Made in Germany
Wider die Betriebsblindheit
Datensicherheit ist mit der Digitalisierung, spätestens jedoch mit Inkrafttreten der EU-DSGVO, zum A und O für jedes Unternehmen geworden. Wie gut sind Unternehmen hierzulande jedoch wirklich darauf vorbereitet, dass ihre Daten zur Zielscheibe von Kriminellen werden können? Im Interview mit Lancom.
funkschau: Wo sehen Sie derzeit die größten Herausforderungen für Unternehmen in Bezug auf IT-Sicherheit?
Ralf Koenzen: Die großen Unternehmen schützen sich sehr gut. Sie haben auch die nötigen Mittel und das Fachpersonal, um ihre IT-Infrastruktur abzuschotten. Auch viele Mittelständler sind sich mittlerweile durchaus der Gefahren bewusst, aber es ist mitunter eine gewisse Überforderung spürbar, sich effektiv zu schützen. Und damit meine ich nicht nur technisch, sondern auch im Bereich der Mitarbeiter-Aufklärung. Hier gibt es großartige Initiativen, wie etwa die Allianz für Cybersicherheit, die ganz praktische Hilfestellungen leistet. Ich glaube aber auch, dass sich noch immer viele Mittelständler gar nicht dessen bewusst sind, welchen „Datenschatz“ sie besitzen und wie interessant sie deswegen für Cyberkriminelle sind. Daraus resultiert dann oft auch ein unzureichender Schutz dieser sensiblen Informationen. Trotz aller Awareness-Initiativen liegt noch viel Aufklärungsarbeit vor uns.
funkschau: Was können Unternehmen Ihrer Meinung nach grundsätzlich tun, um ihre Informationssicherheit zu gewährleisten?
Koenzen: Fakt ist, dass wir im Zeitalter der Digitalisierung leben. Was aber auf der einen Seite enorme Chancen bietet, birgt auch neue Risiken. Seien es beispielsweise Angriffe über das Internet direkt, über Mitarbeiter oder durch den Ausfall von Hardware, essenziellen Systemen und Ressourcen. Fehlt das Know-how im Unternehmen, hilft ein Sicherheitsaudit von spezialisierten Dienstleistern, die mögliche Schwachstellen finden und Lösungsvorschläge erarbeiten. Mir ist bewusst, dass solch ein Audit Kosten verursacht. Aber was bedeutet es für ein betroffenes Unternehmen, wenn die Konstruktionspläne der neuen Maschine vom Mitbewerber genutzt werden, die Buchhaltung sämtliche Daten verliert oder der Online-Shop samt Kundendaten gekapert wird?
funkschau: Warum ist Cybersicherheit längst nicht mehr nur ein Thema für die IT-Abteilung?
Koenzen: Cybersicherheit geht weit über die technische Absicherung von Systemen und Ressourcen hinaus. Eine vielfach unterschätzte Schwachstelle im IT-Sicherheitskonzept ist die fehlende Security-Kompetenz der eigenen Belegschaft. Gerade mittels Social Engineering entlocken Kriminelle auch vermeintlich geschulten Personen vertrauliche und sehr sensible Informationen. Aktuell gibt es beispielsweise enorm viele Spear-Phishing-Angriffe, die sehr gezielt auf bestimmte Personen oder Organisationen ausgerichtet sind. Viele sind so gut gemacht, dass es eine enorme Herausforderung ist, sie zu erkennen. Da hilft nur permanentes Informieren.
funkschau: IT-Sicherheit innerhalb des Unternehmens aufzubauen, ist das eine. Es ist jedoch etwas anderes, sicheren Schutz auch auf Dauer zu gewährleisten. Was bedarf es für die Realisierung einer nachhaltigen Strategie?
Koenzen: Die regelmäßige Überprüfung der Sicherheitsvorgaben ist unumgänglich. Ein weiterer wesentlicher Baustein ist die fortlaufende Pflege und Aktualisierung, beispielsweise über das Einspielen von Sicherheits-Updates. Außerdem muss eine effektive Zugriffskontrolle auf die IT-Ressourcen etabliert und umgesetzt werden. Dazu gehört auch, dass neue Kollegen in Sachen IT-Sicherheit geschult und die Zugänge von Mitarbeitern, die das Unternehmen verlassen haben, konsequent gelöscht werden. Ebenso wichtig ist es, gestohlene oder verlorene Handys und Laptops umgehend vom Zugriff auf das Firmennetz auszuschließen und alte Speichermedien sicher zu vernichten. Auch hier können externe Spezialisten eine wichtige Unterstützung sein: Sie helfen bei einem neutralen Blick auf die aktuelle Situation und unterliegen nicht dem Risiko der Betriebsblindheit.
funkschau: Da unzählige Sicherheitslösungen auf dem Markt erhältlich sind, wissen Verantwortliche oft nicht, welche Lösung für ihre Anforderungen die richtige ist. Gerade in der letzten Zeit häufen sich die Meldungen über absichtlich integrierte Schwachstellen, die außereuropäische IT-Anbieter von ihrer Regierung als Auflage bekommen. Hier kommt unter anderem die TeleTrust-Initiative „IT Security made in Germany“ ins Spiel. Warum braucht es eine Initiative dieser Art? Was zeichnet IT-Sicherheitslösungen „Made in Germany“ aus?
Koenzen: Das Vertrauenszeichen „IT Security made in Germany“ ist weit mehr als „nur“ eine Initiative eines Verbandes. Es wurde ursprünglich vom Bundeswirtschaftsministeriums ins Leben gerufen, um deutschen Unternehmen die Möglichkeit zu geben, ihr Engagement für Vertrauenswürdigkeit und Sicherheit plakativ darzustellen. Kern von ITSmiG – so die Kurzform – ist die Verpflichtung, die eigenen Produkte frei von versteckten Zugangsmöglichkeiten zu halten. Dies ist deshalb so wichtig, weil Backdoors eine stark unterschätzte Gefahr darstellen. Vergleichbar mit einer kritischen Schwachstelle eröffnen sie einen einfachen Zugang zu wichtigen internen Systemen, Ressourcen und letztendlich auch Daten. Insbesondere im Bereich der Netzinfrastruktur sind Unternehmen also gut beraten, sich aktiv mit der Frage der Backdoor-Freiheit auseinanderzusetzen. Leider ist es in einigen Ländern so, dass Hersteller aufgrund der rechtlichen Rahmenbedingungen oder aktueller Rechtsprechung in ihrem Heimatland zum Einbau von Backdoors verpflichtet werden können. Ist entsprechende Technik verbaut, ist ein effektiver Schutz nicht mehr gewährleistet.
funkschau: Das Qualitätssiegel „Made in Germany“ hat bereits viele Krisen erfahren und erfolgreich gemeistert – Stichwort Abgas-Skandal beispielsweise. Welchen Stellenwert hat ein Gütesiegel wie „Made in Germany“ angesichts dieser Entwicklungen und vor dem Hintergrund globalisierter Wertschöpfungsketten überhaupt noch?
Koenzen: Das Qualitätssiegel „Made in Germany“ hat sich glücklicherweise auch trotz der nicht wegzudiskutierenden Skandale als sehr robust erwiesen. Als deutsches Unternehmen ist das für Lancom immens wichtig. Denn gerade in Zeiten globaler Lieferketten, wo es kaum ein technisches Produkt mehr geben dürfte, das ausschließlich auf Komponenten basiert, die aus einem einzigen Land stammen, dient „Made in Germany“ als ganz klares Differenzierungsmerkmal. Es geht um die damit assoziierte Qualität und Sicherheit des Endprodukts – und in unserem Fall ganz klar auch um das so wichtige Thema der Vertrauenswürdigkeit. Ob ein Produkt diesen hohen Ansprüchen genügt, entscheidet sich entlang der gesamten Wertschöpfungskette. Angefangen bei Entwicklung, Design und Komponentenauswahl über die Endfertigung bis hin zur so wichtigen Qualitätssicherung und letztendlich auch dem Support. Solange diese gesamte Kette von einem konsequenten „Made in Germany“-Gedanken geprägt ist, wird der Kunde dies am Ende auch positiv spüren. Dies lässt sich 1:1 auf Software und die Cloud übertragen. Dabei muss es nicht zwangsläufig das vollständig selbst entwickelte Betriebssystem sein. Auch Open-Source-basierte Systeme, die auf Quellcode ganz unterschiedlicher Herkunft zurückgreifen und durch deutsche Unternehmen weiterentwickelt und veredelt werden, können die hohen Ansprüchen an Sicherheit und Vertrauenswürdigkeit erfüllen, die mit dem Qualitätssiegel „Made in Germany“ assoziiert werden. Bei Cloud-Diensten wiederum entscheidet das „Made und Hosted in Germany“ im Zweifelsfall sogar darüber, ob die strengen europäischen Datenschutzvorgaben erfüllt werden.
Lesen Sie mehr zum Thema
