Bedrohung der Unternehmen aus dem Internet

Online-Tipp

Unternehmensberatung vom Verfassungsschutz. Erfahren Sie hier das wichtigste über die Gefahren, die Unternehmen aus dem Internet drohen.

Zu den Aufgaben des Verfassungsschutzes in NRW gehört die Aufklärung der Unternehmen über die Bedrohung aus dem Internet. Aus diesem Grund suchen Verfassungsschützer auf Veranstaltungen das direkte Gespräch mit Vorständen und Geschäftsführern, denn, und das ist weithin unbekannt, der Verfassungsschutz kann wertvolle Hilfestellung leisten, ohne im Falles eines Falles rechtliche Schritte einleiten zu müssen. In einer Diskussion mit Mittelständlern am Rande einer Veranstaltung zum Thema Wirtschaftsspionage in Düsseldorf beantwortete Verfassungsschützer Wilfried Karden gemeinsam mit dem Sicherheitsexperten Wolfgang Straßer, @-yet, Fragen zum Internet-Bedrohungspotenzial. Die zitierten Statements sind Antworten auf Fragen von Teilnehmern.

Frage: Wie sieht die Bedrohungssituation für Unternehmen denn konkret aus?

Straßer: Teilweise sind erschreckend gute Software-Tools im Internet zu finden, mit denen auch ein mäßig begabter Krimineller erfolgversprechende Angriffe auf Unternehmen starten kann.

Karden: Aber die Gefahr geht nicht nur von einzelnen Personen oder Unternehmen sondern auch von Staaten aus. So hat etwa das chinesische Ministerium für Staatsicherheit das Recht die gesamte Kommunikation in ihrem Hoheitsgebiet zu überwachen. Was viele nicht wissen, dies ist ein virtueller Raum, der weltweit Jeden einschließen kann, sobald dieser in Kontakt mit China steht. Wird hier ein gezielter staatlicher Angriff auf Ihren Rechner veranlasst, haben Sie definitiv keine Chance diesen abzuwehren. 

Frage: Geht hier eine Gefahr nur von China aus?

Karden: Keinesfalls – das möchte ich an dieser Stelle unbedingt betonen. Es liegt mir fern, hier ein einzelnes Land zu brandmarken, denn verschiedene Staaten etwa England oder auch Schweden haben rechtliche Grundlagen zum Umgang mit Informationen, die nicht den deutschen Wertmaßstäben entsprechen. Dies ist jedoch völlig wertfrei gemeint – andere Länder haben eben andere Sitten.

Frage: Kennen Unternehmen diese Gefahren?

Straßer: Viele Unternehmen sind sich der Gefahr immer noch nicht bewusst und vernachlässigen die Sicherheit sträflich. Hier wird weiterhin auf Firewall und Virenscanner gesetzt, und das war’s. Doch Fakt ist, dies reicht gegen die geschilderten Bedrohungsszenarien nicht mehr aus. Ein Grund dafür ist, dass die Angriffe einerseits ausgefeilter werden und andererseits automatisierter durchführbar sind, allein aufgrund der heute zur Verfügung stehenden Rechnerleistung. Überlegen Sie mal wie schnell ein sechzehnstelliges Passwort geknackt werden kann – werden keine Sonderzeichen benutzt, dauert dieser Vorgang teilweise unter zwei Minuten.

Frage: Können sich denn Unternehmen überhaupt noch ausreichend schützen?

Karden: Insgesamt besteht kein Grund zum Verzweifeln. Im Prinzip sind lediglich fünf Prozent des Firmen-Know-hows wirklich schützenswert – diese müssen allerdings bekannt sein, ebenso wie jene Mitarbeiter, die damit arbeiten. Wenn darum dann die richtigen „Schutzmauern“ errichtet werden, sorgt das Unternehmjen ausreichend für die Sicherheit seiner Daten.

Drei Ebenen zum Schutz vor Cyber-Kriminalität

Eine wirksame Schutzmauer um kritische Unternehmensdaten besteht nach Ansicht von Sicherheitsexperten aus dem Dreiklang Organisation – Technik – Bewusstsein

Organisation 

Errichtung logischer Strukturen, etwa derart, dass Rechner, auf denen unternehmenskritische Informationen liegen, keinen Zugang zum Internet haben oder ins Netzwerk eingebunden sind; oder ein Verbot einer bestimmten Kategorie von Gesprächen über das Smartphone.

Technik 

Korrekter Einsatz vorhandener Sicherheitstechnologien zum Innen- und Außenschutz. Z.B. lassen sich wichtige Dokumente mit unsichtbaren Wasserzeichen versehen, so dass die Firewall deren Versand an der Unternehmensgrenze verhindert. 

Bewusstsein 

Ständige Awareness-Schulungen der Mitarbeiter, mit dem Ziel, dass sie die Notwendigkeit der Maßnahmen verstehen und auch freiwillig im Sinne des Unternehmens umsetzen (z.B. keine gefundenen USB-Sticks am Unternehmensrechner ausprobieren).

Quelle: Praxishandbuch Unternehmenssicherheit/Sicherheit im Mittelstand von Wilfried Karden und Alexander von Freiberg.