationen, in denen zum Beispiel sensible Unternehmensdaten abfließen, wichtige Webseiten wie Shops oder Online-Dienste nicht erreichbar sind oder die Produktion aufgrund digitaler Angriffe beeinträchtigt ist. Durch ein funktionierendes Notfallmanagement kann so die Arbeitsfähigkeit des Unternehmens so schnell wie möglich wieder hergestellt werden und die Datensicherheit gewahrt werden.

„Die Maßnahmen zur Vorbereitung eines Notfallmanagements reichen vom Erstellen einer Kontaktliste mit den wichtigsten Ansprechpartnern bis zu mehrtägigen Übungen, bei denen verschiedene Szenarien durchgespielt werden“, sagt Rohleder. In manchen Fällen kann auch auf externe Dienstleister zurückgegriffen und es muss entschieden werden, ob vielleicht staatliche Stellen eingeschaltet werden sollten. Auch die Mitarbeiter oder sogar die Öffentlichkeit muss je nach Schwere des Vorfalls informiert werden.

Ein solcher Notfallplan ist jedoch nicht die Regel bei den deutschen Unternehmen. Entgegen der Erwartungen seien größere Unternehmen nur unwesentlich besser gerüstet als kleinere. Bei Betrieben mit 500 oder mehr Mitarbeitern besitzen 62 Prozent ein Notfallmanagement. Bei mittelständischen Unternehmen mit 100 bis 499 Mitarbeitern sind es 54 Prozent und bei kleineren Betrieben mit 10 bis 99 Beschäftigten 46 Prozent.

Notwendige Maßnahmen für die IT-Sicherheit

Aus Sicht des BITKOM müssen die Unternehmen mehr für den Schutz ihrer materiellen und immateriellen Werte tun und an folgenden Punkten ansetzen:

■      IT-Sicherheit: Der Grundschutz, über den alle befragten Unternehmen verfügen, besteht aus Virenscannern, Firewalls und regelmäßigen Updates sämtlicher Programme. Dieser sollte durch spezielle Angriffserkennungssysteme ergänzt werden. Zusätzlichen Schutz bietet die Verschlüsselung sensibler Daten.

■      Organisatorische Sicherheit: Dazu gehören unter anderem Regelungen, wer im internen Netzwerk auf welche Daten zugreifen darf und wer Zutritt zu sensiblen Bereichen eines Unternehmens bekommt. Ein Notfallmanagement gewährleistet eine schnelle Reaktion im Krisenfall. Darüber verfügt bisher nur knapp die Hälfte (49 Prozent) der Unternehmen in Deutschland.

■      Personelle Sicherheit: Nur 52 Prozent der Befragten führt Schulungen der Mitarbeiter oder Sicherheitsüberprüfungen von Bewerbern durch. Eine angemessene Sicherheitskultur umfasst darüber hinaus die richtige Verwendung von Zugangsdaten, den korrekten Umgang mit externen Datenträgern oder Verhaltensregeln auf Reisen.

■      Sicherheitszertifizierungen: Sie zwingen das Unternehmen, sich mit dem Thema intensiv auseinanderzusetzen. In der Praxis sind sie ein geeignetes Mittel, um höhere Sicherheitsstandards im gesamten Unternehmen zu etablieren.

■      Schärfere gesetzliche Regelungen über das geplante IT-Sicherheitsgesetz hinaus sind nach Ansicht der BITKOM-Branche nicht notwendig. „Das IT-Sicherheitsgesetz nimmt die Betreiber Kritischer Infrastrukturen in die Pflicht und wird perspektivisch zu mehr Sicherheit in der gesamten Wirtschaft führen“, sagte Kempf. Im laufenden Gesetzgebungsverfahren komme es darauf an, wie das Gesetz konkret ausgestaltet und wie es dann in der Praxis gelebt wird.

Weitere Informationen zum Notfallmanagement bei IT-Angriffen finden sich beim Bundesamt für Sicherheit in der Informationstechnik oder bei Deutschland sicher im Netz.

Hinweis zur Methodik: Grundlage der Angaben ist eine Umfrage, die Bitkom Research in Zusammenarbeit mit Aris Umfrageforschung im Auftrag des BITKOM durchgeführt hat. Dabei sind im Januar und Februar 1.047 Unternehmen ab 10 Mitarbeitern befragt worden. Die Interviews wurden mit Führungskräften durchgeführt, die für das Thema Wirtschaftsschutz verantwortlich sind. Dazu zählen Geschäftsführer sowie Führungskräfte aus den Bereichen Unternehmenssicherheit, IT-Sicherheit, Risikomanagement oder Finanzen. Die Umfrage ist repräsentativ für die Gesamtwirtschaft.

Aufmacherbild: Human eye looking through a hole in the electronic circuit via Shutterstock / Urheberrecht: pzAxe

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -