DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Wirt­schafts­schutz

Wirt­schafts­schutz ist derzeit ein zen­trales Thema, nicht zuletzt seit den weit­rei­chenden Ent­hül­lungen über die Geheim­dienst­fä­hig­keiten befreun­deter Staaten und deren Aus­spä­hungen auch von Part­ner­staaten.

Der The­men­be­reich Wirt­schafts­schutz ist dabei deutlich viel­fäl­tiger als nur der Schutz vor Angriffen aus dem Netz. Es geht um mehr als IT- oder Cyber-Sicherheit für Unter­nehmen. Zwar ist IT- Sicherheit ein wich­tiger Bau­stein bei der wirt­schaft­lichen Absi­cherung eines Unter­nehmens, kann aber nur als ein Bau­stein in einem stabil gemau­erten Schutz­konzept ver­standen werden. Beim Wirt­schafts­schutz geht es im einmal darum, mög­lichst günstige Bedin­gungen für die deutsche Wirt­schaft zu schaffen, damit sich diese gegen Angriffe wappnen kann. Und im zum anderen geht es für jedes Unter­nehmen um die ganz­heit­liche Betrachtung der eigenen Gefahren, die durch Angriffe von außen erfolgen. 

The­men­felder des Wirt­schafts­schutzes

Ging man vor nicht allzu langer Zeit noch davon aus, dass nur die Global Player der deut­schen Wirt­schaft Ziele von Wirt­schafts­spionage wären, muss nach neueren Erkennt­nissen ins­be­sondere die deutsche mit­tel­stän­dische Unter­neh­mens­land­schaft als Ziel ver­standen werden. Dies wird sich nicht zuletzt auch auf die kleinen Unter­nehmen aus­weiten. Die Gründe liegen einer­seits in der stark durch kleine und mit­tel­stän­dische Unter­nehmen geprägten und hoch inno­va­ti­ons­ge­trie­benen deut­schen Wirt­schaft und ande­rer­seits in den ver­hält­nis­mäßig leicht zu errei­chenden Erfolgen bei der Erlangung von Geschäfts­ge­heim­nissen und Know-how. Die deut­schen KMU sind schlicht weiche Ziele für poten­zielle Täter.

Die Täter sind dabei nicht nur in den Reihen von Geheim­dienste rund um die Welt zu finden – übrigens der Grund warum  die deut­schen Dienste den sog. 360 Grad Blick ein­ge­nommen haben. Vielmehr sind die Akteure viel­fäl­tiger geworden. Akteure der Wir­t­­schafts- und Indus­trie­spionage sind daher neben dem Ein­zel­täter, der in dem klas­si­schen Hacker gesehen wird, fol­gende:

  • Kon­kur­renz­un­ter­nehmen im In- und Ausland, weil die Märkte glo­ba­li­siert sind.
  • Orga­ni­sierte Cyber-Kri­­mi­­na­­lität handelt mas­senhaft mit größ­ten­teils illegal erbeu­teten Infor­ma­tionen und Malware.
  • Internet-Akti­­visten sind stets auf der Suche nach „bad practice“ Bei­spielen und ver­ur­sachen hohen Repu­ta­ti­ons­schaden.
  • Ter­ro­ris­tische Ver­ei­ni­gungen und Ein­zel­täter rüsten eben­falls zum Cyber-Ter­ro­­rismus, wie  das Bei­spiel des TV-Senders TV5 Monde aus Frank­reich zeigt.

Ins­be­sondere kleine und mit­tel­stän­dische Unter­nehmen sind Ziele von Aus­spä­hungen

Der Wirt­schafts­schutz befasst sich deshalb mit den Maß­nahmen zum Schutz vor indi­zierten Angriffen auf die Infor­ma­ti­ons­si­cherheit eines Unter­nehmens. Die Lösung des Pro­blems muss daher in der Härtung der unter­neh­mens­ei­genen Infor­ma­ti­ons­si­cherheit liegen. Dabei muss Unter­neh­mens­si­cherheit als ganz­heit­liche Aufgabe ver­standen werden. Es ist vor allem Aufgabe der Geschäfts­führung, Sicherheit als Manage­ment­aufgabe zu begreifen. Ein ganz­heit­liches Sicher­heits­ma­nagement widmet sich jedem Unter­neh­mens­be­reich und klopft die Pro­zesse auf mög­liche Gefahren ab. Dazu bedarf es aber meist einer externen Beur­teilung und einem ent­spre­chenden Audit.

Zwei wesent­liche Teil­be­reiche jedes ein­zelnen Unter­nehmens sind die IT-Sicherheit und die sog. Human-Firewall. Gerade die Infor­ma­ti­ons­ge­winnung aus Unter­nehmen wird meist durch die Mit­ar­beiter, ob wil­lentlich oder unwis­sentlich, beein­flusst. Das sog. „social engi­neering“ macht unge­schulte Mit­ar­beiter zu leichter Beute für die Beein­flus­sungs­ver­suche geschulter Angreifer. Beim „social engi­neering“ werden die mensch­lichen Nei­gungen, wie Ver­trauen, Neugier und Kon­flikt­ver­meidung aus­ge­nutzt um an Infor­ma­tionen zu gelangen oder den Zugang zu IT-Netzen zu erschleichen. Hierzu wurden bereits mehrere hilf­reiche Artikel im Blog mit ein­gän­gigen Bei­spielen ver­öf­fent­licht. Diese haben nichts von ihrer Aktua­lität ver­loren, zumal diese uralte Methode der Spionage immer noch funk­tio­niert.

Dies zeigt ein Fall aus dem Jahr 2012, bei dem auf dem Fir­men­par­klatz mehrere unge­kenn­zeichnete USB-Sticks fallen gelassen wurden, um neu­gierige Mit­ar­beiter dazu zu ver­leiten, diese an die Unter­neh­mens­rechner zu stecken und dem selbst­in­stal­lie­renden Tro­janer Zugang zum Netzwerk zu ermög­lichen. Dieser mensch­lichen Neigung „einem geschenkten Gaul ins Maul zu schauen“ muss das Management mit Awa­­reness-Schu­­lungen begegnen und sichere Rechner zur Ver­fügung stellen, an dem externe Daten­träger anonym getestet werden können. Ein solcher „Honigtopf“ hilft diese Gefahren deutlich zu mini­mieren.

Awa­­reness-Schu­­lungen im Unter­nehmen leisten einen erheb­lichen Beitrag zur Stärkung der Human Firewall gegen Angriffe und sind ver­hält­nis­mäßig kos­ten­günstig. Der Bitkom bietet über die Bitkom Aka­demie ent­spre­chende Online-Kurse größ­ten­teils kos­tenlos an. Für wei­ter­füh­rende Infor­ma­tionen und als erster Ansprech­partner zu diesem Thema steht der Bitkom seinen Mit­gliedern und denen, die es werden wollen, gerne zur Seite.

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Cor­nelius Kopke, BITKOM

Cor­nelius Kopke ist seit August 2015 Referent Wirt­schafts­schutz und öffent­liche Sicherheit beim Digi­tal­verband Bitkom. Kopke hat Rechts­wis­sen­schaften in Hamburg stu­diert sowie einen Mas­ter­stu­di­engang Sicher­heits­wirt­schaft und Unter­neh­mens­si­cherheit an der Deut­schen Uni­ver­sität für Wei­ter­bildung in Berlin absol­viert. Zu den frü­heren beruf­liche Sta­tionen des stu­dierten Medi­en­rechtler zählen die escon security Management GmbH, die Groß­kanzlei Hogan Lovells und der Com­pu­ter­spie­le­verlag dtp AG.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.