Fast täglich erscheinen Meldungen über Datenvorfälle oder Wirtschaftsspionage in den Medien – Tendenz steigend: Betrüger, die Kundendaten beim Pay-TV-Sender Sky entwendet haben. Das Modelabel Talbot Runhof, das im Anhang eines Mailings nicht nur das Werbeprospekt, sondern auch Daten von Kunden verschickt hat. Oder aber die Bayreuther Festspiele, auf deren Homepage alle persönlichen Angaben der Kartenbesteller zu sehen waren. Unternehmen entstehen durch Datenpannen, -missbrauch oder -diebstahl Schäden in Millionenhöhe – vom Imageverlust einmal abgesehen.

Waren früher hauptsächlich Konzerne und internationale Unternehmen betroffen, rücken zunehmend auch innovative Unternehmen aus dem Mittelstand und selbst kleine Unternehmen ins Visier der Täter. Doch nicht nur Hacker und Industriespione schaden den Firmen, auch Mitarbeiter werden zur Gefahrenquelle. Ein Großteil der mittelständischen Geschäftsführer hält es für denkbar, dass Daten durch eigene Angestellte abhanden kommen – 29 Prozent vermuten sogar Vorsatz, indem beispielweise Mitarbeiter Informationen entwenden und der Konkurrenz zuspielen. Zu diesem Schluss kommt eine Befragung der Sicherheitsexperten von RÜHLCONSULTING. An dem Panel beteiligten sich ausschließlich Geschäftsführer, Vorstände und Senior Manager aus mittelständischen deutschen Unternehmen, die Hälfte davon familiengeführt. 

Risikofaktor Mitarbeiter

Auch auf Nachlässigkeit führen viele Unternehmen Datenlecks zurück: knapp 40 Prozent vermuten, dass durch unvorsichtiges Handeln der Mitarbeiter sensible Informationen wie Kundendaten oder innovative Entwicklungen in die Hände der Konkurrenz gelangen. Die Gefahr von Social Engineering, also der geschickten Manipulation von Wissens- und Informationsträgern nimmt zu, denn vor allem durch die Nutzung sozialer Netzwerke können Mitarbeiter schnell zur Zielscheibe von Spionen werden. Das Problem: Viele Menschen teilen ihre Erfahrungen, Ängste und vor allem ihren Ärger in sozialen Netzwerken. Ist die Pinnwand bei Facebook beispielsweise für Fremde nicht gesperrt, können sich Angreifer leicht einen Überblick über die Aktivitäten des Opfers verschaffen. Sie erhalten so Informationen, die ihnen Zugang zum Unternehmen ermöglichen können, beispielsweise wann der Betreffende in Urlaub ist. Ein Anruf in dessen Abwesenheit mit der Bitte, die Zeichnungen des neuesten Prototypen auf die private E-Mailadresse zu senden – man möchte gerne im Urlaub noch daran arbeiten, denn das Projekt ist zeitkritisch...und schnell sind interne Daten in die Hände Unbefugter gelangt.

Doch nicht nur durch Facebook, Xing und Co. werden Passwörter und Login-Daten ausgespäht, oft stellen Spione den Kontakt persönlich her: Ein Techniker meldet sich telefonisch, er bräuchte dringend wichtige Passwörter für den Zugang zu den IT-Systemen, ansonsten könne er die Wartungsarbeiten nicht durchführen. Oder aber eine E-Mail vom Controlling, man solle die letzte Budgetplanung noch einmal überprüfen – ein Klick auf den Anhang und schon hat sich ein Trojaner oder anderes Ausspähprogramm auf dem PC eingenistet. Hierbei handelt es sich um Computer-basiertes Social Engineering, bei dem technische Hilfsmittel im Mittelpunkt stehen. 

Einziger Schutz: Sensibilisierung!

Ein wirkungsvolles IT-Sicherheitskonzept umfasst deshalb neben den neuesten technischen IT-Standards vor allem eine Sensibilisierung der Mitarbeiter zum Thema Informationssicherheit. Jedem Unternehmen ist es zu empfehlen, regelmäßige Schulungen, Workshops oder Vorträge durchzuführen, in denen Mitarbeiter zu Themen wie Datenschutz, den Umgang mit sozialen Medien und Awareness informiert werden. Definieren Sie außerdem Sicherheitsstufen, legen Sie unterschiedliche Zugangsberechtigungen fest und klassifizieren Sie Ihre Daten:

• Welche Informationen sind besonders vertraulich und dürfen deshalb keinesfalls an dritte Personen weitergegeben werden?
• Mit wem darf welche Information auf welchem Weg geteilt werden? Per E-Mail, Telefon, Fax oder Brief?
• Welche Informationen dürfen das Haus auf gar keinen Fall verlassen?

Legen Sie Wert darauf, dass diese Vorgaben und Regeln nicht als Kontrolle von Ihren Mitarbeitern angesehen werden, sondern zum Schutz des Unternehmens. Es gilt, das Thema „Sicherheit“ dauerhaft in den Köpfen der Mitarbeiter zu verankern, ihnen nützliche Tipps an die Hand zu geben und ihnen ein Gespür für den richtigen Umgang mit Sicherheit zu vermitteln.

Auf der technischen Seite ist darauf zu achten, gut konfigurierte Firewalls einzusetzen, die die IT-Infrastruktur des Unternehmens gegen Eindringlinge schützen. Sorgen Sie außerdem dafür, dass Mitarbeiter nur über verschlüsselte Verbindungen Zugriff auf die zentralen Applikationen erhalten und achten Sie auf aktuelle Patchstände sowie einen aktuellen Virenschutz. Hilfreich ist auch, den Zugang zu Webmailern oder USB-Ports zu sperren, um den Abfluss von Daten zu verhindern.

Mit diesen einfachen, aber schnell wirksamen Maßnahmen können Unternehmen ihre vorhandenen Sicherheitsrichtlinien sinnvoll gegen Social Engineering-Angriffe erweitern.

Schnellcheck: Wie gut ist Ihr Unternehmen im Bereich Informationssicherheit aufgestellt?

• Vermeiden Sie und Ihre Mitarbeiter es, in der Öffentlichkeit, z.B. beim Essen über Projekte, Unternehmensinterna oder neue Entwicklungen zu sprechen?
• Verwenden Sie beispielsweise im Zug oder Café spezielle Sichtschutzfilter für Ihren PC-Bildschirm?
• Werden Besucher am Eingang registriert und im Betrieb von einem Mitarbeiter begleitet?
• Sperren Sie Ihren Computer, wenn Sie Ihr Büro verlassen und schließen Sie die Tür ab?
• Speichern Sie sensible Dokumente immer verschlüsselt auf Ihrem Computer?
• Werden schriftliche Notizen, Akten oder Schriftverkehr geschreddert?
• Werden Dokumente und Informationen klassifiziert?
• Verwenden Sie Firewalls mit Intrusion-Detection und Intrusion-Prevention-Systemen?
• Werden Firewall-Regeln regelmäßig geprüft und angepasst?
• Werden sicherheitsrelevante Patches zeitnah installiert?
• Gibt es Regeln für die Nutzung von Webmailern, Smartphones sowie Tablets im Unternehmen?
• Sind Smartphones und Tablets in die IT-Infrastruktur eingebunden und gelten dafür ebenfalls verbindliche Regeln?

Eine Zusammenfassung der Studie „Alles auf Risiko – Wie leichtfertig deutsche Mittelständler mit modernen Gefahren umgehen" steht als kostenloser Download zur Verfügung.