DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Umgang mit IT-Sicherheitsvorfällen

Flagge Europäische Union

Unter­nehmen leben vom Internet und ver­nach­läs­sigen not­wendige Risi­ko­be­trach­tungen. Die EU will nun Druck  machen und Unter­nehmen ver­pflichten, Cyber­at­tacken zu melden und mit den Behörden zu koope­rieren. Ein guter, erfolg­ver­spre­chender Weg?

 

Eine Anzei­ge­pflicht kann für ein Unter­nehmen unter Umständen genauso so gefährlich sein, wie der Angriff selbst: Wer will dem Geschä­digten schließlich garan­tieren, dass Details des Angriffs nicht öffentlich werden in einer Zeit, in der nicht einmal die Minis­terien Gesetz­ent­würfe der Res­sort­ab­stimmung zuführen können, ohne dass diese an die Öffent­lichkeit gelangen? Wenn dann tat­sächlich in den Medien zu lesen wäre, dass ein Ver­sand­händler kri­tische Kun­den­daten an einen Angreifer ver­loren hätte, wer würde dort noch ein­kaufen wollen? Das Ende vom Lied wäre, dass das Unter­nehmen nicht nur unter dem eigent­lichen Angriff leidet, sondern auch unter dem Umsatz­verlust durch öffent­lichen Ver­trau­ens­verlust. Dazu käme ggf. noch eine Strafe für „nicht aus­rei­chenden Schutz“, die aktuell in Brüssel mit maximal 2% vom Jah­res­umsatz dis­ku­tiert wird. Dann haben wir ein so stark geschä­digtes Unter­nehmen, dass dessen Markt­fä­higkeit ins­gesamt infrage steht. Das kann keiner wollen, gerade jene nicht, die damit argu­men­tieren, dass eBusiness und eCom­merce nur über Anbie­ter­ver­trauen funktioniert.

Alter­native Meldeverfahren

Das Leben ist selten wirklich alter­na­tivlos: Wenn ich als Unter­nehmer einen solchen Angriff anonym melden kann und von der Mel­de­stelle genau erfahre, was sie mit meinen Infor­ma­tionen macht (den Angreifer jagen und par­allel die Sicher­heits­technik opti­mieren), dann hätte ich sogar ein hohes Interesse daran, ein solches Mel­de­system zu unter­stützen. Nur so kann ich auf bes­seren Schutz in der Zukunft hoffen und even­tuell sogar den Angreifer belangen.

„Anzei­ge­pflichten“ scheinen mir ohnehin aus einer Zeit zu kommen, als es galt, mehr oder weniger „unmün­digen“ Markt­teil­nehmern einen Ver­fah­rensweg vorzuschreiben.
In kom­plexen und glo­balen Netz­werken ist dagegen die Selbst­or­ga­ni­sation und Selbst­ver­ant­wortung zu Hause und wird in Sonn­tags­reden von der Politik als Wohl­stands­motor gepriesen. Um das Thema IT-Sicherheit bei Unter­nehmen zu fördern, braucht es zunächst eine Insti­tution, der die Unter­nehmer ver­trauen und der sie ver­­lässlich-anonym einen Angriff auf ihre IT-Systeme melden können, ohne die nega­tiven Aus­wir­kungen des Angriffs damit noch zu ver­stärken. Im Gegenteil, die Unter­nehmer müssen einen Vorteil davon haben, sonst werden sie es nicht tun.

Ich vermute, dass sich diese Erkennt­nisse bei der the­men­spe­zi­fi­schen Reibung zwi­schen Wirt­schaft und Politik durch­setzen werden, ganz sicher können wir da leider noch nicht sein.

Bild:  © Schmuttel / pixelio.de

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Torsten Wun­derlich, DATEV eG

Dipl. Kaufmann (FH)

Seit 2002 bei DATEV, zunächst als Pro­jekt­leitung elek­tro­ni­scher Rechts­verkehr tätig. Seit November 2009 ist Torsten Wun­derlich Leiter des DATEV-Infor­ma­ti­onsbüro Berlin und dort in Gremien, Ver­bänden und poli­ti­schen Aus­schüssen am Ohr der Zeit zu eGo­vernment-Themen und deren IT-Sicher­heits­merk­malen. Oft über­nimmt er die Rolle des “Über­setzers” zwi­schen Tech­nikern, Juristen, Poli­tikern und Betriebs­wirten, die oft keine gemeinsame Sprache in der Sache haben.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.