Deutsche Firmen misstrauen US-Konkurrenz

Blauäugigkeit beim Datenschutz

PRISM hinterlässt auch bei den Anwendern Spuren: Die Angst insbesondere vor amerikanischen Eindringlingen wächst. Dennoch bemängeln Experten Leichtfertigkeit und Defizite beim Datenschutz. Helfen könnte unter anderem eine Whistle-Blowing-Hotline.

Trotz PRISM, Edward Snowden und alledem: Viele Firmen wähnen ihre Daten sicher vor Ausspähung, Klau oder Verlust. Die Wirtschaftsprüfer von Ernst & Young machen bei deutschen Anwendern schlichte Leichtfertigkeit aus. "Wenn es um ihre eigene Sicherheit geht, sind die Unternehmen leider oft blauäugig und wiegen sich in falscher Sicherheit", sagt Bodo Meseke, der die Abteilung für Forensic Technology & Discovery Services bei Ernst & Young leitet. Die Analysten von Freeform Dynamics beobachten ähnliche Tendenzen und mahnen an, beim Datenschutz nicht nur zu reagieren, sondern proaktiv zu handeln. Die Quintessenz dieser Warnungen und Hinweise: Auch wenn sich die Anwender seit Langem mit der Datensicherheit beschäftigen, sind längst nicht alle Hausaufgaben erledigt - und weil weder Hacker noch die technologische Entwicklung stillstehen, ist ständiges Um- und Weiterdenken nötig.

Einblick: Die Übersicht zeigt, mit welchen Tools sich deutsche Unternehmen gegen Datenklau zu wappnen versuchen.
Einblick: Die Übersicht zeigt, mit welchen Tools sich deutsche Unternehmen gegen Datenklau zu wappnen versuchen.
Foto: Ernst & Young

Blindes Vertrauen auf die Firewall

Nach Mesekes Beobachtung denken viele deutsche Firmen, ihre Rechner seien mit Firewall und Passwortschutz ausreichend geschützt. "Dabei haben nicht erst die jüngsten Enthüllungen gezeigt, dass Spionage und Abhörmethoden inzwischen deutlich weiter fortgeschritten sind", so Meseke. "Ein professioneller Datendieb kann ein Passwort mit entsprechenden Tools umgehen - grundsätzlich kann jede Information geknackt werden."

Die Unternehmen müssten deshalb nach Einschätzung von Ernst & Young versuchen, den Hackern ihr diebisches Treiben so anstrengend wie möglich zu machen - in der Hoffnung, dass diese sich deshalb anderen Zielen zuwenden. Die Instrumente dafür wie Instrusion Detection oder Intrusion Prevention sind jedoch nicht einmal in 15 Prozent der Unternehmen im Einsatz. Das zeigt eine Studie, für die Ernst & Young 400 deutsche Firmen befragte.

Stattdessen wiegt man sich in trügerischer Sicherheit. 86 Prozent der Manager in Deutschland halten es nämlich für unwahrscheinlich, dass ihr Unternehmen zum Spionage-Opfer werden könnte. Mehr als vier Fünftel der Befragten stützen ihren Optimismus dabei vor allem auf ihre standardmäßigen Firewalls und Passwortsysteme.

Spezialabteilungen Mangelware

Ernst & Young moniert außerdem, dass es lediglich in 14 Prozent der Firmen eine spezielle Sicherheitsabteilung gebe. In 72 Prozent der Unternehmen sei die Datensicherung hingegen eine reine Angelegenheit der IT-Abteilung. In diesem Umstand erkennt auch Freeform Dynamics ein Defizit, allerdings mit etwas anderer Stoßrichtung. Sowohl Ernst & Young als auch Freeform Dynamics teilen die Ansicht, dass Datensicherheit im Idealfall nicht einfach eine von vielen Aufgaben der IT-Abteilung sein sollte. Während sich Ernst & Young stark für die Einrichtung eigenständiger Security-Abteilungen einsetzt, plädiert Freeform Dynamics dafür, das Thema zur Chefsache zu machen.

Im Papier "The Data Protection Imperative" werben die britischen Berater dafür, dass sich Vorstände und Top-Manager um eine proaktive Gestaltung des Datenschutzes kümmern. Ein Kerngedanke dabei ist es, die in den Daten steckenden Informationen als wertvolle Güter zu begreifen, aus deren Verfügbarkeit und Analyse sich wirtschaftliche Potenziale heben lassen. Um das aber zu können, sind laut Freeform Dynamics andere Ansätze als bisher gefragt.

Ein Aspekt dabei sind Investitionen in zeitgemäße Technologie. Es reiche beispielsweise nicht mehr aus, ausschließlich in der Nacht Backups durchzuführen. Das gilt schlicht deshalb, weil der Verlust einer unternehmensweiten Tagesarbeit an Daten inzwischen unglaublich teuer geworden ist. Und weil es mittlerweile moderne Spiegelungs- und Snapshot-Lösungen gibt, die sämtliche Systeme im Stunden- oder sogar Minutenrhythmus sichern können.

Fünf Dinge sollten nach Ansicht von Freeform Dynamics Data-Protection-Systeme gewährleisten:

  1. die Sicherung kritischer Unternehmensdaten;

  2. das Verhindern von Datenverlust oder Verfälschung,

  3. das Verfügbarmachen der für den Betrieb wichtigen Informationen,

  4. die Rückführung von Daten in die Systeme im Falle eines Ausfalles,

  5. die effiziente und bombensichere Archivierung historischer Daten.