Datenklau droht überall

Cyber-Spionen die Tour vermasseln

Sicherheit muss für Mitarbeiter einfach sein

Angesichts der zunehmenden Sicherheitsrisiken ist dieser sorglose Umgang auch mit sensiblen Informationen schwer nachzuvollziehen. Doch wenn man sieht, welche Prozeduren Mitarbeiter oft vollziehen müssen, um via Handy oder Tablet eine E-Mail zu versenden, wird der manchmal laxe Umgang mit den Security-Vorschriften verständlicher. Deshalb lautet der wichtigste Ratschlag für Unternehmen in Sachen Security: Machen Sie den Mitarbeitern den Umgang mit Sicherheit so einfach wie möglich. Nur wenn Security-Systeme auch ohne Schulung leicht zu bedienen sowie nahtlos in den favorisierten E-Mail-Client eingebunden sind, stoßen sie bei Nutzern nicht auf Widerstand. Im Idealfall können sie auch noch aus der vorherrschenden Enterprise-Applikation heraus bedient werden. Wenn diese Voraussetzungen gegeben sind, werden sie auch genutzt. Und genau eine möglichst flächendeckende Nutzung ist es, die neben den technischen Features für mehr Sicherheit von Informationen sorgt.

Doch der Schutz vor Cyber-Angriffen und -spionage darf sich nicht auf das mobile Umfeld beschränken. Während sich durch entsprechende Schutzmaßnahmen das hauseigene Rechenzentrum und Netzwerk relativ gut gegen externe Zugriffe sichern lassen, wächst die Gefahr, sobald Informationen das Unternehmen verlassen. Die versendeten Daten wecken Begehrlichkeiten bei kriminellen Hackern, Konkurrenten und nicht zuletzt bei Geheimdiensten. Sehr eindrucksvoll hat das die von Edward Snowden aufgedeckte NSA-Affäre bewiesen, die das Vertrauen in Schutzmaßnahmen bis hin zur Verschlüsselung erschüttert hat.

Mehr Vertrauen in europäische Provider

So hat die Wirtschaftsprüfungsagentur PwC im September 2013 in Zusammenarbeit mit der Martin-Luther-Universität Halle-Wittenberg im Rahmen der Studie "Wirtschaftskriminalität und Unternehmenskultur 2013" durch die Befragung von 250 Unternehmen herausgefunden, dass jeder vierte Betrieb das Risiko von Wirtschafts- und Industriespionage jetzt höher einschätzt als vor Snowdens Enthüllungen. Jedes dritte Unternehmen will die Sicherheit seiner IT- und Kommunikationssysteme überprüfen. 15 Prozent erwägen sogar eine Umstellung auf europäische IT-Dienstleister, um ihre Daten vor dem Zugriff US-amerikanischer und britischer Geheimdienste zu schützen. Vor der Spionageaffäre hielten lediglich sechs Prozent der Unternehmen das Risiko für sehr hoch, bei der Cloud-Nutzung durch Missbrauch geschädigt zu werden. In der Befragung vom September 2013 waren es bereits 22 Prozent der Unternehmen. Insgesamt ging sogar jedes zweite Unternehmen (54 Prozent). von einem hohen oder sehr hohen Risiko aus.

Viele Unternehmen hat die Überwachungs- und Spionageaffäre angeregt, eine Verschlüsselung des E-Mail-Verkehrs und der Mobilfunkkommunikation zumindest zu prüfen. Jedes dritte Unternehmen (38 Prozent) erwägt die Einführung beziehungsweise Erweiterung von Verschlüsselungstechnik beim E-Mail-Verkehr und jedes vierte (25 Prozent) die Verschlüsselung der Mobilfunkkommunikation.

Die NSA-Affäre verdeutlicht mehrere Sicherheitsprobleme:

• Die Daten von Unternehmen können, besonders wenn sie in den Clouds amerikanischer Anbieter gespeichert und verarbeitet werden, durchaus von US-Geheimdiensten eingesehen werden.

• Auch andere Geheimdienste betreiben Datenausspähung im großen Stil. Beispiele sind das Glasfaserabhörprogramm Tempora des britischen Geheimdienstes Government Communications Headquarters (GCHQ) oder die amerikanisch-britischen Abzapfaktivitäten am Unterwasserkabel-Knotenpunkt Zypern.

• Daten und Informationen, die den gesicherten Perimeter des Unternehmens verlassen, sind besonders gefährdet.

• Sobald Informationen Ländergrenzen überschreiten, kann der eigene Staat sie durch seine Gesetze nicht mehr ausreichend schützen.

• Das sogenannte Safe Harbour Abkommen zwischen den USA und der EU reicht nicht aus, um die personenbezogenen Daten von EU-Bürgern und -Unternehmen zu schützen, da sich die Geheimdienste offenbar nicht an dieses ausgehandelte Sieben-Punkte-Programm halten. Es sieht unter anderem vor, dass Unternehmen angemessene Sicherheitsvorkehrungen treffen müssen, um Daten vor unbefugtem Zugang oder vor Zerstörung und Missbrauch zu schützen.

• Mitarbeiter, auch freie, stellen potenziell ein großes Sicherheitsrisiko dar.